✅#Hackers

روانشناسی هکرها💀

افرادی پیچیده , اما بی‌صبر

شما نمی‌توانید از روی ترس با هکرها مذاکره کنید – اما می‌توانید فوریت آنها را به سود خودتان برگردانید.

تصور کنید: دوشنبه، ساعت ۹ صبح. مدیرعامل یک شرکت بزرگ اعلان دریافت می‌کند که تمام سیستم‌ها رمزگذاری شده‌اند. گروه باج‌افزار پشت این حمله، ۳۰ میلیون دلار ظرف ۷۲ ساعت درخواست می‌کند، وگرنه تمام داده‌های رمزگذاری‌شده در سراسر جهان منتشر خواهند شد.

قبل از آنکه وحشت همه جا را فرا بگیرد، سه نکته کلیدی درباره‌ی مجرمان طرف مقابل را به خاطر بسپارید:

آنها احتمالاً یک عملیات حرفه‌ای به سبک نرم‌افزار به عنوان سرویس (SaaS) اجرا می‌کنند.

به دنبال هر نشانه‌ای از ضعف قربانیان هستند.

و مهم‌تر از همه، آنها همیشه تحت فشار زمان هستند.

گروه‌های باج‌افزار مدرن، پیچیده‌تر، فرصت‌طلب‌تر و بی‌صبرتر از چیزی هستند که اکثر افراد تصور می‌کنند. یک مذاکره‌کننده ماهر می‌تواند از هر سه ویژگی هکرها بهره ببرد. همانطور که هکرها از روانشناسی سازمان‌ها سوءاستفاده می‌کنند، سازمان‌ها نیز می‌توانند با شناخت روانشناسی هکرها، دست بالا را در مذاکره داشته باشند.

هکرها پیچیده‌اند: آمادگی بر وحشت غلبه می‌کند

باندهای بزرگ باج‌افزاری مانند LockBit، BlackCat و RansomHub، حتی هنگام نابودی خود در سال ۲۰۲۴، مانند فروشندگان SaaS بسیار سازمان‌یافته عمل می‌کردند. این باندها با شرکت‌های وابسته، «پشتیبانی مشتری»، داشبوردها و فرآیندهای دقیق، قادر به هدف قرار دادن صدها سازمان به طور مؤثر هستند. LockBit بیش از ۲۰۰۰ شرکت را در سراسر جهان هدف گرفت و بیش از ۱۲۰ میلیون دلار باج دریافت کرد.

این پیچیدگی آنها را خطرناک می‌کند، اما شکست‌ناپذیر نیست. سازمان‌هایی که آمادگی خود را با همان دقت برنامه‌ریزی می‌کنند، می‌توانند با کاهش تقاضاها یا حتی فریب هکرها، به نفع خود عمل کنند.

نکته عملی: هر سازمان باید یک دفترچه راهنمای باج‌افزار تهیه کند که شامل نحوه واکنش به حمله، اطلاعات تماس برای کمک حقوقی، ارتباطات و مذاکره‌کننده متخصص باشد. این دفترچه باید مشخص کند چه کسی چه کاری انجام می‌دهد و چه چیزی چگونه بیان خواهد شد.

هکرها فرصت‌طلب‌اند: دسترسی آسان را از آنها بگیرید

هکرها برای اخاذی، به اطلاعات حساس نیاز دارند. جزئیاتی مانند بودجه شرکت یا داشتن بیمه سایبری، مستقیماً خواسته‌های آنها را تعیین می‌کند.

طبق گزارش Verizon ۲۰۲۵، ۸۸٪ نقض‌ها شامل استفاده از اعتبارنامه‌های سرقت‌شده بوده و ۵۴٪ قربانیان باج‌افزار، دامنه‌هایی با اطلاعات قابل سرقت داشته‌اند. سازمان‌ها با قفل کردن اعتبارنامه‌ها و دامنه‌ها، فوراً خطر دسترسی هکرها را کاهش می‌دهند.

حتی اگر اطلاعات فاش شوند، حفظ آرامش و خونسردی حیاتی است. یکی از تاکتیک‌ها، آزمون LAP است که پیشنهادهای متقابل باید منطقی، قابل قبول و محتمل باشند. مثلاً اگر هکر ۱۰ میلیون دلار درخواست کند، پیشنهاد متقابل ۳۰۰ هزار دلاری همراه با توضیح مرتبط با نقدینگی یا محدودیت‌های هیئت مدیره می‌تواند موثر باشد.

زبان مبهم و محدود کردن جزئیات به حفظ محدوده چانه‌زنی کمک می‌کند و نباید اجازه دهید بیمه یا جزئیات مالی، به پرداخت سریع باج منجر شود.

هکرها بی‌صبرند: زمان سلاح مخفی شماست

هکرها تحت فشار ضرب‌الاجلی هستند و شما نیز همینطور. آنها می‌خواهند سریع به اهداف بعدی برسند و با خطر قانون و امنیت سرور مواجه‌اند.

با کند کردن روند مذاکره، سازمان‌ها می‌توانند هکرها را تحریک کنند تا قیمت خود را کاهش دهند. درخواست داده‌های اثبات حیات یا اثبات کارکرد رمزگشا و به تأخیر انداختن پاسخ‌ها، ابزارهایی کلیدی هستند. همان دفترچه راهنمای باج‌افزار باید دقیقاً زمان‌بندی ارتباطات و تاکتیک‌های تأخیر را مشخص کند.

دانستن ویژگی‌های هکرها مفید است، اما کافی نیست. سازمان‌ها باید آماده باشند:

دفترچه راهنمای مذاکره باج‌افزاری که مرتباً به‌روزرسانی شود.

تمرین‌های مکرر شبیه‌سازی حمله.

شما نمی‌توانید از روی ترس با هکرها مذاکره کنید، اما با ابزار، افراد و آمادگی مناسب، می‌توانید فوریت آنها را به سود خودتان تمام کنید.

@NullError_ir

✅#JS_Link_Finder

شکار نقطه های پنهان با JS Link Finder

یافتن URLهای جاوااسکریپت و نقاط مخفی با افزونه JS Link Finder در Burp Suite

۔Bug bounty hunting : ما دنبال باگ‌های ناامن سایت‌هاییم، هم امنیت‌شان را بالا می‌بریم هم پاداش می‌گیریم. یکی از قدرتمندترین ابزارها در جعبه ابزار یک شکارچی باگ ، Burp Suite است. افزونه‌های آن می‌توانند شما را به سطح بالایی برساند. در میان آن‌ها، افزونه JS Link Finder نقش «game-changer» را دارد. این ابزار فایل‌های جاوااسکریپت را برای پیدا کردن URLها و نقاط‌ مخفی کاوش میکند و ممکن است آن‌ها راهی به آسیب‌پذیری‌هایی مثل APIهای در معرض، Open redirectها، یا حتی takeover حساب‌ها باشد. چه مبتدی باشید چه حرفه‌ای، این افزونه به شما کمک می‌کند تا نقاط‌ «fishy» را پیدا کنید که توسعه‌دهندگان ممکن است نادیده گرفته باشند. در این نوشته، فرایند را از تنظیم هدف در Burp Suite تا استخراج URLهای JavaScript و نقاط‌ مخفی و در نهایت بررسی آن‌ها برای یافتن باگ میگوییم. بیایید شروع کنیم!

چرا JS Link Finder برای شکارچیان باگ ضروری است؟

* سایت‌های مدرن به شدت به JavaScript وابسته‌اند،APIها، محتوای پویا و تعامل کاربران با JS انجام می‌شود.

* بسیاری از فایل‌های JavaScript شامل URLها یا نقاط‌ی هستند که در رابط کاربری ظاهر نمی‌شوند. مثلاً service-worker.js ممکن است مسیر API یا URLهای redirect پنهان باشد که در صورت پیکربندی اشتباه، منجر به آسیب‌‌پذیری شود.

* جستجوی دستی در این فایل‌ها وقت‌گیر است و احتمال خطا بالاست. اینجاست که JS Link Finder افزونه Burp ، می‌درخشد: خودش فایل‌ها را بازبینی می‌کند، لینک‌ها، نقاط‌پایانی و پارامترها را بیرون می‌کشد و شما را از ساعت‌ها کار بی‌ثمر نجات می‌دهد. نکاتی مثل /api/users یا /admin که ممکن است قابل سوءاستفاده باشند را پیدا می‌کند.

دلایل قدرت این افزونه:

* اسکن (Passive) : فایل‌های JS را در هنگام مرور تحلیل می‌کند،بدون درخواست اضافی، بنابراین stealth شما حفظ می‌شود.

* کشف endpoint : URLها و مسیرهایی مثل /api/v1/config را پیدا می‌کند که ممکن است داده‌ها یا منطق حساسی را افشا کنند.

* مناسب برای Bug Bounty : کمک می‌کند آسیب‌هایی مثل open redirect، خراب‌شدن احراز هویت یا افشای داده را بیابید،که می‌تواند منجر به جوایز بزرگ شود.

* مناسب برای مبتدیان : حتی اگر با Burp Suite تازه‌کار هستید، راه‌اندازی و استفاده‌اش ساده است.

پیش‌نیازها: چه چیزهایی برای شروع نیاز دارید؟

* ۔Burp Suite (نسخه Community یا Professional): نسخه رایگان برای تست‌های دستی مناسب است، اما نسخه Professional برای Passive Scanning همراه افزونه‌ها بهتر عمل می‌کند.

* محیط JPython : JS Link Finder نیاز به JPython دارد. فایل JAR آن را از jython.org دانلود و در Burp Suite تنظیم کنید.

* یک سایت هدف : سایتی با برنامه Bug Bounty مثل HackerOne یا Bugcrowd انتخاب کنید و محدودیت‌ها را بررسی کنید،ساب‌دامین‌ها و فایل‌های JS باید در scope باشند.

* یک مرورگر : مثلاً Chrome یا Firefox با تنظیم Burp Suite به‌عنوان proxy.

* ابزارهای اولیه : ویرایشگر متنی برای مرور نتایج و ثبت پروسه. اگر تازه‌کارید، محیط‌هایی مثل Web Security Academy از PortSwigger را برای تمرین استفاده کنید تا از مسائل قانونی دور بمانید.

گام‌به‌گام: استفاده از JS Link Finder در Burp Suite

۱. راه‌اندازی هدف در Burp Suite

1. ۔Burp Suite را باز کنید.

2. مرورگر خود را برای استفاده از Burp، روی 127.0.0.1:8080 تنظیم کنید و CA certificate Burp را نصب کنید تا خطای SSL نبینید.

3. به تب Target > Scope بروید، دامنه‌ی هدف و زیر‌دامنه‌ها را با https\:// اضافه کنید، فقط مواردی در scope قرار دهید که در قانون برنامه مجاز هستند.

4. در تب Proxy > Settings، پروکسی را فعال و Intercept را خاموش کنید یا در صورت نیاز روشن، مرور سایت را شروع کنید.

۲. نصب افزونه JS Link Finder

* به Extender > BApp Store بروید.

* «۔JS Link Finder» را جستجو و نصب کنید. نسخه رسمی PortSwigger یا فورک‌هایی مثل InitRoot یا phlmox هم موجود‌اند،در صورت استفاده از فورک، README مربوطه را چک کنید.

* به Extender > Options بروید و فایل JPython JAR را در بخش Python Environment انتخاب کنید.

* در تب Extensions، مطمئن شوید که افزونه لیست شده و فعال است،اگر خطایی است، JPython را دوباره بررسی کنید.

۳. پیکربندی JS Link Finder

* این افزونه به‌صورت passive کار می‌کند،بدون ارسال درخواست بیشتر.

✅#Silver_Fox

درایور امضاشده مایکروسافت راه ورود هکرها به ویندوز شد
گروه Silver Fox از درایور امضاشده مایکروسافت برای توزیع بدافزار ValleyRATبهره‌برداری کرده‌است.
منبع : the hacker news
درایور امضاشده مایکروسافت راه ورود هکرها به ویندوز شد
گروه Silver Fox از درایور امضاشده مایکروسافت برای توزیع بدافزار ValleyRATبهره‌برداری کرده‌است.

به گزارش افتانا، گروه هکری Silver Fox با سوءاستفاده از یک درایور آسیب‌پذیر و امضاشده توسط مایکروسافت، حملاتBYOVD را برای غیرفعال‌سازی راهکارهای امنیتی روی سیستم‌های قربانی اجرا کرده است.

درایور آسیب‌پذیر amsdk.sys متعلق به نرم‌افزار ضدبدافزار WatchDog و ساخته‌شده بر پایه Zemana Anti-Malware SDK است. این درایور معتبر و امضاشده توسط مایکروسافت بود، اما در فهرست درایورهای آسیب‌پذیر مایکروسافت قرار نداشت و توسط پروژه‌های جامعه‌محور مانند LOLDrivers نیز شناسایی نشده بود.

مهاجمان بسته به نسخه ویندوز قربانی از دو درایور مختلف استفاده می‌کنند: درایور قدیمی Zemana برای ویندوز 7 و درایور WatchDog برای ویندوز 10 و 11. این درایورها امکان پایان دادن به هر فرایند دلخواه و همچنین ارتقای سطح دسترسی محلی (LPE) را به مهاجم می‌دهند و در نتیجه می‌توانند ابزارهای امنیتی را از کار بیندازند.

بر اساس گزارش شرکت Check Point، هدف این کمپین که از ماه می ۲۰۲۵ مشاهده شد، آماده‌سازی سیستم برای نصب و ماندگاری بدافزار ValleyRAT است. مهاجمان یک بارگذار همه‌کاره استفاده می‌کنند که شامل مکانیزم‌های ضدتحلیل، دو درایور آسیب‌پذیر، منطق نابودکننده آنتی‌ویروس و دانلودر DLL بدافزار است.

ValleyRAT پس از اجرا به سرور فرماندهی متصل شده و به مهاجم امکان دسترسی و کنترل از راه دور می‌دهد. این بدافزار دارای ماژول‌های متنوعی است؛ از جمله قابلیت گرفتن اسکرین‌شات از نرم‌افزارهایی مثل WeChat یا برنامه‌های بانکی آنلاین.
WatchDog پس از افشای مشکل، نسخه 1.1.100 را برای رفع آسیب‌پذیری LPE منتشر کرد، اما همچنان مشکل خاتمه‌ی فرایندها پابرجاست. مهاجمان نیز خیلی سریع نسخه اصلاح‌شده را با تغییر تنها یک بایت بازسازی کرده‌اند تا همچنان با امضای معتبر مایکروسافت اجرا شود و فهرست‌های مسدودسازی مبتنی بر هش را دور بزنند.

این نشان می‌دهد که مهاجمان سایبری فراتر از آسیب‌پذیری‌های شناخته‌شده حرکت کرده و حتی از درایورهای امضاشده و ناشناخته برای حمله استفاده می‌کنند؛ موضوعی که بسیاری از ابزارهای امنیتی را غافلگیر می‌کند.
گروه Silver Fox که با نام‌های دیگری چون SwimSnake و Valley Thief نیز شناخته می‌شود، از سال ۲۰۲۲ فعال است و عمدتاً کاربران چینی‌زبان را با وب‌سایت‌های جعلی (شبیه به کروم، تلگرام و ابزارهای هوش مصنوعی مانند DeepSeek هدف قرار می‌دهد. آنها بدافزارهای خود را از طریق پیام‌رسان‌هایی مانند WeChat، ایمیل‌های فیشینگ و حتی نسخه‌های آلوده نرم‌افزارهای پرکاربرد توزیع می‌کنند.

به گفته شرکت‌های امنیتی، این گروه دارای زیرشاخه‌های مختلف است؛ از جمله Finance Group که مسئول سرقت اطلاعات مالی و کلاهبرداری است. این شاخه از طریق طعمه‌هایی مثل اعلان‌های مالیاتی یا فاکتورهای الکترونیکی، بدافزار را به قربانیان تحمیل کرده و سپس حتی از حساب‌های شبکه‌های اجتماعی قربانی برای انتشار لینک یا QR فیشینگ در گروه‌های وی‌چت استفاده می‌کند تا اطلاعات بانکی افراد بیشتری را سرقت کند. کارشناسان، Silver Fox را یکی از فعال‌ترین و سازمان‌یافته‌ترین گروه‌های مجرمان سایبری در چین طی سال‌های اخیر می‌دانند که زنجیره‌ای کامل از جاسوسی اطلاعات، کنترل از راه دور و کلاهبرداری مالی را ایجاد کرده است.

@NullError_ir

✅#Inf0s3c_Stealer

بدافزار جدید پایتون مخفیانه با استفاده از Discord اطلاعات را از دستگاه‌های ویندوزی سرقت می‌کند

یک بدافزار جدید و پیچیده مبتنی بر پایتون در عرصه امنیت سایبری ظهور کرده است که قابلیت‌های پیشرفته‌ای را برای استخراج داده‌ها از طریق کانال‌های Discord نشان می‌دهد.

این بدافزار که با نام «Inf0s3c Stealer» شناخته می‌شود، نشان‌دهنده‌ی یک تکامل قابل توجه در حوزه‌ی ابزارهای سرقت اطلاعات است که تکنیک‌های سنتی شناسایی سیستم را با پلتفرم‌های ارتباطی مدرن ترکیب می‌کند تا از شناسایی شدن جلوگیری کند و در عین حال به طور مؤثر اطلاعات حساس را از سیستم‌های ویندوزی آسیب‌پذیر جمع‌آوری کند.

این بدافزار به عنوان یک ابزار جمع‌آوری جامع عمل می‌کند که برای جمع‌آوری سیستماتیک شناسه‌های میزبان، اطلاعات پردازنده، پیکربندی‌های شبکه و داده‌های کاربر از دستگاه‌های آلوده طراحی شده است.

پس از اجرا، به‌طور مخفیانه چندین دستور PowerShell را از طریق Command Prompt فراخوانی می‌کند تا جزئیات گسترده‌ای از سیستم را جمع‌آوری کند و یک پروفایل دقیق از محیط قربانی ایجاد کند.

این بدافزار طیف گسترده‌ای از اطلاعات حساس از جمله حساب‌های کاربری Discord، اطلاعات مرورگر، کوکی‌ها، تاریخچه مرور وب، کیف پول‌های ارز دیجیتال، رمزهای عبور Wi-Fi و جلسات پلتفرم بازی از سرویس‌های محبوبی مانند Steam، Epic Games و Minecraft را هدف قرار می‌دهد.

محققان شناسایی کردند که این بدافزار از تکنیک‌های پیچیده بسته‌بندی و مبهم‌سازی استفاده می‌کند و از فشرده‌سازی UPX و بسته‌بندی PyInstaller برای جلوگیری از شناسایی شدن استفاده می‌کند.

این فایل اجرایی ۶.۸ مگابایتی، مقدار آنتروپی بالای ۸۰۰۰ را حفظ می‌کند که نشان‌دهنده‌ی فشرده‌سازی سنگین است که عملکرد واقعی آن را از ابزارهای تحلیل استاتیک پنهان می‌کند.

در حین اجرا، این بدافزار دایرکتوری‌های موقت را در پوشه‌ی %temp% ویندوز ایجاد می‌کند و به‌طور سیستماتیک داده‌های سرقت‌شده را قبل از کامپایل شدن در آرشیوهای محافظت‌شده با رمز عبور، در زیردایرکتوری‌های طبقه‌بندی‌شده مانند «Credentials»، «Directories» و «System» سازماندهی می‌کند.

نوآوری اصلی این بدافزار در مکانیزم استخراج خودکار آن از طریق کانال‌های Discord نهفته است، جایی که داده‌های جمع‌آوری‌شده را به صورت آرشیوهای فشرده RAR با برچسب «Blank Grabber» ارسال می‌کند.

این رویکرد از زیرساخت‌های ارتباطی مشروع برای ترکیب ترافیک مخرب با فعالیت عادی کاربر استفاده می‌کند و احتمال شناسایی توسط سیستم‌های نظارت بر شبکه را به میزان قابل توجهی کاهش می‌دهد.


مکانیسم‌های پیشرفته‌ی پایداری و گریز

بدافزار از تاکتیک‌های پیچیده و مداومی استفاده می‌کند که نفوذ بلندمدت به سیستم را تضمین می‌کند.

این بدافزار خود را در پوشه‌ی Startup ویندوز کپی می‌کند و با پسوند .scr خود را به عنوان یک فایل محافظ صفحه نمایش (screensaver) پنهان می‌کند.

این تکنیک از طریق PutInStartup() اجرا می‌شود. تابعی که دایرکتوری راه‌اندازی سراسری سیستم را هدف قرار می‌دهد:

def PutInStartup() -> str:
    STARTUPDIR = "C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp"
    file, isExecutable = Utility.GetS()
    if isExecutable:
        out = os.path.join(
            STARTUPDIR, "{}.scr".format(Utility.GetRandomString(invisible=True))
        )
        os.makedirs(STARTUPDIR, exist_ok=True)
        try:
            shutil.copy(file, out)
        except Exception:
            return None
        return out

این بدافزار شامل چندین ویژگی ضد تحلیل از جمله بررسی‌های anti-vm و قابلیت مسدود کردن وب‌سایت‌های مرتبط با آنتی‌ویروس است.

این بدافزار می‌تواند پس از اجرا از طریق تابعی به نام «melt» خود را حذف کند و حداقل آثار جرم‌شناسی را از خود به جا بگذارد.

علاوه بر این، این بدافزار شامل یک ویژگی «pump stub» است که برای افزایش مصنوعی حجم فایل طراحی شده است و به طور بالقوه می‌تواند روش‌های اکتشافی تشخیص مبتنی بر حجم را که توسط راهکارهای امنیتی به کار گرفته می‌شوند، دور بزند.

به ظاهر اینجا نمونه ای از آن است.

@NullError_ir

✅#pdf

چرا فایل‌های PDF به سلاح مورد علاقه هکرها تبدیل شده؟

امروزه فقط لینک‌های مشکوک تهدید نیستند؛ هکرها در فایل‌هایی پنهان می‌شوند که ادعا می‌شود قابل‌اعتماد هستند: PDF. این فایل‌ها ممکنه ظاهرشون مثل فاکتور، گزارش یا قرارداد باثبات باشه، ولی با باز شدن، جاوااسکریپت فعال میشه، صفحه ورود تقلبی می‌آید یا بی‌صدا اطلاعات شما رو می‌دزده. چون فایل PDF اغلب از فیلترها عبور می‌کنه، در نگاه اول تمیز به نظر می‌رسه و بعداً دیر متوجه خطر می‌شیم

چرا PDF محبوب هکرهاست؟

* فرمت قابل اعتماد: معمولاً فیلترها PDF را کم‌خطرتر از فایل‌های اجرایی تلقی می‌کنند.

* امکانات داخلی: می‌تونن جاوااسکریپت، فرم یا لینک‌های مخرب توش تعبیه کنند.

* آسیب‌پذیری نرم‌افزاری: نرم‌افزارهای خوانش PDF مثل Adobe Reader بارها دارای حفره‌های امنیتی بوده‌اند.

* قابل اجرا روی پلتفرم‌های مختلف: ویندوز، مک، لینوکس یا موبایل؛ همه آسیب‌پذیرند.

بنابراین، PDF فقط یک سند نیست می‌تواند همان ابزار هکرها باشد.

روش‌های تشخیص PDF آلوده — سریع، دقیق و عملی

۱. تحلیل استاتیک (بدون باز کردن فایل)

* از ابزارهای مثل pdfid استفاده کن تا اجزای مشکوکی مثل /JavaScript ، /OpenAction ، /AA یا /Launch شناسایی بشن. این تگ‌ها، عمل خودکار یا بارگذاری اسکریپت را نشان می‌دهند

* ابزار pdf-parser کمک می‌کند اجزای خاص یا استریم‌های مشکوک را بیرون بکشید و بررسی کنید.

* ابزارهایی مثل CyberChef برای Decode یا Beautify کردن اسکریپت‌های فشرده یا obfuscated مفید هستند

۲. تحلیل دینامیک (اجرا در محیط کنترل شده)

* فایل PDF را در sandbox، VM اجرا کن

۳. اسکنرها و آنتی‌ویروس‌ها

* فایل را در VirusTotal یا Any.Run بررسی کن.

۴. شاخص‌های اولیه قابل مشاهده

* با ویرایشگر متنی یا Hex فایل را باز کن. باید با %PDF- شروع و با %%EOF ختم بشه. در غیر این صورت مشکوکه .

* تگ‌هایی مثل /OpenAction یا /AA معمولاً به اجرای خودکار اسکریپت دلالت دارند .

پیشنهاد !

1. با pdfid دنبال تگ‌های خطرناک بگرد.
2. اگر نشانه‌ای دیدی، با pdf-parser محتوای داخلی را بررسی کن.
3. فایل را فقط در محیطی ایزوله شده باز کن.
4. حتی اگر ظاهراً همه‌چیز تمیزه، بازم آنلاین اسکنش کن.

یا برای استفاده روزمره

از ابزارهایی مثل Dangerzone که فایل PDF را در یک محیط قرنطینه باز و “ تصویر” اون را برات بازسازی می‌کنند استفاده کن


@NullError_ir

✅#XWorm

کالبدشکافی بدافزار XWorm


بدافزار XWorm ، یک تروجان دسترسی از راه دور (Remote Access Trojan - RAT) مبتنی بر دات‌نت، به دلیل قابلیت‌های گسترده و فروش در انجمن‌های زیرزمینی، به یک تهدید رایج تبدیل شده است. تحلیل‌های اخیر محققان نشان می‌دهد که گردانندگان این بدافزار، زنجیره آلودگی خود را به طرز چشمگیری تکامل داده‌اند. آن‌ها از روش‌های ساده و قابل پیش‌بینی به سمت یک فرآیند چندمرحله‌ای، مبهم‌سازی شده و بسیار فریبنده حرکت کرده‌اند. این نوشته به کالبدشکافی این زنجیره جدید، بررسی تکنیک‌های به‌کاررفته و ارائه راهکارهای دفاعی می‌پردازد.


فاز اول: زنجیره آلودگی اولیه (ساده و قابل پیش‌بینی)

نسخه‌های اولیه XWorm (مانند نسخه ۲.۱) از یک زنجیره آلودگی بسیار ساده پیروی می‌کردند:

1. نقطه ورود: یک ایمیل فیشینگ حاوی فایل فشرده (ZIP).

2. اجرای اولیه: درون فایل فشرده، یک فایل میان‌بر (.LNK) یا یک اسکریپت VBScript (.VBS) قرار داشت.

3. دانلود و اجرا: با کلیک کاربر، اسکریپت VBS اجرا شده و مستقیماً فایل اجرایی نهایی XWorm را از یک URL دانلود و اجرا می‌کرد.

> نقطه ضعف: این روش به دلیل سادگی، به راحتی توسط ابزارهای امنیتی مدرن و تحلیل‌گران قابل شناسایی و مسدودسازی بود. هر مرحله از حمله به وضوح قابل ردیابی بود.


فاز دوم: تکامل به سمت فریب (زنجیره آلودگی جدید و چندمرحله‌ای)

در نسخه‌های جدیدتر (مانند نسخه ۳.۱)، مهاجمان رویکردی کاملاً متفاوت و پیچیده را در پیش گرفته‌اند تا شناسایی را دشوار سازند. این زنجیره جدید به صورت زیر عمل می‌کند:

مرحله ۱: بردار اولیه (Initial Vector)

* حمله همچنان با یک ایمیل فیشینگ آغاز می‌شود که حاوی یک فایل HTML است. این فایل HTML به جای لینک مستقیم، کاربر را از طریق یک یا چند ریدایرکت به لینک دانلود نهایی هدایت می‌کند.

مرحله ۲: اجرای اسکریپت PowerShell

* فایل دانلود شده یک اسکریپت VBScript است. این اسکریپت به شدت مبهم‌سازی (Obfuscated) شده است.

* وظیفه اصلی این اسکریپت ، اجرای یک دستور PowerShell به صورت (Fileless) در حافظه است. این دستور نیز به نوبه خود مبهم‌سازی شده است.

مرحله ۳: دانلودر دات‌نت (.NET Downloader)

* اسکریپت PowerShell یک قطعه کد دات‌نت را از یک URL خارجی (مانند Pastebin) دانلود و در حافظه کامپایل و اجرا می‌کند.

* این قطعه کد دات‌نت، یک دانلودر است که وظیفه دریافت و اجرای مرحله بعدی حمله را بر عهده دارد.

مرحله ۴: ایجاد پایداری و اجرای بار نهایی (Payload)

1. ایجاد پایداری (Persistence) دانلودر دات‌نت یک وظیفه زمان‌بندی‌شده (Scheduled Task) در ویندوز ایجاد می‌کند تا حتی پس از راه‌اندازی مجدد سیستم، بدافزار دوباره اجرا شود.

2. بارگذاری بار نهایی: این دانلودر در نهایت فایل اجرایی اصلی XWorm RAT را از سرور کنترل و فرمان (C2) دانلود می‌کند.

3. تزریق فرآیند (Process Injection): بدافزار XWorm برای پنهان‌سازی خود، کد مخرب را به یک فرآیند قانونی و معتبر ویندوز (مانند RegAsm.exe یا MSBuild.exe ) تزریق کرده و در آن اجرا می‌شود.

> نکات کلیدی زنجیره جدید:

> * چندمرحله‌ای بودن: افزایش تعداد مراحل، تحلیل و ردیابی را برای تیم‌های امنیتی دشوار می‌کند.

> * تکنیک‌های (Fileless): اجرای کد در حافظه (مانند PowerShell و .NET Loader) باعث می‌شود ردپای کمتری روی دیسک باقی بماند و آنتی‌ویروس‌های سنتی را دور بزند.

> * مبهم‌سازی سنگین: استفاده گسترده از Obfuscation در کدهای VBScript و PowerShell، تحلیل ایستا (Static Analysis) را تقریباً غیرممکن می‌سازد.

> * استفاده از سرویس‌های قانونی: بهره‌گیری از سرویس‌هایی مانند Pastebin برای میزبانی کد، تشخیص ترافیک مخرب را سخت‌تر می‌کند.


قابلیت‌های بدافزار XWorm RAT

پس از استقرار موفق، XWorm کنترل کامل سیستم قربانی را به مهاجم می‌دهد. برخی از قابلیت‌های کلیدی آن عبارت‌اند از:

* جمع‌آوری اطلاعات: سرقت اطلاعات سیستم، کوکی‌ها، رمزهای عبور ذخیره‌شده و اطلاعات کیف پول‌های ارز دیجیتال.

* کی‌لاگر (Keylogger): ثبت تمام کلیدهای فشرده‌شده توسط کاربر.

* مدیریت فایل: آپلود، دانلود و حذف فایل‌ها از سیستم قربانی.

* اجرای دستورات از راه دور: اجرای دستورات Shell و PowerShell.

* باج‌افزار (Ransomware): قابلیت رمزنگاری فایل‌های قربانی و درخواست باج.

* کلیپر (Clipper): شناسایی آدرس‌های کیف پول ارز دیجیتال در کلیپ‌بورد و جایگزینی آن‌ها با آدرس کیف پول مهاجم.

* کنترل وب‌کم و میکروفون: جاسوسی از محیط اطراف قربانی.

✅#2FA

دور زدن احراز هویت دو عاملی (2FA) فقط با یک دستکاری ساده در درخواست‌ها!

🔓 آسیب‌پذیری جدیدی کشف شده که به مهاجم اجازه می‌دهد مکانیزم احراز هویت دو عاملی (2FA) را بدون نیاز به کد، صرفاً با بهره‌برداری از یک ضعف منطقی در مدیریت درخواست‌ها در سمت سرور، به طور کامل دور بزند.

شرح آسیب‌پذیری: چطور این حمله ممکن می‌شود؟

این آسیب‌پذیری ناشی از یک خطای اساسی در نحوه مدیریت "وضعیت" (State) کاربر در طول فرآیند ورود است. سناریوی حمله به این صورت عمل می‌کند:

مرحله اول: ورود با نام کاربری و رمز عبور
مهاجم ابتدا نام کاربری و رمز عبور صحیح قربانی را وارد می‌کند. در این لحظه، سرور هویت اولیه کاربر را تأیید کرده و او را به صفحه وارد کردن کد 2FA هدایت می‌کند.

مرحله کلیدی: ارسال یک درخواست غیرمنتظره
به جای وارد کردن کد 2FA، مهاجم یک درخواست دیگر به یک بخش متفاوت از وب‌اپلیکیشن (مثلاً صفحه پروفایل یا داشبورد) ارسال می‌کند.

نتیجه: سرور فریب می‌خورد!
سرور که قبلاً رمز عبور را تأیید کرده، در مدیریت وضعیت دچار خطا می‌شود. تصور می‌کند این درخواست جدید از طرف یک کاربر کاملاً احراز هویت شده ارسال شده و یک جلسه (Session) معتبر به مهاجم اختصاص می‌دهد. در نتیجه، مهاجم بدون نیاز به کد 2FA، مستقیماً به حساب کاربری دسترسی پیدا می‌کند.

ریشه مشکل کجاست؟

مشکل اصلی، مدیریت ضعیف وضعیت نشست (Session State Management) است. سرور پس از تأیید رمز عبور، یک "جلسه نیمه‌معتبر" ایجاد می‌کند، اما فراموش می‌کند که این جلسه هنوز منتظر مرحله دوم احراز هویت است. به همین دلیل، هر درخواست معتبر دیگری که در این وضعیت ارسال شود، به اشتباه به عنوان یک درخواست کاملاً مجاز پردازش می‌شود.

چه درسی می‌گیریم؟ (مخصوص توسعه‌دهندگان و متخصصان امنیت)

بررسی وضعیت در هر درخواست: صرفاً تأیید رمز عبور کافی نیست. سرور باید در هر درخواست به منابع حساس، اطمینان حاصل کند که کاربر تمام مراحل احراز هویت (از جمله 2FA) را با موفقیت طی کرده است.

ایجاد وضعیت‌های مشخص: برای فرآیند ورود، باید وضعیت‌های روشنی تعریف شود (مانند awaiting_2fa). تا زمانی که کاربر در این وضعیت قرار دارد، دسترسی به هر بخش دیگری از برنامه باید مسدود باشد.

امنیت فقط یک لایه نیست: این آسیب‌پذیری نشان می‌دهد که حتی با وجود مکانیزم‌های امنیتی قوی مانند 2FA، یک خطای منطقی کوچک در پیاده‌سازی می‌تواند کل سیستم را تضعیف کند.

این مورد یک یادآوری مهم است که امنیت در جزئیات پیاده‌سازی نهفته است و نباید به صرف وجود یک مکانیزم امنیتی، از بررسی دقیق منطق برنامه غافل شد.

@NullError_ir

✅#EDR_LSASS

تحلیل جامع تکنیک‌های بای‌پس EDR برای استخراج اطلاعات حساس از LSASS

مقدمه: چرا LSASS هنوز یک هدف طلایی است؟

پروسس lsass.exe یکی از حیاتی‌ترین و در عین حال جذاب‌ترین اهداف برای مهاجمان در سیستم‌عامل ویندوز است. این پروسس مسئول مدیریت سیاست‌های امنیتی، احراز هویت کاربران و نگهداری اطلاعات حساسی مانند هش‌های NTLM، تیکت‌های Kerberos و رمزهای عبور در حافظه (memory) است. به همین دلیل، ابزاری مانند Mimikatz با قابلیت sekurlsa::logonpasswords به شهرت رسید، چرا که می‌توانست مستقیماً این اطلاعات را از حافظه LSASS استخراج کند.

با گذشت زمان، سیستم‌های تشخیص و پاسخ نقطه پایانی (EDR) و راهکارهای امنیتی مایکروسافت (مانند Credential Guard) بسیار پیشرفته‌تر شده و مکانیزم‌های حفاظتی قدرتمندی برای جلوگیری از دسترسی مستقیم به حافظه LSASS پیاده‌سازی کرده‌اند. این مقاله به بررسی این می‌پردازد که این مکانیزم‌ها دقیقاً چه هستند و چگونه می‌توان آن‌ها را برای رسیدن به هدف نهایی، یعنی استخراج اطلاعات، دور زد.

بخش اول: مکانیزم‌های دفاعی EDR چگونه از LSASS محافظت می‌کنند؟

سیستم‌های EDR مدرن برای محافظت از LSASS از تکنیک‌های مختلفی استفاده می‌کنند که مهم‌ترین آن‌ها عبارتند از:

1۔ Kernel-Level Callbacks (مانیتورینگ در سطح کرنل)
۔EDRها درایورهای خود را در سطح کرنل (Kernel) بارگذاری می‌کنند. این درایورها از طریق ObRegisterCallbacks و PsSetCreateProcessNotifyRoutine رویدادهای سیستم را مانیتور می‌کنند. مهم‌ترین رویداد در این سناریو، درخواست دسترسی به یک پروسس دیگر از طریق فراخوانی OpenProcess است. وقتی یک پروسس (مثلاً ابزار مهاجم) تلاش می‌کند تا یک "هندل" (handle) با سطح دسترسی بالا (مانند PROCESS_VM_READ ) به پروسس LSASS بگیرد، درایور EDR این درخواست را در سطح کرنل شناسایی و مسدود می‌کند.

2۔ User-Mode Hooking (قلاب‌گذاری در سطح کاربر):

این تکنیک شامل تزریق یک فایل DLL از طرف EDR به درون پروسس‌های در حال اجراست. این DLL توابع حساس API ویندوز مانند OpenProcess ، ReadProcessMemory و VirtualProtectEx را "هوک" می‌کند. یعنی کدهای مخرب EDR قبل از اجرای کد اصلی این توابع اجرا شده و بررسی می‌کنند که آیا تلاش برای دسترسی به یک پروسس محافظت‌شده (مانند LSASS) در حال وقوع است یا خیر. در صورت تشخیص، این تلاش را مسدود می‌کنند.

بخش دوم: تکنیک‌های بای‌پس و استخراج اطلاعات

چندین روش هوشمندانه برای دور زدن این مکانیزم‌های دفاعی :

تکنیک ۱: استفاده از درایور آسیب‌پذیر (Bring Your Own Vulnerable Driver - BYOVD)

این یکی از قدرتمندترین روش‌هاست. به جای مقابله مستقیم با درایور EDR، مهاجم یک درایور شخص ثالث که دارای آسیب‌پذیری شناخته‌شده است را روی سیستم بارگذاری می‌کند. این درایورها معمولاً دارای امضای دیجیتال معتبر هستند و بنابراین سیستم‌عامل به آن‌ها اعتماد می‌کند.

چگونه کار می‌کند؟

1. مهاجم یک درایور آسیب‌پذیر (مانند درایورهای مربوط به آنتی‌ویروس‌های قدیمی یا ابزارهای سیستمی) را روی سیستم قربانی نصب و اجرا می‌کند.

2. از طریق آسیب‌پذیری موجود در آن درایور (مثلاً یک باگ که اجازه خواندن یا نوشتن در حافظه کرنل را می‌دهد)، کدی را در سطح کرنل اجرا می‌کند.

3. این کد می‌تواند یکی از دو کار زیر را انجام دهد:

* حذف Callbacks: مستقیماً روتین‌های Callback ثبت‌شده توسط EDR را از لیست کرنل حذف کند. پس از این کار، EDR دیگر از تلاش‌ها برای دسترسی به LSASS مطلع نخواهد شد.

* دسترسی مستقیم به حافظه: از همان سطح دسترسی کرنل برای خواندن مستقیم حافظه پروسس LSASS و ایجاد یک فایل dump استفاده کند، بدون اینکه نیازی به فراخوانی OpenProcess باشد.

تکنیک ۲: Unhooking یا حذف قلاب‌های User-Mode

اگر EDR از روش هوکینگ در فضای کاربری استفاده کند، می‌توان این قلاب‌ها را غیرفعال کرد.

چگونه کار می‌کند؟

1. شناسایی هوک‌ها: مهاجم با بررسی چند بایت ابتدایی توابع حساس API (مانند NtOpenProcess در ntdll.dll) متوجه می‌شود که آیا این توابع با دستورات JMP (پرش) به DLL مربوط به EDR هدایت شده‌اند یا خیر.

2. بازیابی کدهای اصلی: مهاجم یک نسخه تمیز و بدون هوک از ntdll.dll را از روی دیسک می‌خواند و بایت‌های اصلی و دستکاری‌نشده تابع را در حافظه بازنویسی می‌کند.

3. اجرای عملیات: پس از حذف هوک، فراخوانی OpenProcess دیگر توسط EDR شناسایی نشده و می‌توان به راحتی یک dump از LSASS تهیه کرد. ابزارهایی مانند Dumpert این فرآیند را به صورت خودکار انجام می‌دهند.

تکنیک ۳: استفاده از Syscalls مستقیم (Direct Syscalls)

این یک روش پیشرفته‌تر برای دور زدن هوکینگ User-Mode است. به جای فراخوانی تابع OpenProcess از ntdll.dll (که توسط EDR هوک شده)، مهاجم مستقیماً "system call" مربوطه را فراخوانی می‌کند.

چگونه کار می‌کند؟

1. هر تابع سطح بالای API در نهایت به یک فراخوانی سیستمی (syscall) برای ارتباط با کرنل ختم می‌شود.

2. ابزار مهاجم، به جای استفاده از کتابخانه‌های ویندوز، کد اسمبلی (Assembly) لازم برای اجرای مستقیم syscall (مثلاً syscall یا int 0x2e) را پیاده‌سازی می‌کند.

3. از آنجایی که این فراخوانی، لایه ntdll.dll را دور می‌زند، قلاب‌های EDR هرگز اجرا نشده و درخواست مستقیماً به کرنل ارسال می‌شود. این تکنیک نیز به شرطی موفق است که دفاع اصلی EDR در سطح کرنل نباشد.


حالا سناریوی یک حمله را در نظر بگیرید

دسترسی اولیه و سرقت اطلاعات ☠️:

استفاده از اطلاعات برای حرکت جانبی ☠️:

اینجا دقیقاً جایی است که NetExec وارد میدان می‌شود. مهاجم حالا با در دست داشتن هش NTLM یک کاربر ادمین، از NetExec استفاده می‌کند تا👇:

با استفاده از تکنیک Pass-the-Hash، به صدها یا هزاران سیستم دیگر در همان شبکه احراز هویت کند.

دستورات را از راه دور بر روی آن سیستم‌ها اجرا کند (مثلاً از طریق ماژول‌های wmiexec یا smbexec).

همان ابزار dump کردن LSASS را بر روی سیستم‌های دیگر نیز اجرا کرده و اطلاعات بیشتری جمع‌آوری کند.

سرویس‌های جدید ایجاد کند، فایل آپلود یا دانلود کند و به طور کلی کنترل خود را در کل شبکه گسترش دهد.

☠️ وقتی سروری را هک می‌کنید، می‌خواهید به این اسرار دسترسی پیدا کنید. برای انجام این کار، می‌توانید از ابزار NetExec (که جانشین مدرن CrackMapExec است) استفاده کنید :

این دستور یکی از کلاسیک‌ترین و در عین حال قدرتمندترین دستورات در فاز پس از بهره‌برداری (Post-Exploitation) در محیط‌های Active Directory است.

nxc smb (target) -u Admin -p (pass) --lsa 

معمولاً شما پایگاه داده SAM را که حاوی هش NT حساب‌های محلی است، نیز dump می‌کنید . استخراج این اطلاعات ساده به نظر می‌رسد، اما در باطن اتفاقات زیادی رخ داده است. NetExec سه کندوی رجیستری زیر را استخراج کند:

۔HKLM\SAM: شامل هش‌های NT حساب‌های محلی است.

۔HKLM\SECURITY: حاوی اطلاعات محرمانه‌ی LSA است.

۔HKLM\SYSTEM: حاوی اطلاعات مورد نیاز برای رمزگشایی پایگاه داده SAM و اطلاعات محرمانه LSA است.

نکات کلیدی برای تیم‌های آبی (Blue Teams):

* مانیتورینگ بارگذاری درایورها بارگذاری هرگونه درایور جدید و ناشناس روی سیستم‌های حساس باید به دقت بررسی و تحلیل شود.

* سخت‌گیری در سطح کرنل فعال‌سازی قابلیت‌هایی مانند HVCI (Hypervisor-protected Code Integrity) می‌تواند بارگذاری درایورهای امضانشده یا آسیب‌پذیر را بسیار دشوارتر کند.

* تحلیل رفتاری: به جای تکیه صرف بر شناسایی API-Hooking، باید روی تحلیل‌های رفتاری تمرکز کرد. برای مثال، کدام پروسس‌ها در تلاش برای خواندن حافظه LSASS هستند، حتی اگر این تلاش موفقیت‌آمیز باشد.

@NullError_ir

✅#Cryptojacking

یک بدافزار استخراج ارز دیجیتال اخیراً کشف شده است، که با سوءاستفاده از برنامه داخلی Character Map ویندوز به عنوان میزبان اجرا، توجه تیم‌های امنیتی در سراسر جهان را به خود جلب کرده است.

تحلیل بدافزار Cryptojacking جدید

در دنیای امنیت سایبری، مهاجمان همواره در جستجوی روش‌های نوین و خلاقانه برای دور زدن سازوکارهای امنیتی و پنهان کردن فعالیت‌های مخرب خود هستند. به تازگی، یک زنجیره حمله پیچیده و نوآورانه شناسایی شده است که در آن، یک بدافزار با بهره‌گیری از تکنیک‌های (Living off the Land - LotL) و سوءاستفاده از یک ابزار کاملاً قانونی و معتبر ویندوز، یعنی Character Map (charmap.exe) ، سیستم قربانی را به یک ماینر پنهان تبدیل می‌کند. این نوشته تحلیل فنی بدافزار را تشریح می‌کند.

آناتومی حمله: از PowerShell تا تزریق

این حمله چندمرحله‌ای، نمونه‌ای برجسته از بدافزارهای (Fileless) است که با هدف به حداقل رساندن ردپای خود بر روی دیسک و گریز از شناسایی توسط آنتی‌ویروس‌های سنتی طراحی شده است.

مرحله ۱: دسترسی اولیه از طریق PowerShell

نقطه شروع حمله، اجرای یک اسکریپت مخرب PowerShell به نام infect.ps1 است. این اسکریپت از طریق یک اتصال HTTP از یک سرور خارجی مشکوک (C2) بر روی سیستم قربانی دانلود می‌شود. استفاده از PowerShell به عنوان بردار اولیه حمله بسیار رایج است، زیرا این ابزار قدرتمند به صورت پیش‌فرض بر روی تمامی نسخه‌های مدرن ویندوز نصب بوده و از اعتماد بالایی در محیط‌های سازمانی برخوردار است. هوشمندی مهاجمان در این مرحله، استفاده از یک User-Agent جدید و نادر برای اتصال PowerShell است که اولین زنگ خطر را برای سیستم‌های نظارت بر شبکه (مانند راه‌حل‌های NDR) به صدا در می‌آورد.

مرحله ۲: رمزگشایی و آماده‌سازی لودر چندلایه

اسکریپت infect.ps1 به شدت مبهم‌سازی (Obfuscate) شده است. این اسکریپت حاوی چندین قطعه داده (blob) است که با استفاده از الگوریتم‌های Base64 و XOR رمزنگاری شده‌اند. این لایه‌های متعدد رمزنگاری، تحلیل ایستا (Static Analysis) اسکریپت را بسیار دشوار می‌کند.

پس از اجرا، اسکریپت PowerShell این قطعات داده را در حافظه (RAM) رمزگشایی می‌کند. یکی از این قطعات ، یک فایل اجرایی AutoIt را تشکیل می‌دهد. AutoIt یک زبان اسکریپت‌نویسی رایگان است که برای خودکارسازی وظایف در ویندوز طراحی شده، اما متأسفانه به ابزاری محبوب برای مهاجمان جهت ساخت لودرهای بدافزار تبدیل شده است. این اسکریپت AutoIt وظیفه اصلی حمله، یعنی تزریق کد مخرب به یک پروسس قانونی، را بر عهده دارد.


مرحله ۳: تکنیک خلاقانه تزریق (Process Injection) با هدف قرار دادن charmap.exe

اینجا، خلاقانه‌ترین و نگران‌کننده‌ترین بخش حمله رخ می‌دهد. لودر AutoIt به جای اجرای مستقیم بدافزار (که به راحتی توسط نرم‌افزارهای امنیتی شناسایی می‌شود)، از تکنیک Process Injection استفاده می‌کند. اما هدف این تزریق، یک پروسس سیستمی رایج مانند svchost.exe یا explorer.exe نیست. مهاجمان به طرز هوشمندانه‌ای ابزار Windows Character Map (charmap.exe) را انتخاب کرده‌اند.

چرا charmap.exe ؟

* قانونی و مورد اعتماد: این یک ابزار کاملاً قانونی و امضاشده توسط مایکروسافت است که حضور و اجرای آن در سیستم هیچ‌گونه شکی را برنمی‌انگیزد.

* عدم نظارت: charmap.exe معمولاً جزو پروسس‌هایی نیست که به طور دقیق توسط تیم‌های امنیتی یا ابزارهای EDR نظارت شود.

* سادگی: این یک پروسس سبک و ساده است که بستر مناسبی برای تزریق کد بدون ایجاد ناپایداری در سیستم فراهم می‌کند.

لودر AutoIt ابتدا پروسس charmap.exe را در حالت سایلنت اجرا می‌کند. سپس، با کسب دسترسی کامل به فضای حافظه پروسس ، یک ناحیه حافظه جدید با قابلیت نوشتن و اجرا (Writable and Executable) تخصیص می‌دهد.

مرحله ۴: استقرار و اجرای پی‌لود نهایی (NBMiner)

در گام نهایی، لودر، پی‌لود اصلی یعنی بدافزار استخراج رمزارز NBMiner را که تا این لحظه به صورت رمزنگاری‌شده در حافظه نگهداری می‌شد، با استفاده از یک کلید XOR جدید (مثلاً 47) رمزگشایی کرده و آن را مستقیماً در فضای حافظه تخصیص‌داده‌شده در پروسس charmap.exe می‌نویسد. سپس یک Thread جدید در این پروسس ایجاد کرده و اجرای ماینر را آغاز می‌کند.

از این لحظه به بعد، فعالیت مخرب استخراج رمزارز در پوشش یک پروسس کاملاً قانونی و بی‌خطر ویندوز انجام می‌شود. این تکنیک، شناسایی بدافزار را برای راه‌حل‌های امنیتی سنتی که بر اساس نام پروسس یا امضای فایل کار می‌کنند، تقریباً غیرممکن می‌سازد.