Zig Strike: کیت ابزار نهایی برای ساخت پیلود و دور زدن دفاع‌های امنیتی

Zig Strike یک کیت ابزار تهاجمی است که توسط تیم KPMG توسعه یافته و برای ساخت پیلودهای مخرب و دور زدن راه‌حل‌های امنیتی پیشرفته مانند آنتی‌ویروس‌ها (AV)، آنتی‌ویروس‌های نسل جدید (NGAV) و راه‌حل‌های تشخیص و پاسخ نقطه پایانی (EDR/XDR) طراحی شده است. این ابزار به تیم‌های قرمز (Red Team) و متخصصان امنیت سایبری امکان می‌دهد تا سناریوهای حمله واقعی را شبیه‌سازی کرده و نقاط ضعف سیستم‌های دفاعی را شناسایی کنند.

ویژگی‌های کلیدی Zig Strike

1. رابط کاربری وب مبتنی بر پایتون: Zig Strike دارای یک رابط کاربری وب است که به کاربران امکان می‌دهد پیلودهای خود را به‌صورت پویا سفارشی‌سازی کرده، روش‌های تزریق را انتخاب کرده و پیلود نهایی را دریافت کنند.

2. روش‌های مختلف تزریق: این ابزار از چهار تکنیک تزریق مختلف پشتیبانی می‌کند که برای سناریوهای خاص طراحی شده‌اند:

   • تزریق درون‌ریزی نخ محلی (Local Thread Injection): این تکنیک شامل ربودن یک نخ ایجادشده، هدایت اجرای پیلود به یک تابع ساختگی و اجرای پیلود پس از ازسرگیری نخ است. این گزینه همچنین با استفاده از تابع ساختگی، بارگذاری APIهای خاص ویندوز را انجام داده و آدرس تابع آن‌ها را تغییر می‌دهد.

   • تزریق نگاشت محلی (Local Mapping Injection): در این روش، پیلود در فضای آدرس فرآیند جاری نگاشت می‌شود و سپس اجرا می‌گردد.

   • تزریق نگاشت از راه دور (Remote Mapping Injection): این تکنیک شامل نگاشت پیلود در فضای آدرس یک فرآیند از راه دور و اجرای آن است.

   • ربایش نخ از راه دور (Remote Thread Hijacking): در این روش، یک نخ در فرآیند هدف ربوده شده و پیلود در آن اجرا می‌شود.

3. حفاظت ضد سندباکس: Zig Strike شامل گزینه‌های مختلفی برای جلوگیری از تحلیل در محیط‌های سندباکس است، از جمله:

• • بررسی حضور TPM: بررسی وجود ماژول پلتفرم قابل اعتماد (TPM) برای اطمینان از اجرای پیلود در محیط واقعی.

  • بررسی عضویت در دامنه: اطمینان از اینکه سیستم هدف به یک دامنه متصل است، که معمولاً در محیط‌های واقعی سازمانی مشاهده می‌شود.

  • حفاظت در زمان اجرا: جلوگیری از تحلیل پویا و شبیه‌سازی در زمان اجرای پیلود.[*]

• فرمت‌های خروجی متنوع: Zig Strike امکان تولید پیلود در فرمت‌های مختلفی مانند XLL (افزونه Excel)، DLL و CPL را فراهم می‌کند.[*]

نمونه استفاده

برای استفاده از Zig Strike، مراحل زیر را دنبال کنید:

• کلون کردن مخزن GitHub:

git clone https://github.com/0xsp-SRD/ZigStrike
cd ZigStrike/App/
python3 App.py

• یا استفاده از Docker

git clone https://github.com/0xsp-SRD/ZigStrike
cd ZigStrike/
docker build -t zigstrike .
docker run -p 5002:5002 zigstrike

پس از راه‌اندازی، می‌توانید از طریق رابط کاربری وب، شل‌کد خود را بارگذاری کرده، روش تزریق را انتخاب کرده و پیلود نهایی را دریافت کنید.

Zig Strike یک ابزار قدرتمند برای ساخت پیلودهای مخرب و دور زدن راه‌حل‌های امنیتی پیشرفته است که به تیم‌های قرمز و متخصصان امنیت سایبری کمک می‌کند تا سناریوهای حمله واقعی را شبیه‌سازی کرده و نقاط ضعف سیستم‌های دفاعی را شناسایی کنند. با استفاده مسئولانه و آگاهانه از این ابزار، می‌توان به بهبود وضعیت امنیتی سیستم‌ها کمک کرد.

منبع اصلی گیت هاب

منبع اصلی