PurpleBear
@purple_medved
WASM Smuggling for Initial Access
Про использовании HTML Smuggling для доставки пейлоадов для получения первоначального доступа я уже неоднократно писал и рассказывал, эта техника долгие годы отлично работала практически из коробки. Но на данный момент некоторые песочницы и client proxy научились эффективно детектить HTML Smuggling в автоматизированном режиме, поэтому злоумышленники адаптировали Web Assembly для усложнения идентификации использования этой техники.
Про WASM Smuggling я слышал только из TI отчетов и никогда ранее не использовал на практике, поэтому этот пост больше про теорию и сбор информации для начала исследования
Web Assembly (WASM) позволяет использовавть C, C++, Rust, Go и другие для запуска в браузере, это значительно усложняет автоматизированный анализ в сравнении с обфусцированным JavaScript, поэтому позволяет оставаться ниже радаров защитных решений.
🖊References:
WebAssembly Is Abused by eCriminals to Hide Malware
WebAssembly Smuggling: It WASM’t me
The Silk Wasm: Obfuscating HTML Smuggling with Web Assembly
WASM Smuggling for Initial Access and W.A.L.K. Tool Release
⚙️Tools:
The Silk Wasm - HTML Smuggling with Web Assembly
W.A.L.K. - Web Assembly Lure Krafter
В следующих постах из этой серии я обязательно поделюсь результатами ресерча и опытом использования этой техники.
PS: Может быть кто-то использует WASM Smuggling на проектах для получения первоначального доступа, расскажите пожалуйста в комментариях о своих результатах.
Про использовании HTML Smuggling для доставки пейлоадов для получения первоначального доступа я уже неоднократно писал и рассказывал, эта техника долгие годы отлично работала практически из коробки. Но на данный момент некоторые песочницы и client proxy научились эффективно детектить HTML Smuggling в автоматизированном режиме, поэтому злоумышленники адаптировали Web Assembly для усложнения идентификации использования этой техники.
Про WASM Smuggling я слышал только из TI отчетов и никогда ранее не использовал на практике, поэтому этот пост больше про теорию и сбор информации для начала исследования
Web Assembly (WASM) позволяет использовавть C, C++, Rust, Go и другие для запуска в браузере, это значительно усложняет автоматизированный анализ в сравнении с обфусцированным JavaScript, поэтому позволяет оставаться ниже радаров защитных решений.
🖊References:
WebAssembly Is Abused by eCriminals to Hide Malware
WebAssembly Smuggling: It WASM’t me
The Silk Wasm: Obfuscating HTML Smuggling with Web Assembly
WASM Smuggling for Initial Access and W.A.L.K. Tool Release
⚙️Tools:
The Silk Wasm - HTML Smuggling with Web Assembly
W.A.L.K. - Web Assembly Lure Krafter
В следующих постах из этой серии я обязательно поделюсь результатами ресерча и опытом использования этой техники.
PS: Может быть кто-то использует WASM Smuggling на проектах для получения первоначального доступа, расскажите пожалуйста в комментариях о своих результатах.
🔥 5
👍 3
37 1.8K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram