سه شنبه / ۳۱ تیر / ۱۴۰۴ Tuesday / 22 July / 2025
×
هشدار FBI درباره فعالیت پیشرفته گروه باج‌افزاری Scattered Spider علیه سازمان‌های آمریکایی
FBI و CISA: Scattered Spider تهدید فعال باج‌افزاری علیه بخش‌های حیاتی آمریکاست

هشدار FBI درباره فعالیت پیشرفته گروه باج‌افزاری Scattered Spider علیه سازمان‌های آمریکایی

ارزیابی سریع نفوذ: معرفی و بررسی THOR APT Scanner
ابزاری برای ارزیابی فوری نفوذ و تشخیص تهدیدات فعال

ارزیابی سریع نفوذ: معرفی و بررسی THOR APT Scanner

PPLrevenant یک ابزار پیشرفته برای دور زدن مکانیزم‌های امنیتی ویندوز است که به مهاجمان یا پژوهشگران امنیتی اجازه می‌دهد کد دلخواه خود را در یک فرآیند محافظت‌شده (Protected Process Light - PPL) اجرا کنند. این ابزار می‌تواند به شکل خاصی در حملات post-exploitation و بای‌پس کردن آنتی‌ویروس مورد استفاده قرار گیرد.
اجرای کد در فرآیندهای محافظت‌شده ویندوز با PPLrevenant

PPL چیست؟

در ویندوز، مکانیزمی به نام Protected Process Light (PPL) وجود دارد که برای محافظت از فرآیندهایی مثل آنتی‌ویروس‌ها، Credential Guard و… طراحی شده است. فرآیندهایی با این سطح از حفاظت نمی‌توانند به‌راحتی توسط سایر برنامه‌ها مورد دستکاری قرار گیرند.

PPLrevenant یک ابزار پیشرفته برای دور زدن مکانیزم‌های امنیتی ویندوز است که به مهاجمان یا پژوهشگران امنیتی اجازه می‌دهد کد دلخواه خود را در یک فرآیند محافظت‌شده (Protected Process Light – PPL) اجرا کنند. این ابزار می‌تواند به شکل خاصی در حملات post-exploitation و بای‌پس کردن آنتی‌ویروس مورد استفاده قرار گیرد.

PPLrevenant چطور کار می‌کند؟

PPLrevenant از چند تکنیک استفاده می‌کند:

  1. ایجاد فرآیندهای محافظت‌شده جعلی با استفاده از دسترسی خاصی به Debug Signing Certificate.

  2. اجرای Shellcode دلخواه در فرآیندهای PPL مانند lsass.exe یا فرآیندهای ساخته‌شده.

  3. تزریق DLL یا اجرای کد از حافظه برای انجام حملات ماندگار یا استخراج اطلاعات حساس.

 

کاربرد :

  • تحلیل رفتار امنیتی ویندوز در برابر کدهای تزریقی

  • تست قابلیت تشخیص آنتی‌ویروس‌ها

  • پژوهش در مورد bypass سیستم‌های Endpoint Protection

  • اجرای ابزارهای داخلی با سطح PPL برای بررسی‌های forensic

 

  • مخزن رسمی GitHub

  • مستندات ویندوز درباره Protected Process Light

  • گزارش‌های تحلیل آنتی‌ویروس‌ها در برابر حملات PPL

نوشته های مشابه
بررسی CVE‑۲۰۲۵‑۴۳۸۰: افزونه Ads Pro وردپرس در معرض خطر Local File Inclusion
آسیب‌پذیری بحرانی LFI در افزونه Ads Pro وردپرس (تا نسخه ۴.۸۹)

بررسی CVE‑۲۰۲۵‑۴۳۸۰: افزونه Ads Pro وردپرس در معرض خطر Local File Inclusion

CVE-2025-25257: تحلیل جامع SQL Injection بحرانی در FortiWeb + راهنمای رفع و پیشگیری
بحران SQL Injection در FortiWeb: از آسیب‌پذیری تا راهکار

CVE-2025-25257: تحلیل جامع SQL Injection بحرانی در FortiWeb + راهنمای رفع و پیشگیری

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *