بدافزار Fileless نوعی نرم افزار مخرب است که بدون ایجاد یا استفاده از فایل ها بر روی هارد دیسک کامپیوتر کار می کند.
این بدافزار ، مستقیماً در حافظه رایانه اجرا میشود و از برنامههای قانونی برای انجام فعالیتهای مخرب خود استفاده میکند. این امر شناسایی و جلوگیری از آن را به ویژه چالش برانگیز می کند زیرا هیچ فایلی برای اسکن برنامه های آنتی ویروس سنتی باقی نمی گذارد.
در اینجا نحوه عملکرد آن به طور معمول است:
یک . Infection: ممکن است کاربر فریب بخورد و روی پیوند مخرب یا پیوست ایمیل کلیک کند، که سپس بدافزار موجود در حافظه سیستم را اجرا می کند.
دو . Execution: بدافزار با ربودن فرآیندها یا برنامه های مورد اعتماد سیستم، مانند Windows PowerShell، برای اجرای دستورات مخرب عمل می کند.
سه . Persistence: بدافزار بدون فایل علیرغم اینکه مبتنی بر فایل نیست، می تواند با دستکاری کلیدهای رجیستری ویندوز یا سایر تنظیمات سیستم برای اطمینان از فعال شدن مجدد، باقی بماند.
بدافزار بدون فایل به دلیل ماهیت خود میتواند از بسیاری از روشهای شناسایی که بر اسکن فایلها متکی هستند دور بزند و آن را به ابزاری مخفی و مؤثر برای مهاجمان سایبری تبدیل کند. برای مبارزه با این، راهحلهای امنیتی مدرن ممکن است رفتار سیستم را بررسی کنند، ترافیک شبکه را تجزیه و تحلیل کنند و برای شناسایی و کاهش چنین تهدیداتی، وجود ناهنجاریها در فرآیندهای قابل اعتماد را بررسی کنند.
#filess
تیم سورین
این بدافزار ، مستقیماً در حافظه رایانه اجرا میشود و از برنامههای قانونی برای انجام فعالیتهای مخرب خود استفاده میکند. این امر شناسایی و جلوگیری از آن را به ویژه چالش برانگیز می کند زیرا هیچ فایلی برای اسکن برنامه های آنتی ویروس سنتی باقی نمی گذارد.
در اینجا نحوه عملکرد آن به طور معمول است:
یک . Infection: ممکن است کاربر فریب بخورد و روی پیوند مخرب یا پیوست ایمیل کلیک کند، که سپس بدافزار موجود در حافظه سیستم را اجرا می کند.
دو . Execution: بدافزار با ربودن فرآیندها یا برنامه های مورد اعتماد سیستم، مانند Windows PowerShell، برای اجرای دستورات مخرب عمل می کند.
سه . Persistence: بدافزار بدون فایل علیرغم اینکه مبتنی بر فایل نیست، می تواند با دستکاری کلیدهای رجیستری ویندوز یا سایر تنظیمات سیستم برای اطمینان از فعال شدن مجدد، باقی بماند.
بدافزار بدون فایل به دلیل ماهیت خود میتواند از بسیاری از روشهای شناسایی که بر اسکن فایلها متکی هستند دور بزند و آن را به ابزاری مخفی و مؤثر برای مهاجمان سایبری تبدیل کند. برای مبارزه با این، راهحلهای امنیتی مدرن ممکن است رفتار سیستم را بررسی کنند، ترافیک شبکه را تجزیه و تحلیل کنند و برای شناسایی و کاهش چنین تهدیداتی، وجود ناهنجاریها در فرآیندهای قابل اعتماد را بررسی کنند.
#filess
تیم سورین
soorinsec.ir
سورین | خدمات امنیت سایبری
سورین ارائه دهنده خدمات امنیت سایبری با کیفیت و حرفهای
👍2
PersistenceSniper is a Powershell module that can be used by Blue Teams, Incident Responders and System Administrators to hunt persistences implanted in Windows machines.
🔗https://github.com/last-byte/PersistenceSniper
#tools #sniper
تیم سورین
🔗https://github.com/last-byte/PersistenceSniper
#tools #sniper
تیم سورین
GitHub
GitHub - last-byte/PersistenceSniper: Powershell module that can be used by Blue Teams, Incident Responders and System Administrators…
Powershell module that can be used by Blue Teams, Incident Responders and System Administrators to hunt persistences implanted in Windows machines. Official Twitter/X account @PersistSniper. Made w...
👍1
👾PE-bear
PE-bear is a multiplatform reversing tool for PE files. Its objective is to deliver fast and flexible “first view” for malware analysts, stable and capable to handle malformed PE files.
🔗https://github.com/hasherezade/pe-bear
#malware
تیم سورین
PE-bear is a multiplatform reversing tool for PE files. Its objective is to deliver fast and flexible “first view” for malware analysts, stable and capable to handle malformed PE files.
🔗https://github.com/hasherezade/pe-bear
#malware
تیم سورین
GitHub
GitHub - hasherezade/pe-bear: Portable Executable reversing tool with a friendly GUI
Portable Executable reversing tool with a friendly GUI - GitHub - hasherezade/pe-bear: Portable Executable reversing tool with a friendly GUI
در زمینه DFIR با فایل های مشکوک زیادی مواجه می شویم که نیاز به تجزیه و تحلیل دارند و عمدتاً آنالیز استاتیک و پویا را برای آنها انجام می دهیم. بسیاری از مردم هنوز این ابزار مجانی و رایگان آنالیز استاتیک را که می خواهم در مورد آن صحبت کنم، نمی دانند، 𝐅𝐢𝐥𝐞𝐀𝐥𝐲𝐳𝐞𝐫.
اگر می خواهید در مورد زندگی درونی فایل ها بیشتر بدانید، FileAlyzer ابزاری است که می توانید در تحقیقات بعدی خود در نظر بگیرید!
✨𝐅𝐢𝐥𝐞𝐀𝐥𝐲𝐳𝐞𝐫 𝐅𝐞𝐚𝐭𝐮𝐫𝐞𝐬:✨
⭕️ 𝐀𝐥𝐭𝐞𝐫𝐧𝐚𝐭𝐞 𝐃𝐚𝐭𝐚 𝐒𝐭𝐫𝐞𝐚𝐦𝐬 (𝐀𝐃𝐒):
FileAlyzer makes the additional information in these streams visible through a list of streams associated with the current file, and a basic hex viewer.
⭕️ 𝐀𝐧𝐝𝐫𝐨𝐢𝐝 𝐀𝐩𝐩𝐬:
Android apps are actually zip archives that include the app code and many resources and configuration files. FileAlyzer will display a few app properties, for example the list of permissions.
⭕️ 𝐀𝐧𝐨𝐦𝐚𝐥𝐢𝐞𝐬:
While loading information on the various views of FileAlyzer, it looks for details that are uncommon or wrong. These details may hint at malware behavior.
Each anomaly is described with an ID, a short noscript, and a denoscription that explains why this detail is unusual, and what it might be used for.
⭕️ 𝐀𝐫𝐜𝐡𝐢𝐯𝐞𝐬:
FileAlyzer displays contents of many common archive types, including .cab, .zip, .chm, NSIS installers, rar, .tar, etc.
⭕️ 𝐀𝐮𝐭𝐡𝐞𝐧𝐭𝐢𝐜𝐨𝐝𝐞 𝐒𝐢𝐠𝐧𝐚𝐭𝐮𝐫𝐞𝐬:
Signatures allow the user to verify where the program he's using is coming from, to avoid running a malware-infected version.
FileAlyzer displays all details about the signature it finds in a file.
⭕️ 𝐃𝐚𝐭𝐚𝐛𝐚𝐬𝐞𝐬:
FileAlyzer can display the content of some standard database formats like dBase, SQLite3, Ini, Mozilla Preferences, Mozilla or format, or QIF.
⭕️ 𝐏𝐄 & 𝐄𝐋𝐅 𝐚𝐧𝐚𝐥𝐲𝐬𝐢𝐬:
Static Analysis for PE (Disassmber, imports, exports and header) and ELF (header and sections) files formats.
⭕️ 𝐇𝐞𝐱 𝐕𝐢𝐞𝐰𝐞𝐫:
FileAlyzer includes a hexadecimal viewer that displays file content byte for byte
⭕️ 𝐄𝐗𝐈𝐅:
For photos and other graphic files, FileAlyzer will display EXIF information embedded into the file.
⭕️ 𝐏𝐄𝐢𝐃:
PEiD tries to identify packers, cryptors and compilers and determines the files entropy, and FileAlyzer supports the PEiD plugin to display this information.
⭕️ 𝐔𝐏𝐗 𝐃𝐞𝐭𝐚𝐢𝐥𝐬:
Executable files compressed with UPX will be shown with compression details.
⭕️ 𝐕𝐢𝐫𝐮𝐬𝐓𝐨𝐭𝐚𝐥 𝐋𝐨𝐨𝐤𝐮𝐩:
FileAlyzer will be able to display results of dozens on anti-virus engines about the file you currently analyze, either from previous analysis, or by submitting your actual sample (if you want😉).
📌 https://www.safer-networking.org/products/filealyzer/
#DFIR
تیم سورین
اگر می خواهید در مورد زندگی درونی فایل ها بیشتر بدانید، FileAlyzer ابزاری است که می توانید در تحقیقات بعدی خود در نظر بگیرید!
✨𝐅𝐢𝐥𝐞𝐀𝐥𝐲𝐳𝐞𝐫 𝐅𝐞𝐚𝐭𝐮𝐫𝐞𝐬:✨
⭕️ 𝐀𝐥𝐭𝐞𝐫𝐧𝐚𝐭𝐞 𝐃𝐚𝐭𝐚 𝐒𝐭𝐫𝐞𝐚𝐦𝐬 (𝐀𝐃𝐒):
FileAlyzer makes the additional information in these streams visible through a list of streams associated with the current file, and a basic hex viewer.
⭕️ 𝐀𝐧𝐝𝐫𝐨𝐢𝐝 𝐀𝐩𝐩𝐬:
Android apps are actually zip archives that include the app code and many resources and configuration files. FileAlyzer will display a few app properties, for example the list of permissions.
⭕️ 𝐀𝐧𝐨𝐦𝐚𝐥𝐢𝐞𝐬:
While loading information on the various views of FileAlyzer, it looks for details that are uncommon or wrong. These details may hint at malware behavior.
Each anomaly is described with an ID, a short noscript, and a denoscription that explains why this detail is unusual, and what it might be used for.
⭕️ 𝐀𝐫𝐜𝐡𝐢𝐯𝐞𝐬:
FileAlyzer displays contents of many common archive types, including .cab, .zip, .chm, NSIS installers, rar, .tar, etc.
⭕️ 𝐀𝐮𝐭𝐡𝐞𝐧𝐭𝐢𝐜𝐨𝐝𝐞 𝐒𝐢𝐠𝐧𝐚𝐭𝐮𝐫𝐞𝐬:
Signatures allow the user to verify where the program he's using is coming from, to avoid running a malware-infected version.
FileAlyzer displays all details about the signature it finds in a file.
⭕️ 𝐃𝐚𝐭𝐚𝐛𝐚𝐬𝐞𝐬:
FileAlyzer can display the content of some standard database formats like dBase, SQLite3, Ini, Mozilla Preferences, Mozilla or format, or QIF.
⭕️ 𝐏𝐄 & 𝐄𝐋𝐅 𝐚𝐧𝐚𝐥𝐲𝐬𝐢𝐬:
Static Analysis for PE (Disassmber, imports, exports and header) and ELF (header and sections) files formats.
⭕️ 𝐇𝐞𝐱 𝐕𝐢𝐞𝐰𝐞𝐫:
FileAlyzer includes a hexadecimal viewer that displays file content byte for byte
⭕️ 𝐄𝐗𝐈𝐅:
For photos and other graphic files, FileAlyzer will display EXIF information embedded into the file.
⭕️ 𝐏𝐄𝐢𝐃:
PEiD tries to identify packers, cryptors and compilers and determines the files entropy, and FileAlyzer supports the PEiD plugin to display this information.
⭕️ 𝐔𝐏𝐗 𝐃𝐞𝐭𝐚𝐢𝐥𝐬:
Executable files compressed with UPX will be shown with compression details.
⭕️ 𝐕𝐢𝐫𝐮𝐬𝐓𝐨𝐭𝐚𝐥 𝐋𝐨𝐨𝐤𝐮𝐩:
FileAlyzer will be able to display results of dozens on anti-virus engines about the file you currently analyze, either from previous analysis, or by submitting your actual sample (if you want😉).
📌 https://www.safer-networking.org/products/filealyzer/
#DFIR
تیم سورین
Spybot Anti-Malware and Antivirus
FileAlyzer - Spybot Anti-Malware and Antivirus
Safer-Networking offers a comprehensive set of tools. This one helps you to understand more of your data files.
👍1
/ بدافزار WogRAT از یک Notepad (ویندوز، لینوکس) سوء استفاده می کند
این مقاله در مورد بدافزاری به نام WogRAT است. روش های توزیع WogRAT و نحوه آلوده کردن سیستم های ویندوز و لینوکس را مورد بحث قرار می دهد. این بدافزار خود را به عنوان برنامه های کاربردی قانونی پنهان می کند. پس از دانلود، WogRAT اطلاعات را از سیستم آلوده جمع آوری کرده و به سرور فرمان و کنترل (C&C) ارسال می کند. سپس سرور C&C می تواند دستورات را به سیستم آلوده ارسال کند.
#windows #linux #malware
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Splunk> Knowledge Base
یکی از بهترین کانفیگهای فایل input.conf برای Universal Forwarder که بر روی فریمورک Mitre هم مپ شده
تیم سورین
✉️@splunk_kb
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - mdecrevoisier/Splunk-input-windows-baseline: Provides an advanced input.conf file for Windows and 3rd party related software…
Provides an advanced input.conf file for Windows and 3rd party related software with more than 70 different event log mapped to the MITRE Att&CK - mdecrevoisier/Splunk-input-windows-baseline
👍1
This repository contains the course material for the digital forensics lab offered at FAST National University of Computer and Emerging Sciences, available for public use and learning.
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - vonderchild/digital-forensics-lab: CTF styled Digital Forensics labs, as offered in FAST NUCES Karachi during Spring 2023.
CTF styled Digital Forensics labs, as offered in FAST NUCES Karachi during Spring 2023. - vonderchild/digital-forensics-lab
👍1
Wishing_ Webhook Phishing In Teams.pdf
5.9 MB
#webhook #phishing
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
• رمزهای عبور پیش فرض در دستگاه های شبکه ، رایج تر از آن چیزی است که در نگاه اول به نظر می رسد. در اینترنت، صدها روتر نه تنها برای کاربران خصوصی، بلکه برای شبکه های شرکتی با پورت های باز وجود دارد.
• این مخزن حاوی تعداد زیادی ترکیب استاندارد login/password است که در بسیاری از دستگاه ها و سرویس ها استفاده می شود:
• علاوه بر این ، به سرویس https://passwordsdatabase.com که شامل بیش از 1600 رمز عبور برای دستگاه های مختلف است توجه کنید.
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - ihebski/DefaultCreds-cheat-sheet: One place for all the default credentials to assist the Blue/Red teamers identifying…
One place for all the default credentials to assist the Blue/Red teamers identifying devices with default password 🛡️ - ihebski/DefaultCreds-cheat-sheet
❤2
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Please open Telegram to view this post
VIEW IN TELEGRAM
Xmind
Red Team Roadmap[2024]
A Mind Map about Red Team Roadmap[2024] submitted by Soheil Hashemi on Feb 11, 2024. Created with Xmind.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
یک آسیبپذیری جدید در ColdFusion که به مهاجمان احراز هویت نشده اجازه دسترسی به فایلهای حساس را میدهد.
👉🏻 Link: https://nt.ls/jl0cW
👉🏻 Dork: tag.name:"adobe_coldfusion"
Vendor's bulletin: https://helpx.adobe.com/security/products/coldfusion/apsb24-14.html
#CVE
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
باگ مایکروسافت Edge ممکن است به مهاجمان اجازه دهد تا برنامههای افزودنی مخرب را بیصدا نصب کنند.
#CVE
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
soorinsec.ir
سورین | خدمات امنیت سایبری
سورین ارائه دهنده خدمات امنیت سایبری با کیفیت و حرفهای