TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
FireEye ได้เปิดโอเพ่นซอร์สเครื่องมือที่ชื่อ SharPersist ไว้บน GitHub ซึ่งเป็นเครื่องมือที่ออกแบบมาสำหรับ Red Team ในขั้นตอนการโจมตีระยะที่ทำ Persistence เพื่อช่วยเหลือทดสอบระบบด้านความมั่นคงปลอดภัยในองค์กร
เรื่องราวก็คือก่อนหน้านี้ PowerShell ได้ถูกแฮ็กเกอร์นำมาใช้ประโยชน์อย่างแพร่หลาย จนกระทั่งผู้ให้บริการโซลูชันฝั่งป้องกันหรือผู้เกี่ยวข้องได้พัฒนาเรื่องฟีเจอร์การป้องกันที่ PowerShell มากขึ้นจนทำให้แฮ็กเกอร์มีอุปสรรคมากกว่าเดิม ทั้งนี้แฮ็กเกอร์จึงผันตัวสู่ C# ซึ่งไอเดียนี้เกิดเพราะ C# มีการใช้เทคโนโลยีคล้าย PowerShell แต่มีการป้องกันน้อยกว่า เช่น .Net runtime เป็นต้น
ทั้งนี้ FireEye จึงได้ตระหนักว่าไม่มีเครื่องมือในฝั่งของ C# ใดเลยที่ทำมาเพื่อการโจมตีแบบ Persistence อย่างแท้จริง ด้วยเหตุนี้จึงได้พัฒนาเครื่องมือที่ชื่อว่า ‘SharePersist’ ออกมา อย่างไรก็ดีคุณสมบัติของเครื่องมือคือพัฒนาขึ้นจาก C# และสามารถใช้กับ Framework ใดๆ ที่รองรับ Reflective loading ด้วย .NET assembiles ได้ ซึ่งทาง FireEye ได้ให้ตัวอย่างไว้ด้วยการใช้ฟังก์ชัน Execute-assembly ของ Cobalt Strike นั่นเอง
ปัจจุบัน SharPersist ได้รองรับกับเทคนิคด้าน Persistence เช่น KeePass, Tortoise SVN, Starup Folder, Registry, New Windows Service, New Scheduled Task เป็นต้น สำหรับผู้สนใจสามารถศึกษารายละเอียดเพิ่มเติมได้จากบล็อกของ FireEye หรือ GitHub
ที่มา : https://www.securityweek.com/fireeye-releases-open-source-persistence-toolkit-sharpersist
