🚨بررسی APIها و ابزارهای پرکاربرد در حملات Fileless و نحوه پایش آن‌ها در SOC

حملات Fileless بدافزارهایی هستند که بدون ایجاد فایل روی دیسک، کد مخرب را مستقیماً در حافظه اجرا می‌کنند. این نوع حملات معمولاً از PowerShell، WMI، اسکریپت‌های ماکرو، و فرآیندهای معتبر ویندوز سوءاستفاده می‌کنند.

در اینجا لیستی از APIها و ابزارهای مهم مورد استفاده در این حملات همراه با روش‌های پایش آنها در SOC ارائه شده است.
این APIها و ابزارهای کلیدی در حملات Fileless
1️⃣ اجرای کد در حافظه

🔹 VirtualAlloc / VirtualAllocEx / VirtualProtect / VirtualProtectEx
🔹 NtAllocateVirtualMemory / NtProtectVirtualMemory
🔹 WriteProcessMemory / ReadProcessMemory
🔹 RtlMoveMemory / memcpy
🔹 CreateRemoteThread / NtCreateThreadEx / QueueUserAPC

چطور پایش کنیم؟
🔍 در ETW (Event Tracing for Windows) و Sysmon می‌توان Event ID 10 (Process Access) و Event ID 8 (Process Injection) را بررسی کرد.
🔍 به تغییر مجوزهای حافظه از RW به RX مشکوک باشید.
🔍 نظارت بر VirtualAlloc همراه با CreateThread در یک فرآیند خاص (مثل explorer.exe).
2️⃣ اجرای کد از طریق پردازش‌های دیگر (Process Injection)

CreateRemoteThread → تزریق و اجرای کد در فرآیند دیگر
🔹 NtCreateThreadEx → روش مخفی‌تر برای ایجاد ترد
🔹 QueueUserAPC → اجرای کد هنگام اجرای ترد هدف
🔹 SetThreadContext / GetThreadContext → تغییر جریان اجرای یک ترد

✅ چطور پایش کنیم؟
🔍 Sysmon Event ID 8
را برای Process Injection بررسی کنید.
🔍 هرگونه اجرای غیرعادی CreateRemoteThread را در پراسس هایی مثل lsass.exe یا explorer.exe بررسی کنید.
🔍 محصولان EDRهایی مانند سیمنتک و CrowdStrike، Microsoft Defender for Endpoint، SentinelOne قابلیت تشخیص Injection را دارند.
3️⃣ سوءاستفاده از PowerShell و WMI

🔹استفاده از powershell.exe -EncodedCommand → اجرای اسکریپت رمزگذاری‌شده
🔹و wmic process call create → اجرای فرآیند با WMI
🔹و Invoke-Expression (IEX) → دانلود و اجرای کد مخرب
🔹و mshta.exe → اجرای کد مخرب HTML از راه دور

✅ چطور پایش کنیم؟
🔍 Sysmon Event ID 1
(Process Creation) را برای powershell.exe بررسی کنید.
🔍 PowerShell Logging
را فعال کنید (Script Block Logging و Module Logging).
🔍 درخواست‌های WMI را در Event ID 5861 و Event ID 5857 نظارت کنید.
🔍 Microsoft Defender ASR (Attack Surface Reduction)
را برای بلاک کردن WMIC و mshta.exe فعال کنید.
4️⃣ جایگزینی و هالویینگ پراسس(Process Hollowing)

🔹 NtUnmapViewOfSection → حذف کد اصلی یک فرآیند
🔹 ZwWriteVirtualMemory / WriteProcessMemory → تزریق کد جدید
🔹 NtResumeThread → اجرای کد جدید

✅ چطور پایش کنیم؟
🔍 Sysmon Event ID 10
را برای دسترسی غیرعادی به حافظه فرآیندها بررسی کنید.
🔍 تغییر مسیر اجرای فرآیند در Event ID 25 (Process Tampering) را بررسی کنید.
🔍 بررسی کنید که آیا فرآیندها مانند svchost.exe یا explorer.exe به ناگهان کد جدیدی دریافت کرده‌اند.
5️⃣ اجرای کد بدون ایجاد فایل (LOLbins)

🔹 rundll32.exe → اجرای DLLهای مخرب
🔹 regsvr32.exe /s /u /i:url → دانلود و اجرای DLL از اینترنت
🔹 msiexec.exe /q /i <url> → دانلود و اجرای بدافزار
🔹 certutil.exe -urlcache -split -f <url> → دانلود بدافزار
🔹 bitsadmin /transfer <url> → دانلود و اجرای مخفیانه بدافزار

✅ چطور پایش کنیم؟
🔍 اجرای این ابزارها با آرگومان‌های غیرعادی را در Sysmon Event ID 1 بررسی کنید.
🔍 از Application Control Policies (AppLocker) برای محدود کردن این ابزارها استفاده کنید.
🔍این Attack Surface Reduction (ASR) را در Microsoft Defender فعال کنید.
🎯 استراتژی کلی پایش حملات Fileless در SOC
✅ 1. فعال کردن Sysmon و ETW

اینSysmon Event IDs مهم:
ID 1 (Process Creation) → اجرای پردازش‌های مشکوک
ID 3 (Network Connection) → ارتباطات غیرعادی
ID 8 (Process Injection) → تزریق کد به فرآیندها
ID 10 (Process Access) → تغییرات در حافظه
ID 25 (Process Tampering) → تغییرات در فرآیندهای در حال اجرا

✅ 2. فعال کردن Windows Defender و EDR

Microsoft Defender ASR Rules:
بلاک کردن اجرای PSExec و WMI
جلوگیری از اجرای اسکریپت‌های رمزگذاری‌شده در PowerShell
محدود کردن mshta.exe و regsvr32.exe

✅ 3. استفاده از Threat Hunting در Splunk و SIEM

پایش VirtualAlloc همراه با CreateThread در یک فرآیند
جستجوی powershell.exe -EncodedCommand در لاگ‌ها
بررسی ارتباطات غیرعادی با Sysmon Event ID 3
یافتن جابجایی فرآیندها (NtUnmapViewOfSection)

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

حملات Fileless به‌دلیل عدم ایجاد فایل روی دیسک، توسط آنتی‌ویروس‌های سنتی به‌راحتی قابل شناسایی نیستند. اما با ترکیب Sysmon، EDR، و Threat Hunting در SIEM می‌توان این نوع حملات را شناسایی کرد


🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

نکته جالب امشب

https://blog.devolutions.net/2025/03/using-rdp-without-leaving-traces-the-mstsc-public-mode/

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

در زمان لاگین کاربر در لینوکس دقیقا چه اتفاقی می‌افتد؟
درسی برای مدیریت حوادث لینوکس


تصویر از درس سنز ۵۷۷ Linux DFIR

https://for577.com/bashlogin

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

خیلی پک شده و جمع و جور میخوای رجستری ویندوز در راستای فارنزیک رو درک کنی و چالش هاش رو بدونی لینک زیر رو بهت معرفی میکنم

https://belkasoft.com/windows-registry-forensics-structure-and-aquisition

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

نکته فنی

تحلیل اجرای کد در محیط‌های سراب (Phantom Execution)

مفهوم:

برخی از بدافزارهای پیشرفته برای جلوگیری از تحلیل، از تکنیکی به نام "Phantom Execution" استفاده می‌کنند. در این روش، بدافزار کدی را اجرا می‌کند که در واقع وجود خارجی ندارد!

چگونه؟

بدافزار ابتدا یک فضای حافظه تخصیص می‌دهد، اما قبل از اینکه کد واقعی در آن قرار بگیرد، CPU را مجبور می‌کند تا آن را اجرا کند.
این کار معمولاً با دستکاری مستقیم Instruction Pointer (EIP/RIP) یا Branch Prediction انجام می‌شود.
برخی پردازنده‌ها، مخصوصاً آن‌هایی که مکانیزم Speculative Execution دارند، ممکن است دستورالعمل‌های بارگذاری‌نشده را موقتاً پردازش کنند، که امکان اجرای کدی را فراهم می‌آورد که عملاً در حافظه وجود ندارد.

چطور مهندسی معکوسش کنیم؟

از Intel Pin یا DynamoRIO برای بررسی رفتارهای غیرعادی اجرای کد استفاده کنید.
ابزارهایی مانند Bochs یا Unicorn Engine می‌توانند پردازش قبل از اجرای واقعی را شبیه‌سازی کنند.
از Branch Tracing در CPUهای مدرن (مثلاً با استفاده از Intel PT) برای کشف شاخه‌های غیرمنتظره کمک بگیرید.

چرا این تکنیک خطرناک است؟

آنتی‌ویروس‌ها و دیباگرهای کلاسیک نمی‌توانند چیزی را که در حافظه بارگذاری نشده تحلیل کنند!
این تکنیک می‌تواند برای اجرای شل‌کدهای مخفی و دور زدن مکانیزم‌های امنیتی استفاده شود

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#استخدام #کارشناس_تست_نفوذ
تیم امنیت ابرآمد، از متخصصان حوزه تست نفوذ و امن‌سازی Web Application از شما دعوت به همکاری می‌کند 🛸

مهارت‌های تخصصی مورد نیاز:
👾 آشنایی با متدلوژی OWASP (ASVS & WSTG)
👾 تسلط بر حملات Server-side & Client-side
👾 تسلط بر تجزیه‌ و تحلیل آسیب‌پذیری‌ها و توانایی اجرا و تغییر اکسپلویت‌ها
👾 تسلط بر کار با ابزارهای تست نفوذ (Burp suite ,nuclei, …)
👾 تسلط بر گزارش‌نویسی و ارائه راهکارهای برطرف‌سازی آسیب‌پذیری
👾 آشنایی با وب‌ اپلیکیشن فایروال‌های متداول و تسلط بر تکنیک‌های ارزیابی و دور زدن آنها
👾 داشتن مهارت کار تیمی

مهارت‌هایی که برخورداری از آنها مزیت محسوب می‌شود:
⭐️ علاقه‌مند به اجرای فرآیند‌های Red Teaming (آشنا با فریمورک MITRE ATT&CK)
⭐️ سابقه فعالیت در پلتفرم‌های داخلی و خارجی باگ بانتی
⭐️ دارا بودن تفکر تحلیلی و علاقه‌مند به رویارویی با چالش‌های فنی تست نفوذ
⭐️ علاقه‌مند به R&D در حوزه حملات پیشرفته و تحلیل آسیب‌پذیری‌ها

نیازمندی‌های همکاری:
🔶 ۳ تا ۵ سال سابقه تست نفوذ وب
🔶 داشتن کارت پایان خدمت یا معافیت دائمی برای آقایان
🔶 امکان حضور در شرکت (تهران)

برای اطلاع از مزایای همکاری با ابرآمد و ارسال رزومه، از لینک زیر استفاده کنید:

🔗 https://www.abramad.com/jobs/

بخشی از داستان ما باشید 💙


#WebSecurity #PenetrationTesting #OWASP #BurpSuite #VulnerabilityAssessment #ExploitDevelopment #RedTeam #CyberSecurityJobs #BugBounty #AppSec #WAFBypass #SecurityExperts #InfosecCareers #EthicalHacking #SecurityHiring

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#فرصت_همکاری
درود به همگی 👋😃
یکی از دوستان از شرکت خدمات فناوری اطلاعات رفاه ایرانیان «فارا» دنبال جذب چند نیروی فنی هستن.
اگه تجربه داری و دنبال یه فرصت جدی برای همکاری هستی، شاید این همون موقعیته:

فرصت‌های همکاری:

✅کارشناس امنیت شبکه (مسلط به فایروال Fortinet)

✅ادمین لینوکس (Sysadmin)

✅کارشناس NOC

شرایط:

حداقل یک سال سابقه کار مرتبط

فارغ‌التحصیل رشته‌های نرم‌افزار یا IT


لطفا رزومه‌‌تون رو با عنوان شغلی موردنظر به آدرس زیر بفرستین:👇
k.mirzaei@sfara.ir

#استخدام #فرصت_شغلی #امنیت_شبکه #لینوکس

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer