Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - TwoSevenOneT/DefenderWrite: A tool that supports finding and abusing whitelisted programs to allow arbitrary file writing…
A tool that supports finding and abusing whitelisted programs to allow arbitrary file writing into the executable folder of Antivirus software - TwoSevenOneT/DefenderWrite
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
بدافزار GlassWorm تهاجم با کد نامرئی و C2 مبتنی بر بلاکچین به OpenVSX
تحلیلگران امنیتی از شناسایی یک worm خود-تکثیر (Self-Propagating) جدید به نام GlassWorm خبر دادهاند که به طور خاص افزونههای VS Code در مارکتپلیس OpenVSX را هدف قرار داده است. این حمله، که تنها یک ماه پس از شناسایی worm مشابهی به نام Shai Hulud در اکوسیستم npm رخ میدهد، نشاندهنده یک جهش قابل توجه در تکنیکهای حملات زنجیره تأمین است.
این GlassWorm صرفاً یک حمله زنجیره تأمین دیگر نیست؛ این بدافزار از مجموعهای از تکنیکهای بسیار پیشرفته استفاده میکند که آن را در رده حملات سطح APT قرار میدهد:
1۔ کد نامرئی (Invisible Code): استفاده از کاراکترهای یونیکد (Unicode) غیرقابل چاپ برای پنهانسازی کامل کد مخرب از دید بازبینهای انسانی و ابزارهای تحلیل استاتیک.
2۔ زیرساخت C2 مبتنی بر بلاکچین: استفاده از بلاکچین Solana به عنوان یک سرور C2 تغییرناپذیر و غیرقابل حذف (Immutable).
3۔ C2 پشتیبان: استفاده از Google Calendar به عنوان مکانیزم C2 ثانویه.
4۔ Payload نهایی: یک Remote Access Trojan (RAT) تمامعیار که ماشینهای توسعهدهندگان را به نودهای پراکسی (Proxy Node) در یک زیرساخت مجرمانه تبدیل میکند.
در حال حاضر (بر اساس گزارش اولیه)، این حمله فعال است. هفت افزونه در OpenVSX و یک افزونه در مارکتپلیس رسمی VSCode مایکروسافت آلوده شناسایی شدهاند که مجموعاً بیش از 35,800 بار دانلود شدهاند.
تکنیک پنهانسازی کد با یونیکد
مشخصه GlassWorm تکنیک پنهانسازی آن است. مهاجمان کد مخرب را نه با obfuscation یا minification، بلکه با استفاده از کاراکترهای انتخابگر تنوع یونیکد (Unicode variation selectors) در سورس کد جاوا اسکریپت افزونه تزریق کردهاند.
این کاراکترها، در حالی که بخشی از استاندارد یونیکد هستند، هیچ خروجی بصری در اکثر ویرایشگرهای کد (IDEها) مانند VS Code یا در ابزارهای بازبینی کد مانند
git diff ایجاد نمیکنند. در نتیجه، یک توسعهدهنده یا بازبین امنیتی، هنگام بررسی سورس کد، تنها چندین خط خالی یا فضای سفید مشاهده میکند، در حالی که مفسر جاوا اسکریپت این کاراکترها را به عنوان کد اجرایی معتبر شناسایی و اجرا میکند.این تکنیک به طور کامل فرآیندهای سنتی Code Review انسانی و ابزارهای SAST (Static Analysis Security Testing) را که برای شناسایی چنین کاراکترهایی طراحی نشدهاند، دور میزند.
زیرساخت C2 سهلایه و تخریبناپذیر
پیچیدگی GlassWorm در زیرساخت Command and Control آن به اوج میرسد:
لایه ۱: C2 اولیه مبتنی بر بلاکچین Solana
بدافزار پس از اجرا، یک آدرس کیف پول (Wallet Address) هاردکد شده در بلاکچین Solana را جستجو میکند. سپس، تراکنشهای مرتبط با این کیف پول را برای یافتن فیلد memo بررسی میکند.
مهاجمان URL دانلود payload مرحله بعد را در قالب یک آبجکت JSON (به صورت Base64-encoded) در فیلد memo یک تراکنش ثبت کردهاند.
چرا این تکنیک ویرانگر است؟
* تغییرناپذیری (Immutability): پس از ثبت تراکنش در بلاکچین، امکان حذف یا تغییر آن وجود ندارد. هیچ ارائهدهنده هاستینگ یا ثبتکننده دامنهای برای ارسال درخواست Takedown وجود ندارد.
* ناشناسی (Anonymity): کیف پولهای کریپتو، ناشناسی بالایی را فراهم میکنند.
* مقاومت در برابر سانسور: زیرساخت غیرمتمرکز است و نمیتوان آن را خاموش کرد.
* پویایی: مهاجم میتواند با ارسال یک تراکنش جدید (با هزینهای کمتر از یک سنت)، آدرس IP یا دامنه payload سرور خود را بهروزرسانی کند و تمام قربانیان به طور خودکار به آدرس جدید هدایت میشوند.
لایه ۲: C2 پشتیبان مبتنی بر Google Calendar
به عنوان یک مکانیزم پشتیبان هوشمندانه، بدافزار به یک رویداد Google Calendar عمومی دسترسی پیدا میکند. مهاجم URL دانلود payload (این بار با مسیر
get_zombi_payload/) را به صورت Base64 در عنوان (Title) این رویداد تقویم ذخیره کرده است.از آنجایی که ترافیک به دامنههای گوگل (calendar.app.google) کاملاً قانونی تلقی میشود، این ارتباط از دید اکثر ابزارهای امنیتی شبکه پنهان میماند.
لایه ۳: تحویل Payload
پیلود مرحله بعد (که از آدرس بهدستآمده از Solana یا Google Calendar دانلود میشود) با AES-256-CBC رمزنگاری شده است. نکته هوشمندانه اینجاست که کلید رمزگشایی (Decryption Key) در داخل payload نیست، بلکه در هدرهای سفارشی (Custom HTTP Headers) پاسخ سرور C2 ارسال میشود. این کار تحلیل خودکار ترافیک شبکه را دشوارتر میکند.
تحلیل Payload نهایی: ماژول "ZOMBI"
این Payload نهایی که "ZOMBI" نامگذاری شده است، یک RAT بسیار پیشرفته با قابلیتهای زیر است که ماشین توسعهدهنده را به یک "سرباز زامبی" در باتنت مهاجم تبدیل میکند:
Please open Telegram to view this post
VIEW IN TELEGRAM
Mr. SAM
1. سرقت گسترده اعتبارنامهها (Credential Harvesting):
* توکنهای احراز هویت NPM
* توکنهای GitHub و OpenVSX
* اعتبارنامههای Git
* هدف قرار دادن ۴۹ افزونه مختلف کیف پول رمزارز (از جمله MetaMask, Phantom, Coinbase Wallet و ...) برای تخلیه داراییها.
2. ایجاد SOCKS Proxy:
* خطرناکترین قابلیت این ماژول، تبدیل سیستم قربانی به یک SOCKS Proxy Server است.
* این به مهاجم اجازه میدهد تا ترافیک مجرمانه خود را از طریق ماشین قربانی (که اغلب در داخل یک شبکه سازمانی و پشت فایروالها قرار دارد) مسیریابی کند. این امکان Pivoting به درون شبکه داخلی سازمان، ناشناسسازی حملات و دور زدن کنترلهای امنیتی را فراهم میآورد.
3. کنترل P2P از طریق WebRTC:
* استفاده از ماژولهای WebRTC برای ایجاد کانالهای ارتباطی Peer-to-Peer مستقیم با قربانی. این تکنیک با استفاده از NAT Traversal**، فایروالهای سنتی را دور زده و امکان کنترل مستقیم و آنی را فراهم میکند.
4. **توزیع فرمان از طریق BitTorrent DHT:
* استفاده از Distributed Hash Table (DHT) شبکه BitTorrent برای توزیع دستورات. این یک مکانیزم C2 کاملاً غیرمتمرکز دیگر است که هیچ سرور مرکزی برای شناسایی و مسدودسازی ندارد.
5. دسترسی ریموت پنهان (HVNC):
* بدافزار یک سرور Hidden VNC راهاندازی میکند. برخلاف VNC استاندارد، HVNC در یک دسکتاپ مجازی پنهان اجرا میشود که در Task Manager یا روی صفحه نمایش قربانی قابل مشاهده نیست.
* مهاجم میتواند به طور کامل و نامرئی با دسکتاپ قربانی کار کند، به سشنهای لاگینشده (ایمیل، Slack، ابزارهای داخلی) دسترسی یابد، سورس کدها را بخواند و به سیستمهای دیگر در شبکه داخلی حمله کند.
مکانیزم انتشار (Worm)
بدافزار GlassWorm نام خود را به عنوان یک "کرم" از قابلیت خود-تکثیریاش گرفته است. این بدافزار از اعتبارنامههای سرقترفته (NPM, GitHub, OpenVSX) استفاده میکند تا به صورت خودکار به پکیجها و افزونههای دیگری که توسعهدهنده قربانی به آنها دسترسی دارد، نفوذ کند، کد نامرئی خود را تزریق کرده و نسخههای مخرب جدیدی منتشر کند.
این چرخه به صورت نمایی (Exponential) رشد میکند و هر قربانی جدید، خود به یک نقطه انتشار جدید تبدیل میشود.
### شاخصهای کلیدی نفوذ (IOCs)
افزونههای آلوده (OpenVSX و VSCode):
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
زیرساخت شبکه و بلاکچین:
* IP سرور C2 اولیه:
* IP سرور Exfiltration داده:
* آدرس کیف پول Solana (C2):
* تراکنش نمونه (C2):
* آدرس Google Calendar (C2):
* ایمیل سازماندهنده Calendar:
#### Payload URLs:
*
*
*
شاخصهای Persistence در رجیستری (ویندوز):
*
*
@NullError_ir
* توکنهای احراز هویت NPM
* توکنهای GitHub و OpenVSX
* اعتبارنامههای Git
* هدف قرار دادن ۴۹ افزونه مختلف کیف پول رمزارز (از جمله MetaMask, Phantom, Coinbase Wallet و ...) برای تخلیه داراییها.
2. ایجاد SOCKS Proxy:
* خطرناکترین قابلیت این ماژول، تبدیل سیستم قربانی به یک SOCKS Proxy Server است.
* این به مهاجم اجازه میدهد تا ترافیک مجرمانه خود را از طریق ماشین قربانی (که اغلب در داخل یک شبکه سازمانی و پشت فایروالها قرار دارد) مسیریابی کند. این امکان Pivoting به درون شبکه داخلی سازمان، ناشناسسازی حملات و دور زدن کنترلهای امنیتی را فراهم میآورد.
3. کنترل P2P از طریق WebRTC:
* استفاده از ماژولهای WebRTC برای ایجاد کانالهای ارتباطی Peer-to-Peer مستقیم با قربانی. این تکنیک با استفاده از NAT Traversal**، فایروالهای سنتی را دور زده و امکان کنترل مستقیم و آنی را فراهم میکند.
4. **توزیع فرمان از طریق BitTorrent DHT:
* استفاده از Distributed Hash Table (DHT) شبکه BitTorrent برای توزیع دستورات. این یک مکانیزم C2 کاملاً غیرمتمرکز دیگر است که هیچ سرور مرکزی برای شناسایی و مسدودسازی ندارد.
5. دسترسی ریموت پنهان (HVNC):
* بدافزار یک سرور Hidden VNC راهاندازی میکند. برخلاف VNC استاندارد، HVNC در یک دسکتاپ مجازی پنهان اجرا میشود که در Task Manager یا روی صفحه نمایش قربانی قابل مشاهده نیست.
* مهاجم میتواند به طور کامل و نامرئی با دسکتاپ قربانی کار کند، به سشنهای لاگینشده (ایمیل، Slack، ابزارهای داخلی) دسترسی یابد، سورس کدها را بخواند و به سیستمهای دیگر در شبکه داخلی حمله کند.
مکانیزم انتشار (Worm)
بدافزار GlassWorm نام خود را به عنوان یک "کرم" از قابلیت خود-تکثیریاش گرفته است. این بدافزار از اعتبارنامههای سرقترفته (NPM, GitHub, OpenVSX) استفاده میکند تا به صورت خودکار به پکیجها و افزونههای دیگری که توسعهدهنده قربانی به آنها دسترسی دارد، نفوذ کند، کد نامرئی خود را تزریق کرده و نسخههای مخرب جدیدی منتشر کند.
این چرخه به صورت نمایی (Exponential) رشد میکند و هر قربانی جدید، خود به یک نقطه انتشار جدید تبدیل میشود.
### شاخصهای کلیدی نفوذ (IOCs)
افزونههای آلوده (OpenVSX و VSCode):
*
codejoy.codejoy-vscode-extension@1.8.3*
codejoy.codejoy-vscode-extension@1.8.4*
l-igh-t.vscode-theme-seti-folder@1.2.3*
kleinesfilmroellchen.serenity-dsl-syntaxhighlight@0.3.2*
JScearcy.rust-doc-viewer@4.2.1*
SIRILMP.dark-theme-sm@3.11.4*
CodeInKlingon.git-worktree-menu@1.0.9*
CodeInKlingon.git-worktree-menu@1.0.91*
ginfuru.better-nunjucks@0.3.2*
ellacrity.recoil@0.7.4*
grrrck.positron-plus-1-e@0.0.71*
jeronimoekerdt.color-picker-universal@2.8.91*
srcery-colors.srcery-colors@0.3.9*
sissel.shopify-liquid@4.0.1*
TretinV3.forts-api-extention@0.3.1*
cline-ai-main.cline-ai-agent@3.1.3 (Microsoft VSCode Marketplace)زیرساخت شبکه و بلاکچین:
* IP سرور C2 اولیه:
217.69.3.218* IP سرور Exfiltration داده:
140.82.52.31:80/wall* آدرس کیف پول Solana (C2):
28PKnu7RzizxBzFPoLp69HLXp9bJL3JFtT2s5QzHsEA2* تراکنش نمونه (C2):
49CDiVWZpuSW1b2HpzweMgePNg15dckgmqrrmpihYXJMYRsZvumVtFsDim1keESPCrKcW2CzYjN3nSQDGG14KKFM* آدرس Google Calendar (C2):
https://calendar.app.google/M2ZCvM8ULL56PD1d6* ایمیل سازماندهنده Calendar:
uhjdclolkdn@gmail.com#### Payload URLs:
*
http://217.69.3.218/qQD%2FJoi3WCWSk8ggGHiTdg%3D%3D*
http://217.69.3.218/get_arhive_npm/*
http://217.69.3.218/get_zombi_payload/qQD%2FJoi3WCWSk8ggGHiTdg%3D%3Dشاخصهای Persistence در رجیستری (ویندوز):
*
HKCU\Software\Microsoft\Windows\CurrentVersion\Run*
HKLM\Software\Microsoft\Windows\CurrentVersion\Run@NullError_ir
Mr. SAM
1. سرقت گسترده اعتبارنامهها (Credential Harvesting): * توکنهای احراز هویت NPM * توکنهای GitHub و OpenVSX * اعتبارنامههای Git * هدف قرار دادن ۴۹ افزونه مختلف کیف پول رمزارز (از جمله MetaMask, Phantom, Coinbase Wallet و ...) برای تخلیه داراییها.…
Poc.js
5.8 KB
این هم یک مثال واقعی از کاراکترهای نامرئی که یک محقق به صورت چشمی نمیتونه چیزی ببینه ولی درواقع شامل دستورات هست .
هم در مرورگر و هم در node قابل اجراست .
در مرورگر یک alert به شما نشون میده و در ترمینال node دستور ls اجرا میشه .
@NullError_ir
هم در مرورگر و هم در node قابل اجراست .
در مرورگر یک alert به شما نشون میده و در ترمینال node دستور ls اجرا میشه .
@NullError_ir
اکسپلویت آسیب پذیری در ویندوز سرور
این آسیب پذیری به مهاجمان اجازه میدهد تا کد دلخواه را با امتیازات سطح سیستم از طریق شبکه اجرا کنند و بهطور بالقوه کل زیرساختهای فناوری اطلاعات را به خطر بیندازند .
ویندوز سرور ۲۰۱۲
ویندوز سرور ۲۰۱۲ R2
ویندوز سرور ۲۰۱۶
ویندوز سرور ۲۰۱۹
ویندوز سرور ۲۰۲۲
ویندوز سرور ۲۰۲۲، نسخه ۲۳H2
ویندوز سرور ۲۰۲۵
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
Gist
CVE-2025-59287
CVE-2025-59287. GitHub Gist: instantly share code, notes, and snippets.
کشف یک کمپین باجافزاری پیچیده
باجافزار Agenda (Qilin)
این حمله نشاندهنده یک تاکتیک بسیار پیشرفته و نگرانکننده است: استقرار و اجرای مستقیم یک باینری باجافزار مبتنی بر لینوکس بر روی سیستمهای میزبان ویندوزی . این رویکرد اجرای بین-پلتفرمی (Cross-Platform Execution)، بسیاری از راهحلهای امنیتی مرسوم متمرکز بر ویندوز، از جمله پلتفرمهای EDR، را دور میزند.
نکات کلیدی و یافتههای اصلی
* گروه عامل: Agenda (شناختهشده با نام Qilin)، یک عملیات باجافزار به عنوان سرویس (RaaS).
* تکنیک اصلی: اجرای باینری لینوکس بر روی ویندوز با سوءاستفاده از ابزارهای قانونی مدیریت از راه دور (RMM) و انتقال فایل.
۔ ابزارهای قانونی مورد سوءاستفاده:
۔ WinSCP: برای انتقال امن باینری لینوکس به میزبان ویندوزی.
۔ Splashtop Remote: برای اجرای مستقیم باینری لینوکس روی ویندوز.
۔ ATERA Networks (RMM): برای نصب AnyDesk.
۔ ScreenConnect: برای اجرای دستورات شناسایی.
* تاکتیکهای فرار از دفاع: استفاده از حمله BYOVD (Bring Your Own Vulnerable Driver) برای خنثیسازی ابزارهای امنیتی (AV/EDR).
* هدف اصلی: زیرساختهای پشتیبانگیری Veeam برای سرقت سیستماتیک اعتبارنامهها و حذف گزینههای بازیابی.
* قربانیشناسی: از ژانویه ۲۰۲۵، بیش از ۷۰۰ قربانی در ۶۲ کشور، با تمرکز بر بازارهای توسعهیافته (ایالات متحده، فرانسه، کانادا، بریتانیا) و صنایع با ارزش بالا (تولید، فناوری، خدمات مالی، مراقبتهای بهداشتی).
زنجیره حمله (Attack Chain) به صورت دقیق
زنجیره حمله این گروه بسیار پیچیده و چند مرحلهای است و بر پنهانکاری از طریق ابزارهای قانونی (Living-off-the-Land) و تکنیکهای پیشرفته فرار از دفاع متمرکز است.
# ۱. دسترسی اولیه (Initial Access)
* مهاجمان از طریق یک کمپین مهندسی اجتماعی پیچیده با استفاده از صفحات جعلی CAPTCHA که بر روی زیرساخت ذخیرهسازی Cloudflare R2 میزبانی شدهاند، نفوذ اولیه را به دست میآورند.
* این صفحات، کدهای جاوا اسکریپت مبهمسازیشدهای را اجرا میکنند که منجر به دانلود Information Stealer (سارق اطلاعات) بر روی سیستم قربانی میشود.
* این بدافزار، توکنهای احراز هویت، کوکیهای مرورگر و اعتبارنامههای ذخیرهشده را برداشت میکند.
* داشتن این اعتبارنامههای معتبر به مهاجمان اجازه میدهد تا MFA (احراز هویت چندعاملی) را دور بزنند و با استفاده از نشستهای (Sessions) کاربری قانونی، در شبکه حرکت جانبی کنند.
# ۲. ارتقای سطح دسترسی (Privilege Escalation)
* پس از نفوذ، مهاجمان یک SOCKS proxy DLL (مانند
socks64.dll) را مستقر میکنند.* این DLL مستقیماً با استفاده از فرآیند قانونی ویندوز (
rundll32.exe socks64.dll,rundll) در حافظه بارگذاری میشود تا شناسایی آن دشوارتر گردد.* یک حساب کاربری ادمین پشتیبان (Backdoor) با نامی موجه مانند "Supportt" ایجاد میشود (
net user Supportt ... /add و net localgroup Administrators Supportt /add).* همچنین رمز عبور حساب Administrator قانونی سیستم نیز تغییر داده میشود تا کنترل کامل حفظ گردد.
# ۳. شناسایی و نصب RMM (Discovery & RMM Installation)
* مهاجمان به طور گسترده از ابزارهای RMM قانونی برای شناسایی شبکه سوءاستفاده میکنند:
* با استفاده از ScreenConnect ، اسکریپتهای فرمان موقتی را برای شمارش Domain Trusts (
nltest /domain_trusts ) و شناسایی ادمینهای دامنه ( net group "domain admins" /domain ) اجرا میکنند.* از ابزار NetScan برای اسکن جامع شبکه استفاده میکنند.
* آنها از ایجنت ATERA Networks برای نصب AnyDesk (نسخه ۹.۰.۵) بهره میبرند.
* استفاده همزمان از ATERA، AnyDesk و ScreenConnect به آنها قابلیتهای دسترسی از راه دور اضافی و قانونی (از دید سیستمهای مانیتورینگ) میدهد.
# ۴. دسترسی به اعتبارنامهها (Credential Access)
* این مرحله یکی از حیاتیترین بخشهای حمله است. مهاجمان به طور خاص زیرساخت پشتیبانگیری Veeam را هدف قرار میدهند.
* آنها اسکریپتهای PowerShell با پیلودهای Base64-encoded را اجرا میکنند.
* این اسکریپتها مستقیماً دیتابیسهای SQL سرور Veeam را هدف قرار میدهند (مانند
[VeeamBackup].[dbo].[Credentials]) تا اعتبارنامههای ذخیرهشده را استخراج و رمزگشایی کنند.* از این طریق، آنها به مجموعهای جامع از اعتبارنامههای حساس، از جمله ادمینهای دامنه، حسابهای سرویس (svc-sql-*** , DOMAIN\veeam-svc-*** ) و ادمینهای محلی سرورهای حیاتی (کنترلرهای دامنه، سرورهای Exchange ، پایگاههای داده) دست مییابند.
Please open Telegram to view this post
VIEW IN TELEGRAM
Mr. SAM
# ۵. فرار از دفاع (Defense Evasion)
* مهاجمان از تکنیک پیشرفته BYOVD (Bring Your Own Vulnerable Driver) برای غیرفعال کردن راهحلهای امنیتی استفاده میکنند.
* آنها ابزارهایی مانند
* این درایور که دارای امضای دیجیتال یک شرکت چینی توسعهدهنده بازی ("Thumb World (Beijing) Network Technology Co., Ltd.") است، قابلیتهایی برای خاتمه دادن اجباری به فرآیندها (مانند فرآیندهای AV و EDR) از طریق ایجاد Thread در سطح کرنل دارد.
* علاوه بر این، یک کامپوننت دیگر به نام msimg32.dll شناسایی شد که از طریق تکنیک DLL Sideloading (با استفاده از یک فایل اجرایی قانونی مانند
۔
۔
* این دو درایور پیش از این در کمپینهای باجافزار Akira برای دستیابی به دسترسی سطح کرنل و خاتمه دادن به EDR ها مشاهده شده بودند.
# ۶. حرکت جانبی و C&C
* برای حرکت جانبی به سیستمهای لینوکسی در محیط، مهاجمان کلاینتهای PuTTY SSH را با نامهای تغییریافته (مانند
* برای ارتباطات Command and Control، آنها چندین نمونه از بکدور COROXY (که یک SOCKS proxy DLL است) را در دایرکتوریهای نرمافزارهای قانونی مانند
مرحله نهایی: استقرار پیلود کراس-پلتفرم
این بخش، نوآورانهترین بخش حمله است:
1. انتقال فایل: مهاجمان از
2. اجرا: آنها از سرویس مدیریت Splashtop Remote (به طور خاص فایل
این تکنیک بسیار مؤثر است زیرا اکثر راهحلهای EDR و مکانیسمهای کنترلی ویندوز برای نظارت یا جلوگیری از اجرای یک باینری لینوکسی (که توسط یک ابزار مدیریت از راه دور قانونی فراخوانی شده) پیکربندی نشدهاند.
تحلیل واریانت لینوکس باجافزار
باینری لینوکس مورد استفاده نیز بسیار پیشرفته و قابل تنظیم است:
* اجرا با پسورد: برای اجرا حتماً به یک رمز عبور از طریق آرگومان خط فرمان نیاز دارد.
* پارامترهای گسترده: دارای آپشنهای خط فرمان جامع برای حالت دیباگ (
* هدفگیری VMware: پیکربندی باجافزار به طور خاص مسیرهای حیاتی VMware ESXi مانند
* تشخیص OS: واریانتهای قدیمیتر قابلیت تشخیص FreeBSD، VMkernel (ESXi) و توزیعهای استاندارد لینوکس را داشتند.
* هدفگیری جدید (Nutanix): نمونههای جدیدتر، قابلیت تشخیص Nutanix AHV را نیز اضافه کردهاند که نشان میدهد مهاجمان در حال گسترش هدفگیری خود به سمت پلتفرمهای زیرساخت ابر همگرا (Hyperconverged Infrastructure) فراتر از VMware هستند.
@NullError_ir
* مهاجمان از تکنیک پیشرفته BYOVD (Bring Your Own Vulnerable Driver) برای غیرفعال کردن راهحلهای امنیتی استفاده میکنند.
* آنها ابزارهایی مانند
2stX.exe و Or2.exe را مستقر میکنند که از یک درایور آسیبپذیر به نام eskle.sys بهره میبرد.* این درایور که دارای امضای دیجیتال یک شرکت چینی توسعهدهنده بازی ("Thumb World (Beijing) Network Technology Co., Ltd.") است، قابلیتهایی برای خاتمه دادن اجباری به فرآیندها (مانند فرآیندهای AV و EDR) از طریق ایجاد Thread در سطح کرنل دارد.
* علاوه بر این، یک کامپوننت دیگر به نام msimg32.dll شناسایی شد که از طریق تکنیک DLL Sideloading (با استفاده از یک فایل اجرایی قانونی مانند
FoxitPDFReader.exe ) ، دو درایور مخرب دیگر را در مسیر %TEMP% رها میکند:۔
rwdrv.sys۔
hlpdrv.sys* این دو درایور پیش از این در کمپینهای باجافزار Akira برای دستیابی به دسترسی سطح کرنل و خاتمه دادن به EDR ها مشاهده شده بودند.
# ۶. حرکت جانبی و C&C
* برای حرکت جانبی به سیستمهای لینوکسی در محیط، مهاجمان کلاینتهای PuTTY SSH را با نامهای تغییریافته (مانند
test.exe , 1.exe , 2.exe) مستقر میکنند.* برای ارتباطات Command and Control، آنها چندین نمونه از بکدور COROXY (که یک SOCKS proxy DLL است) را در دایرکتوریهای نرمافزارهای قانونی مانند
Veeam ، VMware و Adobe قرار میدهند تا ترافیک مخرب خود را در میان ارتباطات عادی شبکه پنهان کنند.مرحله نهایی: استقرار پیلود کراس-پلتفرم
این بخش، نوآورانهترین بخش حمله است:
1. انتقال فایل: مهاجمان از
WinSCP.exe (ابزار قانونی انتقال فایل) استفاده میکنند تا باینری باجافزار لینوکس (مثلاً mmh_linux_x86-64) را به دسکتاپ سیستم ویندوزی منتقل کنند.2. اجرا: آنها از سرویس مدیریت Splashtop Remote (به طور خاص فایل
SRManager.exe) سوءاستفاده میکنند تا مستقیماً فایل باینری لینوکس (mmh_linux_x86-64) را بر روی خود سیستمعامل ویندوز اجرا کنند.این تکنیک بسیار مؤثر است زیرا اکثر راهحلهای EDR و مکانیسمهای کنترلی ویندوز برای نظارت یا جلوگیری از اجرای یک باینری لینوکسی (که توسط یک ابزار مدیریت از راه دور قانونی فراخوانی شده) پیکربندی نشدهاند.
تحلیل واریانت لینوکس باجافزار
باینری لینوکس مورد استفاده نیز بسیار پیشرفته و قابل تنظیم است:
* اجرا با پسورد: برای اجرا حتماً به یک رمز عبور از طریق آرگومان خط فرمان نیاز دارد.
* پارامترهای گسترده: دارای آپشنهای خط فرمان جامع برای حالت دیباگ (
-d)، سطوح لاگ (-l)، تعیین مسیر (-p) ، پیکربندی لیست سفید و پارامترهای کنترل رمزگذاری است. همچنین شامل تأخیر زمانی (-t) برای اجرای با تأخیر و حالت "yes" (-y) برای عملیات خودکار است.* هدفگیری VMware: پیکربندی باجافزار به طور خاص مسیرهای حیاتی VMware ESXi مانند
/vmfs/ ، /dev/ و /lib64/ را هدف قرار میدهد و در عین حال دایرکتوریهای سیستمی حیاتی را مستثنی میکند.* تشخیص OS: واریانتهای قدیمیتر قابلیت تشخیص FreeBSD، VMkernel (ESXi) و توزیعهای استاندارد لینوکس را داشتند.
* هدفگیری جدید (Nutanix): نمونههای جدیدتر، قابلیت تشخیص Nutanix AHV را نیز اضافه کردهاند که نشان میدهد مهاجمان در حال گسترش هدفگیری خود به سمت پلتفرمهای زیرساخت ابر همگرا (Hyperconverged Infrastructure) فراتر از VMware هستند.
@NullError_ir
❤1
Mr. SAM
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - TwoSevenOneT/EDR-Redir: EDR-Redir : a tool used to redirect the EDR's folder to another location.
EDR-Redir : a tool used to redirect the EDR's folder to another location. - TwoSevenOneT/EDR-Redir
👍1
Please open Telegram to view this post
VIEW IN TELEGRAM
Chuong Dong
LockBit Ransomware v4.0
Malware Analysis Report - LockBit Ransomware v4.0
اکسپلویت نوشته شده با Rust برای آسیبپذیری CVE-2018-9995
شودان 🤔
"GNU rsp/1.0" geo:"xx.xxxx, xx.xxxx, 3"
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - 0xDamian/CVE-2018-9995-rs: POC of CVE-2018-9995 written in Rust.
POC of CVE-2018-9995 written in Rust. Contribute to 0xDamian/CVE-2018-9995-rs development by creating an account on GitHub.
Free Windows software
Detect packer , compiler , protector , .NET obfuscator , PUA application
or
Binary packed data : rar , zip , iso , 7zip , zx , sqz , lz4 , img , ...
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - ExeinfoASL/ASL: Free Windows Detector Software
Free Windows Detector Software. Contribute to ExeinfoASL/ASL development by creating an account on GitHub.
بدافزار RondoDox نسخه دوم :
استفاده از ۷۵ اکسپلویت مجزا که نشان دهنده افزایش چند صد درصدی نسبت به نسخه اول این بدافزار است . تمرکز بدافزار از DVR و روترها ، به برنامههای کاربردی سازمانی گسترش یافته است .
اطلاعات بیشتر ...
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
Beelzebub
RondoDox v2: Evolution of RondoDox Botnet with 650% More Exploits | AI deception platform
AI deception platform: Deceive, Detect, Respond. “You can’t defend. You can’t prevent. The only thing you can do is detect and respond.” Bruce Schneier. We turn that hard truth into your tactical advantage. Our AI-based decoys, built using our open-source…
بدافزار SleepyDuck : یک تروجان (RAT) پیشرفته که به طور خاص ابزارهایی مانند Cursor و Windsurf را هدف قرار میدهد و از یک قرارداد هوشمند اتریوم برای ماندگاری و (C&C) خود استفاده میکند.
بخوانید ...
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
Secure Annex
SleepyDuck malware invades Cursor through Open VSX
The advanced SleepyDuck IDE extension RAT uses Ethereum contracts for persistence.
❤1
یکی از جذاب ترین خبر برای باری کسانی که #باگبانتی کار میکنند یا علاقه دارند به این موضوع
مجموعهای از ایجنت های هوش مصنوعیبه اسم Strix که مثل یک هکر واقعی عمل میکنن! کد شما رو بهصورت پویا اجرا میکنن، حفرههای امنیتی رو پیدا میکنن، و حتی با نمونهی واقعی (Proof-of-Concept) اونها رو تأیید میکنه!
ادامه ...
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
X (formerly Twitter)
POURYA (@TheRealPourya) on X
یکی از جذاب ترین خبر برای باری کسانی که #باگبانتی کار میکنند یا علاقه دارند به این موضوع
مجموعهای از ایجنت های هوش مصنوعیبه اسم Strix که مثل یک هکر واقعی عمل میکنن! کد شما رو بهصورت پویا اجرا میکنن، حفرههای امنیتی رو پیدا میکنن، و حتی با نمونهی…
مجموعهای از ایجنت های هوش مصنوعیبه اسم Strix که مثل یک هکر واقعی عمل میکنن! کد شما رو بهصورت پویا اجرا میکنن، حفرههای امنیتی رو پیدا میکنن، و حتی با نمونهی…
❤1
A dependency‑free Python3 Command & Control framework for redteam persistence, built to run on systems without installing packages. It comprises a Flask team server, an Electron operator GUI, and a single‑file Python agent that communicates over HTTP/HTTPS using configurable AES‑encrypted JSON messages. Use it to execute commands, manage files, maintain access, and create SSH reverse tunnels from compromised systems
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - boku7/venom: Venom C2 is a dependency‑free Python3 Command & Control framework for redteam persistence
Venom C2 is a dependency‑free Python3 Command & Control framework for redteam persistence - boku7/venom
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - francescopace/espectre: 🛜 ESPectre 👻 - Motion detection system based on Wi-Fi spectre analysis (CSI), with Home Assistant…
🛜 ESPectre 👻 - Motion detection system based on Wi-Fi spectre analysis (CSI), with Home Assistant integration. - francescopace/espectre