Istraživači: .NET Assembly-ji su zamagljeni i oružani pomoću MacroPack-a, budite oprezni.

Krajolik kibernetičke sigurnosti svjedočio je značajnom napretku u sofisticiranosti zlonamjernog softvera, pri čemu sve češće zlonamjerni akteri koriste legitimne programske okvire u zlonamjerne svrhe. Nedavno se pojavio značajan razvoj u kojem je došlo do naoružavanja .NET sklopova (assemblies) putem naprednih tehnika zamućivanja (obfuscation), što predstavlja zabrinjavajući trend u ofanzivnim sigurnosnim operacijama. Ovakav sofisticiran pristup iskorištava inherentne karakteristike .NET okvira, koji je postao preferirani jezik za brojne ofanzivne sigurnosne alate, uključujući Rubeus, SeatBelt, SharpDPAPI i Certify. Pojava ove prijetnje proizlazi iz temeljne ranjivosti u arhitekturi .NET-a. Za razliku od tradicionalnih kompajliranih izvršnih datoteka, .NET binarni kodovi sadrže kod međusrednjeg jezika koji zadržava većinu simbola iz izvornog koda, čak i kada je kompajliran u “release” modu. Ova karakteristika, iako korisna za legitimne razvojne svrhe, stvara priliku kako za branitelje da kreiraju potpise (signatures), tako i za napadače da iskoriste transparentnost okvira. Vektori napada zlonamjernog softvera obuhvataju više mehanizama isporuke, uključujući prijenose izvršnih datoteka, skripte u Visual Basicu, implementacije u JavaScriptu, HTA dokumente, batch skripte i Office dokumente ugrađene s VBA makronaredbama. Istraživači kompanije BallisKit identificirali su ovaj sofisticirani okvir za zamućivanje integriran unutar MacroPack Pro, koji implementira sveobuhvatan scenarij nazvan WEAPONIZE_DOTNET. Istraživači su dokumentirali kako zlonamjerni akteri mogu sustavno transformirati legitimne .NET sklopove u naoružane (weaponized) terete, istovremeno izbjegavajući tradicionalne mehanizme sigurnosne detekcije. Utjecaj ovog okvira proteže se na više ofanzivnih sigurnosnih alata, s uspješnim testiranjem provedenim na sklopovima KrbRelay, Rubeus, Mythic Apollo Implant, SeatBelt, SharpDPAPI i SharpHound. Temeljna snaga ovog pristupa naoružavanja leži u sofisticiranim mehanizmima zamućivanja koji sustavno neutraliziraju uobičajene metode detekcije. Okvir zapošljava četiri primarne strategije zamućivanja, od kojih svaka cilja specifične aspekte analize i detekcije .NET sklopova. Mutacija PInvoke u DInvoke predstavlja ključnu tehniku izbjegavanja implementiranu putem opcije –obfuscate-dotnet-dinvoke-mutation. Tradicionalne .NET aplikacije koriste PInvoke funkcije za uvoz izvornih Windows API poziva, pohranjujući nazive funkcija i biblioteka u čistom tekstu unutar sklopa. Ovo stvara lako uočljive potpise za sigurnosna rješenja. Proces zamućivanja pretvara ove statičke uvoze u dinamičke DInvoke pozive, izvršene u vrijeme izvođenja putem delegata koji funkcioniraju kao zamućeni pokazivači funkcija. Mehanizam upravljanja refleksijom (reflection handling) rješava temeljni izazov u .NET zamućivanju. Kada sklopovi koriste refleksiju za pristup informacijama o svojoj strukturi u vrijeme izvođenja, tradicionalno zamućivanje narušava funkcionalnost preimenovanjem simbola. Opcija –obfuscate-dotnet-reflection-handling stvara preslikavanje u vrijeme izvođenja između zamućenih simbola i njihovih izvornih vrijednosti, održavajući funkcionalnost uz očuvanje sposobnosti prikrivenosti. Možda najvažnije, tehnika ugrađivanja (embedding) putem –obfuscate-dotnet-embed potpuno transformira izgled sklopa stvaranjem .NET učitavača (loader) koji dinamički učitava zamućeni teret izravno u memoriju. Ovaj pristup osigurava da zlonamjerni sklop nikada ne dospije na disk, značajno komplicirajući forenzičku analizu i sustave detekcije temeljene na datotekama. Okvir održava kompatibilnost preko verzija .NET okvira od 3.5 nadalje, osiguravajući široke mogućnosti implementacije na sustavima Windows 7 do trenutnih sustava Windows 10 i 11.