در این بخش به فصل دوم از کتاب Pentesting Active Directory and Windows-based Infrastructure با عنوان Defense Evasion می پردازیم.
ایده اصلی این فصل ساده است – ابزار خود را بشناسید. شروع بیرون کشیدن ابزارهای تازه از GitHub پس از به دست آوردن جای پای اولیه بر روی دستگاه مورد نظر نمایید. این موارد ممکن است در برخی از آزمایشگاههای آموزشی به خوبی کار کند؛ با این حال، در طول تعامل واقعی، یک حریف بالغ به راحتی میتواند فعالیت مخرب شما را شناسایی کند.
این فصل یک راهنمای کاملاً جامع در مورد چگونگی فرار از همه تشخیصهای ممکن نیست. Evasion یک بازی دائماً در حال تکامل بین شمشیر و سپر است. عوامل متعددی میتوانند بر نحوه انجام عملیات تهاجمی تأثیر بگذارند، از جمله آماده سازی، توسعه ابزارهای خاص، مجموعه مهارتهای تیم و تواناییهای هر دو طرف. ما قرار نیست به EDR / فرار آنتی ویروس دست بزنیم. کتابهای عالی منتشر شدهاند که به شما میآموزند چگونه راههای دور زدن احتمالی را پیدا کرده و توسعه دهید، از جمله حمله به خود راهحلهای امنیتی.
ما بر روی قابلیتهای امنیتی داخلی که میتوانند در محیط ویندوز مستقر و اجرا شوند تمرکز خواهیم کرد. در این فصل قصد داریم به موضوعات اصلی زیر بپردازیم:
استقرار و دور زدن AMSI، AppLocker و PowerShell Constrained Language Mode
PowerShell Enhanced Logging را اجرا کنید، از آن اجتناب کنید و از Sysmon برای شناسایی خود استفاده کنید.
ETW چیست؟ چه قابلیتها و بینشهای اضافی میتواند ارائه دهد؟