1736429078290.pdf
2.9 MB
🔍 Setting Up a Malware Analysis Lab: Your Ultimate Guide 🚀
💻 Step into the fascinating world of malware analysis! Creating a secure and efficient lab is critical for exploring, analyzing, and understanding malicious software without risking your primary systems. Here’s everything you need to set up your own lab:
🔧 Essential Components for a Malware Analysis Lab:
1️⃣ Isolated Virtual Environment:
• Use VMware, VirtualBox, or Hyper-V to create secure sandboxes.
• Take frequent snapshots to restore your environment quickly.
2️⃣ Diverse Operating Systems:
• Set up VMs for Windows (XP, 7, 10) and Linux distributions (Ubuntu, Kali).
• Include mobile OS emulators (Android Studio, Genymotion) for mobile malware.
3️⃣ Networking Tools:
• Simulate internet services with tools like INetSim.
• Use firewalls and private virtual networks to block outbound connections.
4️⃣ Static Analysis Tools:
• Disassemblers: IDA Pro, Ghidra, Radare2.
• Hex Editors: HxD, Bless.
• Decompiler Tools: OllyDbg, JD-GUI.
5️⃣ Dynamic Analysis Tools:
• Process Monitor (ProcMon), Process Explorer.
• Sandboxes: Cuckoo Sandbox, Any.Run.
• Network Analyzers: Wireshark, Fiddler.
6️⃣ Threat Intelligence Tools:
• YARA for custom rule creation.
• Use open-source platforms like VirusTotal, Hybrid Analysis, and Intezer.
7️⃣ Reverse Engineering Tools:
• Tools for unpacking malware (UPX, Exeinfo PE).
• Debuggers like x64dbg for in-depth analysis.
8️⃣ Log and Behavior Analysis:
• Sysmon for system activity monitoring.
• ELK stack (Elasticsearch, Logstash, Kibana) for log management.
9️⃣ Cloud-Based Labs:
• Platforms like Flare VM or REMnux for pre-configured setups.
• Use AWS or Azure with strict access controls for scalable labs.
10️⃣ Safety Practices:
• Disable shared folders and clipboard on VMs.
• Use NAT for internet access and a secure VPN for additional safety.
🛠 Bonus Tips for Malware Analysts:
✅ Keep your tools updated to detect new threats.
✅ Practice on known malware samples from trusted repositories like MalwareBazaar.
✅ Always document findings and automate repetitive tasks with noscripts.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
💻 Step into the fascinating world of malware analysis! Creating a secure and efficient lab is critical for exploring, analyzing, and understanding malicious software without risking your primary systems. Here’s everything you need to set up your own lab:
🔧 Essential Components for a Malware Analysis Lab:
1️⃣ Isolated Virtual Environment:
• Use VMware, VirtualBox, or Hyper-V to create secure sandboxes.
• Take frequent snapshots to restore your environment quickly.
2️⃣ Diverse Operating Systems:
• Set up VMs for Windows (XP, 7, 10) and Linux distributions (Ubuntu, Kali).
• Include mobile OS emulators (Android Studio, Genymotion) for mobile malware.
3️⃣ Networking Tools:
• Simulate internet services with tools like INetSim.
• Use firewalls and private virtual networks to block outbound connections.
4️⃣ Static Analysis Tools:
• Disassemblers: IDA Pro, Ghidra, Radare2.
• Hex Editors: HxD, Bless.
• Decompiler Tools: OllyDbg, JD-GUI.
5️⃣ Dynamic Analysis Tools:
• Process Monitor (ProcMon), Process Explorer.
• Sandboxes: Cuckoo Sandbox, Any.Run.
• Network Analyzers: Wireshark, Fiddler.
6️⃣ Threat Intelligence Tools:
• YARA for custom rule creation.
• Use open-source platforms like VirusTotal, Hybrid Analysis, and Intezer.
7️⃣ Reverse Engineering Tools:
• Tools for unpacking malware (UPX, Exeinfo PE).
• Debuggers like x64dbg for in-depth analysis.
8️⃣ Log and Behavior Analysis:
• Sysmon for system activity monitoring.
• ELK stack (Elasticsearch, Logstash, Kibana) for log management.
9️⃣ Cloud-Based Labs:
• Platforms like Flare VM or REMnux for pre-configured setups.
• Use AWS or Azure with strict access controls for scalable labs.
10️⃣ Safety Practices:
• Disable shared folders and clipboard on VMs.
• Use NAT for internet access and a secure VPN for additional safety.
🛠 Bonus Tips for Malware Analysts:
✅ Keep your tools updated to detect new threats.
✅ Practice on known malware samples from trusted repositories like MalwareBazaar.
✅ Always document findings and automate repetitive tasks with noscripts.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🗿2👍1🔥1😱1🎉1
🌸پرونده تهدید سایبری : عملیات Shadow Hammer
یک گروه APT که گمان میرود با حمایت دولتی فعالیت میکند، از زنجیره تأمین برای نفوذ به سیستمها استفاده کرد.
مرحله 1: شناسایی اولیه حادثه
در سال 2019، یک شرکت امنیتی (Kaspersky) گزارش داد که نسخهای از نرمافزار مدیریت ASUS Live Update به خطر افتاده است. کاربران از طریق بروزرسانیهای رسمی ASUS بهصورت نامحسوس در معرض بدافزار قرار گرفته بودند. این بدافزار به دلیل استفاده از گواهی دیجیتال قانونی ASUS قابل تشخیص نبود.
ردپاهای اولیه:
کاربران گزارشهایی مبنی بر رفتار غیرعادی در نرمافزار خود ارسال کردند.
تحلیل ترافیک شبکه نشان داد که نرمافزار به دامنههای مشکوک متصل میشود.
گزارش کاربران: گزارشهایی از رفتار غیرمعمول نرمافزار ASUS Live Update.
تحلیل ترافیک شبکه:
ترافیک شبکه به دامنههای خارجی مشکوک، نظیر asushotfix.com، هدایت میشد.
استفاده از DNS مشکوک و ارتباطات رمزنگاریشده غیرمعمول.
اقدامات اولیه:
جمعآوری لاگها:
تحلیل لاگهای مربوط به نصب نرمافزار.
بررسی لیست فرآیندهای در حال اجرا و اتصالات شبکه.
استفاده از SIEM:
فیلترسازی رویدادها و شناسایی ارتباطات مشکوک به سرورهای خارجی.
ردیابی IPها و ارتباطات مشکوک با اطلاعات موجود در پایگاههای داده Threat Intelligence.
مرحله 2: تحلیل بدافزار
الف) تحلیل استاتیک:
نمونههای آلوده استخراج شدند و تحلیل استاتیک روی آنها انجام شد:
بررسی هدرهای PE فایل اجرایی:
فایل اجرایی دارای گواهی دیجیتال امضاشده ASUS بود.
هیچ تغییری در امضاهای دیجیتال به چشم نمیخورد، که نشاندهنده دسترسی مستقیم مهاجم به سیستم زنجیره تأمین بود.
بررسی کدها و باینریها:
کد مخرب در یک بخش خاص از فایل (بخش .text) مخفی شده بود.
از تکنیکهای کدگذاری XOR و رمزنگاری AES برای پنهانسازی payload استفاده شده بود.
ب) تحلیل دینامیک:
بدافزار در محیط Sandboxing (مثلاً Cuckoo Sandbox) اجرا شد:
مشاهده رفتار بدافزار:
جمعآوری اطلاعات سیستم:
MAC Address.
شناسههای سختافزاری.
مقایسه اطلاعات جمعآوریشده با یک لیست داخلی (embedded whitelist).
اگر سیستم هدف در لیست بود:
بدافزار payload مخرب را از سرور C2 دریافت میکرد و اجرا میکرد.
این payload قابلیت نصب backdoor را داشت.
بررسی ارتباطات شبکه:
استفاده از TLS برای رمزنگاری ارتباطات با سرور C2.
ترافیک شبکه شامل درخواستهای HTTP POST مشکوک با دادههای رمزنگاریشده بود.
ج) تحلیل پیشرفته کد:
با استفاده از IDA Pro یا Ghidra:
دیکامپایل کد: مشخص شد که بدافزار از APIهای زیر استفاده میکند:
از CreateFile، ReadFile، و WriteFile برای دسترسی به فایلهای سیستم.
از InternetOpen و InternetConnect برای ارتباط با اینترنت.
مکانیزم پایداری (Persistence): بدافزار از رجیستری ویندوز برای اجرای مجدد خود پس از ریبوت استفاده میکرد.
مرحله 3: رهگیری و تحلیل زیرساخت مهاجم
نت اول ؛ ادامه پست
الف) تحلیل دامنهها و IPها:
دامنههای مشکوک نظیر asushotfix.com تحلیل شدند.
ارتباطات به یک سرور C2 در منطقه آسیای شرقی ختم شد.
ب) استفاده از Threat Intelligence:
و IPها و دامنهها با اطلاعات موجود در پایگاه دادههای تهدید بررسی شدند.
تطابق با فعالیتهای قبلی گروه Shadow Hamme و مشاهده شده.
ج) کشف ابزارها و روشها:
ابزارهای مورد استفاده مهاجم:
بدافزار اصلی در محیطی شبیه به نرمافزار مشروع امضا شده بود.
تکنیکهای زنجیره تأمین برای توزیع نرمافزار آلوده.
تکنیکهای استتار:
استفاده از لیست هدف محدود.
رمزنگاری دادههای در حال انتقال و استفاده از امضای دیجیتال قانونی.
مرحله 4: اقدامات متقابل
اقدامات فوری:
مسدود کردن دامنهها و IPها:
از طریق فایروالها و راهکارهای DNS Filtering.
شناسایی سیستمهای آلوده:
بررسی MAC Address سیستمها برای تطابق با لیست هدف.
اقدامات بعدی:
انتشار هش فایلهای مخرب و Signature آنها.
اطلاعرسانی به ASUS برای اصلاح فرآیند امضای دیجیتال.
همکاری با نهادهای بینالمللی برای شناسایی و مختل کردن زیرساخت C2.
درسآموختهها و نتیجهگیری
تقویت زنجیره تأمین:
بررسی دقیق کد و فرآیند امضای دیجیتال.
استفاده از EDR و Threat Hunting:
مانیتورینگ پیشرفته برای کشف رفتارهای غیرعادی در شبکه و سیستم.
شناسایی APTها:
ترکیب اطلاعات تهدید، تحلیل بدافزار، و رهگیری زیرساخت مهاجم.
📱 Channel : @Engineer_Computer
یک گروه APT که گمان میرود با حمایت دولتی فعالیت میکند، از زنجیره تأمین برای نفوذ به سیستمها استفاده کرد.
مرحله 1: شناسایی اولیه حادثه
در سال 2019، یک شرکت امنیتی (Kaspersky) گزارش داد که نسخهای از نرمافزار مدیریت ASUS Live Update به خطر افتاده است. کاربران از طریق بروزرسانیهای رسمی ASUS بهصورت نامحسوس در معرض بدافزار قرار گرفته بودند. این بدافزار به دلیل استفاده از گواهی دیجیتال قانونی ASUS قابل تشخیص نبود.
ردپاهای اولیه:
کاربران گزارشهایی مبنی بر رفتار غیرعادی در نرمافزار خود ارسال کردند.
تحلیل ترافیک شبکه نشان داد که نرمافزار به دامنههای مشکوک متصل میشود.
گزارش کاربران: گزارشهایی از رفتار غیرمعمول نرمافزار ASUS Live Update.
تحلیل ترافیک شبکه:
ترافیک شبکه به دامنههای خارجی مشکوک، نظیر asushotfix.com، هدایت میشد.
استفاده از DNS مشکوک و ارتباطات رمزنگاریشده غیرمعمول.
اقدامات اولیه:
جمعآوری لاگها:
تحلیل لاگهای مربوط به نصب نرمافزار.
بررسی لیست فرآیندهای در حال اجرا و اتصالات شبکه.
استفاده از SIEM:
فیلترسازی رویدادها و شناسایی ارتباطات مشکوک به سرورهای خارجی.
ردیابی IPها و ارتباطات مشکوک با اطلاعات موجود در پایگاههای داده Threat Intelligence.
مرحله 2: تحلیل بدافزار
الف) تحلیل استاتیک:
نمونههای آلوده استخراج شدند و تحلیل استاتیک روی آنها انجام شد:
بررسی هدرهای PE فایل اجرایی:
فایل اجرایی دارای گواهی دیجیتال امضاشده ASUS بود.
هیچ تغییری در امضاهای دیجیتال به چشم نمیخورد، که نشاندهنده دسترسی مستقیم مهاجم به سیستم زنجیره تأمین بود.
بررسی کدها و باینریها:
کد مخرب در یک بخش خاص از فایل (بخش .text) مخفی شده بود.
از تکنیکهای کدگذاری XOR و رمزنگاری AES برای پنهانسازی payload استفاده شده بود.
ب) تحلیل دینامیک:
بدافزار در محیط Sandboxing (مثلاً Cuckoo Sandbox) اجرا شد:
مشاهده رفتار بدافزار:
جمعآوری اطلاعات سیستم:
MAC Address.
شناسههای سختافزاری.
مقایسه اطلاعات جمعآوریشده با یک لیست داخلی (embedded whitelist).
اگر سیستم هدف در لیست بود:
بدافزار payload مخرب را از سرور C2 دریافت میکرد و اجرا میکرد.
این payload قابلیت نصب backdoor را داشت.
بررسی ارتباطات شبکه:
استفاده از TLS برای رمزنگاری ارتباطات با سرور C2.
ترافیک شبکه شامل درخواستهای HTTP POST مشکوک با دادههای رمزنگاریشده بود.
ج) تحلیل پیشرفته کد:
با استفاده از IDA Pro یا Ghidra:
دیکامپایل کد: مشخص شد که بدافزار از APIهای زیر استفاده میکند:
از CreateFile، ReadFile، و WriteFile برای دسترسی به فایلهای سیستم.
از InternetOpen و InternetConnect برای ارتباط با اینترنت.
مکانیزم پایداری (Persistence): بدافزار از رجیستری ویندوز برای اجرای مجدد خود پس از ریبوت استفاده میکرد.
مرحله 3: رهگیری و تحلیل زیرساخت مهاجم
نت اول ؛ ادامه پست
الف) تحلیل دامنهها و IPها:
دامنههای مشکوک نظیر asushotfix.com تحلیل شدند.
ارتباطات به یک سرور C2 در منطقه آسیای شرقی ختم شد.
ب) استفاده از Threat Intelligence:
و IPها و دامنهها با اطلاعات موجود در پایگاه دادههای تهدید بررسی شدند.
تطابق با فعالیتهای قبلی گروه Shadow Hamme و مشاهده شده.
ج) کشف ابزارها و روشها:
ابزارهای مورد استفاده مهاجم:
بدافزار اصلی در محیطی شبیه به نرمافزار مشروع امضا شده بود.
تکنیکهای زنجیره تأمین برای توزیع نرمافزار آلوده.
تکنیکهای استتار:
استفاده از لیست هدف محدود.
رمزنگاری دادههای در حال انتقال و استفاده از امضای دیجیتال قانونی.
مرحله 4: اقدامات متقابل
اقدامات فوری:
مسدود کردن دامنهها و IPها:
از طریق فایروالها و راهکارهای DNS Filtering.
شناسایی سیستمهای آلوده:
بررسی MAC Address سیستمها برای تطابق با لیست هدف.
اقدامات بعدی:
انتشار هش فایلهای مخرب و Signature آنها.
اطلاعرسانی به ASUS برای اصلاح فرآیند امضای دیجیتال.
همکاری با نهادهای بینالمللی برای شناسایی و مختل کردن زیرساخت C2.
درسآموختهها و نتیجهگیری
تقویت زنجیره تأمین:
بررسی دقیق کد و فرآیند امضای دیجیتال.
استفاده از EDR و Threat Hunting:
مانیتورینگ پیشرفته برای کشف رفتارهای غیرعادی در شبکه و سیستم.
شناسایی APTها:
ترکیب اطلاعات تهدید، تحلیل بدافزار، و رهگیری زیرساخت مهاجم.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍2🔥1👏1🤯1😱1
ابزارهایی برای بررسی ایمیل
https://readmedium.com/explore-17-free-tools-for-in-depth-email-investigation-2a8fe6188451
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://readmedium.com/explore-17-free-tools-for-in-depth-email-investigation-2a8fe6188451
Please open Telegram to view this post
VIEW IN TELEGRAM
Readmedium
Explore 17 FREE Tools for In-Depth Email Investigation
A comprehensive guide for uncovering actionable insights on any email address.
👍3🔥1😱1🤩1🕊1
فرآیند ها و ریسک
برای محاسبه ریسک ، شناسایی آسیب پذیری ها حیاتی است. یکی از نقاط ضعف یا همان آسیب پذیریهایی که کمتر بدان توجه شده است فرآیند ها است. در مقاله زیر به این موضوع پرداخته ام .
با هم ببینیم نگاه به ریسک اگر در فرآیند ما دمیده باشد چه مزایایی خواهیم داشت.
این موضوع مبحث درس ISSMP است؛ مدیریت عالی امنیت که پنج شنبه ها درحال برگزاری است
https://medium.com/@roozbeh.no/understanding-risk-aware-processes-in-modern-organizations-as-an-issmp-07b44a2265a9
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
برای محاسبه ریسک ، شناسایی آسیب پذیری ها حیاتی است. یکی از نقاط ضعف یا همان آسیب پذیریهایی که کمتر بدان توجه شده است فرآیند ها است. در مقاله زیر به این موضوع پرداخته ام .
با هم ببینیم نگاه به ریسک اگر در فرآیند ما دمیده باشد چه مزایایی خواهیم داشت.
این موضوع مبحث درس ISSMP است؛ مدیریت عالی امنیت که پنج شنبه ها درحال برگزاری است
https://medium.com/@roozbeh.no/understanding-risk-aware-processes-in-modern-organizations-as-an-issmp-07b44a2265a9
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Understanding Risk-Aware Processes in Modern Organizations as an ISSMP
In today’s volatile and fast-paced business environment, organizations are exposed to a myriad of risks ranging from cyber threats to…
❤2🔥2👏1😱1🎉1
سر و کله زدن با ترافیک کبالت استرایک
https://blog.nviso.eu/series/cobalt-strike-decrypting-traffic
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://blog.nviso.eu/series/cobalt-strike-decrypting-traffic
Please open Telegram to view this post
VIEW IN TELEGRAM
NVISO Labs
Cobalt Strike: Decrypting Traffic – NVISO Labs
In this series, we describe different methods and tools to decrypt Cobalt Strike network traffic.
👍3❤2🔥1👏1
#موقت
_پرسیدم، اگه ماشینت پنجر باشه باهاش میری سرکار؟!
+گفت: خب معلومه، نه
_گفتم: اگه توجه نکنی بری و بیایی باهاش، چی میشه؟!
+گفت: خب میترکه، نابود میشه
_گفتم: ما با ماشینمون اینکارو نمیکنیم، ولی بارها با خودمون اینکارو کردیم
کیلومترها خود پنجرمونو بردیم!
چکیده کتاب "سیلی واقعیت".
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
_پرسیدم، اگه ماشینت پنجر باشه باهاش میری سرکار؟!
+گفت: خب معلومه، نه
_گفتم: اگه توجه نکنی بری و بیایی باهاش، چی میشه؟!
+گفت: خب میترکه، نابود میشه
_گفتم: ما با ماشینمون اینکارو نمیکنیم، ولی بارها با خودمون اینکارو کردیم
کیلومترها خود پنجرمونو بردیم!
چکیده کتاب "سیلی واقعیت".
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤5🔥1😢1🕊1🗿1
استفاده عملی از فناوری جدید اینتل
Intel® Threat Detection Technology (Intel® TDT)
تفاوت بین زمانی که بنز ، کیا و پراید سوار شدی!!
https://www.crowdstrike.com/en-us/blog/falcon-enhances-fileless-attack-detection-with-accelerated-memory-scanning/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Intel® Threat Detection Technology (Intel® TDT)
تفاوت بین زمانی که بنز ، کیا و پراید سوار شدی!!
https://www.crowdstrike.com/en-us/blog/falcon-enhances-fileless-attack-detection-with-accelerated-memory-scanning/
Please open Telegram to view this post
VIEW IN TELEGRAM
CrowdStrike.com
Enhancing Fileless Attack Detection with Memory Scanning | CrowdStrike
Memory scanning provides another layer of visibility and protection for CrowdStrike's Falcon sensor. Read how this can help detect fileless attacks here.
❤3👍2🔥1👏1🎉1
هاردنینگ اکتیو دایرکتوری
https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-hardening-series---part-1-%E2%80%93-disabling-ntlmv1/3934787
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-hardening-series---part-1-%E2%80%93-disabling-ntlmv1/3934787
Please open Telegram to view this post
VIEW IN TELEGRAM
TECHCOMMUNITY.MICROSOFT.COM
Active Directory Hardening Series - Part 1 – Disabling NTLMv1 | Microsoft Community Hub
In this series my goal is to help you understand how to move forward with confidence by better understanding the changes along with how to perform proper due...
❤4👍1🔥1🎉1🕊1
خبری شوکه آور
الگوریتم هایی که در استرالیا برای بعد از ۲۰۳۰ تاییدیه ندارند
متن کامل را با کپی کردن لینک زیر در readmedium.com رایگان بخوانید
https://billatnapier.medium.com/shock-news-sha-256-ecdsa-and-rsa-not-approved-in-australia-by-2030-3d1c286cad58
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
الگوریتم هایی که در استرالیا برای بعد از ۲۰۳۰ تاییدیه ندارند
متن کامل را با کپی کردن لینک زیر در readmedium.com رایگان بخوانید
https://billatnapier.medium.com/shock-news-sha-256-ecdsa-and-rsa-not-approved-in-australia-by-2030-3d1c286cad58
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Shock News: SHA-256, ECDSA and RSA Not Approved in Australia By 2030
I am a bit shocked … SHA-256 will not be approved for use in Australia by 2030. From what I know at the current time, AES-256 and SHA-256…
❤3👍1🔥1😱1🕊1👨💻1
نصب و راه اندازی OpenCTI
OpenCTI (Open Cyber Threat Intelligence)
https://readmedium.com/install-opencti-0c4bd5094ea5
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
OpenCTI (Open Cyber Threat Intelligence)
https://readmedium.com/install-opencti-0c4bd5094ea5
Please open Telegram to view this post
VIEW IN TELEGRAM
Readmedium
Install OpenCTI
OpenCTI (Open Cyber Threat Intelligence) is an open-source platform designed to collect, store, and utilize cyber threat data. It helps…
❤3👍1🔥1🤯1😱1👨💻1
و اما ابزار امروز
لینوکس را امن کنید
https://cisofy.com/lynis/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
لینوکس را امن کنید
https://cisofy.com/lynis/
Please open Telegram to view this post
VIEW IN TELEGRAM
Cisofy
Lynis - Security auditing and hardening tool for Linux/Unix
Lynis is an open source security auditing tool. Part of Lynis Enterprise Suite, its main goal is to audit and harden Unix and Linux based systems.
❤3👍1🔥1🤯1😱1🕊1
یکی از دوره های رایگان که داره خوب بحث تحلیل حافظه رو باز میکنه
امید که خوب ادامه پیدا کنه
ارائه توسط جناب امینی
https://www.aparat.com/v/j911qzw/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
امید که خوب ادامه پیدا کنه
ارائه توسط جناب امینی
https://www.aparat.com/v/j911qzw/
Please open Telegram to view this post
VIEW IN TELEGRAM
آپارات - سرویس اشتراک ویدیو
20-Basic Memory Forensic:Check Processes Name
بررسی و صحت سنجی نام پروسس های ویندوز
❤3👍1🔥1🤯1😱1🕊1
تحلیل حرکت عرضی
یک مقاله ی خوش نوشت
https://medium.com/@cyberengage.org/lateral-movement-analysis-using-chainsaw-hayabusa-and-logparser-for-cybersecurity-investigations-b927843bd8d4
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
یک مقاله ی خوش نوشت
https://medium.com/@cyberengage.org/lateral-movement-analysis-using-chainsaw-hayabusa-and-logparser-for-cybersecurity-investigations-b927843bd8d4
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Lateral Movement Analysis: Using Chainsaw, Hayabusa, and LogParser for Cybersecurity Investigations
A few days ago, I received a request through my website from someone working on an incident response case. He mentioned a situation…
❤3👍1🔥1👏1🎉1🗿1
آدرس های پشت کلادفلر که هستند؟
ابزار reconnaissance
https://github.com/musana/CF-Hero
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
ابزار reconnaissance
https://github.com/musana/CF-Hero
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - musana/CF-Hero: CF-Hero is a reconnaissance tool that uses multiple data sources to discover the origin IP addresses of…
CF-Hero is a reconnaissance tool that uses multiple data sources to discover the origin IP addresses of Cloudflare-protected web applications - musana/CF-Hero
❤3🔥3👍1👏1🤩1🗿1
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥3👍1👏1🤩1
1736652734844.pdf
238 KB
شبیهسازی مصاحبه برای موقعیت تحلیلگر امنیت سایبری (L1، L2، L3) از پسزمینههای مختلف تکمیل شده با نمونههای رزومه ATS
#INTERVIEW #CYBERSECURITY #ANALYST #VARIOUS #SIMULATION #SOC
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥2👍1👏1🤩1🕊1
جامپ لیست ها چرا مهم هستند ؟
فارنزیک برای آنها چگونه است ؟
https://www.cybertriage.com/blog/jump-list-forensics-2025
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
فارنزیک برای آنها چگونه است ؟
https://www.cybertriage.com/blog/jump-list-forensics-2025
Please open Telegram to view this post
VIEW IN TELEGRAM
Cyber Triage
Jump Lists Forensics 2025
How to explain jump lists forensics to an old-school detective: Jump lists are fingerprints. They connect people to places and things. Jump lists
❤2👍2🔥1👏1🕊1👨💻1
فکر کنم وقت این رسیده این ابزارها رو با من تست کنید
https://github.com/MHaggis/PowerShell-Hunter
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://github.com/MHaggis/PowerShell-Hunter
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - MHaggis/PowerShell-Hunter: PowerShell tools to help defenders hunt smarter, hunt harder.
PowerShell tools to help defenders hunt smarter, hunt harder. - MHaggis/PowerShell-Hunter
❤3👨💻2🔥1🤯1🕊1
10 ابزار کاربردی و هوش مصنوعی بسیار مفید و بی نهایت کاربردی برای دانشجویان دکتری و پژوهشگران
تاکید میکنم برخی از سایت های زیر با تغییر ای پی ایران قابل دسترسی است.
𝟏 𝐒𝐜𝐡𝐨𝐥𝐚𝐫𝐜𝐲
اطلاعات کلیدی را از یک مقاله تحقیقاتی استخراج و خلاصه می کند.
لینک: https://www.scholarcy.com/
𝟐. 𝐎𝐭𝐭𝐞𝐫
شما فقط می توانید صحبت کنید و ایده تحقیق خود را ثبت کنید. Otter آن را برای شما ذخیره و رونویسی می
کند.
Otter صدا را ضبط می کند و به طور خودکار در زمان واقعی یادداشت می کند تا بتوانید روی بحث تمرکز کنید. هر زمان که خواستید، یادداشت ها را برای مرجع برجسته کنید. در جلسات مجازی، Otter به طور خودکار اسلایدهای سخنرانی را می گیرد و آنها را به یادداشت ها اضافه می کند و به دانشجویان کمک می کند تا جزئیات را با زمینه کامل به خاطر بیاورند.
لینک: https://otter.ai/
𝟑. 𝐂𝐡𝐚𝐭𝟐𝐒𝐭𝐚𝐭𝐬
داده های خود را در قالب csv آپلود کنید، به chatgpt دستور تجزیه و تحلیل و تجسم را بدهید.
لینک: https://2stats.chat/
𝟒. 𝐅𝐨𝐫𝐦𝐮𝐥𝐚 𝐁𝐨𝐭
شما می توانید تولید فرمول و تجزیه و تحلیل داده ها را در MS Excel با Formula Bot به صورت خودکار انجام دهید.
لینک: https://formulabot.com/
𝟓. 𝐆𝐚𝐦𝐦𝐚
می توانید از آن برای ارائه تحقیقات استفاده کنید.
لینک: https://gamma.app/
𝟔 𝐓𝐞𝐱𝐭 𝐁𝐥𝐚𝐳𝐞
در نوشتن، حذف کارهای تکراری و اشتباهات به شما کمک می کند.
لینک: https://blaze.today/?ref=U5J9HFNL
𝟕. 𝐌𝐢𝐫𝐨
Miro به شما در طوفان فکری، سازماندهی ایده های تحقیقاتی و ایجاد ارائه های تعاملی کمک می کند.
لینک: https://miro.com/
🖌 𝐃𝐞𝐜𝐤𝐭𝐨𝐩𝐮𝐬
این الگوها، عناصر بصری و گزینههای سفارشیسازی را ارائه میدهد تا به محققان کمک کند تا ارائههای تاثیرگذار را بدون زحمت ایجاد کنند.
𝟗. 𝐍𝐮𝐦𝐞𝐫𝐨𝐮𝐬 𝐀𝐈
می تواند به شما در نوشتن فرمول ها در اکسل و پاک کردن داده ها کمک کند.
لینک: https://numerous.ai/
𝟏𝟎. 𝐑𝐞𝐯𝐢𝐞𝐰-𝐢𝐭
این ابزاری است که مقاله شما را مانند یک انسان بررسی می کند و نقاط قوت و ضعف مقاله شما را به اشتراک می گذارد.
لینک: www.review-it.me
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
تاکید میکنم برخی از سایت های زیر با تغییر ای پی ایران قابل دسترسی است.
𝟏 𝐒𝐜𝐡𝐨𝐥𝐚𝐫𝐜𝐲
اطلاعات کلیدی را از یک مقاله تحقیقاتی استخراج و خلاصه می کند.
لینک: https://www.scholarcy.com/
𝟐. 𝐎𝐭𝐭𝐞𝐫
شما فقط می توانید صحبت کنید و ایده تحقیق خود را ثبت کنید. Otter آن را برای شما ذخیره و رونویسی می
کند.
Otter صدا را ضبط می کند و به طور خودکار در زمان واقعی یادداشت می کند تا بتوانید روی بحث تمرکز کنید. هر زمان که خواستید، یادداشت ها را برای مرجع برجسته کنید. در جلسات مجازی، Otter به طور خودکار اسلایدهای سخنرانی را می گیرد و آنها را به یادداشت ها اضافه می کند و به دانشجویان کمک می کند تا جزئیات را با زمینه کامل به خاطر بیاورند.
لینک: https://otter.ai/
𝟑. 𝐂𝐡𝐚𝐭𝟐𝐒𝐭𝐚𝐭𝐬
داده های خود را در قالب csv آپلود کنید، به chatgpt دستور تجزیه و تحلیل و تجسم را بدهید.
لینک: https://2stats.chat/
𝟒. 𝐅𝐨𝐫𝐦𝐮𝐥𝐚 𝐁𝐨𝐭
شما می توانید تولید فرمول و تجزیه و تحلیل داده ها را در MS Excel با Formula Bot به صورت خودکار انجام دهید.
لینک: https://formulabot.com/
𝟓. 𝐆𝐚𝐦𝐦𝐚
می توانید از آن برای ارائه تحقیقات استفاده کنید.
لینک: https://gamma.app/
𝟔 𝐓𝐞𝐱𝐭 𝐁𝐥𝐚𝐳𝐞
در نوشتن، حذف کارهای تکراری و اشتباهات به شما کمک می کند.
لینک: https://blaze.today/?ref=U5J9HFNL
𝟕. 𝐌𝐢𝐫𝐨
Miro به شما در طوفان فکری، سازماندهی ایده های تحقیقاتی و ایجاد ارائه های تعاملی کمک می کند.
لینک: https://miro.com/
🖌 𝐃𝐞𝐜𝐤𝐭𝐨𝐩𝐮𝐬
این الگوها، عناصر بصری و گزینههای سفارشیسازی را ارائه میدهد تا به محققان کمک کند تا ارائههای تاثیرگذار را بدون زحمت ایجاد کنند.
𝟗. 𝐍𝐮𝐦𝐞𝐫𝐨𝐮𝐬 𝐀𝐈
می تواند به شما در نوشتن فرمول ها در اکسل و پاک کردن داده ها کمک کند.
لینک: https://numerous.ai/
𝟏𝟎. 𝐑𝐞𝐯𝐢𝐞𝐰-𝐢𝐭
این ابزاری است که مقاله شما را مانند یک انسان بررسی می کند و نقاط قوت و ضعف مقاله شما را به اشتراک می گذارد.
لینک: www.review-it.me
Please open Telegram to view this post
VIEW IN TELEGRAM
Scholarcy
Scholarcy - Knowledge made simple
Summarize anything, understand complex research, and organise your knowledge with Scholarcy.
❤3👍1🔥1🎉1🤩1🕊1👨💻1🗿1
❓چرا تحلیل استاتیک بد افزار ممکن است موفقیت آمیز نباشد ؟
برای توضیح یک مثال واقعی و متداول در دنیای تحلیل بدافزارها را بررسی میکنیم که نشان میدهد چرا تحلیل استاتیک ممکن است در تشخیص یک بدافزار ناکام باشد و چگونه تحلیل دینامیک میتواند موفقیتآمیز باشد.
مثال: بدافزار با تکنیکهای مبهمسازی و ضد تحلیل
یک بدافزار خاص، فرضاً یک تروجان بانکی به نام BankStealer، به شکلی طراحی شده که تحلیل استاتیک آن را گمراه کند.
❇️تحلیل استاتیک:
در تحلیل استاتیک، کد بدافزار بدون اجرای آن بررسی میشود (مانند بررسی فایلهای اجرایی با ابزارهایی مثل IDA Pro یا Ghidra).
ویژگیهای بدافزار:
🔶مبهمسازی کد (Obfuscation):
کد بدافزار با استفاده از ابزارهای مبهمسازی رمزگذاری شده یا تغییر یافته است. بنابراین، در ابزارهای تحلیل، تنها یکسری کدهای غیرقابلخوانش و توابع بیمعنی مشاهده میشود.
به عنوان مثال، توابع مهمی که اطلاعات بانکی را سرقت میکنند در فایل اجرایی رمزگذاری شدهاند و تنها هنگام اجرا در حافظه رمزگشایی میشوند.
🔶 استفاده از تکنیکهای ضد تحلیل:
بدافزار ممکن است از بستهبندی (Packing) یا رمزگذاری لایههای مختلف استفاده کند. این باعث میشود که حتی دیکامپایلرها (Decompiler) نتوانند کد واقعی را استخراج کنند.
بخشهای مهم بدافزار ممکن است به صورت پویا (Dynamic) تولید شوند و در فایل اجرایی اصلی وجود نداشته باشند.
🟢نتیجه تحلیل استاتیک:
تحلیلگر نمیتواند عملکرد دقیق بدافزار را بدون اجرا شناسایی کند، زیرا بخشهای کلیدی یا رمزگذاری شدهاند یا مخفی هستند.
❇️تحلیل دینامیک:
در تحلیل دینامیک، بدافزار در محیط ایزوله (مانند ماشین مجازی یا سندباکس) اجرا میشود و رفتار آن در زمان اجرا بررسی میگردد.
ویژگیهای کشف در تحلیل دینامیک:
🔷 رمزگشایی کد در زمان اجرا:
هنگام اجرای بدافزار، بخشهای رمزگذاریشده در حافظه رمزگشایی میشوند و کد واقعی بدافزار آشکار میشود.
ابزارهایی مثل Process Hacker یا x64dbg میتوانند حافظه را بررسی کرده و کد واقعی را استخراج کنند.
🔷 شناسایی رفتار بدافزار:
بدافزار هنگام اجرا به سرور فرماندهی (C2 Server) متصل میشود. این رفتار مشکوک توسط ابزارهایی مثل Wireshark یا Fiddler شناسایی میشود.
بدافزار تلاش میکند اطلاعات بانکی را از مرورگرها استخراج کرده و به سرور ارسال کند. ابزارهایی مثل ProcMon این رفتار را نشان میدهند.
🔷 کشف تکنیکهای پنهانکاری:
تکنیکهایی مانند تزریق کد به فرآیندهای دیگر (Code Injection) هنگام اجرا کشف میشوند. برای مثال، تزریق به مرورگر قربانی جهت سرقت اطلاعات ورود.
🟢نتیجه تحلیل دینامیک:
با اجرای بدافزار و نظارت بر رفتار آن، تحلیلگر به اطلاعات واضحی از اهداف بدافزار، مکانهای ارتباطی، و اطلاعات سرقتشده دست پیدا میکند.
🏮دلایل ناکامی تحلیل استاتیک:
رمزگذاری و مبهمسازی کد که کد واقعی را از دید تحلیلگر مخفی میکند.
استفاده از تکنیکهای ضد تحلیل مانند بستهبندی، فشردهسازی، و تولید پویا.
وابستگی عملکرد بدافزار به شرایط اجرای خاص (مانند بارگذاری در حافظه).
💠ابزارها و تکنیکها:
تحلیل استاتیک: IDA Pro، Ghidra، PEiD
تحلیل دینامیک: Cuckoo Sandbox، Wireshark، ProcMon، Process Hacker، x64dbg
🌀این مثال نشان میدهد که چرا تحلیل دینامیک برای شناسایی بدافزارهای پیشرفته ضروری است و چگونه تکنیکهای ضد تحلیل، تحلیل استاتیک را ناکارآمد میکنند.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
برای توضیح یک مثال واقعی و متداول در دنیای تحلیل بدافزارها را بررسی میکنیم که نشان میدهد چرا تحلیل استاتیک ممکن است در تشخیص یک بدافزار ناکام باشد و چگونه تحلیل دینامیک میتواند موفقیتآمیز باشد.
مثال: بدافزار با تکنیکهای مبهمسازی و ضد تحلیل
یک بدافزار خاص، فرضاً یک تروجان بانکی به نام BankStealer، به شکلی طراحی شده که تحلیل استاتیک آن را گمراه کند.
❇️تحلیل استاتیک:
در تحلیل استاتیک، کد بدافزار بدون اجرای آن بررسی میشود (مانند بررسی فایلهای اجرایی با ابزارهایی مثل IDA Pro یا Ghidra).
ویژگیهای بدافزار:
🔶مبهمسازی کد (Obfuscation):
کد بدافزار با استفاده از ابزارهای مبهمسازی رمزگذاری شده یا تغییر یافته است. بنابراین، در ابزارهای تحلیل، تنها یکسری کدهای غیرقابلخوانش و توابع بیمعنی مشاهده میشود.
به عنوان مثال، توابع مهمی که اطلاعات بانکی را سرقت میکنند در فایل اجرایی رمزگذاری شدهاند و تنها هنگام اجرا در حافظه رمزگشایی میشوند.
🔶 استفاده از تکنیکهای ضد تحلیل:
بدافزار ممکن است از بستهبندی (Packing) یا رمزگذاری لایههای مختلف استفاده کند. این باعث میشود که حتی دیکامپایلرها (Decompiler) نتوانند کد واقعی را استخراج کنند.
بخشهای مهم بدافزار ممکن است به صورت پویا (Dynamic) تولید شوند و در فایل اجرایی اصلی وجود نداشته باشند.
🟢نتیجه تحلیل استاتیک:
تحلیلگر نمیتواند عملکرد دقیق بدافزار را بدون اجرا شناسایی کند، زیرا بخشهای کلیدی یا رمزگذاری شدهاند یا مخفی هستند.
❇️تحلیل دینامیک:
در تحلیل دینامیک، بدافزار در محیط ایزوله (مانند ماشین مجازی یا سندباکس) اجرا میشود و رفتار آن در زمان اجرا بررسی میگردد.
ویژگیهای کشف در تحلیل دینامیک:
🔷 رمزگشایی کد در زمان اجرا:
هنگام اجرای بدافزار، بخشهای رمزگذاریشده در حافظه رمزگشایی میشوند و کد واقعی بدافزار آشکار میشود.
ابزارهایی مثل Process Hacker یا x64dbg میتوانند حافظه را بررسی کرده و کد واقعی را استخراج کنند.
🔷 شناسایی رفتار بدافزار:
بدافزار هنگام اجرا به سرور فرماندهی (C2 Server) متصل میشود. این رفتار مشکوک توسط ابزارهایی مثل Wireshark یا Fiddler شناسایی میشود.
بدافزار تلاش میکند اطلاعات بانکی را از مرورگرها استخراج کرده و به سرور ارسال کند. ابزارهایی مثل ProcMon این رفتار را نشان میدهند.
🔷 کشف تکنیکهای پنهانکاری:
تکنیکهایی مانند تزریق کد به فرآیندهای دیگر (Code Injection) هنگام اجرا کشف میشوند. برای مثال، تزریق به مرورگر قربانی جهت سرقت اطلاعات ورود.
🟢نتیجه تحلیل دینامیک:
با اجرای بدافزار و نظارت بر رفتار آن، تحلیلگر به اطلاعات واضحی از اهداف بدافزار، مکانهای ارتباطی، و اطلاعات سرقتشده دست پیدا میکند.
🏮دلایل ناکامی تحلیل استاتیک:
رمزگذاری و مبهمسازی کد که کد واقعی را از دید تحلیلگر مخفی میکند.
استفاده از تکنیکهای ضد تحلیل مانند بستهبندی، فشردهسازی، و تولید پویا.
وابستگی عملکرد بدافزار به شرایط اجرای خاص (مانند بارگذاری در حافظه).
💠ابزارها و تکنیکها:
تحلیل استاتیک: IDA Pro، Ghidra، PEiD
تحلیل دینامیک: Cuckoo Sandbox، Wireshark، ProcMon، Process Hacker، x64dbg
🌀این مثال نشان میدهد که چرا تحلیل دینامیک برای شناسایی بدافزارهای پیشرفته ضروری است و چگونه تکنیکهای ضد تحلیل، تحلیل استاتیک را ناکارآمد میکنند.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1👍1👏1🤩1🕊1👨💻1🗿1
شناسایی حملات و نفوذ از طریق بررسی فرآیندهای والد و فرزند
یکی از روشهای مهم در تحلیل نفوذ ، بررسی ارتباط بین فرآیندهای والد و فرزند است. این روش به ما کمک میکند تا بفهمیم چگونه یک بدافزار اجرا شده و از چه روشهایی برای نفوذ به سیستم استفاده کرده است.
فرآیند ( پراسس) والد چیست؟
فرآیند والد، فرآیندی است که یک فرآیند جدید (فرزند) را اجرا میکند. برای مثال، اگر یک برنامهی مخرب توسط Explorer.exe اجرا شود، این بدان معناست که احتمالاً از طریق یک فایل میانبر مخرب (.lnk) اجرا شده است. شناسایی فرآیند والد میتواند به تحلیلگر کمک کند تا روش نفوذ بدافزار را تشخیص دهد.
🔶نقش تجربه و ابزارها
تشخیص این موارد نیازمند تجربه و استفاده از ابزارهای مناسب است. ابزارهایی مانند Process Explorer از Sysinternals و یا EDR مانند ترند میکرو و سیمنتک ، به تحلیلگران کمک میکنند تا ارتباط بین فرآیندها را به سرعت مشاهده کنند.
🔷مثالهایی از پراسس های والد
Explorer.exe
اجرای بدافزار از طریق فایلهای میانبر
RunOnce.exe
اجرای بدافزار با استفاده از کلیدهای رجیستری
cmd.exe
اجرای اسکریپتها یا فایلهای batch مخرب
svchost.exe
استفاده از سرویسهای ویندوز برای مخفی کردن اجرای بدافزار.
🏮۶ مورد از تاریخچه حملات واقعی قابل کشف با این روش:
〽️-حمله Stuxnet
تکنیک: استفاده از فرآیند Explorer.exe برای اجرای فایلهای میانبر آلوده از طریق USB.
روش شناسایی: شناسایی فرآیند والد Explorer.exe که فایلهای .lnk مخرب را اجرا میکرد.
〽️ -حمله WannaCry
تکنیک: استفاده از svchost.exe برای گسترش بدافزار در شبکه.
روش شناسایی: بررسی فرآیندهای svchost.exe که ارتباطات غیرعادی برقرار میکردند.
〽️ -حمله Emotet
تکنیک: استفاده از winword.exe برای اجرای ماکروهای مخرب در فایلهای Word.
روش شناسایی: ارتباط بین winword.exe و PowerShell که کد مخرب را اجرا میکرد.
〽️-حمله گروه APT29 (Cozy Bear)
تکنیک: استفاده از mshta.exe برای اجرای کد مخرب از طریق فایلهای HTML.
روش شناسایی: مشاهده ارتباط بین mshta.exe و فرآیندهای دیگر مانند cmd.exe.
〽️-حمله TrickBot
تکنیک: استفاده از powershell.exe برای دانلود و اجرای payload.
روش شناسایی: بررسی فرآیند powershell.exe که از فرآیند والد مخربی ایجاد شده بود.
〽️ -حمله Dridex
تکنیک: اجرای بدافزار از طریق explorer.exe با استفاده از پیوستهای ایمیل آلوده.
روش شناسایی: تحلیل فرآیندهای مرتبط با فایلهای اجراشده از طریق Explorer.exe.
بررسی ارتباط فرآیندهای والد و فرزند یکی از موثرترین روشها در تحلیل و شناسایی بدافزارها است. با استفاده از ابزارهای مناسب و دانش کافی، میتوان الگوهای رفتاری بدافزارها را شناسایی و از نفوذ آنها جلوگیری کرد.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
یکی از روشهای مهم در تحلیل نفوذ ، بررسی ارتباط بین فرآیندهای والد و فرزند است. این روش به ما کمک میکند تا بفهمیم چگونه یک بدافزار اجرا شده و از چه روشهایی برای نفوذ به سیستم استفاده کرده است.
فرآیند ( پراسس) والد چیست؟
فرآیند والد، فرآیندی است که یک فرآیند جدید (فرزند) را اجرا میکند. برای مثال، اگر یک برنامهی مخرب توسط Explorer.exe اجرا شود، این بدان معناست که احتمالاً از طریق یک فایل میانبر مخرب (.lnk) اجرا شده است. شناسایی فرآیند والد میتواند به تحلیلگر کمک کند تا روش نفوذ بدافزار را تشخیص دهد.
🔶نقش تجربه و ابزارها
تشخیص این موارد نیازمند تجربه و استفاده از ابزارهای مناسب است. ابزارهایی مانند Process Explorer از Sysinternals و یا EDR مانند ترند میکرو و سیمنتک ، به تحلیلگران کمک میکنند تا ارتباط بین فرآیندها را به سرعت مشاهده کنند.
🔷مثالهایی از پراسس های والد
Explorer.exe
اجرای بدافزار از طریق فایلهای میانبر
RunOnce.exe
اجرای بدافزار با استفاده از کلیدهای رجیستری
cmd.exe
اجرای اسکریپتها یا فایلهای batch مخرب
svchost.exe
استفاده از سرویسهای ویندوز برای مخفی کردن اجرای بدافزار.
🏮۶ مورد از تاریخچه حملات واقعی قابل کشف با این روش:
〽️-حمله Stuxnet
تکنیک: استفاده از فرآیند Explorer.exe برای اجرای فایلهای میانبر آلوده از طریق USB.
روش شناسایی: شناسایی فرآیند والد Explorer.exe که فایلهای .lnk مخرب را اجرا میکرد.
〽️ -حمله WannaCry
تکنیک: استفاده از svchost.exe برای گسترش بدافزار در شبکه.
روش شناسایی: بررسی فرآیندهای svchost.exe که ارتباطات غیرعادی برقرار میکردند.
〽️ -حمله Emotet
تکنیک: استفاده از winword.exe برای اجرای ماکروهای مخرب در فایلهای Word.
روش شناسایی: ارتباط بین winword.exe و PowerShell که کد مخرب را اجرا میکرد.
〽️-حمله گروه APT29 (Cozy Bear)
تکنیک: استفاده از mshta.exe برای اجرای کد مخرب از طریق فایلهای HTML.
روش شناسایی: مشاهده ارتباط بین mshta.exe و فرآیندهای دیگر مانند cmd.exe.
〽️-حمله TrickBot
تکنیک: استفاده از powershell.exe برای دانلود و اجرای payload.
روش شناسایی: بررسی فرآیند powershell.exe که از فرآیند والد مخربی ایجاد شده بود.
〽️ -حمله Dridex
تکنیک: اجرای بدافزار از طریق explorer.exe با استفاده از پیوستهای ایمیل آلوده.
روش شناسایی: تحلیل فرآیندهای مرتبط با فایلهای اجراشده از طریق Explorer.exe.
بررسی ارتباط فرآیندهای والد و فرزند یکی از موثرترین روشها در تحلیل و شناسایی بدافزارها است. با استفاده از ابزارهای مناسب و دانش کافی، میتوان الگوهای رفتاری بدافزارها را شناسایی و از نفوذ آنها جلوگیری کرد.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥2👍1🤩1🕊1👨💻1🗿1