✅#KSMBDrain

آسیب‌پذیری KSMBDrain :
حمله DoS از طریق اشباع منابع در کرنل لینوکس

اخیراً یک آسیب‌پذیری جدی از نوع Denial-of-Service (DoS) در زیرسیستم KSMBD کرنل لینوکس شناسایی شده است که با شناسه CVE-2025-38501 ردیابی می‌شود. این ضعف امنیتی به یک مهاجم راه دور و غیر احراز هویت شده اجازه می‌دهد تا با بهره‌برداری از نحوه مدیریت نشست‌های نیمه‌باز TCP (Half-Open TCP sessions) توسط کرنل، تمامی اتصالات SMB موجود روی سرور را به اتمام رسانده و آن را از دسترس خارج کند.

یک اکسپلویت عمومی با نام KSMBDrain نیز منتشر شده که به وضوح نشان می‌دهد چگونه مهاجمان می‌توانند به سادگی با ارسال هزاران درخواست برای برقراری ارتباط سه‌مرحله‌ای TCP (Three-way Handshake) و عدم تکمیل آن، سرور KSMBD را تحت فشار قرار دهند و باعث شوند سرور سوکت‌های (sockets) ارتباطی را به طور نامحدود در حالت انتظار نگه دارد.

مکانیزم فنی آسیب‌پذیری: چگونه حمله کار می‌کند؟

ریشه این آسیب‌پذیری در رفتار پیش‌فرض KSMBD نهفته است که اتصالات ناقص را بدون هیچ‌گونه محدودیت بالایی برای سوکت‌های در حالت SYN-ACK ، حفظ می‌کند. برای درک بهتر، فرآیند را مرحله به مرحله بررسی می‌کنیم:

1. برقراری ارتباط TCP: در یک ارتباط عادی، کلاینت یک بسته SYN ارسال می‌کند. سرور با یک بسته SYN-ACK پاسخ می‌دهد و منتظر بسته نهایی ACK از سمت کلاینت می‌ماند تا ارتباط برقرار شود.

2. ایجاد نشست نیمه‌باز (Half-Open Session): مهاجم با ارسال یک بسته SYN فرآیند را آغاز می‌کند. سرور طبق پروتکل، با SYN-ACK پاسخ می‌دهد و یک اسلات اتصال (connection slot) را به این درخواست اختصاص می‌دهد.

3. نقطه ضعف KSMBD: مهاجم هرگز بسته نهایی ACK را ارسال نمی‌کند. در این وضعیت، KSMBD به اشتباه این اتصال نیمه‌باز را برای مدت طولانی (یا حتی نامحدود بسته به تنظیمات) باز نگه می‌دارد، به امید اینکه کلاینت فرآیند را تکمیل کند.

4. اشباع منابع (Resource Exhaustion): مهاجم این فرآیند را به طور مکرر و با سرعت بالا از یک یا چند آدرس IP تکرار می‌کند. با هر درخواست SYN ، یک اسلات اتصال دیگر اشغال می‌شود. این کار تا جایی ادامه پیدا می‌کند که به آستانه max_connections تعریف شده در فایل /etc/ksmbd/ksmbd.conf می‌رسد.

5. نتیجه: Denial of Service: پس از پر شدن تمام اسلات‌های اتصال، سرور دیگر قادر به پذیرش هیچ‌گونه اتصال SMB جدیدی نخواهد بود. در نتیجه، کاربران قانونی که قصد دسترسی به فایل‌های اشتراکی یا استفاده از سرویس‌های احراز هویت متکی بر SMB را دارند، با خطا مواجه شده و سرویس به طور کامل از دسترس خارج می‌شود.

حتی اگر مدیر سیستم مقدار handshake_timeout را به عدد پایینی (مثلاً یک دقیقه) کاهش دهد، این کار تنها سرعت حمله را کند می‌کند اما مانع آن نمی‌شود؛ زیرا مهاجم می‌تواند به طور مداوم نشست‌های نیمه‌باز جدیدی ایجاد کرده و منابع را اشباع نگه دارد.

راهکارهای مقابله و استراتژی‌های دفاعی

مقابله با این آسیب‌پذیری نیازمند یک رویکرد چندلایه است. در ادامه راهکارهای اصلی و تکمیلی به ترتیب اولویت ارائه می‌شوند.

۱. راهکار اصلی: به‌روزرسانی فوری کرنل (Patching)

این آسیب‌پذیری از زمانی که ماژول KSMBD در نسخه 5.3 به شاخه اصلی کرنل لینوکس اضافه شد، وجود داشته است. توسعه‌دهندگان کرنل این مشکل را در commit e6bb9193974059ddbb0ce7763fa3882bd60d4dc3 برطرف کرده‌اند. این پچ، یک محدودیت backlog قابل تنظیم و یک آستانه کوتاه‌تر برای tcp_synack_retries برای سوکت‌های نیمه‌باز اعمال می‌کند.

اقدام فوری: سیستم‌عامل خود را به نسخه‌ای که از کرنل لینوکس 6.1.15 یا بالاتر استفاده می‌کند، ارتقا دهید. توزیع‌های اصلی لینوکس در حال انتشار بسته‌های به‌روزشده کرنل هستند.

۲. راهکارهای تکمیلی (در صورت عدم امکان به‌روزرسانی فوری)

اگر ارتقای فوری کرنل امکان‌پذیر نیست، می‌توانید از راهکارهای زیر برای کاهش ریسک (Mitigation) بهره ببرید:

محدودسازی نرخ درخواست (Network-level Rate Limiting):

با استفاده از فایروال‌هایی مانند iptables یا nftables ، یک قانون برای محدود کردن تعداد اتصالات جدید روی پورت TCP 445 در یک بازه زمانی مشخص، تنظیم کنید. این کار باعث می‌شود مهاجم نتواند به سرعت منابع را اشباع کند.

*مثال مفهومی در iptables*:

# Limit new connections to 10 per minute from a single IP

iptables -A INPUT -p tcp --dport 445 --syn -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT
    

تنظیمات سخت‌گیرانه‌تر فایروال:
تنها به آدرس‌های IP معتبر و مورد اعتماد اجازه دسترسی به پورت 445 را بدهید. این راهکار در شبکه‌های داخلی بسیار مؤثر است.

✅#Pixie_Dust

حمله وای‌فای Pixie Dust :
بهره‌برداری از WPS روترها برای استخراج پین و نفوذ به شبکه بی‌سیم

حمله Pixie Dust که اخیراً دوباره به طور گسترده‌ای مورد بحث قرار گرفته، بار دیگر آسیب‌پذیری‌های حیاتی و ذاتی پروتکل Wi-Fi Protected Setup (WPS) را آشکار ساخته است. این حمله به مهاجمان اجازه می‌دهد تا پین WPS روتر را به صورت آفلاین استخراج کرده و به سادگی به شبکه بی‌سیم متصل شوند.

این اکسپلویت با هدف قرار دادن ضعف در فرآیند تولید اعداد تصادفی (randomization) در nonce های صادر شده از سوی registrar (معمولاً روتر)، مکانیزم امنیتی طراحی شده برای WPS را تضعیف می‌کند، بدون آنکه نیازی به نزدیکی فیزیکی به هدف یا استفاده از سخت‌افزارهای پیچیده داشته باشد. متخصصان دفاع سایبری و کاربران خانگی به طور یکسان باید فوراً ویژگی WPS را در تجهیزات خود به‌روزرسانی یا غیرفعال کنند تا ریسک دسترسی‌های غیرمجاز را به حداقل برسانند.

حمله Pixie Dust

پروتکل WPS با هدف ساده‌سازی فرآیند اتصال به شبکه‌های Wi-Fi طراحی شد تا کاربران بتوانند با استفاده از یک پین ۸ رقمی کوتاه، به جای رمز عبور طولانی WPA2-PSK ، به شبکه متصل شوند. طبق تحلیل‌های منتشر شده توسط NetRise ، در حمله Pixie Dust ، مهاجمان از دو نقص فنی حیاتی در فرآیند handshake چهار مرحله‌ای WPS بهره‌برداری می‌کنند:

1. در طول تبادل EAP-TLS ، روترها دو nonce ثبت‌کننده ( registrar nonces ) ۱۲۸ بیتی به نام‌های Nonce-1 و Nonce-2 تولید و صادر می‌کنند.

2. به دلیل پیاده‌سازی ضعیف و ناقص الگوریتم تولید اعداد تصادفی (Random Number Generator) در firmware بسیاری از روترها، این nonce ها یا قابل پیش‌بینی هستند یا در جلسات (sessions) مختلف تکرار می‌شوند. مهاجمان فریم‌های اولیه EAPoL را شنود (intercept) کرده و با تحلیل آن‌ها، مقادیر registrar nonces را به صورت آفلاین محاسبه می‌کنند.


بازیابی پین به صورت آفلاین

پس از به دست آوردن nonceها،مهاجم مقادیر HMAC-MD5 را که برای تأیید اعتبار پین استفاده می‌شوند، بازسازی می‌کند. از آنجایی که محاسبات پین WPS به دو بخش مجزا تقسیم می‌شود، مهاجم با پیمایش تنها ۱۱,۰۰۰ حالت ممکن برای نیمه اول پین (که رقم آخر آن یک checksum است) و ۱,۰۰۰ حالت برای نیمه دوم، می‌تواند پین ۸ رقمی کامل را در عرض چند دقیقه کشف کند. این فرآیند به مراتب سریع‌تر از یک حمله brute-force مستقیم روی رمز عبور WPA2 است.

ابزارهای فنی محبوبی مانند Reaver و Bully با افزودن یک فلگ (flag) به نام pixie-dust توسعه یافته‌اند تا فرآیند تحلیل nonce و استخراج پین را خودکارسازی کنند. یک دستور حمله نمونه به شکل زیر است:

سلب مسئولیت : سواستفاده از این موضوع به عهده نویسنده نمی‌باشد

reaver -i wlan0mon -b AA:BB:CC:DD:EE:FF --pixie-dust -vv

نکته : 😜 در حمله Pixie Dust که به صورت آفلاین انجام می‌شود و نیازی به brute-force آنلاین ندارد، تأخیر زمانی بی‌معنی است.

فرآیند نهایی نفوذ و استخراج WPA2-PSK

پس از بازیابی موفقیت‌آمیز پین WPS، مهاجم یک پیام نهایی EAP-TLS EAP-Response حاوی پین صحیح را به روتر ارسال می‌کند. روتر در پاسخ، پیام EAP-Success را برمی‌گرداند و به دستگاه مهاجم نقش registrar را اعطا می‌کند. در این مرحله، مهاجم می‌تواند کلید از پیش اشتراک‌گذاری شده (Pre-Shared Key یا PSK) پروتکل WPA2 را مستقیماً از روتر درخواست و استخراج کند:

1. مهاجم مشخصه (attribute) WSC NVS PIN را درخواست می‌کند.

2. روتر در پاسخ، Network Key را که همان WPA2-PSK است، برای مهاجم ارسال می‌کند.

با در اختیار داشتن PSK ، مهاجم دیگر نیازی به استفاده از WPS ندارد و می‌تواند مانند هر کلاینت قانونی دیگری به شبکه متصل شود.

مقابله

نکته کلیدی این است که آسیب‌پذیری Pixie Dust کاملاً در پروتکل WPS رخ می‌دهد و خود پروتکل WPA2 همچنان امن باقی می‌ماند؛ با این حال، دور زدن مکانیزم احراز هویت مبتنی بر پین، عملاً حفاظت ارائه شده توسط WPA2 را بی‌اثر می‌کند.

✅#facebook

کمپین فیشینگ جدید برای سرقت اطلاعات کاربران فیس‌بوک

در دنیای امنیت سایبری، حملات فیشینگ از ساده‌ترین و قدیمی‌ترین تکنیک‌ها برای نفوذ به حساب‌های کاربری هستند. اما Threat Actorها همیشه در حال تکامل روش‌های خود هستند. اخیراً یک کمپین فیشینگ پیچیده و هوشمندانه شناسایی شده که برخلاف روش‌های سنتی، از زیرساخت‌های خود فیس‌بوک برای اعتباربخشیدن به لینک‌های مخرب استفاده می‌کند. این تکنیک، خطرات جدیدی را برای کاربران و سیستم‌های امنیتی به وجود آورده است.

جزئیات حمله:

این حمله که توسط تحلیلگران امنیتی شناسایی شده، یک عملیات فیشینگ هدفمند است که با دقت بالا طراحی شده تا از سد فیلترهای امنیتی ایمیل عبور کند و اعتماد کاربر را جلب نماید.

1. طراحی طعمه :

ظاهر فریبنده: حمله با ارسال یک ایمیل فیشینگ آغاز می‌شود که ظاهری کاملاً مشابه ایمیل‌های امنیتی رسمی فیس‌بوک دارد. لوگو، رنگ‌ها، و حتی متن‌های حقوقی (disclaimers) در پایین ایمیل، همگی شبیه نمونه‌های واقعی هستند.

موضوع اضطراری: متن ایمیل حاوی یک هشدار اضطراری و فوری است، مانند "تلاش‌های غیرمجاز برای دسترسی به حساب شما" یا "لطفاً فعالیت حساب خود را تأیید کنید." این پیام‌ها باعث ایجاد حس اضطرار در قربانی شده و او را وادار به کلیک سریع بر روی لینک می‌کنند.

2. مکانیزم آلودگی :

سوءاستفاده از سرویس Redirector: نوآوری اصلی این حمله در اینجاست. به جای اینکه لینک مخرب مستقیماً به یک دامنه فیشینگ اشاره کند، از سرویس ریدایرکت داخلی خود فیس‌بوک ، یعنی l.facebook.com استفاده می‌کند.

ساختار URL فیشینگ: URL ارسال‌شده به قربانی ساختاری شبیه به این دارد:

https://l.facebook.com/l.php?u=https%3A%2F%2F_malicious_phishing_site_&h=_hash_

در این ساختار، پارامتر u= حاوی آدرس وب‌سایت فیشینگ واقعی (رمزگذاری‌شده با URL Encoding) است. وقتی کاربر بر روی این لینک کلیک می‌کند، مرورگر او ابتدا به سرویس l.facebook.com متصل شده و سپس به صفحه مخرب هدایت می‌شود.

اثر روانی: این روش چند مزیت کلیدی برای مهاجم دارد:

اعتباربخشی : از آنجایی که لینک با https://l.facebook.com شروع می‌شود، از نظر کاربر و بسیاری از اسکنرهای امنیتی، لینک معتبری از خود فیس‌بوک به نظر می‌رسد. این امر شک و تردید را کاهش می‌دهد.

دورزدن مکانیزم‌های امنیتی: بسیاری از ابزارهای امنیتی ایمیل، لینک‌های مستقیم به دامنه‌های مشکوک را مسدود می‌کنند. اما از آنجایی که لینک اولیه به یک دامنه معتبر (فیس‌بوک) اشاره دارد، از فیلترها عبور می‌کند.

3. صفحه فیشینگ و سرقت اطلاعات:

تقلید بی‌نقص: صفحه فرود (Landing Page) فیشینگ، یک کپی تقریباً کامل از صفحه ورود (Login) فیس‌بوک است. قربانی هیچ تفاوتی با صفحه اصلی حس نمی‌کند.

اکسفیلتراسیون (Exfiltration): هنگامی که قربانی اطلاعات ورود خود (شامل ایمیل/شماره تلفن و رمز عبور) را در فرم وارد می‌کند و دکمه "Log In" را می‌زند، این اطلاعات بلافاصله از طریق یک اسکریپت بک‌اند PHP به سرور Command-and-Control (C2) مهاجم منتقل و ذخیره می‌شوند.

تکنیک فریب دوم: برای کاهش شک قربانی، پس از ارسال اطلاعات، یک اسکریپت جاوااسکریپت کوچک روی صفحه اجرا می‌شود که پیامی شبیه "رمز عبور اشتباه است" (Incorrect password) را نمایش می‌دهد. این پیام باعث می‌شود کاربر فکر کند اشتباه تایپی داشته و مجدداً اطلاعات را وارد کند. با این کار، مهاجم در صورت نیاز دو بار اطلاعات را دریافت می‌کند که این کار شانس موفقیت حمله را بالاتر می‌برد.

ردیابی مجدد: در نهایت، پس از دومین تلاش ناموفق، قربانی به صفحه اصلی فیس‌بوک ریدایرکت می‌شود و فکر می‌کند مشکل فنی از سمت سرور بوده است.

راه مقابله :

استفاده از احراز هویت دوعاملی (2FA)

@NullError_ir

✅#CountLoader

بدافزار جدید CountLoader
باج‌افزاری با ۳ نسخه مختلف

این بدافزار کشف شده ارتباط قوی با گروه‌های باج‌افزاری روسی دارد. و در سه نسخه مختلف (NET، PowerShell و JScript) در حال گسترش است و اخیراً در یک کمپین فیشینگ با هدف قرار دادن شهروندان اوکراینی، با جعل هویت پلیس اوکراین، مشاهده شده است.

این بدافزار به عنوان یک Initial Access Broker (IAB) یا ابزاری در اختیار وابسته‌های باج‌افزاری عمل می‌کند و payloads مخربی مانند Cobalt Strike و Adaptix C2 را روی سیستم قربانی مستقر می‌کند. این بدافزار با گروه‌های باج‌افزاری معروفی مثل LockBit، BlackBasta و Qilin ارتباط دارد.

نحوه عملکرد و مکانیزم فنی

این Loader یک ابزار پیشرفته و چندمنظوره برای نفوذ اولیه است که با دقت بالایی طراحی شده تا شناسایی آن دشوار باشد.

۱. نسخه‌های مختلف و هدف‌گیری:

نسخه JScript/HTA: نسخه اصلی و کامل‌تر که با بیش از ۸۵۰ خط کد، قابلیت‌های گسترده‌ای دارد. این نسخه از طریق فایل‌های .hta که توسط mshta.exe اجرا می‌شوند، قربانی را آلوده می‌کند.

نسخه .NET و PowerShell: نسخه‌های ساده‌تری هستند که هر دو از مکانیزم مشابهی برای ارتباط با سرور و دانلود payload استفاده می‌کنند.

۲. تکنیک‌های پایداری و پنهان‌کاری:

برقراری ارتباط: بدافزار برای ارتباط با سرورهای فرماندهی و کنترل (C2) از الگوریتم‌های رمزنگاری XOR و Base64 استفاده می‌کند. این ارتباط به صورت یک حلقه تکرارشونده و با تلاش برای اتصال به چندین آدرس C2 انجام می‌شود تا از Fail شدن ارتباط جلوگیری کند.

پایداری : با ایجاد یک Scheduled Task در سیستم قربانی، با نامی جعلی شبیه به سرویس‌های گوگل (GoogleUpdaterTaskSystem135.0.7023.0) و همچنین تغییر کلید Registry Run، اطمینان حاصل می‌کند که با هر بار راه‌اندازی سیستم، دوباره اجرا شود.

استفاده از LOLBins: برای اجرای کدها و دانلود فایل‌ها از ابزارهای قانونی ویندوز مثل certutil و bitsadmin استفاده می‌کند که تشخیص آن را برای سیستم‌های امنیتی سخت‌تر می‌کند (این تکنیک در دنیای APT بسیار رایج است).

پنهان‌کاری: فایل‌های مخرب را در پوشه (موسیقی) سیستم قربانی ذخیره می‌کند، که برخلاف پوشه‌های رایج مثل AppData یا Temp است و احتمال بررسی آن توسط کاربران یا نرم‌افزارهای امنیتی کمتر است.

۳. ارتباط با باج‌افزارها:

تحلیل‌گران امنیتی با بررسی Payload‌های دانلود شده، موفق به استخراج واترمارکی از پیکربندی بدافزار Cobalt Strike شدند. این وارتمارک خاص (شناسه 1473793097) پیش از این در حملات باج‌افزاری Qilin مشاهده شده بود. همچنین واترمارک مرتبط دیگری نیز کشف شده که با گروه‌های BlackBasta و LockBit مرتبط است. این یافته‌ها، وجود یک اکوسیستم مشترک و همکاری بین این گروه‌ها یا استفاده از یک IAB مشترک را تأیید می‌کند.

یکی از پیشرفته‌ترین جنبه‌های این حمله ، استفاده از فایل‌های PDF دستکاری‌شده به عنوان اولین گام نفوذ است. برخلاف تصور رایج که حملات فیشینگ صرفاً از طریق لینک‌های مخرب یا فایل‌های اجرایی مستقیم صورت می‌گیرد، مهاجمان در این کمپین از یک تکنیک ظریف Social Engineering بهره برده‌اند. آن‌ها با جعل هویت پلیس ملی اوکراین، یک فایل PDF فریبنده را به قربانیان ارسال می‌کنند. این سند به ظاهر رسمی، حاوی یک (HTA) جاسازی‌شده است.

به محض اینکه قربانی روی دکمه یا لینک تعبیه‌شده در این PDF کلیک می‌کند، در پس‌زمینه و بدون نمایش هیچ‌گونه اخطار امنیتی، فایل HTA توسط موتور mshta.exe ویندوز اجرا می‌شود. این فرآیند، در واقع CountLoader را فعال کرده و حلقه ارتباطی با سرورهای C2 را آغاز می‌کند. این رویکرد، مهاجمان را قادر می‌سازد تا بدون استفاده از آسیب‌پذیری‌های Zero-day، از تعامل کاربر برای شروع فرآیند آلودگی بهره‌برداری کنند. این شیوه، نشان‌دهنده یک تاکتیک نوین در زنجیره حملات APT-style است که با ترکیب هوشمندانه مهندسی اجتماعی و تکنیک‌های قانونی سیستم عامل، به هدف خود می‌رسد و شناسایی آن را به شدت دشوار می‌سازد.

ابزار mshta.exe یک ابزار قانونی ویندوز برای اجرای فایل‌های HTML Application است. فایل‌های HTA در واقع فایل‌های HTML هستند که به جای اجرا در مرورگر، به صورت یک برنامه مستقل ویندوز اجرا می‌شوند. این برنامه‌ها دسترسی کامل به APIهای سیستم عامل دارند و از محدودیت‌های امنیتی مرورگرها عبور می‌کنند.

به دلیل همین قابلیت، مهاجمان سایبری اغلب از mshta.exe برای اجرای کدهای مخرب استفاده می‌کنند. آن‌ها کدهای مخرب خود را در یک فایل HTA قرار می‌دهند و از این طریق، بدافزار را بدون نیاز به یک فایل اجرایی سنتی (.exe) روی سیستم قربانی اجرا می‌کنند. این روش به آن‌ها کمک می‌کند تا از بسیاری از راهکارهای امنیتی که بر اساس شناسایی فایل‌های .exe مخرب کار می‌کنند، عبور کنند.

@NullError_ir

✅#AFTA
Advanced Forensics Triage Assista

آیا تا کنون در شرایط پاسخ به حادثه در سیستم‌های لینوکس، نیاز به یک ابزار سریع برای جمع‌آوری شواهد داشته‌اید؟

ابزاری قدرتمند و سبک برای سیستم‌عامل‌های لینوکسی طراحی کرده ام که کمک می‌کند تا در کوتاه‌ترین زمان ممکن، یک تصویر کامل و سازمان‌یافته از وضعیت یک سیستم آلوده تهیه کنید.

این ابزار فرآیند تریاژ را به صورت خودکار انجام می‌دهد و با جمع‌آوری ده‌ها آرتیفکت حیاتی، ریسک خطای انسانی و از دست رفتن داده‌های کلیدی را به حداقل می‌رساند.

✨ ویژگی‌های کلیدی:

* تخلیه حافظه RAM: به صورت خودکار آخرین نسخه AVML را دانلود و یک تصویر کامل از حافظه فیزیکی سیستم تهیه می‌کند.

* خروجی جامع: تمام داده‌ها را در یک فایل ساختاریافته report.json و آرتیفکت‌های حیاتی را در یک فایل .zip فشرده و آماده تحلیل می‌کند.

* پیکربندی آسان: با ویرایش یک فایل config.yaml می‌توانید دقیقا تعیین کنید کدام داده‌ها جمع‌آوری شوند.

* تحلیل‌های امنیتی: لیستی از فایل‌های SUID/SGID و هش باینری‌های مهم سیستمی را برای بررسی‌های بعدی ارائه می‌دهد.

این ابزار برای اجرا تنها به Python3 نیاز دارد و بدون هیچ‌گونه نصب پیچیده، به سرعت آماده کار است. این ابزار، یک ابزار ضروری برای هر Digital Forensics و Incident Response است.


لینک ابزار در گیت‌هابم


@NullError_ir

✅#MalTerminal

بدافزار جدید MalTerminal
بر پایه هوش مصنوعی OpenAi GPT-4

تیمی از محققان امنیتی با استفاده از YARA rules، فایل‌های باینری را برای پیدا کردن API Keyهای هاردکد شده و ساختارهای Prompt رایج در LLM ها، اسکن کردند. این رویکرد نوآورانه به آنها کمک کرد تا یک کلاستر از اسکریپت‌های پایتون مشکوک و یک فایل اجرایی ویندوز به نام MalTerminal.exe را کشف کنند.

تحقیقات نشان داد که این بدافزار از یک OpenAI API Endpoint قدیمی و منسوخ شده استفاده می‌کند که این موضوع نشان می‌دهد MalTerminal قبل از نوامبر ۲۰۲۳ ساخته شده و احتمالاً قدیمی‌ترین نمونه شناخته‌شده از بدافزارهای مبتنی بر LLM است.

### نسل جدید بدافزارها با هوش مصنوعی

این MalTerminal یک بدافزار معمولی نیست؛ بلکه یک Malware Generator است. این ابزار به جای اینکه کد مخرب را در خود داشته باشد، آن را در زمان اجرا (runtime) و به صورت پویا می‌سازد.

نحوه عملکرد:

1. اجرا: مهاجم MalTerminal.exe را اجرا می‌کند.

2. انتخاب هدف: ابزار از اپراتور خود می‌خواهد که بین ساخت Ransomware یا Reverse Shell یکی را انتخاب کند.

3. درخواست به GPT-4: MalTerminal یک درخواست به API مدل GPT-4 می‌فرستد. این درخواست شامل یک Prompt خاص است که از هوش مصنوعی می‌خواهد کد مخرب مورد نظر (مثلاً کد پایتون برای Ransomware) را تولید کند.

4. تولید و اجرا: GPT-4 کد مخرب را تولید کرده و آن را به MalTerminal برمی‌گرداند. سپس MalTerminal این کد را در حافظه سیستم قربانی اجرا می‌کند.

این رویکرد، یک تغییر پارادایم جدی در حملات سایبری است، چرا که MalTerminal با توجه به ماهیت خود، Static Analysis و ابزارهای Signature-Based Detection را دور می‌زند. از آنجایی که هیچ کد مخربی در فایل اصلی وجود ندارد، آنتی‌ویروس‌ها نمی‌توانند آن را از طریق امضای ثابت شناسایی کنند.

### تشابه MalTerminal و PromptLock

این دو بدافزار غالباً با یکدیگر مقایسه می‌شوند، اما تفاوت‌های کلیدی دارند:

*۔ PromptLock: این بدافزار که توسط محققان دانشگاه نیویورک به عنوان یک Proof-of-Concept کشف شد، از API Ollama برای اجرای یک LLM به صورت Local روی سیستم قربانی استفاده می‌کند. PromptLock کد مخرب را بر اساس Promptهای از پیش تعریف شده به صورت بلادرنگ می‌سازد. با این حال، چون یک پروژه تحقیقاتی بوده، به صورت گسترده در دنیای واقعی کشف نشده است.

*۔ MalTerminal: این بدافزار در دنیای واقعی (in the wild) کشف شده و از یک API خارجی (OpenAI API) استفاده می‌کند. این وابستگی به یک سرویس ابری، نقطه‌ای است که آن را آسیب‌پذیر می‌کند.

ظهور بدافزارهایی مانند MalTerminal و PromptLock چالش‌های جدیدی برای مدافعان سایبری ایجاد می‌کند.

چالش‌ها:

* پلی‌مورفیسم پیشرفته: بدافزار می‌تواند برای هر حمله، کد منحصربه‌فردی تولید کند، که شناسایی آن با روش‌های سنتی مبتنی بر امضا را بسیار سخت می‌کند.

* آنالیز شبکه: ترافیک شبکه این بدافزارها می‌تواند با ترافیک‌های قانونی استفاده از API مدل‌های LLM اشتباه گرفته شود و تشخیص آن را دشوار سازد.

راه‌های مقابله:

*۔ Threat Hunting مبتنی بر LLM: تیم‌های امنیتی باید استراتژی‌های خود را برای شکار تهدیدات بر اساس کشف استفاده غیرمعمول و مخرب از API های LLM تغییر دهند.

* مانیتورینگ ترافیک شبکه: شناسایی درخواست‌های مشکوک به API های معروف LLM، می‌تواند یک روش مؤثر باشد.

*۔ API Key Revocation: اگر یک API Key سرقت شده و در بدافزاری مانند MalTerminal استفاده شود، شرکت‌های سازنده LLM می‌توانند با غیرفعال کردن آن Key، بدافزار را بلااستفاده کنند.

*۔ Detection مبتنی بر رفتار: استفاده از ابزارهای امنیتی که رفتار غیرعادی فرآیندها را بررسی می‌کنند، می‌تواند در شناسایی MalTerminal مفید باشد. برای مثال، یک فایل اجرایی که ناگهان شروع به تولید و اجرای کدهای پایتون در حافظه می‌کند، می‌تواند یک رفتار مشکوک محسوب شود.

در نهایت، با وجود اینکه بدافزارهای مبتنی بر LLM هنوز در مراحل ابتدایی هستند، MalTerminal یک هشدار جدی است که نشان می‌دهد بازیگران تهدید (Threat Actors) به طور فعال در حال نوآوری هستند و مدافعان باید استراتژی‌های خود را برای تشخیص استفاده مخرب از LLM ها به‌روز کنند.

@NullError_ir

✅#EDR_Freeze

ابزار EDR-Freeze:
یک ابزار خطرناک برای متوقف کردن EDR و آنتی‌ویروس‌ها

تصور کنید در حال انجام یک نفوذ هستید. به یک سیستم Endpoint دسترسی پیدا کرده‌اید، اما دیوار بتنی EDR (Endpoint Detection and Response) و آنتی‌ویروس (Antivirus) در مقابل شما ایستاده است. هر حرکت مشکوکی به سرعت شناسایی و مسدود می‌شود. چاره چیست؟

بسیاری از مهاجمان در این شرایط به تکنیک‌های پیشرفته‌ای مانند BYOVD (Bring Your Own Vulnerable Driver) روی می‌آورند. در این روش، مهاجم یک درایور (Driver) آسیب‌پذیر را به سیستم قربانی منتقل و از طریق آن، فرآیندهای امنیتی را غیرفعال می‌کند. اما این تکنیک یک نقطه ضعف بزرگ دارد: شناسایی و نصب یک درایور آسیب‌پذیر در یک سیستم مانیتورینگ شده توسط EDR، ریسک بسیار بالایی دارد و می‌تواند منجر به آلارم‌های جدی و حتی Response تیم امنیتی شود.

اینجا است که ابزار EDR-Freeze وارد میدان می‌شود؛ یک ابزار نوآورانه و بی‌سروصدا که به جای استفاده از درایورهای خارجی، از یک قابلیت داخلی خود ویندوز برای "خواباندن" موقت فرآیندهای امنیتی استفاده می‌کند.

تکنیک زیر پوست ویندوز: MiniDumpWriteDump و WerFaultSecure

مغز متفکر این حمله، سوءاستفاده از یک API قانونی ویندوز به نام MiniDumpWriteDump است. این تابع بخشی از کتابخانه DbgHelp است و وظیفه‌اش گرفتن یک Snapshot از حافظه و وضعیت یک فرآیند (اصطلاحاً Minidump) برای اهداف Debugging است. نکته کلیدی کجاست؟ در هنگام انجام این کار، تابع MiniDumpWriteDump تمام Threadهای فرآیند هدف را Suspend (متوقف) می‌کند تا یک کپی پایدار و بدون تغییر از آن تهیه کند.

حالا به دو چالش اصلی می‌رسیم:

1. سرعت: اجرای این تابع بسیار سریع است و Suspend کردن فرآیند تنها برای چند میلی‌ثانیه طول می‌کشد. برای اینکه بتوانیم از این حالت Suspend سوءاستفاده کنیم، باید آن را به صورت نامحدود ادامه دهیم.

2. حفاظت PPL: فرآیندهای حیاتی EDR و آنتی‌ویروس با یک مکانیزم امنیتی قدرتمند ویندوز به نام PPL (Protected Process Light) محافظت می‌شوند. این مکانیزم اجازه نمی‌دهد که فرآیندهای عادی (User-Mode) به سادگی با آنها تعامل داشته باشند، آنها را Kill کنند یا وضعیتشان را تغییر دهند.

ابزار EDR-Freeze چگونه از این دو چالش عبور می‌کند؟

این ابزار برای حل این مشکلات، از یک تکنیک خلاقانه و مبتنی بر Race Condition استفاده می‌کند:

1. بایپس PPL با WerFaultSecure:

* برنامه WerFaultSecure.exe یک ابزار قانونی ویندوز برای گزارش خطاهای برنامه است و یک ویژگی منحصربه‌فرد دارد: می‌تواند با سطح حفاظت PPL نوع WinTCB اجرا شود. این سطح حفاظت به آن اجازه می‌دهد تا با فرآیندهای PPL تعامل کند.

*ابزار EDR-Freeze با استفاده از ابزاری مانند CreateProcessAsPPL ، یک فرآیند WerFaultSecure.exe با پارامترهای خاص ایجاد می‌کند تا آن را مجبور به اجرای تابع MiniDumpWriteDump روی فرآیند هدف (مثلاً Windows Defender) کند.

2. قفل کردن فرآیند با Race Condition:

* به محض اینکه WerFaultSecure شروع به کار می‌کند، EDR-Freeze به صورت مداوم وضعیت فرآیند هدف (آنتی‌ویروس/EDR) را چک می‌کند.

* لحظه‌ای که MiniDumpWriteDump شروع به کار می‌کند و فرآیند هدف به حالت Suspend می‌رود، EDR-Freeze به سرعت وارد عمل شده و فرآیند WerFaultSecure را با استفاده از تابع NtSuspendProcess متوقف (Suspend) می‌کند!

* نتیجه چیست؟ فرآیند WerFaultSecure که مسئول Resume کردن فرآیند هدف بود، خودش به حالت Suspend رفته و فرآیند آنتی‌ویروس/EDR برای همیشه در حالت Suspend باقی می‌ماند.

این تکنیک به مهاجم اجازه می‌دهد تا به صورت موقت و برای مدت دلخواه (مثلاً چند ثانیه یا چند دقیقه) تمام فرآیندهای حیاتی امنیتی را از کار بیندازد، Payload خود را اجرا کرده و سپس کار را به حالت عادی بازگرداند.

@NullError_ir

✅#BlackLock

باج‌افزار BlackLock

یک گروه پیشرفته و خطرناک با توانایی‌های منحصر به فرد خود، به یک تهدید جدی برای سازمان‌ها تبدیل شده است. این گروه که از مارس ۲۰۲۴ با نام "El Dorado" فعالیت خود را آغاز کرد و سپس به BlackLock تغییر برند داد، با استفاده از زبان برنامه‌نویسی Go، توانسته بدافزاری چند-سکویی توسعه دهد که به صورت یکپارچه بر روی سیستم‌های ویندوز، لینوکس و حتی محیط‌های VMware ESXi قابل اجراست. این ویژگی، سطح حمله را به طرز چشمگیری افزایش داده و به مهاجمین اجازه می‌دهد کل زیرساخت IT یک سازمان را به صورت همزمان آلوده کنند.

معماری حمله و تکنیک‌های پیشرفته

این باج‌افزار با جذب Affiliateهای ماهر از طریق انجمن‌های زیرزمینی مانند RAMP در فضای سایبری روسی‌زبان، گستره حملات خود را وسعت می‌بخشد. ویژگی‌های فنی این باج‌افزار شامل موارد زیر است:

* روش‌های رمزگذاری دو لایه: بدافزار برای رمزگذاری فایل‌ها از الگوریتم ChaCha20 استفاده می‌کند. برای هر فایل، یک کلید (FileKey) و یک Nonce تصادفی تولید می‌شود. این کلیدها سپس با استفاده از تکنیک Elliptic Curve Diffie-Hellman (ECDH) و الگوریتم secretbox.Seal() رمزگذاری شده و به متادیتای هر فایل اضافه می‌گردند. این رویکرد دو مرحله‌ای، بازگردانی اطلاعات بدون ابزارهای مهاجمان را عملاً غیرممکن می‌سازد.

* قابلیت‌های انعطاف‌پذیر: بدافزار از آرگومان‌های خط فرمان مختلفی پشتیبانی می‌کند که به مهاجم امکان کنترل کامل می‌دهد:

۔* -path: برای رمزگذاری مسیرهای خاص.
۔* -delay: برای تأخیر در اجرای بدافزار.
۔* -threads: برای بهینه‌سازی سرعت رمزگذاری.
۔* -perc: برای رمزگذاری جزئی فایل‌ها (Partial Encryption) که سرعت حمله را افزایش و از سوی دیگر احتمال شناسایی را کاهش می‌دهد.

* حرکت جانبی : برای گسترش در شبکه‌های ویندوزی، BlackLock از پروژه‌های متن‌باز مانند go-smb2 برای اسکن و دسترسی به پوشه‌های اشتراکی SMB استفاده می‌کند. این بدافزار می‌تواند با استفاده از پسوردهای Plaintext یا NTLM hashها، در شبکه به صورت جانبی حرکت کرده و سیستم‌های ذخیره‌سازی تحت شبکه را همزمان رمزگذاری کند.

* تخریب شواهد و راه‌های بازیابی: BlackLock از روش‌های پیچیده‌ای برای حذف Volume Shadow Copyها و محتویات Recycle Bin استفاده می‌کند. به جای استفاده از دستورات خط فرمان معمول مانند vssadmin.exe که به راحتی توسط راهکارهای امنیتی شناسایی می‌شوند، این بدافزار با ساخت COM objectها، کوئری‌های WMI را از طریق Shellcode که مستقیماً در حافظه بارگذاری شده است، اجرا می‌کند. این تکنیک، شناسایی و تشخیص را بسیار دشوار می‌کند.

باج‌خواهی و روانشناسی حمله

پیام باج‌خواهی که با عنوان HOW_RETURN_YOUR_DATA.TXT در هر دایرکتوری ایجاد می‌شود، علاوه بر درخواست باج، حاوی تهدیداتی مبنی بر افشای داده‌ها به مشتریان و عموم است. این استراتژی Double Extortion (اخاذی مضاعف) ، با ایجاد فشار روانی شدید، سازمان‌ها را مجبور به پرداخت باج می‌کند.

پیچیدگی فنی ، به‌خصوص قابلیت چند-سکویی بودن، توانایی‌های استتار و استفاده از تکنیک‌های پیشرفته برای حرکت جانبی و تخریب داده‌ها، آن را به یکی از تهدیدهای برجسته در فضای سایبری تبدیل کرده است. برای مقابله مؤثر با این باج‌افزار در سطح یک سازمان، یک رویکرد چندلایه ضروری است:

1. حفاظت از Endpointها و سیستم‌ها:

* استفاده از راهکارهای (EDR) و (XDR) برای شناسایی رفتار غیرعادی بدافزار، به‌ویژه تکنیک‌های Load کردن Shellcode در حافظه یا استفاده از ابزارهای بومی سیستم (Living off the land).

* مدیریت پچینگ: به‌روزرسانی مداوم سیستم‌عامل‌ها، هایپروایزرها (به‌ویژه VMware ESXi) و نرم‌افزارهای کاربردی، جهت بستن مسیرهای نفوذ اولیه.

2. امنیت شبکه:

* تقسیم‌بندی شبکه: جداسازی سیستم‌های حیاتی از بخش‌های کمتر حساس شبکه، برای جلوگیری از حرکت جانبی (Lateral Movement) در صورت آلوده شدن یک سیستم.

* محدودسازی SMB: غیرفعال‌سازی یا محدود کردن ترافیک پروتکل SMB در نقاط غیرضروری شبکه و همچنین استفاده از فایروال‌های مبتنی بر هویت برای کنترل دقیق دسترسی‌ها.

3. مدیریت هویت و دسترسی (IAM):

* پیاده‌سازی Multi-Factor Authentication (MFA) برای تمامی سرویس‌ها، به‌ویژه Remote Accessها و حساب‌های Privileged.

* استفاده از اصل Least Privilege یا حداقل دسترسی برای کاربران و ادمین‌ها، تا در صورت سرقت اعتبارنامه، سطح نفوذ مهاجم محدود شود.

4. بازیابی اطلاعات:

* داشتن Backupهای منظم، ایزوله (Offline) و با قابلیت بازیابی سریع. تست مداوم فرآیند بازیابی بک‌آپ‌ها حیاتی است. این بک‌آپ‌ها باید در مقابل حملات بدافزاری مانند BlackLock محافظت شده باشند.

@NullError_ir

✅#macOS

حمله APT-گونه جدید برای فریب کاربران macOS
با بهره‌گیری از SEO و GitHub Pages برای توزیع Atomic Stealer

کمپینی که جدیدا علیه کاربران سیستم‌عامل macOS شناسایی شده، نمونه بارزی از این تکامل است که فراتر از حملات فیشینگ ساده عمل می‌کند و از ترکیب هوشمندانه (SEO) و پلتفرم‌های معتبر برای افزایش موفقیت خود بهره می‌برد. این کمپین، بدافزار Atomic Stealer (که با نام AMOS نیز شناخته می‌شود) را به قربانیان تحویل می‌دهد.

زنجیره حمله (Attack Chain)

این عملیات سایبری یک زنجیره حمله چندمرحله‌ای و پیچیده را دنبال می‌کند که از فریب اولیه کاربر تا سرقت اطلاعات حساس، طراحی شده است:

1. مرحله اول: SEO Poisoning
مهاجمین با ایجاد ریپازیتوری‌های جعلی در GitHub که نام‌هایی شبیه به نرم‌افزارهای محبوب (مانند LastPass یا سایر ابزارهای مدیریت پسورد) دارند، از تکنیک‌های SEO استفاده می‌کنند. این ریپازیتوری‌ها به گونه‌ای بهینه‌سازی می‌شوند که در نتایج موتورهای جستجو مانند گوگل و بینگ، در رتبه‌های بالا قرار بگیرند. کاربرانی که به دنبال نرم‌افزار مورد نظر خود هستند، به راحتی به این نتایج جعلی اعتماد کرده و روی آن‌ها کلیک می‌کنند.

2. مرحله دوم: Faking a Trustworthy Platform
با کلیک روی لینک، کاربر به یک صفحه GitHub Pages منتقل می‌شود که ظاهری کاملاً رسمی و معتبر دارد. این صفحه حاوی دستورالعمل‌ها و لینک‌های دانلود فریبنده‌ای است که کاربر را به انجام اقدامات مخرب ترغیب می‌کند. این تاکتیک، از اعتبار GitHub به عنوان یک پلتفرم معتبر برای میزبانی کد و پروژه‌ها سوءاستفاده می‌کند.

3. مرحله سوم: Redirect to Staging Site
لینک‌های موجود در صفحه GitHub Pages، کاربر را به یک "Staging Site" یا وب‌سایت میانی هدایت می‌کنند. در نمونه‌ای که LastPass Threat Intelligence شناسایی کرد، قربانی به صفحه‌ای با آدرس hxxps://ahoastock825[.]github[.]io/ و سپس به macprograms-pro[.]com منتقل می‌شد. این مرحله به مهاجمین اجازه می‌دهد که آدرس اصلی بدافزار را پنهان نگه داشته و در صورت شناسایی، به راحتی آن را تغییر دهند.

4. مرحله چهارم: Command Injection & Payload Delivery
در Staging Site، از کاربر خواسته می‌شود تا یک دستور Terminal را اجرا کند. این دستور معمولاً از طریق `curl` یک اسکریپت شل مخرب را از یک سرور خارجی (مانند bonoud[.]com/get3/install.sh) دانلود و اجرا می‌کند. این اسکریپت به صورت Base64-encoded پنهان شده تا از شناسایی اولیه توسط فایروال‌ها یا ابزارهای امنیتی ساده جلوگیری کند.

5. مرحله پنجم: Exfiltration and Persistence
اسکریپت دانلود شده، بدافزار Atomic Stealer را روی سیستم قربانی نصب می‌کند. این بدافزار با هدف سرقت اطلاعات حساس مانند پسوردها، کوکی‌های مرورگر، اطلاعات کیف پول‌های ارز دیجیتال و گواهینامه‌های سیستمی طراحی شده است. پس از نصب، بدافزار با ایجاد Persistence (مانند افزودن به آیتم‌های راه‌اندازی سیستم) از بین رفتن خود جلوگیری کرده و داده‌های سرقت شده را به سرور Command and Control (C2) مهاجمین ارسال می‌کند.

تکنیک‌های مهاجمین و درس‌های APT

این حمله شباهت‌های قابل توجهی به تاکتیک‌های گروه‌های (APT) دارد، که نشان‌دهنده سطح بالای طراحی و اجرای آن است:

* استفاده از زیرساخت‌های توزیع‌شده (Distributed Infrastructure): مهاجمین با ایجاد چندین یوزرنیم و ریپازیتوری در GitHub، به محض حذف یک ریپازیتوری، از دیگری استفاده می‌کنند. این رویکرد، Resilience یا مقاومت عملیاتی آن‌ها را افزایش می‌دهد.

* استفاده از پلتفرم‌های معتبر (Trusted Platforms): بهره‌برداری از GitHub به عنوان یک پلتفرم قانونی و قابل اعتماد، اعتماد قربانی را به شدت افزایش می‌دهد و از شناسایی سریع توسط ابزارهای امنیتی جلوگیری می‌کند.

* پنهان‌کاری (Obfuscation): استفاده از تکنیک‌هایی مانند Base64-encoding برای پنهان کردن URLهای مخرب، فرآیند تحلیل و تشخیص بدافزار را پیچیده‌تر می‌کند.

@NullError_ir

✅#Inboxfuscation

ابزار Inboxfuscation
ابزاری که قواعد صندوق ورودی Exchange را دور می‌زند و یک روش APT جدید برای Persistence ارائه می‌دهد

در دنیای سایبر امروزی، حمله‌کنندگان به طور فزاینده‌ای از تکنیک‌های Living off the Land (LotL) و ابزارهای بومی سیستم‌ها برای ماندگاری (Persistence) و استخراج داده (Exfiltration) استفاده می‌کنند. یکی از این اهداف مهم، قوانین صندوق ورودی (Inbox Rules) در Microsoft Exchange است که به دلیل ماهیت کاربردی‌شان، اغلب کمتر مورد توجه تیم‌های دفاعی قرار می‌گیرند.

ابزار جدیدی به نام Inboxfuscation که توسط شرکت Permiso توسعه یافته، یک دیدگاه جدید و پیشرفته از چگونگی سوءاستفاده از این مکانیزم‌ها را به نمایش می‌گذارد. این ابزار از تکنیک‌های Unicode-based obfuscation بهره می‌برد تا قواعد مخرب را به گونه‌ای ایجاد کند که از دید ابزارهای امنیتی سنتی و حتی بازبینی‌های انسانی پنهان بمانند. در واقع، این ابزار یک نقطه کور (Blind Spot) حیاتی در امنیت ایمیل را آشکار می‌سازد که می‌تواند توسط مهاجمان پیشرفته (APT) مورد بهره‌برداری قرار گیرد.

مکانیزم کار و Obfuscation پیشرفته با Unicode

در حملات سنتی مربوط به Inbox Rules، مهاجمان از کلمات کلیدی و اکشن‌های ساده‌ای مثل Forward یا Delete برای ساخت قواعد خود استفاده می‌کردند. این روش‌ها به راحتی توسط مکانیزم‌های تشخیص مبتنی بر کلمات کلیدی یا Regex شناسایی می‌شوند. اما Inboxfuscation این پارادایم را به طور کامل تغییر می‌دهد.

این ابزار با جایگزینی کاراکترهای ASCII با نسخه‌های مشابه Unicode ، تزریق کاراکترهای Zero-Width ، دستکاری جهت متن (Bidirectional Text) و ترکیب چندین تکنیک مختلف، قواعدی را می‌سازد که ظاهراً بی‌ضرر به نظر می‌رسند اما عملکرد کاملاً مخربی دارند.

به عنوان مثال، کلمه secret می‌تواند با استفاده از این تکنیک‌ها به فرم‌های زیر تغییر یابد:

۔* Ⓢⓔⓒⓡⓔⓣ: استفاده از کاراکترهای Mathematical Alphanumeric Symbols (U+1D4B6) که در ظاهر شبیه حروف عادی هستند.

۔* s‍e‍c‍r‍e‍t: تزریق کاراکترهای Zero-Width Joiner (U+200D) بین حروف. این کاراکترها در خروجی‌های متنی مثل Get-InboxRule دیده نمی‌شوند اما در پردازش موتور Exchange به عنوان حروف به هم پیوسته تفسیر می‌شوند.

۔* tse‍rces: استفاده از کاراکتر Right-to-Left Override (U+202E) که جهت متن را برعکس می‌کند.

این تکنیک‌ها باعث می‌شوند که خروجی دستوراتی مانند Get-InboxRule در PowerShell، قواعد را به صورت عادی نمایش دهد و چشم انسان قادر به تشخیص این obfuscation نباشد، در حالی که موتور Exchange آن را به درستی تفسیر می‌کند و ایمیل‌هایی با محتوای secret را مورد هدف قرار می‌دهد.

تکنیک‌های Obfuscation عملکردی

۔**Inboxfuscation** تنها به obfuscation متنی محدود نمی‌شود و ترفندهای عملکردی دیگری را نیز معرفی می‌کند. برای مثال، این ابزار می‌تواند قواعدی بسازد که به جای ارسال ایمیل به آدرس خارجی، آن‌ها را به پوشه‌های غیرمعمول مانند Calendar یا Tasks منتقل کند. این کار باعث می‌شود که این فعالیت‌ها از رصد ابزارهایی که به صورت معمول تنها روی پوشه Sent Items یا Deleted Items نظارت دارند، خارج شود.

یکی دیگر از تکنیک‌های خطرناک، تزریق کاراکتر Null (U+0000) به نامِ قانون (Rule's Name) است. این کار باعث می‌شود که در برخی خروجی‌ها نمایش داده نشود و حتی در برخی موارد، retrieval آن را دشوار یا غیرممکن می‌سازد.
مثلا در ترمینال این رو بنویسید تا متوجه این کارکتر شوید

echo -e 'salam\x00ls'

راهکار مقابله و نتیجه‌گیری

با توجه به این که ابزارهای امنیتی سنتی بر اساس تطابق الگوهای ASCII کار می‌کنند و فرض می‌کنند که محتوا قابل خواندن و ساده است، در برابر Inboxfuscation کاملاً آسیب‌پذیر هستند. برای مقابله با این تهدید، تیم‌های امنیتی باید استراتژی‌های زیر را به کار گیرند:

1۔ پیاده‌سازی Detection Rules با قابلیت Unicode-Aware: سیستم‌های SIEM و راهکارهای امنیتی باید به گونه‌ای به‌روزرسانی شوند که بتوانند کاراکترهای غیرمعمول Unicode، به‌ویژه کاراکترهای Zero-Width یا Right-to-Left را در قوانین ایمیل تشخیص دهند و آن‌ها را به عنوان پرچم‌های مشکوک (Suspicious Flags) علامت‌گذاری کنند.

2۔ Audit و تحلیل دوره‌ای قوانین: انجام بررسی‌های جامع و دوره‌ای بر روی تمامی Inbox Rules در سازمان، یک امر حیاتی است. این بررسی‌ها باید شامل اسکریپت‌هایی باشند که خروجی Get-InboxRule را به صورت دقیق بررسی و هرگونه کاراکتر Unicode غیرعادی را تحلیل کنند.

✅#DDoS

شرکت کلودفلر (Cloudflare) اعلام کرد حمله DDoS با سرعت ۲۲.۲ ترابیت بر ثانیه، رکورد جهانی جدیدی را در اینترنت شکست .. این حمله ٤۰ ثانیه طول کشید و خدا میداند در پس زمینه چه خبرهایی شده است 💀.


@NullError_ir

✅#Nimbus_Manticore

گروه Nimbus Manticore با بدافزار جدید

این گروه هکری که به ایران منتسب است، در کمپین اخیر خود صنایع دفاعی، مخابراتی و هوانوردی در اروپای غربی (به‌ویژه دانمارک، سوئد و پرتغال) را هدف قرار داده است. رویکرد این گروه نشان‌دهنده بلوغ عملیاتی بالا و استفاده از تکنیک‌های پیشرفته برای فرار از شناسایی است.

۱.آغاز خمله

حمله با یک کمپین Spear-Phishing هدفمند آغاز می‌شود. مهاجمان با جعل هویت استخدام‌کنندگان شرکت‌های معتبر هوافضا مانند Boeing، Airbus و Rheinmetall، قربانیان را به پورتال‌های شغلی جعلی هدایت می‌کنند. این وب‌سایت‌ها با استفاده از قالب‌های مبتنی بر React ساخته شده و شباهت زیادی به نمونه‌های واقعی دارند. نکته قابل توجه در این مرحله، اختصاص URL و اعتبارنامه ورود (Credentials) منحصربه‌فرد برای هر قربانی است که به مهاجمان امکان ردیابی دقیق و مدیریت دسترسی را می‌دهد.

۲. زنجیره آلودگی و نوآوری فنی

زنجیره آلودگی این بدافزار چندمرحله‌ای و بسیار پیچیده است و از تکنیک‌های خلاقانه‌ای برای دور زدن مکانیزم‌های امنیتی بهره می‌برد.

* فایل اولیه: قربانی پس از ورود به پورتال جعلی، یک فایل آرشیو مخرب (مانند Survey.zip) را دانلود می‌کند. این فایل شامل یک فایل اجرایی قانونی به نام Setup.exe و چندین DLL مخرب است.

* تکنیک نوین DLL Sideloading: نوآوری اصلی این حمله در نحوه اجرای DLL Sideloading نهفته است.

1. با اجرای Setup.exe ، بدافزار از طریق فراخوانی توابع سطح پایین NT API (مشخصاً RtlCreateProcessParameters) ، ساختار RTL_USER_PROCESS_PARAMETERS پروسس را دستکاری می‌کند.

2. این دستکاری به‌طور خاص پارامتر DllPath را تغییر می‌دهد. این عمل باعث می‌شود که ترتیب جستجوی DLL در ویندوز (Windows DLL search order) تغییر کرده و DLL مخرب xmllite.dll از دایرکتوری فعلی (محل فایل‌های استخراج‌شده) بارگذاری شود، نه از مسیر سیستمی System32.

* سوءاستفاده از فرآیندهای معتبر ویندوز:

1. در مرحله بعد، DLL مخرب userenv.dll ، با استفاده از فراخوانی‌های سطح پایین ntdll، یک کامپوننت قانونی و امضاشده Windows Defender به نام SenseSampleUploader.exe را اجرا می‌کند.

2. از آنجایی که این فایل اجرایی معتبر نیز به xmllite.dll وابستگی دارد و به دلیل دستکاری مسیر جستجو، نسخه مخرب xmllite.dll توسط این فرآیند معتبر بارگذاری می‌شود. این تکنیک به‌طور مؤثری مکانیزم‌های دفاعی مبتنی بر شهرت و لیست سفید (Whitelisting) را دور می‌زند.

* ایجاد پایداری:

1. پس از بارگذاری موفق، xmllite.dll یک دایرکتوری کاری در مسیر %AppData%\Local\Microsoft\MigAutoPlay\ ایجاد کرده و کامپوننت‌های بک‌دور را در آن کپی می‌کند.

2. سپس یک Scheduled Task ایجاد می‌کند تا فایل MigAutoPlay.exe را به‌صورت دوره‌ای اجرا کند. این فایل اجرایی نیز به نوبه خود، DLL مخرب userenv.dll را که حاوی عملکرد اصلی بک‌دور است، Sideload می‌کند.

۳. پیلود نهایی: بک‌دور MiniJunk

بک‌دور اصلی که در این حمله استفاده شده، MiniJunk نام دارد و نسخه تکامل‌یافته‌ای از بدافزار قبلی این گروه (Minibike) است. این بک‌دور قابلیت‌های استانداردی مانند جمع‌آوری اطلاعات سیستم، مدیریت فایل‌ها (خواندن، نوشتن، حذف)، ایجاد فرآیندهای جدید و بارگذاری DLL‌های دلخواه را دارد.

۴. تکنیک‌های پیشرفته فرار از تحلیل

نقطه قوت اصلی بدافزار MiniJunk، استفاده سنگین از تکنیک‌های Obfuscation در سطح کامپایلر است. تحلیلگران معتقدند که مهاجمان از یک Pass سفارشی برای کامپایلر LLVM استفاده کرده‌اند تا تحلیل ایستا و مهندسی معکوس نمونه‌ها را تقریباً غیرممکن سازند. این تکنیک‌ها شامل موارد زیر است:

* درج کدهای بیهوده (Junk Code Insertion): افزودن کدهای اضافی که هیچ تأثیری بر عملکرد اصلی ندارند.

* مبهم‌سازی جریان کنترل (Control-Flow Obfuscation): پیچیده کردن گراف جریان کنترل برنامه با استفاده از پرش‌های شرطی غیرمستقیم و ساختارهای نامفهوم.

* گزاره‌های مبهم (Opaque Predicates): استفاده از شروطی که نتیجه آن‌ها در زمان کامپایل مشخص است اما تحلیلگر را گمراه می‌کند.

* رمزنگاری رشته‌ها (Encrypted Strings): هر رشته متنی در بدافزار با یک کلید منحصربه‌فرد رمزنگاری شده است تا از شناسایی مبتنی بر رشته جلوگیری شود.

* مبهم‌سازی فراخوانی توابع: آدرس توابع از طریق عملیات حسابی محاسبه می‌شود تا فراخوانی‌های مستقیم API پنهان شوند.

@NullError_ir

✅#YiBackdoor

ظهور بدافزار جدید YiBackdoor

بدافزار YiBackdoor که برای اولین بار در ژوئن 2025 شناسایی شده، یک خانواده بدافزاری جدید و پیچیده است که به دلیل همپوشانی قابل توجه کد با بدافزارهای شناخته‌شده IcedID و Latrodectus ، توجه تحلیلگران را به خود جلب کرده است. این بدافزار به عنوان یک بکدور عمل می‌کند و به مهاجمان اجازه می‌دهد تا کنترل سیستم قربانی را به دست گرفته، اطلاعات حساس را جمع‌آوری کرده و دستورات دلخواه را اجرا کنند.

نکات کلیدی و یافته‌های اصلی

* ارتباط با حملات باج‌افزاری: مشابه IcedID که از یک تروجان بانکی به یک ابزار دسترسی اولیه (Initial Access) برای حملات باج‌افزاری تبدیل شد، YiBackdoor نیز پتانسیل استفاده در چنین سناریوهایی را دارد.

* اشتراکات کد: این بدافزار بخش‌های قابل توجهی از کد خود، از جمله یک الگوریتم رمزنگاری منحصربه‌فرد را با IcedID و Latrodectus به اشتراک می‌گذارد که نشان‌دهنده ارتباط احتمالی بین تیم‌های توسعه‌دهنده آنهاست.

* تکنیک‌های ضدتحلیل: YiBackdoor مجهز به مکانیزم‌هایی برای شناسایی و دور زدن محیط‌های مجازی‌سازی شده و سندباکس‌های تحلیل بدافزار است.

* قابلیت‌های ماژولار: عملکرد اصلی بدافزار از طریق پلاگین‌ها گسترش می‌یابد، که به مهاجمان اجازه می‌دهد قابلیت‌های جدیدی را به صورت پویا به آن اضافه کنند.

* مرحله توسعه: با توجه به استقرار محدود و وجود برخی آدرس‌های IP محلی در پیکربندی، به نظر می‌رسد این بدافزار هنوز در مراحل توسعه یا آزمایش قرار دارد.

تحلیل فنی عمیق

۱. تکنیک‌های ضدتحلیل و فرار از شناسایی

این YiBackdoor از چندین تکنیک برای جلوگیری از تحلیل و شناسایی شدن توسط ابزارهای امنیتی استفاده می‌کند:

* بارگذاری دینامیک توابع API: به جای فراخوانی مستقیم توابع ویندوز (Windows API)، بدافزار با پیمایش لیست ماژول‌های بارگذاری شده و محاسبه هش مبتنی بر ROR برای نام هر تابع، آدرس توابع مورد نظر خود را به صورت پویا پیدا می‌کند. این روش از تحلیل استاتیک و شناسایی مبتنی بر ایمپورت‌ها جلوگیری می‌کند.

* شناسایی محیط مجازی:

* دستور CPUID: با فراخوانی دستور CPUID با پارامتر 0x40000000 ، اطلاعات هایپروایزر را استخراج کرده و آن را با مقادیر شناخته‌شده برای VMWare , Xen , KVM , VirtualBox , Hyper-V و Parallels مقایسه می‌کند.

* اندازه‌گیری زمان اجرا : بدافزار با استفاده از دستور rdtsc (Read Time-Stamp Counter) زمان اجرای دستور CPUID را اندازه‌گیری می‌کند. از آنجایی که اجرای CPUID در یک ماشین مجازی باعث یک VM exit می‌شود که زمان‌بر است، تفاوت زمانی قابل توجهی ایجاد می‌شود. این فرآیند ۱۶ بار تکرار شده و اگر مقدار محاسبه شده نهایی از یک آستانه مشخص (۲۰) بیشتر باشد، بدافزار تشخیص می‌دهد که در یک محیط مجازی در حال اجراست.

* رمزگشایی رشته‌ها در زمان اجرا: رشته‌های حساس به صورت رمز شده در کد قرار دارند و در زمان اجرا با یک کلید ۴ بایتی (منحصر به هر رشته) با عملیات XOR رمزگشایی می‌شوند.

نکته جالب این است که در نسخه تحلیل شده، بدافزار از اطلاعات به دست آمده از این بررسی‌ها استفاده‌ای نمی‌کند و این تکنیک‌ها تأثیری بر رفتار فعلی آن ندارند، که می‌تواند نشانه‌ای از تکامل نیافتن کامل کد باشد.

۲. فاز اولیه و اجرا

* تزریق کد:

1. بدافزار ابتدا با ایجاد یک Mutex با نام مبتنی بر مشخصات میزبان، از اجرای همزمان چند نمونه از خودش جلوگیری می‌کند.

2. سپس بررسی می‌کند که آیا در حافظه یک پروسس تزریق شده قرار دارد یا خیر. اگر در حافظه یک DLL بارگذاری شده باشد، یک پروسس جدید svchost.exe ایجاد می‌کند.

3. کد خود را در حافظه پروسس svchost.exe کپی کرده و تابع RtlExitUserProcess را هوک می‌کند. این هوک شامل یک دستور push برای قراردادن آدرس نقطه ورود بدافزار روی پشته و سپس یک دستور ret است.

4. در نتیجه، درست در لحظه‌ای که پروسس svchost.exe در حال خاتمه یافتن است، اجرای برنامه به کد بدافزار هدایت می‌شود. این تکنیک تزریق غیرمعمول می‌تواند برخی از محصولات امنیتی را دور بزند.

* پایداری:
پس از تزریق موفق، بدافزار خود را در یک پوشه جدید با نام تصادفی کپی کرده و سپس با استفاده از کلید رجیستری Run و دستور regsvr32.exe پایداری خود را در سیستم تضمین می‌کند. در نهایت، فایل اصلی خود را برای پاک کردن ردپا حذف می‌کند.