امن افزار رایکا

درباره کتاب SANS SEC670.3 Operational Actions:

کتاب  SANS SEC670.3 Operational Actionبه بررسی اقدامات عملیاتی در حملات محلی علیه سیستم هدف می‌پردازد. Jonathan Reiter در این کتاب به جزئیات قالب Portable Executable (PE)، فرآیندهای Thread، روش‌های DLL Injection، Privilege Escalation و تکنیک‌های Evasion و Command and Control می‌پردازد. این کتاب برای توسعه‌دهندگان و تحلیلگران امنیت که می‌خواهند پیاده‌سازی واقعی امکانات Implant ها را درک کنند، منبعی اصولی و پیشرفته محسوب می‌شود.

خلاصه کتاب SANS SEC670.3 Operational Actions:

در ابتدای کتاب ساختار فایل‌های PE از سطح داده‌های Header تا NT Header ها و Optional Header ها به‌صورت گام‌به‌گام تجزیه می‌شود تا مبنای درک درستی از نحوه بارگذاری و اجرای کدها در حافظه ایجاد گردد. نویسنده با بهره‌گیری از winnt.h به آموزش ساخت Parser سبک برای فایل‌های اجرایی می‌پردازد. این پایه، اساس کار در فصل‌های بعدی برای بحث در مورد Injection و Escalation را تشکیل می‌دهد؛ جایی که خواننده یاد می‌گیرد چگونه ساختارهای ویندوز را به نفع تغییر جریان اجرای کد به‌کار گیرد. در بخش‌های بعدی تمرکز کتاب بر انواع روش‌های Dll Injection از قبیل ClassicDLLInjection، APCInception و ThreadHijacking است که هر کدام با تمرین‌های آزمایشگاهی و کدهای نمونه تشریح می‌شوند. همچنین روش‌های برداشتن موانع دسترسی (UACBypass) و ابزارهای ShadowCraft برای ارزیابی امنیتی پیشرفته معرفی می‌گردند. در پایان کتاب خواننده با مفاهیم C2 و Bootcamp آشنا می‌شود تا بتواند Implant خود را در چارچوبی عملیاتی با قابلیت پایداری و ارتباط مستقیم با سرور فرماندهی طراحی کند.