Zig Strike je napredni alat za ofanzivna dejstva, konstruisan sa ciljem zaobilaženja sofisticiranih sigurnosnih sistema, uključujući tradicionalne antivirusne programe (AV), nove generacije antivirusnih rješenja (NGAV), te sisteme za detekciju i odgovor na nivou krajnjih tačaka (XDR/EDR). Ovaj alat otvorenog koda predstavlja značajan iskorak u mogućnostima “red team” operacija, koristeći moderan Zig programski jezik za kreiranje izuzetno prikrivenih tereta (payloads) koji mogu nadmudriti čak i Microsoft Defender for Endpoint (MDE).
Osnovne karakteristike alata:
* Alat zasnovan na Zigu omogućava izradu prikrivenih tereta koji uspješno zaobilaze sigurnosne sisteme poput AV, XDR i EDR.
* Koristi četiri specifične tehnike ubacivanja (injection), uključujući preuzimanje niti (thread hijacking) i mapiranje memorije (memory mapping) radi prikrivenog izvršavanja.
* Primjenjuje obskuraciju (zamagljivanje) u vrijeme kompilacije, Base64 enkripciju i provjere protiv sandbox okruženja kako bi izbjegao detekciju.
* Omogućava generisanje DLL i Excel Add-in tereta uz prateći web interfejs, čime se unapređuju mogućnosti “red team” timova.
**Napredne tehnike ubacivanja tereta i izbjegavanja detekcije**
Zig Strike implementira četiri različita metoda ubacivanja, pažljivo osmišljena za specifične scenarije napada. Alat poseduje lokalno ubacivanje niti, koje preuzima kreirane niti i preusmjerava izvršavanje tereta kroz lažne funkcijske povratne pozive, istovremeno vršeći “function stomping” na Windows API adresama. Daljnji napredak postiže se daljinskim preuzimanjem niti, gdje se ciljaju postojeće niti u udaljenim procesima, koristeći GetThreadContext i SetThreadContext API-je za direktno manipulisanje pokazivačem instrukcija (RIP) na shellcode.
KPMG navodi da alat također integrira tehnike lokalnog mapiranja, koje koriste Windows API-je za mapiranje datoteka, poput CreateFileMappingW i MapViewOfFile, za alokaciju izvršne memorije, značajno smanjujući sumnjive obrasce u memoriji koje obično označavaju EDR rješenja. Daljinsko mapiranje proširuje ovaj koncept kroz međusobno ubacivanje procesa koristeći MapViewOfFileNuma2 API za mapiranje shellcode-a u adresne prostore udaljenih procesa.
Mogućnosti izbjegavanja detekcije alata dodatno su poboljšane zahvaljujući Zigovoj “comptime” funkcionalnosti, koja omogućava izvršavanje koda u vrijeme kompilacije, čime se postiže bolja izvedba i prikrivenost. Zig Strike fragmentira shellcode u manje dijelove pohranjene kao Base64 enkriptovane UTF16 wide-string varijable unutar .rdata sekcije PE datoteke, što znatno otežava statičku analizu od strane sigurnosnih alata.
Sistem implementira mehanizme protiv sandbox analiza, uključujući provjere Trusted Platform Module (TPM) i verifikaciju pridruživanja domeni, kako bi se spriječila dinamička analiza u virtualizovanim okruženjima. Ove tehnike osiguravaju da se tereti izvršavaju isključivo u legitimnim korporativnim okruženjima, zaobilazeći automatske sisteme sigurnosne analize.
Zig Strike generira terete u više formata, uključujući Dynamic Link Libraries (DLL) koje podržavaju obje arhitekture, 32-bitne i 64-bitne, te Excel Add-ins (XLL) za integraciju s Microsoft Officeom. XLL format se pokazuje naročito efikasnim jer iskorištava povlašteni status dodataka u Excelu za zaobilaženje pravila za smanjenje površine napada (ASR).
Python-bazirani web interfejs alata omogućava dinamičko prilagođavanje tereta uz vizuelne notifikacije o kompilaciji i jednostavne mogućnosti izvoza. Buduća izdanja planiraju uključiti direktne i indirektne sistemske pozive, dodatne tehnike ubacivanja i metode obskuracije kašnjenja (sleep obfuscation) radi daljnjeg unapređenja mogućnosti izbjegavanja detekcije.
Ovaj razvoj naglašava kritičnu potrebu da organizacije primjenjuju višeslojne odbrambene strategije i kontinuirano ažuriraju svoje sigurnosne postavke protiv rastućih prijetnji u savremenom sajberbezbjednosnom pejzažu.
Istražite ponašanje malvera uživo, pratite svaki korak napada i donosite brže, pametnije sigurnosne odluke -> Isprobajte ANY.RUN sada.
