✅#Azure_Functions

تحلیل بدافزار پیشرفته‌ای که با سوءاستفاده از Azure Functions از رادارها پنهان می‌شود

محققان امنیت سایبری از شناسایی یک کمپین بدافزاری پیچیده خبر داده‌اند که با بهره‌برداری از سرویس serverless مایکروسافت، یعنی Azure Functions، برای زیرساخت Command and Control (C2) خود استفاده می‌کند. این تکنیک به مهاجمان اجازه می‌دهد تا ترافیک مخرب خود را در قالب ارتباطات مشروع با سرویس‌های ابری مایکروسافت پنهان کرده و از شناسایی بگریزند. این رویکرد نشان‌دهنده تکامل تاکتیک‌های مهاجمان برای ترکیب شدن با محیط‌های سازمانی و افزایش پایداری (persistence) است.


فرایند کشف و تحلیل بدافزار با استفاده از VirusTotal

سرنخ اولیه برای شناسایی این تهدید نوین، از طریق تحلیل یک نمونه مشکوک در پلتفرم VirusTotal به دست آمد. این پلتفرم که سرویس‌های تحلیلی و ده‌ها موتور آنتی‌ویروس را تجمیع می‌کند، به محققان اجازه داد تا به نشانه‌های اولیه از یک فعالیت مخرب پیشرفته دست یابند.

* نشانه‌های اولیه در VirusTotal:

1. نرخ شناسایی بسیار پایین (Low Detection Rate): در زمان آپلود اولیه، تعداد بسیار کمی از موتورهای آنتی‌ویروس قادر به شناسایی فایل‌های مخرب بودند. این خود یک زنگ خطر جدی برای تهدیدات جدید یا بسیار evasive است.

2. تحلیل رفتاری (Behavioral Analysis): گزارش‌های Sandbox در VirusTotal نشان داد که یک فایل اجرایی معتبر و دارای امضای دیجیتال از شرکت Palo Alto Networks (با نام PanGpHip.exe )، در حال برقراری ارتباطات شبکه‌ای مشکوک به یک URL در دامنه azurewebsites.net است. این رفتار برای این پروسس خاص، غیرمنتظره و نامتعارف بود.

3. ارتباطات فایل (File Relationships): تحلیلگر متوجه شد که این فایل اجرایی قانونی، یک فایل DLL بدون امضا و با اعتبار پایین (libwaapi.dll ) را بارگذاری می‌کند که در کنار آن قرار داده شده بود. این الگو به وضوح به استفاده از تکنیک DLL Side-Loading اشاره داشت.

این نشانه‌های کلیدی، محققان را بر آن داشت تا یک تحلیل عمیق و دستی (manual analysis) را آغاز کنند. مهندسی معکوس فایل DLL مخرب، در نهایت منجر به کشف کامل زنجیره حمله، مکانیزم تزریق به حافظه و پروتکل ارتباطی با سرور C2 شد که در ادامه تشریح می‌شود.

جزئیات فنی و زنجیره حمله (Attack Chain):

این حمله چند مرحله‌ای با یک فایل ISO آغاز می‌شود که به عنوان یک درایو نوری مجازی عمل کرده و مکانیزم‌های دفاعی مرورگرها را دور می‌زند. درون این فایل ISO، یک فایل میان‌بر (LNK) مخرب قرار دارد.

1. نقطه ورود (Initial Access):

* عامل تهدید، یک فایل ISO را از طریق روش‌های مهندسی اجتماعی توزیع می‌کند.

* درون فایل ISO، یک فایل LNK به همراه یک فایل اجرایی قانونی PanGpHip.exe و دو فایل DLL (یکی قانونی و دیگری مخرب) پنهان شده‌اند.

2. اجرای اولیه و DLL Side-Loading:

* با کلیک کاربر روی فایل LNK، فایل اجرایی قانونی PanGpHip.exe اجرا می‌شود.

* این فایل اجرایی به دلیل آسیب‌پذیری در نحوه بارگذاری کتابخانه‌های دینامیکی، به جای DLL قانونی، فایل DLL مخرب (libwaapi.dll ) را بارگذاری می‌کند. این تکنیک یک روش مؤثر برای اجرای کد مخرب تحت یک پروسس قابل اعتماد (trusted process) است.

3. تزریق Payload به حافظه (In-Memory Injection):

۔* DLL مخرب پس از بارگذاری، یک shellcode رمزگذاری‌شده را در حافظه رمزگشایی (decrypt) می‌کند.

* سپس این shellcode به یک پروسس قانونی دیگر، یعنی chakra.dll (موتور جاوا اسکریپت Microsoft Edge)، تزریق می‌شود تا ردپای کمتری از خود به جای بگذارد.

4. ارتباط با زیرساخت C2 مبتنی بر Azure Functions:

۔* Shellcode نهایی، مسئول برقراری ارتباط با سرور C2 از طریق ارسال درخواست‌های HTTPS به یک URL خاص در دامنه azurewebsites.net است. از آنجایی که این دامنه متعلق به مایکروسافت است، ترافیک مذکور در نگاه اول مشروع به نظر می‌رسد.

5. جمع‌آوری و استخراج داده (Data Collection & Exfiltration):

* پس از برقراری ارتباط، بدافزار شروع به جمع‌آوری اطلاعات پروفایل قربانی (نام کامپیوتر، نام کاربری، جزئیات سیستم‌عامل و...) کرده و به صورت رمزگذاری شده به سرور C2 ارسال می‌کند.

چرا این حمله پیشرفته و خطرناک است؟

* استفاده از زیرساخت ابری معتبر (Living-off-the-Cloud): سوءاستفاده از Azure Functions شناسایی ترافیک C2 را بسیار دشوار می‌سازد، زیرا مسدودسازی دامنه‌های Azure می‌تواند سرویس‌های قانونی کسب‌وکار را مختل کند.

* زنجیره حمله چندمرحله‌ای و با حداقل ردپا (Low Footprint): اجرای بخش‌های اصلی بدافزار در حافظه، تحلیل forensics را پیچیده کرده و شناسایی توسط آنتی‌ویروس‌های مبتنی بر امضا را ناکارآمد می‌سازد.

@NullError_ir

✅#HybridPetya

تحلیل HybridPetya : وقتی Ransomware با Bootkit ترکیب می‌شود تا Secure Boot را تسلیم کند

یک تهدید جدید و بسیار خطرناک به نام HybridPetya . این بدافزار صرفاً یک Ransomware دیگر نیست، بلکه ترکیبی هوشمندانه از یک Ransomware فایل (File Encryptor) و یک Bootkit است که با هدف قرار دادن فرآیند بوت سیستم، می‌تواند یکی از مهم‌ترین مکانیزم‌های امنیتی مدرن، یعنی UEFI Secure Boot ، را دور بزند.

### زنجیره حمله (Attack Chain): فراتر از یک اجرای ساده

برخلاف Ransomwareهای متداول که پس از اجرا شروع به رمزنگاری فایل‌ها می‌کنند، HybridPetya یک زنجیره حمله چندمرحله‌ای و بسیار مخرب‌تر را دنبال می‌کند:

1. دستیابی اولیه و افزایش سطح دسترسی (Initial Access & Privilege Escalation): مهاجمان در مرحله اول باید به سیستم قربانی نفوذ کرده و به سطح دسترسی مدیریتی (Administrator/SYSTEM) دست پیدا کنند. این مرحله از طریق روش‌های متداول مانند حملات فیشینگ، بهره‌برداری از آسیب‌پذیری‌های نرم‌افزاری یا استفاده از اطلاعات هویتی به سرقت رفته، انجام می‌شود. کسب این سطح از دسترسی برای اجرای مراحل بعدی حیاتی است.

2. آماده‌سازی برای دستکاری Firmware: بدافزار پس از کسب دسترسی لازم، با فعال کردن پرمیژن SeSystemEnvironmentPrivilege ، به خود اجازه دسترسی و تغییر در متغیرهای محیطی UEFI Firmware را می‌دهد. این پرمیژن کلید اصلی برای دستکاری در فرآیند بوت سیستم است.

3. کاشت Bootkit در پارتیشن EFI:

* بدافزار ابتدا یک Bootloader قانونی و امضاشده (Signed) متعلق به شرکت ASRock را در پارتیشن سیستمی EFI (ESP) کپی می‌کند. این Bootloader دارای یک آسیب‌پذیری شناخته شده است.

* سپس، Bootloader مخرب و اصلی خود را که فاقد امضای دیجیتال معتبر است، در همین پارتیشن قرار می‌دهد.

* در نهایت، با استفاده از دسترسی به متغیرهای UEFI (که در مرحله قبل کسب کرد)، ترتیب بوت (BootOrder) را تغییر می‌دهد تا سیستم در راه‌اندازی بعدی، ابتدا Bootloader آسیب‌پذیر ASRock را اجرا کند.

4. اجرای پیش از سیستم‌عامل (Pre-OS Execution) و رمزنگاری MFT:

* پس از Restart شدن سیستم، UEFI Firmware ابتدا Bootloader مربوط به ASRock را بارگذاری می‌کند. از آنجایی که این فایل دارای امضای دیجیتال معتبر است، Secure Boot هیچ خطایی شناسایی نکرده و اجازه اجرای آن را می‌دهد.

* بوت لودر آسیب‌پذیر ASRock پس از اجرا، به مهاجم اجازه می‌دهد تا مکانیزم‌های امنیتی را غیرفعال کرده و کنترل را به Bootloader مخرب و بدون امضا واگذار کند. در این لحظه، زنجیره اعتماد (Chain of Trust) که Secure Boot بر پایه آن بنا شده، شکسته می‌شود.

* بوت لودر مخرب کنترل کامل سیستم را در اختیار گرفته و با الهام از Ransomware Petya ، شروع به رمزنگاری Master File Table (MFT) درایو NTFS می‌کند. این کار باعث می‌شود ساختار فایل سیستم از بین رفته و سیستم‌عامل دیگر قادر به بوت شدن نباشد.

* در نهایت، یک یادداشت باج‌خواهی (Ransom Note) روی صفحه نمایش داده می‌شود و سیستم قفل می‌شود.

5. رمزنگاری فایل‌ها (File Encryption): بخش "هیبریدی" این بدافزار به مؤلفه Ransomware آن بازمی‌گردد که پیش از راه‌اندازی مجدد سیستم**، فایل‌های کاربر را نیز به صورت جداگانه رمزنگاری می‌کند. این یعنی حتی اگر قربانی راهی برای ترمیم MFT پیدا کند، فایل‌هایش همچنان رمزنگاری شده باقی می‌مانند.

قلب تپنده حمله: تکنیک Bypass کردن Secure Boot در سطح APT

تکنیکی که HybridPetya برای دور زدن Secure Boot استفاده می‌کند، یک نسخه از حملات شناخته شده به نام "Bring Your Own Vulnerable Driver" (BYOVD) است که در اینجا برای Bootloader پیاده‌سازی شده است. این تکنیک دقیقاً مشابه روشی است که توسط Bootkit بسیار پیشرفته BlackLotus (که به گروه‌های APT نسبت داده می‌شود) استفاده شد.

* منطق حمله: Secure Boot برای اطمینان از اینکه تنها کدهای معتبر (با امضای دیجیتال صحیح) در فرآیند بوت اجرا می‌شوند، طراحی شده است. مهاجمان با پیدا کردن یک قطعه کد قانونی و امضاشده (مانند یک درایور یا Bootloader) که دارای آسیب‌پذیری است، از "اعتماد" سیستم به آن امضا سوءاستفاده می‌کنند. آن‌ها این قطعه کد معتبر را به عنوان یک "اسب تروآ" وارد سیستم کرده و سپس از طریق آسیب‌پذیری موجود در آن، کد مخرب و بدون امضای خود را اجرا می‌کنند.

✅#BUTERAT

بدافزار BUTERAT: بکدور پیشرفته برای حملات ماندگار

مقدمه: در دنیای تهدیدات سایبری، بدافزارها هر روز پیچیده‌تر و پنهان‌کارتر می‌شوند. یکی از نمونه‌های برجسته این نسل جدید از تهدیدات ، Backdoor.Win32.BUTERAT است. این بدافزار که توسط تیم اطلاعات تهدید Lat61 مورد تحلیل قرار گرفته، یک بکدور خطرناک است که با هدف ایجاد دسترسی پایدار و بلندمدت در شبکه‌های سازمانی و دولتی طراحی شده است. برخلاف بدافزارهایی که به‌دنبال تخریب فوری یا سرقت آنی اطلاعات هستند، BUTERAT با تمرکز بر پنهان‌کاری و ماندگاری، به مهاجمان اجازه می‌دهد تا کنترل کامل سیستم‌های آلوده را در دست گرفته، payloadهای بیشتری را تزریق کنند، اطلاعات حساس را به سرقت ببرند و در شبکه به‌صورت جانبی حرکت کنند (Lateral Movement).

آناتومی فنی و تکنیک‌های تهاجمی

۔BUTERAT مجموعه‌ای از تکنیک‌های پیشرفته را برای نفوذ، پایداری و پنهان‌سازی فعالیت‌های خود به کار می‌گیرد که آن را در سطح تهدیدات پیشرفته و مستمر (APT) قرار می‌دهد.

۱. مکانیزم پایداری

پس از اجرای اولیه، BUTERAT برای اطمینان از بقای خود حتی پس از راه‌اندازی مجدد سیستم، اقدام به دستکاری رجیستری ویندوز می‌کند. این بدافزار با ایجاد یا تغییر کلیدهای رجیستری، خود را در فرآیند Startup سیستم‌عامل قرار می‌دهد. علاوه بر این، فرآیندهای خود را تحت نام‌های سرویس‌های سیستمی و مشروع ویندوز مخفی می‌کند تا از دید ابزارهای مانیتورینگ اولیه پنهان بماند.

۲. تکنیک ربایش Thread از طریق SetThreadContext

یکی از پیچیده‌ترین و قابل‌توجه‌ترین تکنیک‌های مورد استفاده توسط BUTERAT، سوءاستفاده از تابع API ویندوز به نام SetThreadContext است. این تکنیک که به آن Thread Hijacking نیز گفته می‌شود، به بدافزار اجازه می‌دهد تا یک Thread فعال در یک فرآیند مشروع را به حالت تعلیق (Suspend) درآورد، Context (مجموعه رجیسترهای CPU) آن را با مقادیر دلخواه خود جایگزین کند و سپس اجرای Thread را از سر بگیرد.

این روش چندین مزیت استراتژیک برای مهاجم دارد:
* پنهان‌کاری فوق‌العاده: از آنجایی که هیچ فرآیند جدیدی ایجاد نمی‌شود، شناسایی آن برای ابزارهای امنیتی مبتنی بر رفتار (Behavioral-based) بسیار دشوار است.

* دور زدن مکانیزم‌های دفاعی: بسیاری از راهکارهای امنیتی، بر روی مانیتورینگ نقطه ورود (Entry Point) فرآیندها تمرکز دارند. این تکنیک، نقطه ورود را دور زده و کد مخرب را مستقیماً در حافظه یک فرآیند معتبر اجرا می‌کند.

۳. ارتباطات فرمان و کنترل

۔BUTERAT برای دریافت دستورات و ارسال اطلاعات، از کانال‌های ارتباطی رمزنگاری‌شده (Encrypted) یا مبهم‌سازی‌شده (Obfuscated) استفاده می‌کند. این امر تحلیل ترافیک شبکه و شناسایی ارتباطات مخرب را برای تیم‌های امنیتی به یک چالش جدی تبدیل می‌کند.

در تحلیل‌های صورت‌گرفته، مشخص شده است که این بدافزار با سرور C2 خود در آدرس http://ginomp3.mooo.com/ ارتباط برقرار می‌کند.

یک نسخه خاص از این بدافزار با نام Backdoor.Win32.Buterat.cxq رفتاری متفاوت از خود نشان می‌دهد؛ این نسخه بسته‌های SYN را به پورت TCP شماره 3000 ارسال می‌کند که می‌تواند به عنوان یک شناسه شناسایی در ترافیک شبکه مورد استفاده قرار گیرد.

۴. افزایش سطح دسترسی

نسخه Buterat.cxq یک آسیب‌پذیری خطرناک در سیستم قربانی ایجاد می‌کند. این بدافزار یک دایرکتوری با نام C:\process ایجاد کرده و به گروه کاربری Authenticated Users سطح دسترسی تغییر (Change Permission) می‌دهد. این پیکربندی ناامن به یک کاربر با سطح دسترسی پایین اجازه می‌دهد تا فایل‌های اجرایی خود را در این مسیر قرار داده و با سطح دسترسی بالاتر اجرا کند. این تکنیک در چارچوب MITRE ATT&CK تحت شناسه T1222: File and Directory Permissions Modification طبقه‌بندی می‌شود.

شاخص‌های آلودگی:

برای شناسایی و شکار این تهدید، تیم‌های امنیتی می‌توانند از IOCهای زیر بهره‌برداری کنند:

شاخص‌های شبکه (Network IOCs):

* دامنه C2: ginomp3.mooo.com

* ترافیک غیرعادی: هرگونه ترافیک خروجی به دامنه بالا یا ارسال بسته‌های SYN به پورت TCP 3000.

شاخص‌های مبتنی بر میزبان:

* ایجاد دایرکتوری: وجود دایرکتوری C:\process با سطح دسترسی ناامن.

* فایل‌های Dropped شده: مشاهده فایل‌های اجرایی زیر در مسیر C:\Users\Admin (یا پروفایل کاربر فعال):
* amhost.exe
* bmhost.exe
* cmhost.exe
* dmhost.exe
* lqL1gG.exe

سخن پایانی

۔ Backdoor.Win32.BUTERAT نمونه‌ای کامل از یک بدافزار مدرن، پنهان‌کار و پایدار است که با هدف نفوذ عمیق و بلندمدت به زیرساخت‌های حیاتی طراحی شده است. استفاده از تکنیک‌های پیشرفته‌ای مانند Thread Hijacking و ایجاد کانال‌های ارتباطی رمزنگاری‌شده، نشان‌دهنده سطح بالای مهارت توسعه‌دهندگان آن است

@NullError_ir

✅#Process_Monitor

ساده اما کاربردی

یک ابزار مانیتورینگ فرآیندهای سیستم مبتنی بر ترمینال (TUI) که با زبان Go نوشته شده است.

## ✨ ویژگی‌ها

* لیست زنده پروسس ها: نمایش لحظه‌ای تمام فرآیندهای سیستم به همراه روابط (Parents - children).

* جزئیات پروسس : نمایش جزئیات کامل هر فرآیند شامل منابع مصرفی (CPU و حافظه)، فایل‌های باز شده و اتصالات شبکه.

* تحلیل پروسس: مجهز به یک موتور قوانین ساده برای شناسایی فعالیت‌های مشکوک (مانند اجرا از مسیرهای نامعتبر یا باینری‌های حذف شده).

* مانیتورینگ شبکه: نمایش تمام اتصالات شبکه برای هر فرآیند به همراه IP لوکال، IP ریموت و IP عمومی اینترنت شما.

* جستجو و فیلتر آنی: قابلیت جستجوی سریع در میان تمام فرآیندها بر اساس نام، PID

* حالت فریز (Freeze): فرآیند در پنل جزئیات آن "فریز" می‌شود تا بتوانید اطلاعات را با دقت بررسی، کپی یا اسکرین‌شات تهیه کنید، در حالی که لیست فرآیندها زنده باقی می‌ماند.

@NullError_ir

✅#SEO_Poisoning

کمپین جدید SEO Poisoning:
هدف قرار دادن کاربران با سایت‌های دارای نرم‌افزار آلوده

یک کمپین بسیار پیچیده با استفاده از تکنیک SEO Poisoning، کاربران چینی‌زبان سیستم‌عامل ویندوز را هدف قرار داده است. مهاجمان در این حمله، با ایجاد دامنه‌های جعلی که شباهت بسیار زیادی به وب‌سایت‌های اصلی نرم‌افزارهای محبوب (مانند DeepL) دارند و دستکاری نتایج جستجو، کاربران را به سمت دانلود نصب‌کننده‌های آلوده (Weaponized Installers) هدایت می‌کنند.

فاز اول: فریب و دسترسی اولیه (Deception & Initial Access)

زنجیره حمله با یک جستجوی ساده توسط کاربر آغاز می‌شود.

1۔ SEO Poisoning: مهاجمان با استفاده از پلاگین‌های سئو و تکنیک‌های دیگر، وب‌سایت‌های مخرب خود را برای جستجوی نرم‌افزارهای پرطرفدار، به رتبه‌های بالای موتورهای جستجو می‌رسانند.

2۔ Lookalike Domains: دامنه‌های استفاده شده در این حمله، با تفاوت‌های جزئی (مانند یک حرف اضافه یا جابجا) نسبت به دامنه اصلی طراحی شده‌اند تا مشروع به نظر برسند.

3۔ Lure: کاربری که به دنبال نرم‌افزاری مانند DeepL می‌گردد، روی لینک مخرب کلیک کرده و وارد صفحه‌ای کاملاً مشابه با وب‌سایت اصلی می‌شود. این صفحه کاربر را تشویق به دانلود فایل نصب‌کننده می‌کند.

فاز دوم: مکانیزم آلودگی و اجرای چندمرحله‌ای

هسته اصلی این حمله، یک اسکریپت لودر به نام nice.js است که در وب‌سایت جعلی تعبیه شده. این اسکریپت یک فرآیند دانلود چندمرحله‌ای و هوشمندانه را برای پنهان کردن URL نهایی payload اجرا می‌کند.

1. اسکریپت nice.js : به محض بارگذاری صفحه، این اسکریپت فعال شده و یک زنجیره از درخواست‌ها را برای دریافت URL نهایی فایل نصب‌کننده ارسال می‌کند. این فرآیند با دریافت پاسخ‌های JSON، مرحله به مرحله به لینک نهایی می‌رسد. این تکنیک به مهاجم اجازه می‌دهد تا Payload را بر اساس نوع دستگاه کاربر یا دامنه مبدأ، به صورت پویا تغییر دهد و از شناسایی شدن فرار کند.

2. نصب‌کننده MSI آلوده: کاربر نهایتاً یک فایل نصب‌کننده MSI را دانلود می‌کند. این فایل شامل نصب‌کننده قانونی نرم‌افزار DeepL است که با یک فایل DLL مخرب به نام EnumW.dll ترکیب شده است.

3. افزایش سطح دسترسی (Privilege Escalation): پس از اجرا، نصب‌کننده MSI سطح دسترسی خود را به Administrator ارتقا می‌دهد.


فاز سوم: تکنیک‌های (Anti-Analysis & Evasion)

این بدافزار از تکنیک‌های پیشرفته‌ای برای اطمینان از اینکه فقط روی سیستم قربانی واقعی و نه در محیط‌های تحلیل (Sandbox) یا ماشین‌های مجازی (VM) اجرا می‌شود، استفاده می‌کند:

1۔ Parent Process Checks: بررسی می‌کند که توسط چه فرآیندی اجرا شده است.

2۔ Sleep Integrity Verification: با ارسال کوئری‌های HTTP و بررسی هدر Date ، یکپارچگی توابع تاخیر (Sleep) را می‌سنجد تا از تکنیک‌های Fast-Forwarding در سندباکس‌ها جلوگیری کند.

3۔ ACPI Table Inspections: جداول ACPI سیستم را برای شناسایی نشانه‌های مجازی‌سازی بررسی می‌کند.

تنها پس از موفقیت در این بررسی‌ها، بدافزار Payload نهایی خود را بازسازی و اجرا می‌کند.

فاز چهارم: استقرار Payload نهایی و ماندگاری (Payload Deployment & Persistence)

1. بازسازی Payload: فایل DLL مخرب (EnumW.dll) تابعی به نام ooo89 را اجرا می‌کند. این تابع، مجموعه‌ای از فایل‌های ZIP تکه‌تکه شده (با نام‌های temp_data_1 تا temp_data_55 ) را از دایرکتوری سیستم پیدا کرده، آن‌ها را به یکدیگر متصل و یک فایل واحد به نام emoji.dat را ایجاد می‌کند. این فایل در واقع Payload نهایی است که پس از خارج شدن از حالت فشرده، مستقر می‌شود.

2۔ Side-Loading برای ماندگاری: برای تضمین ماندگاری، بدافزار از تکنیک DLL Side-Loading استفاده می‌کند. یک فایل vstdlib.dll پک شده در کنار فایل‌های اجرایی دیگر قرار می‌گیرد تا هر بار که آن نرم‌افزار قانونی اجرا می‌شود، DLL مخرب نیز به صورت خودکار بارگذاری شود. این روش تحلیل را بسیار دشوار می‌کند.

### خلاصه مطلب

این کمپین نشان‌دهنده سطح بالایی از پیچیدگی در حملات SEO Poisoning است. مهاجمان با ترکیب دامنه‌های جعلی، زنجیره دانلود چندمرحله‌ای، تکنیک‌های پیشرفته فرار از تحلیل و مکانیزم‌های ماندگاری هوشمندانه، شناسایی و مقابله را برای کاربران عادی و حتی سیستم‌های امنیتی سنتی دشوار کرده‌اند.

@NullError_ir

✅#Phoenix

آسیب‌پذیری جدید در حافظه‌های DDR5

حمله‌ی Phoenix در دسته‌ی حملات Rowhammer

برای درک Phoenix، ابتدا باید Rowhammer را بشناسیم. در حملات Rowhammer، مهاجم با دسترسی مکرر و سریع (Hammering) به یک ردیف (Row) از سلول‌های حافظه، باعث ایجاد اختلال الکتریکی و نشت بار در ردیف‌های مجاور می‌شود. این نشت بار می‌تواند مقدار یک بیت (از 0 به 1 یا برعکس) را در آن ردیف‌های مجاور تغییر دهد.

این حمله نشان می‌دهد که تمام دستگاه‌های حافظه DDR5 ساخت شرکت SK Hynix (بزرگترین تولیدکننده DRAM در حال حاضر) همچنان به نسخه جدیدی از حملات Rowhammer آسیب‌پذیر هستند. محققان با مهندسی معکوس مکانیزم‌های دفاعی in-DRAM Rowhammer این شرکت، به ساختار حفاظتی پیچیده‌تری پی بردند که در برابر تمام الگوهای (Patterns) شناخته‌شده‌ی Rowhammer مقاومت می‌کند. با این حال، آن‌ها با طراحی آزمایش‌های دقیق، نقاط کور (blind spots) این مکانیزم‌های دفاعی را شناسایی کردند.

مشخص شد که مکانیزم دفاعی، برخی از فواصل زمانی refresh را نمونه‌برداری (sample) نمی‌کند. این کشف به محققان اجازه داد تا دو الگوی جدید و بسیار طولانی Rowhammer را بسازند که به طور مؤثر این دفاع را دور می‌زنند. برای اجرای این الگوهای طولانی که هزاران بازه‌ی refresh را پوشش می‌دهند، یک روش جدید همگام‌سازی به نام Phoenix’s self-correcting refresh synchronization ابداع شد. این روش به طور خودکار عدم هم‌زمانی با یک عملیات refresh را تشخیص داده و اجرای الگو را مجدداً تنظیم می‌کند.

ارزیابی Phoenix روی ۱۵ ماژول (DIMM) حافظه DDR5 از SK Hynix نشان داد که همه‌ی آن‌ها دارای bit flips هستند. همچنین، این bit flipها قابل بهره‌برداری (exploitable) بوده و محققان موفق شدند اولین اکسپلویت افزایش سطح دسترسی (privilege escalation) مبتنی بر Rowhammer را روی یک کامپیوتر با تنظیمات پیش‌فرض، تنها در ۱۰۹ ثانیه اجرا کنند.

### مهندسی معکوس DDR5

محققان از آزمایش‌های مبتنی بر FPGA برای مطالعه رفتار مکانیزم دفاعی Target Row Refresh (TRR) استفاده کردند.

*۔ Zooming Out: آن‌ها با اجرای الگوهای Rowhammer با طول‌های افزایشی دریافتند که دوره‌ی نمونه‌برداری (sampling period) مکانیزم دفاعی پس از ۱۲۸ بازه‌ی زمانی tREFI تکرار می‌شود. این دوره، ۸ برابر بزرگتر از دوره‌ی نمونه‌برداری در نظر گرفته شده توسط الگوهای Rowhammer موجود است.

*۔ Zooming In: بررسی دقیق‌تر نشان داد که در نیمه‌ی اول این دوره (۶۴ بازه‌ی tREFI اول)، رفتار نمونه‌برداری ثابتی وجود ندارد. اما در نیمه‌ی دوم (۶۴ بازه‌ی tREFI آخر)، یک الگوی تکرارشونده در هر چهار بازه دیده می‌شود. به طور مشخص، در دو بازه‌ی اول از این چهار بازه، تقریباً هیچ نمونه‌برداری‌ای رخ نمی‌دهد. این بازه‌ها lightly sampled intervals نام‌گذاری شدند و نقطه‌ی کور اصلی برای طراحی حمله محسوب می‌شوند.

### الگوهای جدید Rowhammer

با استفاده از نتایج مهندسی معکوس، دو الگوی جدید Rowhammer طراحی شد که مجموعاً مکانیزم‌های دفاعی تمام ۱۵ ماژول DDR5 تست شده را دور می‌زنند.

* الگوی کوتاه‌تر (P128): این الگو از ۱۲۸ بازه‌ی tREFI تشکیل شده است. در نیمه‌ی اول الگو، به دلیل رفتار نمونه‌برداری نامنظم، هیچ عملیات Hammering انجام نمی‌شود. در نیمه‌ی دوم، حمله تنها روی بازه‌های lightly sampled متمرکز می‌شود.

* افزایش احتمال موفقیت: الگوی حمله باید با وضعیت داخلی شمارنده‌ی refresh مکانیزم TRR دقیقاً هم‌تراز (align) شود. مشخص شد که تنها ۲ آفست از ۱۲۸ آفست ممکن (۱.۵۶٪) آسیب‌پذیر هستند. برای افزایش شانس برخورد با آفست آسیب‌پذیر، محققان نسخه‌های شیفت‌داده‌شده‌ی الگو را به صورت موازی روی چهار bank مختلف اجرا کردند. این کار احتمال موفقیت را ۱۶ برابر افزایش داد و به ۲۵٪ رساند.


### همگام‌سازی خود-اصلاح‌گر (Self-Correcting Synchronization)

یکی از چالش‌های اصلی در پیاده‌سازی الگوهای Phoenix روی یک سیستم عادی، طول بسیار زیاد آن‌هاست (تا ۱۶۳ برابر طولانی‌تر از الگوهای فعلی). این طول زیاد، همگام ماندن با دستورات refresh را بسیار دشوار می‌کند و روش‌های موجود مانند Zenhammer در این سناریو ناموفق بودند.

برای غلبه بر این چالش، روش جدید self-correcting refresh synchronization طراحی شد. این متد به جای تلاش برای شناسایی دقیق *هر* دستور refresh، بر تناوب زمانی این دستورات تکیه می‌کند. هر زمان که تشخیص دهد یک refresh از دست رفته است، به طور خودکار اجرای الگوی hammer را مجدداً تراز می‌کند. این نوآوری امکان همگام ماندن برای هزاران بازه‌ی refresh را فراهم می‌آورد.

✅#AWS_Door

یک تکنیک پیشرفته و پنهان‌کارانه برای ایجاد Persistence در زیرساخت AWS

مهاجمان پس از دسترسی اولیه به یک محیط ابری ، همواره به دنبال روش‌هایی برای حفظ دسترسی خود هستند تا بتوانند در آینده نیز به اهداف خود ادامه دهند. جدیدا محققان ، یک تکنیک بسیار پیشرفته، هوشمندانه و پنهان‌کارانه را برای ایجاد Backdoor در محیط Amazon Web Services (AWS) با نام AWS-Door را کشف کرده اند که در مقایسه با تکنیک‌های رایج مانند ایجاد AccessKey برای یک کاربر IAM، به مراتب سخت‌تر قابل شناسایی است و به مهاجم اجازه می‌دهد تا یک دسترسی پایدار، مخفی و بلندمدت را برای خود تضمین کند.

مکانیزم عملکرد تکنیک AWS-Door

ایده اصلی این تکنیک، نه ایجاد یک کاربر یا کلید دسترسی جدید، بلکه سوءاستفاده از و دستکاری Trust Policy در یک IAM Role موجود است. به جای اینکه مهاجم یک هویت جدید در اکانت قربانی ایجاد کند، به یک هویت (کاربر یا Role) در اکانت تحت کنترل خود ، اجازه دسترسی به اکانت قربانی را می‌دهد.

این فرآیند در چند مرحله کلیدی انجام می‌شود:

۱. شناسایی یک IAM Role با سطح دسترسی بالا

اولین قدم برای مهاجم، یافتن یک IAM Role در اکانت قربانی است که دارای سطح دسترسی‌های بالایی (مانند AdministratorAccess ) باشد. این Role هدف اصلی برای ایجاد Backdoor خواهد بود.

۲. دستکاری Trust Policy یا AssumeRolePolicy

هر IAM Role دارای یک Trust Policy است. این Policy مشخص می‌کند که چه موجودیت‌هایی (Principals) اجازه دارند این Role را Assume کرده و از دسترسی‌های آن استفاده کنند. مهاجم با داشتن دسترسی کافی (نیازمند iam:UpdateAssumeRolePolicy)، این Policy را به گونه‌ای تغییر می‌دهد که به یک IAM User یا IAM Role در اکانت AWS متعلق به خودش اجازه sts:AssumeRole بدهد.

به عنوان مثال، Trust Policy اصلی ممکن است به شکل زیر باشد:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

مهاجم آن را به شکل زیر تغییر می‌دهد و ARN مربوط به کاربر خود را در آن اضافه می‌کند:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::ATTACKER_ACCOUNT_ID:user/attacker-user"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

اکنون کاربر attacker-user از اکانت مهاجم ( ATTACKER_ACCOUNT_ID ) می‌تواند Role موجود در اکانت قربانی را Assume کرده و تمام دسترسی‌های آن را به دست آورد.

۳. افزایش پنهان‌کاری با استفاده از Condition و External ID

برای اینکه این Backdoor از دید تیم‌های امنیتی و ابزارهای مانیتورینگ مخفی بماند، مهاجمان از یک لایه پیچیدگی بیشتر استفاده می‌کنند: Condition و sts:ExternalId .

مهاجم می‌تواند یک Condition به Trust Policy اضافه کند که تنها در صورتی اجازه AssumeRole را بدهد که یک External ID خاص و محرمانه نیز در درخواست ارائه شود. External ID یک رشته دلخواه است که مهاجم آن را تعیین می‌کند.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::ATTACKER_ACCOUNT_ID:user/attacker-user"
  },
  "Action": "sts:AssumeRole",
  "Condition": {
    "StringEquals": {
      "sts:ExternalId": "UNIQUE-SECRET-STRING-CHOSEN-BY-ATTACKER"
    }
  }
}

این کار دو مزیت اساسی برای مهاجم دارد:

* پنهان‌کاری بالا: بسیاری از اسکنرها و حتی تحلیل‌گران امنیتی، Trust Policy هایی که به اکانت‌های خارجی دسترسی می‌دهند را به عنوان یک پیکربندی رایج (مثلاً برای سرویس‌های Third-party) در نظر گرفته و به سادگی از کنار آن عبور می‌کنند. اما الزام وجود External ID ، این دسترسی را به یک کلید مخفی مشروط می‌کند.

* جلوگیری از حملات Confused Deputy : این مکانیسم از نظر فنی یک لایه امنیتی است، اما در اینجا توسط مهاجم برای کنترل انحصاری Backdoor مورد سوءاستفاده قرار می‌گیرد.

با این روش، مهاجم نیازی به ذخیره هیچ‌گونه Credential (مانند Access Key) در محیط قربانی ندارد و تمام عملیات را از اکانت خود و با هویت کنترل شده خود انجام می‌دهد.

## چرا AWS-Door یک تهدید جدی است؟

* ماندگاری بالا (High Durability): این Backdoor به تغییر رمز عبور کاربران، حذف AccessKey ها یا حتی حذف کاربری که مهاجم در ابتدا از طریق آن نفوذ کرده، وابسته نیست. تا زمانی که Trust Policy مربوط به آن IAM Role اصلاح نشود، دسترسی مهاجم باقی خواهد ماند.

✅#HoneySat

رونمایی از HoneySat : اولین تله فضایی که هکرهای ماهواره را شکار کرد!

دنیای امنیت سایبری همواره در حال گسترش مرزهای خود بوده است، اما اکنون این مرزها به معنای واقعی کلمه به فضا رسیده‌اند. ماهواره‌ها، که زمانی به دلیل پیچیدگی و دور از دسترس بودن، قلعه‌هایی نفوذناپذیر پنداشته می‌شدند، امروز به لطف پیشرفت‌های تکنولوژی و کاهش هزینه‌ها، به اهدافی قابل دسترس برای مهاجمان تبدیل شده‌اند. در چنین شرایطی، فقدان داده‌های واقعی و اطلاعات تهدید (Threat Intelligence) درباره چگونگی حملات به این زیرساخت‌های حیاتی، یک شکاف امنیتی مرگبار ایجاد کرده است.

به‌تازگی، مقاله‌ای با عنوان "HoneySat: A Network-based Satellite Honeypot Framework" که حاصل همکاری محققانی از دانشگاه‌های برجسته آمریکا، آلمان و شیلی است، پاسخی قاطع به این چالش داده است. آن‌ها موفق به ساخت و استقرار یک Honeypot ماهواره‌ای با سطح تعامل و واقع‌گرایی بسیار بالا شده‌اند که نه تنها توانسته مهاجمان واقعی را فریب دهد، بلکه برای اولین بار، تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTPs) آن‌ها را در عمل ثبت و ضبط کرده است.

پس‌زمینه: چرا امنیت ماهواره‌ها دیگر یک امر بدیهی نیست؟

امنیت ماهواره‌ها در گذشته بر پایه استراتژی "Security by Obscurity" (امنیت از طریق پنهان‌کاری) بنا شده بود. پروتکل‌های ارتباطی اختصاصی و معماری‌های پیچیده، مانعی طبیعی در برابر نفوذگران ایجاد می‌کردند. اما این دوران به سر آمده است:

1. تجاری‌سازی فضا (COTS): استفاده گسترده از قطعات آماده تجاری (Commercial Off-the-Shelf) هزینه ساخت ماهواره‌ها را به‌شدت کاهش داده است.

2. دموکراتیزه شدن دسترسی: کاهش هزینه‌های پرتاب و ظهور نرم‌افزارهای متن‌باز برای ایستگاه‌های زمینی، موانع فنی و مالی برای برقراری ارتباط (و حمله) با ماهواره‌ها را از میان برداشته است.

3. تبعات فاجعه‌بار: یک حمله موفق به زیرساخت‌های ماهواره‌ای می‌تواند به اختلال در مقیاس جهانی منجر شود؛ از کار افتادن سیستم‌های GPS و ناوبری هوایی گرفته تا قطع ارتباطات گسترده و فلج شدن تراکنش‌های مالی.

با وجود این تهدیدات فزاینده، جامعه امنیت اطلاعات تقریباً هیچ داده‌ای از حملات واقعی به ماهواره‌ها در دست نداشت. برای مثال، در چارچوب شناخته‌شده MITRE ATT&CK ، تنها یک گروه تهدید به طور مشخص با برچسب حمله به ماهواره‌ها شناسایی شده است که این خود گویای عمق این شکاف اطلاعاتی است.

معماری فریب: HoneySat چگونه کار می‌کند؟

هدف اصلی محققان، ساخت یک چارچوب Honeypot بود که سه ویژگی کلیدی داشته باشد: تعامل‌پذیری بالا (High-Interaction) ، واقع‌گرایی (Realism) و ماژولار بودن (Modularity) . HoneySat با شبیه‌سازی یک مأموریت کامل ماهواره‌ای (SmallSat)، مهاجم را در محیطی کاملاً قابل باور غرق می‌کند.

معماری آن از دو بخش اصلی تشکیل شده است:

۱. شبیه‌ساز بخش زمینی (Ground Segment Sims):

این بخش، ایستگاه کنترل زمینی را شبیه‌سازی می‌کند. مهاجمان از طریق نقاط ورودی مختلفی مانند VNC ، Telnet یا یک وب‌سرور به یک محیط دسکتاپ کامل دسترسی پیدا می‌کنند که نرم‌افزارهای کنترل مأموریت واقعی (مانند Gpredict و SUCHAI MCS) روی آن در حال اجرا هستند.

* نکته کلیدی: یک شبیه‌ساز رادیویی (Radio Simulator) در این بخش وجود دارد که بر اساس محاسبات دقیق مداری، پنجره‌های زمانی ارتباط با ماهواره (Satellite Pass) را شبیه‌سازی می‌کند. به این معنی که مهاجم فقط در زمان‌های مشخصی که ماهواره شبیه‌سازی‌شده در بالای افق قرار دارد، می‌تواند با آن ارتباط برقرار کند، که این خود یک لایه قدرتمند از واقع‌گرایی به سیستم اضافه می‌کند.

۲. شبیه‌ساز بخش فضایی (Space Segment Sims):

این بخش خودِ ماهواره را شبیه‌سازی می‌کند و قلب تپنده HoneySat است.

* نرم‌افزار پرواز (Flight Software): این Honeypot از نرم‌افزار پرواز متن‌باز و واقعی SUCHAI FS استفاده می‌کند که پیش از این در چهار مأموریت فضایی واقعی به کار گرفته شده است.

* شبیه‌ساز ماهواره (Satellite Simulator): یک برنامه شیءگرای بسیار دقیق به زبان پایتون که فرآیندهای فیزیکی ماهواره مانند مدار (Orbit) ، وضعیت (Attitude) ، سیستم تغذیه (Power) ، شرایط حرارتی و میدان مغناطیسی را به همراه ۱۱ سنسور و ۴ زیرسیستم شبیه‌سازی می‌کند.

این دو بخش در یک محیط ایزوله دو لایه (کانتینرهای Docker درون یک Virtual Machine) مستقر شده‌اند تا در صورت compromise شدن Honeypot، هیچ خطری سیستم میزبان را تهدید نکند.

نتایج شگفت‌انگیز: از تئوری تا شکار مهاجمان واقعی

اثربخشی HoneySat در چندین سطح به اثبات رسیده است:

✅#KSMBDrain

آسیب‌پذیری KSMBDrain :
حمله DoS از طریق اشباع منابع در کرنل لینوکس

اخیراً یک آسیب‌پذیری جدی از نوع Denial-of-Service (DoS) در زیرسیستم KSMBD کرنل لینوکس شناسایی شده است که با شناسه CVE-2025-38501 ردیابی می‌شود. این ضعف امنیتی به یک مهاجم راه دور و غیر احراز هویت شده اجازه می‌دهد تا با بهره‌برداری از نحوه مدیریت نشست‌های نیمه‌باز TCP (Half-Open TCP sessions) توسط کرنل، تمامی اتصالات SMB موجود روی سرور را به اتمام رسانده و آن را از دسترس خارج کند.

یک اکسپلویت عمومی با نام KSMBDrain نیز منتشر شده که به وضوح نشان می‌دهد چگونه مهاجمان می‌توانند به سادگی با ارسال هزاران درخواست برای برقراری ارتباط سه‌مرحله‌ای TCP (Three-way Handshake) و عدم تکمیل آن، سرور KSMBD را تحت فشار قرار دهند و باعث شوند سرور سوکت‌های (sockets) ارتباطی را به طور نامحدود در حالت انتظار نگه دارد.

مکانیزم فنی آسیب‌پذیری: چگونه حمله کار می‌کند؟

ریشه این آسیب‌پذیری در رفتار پیش‌فرض KSMBD نهفته است که اتصالات ناقص را بدون هیچ‌گونه محدودیت بالایی برای سوکت‌های در حالت SYN-ACK ، حفظ می‌کند. برای درک بهتر، فرآیند را مرحله به مرحله بررسی می‌کنیم:

1. برقراری ارتباط TCP: در یک ارتباط عادی، کلاینت یک بسته SYN ارسال می‌کند. سرور با یک بسته SYN-ACK پاسخ می‌دهد و منتظر بسته نهایی ACK از سمت کلاینت می‌ماند تا ارتباط برقرار شود.

2. ایجاد نشست نیمه‌باز (Half-Open Session): مهاجم با ارسال یک بسته SYN فرآیند را آغاز می‌کند. سرور طبق پروتکل، با SYN-ACK پاسخ می‌دهد و یک اسلات اتصال (connection slot) را به این درخواست اختصاص می‌دهد.

3. نقطه ضعف KSMBD: مهاجم هرگز بسته نهایی ACK را ارسال نمی‌کند. در این وضعیت، KSMBD به اشتباه این اتصال نیمه‌باز را برای مدت طولانی (یا حتی نامحدود بسته به تنظیمات) باز نگه می‌دارد، به امید اینکه کلاینت فرآیند را تکمیل کند.

4. اشباع منابع (Resource Exhaustion): مهاجم این فرآیند را به طور مکرر و با سرعت بالا از یک یا چند آدرس IP تکرار می‌کند. با هر درخواست SYN ، یک اسلات اتصال دیگر اشغال می‌شود. این کار تا جایی ادامه پیدا می‌کند که به آستانه max_connections تعریف شده در فایل /etc/ksmbd/ksmbd.conf می‌رسد.

5. نتیجه: Denial of Service: پس از پر شدن تمام اسلات‌های اتصال، سرور دیگر قادر به پذیرش هیچ‌گونه اتصال SMB جدیدی نخواهد بود. در نتیجه، کاربران قانونی که قصد دسترسی به فایل‌های اشتراکی یا استفاده از سرویس‌های احراز هویت متکی بر SMB را دارند، با خطا مواجه شده و سرویس به طور کامل از دسترس خارج می‌شود.

حتی اگر مدیر سیستم مقدار handshake_timeout را به عدد پایینی (مثلاً یک دقیقه) کاهش دهد، این کار تنها سرعت حمله را کند می‌کند اما مانع آن نمی‌شود؛ زیرا مهاجم می‌تواند به طور مداوم نشست‌های نیمه‌باز جدیدی ایجاد کرده و منابع را اشباع نگه دارد.

راهکارهای مقابله و استراتژی‌های دفاعی

مقابله با این آسیب‌پذیری نیازمند یک رویکرد چندلایه است. در ادامه راهکارهای اصلی و تکمیلی به ترتیب اولویت ارائه می‌شوند.

۱. راهکار اصلی: به‌روزرسانی فوری کرنل (Patching)

این آسیب‌پذیری از زمانی که ماژول KSMBD در نسخه 5.3 به شاخه اصلی کرنل لینوکس اضافه شد، وجود داشته است. توسعه‌دهندگان کرنل این مشکل را در commit e6bb9193974059ddbb0ce7763fa3882bd60d4dc3 برطرف کرده‌اند. این پچ، یک محدودیت backlog قابل تنظیم و یک آستانه کوتاه‌تر برای tcp_synack_retries برای سوکت‌های نیمه‌باز اعمال می‌کند.

اقدام فوری: سیستم‌عامل خود را به نسخه‌ای که از کرنل لینوکس 6.1.15 یا بالاتر استفاده می‌کند، ارتقا دهید. توزیع‌های اصلی لینوکس در حال انتشار بسته‌های به‌روزشده کرنل هستند.

۲. راهکارهای تکمیلی (در صورت عدم امکان به‌روزرسانی فوری)

اگر ارتقای فوری کرنل امکان‌پذیر نیست، می‌توانید از راهکارهای زیر برای کاهش ریسک (Mitigation) بهره ببرید:

محدودسازی نرخ درخواست (Network-level Rate Limiting):

با استفاده از فایروال‌هایی مانند iptables یا nftables ، یک قانون برای محدود کردن تعداد اتصالات جدید روی پورت TCP 445 در یک بازه زمانی مشخص، تنظیم کنید. این کار باعث می‌شود مهاجم نتواند به سرعت منابع را اشباع کند.

*مثال مفهومی در iptables*:

# Limit new connections to 10 per minute from a single IP

iptables -A INPUT -p tcp --dport 445 --syn -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT
    

تنظیمات سخت‌گیرانه‌تر فایروال:
تنها به آدرس‌های IP معتبر و مورد اعتماد اجازه دسترسی به پورت 445 را بدهید. این راهکار در شبکه‌های داخلی بسیار مؤثر است.

✅#Pixie_Dust

حمله وای‌فای Pixie Dust :
بهره‌برداری از WPS روترها برای استخراج پین و نفوذ به شبکه بی‌سیم

حمله Pixie Dust که اخیراً دوباره به طور گسترده‌ای مورد بحث قرار گرفته، بار دیگر آسیب‌پذیری‌های حیاتی و ذاتی پروتکل Wi-Fi Protected Setup (WPS) را آشکار ساخته است. این حمله به مهاجمان اجازه می‌دهد تا پین WPS روتر را به صورت آفلاین استخراج کرده و به سادگی به شبکه بی‌سیم متصل شوند.

این اکسپلویت با هدف قرار دادن ضعف در فرآیند تولید اعداد تصادفی (randomization) در nonce های صادر شده از سوی registrar (معمولاً روتر)، مکانیزم امنیتی طراحی شده برای WPS را تضعیف می‌کند، بدون آنکه نیازی به نزدیکی فیزیکی به هدف یا استفاده از سخت‌افزارهای پیچیده داشته باشد. متخصصان دفاع سایبری و کاربران خانگی به طور یکسان باید فوراً ویژگی WPS را در تجهیزات خود به‌روزرسانی یا غیرفعال کنند تا ریسک دسترسی‌های غیرمجاز را به حداقل برسانند.

حمله Pixie Dust

پروتکل WPS با هدف ساده‌سازی فرآیند اتصال به شبکه‌های Wi-Fi طراحی شد تا کاربران بتوانند با استفاده از یک پین ۸ رقمی کوتاه، به جای رمز عبور طولانی WPA2-PSK ، به شبکه متصل شوند. طبق تحلیل‌های منتشر شده توسط NetRise ، در حمله Pixie Dust ، مهاجمان از دو نقص فنی حیاتی در فرآیند handshake چهار مرحله‌ای WPS بهره‌برداری می‌کنند:

1. در طول تبادل EAP-TLS ، روترها دو nonce ثبت‌کننده ( registrar nonces ) ۱۲۸ بیتی به نام‌های Nonce-1 و Nonce-2 تولید و صادر می‌کنند.

2. به دلیل پیاده‌سازی ضعیف و ناقص الگوریتم تولید اعداد تصادفی (Random Number Generator) در firmware بسیاری از روترها، این nonce ها یا قابل پیش‌بینی هستند یا در جلسات (sessions) مختلف تکرار می‌شوند. مهاجمان فریم‌های اولیه EAPoL را شنود (intercept) کرده و با تحلیل آن‌ها، مقادیر registrar nonces را به صورت آفلاین محاسبه می‌کنند.


بازیابی پین به صورت آفلاین

پس از به دست آوردن nonceها،مهاجم مقادیر HMAC-MD5 را که برای تأیید اعتبار پین استفاده می‌شوند، بازسازی می‌کند. از آنجایی که محاسبات پین WPS به دو بخش مجزا تقسیم می‌شود، مهاجم با پیمایش تنها ۱۱,۰۰۰ حالت ممکن برای نیمه اول پین (که رقم آخر آن یک checksum است) و ۱,۰۰۰ حالت برای نیمه دوم، می‌تواند پین ۸ رقمی کامل را در عرض چند دقیقه کشف کند. این فرآیند به مراتب سریع‌تر از یک حمله brute-force مستقیم روی رمز عبور WPA2 است.

ابزارهای فنی محبوبی مانند Reaver و Bully با افزودن یک فلگ (flag) به نام pixie-dust توسعه یافته‌اند تا فرآیند تحلیل nonce و استخراج پین را خودکارسازی کنند. یک دستور حمله نمونه به شکل زیر است:

سلب مسئولیت : سواستفاده از این موضوع به عهده نویسنده نمی‌باشد

reaver -i wlan0mon -b AA:BB:CC:DD:EE:FF --pixie-dust -vv

نکته : 😜 در حمله Pixie Dust که به صورت آفلاین انجام می‌شود و نیازی به brute-force آنلاین ندارد، تأخیر زمانی بی‌معنی است.

فرآیند نهایی نفوذ و استخراج WPA2-PSK

پس از بازیابی موفقیت‌آمیز پین WPS، مهاجم یک پیام نهایی EAP-TLS EAP-Response حاوی پین صحیح را به روتر ارسال می‌کند. روتر در پاسخ، پیام EAP-Success را برمی‌گرداند و به دستگاه مهاجم نقش registrar را اعطا می‌کند. در این مرحله، مهاجم می‌تواند کلید از پیش اشتراک‌گذاری شده (Pre-Shared Key یا PSK) پروتکل WPA2 را مستقیماً از روتر درخواست و استخراج کند:

1. مهاجم مشخصه (attribute) WSC NVS PIN را درخواست می‌کند.

2. روتر در پاسخ، Network Key را که همان WPA2-PSK است، برای مهاجم ارسال می‌کند.

با در اختیار داشتن PSK ، مهاجم دیگر نیازی به استفاده از WPS ندارد و می‌تواند مانند هر کلاینت قانونی دیگری به شبکه متصل شود.

مقابله

نکته کلیدی این است که آسیب‌پذیری Pixie Dust کاملاً در پروتکل WPS رخ می‌دهد و خود پروتکل WPA2 همچنان امن باقی می‌ماند؛ با این حال، دور زدن مکانیزم احراز هویت مبتنی بر پین، عملاً حفاظت ارائه شده توسط WPA2 را بی‌اثر می‌کند.

✅#facebook

کمپین فیشینگ جدید برای سرقت اطلاعات کاربران فیس‌بوک

در دنیای امنیت سایبری، حملات فیشینگ از ساده‌ترین و قدیمی‌ترین تکنیک‌ها برای نفوذ به حساب‌های کاربری هستند. اما Threat Actorها همیشه در حال تکامل روش‌های خود هستند. اخیراً یک کمپین فیشینگ پیچیده و هوشمندانه شناسایی شده که برخلاف روش‌های سنتی، از زیرساخت‌های خود فیس‌بوک برای اعتباربخشیدن به لینک‌های مخرب استفاده می‌کند. این تکنیک، خطرات جدیدی را برای کاربران و سیستم‌های امنیتی به وجود آورده است.

جزئیات حمله:

این حمله که توسط تحلیلگران امنیتی شناسایی شده، یک عملیات فیشینگ هدفمند است که با دقت بالا طراحی شده تا از سد فیلترهای امنیتی ایمیل عبور کند و اعتماد کاربر را جلب نماید.

1. طراحی طعمه :

ظاهر فریبنده: حمله با ارسال یک ایمیل فیشینگ آغاز می‌شود که ظاهری کاملاً مشابه ایمیل‌های امنیتی رسمی فیس‌بوک دارد. لوگو، رنگ‌ها، و حتی متن‌های حقوقی (disclaimers) در پایین ایمیل، همگی شبیه نمونه‌های واقعی هستند.

موضوع اضطراری: متن ایمیل حاوی یک هشدار اضطراری و فوری است، مانند "تلاش‌های غیرمجاز برای دسترسی به حساب شما" یا "لطفاً فعالیت حساب خود را تأیید کنید." این پیام‌ها باعث ایجاد حس اضطرار در قربانی شده و او را وادار به کلیک سریع بر روی لینک می‌کنند.

2. مکانیزم آلودگی :

سوءاستفاده از سرویس Redirector: نوآوری اصلی این حمله در اینجاست. به جای اینکه لینک مخرب مستقیماً به یک دامنه فیشینگ اشاره کند، از سرویس ریدایرکت داخلی خود فیس‌بوک ، یعنی l.facebook.com استفاده می‌کند.

ساختار URL فیشینگ: URL ارسال‌شده به قربانی ساختاری شبیه به این دارد:

https://l.facebook.com/l.php?u=https%3A%2F%2F_malicious_phishing_site_&h=_hash_

در این ساختار، پارامتر u= حاوی آدرس وب‌سایت فیشینگ واقعی (رمزگذاری‌شده با URL Encoding) است. وقتی کاربر بر روی این لینک کلیک می‌کند، مرورگر او ابتدا به سرویس l.facebook.com متصل شده و سپس به صفحه مخرب هدایت می‌شود.

اثر روانی: این روش چند مزیت کلیدی برای مهاجم دارد:

اعتباربخشی : از آنجایی که لینک با https://l.facebook.com شروع می‌شود، از نظر کاربر و بسیاری از اسکنرهای امنیتی، لینک معتبری از خود فیس‌بوک به نظر می‌رسد. این امر شک و تردید را کاهش می‌دهد.

دورزدن مکانیزم‌های امنیتی: بسیاری از ابزارهای امنیتی ایمیل، لینک‌های مستقیم به دامنه‌های مشکوک را مسدود می‌کنند. اما از آنجایی که لینک اولیه به یک دامنه معتبر (فیس‌بوک) اشاره دارد، از فیلترها عبور می‌کند.

3. صفحه فیشینگ و سرقت اطلاعات:

تقلید بی‌نقص: صفحه فرود (Landing Page) فیشینگ، یک کپی تقریباً کامل از صفحه ورود (Login) فیس‌بوک است. قربانی هیچ تفاوتی با صفحه اصلی حس نمی‌کند.

اکسفیلتراسیون (Exfiltration): هنگامی که قربانی اطلاعات ورود خود (شامل ایمیل/شماره تلفن و رمز عبور) را در فرم وارد می‌کند و دکمه "Log In" را می‌زند، این اطلاعات بلافاصله از طریق یک اسکریپت بک‌اند PHP به سرور Command-and-Control (C2) مهاجم منتقل و ذخیره می‌شوند.

تکنیک فریب دوم: برای کاهش شک قربانی، پس از ارسال اطلاعات، یک اسکریپت جاوااسکریپت کوچک روی صفحه اجرا می‌شود که پیامی شبیه "رمز عبور اشتباه است" (Incorrect password) را نمایش می‌دهد. این پیام باعث می‌شود کاربر فکر کند اشتباه تایپی داشته و مجدداً اطلاعات را وارد کند. با این کار، مهاجم در صورت نیاز دو بار اطلاعات را دریافت می‌کند که این کار شانس موفقیت حمله را بالاتر می‌برد.

ردیابی مجدد: در نهایت، پس از دومین تلاش ناموفق، قربانی به صفحه اصلی فیس‌بوک ریدایرکت می‌شود و فکر می‌کند مشکل فنی از سمت سرور بوده است.

راه مقابله :

استفاده از احراز هویت دوعاملی (2FA)

@NullError_ir