✅#AWS_Door

یک تکنیک پیشرفته و پنهان‌کارانه برای ایجاد Persistence در زیرساخت AWS

مهاجمان پس از دسترسی اولیه به یک محیط ابری ، همواره به دنبال روش‌هایی برای حفظ دسترسی خود هستند تا بتوانند در آینده نیز به اهداف خود ادامه دهند. جدیدا محققان ، یک تکنیک بسیار پیشرفته، هوشمندانه و پنهان‌کارانه را برای ایجاد Backdoor در محیط Amazon Web Services (AWS) با نام AWS-Door را کشف کرده اند که در مقایسه با تکنیک‌های رایج مانند ایجاد AccessKey برای یک کاربر IAM، به مراتب سخت‌تر قابل شناسایی است و به مهاجم اجازه می‌دهد تا یک دسترسی پایدار، مخفی و بلندمدت را برای خود تضمین کند.

مکانیزم عملکرد تکنیک AWS-Door

ایده اصلی این تکنیک، نه ایجاد یک کاربر یا کلید دسترسی جدید، بلکه سوءاستفاده از و دستکاری Trust Policy در یک IAM Role موجود است. به جای اینکه مهاجم یک هویت جدید در اکانت قربانی ایجاد کند، به یک هویت (کاربر یا Role) در اکانت تحت کنترل خود ، اجازه دسترسی به اکانت قربانی را می‌دهد.

این فرآیند در چند مرحله کلیدی انجام می‌شود:

۱. شناسایی یک IAM Role با سطح دسترسی بالا

اولین قدم برای مهاجم، یافتن یک IAM Role در اکانت قربانی است که دارای سطح دسترسی‌های بالایی (مانند AdministratorAccess ) باشد. این Role هدف اصلی برای ایجاد Backdoor خواهد بود.

۲. دستکاری Trust Policy یا AssumeRolePolicy

هر IAM Role دارای یک Trust Policy است. این Policy مشخص می‌کند که چه موجودیت‌هایی (Principals) اجازه دارند این Role را Assume کرده و از دسترسی‌های آن استفاده کنند. مهاجم با داشتن دسترسی کافی (نیازمند iam:UpdateAssumeRolePolicy)، این Policy را به گونه‌ای تغییر می‌دهد که به یک IAM User یا IAM Role در اکانت AWS متعلق به خودش اجازه sts:AssumeRole بدهد.

به عنوان مثال، Trust Policy اصلی ممکن است به شکل زیر باشد:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

مهاجم آن را به شکل زیر تغییر می‌دهد و ARN مربوط به کاربر خود را در آن اضافه می‌کند:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::ATTACKER_ACCOUNT_ID:user/attacker-user"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

اکنون کاربر attacker-user از اکانت مهاجم ( ATTACKER_ACCOUNT_ID ) می‌تواند Role موجود در اکانت قربانی را Assume کرده و تمام دسترسی‌های آن را به دست آورد.

۳. افزایش پنهان‌کاری با استفاده از Condition و External ID

برای اینکه این Backdoor از دید تیم‌های امنیتی و ابزارهای مانیتورینگ مخفی بماند، مهاجمان از یک لایه پیچیدگی بیشتر استفاده می‌کنند: Condition و sts:ExternalId .

مهاجم می‌تواند یک Condition به Trust Policy اضافه کند که تنها در صورتی اجازه AssumeRole را بدهد که یک External ID خاص و محرمانه نیز در درخواست ارائه شود. External ID یک رشته دلخواه است که مهاجم آن را تعیین می‌کند.

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::ATTACKER_ACCOUNT_ID:user/attacker-user"
  },
  "Action": "sts:AssumeRole",
  "Condition": {
    "StringEquals": {
      "sts:ExternalId": "UNIQUE-SECRET-STRING-CHOSEN-BY-ATTACKER"
    }
  }
}

این کار دو مزیت اساسی برای مهاجم دارد:

* پنهان‌کاری بالا: بسیاری از اسکنرها و حتی تحلیل‌گران امنیتی، Trust Policy هایی که به اکانت‌های خارجی دسترسی می‌دهند را به عنوان یک پیکربندی رایج (مثلاً برای سرویس‌های Third-party) در نظر گرفته و به سادگی از کنار آن عبور می‌کنند. اما الزام وجود External ID ، این دسترسی را به یک کلید مخفی مشروط می‌کند.

* جلوگیری از حملات Confused Deputy : این مکانیسم از نظر فنی یک لایه امنیتی است، اما در اینجا توسط مهاجم برای کنترل انحصاری Backdoor مورد سوءاستفاده قرار می‌گیرد.

با این روش، مهاجم نیازی به ذخیره هیچ‌گونه Credential (مانند Access Key) در محیط قربانی ندارد و تمام عملیات را از اکانت خود و با هویت کنترل شده خود انجام می‌دهد.

## چرا AWS-Door یک تهدید جدی است؟

* ماندگاری بالا (High Durability): این Backdoor به تغییر رمز عبور کاربران، حذف AccessKey ها یا حتی حذف کاربری که مهاجم در ابتدا از طریق آن نفوذ کرده، وابسته نیست. تا زمانی که Trust Policy مربوط به آن IAM Role اصلاح نشود، دسترسی مهاجم باقی خواهد ماند.

✅#HoneySat

رونمایی از HoneySat : اولین تله فضایی که هکرهای ماهواره را شکار کرد!

دنیای امنیت سایبری همواره در حال گسترش مرزهای خود بوده است، اما اکنون این مرزها به معنای واقعی کلمه به فضا رسیده‌اند. ماهواره‌ها، که زمانی به دلیل پیچیدگی و دور از دسترس بودن، قلعه‌هایی نفوذناپذیر پنداشته می‌شدند، امروز به لطف پیشرفت‌های تکنولوژی و کاهش هزینه‌ها، به اهدافی قابل دسترس برای مهاجمان تبدیل شده‌اند. در چنین شرایطی، فقدان داده‌های واقعی و اطلاعات تهدید (Threat Intelligence) درباره چگونگی حملات به این زیرساخت‌های حیاتی، یک شکاف امنیتی مرگبار ایجاد کرده است.

به‌تازگی، مقاله‌ای با عنوان "HoneySat: A Network-based Satellite Honeypot Framework" که حاصل همکاری محققانی از دانشگاه‌های برجسته آمریکا، آلمان و شیلی است، پاسخی قاطع به این چالش داده است. آن‌ها موفق به ساخت و استقرار یک Honeypot ماهواره‌ای با سطح تعامل و واقع‌گرایی بسیار بالا شده‌اند که نه تنها توانسته مهاجمان واقعی را فریب دهد، بلکه برای اولین بار، تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTPs) آن‌ها را در عمل ثبت و ضبط کرده است.

پس‌زمینه: چرا امنیت ماهواره‌ها دیگر یک امر بدیهی نیست؟

امنیت ماهواره‌ها در گذشته بر پایه استراتژی "Security by Obscurity" (امنیت از طریق پنهان‌کاری) بنا شده بود. پروتکل‌های ارتباطی اختصاصی و معماری‌های پیچیده، مانعی طبیعی در برابر نفوذگران ایجاد می‌کردند. اما این دوران به سر آمده است:

1. تجاری‌سازی فضا (COTS): استفاده گسترده از قطعات آماده تجاری (Commercial Off-the-Shelf) هزینه ساخت ماهواره‌ها را به‌شدت کاهش داده است.

2. دموکراتیزه شدن دسترسی: کاهش هزینه‌های پرتاب و ظهور نرم‌افزارهای متن‌باز برای ایستگاه‌های زمینی، موانع فنی و مالی برای برقراری ارتباط (و حمله) با ماهواره‌ها را از میان برداشته است.

3. تبعات فاجعه‌بار: یک حمله موفق به زیرساخت‌های ماهواره‌ای می‌تواند به اختلال در مقیاس جهانی منجر شود؛ از کار افتادن سیستم‌های GPS و ناوبری هوایی گرفته تا قطع ارتباطات گسترده و فلج شدن تراکنش‌های مالی.

با وجود این تهدیدات فزاینده، جامعه امنیت اطلاعات تقریباً هیچ داده‌ای از حملات واقعی به ماهواره‌ها در دست نداشت. برای مثال، در چارچوب شناخته‌شده MITRE ATT&CK ، تنها یک گروه تهدید به طور مشخص با برچسب حمله به ماهواره‌ها شناسایی شده است که این خود گویای عمق این شکاف اطلاعاتی است.

معماری فریب: HoneySat چگونه کار می‌کند؟

هدف اصلی محققان، ساخت یک چارچوب Honeypot بود که سه ویژگی کلیدی داشته باشد: تعامل‌پذیری بالا (High-Interaction) ، واقع‌گرایی (Realism) و ماژولار بودن (Modularity) . HoneySat با شبیه‌سازی یک مأموریت کامل ماهواره‌ای (SmallSat)، مهاجم را در محیطی کاملاً قابل باور غرق می‌کند.

معماری آن از دو بخش اصلی تشکیل شده است:

۱. شبیه‌ساز بخش زمینی (Ground Segment Sims):

این بخش، ایستگاه کنترل زمینی را شبیه‌سازی می‌کند. مهاجمان از طریق نقاط ورودی مختلفی مانند VNC ، Telnet یا یک وب‌سرور به یک محیط دسکتاپ کامل دسترسی پیدا می‌کنند که نرم‌افزارهای کنترل مأموریت واقعی (مانند Gpredict و SUCHAI MCS) روی آن در حال اجرا هستند.

* نکته کلیدی: یک شبیه‌ساز رادیویی (Radio Simulator) در این بخش وجود دارد که بر اساس محاسبات دقیق مداری، پنجره‌های زمانی ارتباط با ماهواره (Satellite Pass) را شبیه‌سازی می‌کند. به این معنی که مهاجم فقط در زمان‌های مشخصی که ماهواره شبیه‌سازی‌شده در بالای افق قرار دارد، می‌تواند با آن ارتباط برقرار کند، که این خود یک لایه قدرتمند از واقع‌گرایی به سیستم اضافه می‌کند.

۲. شبیه‌ساز بخش فضایی (Space Segment Sims):

این بخش خودِ ماهواره را شبیه‌سازی می‌کند و قلب تپنده HoneySat است.

* نرم‌افزار پرواز (Flight Software): این Honeypot از نرم‌افزار پرواز متن‌باز و واقعی SUCHAI FS استفاده می‌کند که پیش از این در چهار مأموریت فضایی واقعی به کار گرفته شده است.

* شبیه‌ساز ماهواره (Satellite Simulator): یک برنامه شیءگرای بسیار دقیق به زبان پایتون که فرآیندهای فیزیکی ماهواره مانند مدار (Orbit) ، وضعیت (Attitude) ، سیستم تغذیه (Power) ، شرایط حرارتی و میدان مغناطیسی را به همراه ۱۱ سنسور و ۴ زیرسیستم شبیه‌سازی می‌کند.

این دو بخش در یک محیط ایزوله دو لایه (کانتینرهای Docker درون یک Virtual Machine) مستقر شده‌اند تا در صورت compromise شدن Honeypot، هیچ خطری سیستم میزبان را تهدید نکند.

نتایج شگفت‌انگیز: از تئوری تا شکار مهاجمان واقعی

اثربخشی HoneySat در چندین سطح به اثبات رسیده است:

✅#KSMBDrain

آسیب‌پذیری KSMBDrain :
حمله DoS از طریق اشباع منابع در کرنل لینوکس

اخیراً یک آسیب‌پذیری جدی از نوع Denial-of-Service (DoS) در زیرسیستم KSMBD کرنل لینوکس شناسایی شده است که با شناسه CVE-2025-38501 ردیابی می‌شود. این ضعف امنیتی به یک مهاجم راه دور و غیر احراز هویت شده اجازه می‌دهد تا با بهره‌برداری از نحوه مدیریت نشست‌های نیمه‌باز TCP (Half-Open TCP sessions) توسط کرنل، تمامی اتصالات SMB موجود روی سرور را به اتمام رسانده و آن را از دسترس خارج کند.

یک اکسپلویت عمومی با نام KSMBDrain نیز منتشر شده که به وضوح نشان می‌دهد چگونه مهاجمان می‌توانند به سادگی با ارسال هزاران درخواست برای برقراری ارتباط سه‌مرحله‌ای TCP (Three-way Handshake) و عدم تکمیل آن، سرور KSMBD را تحت فشار قرار دهند و باعث شوند سرور سوکت‌های (sockets) ارتباطی را به طور نامحدود در حالت انتظار نگه دارد.

مکانیزم فنی آسیب‌پذیری: چگونه حمله کار می‌کند؟

ریشه این آسیب‌پذیری در رفتار پیش‌فرض KSMBD نهفته است که اتصالات ناقص را بدون هیچ‌گونه محدودیت بالایی برای سوکت‌های در حالت SYN-ACK ، حفظ می‌کند. برای درک بهتر، فرآیند را مرحله به مرحله بررسی می‌کنیم:

1. برقراری ارتباط TCP: در یک ارتباط عادی، کلاینت یک بسته SYN ارسال می‌کند. سرور با یک بسته SYN-ACK پاسخ می‌دهد و منتظر بسته نهایی ACK از سمت کلاینت می‌ماند تا ارتباط برقرار شود.

2. ایجاد نشست نیمه‌باز (Half-Open Session): مهاجم با ارسال یک بسته SYN فرآیند را آغاز می‌کند. سرور طبق پروتکل، با SYN-ACK پاسخ می‌دهد و یک اسلات اتصال (connection slot) را به این درخواست اختصاص می‌دهد.

3. نقطه ضعف KSMBD: مهاجم هرگز بسته نهایی ACK را ارسال نمی‌کند. در این وضعیت، KSMBD به اشتباه این اتصال نیمه‌باز را برای مدت طولانی (یا حتی نامحدود بسته به تنظیمات) باز نگه می‌دارد، به امید اینکه کلاینت فرآیند را تکمیل کند.

4. اشباع منابع (Resource Exhaustion): مهاجم این فرآیند را به طور مکرر و با سرعت بالا از یک یا چند آدرس IP تکرار می‌کند. با هر درخواست SYN ، یک اسلات اتصال دیگر اشغال می‌شود. این کار تا جایی ادامه پیدا می‌کند که به آستانه max_connections تعریف شده در فایل /etc/ksmbd/ksmbd.conf می‌رسد.

5. نتیجه: Denial of Service: پس از پر شدن تمام اسلات‌های اتصال، سرور دیگر قادر به پذیرش هیچ‌گونه اتصال SMB جدیدی نخواهد بود. در نتیجه، کاربران قانونی که قصد دسترسی به فایل‌های اشتراکی یا استفاده از سرویس‌های احراز هویت متکی بر SMB را دارند، با خطا مواجه شده و سرویس به طور کامل از دسترس خارج می‌شود.

حتی اگر مدیر سیستم مقدار handshake_timeout را به عدد پایینی (مثلاً یک دقیقه) کاهش دهد، این کار تنها سرعت حمله را کند می‌کند اما مانع آن نمی‌شود؛ زیرا مهاجم می‌تواند به طور مداوم نشست‌های نیمه‌باز جدیدی ایجاد کرده و منابع را اشباع نگه دارد.

راهکارهای مقابله و استراتژی‌های دفاعی

مقابله با این آسیب‌پذیری نیازمند یک رویکرد چندلایه است. در ادامه راهکارهای اصلی و تکمیلی به ترتیب اولویت ارائه می‌شوند.

۱. راهکار اصلی: به‌روزرسانی فوری کرنل (Patching)

این آسیب‌پذیری از زمانی که ماژول KSMBD در نسخه 5.3 به شاخه اصلی کرنل لینوکس اضافه شد، وجود داشته است. توسعه‌دهندگان کرنل این مشکل را در commit e6bb9193974059ddbb0ce7763fa3882bd60d4dc3 برطرف کرده‌اند. این پچ، یک محدودیت backlog قابل تنظیم و یک آستانه کوتاه‌تر برای tcp_synack_retries برای سوکت‌های نیمه‌باز اعمال می‌کند.

اقدام فوری: سیستم‌عامل خود را به نسخه‌ای که از کرنل لینوکس 6.1.15 یا بالاتر استفاده می‌کند، ارتقا دهید. توزیع‌های اصلی لینوکس در حال انتشار بسته‌های به‌روزشده کرنل هستند.

۲. راهکارهای تکمیلی (در صورت عدم امکان به‌روزرسانی فوری)

اگر ارتقای فوری کرنل امکان‌پذیر نیست، می‌توانید از راهکارهای زیر برای کاهش ریسک (Mitigation) بهره ببرید:

محدودسازی نرخ درخواست (Network-level Rate Limiting):

با استفاده از فایروال‌هایی مانند iptables یا nftables ، یک قانون برای محدود کردن تعداد اتصالات جدید روی پورت TCP 445 در یک بازه زمانی مشخص، تنظیم کنید. این کار باعث می‌شود مهاجم نتواند به سرعت منابع را اشباع کند.

*مثال مفهومی در iptables*:

# Limit new connections to 10 per minute from a single IP

iptables -A INPUT -p tcp --dport 445 --syn -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT
    

تنظیمات سخت‌گیرانه‌تر فایروال:
تنها به آدرس‌های IP معتبر و مورد اعتماد اجازه دسترسی به پورت 445 را بدهید. این راهکار در شبکه‌های داخلی بسیار مؤثر است.

✅#Pixie_Dust

حمله وای‌فای Pixie Dust :
بهره‌برداری از WPS روترها برای استخراج پین و نفوذ به شبکه بی‌سیم

حمله Pixie Dust که اخیراً دوباره به طور گسترده‌ای مورد بحث قرار گرفته، بار دیگر آسیب‌پذیری‌های حیاتی و ذاتی پروتکل Wi-Fi Protected Setup (WPS) را آشکار ساخته است. این حمله به مهاجمان اجازه می‌دهد تا پین WPS روتر را به صورت آفلاین استخراج کرده و به سادگی به شبکه بی‌سیم متصل شوند.

این اکسپلویت با هدف قرار دادن ضعف در فرآیند تولید اعداد تصادفی (randomization) در nonce های صادر شده از سوی registrar (معمولاً روتر)، مکانیزم امنیتی طراحی شده برای WPS را تضعیف می‌کند، بدون آنکه نیازی به نزدیکی فیزیکی به هدف یا استفاده از سخت‌افزارهای پیچیده داشته باشد. متخصصان دفاع سایبری و کاربران خانگی به طور یکسان باید فوراً ویژگی WPS را در تجهیزات خود به‌روزرسانی یا غیرفعال کنند تا ریسک دسترسی‌های غیرمجاز را به حداقل برسانند.

حمله Pixie Dust

پروتکل WPS با هدف ساده‌سازی فرآیند اتصال به شبکه‌های Wi-Fi طراحی شد تا کاربران بتوانند با استفاده از یک پین ۸ رقمی کوتاه، به جای رمز عبور طولانی WPA2-PSK ، به شبکه متصل شوند. طبق تحلیل‌های منتشر شده توسط NetRise ، در حمله Pixie Dust ، مهاجمان از دو نقص فنی حیاتی در فرآیند handshake چهار مرحله‌ای WPS بهره‌برداری می‌کنند:

1. در طول تبادل EAP-TLS ، روترها دو nonce ثبت‌کننده ( registrar nonces ) ۱۲۸ بیتی به نام‌های Nonce-1 و Nonce-2 تولید و صادر می‌کنند.

2. به دلیل پیاده‌سازی ضعیف و ناقص الگوریتم تولید اعداد تصادفی (Random Number Generator) در firmware بسیاری از روترها، این nonce ها یا قابل پیش‌بینی هستند یا در جلسات (sessions) مختلف تکرار می‌شوند. مهاجمان فریم‌های اولیه EAPoL را شنود (intercept) کرده و با تحلیل آن‌ها، مقادیر registrar nonces را به صورت آفلاین محاسبه می‌کنند.


بازیابی پین به صورت آفلاین

پس از به دست آوردن nonceها،مهاجم مقادیر HMAC-MD5 را که برای تأیید اعتبار پین استفاده می‌شوند، بازسازی می‌کند. از آنجایی که محاسبات پین WPS به دو بخش مجزا تقسیم می‌شود، مهاجم با پیمایش تنها ۱۱,۰۰۰ حالت ممکن برای نیمه اول پین (که رقم آخر آن یک checksum است) و ۱,۰۰۰ حالت برای نیمه دوم، می‌تواند پین ۸ رقمی کامل را در عرض چند دقیقه کشف کند. این فرآیند به مراتب سریع‌تر از یک حمله brute-force مستقیم روی رمز عبور WPA2 است.

ابزارهای فنی محبوبی مانند Reaver و Bully با افزودن یک فلگ (flag) به نام pixie-dust توسعه یافته‌اند تا فرآیند تحلیل nonce و استخراج پین را خودکارسازی کنند. یک دستور حمله نمونه به شکل زیر است:

سلب مسئولیت : سواستفاده از این موضوع به عهده نویسنده نمی‌باشد

reaver -i wlan0mon -b AA:BB:CC:DD:EE:FF --pixie-dust -vv

نکته : 😜 در حمله Pixie Dust که به صورت آفلاین انجام می‌شود و نیازی به brute-force آنلاین ندارد، تأخیر زمانی بی‌معنی است.

فرآیند نهایی نفوذ و استخراج WPA2-PSK

پس از بازیابی موفقیت‌آمیز پین WPS، مهاجم یک پیام نهایی EAP-TLS EAP-Response حاوی پین صحیح را به روتر ارسال می‌کند. روتر در پاسخ، پیام EAP-Success را برمی‌گرداند و به دستگاه مهاجم نقش registrar را اعطا می‌کند. در این مرحله، مهاجم می‌تواند کلید از پیش اشتراک‌گذاری شده (Pre-Shared Key یا PSK) پروتکل WPA2 را مستقیماً از روتر درخواست و استخراج کند:

1. مهاجم مشخصه (attribute) WSC NVS PIN را درخواست می‌کند.

2. روتر در پاسخ، Network Key را که همان WPA2-PSK است، برای مهاجم ارسال می‌کند.

با در اختیار داشتن PSK ، مهاجم دیگر نیازی به استفاده از WPS ندارد و می‌تواند مانند هر کلاینت قانونی دیگری به شبکه متصل شود.

مقابله

نکته کلیدی این است که آسیب‌پذیری Pixie Dust کاملاً در پروتکل WPS رخ می‌دهد و خود پروتکل WPA2 همچنان امن باقی می‌ماند؛ با این حال، دور زدن مکانیزم احراز هویت مبتنی بر پین، عملاً حفاظت ارائه شده توسط WPA2 را بی‌اثر می‌کند.

✅#facebook

کمپین فیشینگ جدید برای سرقت اطلاعات کاربران فیس‌بوک

در دنیای امنیت سایبری، حملات فیشینگ از ساده‌ترین و قدیمی‌ترین تکنیک‌ها برای نفوذ به حساب‌های کاربری هستند. اما Threat Actorها همیشه در حال تکامل روش‌های خود هستند. اخیراً یک کمپین فیشینگ پیچیده و هوشمندانه شناسایی شده که برخلاف روش‌های سنتی، از زیرساخت‌های خود فیس‌بوک برای اعتباربخشیدن به لینک‌های مخرب استفاده می‌کند. این تکنیک، خطرات جدیدی را برای کاربران و سیستم‌های امنیتی به وجود آورده است.

جزئیات حمله:

این حمله که توسط تحلیلگران امنیتی شناسایی شده، یک عملیات فیشینگ هدفمند است که با دقت بالا طراحی شده تا از سد فیلترهای امنیتی ایمیل عبور کند و اعتماد کاربر را جلب نماید.

1. طراحی طعمه :

ظاهر فریبنده: حمله با ارسال یک ایمیل فیشینگ آغاز می‌شود که ظاهری کاملاً مشابه ایمیل‌های امنیتی رسمی فیس‌بوک دارد. لوگو، رنگ‌ها، و حتی متن‌های حقوقی (disclaimers) در پایین ایمیل، همگی شبیه نمونه‌های واقعی هستند.

موضوع اضطراری: متن ایمیل حاوی یک هشدار اضطراری و فوری است، مانند "تلاش‌های غیرمجاز برای دسترسی به حساب شما" یا "لطفاً فعالیت حساب خود را تأیید کنید." این پیام‌ها باعث ایجاد حس اضطرار در قربانی شده و او را وادار به کلیک سریع بر روی لینک می‌کنند.

2. مکانیزم آلودگی :

سوءاستفاده از سرویس Redirector: نوآوری اصلی این حمله در اینجاست. به جای اینکه لینک مخرب مستقیماً به یک دامنه فیشینگ اشاره کند، از سرویس ریدایرکت داخلی خود فیس‌بوک ، یعنی l.facebook.com استفاده می‌کند.

ساختار URL فیشینگ: URL ارسال‌شده به قربانی ساختاری شبیه به این دارد:

https://l.facebook.com/l.php?u=https%3A%2F%2F_malicious_phishing_site_&h=_hash_

در این ساختار، پارامتر u= حاوی آدرس وب‌سایت فیشینگ واقعی (رمزگذاری‌شده با URL Encoding) است. وقتی کاربر بر روی این لینک کلیک می‌کند، مرورگر او ابتدا به سرویس l.facebook.com متصل شده و سپس به صفحه مخرب هدایت می‌شود.

اثر روانی: این روش چند مزیت کلیدی برای مهاجم دارد:

اعتباربخشی : از آنجایی که لینک با https://l.facebook.com شروع می‌شود، از نظر کاربر و بسیاری از اسکنرهای امنیتی، لینک معتبری از خود فیس‌بوک به نظر می‌رسد. این امر شک و تردید را کاهش می‌دهد.

دورزدن مکانیزم‌های امنیتی: بسیاری از ابزارهای امنیتی ایمیل، لینک‌های مستقیم به دامنه‌های مشکوک را مسدود می‌کنند. اما از آنجایی که لینک اولیه به یک دامنه معتبر (فیس‌بوک) اشاره دارد، از فیلترها عبور می‌کند.

3. صفحه فیشینگ و سرقت اطلاعات:

تقلید بی‌نقص: صفحه فرود (Landing Page) فیشینگ، یک کپی تقریباً کامل از صفحه ورود (Login) فیس‌بوک است. قربانی هیچ تفاوتی با صفحه اصلی حس نمی‌کند.

اکسفیلتراسیون (Exfiltration): هنگامی که قربانی اطلاعات ورود خود (شامل ایمیل/شماره تلفن و رمز عبور) را در فرم وارد می‌کند و دکمه "Log In" را می‌زند، این اطلاعات بلافاصله از طریق یک اسکریپت بک‌اند PHP به سرور Command-and-Control (C2) مهاجم منتقل و ذخیره می‌شوند.

تکنیک فریب دوم: برای کاهش شک قربانی، پس از ارسال اطلاعات، یک اسکریپت جاوااسکریپت کوچک روی صفحه اجرا می‌شود که پیامی شبیه "رمز عبور اشتباه است" (Incorrect password) را نمایش می‌دهد. این پیام باعث می‌شود کاربر فکر کند اشتباه تایپی داشته و مجدداً اطلاعات را وارد کند. با این کار، مهاجم در صورت نیاز دو بار اطلاعات را دریافت می‌کند که این کار شانس موفقیت حمله را بالاتر می‌برد.

ردیابی مجدد: در نهایت، پس از دومین تلاش ناموفق، قربانی به صفحه اصلی فیس‌بوک ریدایرکت می‌شود و فکر می‌کند مشکل فنی از سمت سرور بوده است.

راه مقابله :

استفاده از احراز هویت دوعاملی (2FA)

@NullError_ir

✅#CountLoader

بدافزار جدید CountLoader
باج‌افزاری با ۳ نسخه مختلف

این بدافزار کشف شده ارتباط قوی با گروه‌های باج‌افزاری روسی دارد. و در سه نسخه مختلف (NET، PowerShell و JScript) در حال گسترش است و اخیراً در یک کمپین فیشینگ با هدف قرار دادن شهروندان اوکراینی، با جعل هویت پلیس اوکراین، مشاهده شده است.

این بدافزار به عنوان یک Initial Access Broker (IAB) یا ابزاری در اختیار وابسته‌های باج‌افزاری عمل می‌کند و payloads مخربی مانند Cobalt Strike و Adaptix C2 را روی سیستم قربانی مستقر می‌کند. این بدافزار با گروه‌های باج‌افزاری معروفی مثل LockBit، BlackBasta و Qilin ارتباط دارد.

نحوه عملکرد و مکانیزم فنی

این Loader یک ابزار پیشرفته و چندمنظوره برای نفوذ اولیه است که با دقت بالایی طراحی شده تا شناسایی آن دشوار باشد.

۱. نسخه‌های مختلف و هدف‌گیری:

نسخه JScript/HTA: نسخه اصلی و کامل‌تر که با بیش از ۸۵۰ خط کد، قابلیت‌های گسترده‌ای دارد. این نسخه از طریق فایل‌های .hta که توسط mshta.exe اجرا می‌شوند، قربانی را آلوده می‌کند.

نسخه .NET و PowerShell: نسخه‌های ساده‌تری هستند که هر دو از مکانیزم مشابهی برای ارتباط با سرور و دانلود payload استفاده می‌کنند.

۲. تکنیک‌های پایداری و پنهان‌کاری:

برقراری ارتباط: بدافزار برای ارتباط با سرورهای فرماندهی و کنترل (C2) از الگوریتم‌های رمزنگاری XOR و Base64 استفاده می‌کند. این ارتباط به صورت یک حلقه تکرارشونده و با تلاش برای اتصال به چندین آدرس C2 انجام می‌شود تا از Fail شدن ارتباط جلوگیری کند.

پایداری : با ایجاد یک Scheduled Task در سیستم قربانی، با نامی جعلی شبیه به سرویس‌های گوگل (GoogleUpdaterTaskSystem135.0.7023.0) و همچنین تغییر کلید Registry Run، اطمینان حاصل می‌کند که با هر بار راه‌اندازی سیستم، دوباره اجرا شود.

استفاده از LOLBins: برای اجرای کدها و دانلود فایل‌ها از ابزارهای قانونی ویندوز مثل certutil و bitsadmin استفاده می‌کند که تشخیص آن را برای سیستم‌های امنیتی سخت‌تر می‌کند (این تکنیک در دنیای APT بسیار رایج است).

پنهان‌کاری: فایل‌های مخرب را در پوشه (موسیقی) سیستم قربانی ذخیره می‌کند، که برخلاف پوشه‌های رایج مثل AppData یا Temp است و احتمال بررسی آن توسط کاربران یا نرم‌افزارهای امنیتی کمتر است.

۳. ارتباط با باج‌افزارها:

تحلیل‌گران امنیتی با بررسی Payload‌های دانلود شده، موفق به استخراج واترمارکی از پیکربندی بدافزار Cobalt Strike شدند. این وارتمارک خاص (شناسه 1473793097) پیش از این در حملات باج‌افزاری Qilin مشاهده شده بود. همچنین واترمارک مرتبط دیگری نیز کشف شده که با گروه‌های BlackBasta و LockBit مرتبط است. این یافته‌ها، وجود یک اکوسیستم مشترک و همکاری بین این گروه‌ها یا استفاده از یک IAB مشترک را تأیید می‌کند.

یکی از پیشرفته‌ترین جنبه‌های این حمله ، استفاده از فایل‌های PDF دستکاری‌شده به عنوان اولین گام نفوذ است. برخلاف تصور رایج که حملات فیشینگ صرفاً از طریق لینک‌های مخرب یا فایل‌های اجرایی مستقیم صورت می‌گیرد، مهاجمان در این کمپین از یک تکنیک ظریف Social Engineering بهره برده‌اند. آن‌ها با جعل هویت پلیس ملی اوکراین، یک فایل PDF فریبنده را به قربانیان ارسال می‌کنند. این سند به ظاهر رسمی، حاوی یک (HTA) جاسازی‌شده است.

به محض اینکه قربانی روی دکمه یا لینک تعبیه‌شده در این PDF کلیک می‌کند، در پس‌زمینه و بدون نمایش هیچ‌گونه اخطار امنیتی، فایل HTA توسط موتور mshta.exe ویندوز اجرا می‌شود. این فرآیند، در واقع CountLoader را فعال کرده و حلقه ارتباطی با سرورهای C2 را آغاز می‌کند. این رویکرد، مهاجمان را قادر می‌سازد تا بدون استفاده از آسیب‌پذیری‌های Zero-day، از تعامل کاربر برای شروع فرآیند آلودگی بهره‌برداری کنند. این شیوه، نشان‌دهنده یک تاکتیک نوین در زنجیره حملات APT-style است که با ترکیب هوشمندانه مهندسی اجتماعی و تکنیک‌های قانونی سیستم عامل، به هدف خود می‌رسد و شناسایی آن را به شدت دشوار می‌سازد.

ابزار mshta.exe یک ابزار قانونی ویندوز برای اجرای فایل‌های HTML Application است. فایل‌های HTA در واقع فایل‌های HTML هستند که به جای اجرا در مرورگر، به صورت یک برنامه مستقل ویندوز اجرا می‌شوند. این برنامه‌ها دسترسی کامل به APIهای سیستم عامل دارند و از محدودیت‌های امنیتی مرورگرها عبور می‌کنند.

به دلیل همین قابلیت، مهاجمان سایبری اغلب از mshta.exe برای اجرای کدهای مخرب استفاده می‌کنند. آن‌ها کدهای مخرب خود را در یک فایل HTA قرار می‌دهند و از این طریق، بدافزار را بدون نیاز به یک فایل اجرایی سنتی (.exe) روی سیستم قربانی اجرا می‌کنند. این روش به آن‌ها کمک می‌کند تا از بسیاری از راهکارهای امنیتی که بر اساس شناسایی فایل‌های .exe مخرب کار می‌کنند، عبور کنند.

@NullError_ir

✅#AFTA
Advanced Forensics Triage Assista

آیا تا کنون در شرایط پاسخ به حادثه در سیستم‌های لینوکس، نیاز به یک ابزار سریع برای جمع‌آوری شواهد داشته‌اید؟

ابزاری قدرتمند و سبک برای سیستم‌عامل‌های لینوکسی طراحی کرده ام که کمک می‌کند تا در کوتاه‌ترین زمان ممکن، یک تصویر کامل و سازمان‌یافته از وضعیت یک سیستم آلوده تهیه کنید.

این ابزار فرآیند تریاژ را به صورت خودکار انجام می‌دهد و با جمع‌آوری ده‌ها آرتیفکت حیاتی، ریسک خطای انسانی و از دست رفتن داده‌های کلیدی را به حداقل می‌رساند.

✨ ویژگی‌های کلیدی:

* تخلیه حافظه RAM: به صورت خودکار آخرین نسخه AVML را دانلود و یک تصویر کامل از حافظه فیزیکی سیستم تهیه می‌کند.

* خروجی جامع: تمام داده‌ها را در یک فایل ساختاریافته report.json و آرتیفکت‌های حیاتی را در یک فایل .zip فشرده و آماده تحلیل می‌کند.

* پیکربندی آسان: با ویرایش یک فایل config.yaml می‌توانید دقیقا تعیین کنید کدام داده‌ها جمع‌آوری شوند.

* تحلیل‌های امنیتی: لیستی از فایل‌های SUID/SGID و هش باینری‌های مهم سیستمی را برای بررسی‌های بعدی ارائه می‌دهد.

این ابزار برای اجرا تنها به Python3 نیاز دارد و بدون هیچ‌گونه نصب پیچیده، به سرعت آماده کار است. این ابزار، یک ابزار ضروری برای هر Digital Forensics و Incident Response است.


لینک ابزار در گیت‌هابم


@NullError_ir

✅#MalTerminal

بدافزار جدید MalTerminal
بر پایه هوش مصنوعی OpenAi GPT-4

تیمی از محققان امنیتی با استفاده از YARA rules، فایل‌های باینری را برای پیدا کردن API Keyهای هاردکد شده و ساختارهای Prompt رایج در LLM ها، اسکن کردند. این رویکرد نوآورانه به آنها کمک کرد تا یک کلاستر از اسکریپت‌های پایتون مشکوک و یک فایل اجرایی ویندوز به نام MalTerminal.exe را کشف کنند.

تحقیقات نشان داد که این بدافزار از یک OpenAI API Endpoint قدیمی و منسوخ شده استفاده می‌کند که این موضوع نشان می‌دهد MalTerminal قبل از نوامبر ۲۰۲۳ ساخته شده و احتمالاً قدیمی‌ترین نمونه شناخته‌شده از بدافزارهای مبتنی بر LLM است.

### نسل جدید بدافزارها با هوش مصنوعی

این MalTerminal یک بدافزار معمولی نیست؛ بلکه یک Malware Generator است. این ابزار به جای اینکه کد مخرب را در خود داشته باشد، آن را در زمان اجرا (runtime) و به صورت پویا می‌سازد.

نحوه عملکرد:

1. اجرا: مهاجم MalTerminal.exe را اجرا می‌کند.

2. انتخاب هدف: ابزار از اپراتور خود می‌خواهد که بین ساخت Ransomware یا Reverse Shell یکی را انتخاب کند.

3. درخواست به GPT-4: MalTerminal یک درخواست به API مدل GPT-4 می‌فرستد. این درخواست شامل یک Prompt خاص است که از هوش مصنوعی می‌خواهد کد مخرب مورد نظر (مثلاً کد پایتون برای Ransomware) را تولید کند.

4. تولید و اجرا: GPT-4 کد مخرب را تولید کرده و آن را به MalTerminal برمی‌گرداند. سپس MalTerminal این کد را در حافظه سیستم قربانی اجرا می‌کند.

این رویکرد، یک تغییر پارادایم جدی در حملات سایبری است، چرا که MalTerminal با توجه به ماهیت خود، Static Analysis و ابزارهای Signature-Based Detection را دور می‌زند. از آنجایی که هیچ کد مخربی در فایل اصلی وجود ندارد، آنتی‌ویروس‌ها نمی‌توانند آن را از طریق امضای ثابت شناسایی کنند.

### تشابه MalTerminal و PromptLock

این دو بدافزار غالباً با یکدیگر مقایسه می‌شوند، اما تفاوت‌های کلیدی دارند:

*۔ PromptLock: این بدافزار که توسط محققان دانشگاه نیویورک به عنوان یک Proof-of-Concept کشف شد، از API Ollama برای اجرای یک LLM به صورت Local روی سیستم قربانی استفاده می‌کند. PromptLock کد مخرب را بر اساس Promptهای از پیش تعریف شده به صورت بلادرنگ می‌سازد. با این حال، چون یک پروژه تحقیقاتی بوده، به صورت گسترده در دنیای واقعی کشف نشده است.

*۔ MalTerminal: این بدافزار در دنیای واقعی (in the wild) کشف شده و از یک API خارجی (OpenAI API) استفاده می‌کند. این وابستگی به یک سرویس ابری، نقطه‌ای است که آن را آسیب‌پذیر می‌کند.

ظهور بدافزارهایی مانند MalTerminal و PromptLock چالش‌های جدیدی برای مدافعان سایبری ایجاد می‌کند.

چالش‌ها:

* پلی‌مورفیسم پیشرفته: بدافزار می‌تواند برای هر حمله، کد منحصربه‌فردی تولید کند، که شناسایی آن با روش‌های سنتی مبتنی بر امضا را بسیار سخت می‌کند.

* آنالیز شبکه: ترافیک شبکه این بدافزارها می‌تواند با ترافیک‌های قانونی استفاده از API مدل‌های LLM اشتباه گرفته شود و تشخیص آن را دشوار سازد.

راه‌های مقابله:

*۔ Threat Hunting مبتنی بر LLM: تیم‌های امنیتی باید استراتژی‌های خود را برای شکار تهدیدات بر اساس کشف استفاده غیرمعمول و مخرب از API های LLM تغییر دهند.

* مانیتورینگ ترافیک شبکه: شناسایی درخواست‌های مشکوک به API های معروف LLM، می‌تواند یک روش مؤثر باشد.

*۔ API Key Revocation: اگر یک API Key سرقت شده و در بدافزاری مانند MalTerminal استفاده شود، شرکت‌های سازنده LLM می‌توانند با غیرفعال کردن آن Key، بدافزار را بلااستفاده کنند.

*۔ Detection مبتنی بر رفتار: استفاده از ابزارهای امنیتی که رفتار غیرعادی فرآیندها را بررسی می‌کنند، می‌تواند در شناسایی MalTerminal مفید باشد. برای مثال، یک فایل اجرایی که ناگهان شروع به تولید و اجرای کدهای پایتون در حافظه می‌کند، می‌تواند یک رفتار مشکوک محسوب شود.

در نهایت، با وجود اینکه بدافزارهای مبتنی بر LLM هنوز در مراحل ابتدایی هستند، MalTerminal یک هشدار جدی است که نشان می‌دهد بازیگران تهدید (Threat Actors) به طور فعال در حال نوآوری هستند و مدافعان باید استراتژی‌های خود را برای تشخیص استفاده مخرب از LLM ها به‌روز کنند.

@NullError_ir

✅#EDR_Freeze

ابزار EDR-Freeze:
یک ابزار خطرناک برای متوقف کردن EDR و آنتی‌ویروس‌ها

تصور کنید در حال انجام یک نفوذ هستید. به یک سیستم Endpoint دسترسی پیدا کرده‌اید، اما دیوار بتنی EDR (Endpoint Detection and Response) و آنتی‌ویروس (Antivirus) در مقابل شما ایستاده است. هر حرکت مشکوکی به سرعت شناسایی و مسدود می‌شود. چاره چیست؟

بسیاری از مهاجمان در این شرایط به تکنیک‌های پیشرفته‌ای مانند BYOVD (Bring Your Own Vulnerable Driver) روی می‌آورند. در این روش، مهاجم یک درایور (Driver) آسیب‌پذیر را به سیستم قربانی منتقل و از طریق آن، فرآیندهای امنیتی را غیرفعال می‌کند. اما این تکنیک یک نقطه ضعف بزرگ دارد: شناسایی و نصب یک درایور آسیب‌پذیر در یک سیستم مانیتورینگ شده توسط EDR، ریسک بسیار بالایی دارد و می‌تواند منجر به آلارم‌های جدی و حتی Response تیم امنیتی شود.

اینجا است که ابزار EDR-Freeze وارد میدان می‌شود؛ یک ابزار نوآورانه و بی‌سروصدا که به جای استفاده از درایورهای خارجی، از یک قابلیت داخلی خود ویندوز برای "خواباندن" موقت فرآیندهای امنیتی استفاده می‌کند.

تکنیک زیر پوست ویندوز: MiniDumpWriteDump و WerFaultSecure

مغز متفکر این حمله، سوءاستفاده از یک API قانونی ویندوز به نام MiniDumpWriteDump است. این تابع بخشی از کتابخانه DbgHelp است و وظیفه‌اش گرفتن یک Snapshot از حافظه و وضعیت یک فرآیند (اصطلاحاً Minidump) برای اهداف Debugging است. نکته کلیدی کجاست؟ در هنگام انجام این کار، تابع MiniDumpWriteDump تمام Threadهای فرآیند هدف را Suspend (متوقف) می‌کند تا یک کپی پایدار و بدون تغییر از آن تهیه کند.

حالا به دو چالش اصلی می‌رسیم:

1. سرعت: اجرای این تابع بسیار سریع است و Suspend کردن فرآیند تنها برای چند میلی‌ثانیه طول می‌کشد. برای اینکه بتوانیم از این حالت Suspend سوءاستفاده کنیم، باید آن را به صورت نامحدود ادامه دهیم.

2. حفاظت PPL: فرآیندهای حیاتی EDR و آنتی‌ویروس با یک مکانیزم امنیتی قدرتمند ویندوز به نام PPL (Protected Process Light) محافظت می‌شوند. این مکانیزم اجازه نمی‌دهد که فرآیندهای عادی (User-Mode) به سادگی با آنها تعامل داشته باشند، آنها را Kill کنند یا وضعیتشان را تغییر دهند.

ابزار EDR-Freeze چگونه از این دو چالش عبور می‌کند؟

این ابزار برای حل این مشکلات، از یک تکنیک خلاقانه و مبتنی بر Race Condition استفاده می‌کند:

1. بایپس PPL با WerFaultSecure:

* برنامه WerFaultSecure.exe یک ابزار قانونی ویندوز برای گزارش خطاهای برنامه است و یک ویژگی منحصربه‌فرد دارد: می‌تواند با سطح حفاظت PPL نوع WinTCB اجرا شود. این سطح حفاظت به آن اجازه می‌دهد تا با فرآیندهای PPL تعامل کند.

*ابزار EDR-Freeze با استفاده از ابزاری مانند CreateProcessAsPPL ، یک فرآیند WerFaultSecure.exe با پارامترهای خاص ایجاد می‌کند تا آن را مجبور به اجرای تابع MiniDumpWriteDump روی فرآیند هدف (مثلاً Windows Defender) کند.

2. قفل کردن فرآیند با Race Condition:

* به محض اینکه WerFaultSecure شروع به کار می‌کند، EDR-Freeze به صورت مداوم وضعیت فرآیند هدف (آنتی‌ویروس/EDR) را چک می‌کند.

* لحظه‌ای که MiniDumpWriteDump شروع به کار می‌کند و فرآیند هدف به حالت Suspend می‌رود، EDR-Freeze به سرعت وارد عمل شده و فرآیند WerFaultSecure را با استفاده از تابع NtSuspendProcess متوقف (Suspend) می‌کند!

* نتیجه چیست؟ فرآیند WerFaultSecure که مسئول Resume کردن فرآیند هدف بود، خودش به حالت Suspend رفته و فرآیند آنتی‌ویروس/EDR برای همیشه در حالت Suspend باقی می‌ماند.

این تکنیک به مهاجم اجازه می‌دهد تا به صورت موقت و برای مدت دلخواه (مثلاً چند ثانیه یا چند دقیقه) تمام فرآیندهای حیاتی امنیتی را از کار بیندازد، Payload خود را اجرا کرده و سپس کار را به حالت عادی بازگرداند.

@NullError_ir

✅#BlackLock

باج‌افزار BlackLock

یک گروه پیشرفته و خطرناک با توانایی‌های منحصر به فرد خود، به یک تهدید جدی برای سازمان‌ها تبدیل شده است. این گروه که از مارس ۲۰۲۴ با نام "El Dorado" فعالیت خود را آغاز کرد و سپس به BlackLock تغییر برند داد، با استفاده از زبان برنامه‌نویسی Go، توانسته بدافزاری چند-سکویی توسعه دهد که به صورت یکپارچه بر روی سیستم‌های ویندوز، لینوکس و حتی محیط‌های VMware ESXi قابل اجراست. این ویژگی، سطح حمله را به طرز چشمگیری افزایش داده و به مهاجمین اجازه می‌دهد کل زیرساخت IT یک سازمان را به صورت همزمان آلوده کنند.

معماری حمله و تکنیک‌های پیشرفته

این باج‌افزار با جذب Affiliateهای ماهر از طریق انجمن‌های زیرزمینی مانند RAMP در فضای سایبری روسی‌زبان، گستره حملات خود را وسعت می‌بخشد. ویژگی‌های فنی این باج‌افزار شامل موارد زیر است:

* روش‌های رمزگذاری دو لایه: بدافزار برای رمزگذاری فایل‌ها از الگوریتم ChaCha20 استفاده می‌کند. برای هر فایل، یک کلید (FileKey) و یک Nonce تصادفی تولید می‌شود. این کلیدها سپس با استفاده از تکنیک Elliptic Curve Diffie-Hellman (ECDH) و الگوریتم secretbox.Seal() رمزگذاری شده و به متادیتای هر فایل اضافه می‌گردند. این رویکرد دو مرحله‌ای، بازگردانی اطلاعات بدون ابزارهای مهاجمان را عملاً غیرممکن می‌سازد.

* قابلیت‌های انعطاف‌پذیر: بدافزار از آرگومان‌های خط فرمان مختلفی پشتیبانی می‌کند که به مهاجم امکان کنترل کامل می‌دهد:

۔* -path: برای رمزگذاری مسیرهای خاص.
۔* -delay: برای تأخیر در اجرای بدافزار.
۔* -threads: برای بهینه‌سازی سرعت رمزگذاری.
۔* -perc: برای رمزگذاری جزئی فایل‌ها (Partial Encryption) که سرعت حمله را افزایش و از سوی دیگر احتمال شناسایی را کاهش می‌دهد.

* حرکت جانبی : برای گسترش در شبکه‌های ویندوزی، BlackLock از پروژه‌های متن‌باز مانند go-smb2 برای اسکن و دسترسی به پوشه‌های اشتراکی SMB استفاده می‌کند. این بدافزار می‌تواند با استفاده از پسوردهای Plaintext یا NTLM hashها، در شبکه به صورت جانبی حرکت کرده و سیستم‌های ذخیره‌سازی تحت شبکه را همزمان رمزگذاری کند.

* تخریب شواهد و راه‌های بازیابی: BlackLock از روش‌های پیچیده‌ای برای حذف Volume Shadow Copyها و محتویات Recycle Bin استفاده می‌کند. به جای استفاده از دستورات خط فرمان معمول مانند vssadmin.exe که به راحتی توسط راهکارهای امنیتی شناسایی می‌شوند، این بدافزار با ساخت COM objectها، کوئری‌های WMI را از طریق Shellcode که مستقیماً در حافظه بارگذاری شده است، اجرا می‌کند. این تکنیک، شناسایی و تشخیص را بسیار دشوار می‌کند.

باج‌خواهی و روانشناسی حمله

پیام باج‌خواهی که با عنوان HOW_RETURN_YOUR_DATA.TXT در هر دایرکتوری ایجاد می‌شود، علاوه بر درخواست باج، حاوی تهدیداتی مبنی بر افشای داده‌ها به مشتریان و عموم است. این استراتژی Double Extortion (اخاذی مضاعف) ، با ایجاد فشار روانی شدید، سازمان‌ها را مجبور به پرداخت باج می‌کند.

پیچیدگی فنی ، به‌خصوص قابلیت چند-سکویی بودن، توانایی‌های استتار و استفاده از تکنیک‌های پیشرفته برای حرکت جانبی و تخریب داده‌ها، آن را به یکی از تهدیدهای برجسته در فضای سایبری تبدیل کرده است. برای مقابله مؤثر با این باج‌افزار در سطح یک سازمان، یک رویکرد چندلایه ضروری است:

1. حفاظت از Endpointها و سیستم‌ها:

* استفاده از راهکارهای (EDR) و (XDR) برای شناسایی رفتار غیرعادی بدافزار، به‌ویژه تکنیک‌های Load کردن Shellcode در حافظه یا استفاده از ابزارهای بومی سیستم (Living off the land).

* مدیریت پچینگ: به‌روزرسانی مداوم سیستم‌عامل‌ها، هایپروایزرها (به‌ویژه VMware ESXi) و نرم‌افزارهای کاربردی، جهت بستن مسیرهای نفوذ اولیه.

2. امنیت شبکه:

* تقسیم‌بندی شبکه: جداسازی سیستم‌های حیاتی از بخش‌های کمتر حساس شبکه، برای جلوگیری از حرکت جانبی (Lateral Movement) در صورت آلوده شدن یک سیستم.

* محدودسازی SMB: غیرفعال‌سازی یا محدود کردن ترافیک پروتکل SMB در نقاط غیرضروری شبکه و همچنین استفاده از فایروال‌های مبتنی بر هویت برای کنترل دقیق دسترسی‌ها.

3. مدیریت هویت و دسترسی (IAM):

* پیاده‌سازی Multi-Factor Authentication (MFA) برای تمامی سرویس‌ها، به‌ویژه Remote Accessها و حساب‌های Privileged.

* استفاده از اصل Least Privilege یا حداقل دسترسی برای کاربران و ادمین‌ها، تا در صورت سرقت اعتبارنامه، سطح نفوذ مهاجم محدود شود.

4. بازیابی اطلاعات:

* داشتن Backupهای منظم، ایزوله (Offline) و با قابلیت بازیابی سریع. تست مداوم فرآیند بازیابی بک‌آپ‌ها حیاتی است. این بک‌آپ‌ها باید در مقابل حملات بدافزاری مانند BlackLock محافظت شده باشند.

@NullError_ir

✅#macOS

حمله APT-گونه جدید برای فریب کاربران macOS
با بهره‌گیری از SEO و GitHub Pages برای توزیع Atomic Stealer

کمپینی که جدیدا علیه کاربران سیستم‌عامل macOS شناسایی شده، نمونه بارزی از این تکامل است که فراتر از حملات فیشینگ ساده عمل می‌کند و از ترکیب هوشمندانه (SEO) و پلتفرم‌های معتبر برای افزایش موفقیت خود بهره می‌برد. این کمپین، بدافزار Atomic Stealer (که با نام AMOS نیز شناخته می‌شود) را به قربانیان تحویل می‌دهد.

زنجیره حمله (Attack Chain)

این عملیات سایبری یک زنجیره حمله چندمرحله‌ای و پیچیده را دنبال می‌کند که از فریب اولیه کاربر تا سرقت اطلاعات حساس، طراحی شده است:

1. مرحله اول: SEO Poisoning
مهاجمین با ایجاد ریپازیتوری‌های جعلی در GitHub که نام‌هایی شبیه به نرم‌افزارهای محبوب (مانند LastPass یا سایر ابزارهای مدیریت پسورد) دارند، از تکنیک‌های SEO استفاده می‌کنند. این ریپازیتوری‌ها به گونه‌ای بهینه‌سازی می‌شوند که در نتایج موتورهای جستجو مانند گوگل و بینگ، در رتبه‌های بالا قرار بگیرند. کاربرانی که به دنبال نرم‌افزار مورد نظر خود هستند، به راحتی به این نتایج جعلی اعتماد کرده و روی آن‌ها کلیک می‌کنند.

2. مرحله دوم: Faking a Trustworthy Platform
با کلیک روی لینک، کاربر به یک صفحه GitHub Pages منتقل می‌شود که ظاهری کاملاً رسمی و معتبر دارد. این صفحه حاوی دستورالعمل‌ها و لینک‌های دانلود فریبنده‌ای است که کاربر را به انجام اقدامات مخرب ترغیب می‌کند. این تاکتیک، از اعتبار GitHub به عنوان یک پلتفرم معتبر برای میزبانی کد و پروژه‌ها سوءاستفاده می‌کند.

3. مرحله سوم: Redirect to Staging Site
لینک‌های موجود در صفحه GitHub Pages، کاربر را به یک "Staging Site" یا وب‌سایت میانی هدایت می‌کنند. در نمونه‌ای که LastPass Threat Intelligence شناسایی کرد، قربانی به صفحه‌ای با آدرس hxxps://ahoastock825[.]github[.]io/ و سپس به macprograms-pro[.]com منتقل می‌شد. این مرحله به مهاجمین اجازه می‌دهد که آدرس اصلی بدافزار را پنهان نگه داشته و در صورت شناسایی، به راحتی آن را تغییر دهند.

4. مرحله چهارم: Command Injection & Payload Delivery
در Staging Site، از کاربر خواسته می‌شود تا یک دستور Terminal را اجرا کند. این دستور معمولاً از طریق `curl` یک اسکریپت شل مخرب را از یک سرور خارجی (مانند bonoud[.]com/get3/install.sh) دانلود و اجرا می‌کند. این اسکریپت به صورت Base64-encoded پنهان شده تا از شناسایی اولیه توسط فایروال‌ها یا ابزارهای امنیتی ساده جلوگیری کند.

5. مرحله پنجم: Exfiltration and Persistence
اسکریپت دانلود شده، بدافزار Atomic Stealer را روی سیستم قربانی نصب می‌کند. این بدافزار با هدف سرقت اطلاعات حساس مانند پسوردها، کوکی‌های مرورگر، اطلاعات کیف پول‌های ارز دیجیتال و گواهینامه‌های سیستمی طراحی شده است. پس از نصب، بدافزار با ایجاد Persistence (مانند افزودن به آیتم‌های راه‌اندازی سیستم) از بین رفتن خود جلوگیری کرده و داده‌های سرقت شده را به سرور Command and Control (C2) مهاجمین ارسال می‌کند.

تکنیک‌های مهاجمین و درس‌های APT

این حمله شباهت‌های قابل توجهی به تاکتیک‌های گروه‌های (APT) دارد، که نشان‌دهنده سطح بالای طراحی و اجرای آن است:

* استفاده از زیرساخت‌های توزیع‌شده (Distributed Infrastructure): مهاجمین با ایجاد چندین یوزرنیم و ریپازیتوری در GitHub، به محض حذف یک ریپازیتوری، از دیگری استفاده می‌کنند. این رویکرد، Resilience یا مقاومت عملیاتی آن‌ها را افزایش می‌دهد.

* استفاده از پلتفرم‌های معتبر (Trusted Platforms): بهره‌برداری از GitHub به عنوان یک پلتفرم قانونی و قابل اعتماد، اعتماد قربانی را به شدت افزایش می‌دهد و از شناسایی سریع توسط ابزارهای امنیتی جلوگیری می‌کند.

* پنهان‌کاری (Obfuscation): استفاده از تکنیک‌هایی مانند Base64-encoding برای پنهان کردن URLهای مخرب، فرآیند تحلیل و تشخیص بدافزار را پیچیده‌تر می‌کند.

@NullError_ir

✅#Inboxfuscation

ابزار Inboxfuscation
ابزاری که قواعد صندوق ورودی Exchange را دور می‌زند و یک روش APT جدید برای Persistence ارائه می‌دهد

در دنیای سایبر امروزی، حمله‌کنندگان به طور فزاینده‌ای از تکنیک‌های Living off the Land (LotL) و ابزارهای بومی سیستم‌ها برای ماندگاری (Persistence) و استخراج داده (Exfiltration) استفاده می‌کنند. یکی از این اهداف مهم، قوانین صندوق ورودی (Inbox Rules) در Microsoft Exchange است که به دلیل ماهیت کاربردی‌شان، اغلب کمتر مورد توجه تیم‌های دفاعی قرار می‌گیرند.

ابزار جدیدی به نام Inboxfuscation که توسط شرکت Permiso توسعه یافته، یک دیدگاه جدید و پیشرفته از چگونگی سوءاستفاده از این مکانیزم‌ها را به نمایش می‌گذارد. این ابزار از تکنیک‌های Unicode-based obfuscation بهره می‌برد تا قواعد مخرب را به گونه‌ای ایجاد کند که از دید ابزارهای امنیتی سنتی و حتی بازبینی‌های انسانی پنهان بمانند. در واقع، این ابزار یک نقطه کور (Blind Spot) حیاتی در امنیت ایمیل را آشکار می‌سازد که می‌تواند توسط مهاجمان پیشرفته (APT) مورد بهره‌برداری قرار گیرد.

مکانیزم کار و Obfuscation پیشرفته با Unicode

در حملات سنتی مربوط به Inbox Rules، مهاجمان از کلمات کلیدی و اکشن‌های ساده‌ای مثل Forward یا Delete برای ساخت قواعد خود استفاده می‌کردند. این روش‌ها به راحتی توسط مکانیزم‌های تشخیص مبتنی بر کلمات کلیدی یا Regex شناسایی می‌شوند. اما Inboxfuscation این پارادایم را به طور کامل تغییر می‌دهد.

این ابزار با جایگزینی کاراکترهای ASCII با نسخه‌های مشابه Unicode ، تزریق کاراکترهای Zero-Width ، دستکاری جهت متن (Bidirectional Text) و ترکیب چندین تکنیک مختلف، قواعدی را می‌سازد که ظاهراً بی‌ضرر به نظر می‌رسند اما عملکرد کاملاً مخربی دارند.

به عنوان مثال، کلمه secret می‌تواند با استفاده از این تکنیک‌ها به فرم‌های زیر تغییر یابد:

۔* Ⓢⓔⓒⓡⓔⓣ: استفاده از کاراکترهای Mathematical Alphanumeric Symbols (U+1D4B6) که در ظاهر شبیه حروف عادی هستند.

۔* s‍e‍c‍r‍e‍t: تزریق کاراکترهای Zero-Width Joiner (U+200D) بین حروف. این کاراکترها در خروجی‌های متنی مثل Get-InboxRule دیده نمی‌شوند اما در پردازش موتور Exchange به عنوان حروف به هم پیوسته تفسیر می‌شوند.

۔* tse‍rces: استفاده از کاراکتر Right-to-Left Override (U+202E) که جهت متن را برعکس می‌کند.

این تکنیک‌ها باعث می‌شوند که خروجی دستوراتی مانند Get-InboxRule در PowerShell، قواعد را به صورت عادی نمایش دهد و چشم انسان قادر به تشخیص این obfuscation نباشد، در حالی که موتور Exchange آن را به درستی تفسیر می‌کند و ایمیل‌هایی با محتوای secret را مورد هدف قرار می‌دهد.

تکنیک‌های Obfuscation عملکردی

۔**Inboxfuscation** تنها به obfuscation متنی محدود نمی‌شود و ترفندهای عملکردی دیگری را نیز معرفی می‌کند. برای مثال، این ابزار می‌تواند قواعدی بسازد که به جای ارسال ایمیل به آدرس خارجی، آن‌ها را به پوشه‌های غیرمعمول مانند Calendar یا Tasks منتقل کند. این کار باعث می‌شود که این فعالیت‌ها از رصد ابزارهایی که به صورت معمول تنها روی پوشه Sent Items یا Deleted Items نظارت دارند، خارج شود.

یکی دیگر از تکنیک‌های خطرناک، تزریق کاراکتر Null (U+0000) به نامِ قانون (Rule's Name) است. این کار باعث می‌شود که در برخی خروجی‌ها نمایش داده نشود و حتی در برخی موارد، retrieval آن را دشوار یا غیرممکن می‌سازد.
مثلا در ترمینال این رو بنویسید تا متوجه این کارکتر شوید

echo -e 'salam\x00ls'

راهکار مقابله و نتیجه‌گیری

با توجه به این که ابزارهای امنیتی سنتی بر اساس تطابق الگوهای ASCII کار می‌کنند و فرض می‌کنند که محتوا قابل خواندن و ساده است، در برابر Inboxfuscation کاملاً آسیب‌پذیر هستند. برای مقابله با این تهدید، تیم‌های امنیتی باید استراتژی‌های زیر را به کار گیرند:

1۔ پیاده‌سازی Detection Rules با قابلیت Unicode-Aware: سیستم‌های SIEM و راهکارهای امنیتی باید به گونه‌ای به‌روزرسانی شوند که بتوانند کاراکترهای غیرمعمول Unicode، به‌ویژه کاراکترهای Zero-Width یا Right-to-Left را در قوانین ایمیل تشخیص دهند و آن‌ها را به عنوان پرچم‌های مشکوک (Suspicious Flags) علامت‌گذاری کنند.

2۔ Audit و تحلیل دوره‌ای قوانین: انجام بررسی‌های جامع و دوره‌ای بر روی تمامی Inbox Rules در سازمان، یک امر حیاتی است. این بررسی‌ها باید شامل اسکریپت‌هایی باشند که خروجی Get-InboxRule را به صورت دقیق بررسی و هرگونه کاراکتر Unicode غیرعادی را تحلیل کنند.

✅#DDoS

شرکت کلودفلر (Cloudflare) اعلام کرد حمله DDoS با سرعت ۲۲.۲ ترابیت بر ثانیه، رکورد جهانی جدیدی را در اینترنت شکست .. این حمله ٤۰ ثانیه طول کشید و خدا میداند در پس زمینه چه خبرهایی شده است 💀.


@NullError_ir

✅#Nimbus_Manticore

گروه Nimbus Manticore با بدافزار جدید

این گروه هکری که به ایران منتسب است، در کمپین اخیر خود صنایع دفاعی، مخابراتی و هوانوردی در اروپای غربی (به‌ویژه دانمارک، سوئد و پرتغال) را هدف قرار داده است. رویکرد این گروه نشان‌دهنده بلوغ عملیاتی بالا و استفاده از تکنیک‌های پیشرفته برای فرار از شناسایی است.

۱.آغاز خمله

حمله با یک کمپین Spear-Phishing هدفمند آغاز می‌شود. مهاجمان با جعل هویت استخدام‌کنندگان شرکت‌های معتبر هوافضا مانند Boeing، Airbus و Rheinmetall، قربانیان را به پورتال‌های شغلی جعلی هدایت می‌کنند. این وب‌سایت‌ها با استفاده از قالب‌های مبتنی بر React ساخته شده و شباهت زیادی به نمونه‌های واقعی دارند. نکته قابل توجه در این مرحله، اختصاص URL و اعتبارنامه ورود (Credentials) منحصربه‌فرد برای هر قربانی است که به مهاجمان امکان ردیابی دقیق و مدیریت دسترسی را می‌دهد.

۲. زنجیره آلودگی و نوآوری فنی

زنجیره آلودگی این بدافزار چندمرحله‌ای و بسیار پیچیده است و از تکنیک‌های خلاقانه‌ای برای دور زدن مکانیزم‌های امنیتی بهره می‌برد.

* فایل اولیه: قربانی پس از ورود به پورتال جعلی، یک فایل آرشیو مخرب (مانند Survey.zip) را دانلود می‌کند. این فایل شامل یک فایل اجرایی قانونی به نام Setup.exe و چندین DLL مخرب است.

* تکنیک نوین DLL Sideloading: نوآوری اصلی این حمله در نحوه اجرای DLL Sideloading نهفته است.

1. با اجرای Setup.exe ، بدافزار از طریق فراخوانی توابع سطح پایین NT API (مشخصاً RtlCreateProcessParameters) ، ساختار RTL_USER_PROCESS_PARAMETERS پروسس را دستکاری می‌کند.

2. این دستکاری به‌طور خاص پارامتر DllPath را تغییر می‌دهد. این عمل باعث می‌شود که ترتیب جستجوی DLL در ویندوز (Windows DLL search order) تغییر کرده و DLL مخرب xmllite.dll از دایرکتوری فعلی (محل فایل‌های استخراج‌شده) بارگذاری شود، نه از مسیر سیستمی System32.

* سوءاستفاده از فرآیندهای معتبر ویندوز:

1. در مرحله بعد، DLL مخرب userenv.dll ، با استفاده از فراخوانی‌های سطح پایین ntdll، یک کامپوننت قانونی و امضاشده Windows Defender به نام SenseSampleUploader.exe را اجرا می‌کند.

2. از آنجایی که این فایل اجرایی معتبر نیز به xmllite.dll وابستگی دارد و به دلیل دستکاری مسیر جستجو، نسخه مخرب xmllite.dll توسط این فرآیند معتبر بارگذاری می‌شود. این تکنیک به‌طور مؤثری مکانیزم‌های دفاعی مبتنی بر شهرت و لیست سفید (Whitelisting) را دور می‌زند.

* ایجاد پایداری:

1. پس از بارگذاری موفق، xmllite.dll یک دایرکتوری کاری در مسیر %AppData%\Local\Microsoft\MigAutoPlay\ ایجاد کرده و کامپوننت‌های بک‌دور را در آن کپی می‌کند.

2. سپس یک Scheduled Task ایجاد می‌کند تا فایل MigAutoPlay.exe را به‌صورت دوره‌ای اجرا کند. این فایل اجرایی نیز به نوبه خود، DLL مخرب userenv.dll را که حاوی عملکرد اصلی بک‌دور است، Sideload می‌کند.

۳. پیلود نهایی: بک‌دور MiniJunk

بک‌دور اصلی که در این حمله استفاده شده، MiniJunk نام دارد و نسخه تکامل‌یافته‌ای از بدافزار قبلی این گروه (Minibike) است. این بک‌دور قابلیت‌های استانداردی مانند جمع‌آوری اطلاعات سیستم، مدیریت فایل‌ها (خواندن، نوشتن، حذف)، ایجاد فرآیندهای جدید و بارگذاری DLL‌های دلخواه را دارد.

۴. تکنیک‌های پیشرفته فرار از تحلیل

نقطه قوت اصلی بدافزار MiniJunk، استفاده سنگین از تکنیک‌های Obfuscation در سطح کامپایلر است. تحلیلگران معتقدند که مهاجمان از یک Pass سفارشی برای کامپایلر LLVM استفاده کرده‌اند تا تحلیل ایستا و مهندسی معکوس نمونه‌ها را تقریباً غیرممکن سازند. این تکنیک‌ها شامل موارد زیر است:

* درج کدهای بیهوده (Junk Code Insertion): افزودن کدهای اضافی که هیچ تأثیری بر عملکرد اصلی ندارند.

* مبهم‌سازی جریان کنترل (Control-Flow Obfuscation): پیچیده کردن گراف جریان کنترل برنامه با استفاده از پرش‌های شرطی غیرمستقیم و ساختارهای نامفهوم.

* گزاره‌های مبهم (Opaque Predicates): استفاده از شروطی که نتیجه آن‌ها در زمان کامپایل مشخص است اما تحلیلگر را گمراه می‌کند.

* رمزنگاری رشته‌ها (Encrypted Strings): هر رشته متنی در بدافزار با یک کلید منحصربه‌فرد رمزنگاری شده است تا از شناسایی مبتنی بر رشته جلوگیری شود.

* مبهم‌سازی فراخوانی توابع: آدرس توابع از طریق عملیات حسابی محاسبه می‌شود تا فراخوانی‌های مستقیم API پنهان شوند.

@NullError_ir