Forwarded from Safe Defense 🇮🇷 (Reza Olfat)
معرفی MITRE AADAPT (چارچوب امنیتی ویژه رمزارز و Web3)
حتما نام MITRE ATT&CK رو شنیدید، یک پایگاه دانش قدرتمند برای تحلیل و مستندسازی تاکتیکها و تکنیکهای مهاجمان سایبری.
حالا MITRE با گسترش فعالیت خودش به دنیای داراییهای دیجیتال، چارچوب جدیدی به نام AADAPT ارائه کرده.
اما MITRE AADAPT چیست؟
این AADAPT مخفف Adversarial Actions in Digital Asset Payment Technologies هست و یک پایگاه دانش تخصصی برای تحلیل حملات، تکنیکها و رفتار مهاجمان در حوزه رمزارز، کیفپول دیجیتال، صرافیهای رمزارز، قراردادهای هوشمند و بهطور کلی Web3 بهشمار میره.
این چارچوب دقیقا شبیه ATT&CK ساخته شده اما کاملاً با محوریت داراییهای دیجیتال، یعنی تاکتیکها و تکنیکها در این فضا تعریف شدند.
ماتریس AADAPT شامل:
ستونهایی از تاکتیکها (مثل دسترسی اولیه، اجرا، فرار از شناسایی، انتقال دارایی و...).
ردیفهایی از تکنیکها (مثلاً حمله به کیفپول، استفاده از تراکنشهای جعلی، دراپ کردن توکنهای مخرب و...).
برخی تکنیکها که هم در دنیای IT سنتی و هم در بلاکچین کاربرد دارند، با علامت & مشخص شدهاند و از چارچوب ATT&CK به AADAPT ارجاع داده شدند.
https://aadapt.mitre.org/
@safe_defense
حتما نام MITRE ATT&CK رو شنیدید، یک پایگاه دانش قدرتمند برای تحلیل و مستندسازی تاکتیکها و تکنیکهای مهاجمان سایبری.
حالا MITRE با گسترش فعالیت خودش به دنیای داراییهای دیجیتال، چارچوب جدیدی به نام AADAPT ارائه کرده.
اما MITRE AADAPT چیست؟
این AADAPT مخفف Adversarial Actions in Digital Asset Payment Technologies هست و یک پایگاه دانش تخصصی برای تحلیل حملات، تکنیکها و رفتار مهاجمان در حوزه رمزارز، کیفپول دیجیتال، صرافیهای رمزارز، قراردادهای هوشمند و بهطور کلی Web3 بهشمار میره.
این چارچوب دقیقا شبیه ATT&CK ساخته شده اما کاملاً با محوریت داراییهای دیجیتال، یعنی تاکتیکها و تکنیکها در این فضا تعریف شدند.
ماتریس AADAPT شامل:
ستونهایی از تاکتیکها (مثل دسترسی اولیه، اجرا، فرار از شناسایی، انتقال دارایی و...).
ردیفهایی از تکنیکها (مثلاً حمله به کیفپول، استفاده از تراکنشهای جعلی، دراپ کردن توکنهای مخرب و...).
برخی تکنیکها که هم در دنیای IT سنتی و هم در بلاکچین کاربرد دارند، با علامت & مشخص شدهاند و از چارچوب ATT&CK به AADAPT ارجاع داده شدند.
https://aadapt.mitre.org/
@safe_defense
👌4
Forwarded from Network Security Channel
باج افزار BERT تهدید جدی برای دیتای شما! خیلی راحت رمزنگاری میکنه و داده ها رو ارسال میکنه! ⚠️ خیلی جاها رو آلوده کرده تا امروز ⚠️⛔️
تشخیص و کاهش اثر باجافزار BERT در محیطهای ویندوز و لینوکس/ESXi
باجافزار BERT یک تهدید سایبری پیشرفته است که از آوریل ۲۰۲۵ محیطهای ویندوز و لینوکس/ESXi را هدف قرار داده است. این باجافزار با رمزگذاری فایلها (با پسوندهایی مانند .encryptedbybert یا .hellofrombert)، استخراج دادهها و ارسال به سرورهای فرمان و کنترل (C2) با آدرسهای IP مانند 185.100.157.74 و 82.115.223.89، و غیرفعالسازی ماشینهای مجازی ESXi، از مدل double-extortion بهره میبرد. BERT با استفاده از ابزارهای قانونی مانند PowerShell و rclone، فعالیتهای خود را مخفی نگه میدارد.
🔐 راهکارهای کاهش اثر تهدید
- محدودسازی دسترسیها: غیرفعالسازی دسترسیهای غیرضروری به Remote Desktop Protocol (RDP) و پیادهسازی احراز هویت چندمرحلهای (MFA).
- ایجاد نسخههای پشتیبان امن: تهیه نسخههای پشتیبان آفلاین و آزمایش فرآیندهای بازیابی بهصورت دورهای.
- پایش لاگهای امنیتی: بررسی رویدادهای Sysmon (با شناسههای EventID 1 و 11) و لاگهای syslog برای شناسایی دستورات مشکوک مانند esxcli vm process kill.
- استفاده از رول Sigma: رول Sigma با شناسه b2c3d4e5-f6a7-8901-bcde-2345678901fe برای تشخیص فرآیندهای مخرب، فایلهای رمزگذاریشده، و اتصالات شبکه به سرورهای C2 طراحی شده است.
- آموزش کارکنان: برگزاری برنامههای آموزشی برای شناسایی ایمیلهای فیشینگ و اجتناب از باز کردن پیوستهای مشکوک.
- بهکارگیری ابزارهای امنیتی: استفاده از راهحلهای تشخیص و پاسخ نقطه پایانی (EDR) و ابزارهای تحلیل شبکه مانند Zeek برای شناسایی رفتارهای مشکوک.
🕵️ نحوه تشخیص تهدید
رول Sigma طراحیشده برای شناسایی فعالیتهای BERT در محیطهای ویندوز و لینوکس/ESXi، بر موارد زیر تمرکز دارد:
اجرای فرآیندهای مخرب مانند powershell.exe، newcryptor.exe، و payload.exe.
دستورات PowerShell مشکوک مانند DisableRealtimeMonitoring یا .downloadstring(.
فایلهای رمزگذاریشده با پسوندهایی مانند .encryptedbybert و یادداشتهای باجخواهی.
فعالیتهای مخرب در ESXi مانند اجرای دستور esxcli vm process kill.
اتصالات شبکه به آدرسهای IP سرورهای C2 (185.100.157.74، 82.115.223.89) و پورتهای 3030 و 80.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
تشخیص و کاهش اثر باجافزار BERT در محیطهای ویندوز و لینوکس/ESXi
باجافزار BERT یک تهدید سایبری پیشرفته است که از آوریل ۲۰۲۵ محیطهای ویندوز و لینوکس/ESXi را هدف قرار داده است. این باجافزار با رمزگذاری فایلها (با پسوندهایی مانند .encryptedbybert یا .hellofrombert)، استخراج دادهها و ارسال به سرورهای فرمان و کنترل (C2) با آدرسهای IP مانند 185.100.157.74 و 82.115.223.89، و غیرفعالسازی ماشینهای مجازی ESXi، از مدل double-extortion بهره میبرد. BERT با استفاده از ابزارهای قانونی مانند PowerShell و rclone، فعالیتهای خود را مخفی نگه میدارد.
🔐 راهکارهای کاهش اثر تهدید
- محدودسازی دسترسیها: غیرفعالسازی دسترسیهای غیرضروری به Remote Desktop Protocol (RDP) و پیادهسازی احراز هویت چندمرحلهای (MFA).
- ایجاد نسخههای پشتیبان امن: تهیه نسخههای پشتیبان آفلاین و آزمایش فرآیندهای بازیابی بهصورت دورهای.
- پایش لاگهای امنیتی: بررسی رویدادهای Sysmon (با شناسههای EventID 1 و 11) و لاگهای syslog برای شناسایی دستورات مشکوک مانند esxcli vm process kill.
- استفاده از رول Sigma: رول Sigma با شناسه b2c3d4e5-f6a7-8901-bcde-2345678901fe برای تشخیص فرآیندهای مخرب، فایلهای رمزگذاریشده، و اتصالات شبکه به سرورهای C2 طراحی شده است.
- آموزش کارکنان: برگزاری برنامههای آموزشی برای شناسایی ایمیلهای فیشینگ و اجتناب از باز کردن پیوستهای مشکوک.
- بهکارگیری ابزارهای امنیتی: استفاده از راهحلهای تشخیص و پاسخ نقطه پایانی (EDR) و ابزارهای تحلیل شبکه مانند Zeek برای شناسایی رفتارهای مشکوک.
🕵️ نحوه تشخیص تهدید
رول Sigma طراحیشده برای شناسایی فعالیتهای BERT در محیطهای ویندوز و لینوکس/ESXi، بر موارد زیر تمرکز دارد:
اجرای فرآیندهای مخرب مانند powershell.exe، newcryptor.exe، و payload.exe.
دستورات PowerShell مشکوک مانند DisableRealtimeMonitoring یا .downloadstring(.
فایلهای رمزگذاریشده با پسوندهایی مانند .encryptedbybert و یادداشتهای باجخواهی.
فعالیتهای مخرب در ESXi مانند اجرای دستور esxcli vm process kill.
اتصالات شبکه به آدرسهای IP سرورهای C2 (185.100.157.74، 82.115.223.89) و پورتهای 3030 و 80.
Please open Telegram to view this post
VIEW IN TELEGRAM
😐3
Forwarded from APT IRAN مرکز تحقیقاتی
سازمانی که حتی امنیت خودش را نمیتواند تامین کند، دم از صدور گواهی امنیتی میزند!
اما چه خوشبینانه است اگر فکر کنیم آن باگ واقعی، فقط یک هانیپات محدود شده بوده؛ انگار میخواهند با این ترفند، ضعف امنیتی بزرگ را به بازی بگیرند!😭
#ارسالی_شما
اما چه خوشبینانه است اگر فکر کنیم آن باگ واقعی، فقط یک هانیپات محدود شده بوده؛ انگار میخواهند با این ترفند، ضعف امنیتی بزرگ را به بازی بگیرند!
#ارسالی_شما
Please open Telegram to view this post
VIEW IN TELEGRAM
👌7
Forwarded from Dagen (security)
یه وبسایت جذاب برای دامین دیسکاوریه . کافیه اسم دامنه رو بهش بدی تا دامین های مشابه واست پیدا کنه توی نتایج ایمیل های کمپانی و دامین هایی که به اون دارایی وابسته ان رو بهت نمایش میده .
اگه میخوای یه واید ریکان بزرگ انجام بدی گزینه مناسبیه .
link : https://website.informer.com
@Dagen_security
اگه میخوای یه واید ریکان بزرگ انجام بدی گزینه مناسبیه .
link : https://website.informer.com
@Dagen_security
❤4
Forwarded from localhost
اونایی که گیر پیدا کردن ساب دامین هستن یه سر به این سایت بزنن
( البته هیچ ابزاری 100% تمام ساب دامینا رو براتون پیدا نمیکنه )
https://www.merklemap.com
( البته هیچ ابزاری 100% تمام ساب دامینا رو براتون پیدا نمیکنه )
https://www.merklemap.com
❤8👏2
https://medium.com/@GhasemiAsli/exploring-the-security-challenges-of-decentralized-applications-dapps-843e72e6cc29
اینو رایتاپ راجب باگ های وب 3 هستش و کمی شمارو با وب مدرن و آسیب پذیری هاش آشنا میکنه
اینو رایتاپ راجب باگ های وب 3 هستش و کمی شمارو با وب مدرن و آسیب پذیری هاش آشنا میکنه
Medium
Exploring the Security Challenges of Decentralized Applications (DApps)
When people think about Web3 security, the conversation almost always starts with smart contracts. That makes sense: a single bug in a…
بعد از دسترسی به سیستم عامل ویندوز و بررسی Privilege ها اگر این دو Privilege برای یوزرتون فعال بود:
شرایط مهیا هستش یا یوزرتون رو به System اسکلیشن کنید.
این پریویلیج به شما اجازه میده با توکن یوزر دیگه پروسز و ترد باز کنید!
حالا این که چطور توکن یوزر System رو بدست بیاریم یکم بحث مفصل تریه میتونین راجب اکسپلویت خانواده potato و نحوه کارش مطالعه کنید.
🔴 نکته:
IIS , SQL Server
بصورت دیفالت این Privilege هارو فعال دارن!
🖇 یه مقاله هم اضافه کردم برای مطالعه عمیق:
https://usersince99.medium.com/windows-privilege-escalation-token-impersonation-seimpersonateprivilege-364b61017070
@matitanium
شرایط مهیا هستش یا یوزرتون رو به System اسکلیشن کنید.
این پریویلیج به شما اجازه میده با توکن یوزر دیگه پروسز و ترد باز کنید!
حالا این که چطور توکن یوزر System رو بدست بیاریم یکم بحث مفصل تریه میتونین راجب اکسپلویت خانواده potato و نحوه کارش مطالعه کنید.
🔴 نکته:
IIS , SQL Server
بصورت دیفالت این Privilege هارو فعال دارن!
🖇 یه مقاله هم اضافه کردم برای مطالعه عمیق:
https://usersince99.medium.com/windows-privilege-escalation-token-impersonation-seimpersonateprivilege-364b61017070
@matitanium
❤8
🔴 اولین باجافزار هوش مصنوعی کشف شد؛ تهدیدی جدی به نام PromptLock
▪️همه این روزها درباره فرصتهای عجیبوغریب هوش مصنوعی حرف میزنن، اما حالا روی دیگهی ماجرا نمایان شده! محققان امنیتی شرکت ESET برای اولین بار از شناسایی باجافزاری به اسم PromptLock خبر دادن
▪️بدافزاری که از مدلهای زبانی برای ساخت کدهای مخرب استفاده میکنه و هر بار یک اسکریپت متفاوت تولید میشه ؛ این باجافزار میتونه فایلها رو فهرستبرداری کنه، اطلاعات رو استخراج کنه و دادهها رو رمزگذاری کنه!
▪️همه این روزها درباره فرصتهای عجیبوغریب هوش مصنوعی حرف میزنن، اما حالا روی دیگهی ماجرا نمایان شده! محققان امنیتی شرکت ESET برای اولین بار از شناسایی باجافزاری به اسم PromptLock خبر دادن
▪️بدافزاری که از مدلهای زبانی برای ساخت کدهای مخرب استفاده میکنه و هر بار یک اسکریپت متفاوت تولید میشه ؛ این باجافزار میتونه فایلها رو فهرستبرداری کنه، اطلاعات رو استخراج کنه و دادهها رو رمزگذاری کنه!
😈4
👻 روحی که جایگزین DLL شد!
🧠 Phantom DLL چیه دقیقاً
ایدهی اصلی اینه:
🔧 یه DLL قانونی رو لود میکنی،
🧼 بعدش محتواشو پاک میکنی،
🧠 بعد شلکدتو میریزی جای اون...
اما هنوز از بیرون، همهچی به نظر اوکیه. چون فایل اصلی رو با Delete on Close باز کردی
💡 چرا بهش میگن Phantom؟
چون وقتی سیستم فایل DLL رو میخونه، میبینه هست.
ولی وقتی پروسس بسته بشه، DLL از روی دیسک پاک میشه…
یعنی عملاً یه فایل بیجسم داری که فقط تو حافظه هست.
⚒️ چجوری انجامش میدن؟
1 با CreateFile یا API مشابه، فایل DLL رو با فلگ FILE_FLAG_DELETE_ON_CLOSE باز کن
2 از CreateFileMapping برای مپ کردن محتواش تو حافظه استفاده کن
3 از MapViewOfFile برای دسترسی به حافظه
4 محتوا رو با VirtualProtect قابل نوشتن کن
5 کلش رو پاک کن و Shellcode یا DLL مخرب خودتو بریز
6 از CreateRemoteThread یا LoadLibrary جعلی برای اجرا استفاده کن
🔥 چرا خفنتر از Process Hollowing؟
خیلی از آنتیویروسها فقط دنبال PEهای اجراشده یا فایلهای روی دیسکن
اینجا فایلی وجود نداره! (حداقل نه وقتی پروسس بسته شه)
لاگهایی مثل Event ID 7 (Sysmon) چیزی نشون نمیدن چون DLL از روی دیسک نیست
🧪 تشخیص چیه؟
✅ بررسی PEهای لود شده با مقایسه بین هَش فایل روی دیسک و محتوای در حافظه
✅ ابزارهایی مثل PE-sieve، Volatility و Cuckoo میتونن شناسایی کنن:
pe-sieve64.exe /pid <pid> /shellc /imp
🔍 همچنین میتونی با بررسی inconsistency بین module path و state حافظه پیداش کنی.
🎯 کجا استفاده میشه؟
APTهای جدی مثل FIN7، Lazarus و حتی بعضی rootkitها توی مراحل نهایی استفادهش میکنن برای payload injection توی DLL قانونی
🧠 جمعبندی:
> Phantom DLL Hollowing = تزریق نامرئی!
نه فایل هست، نه رد پای واقعی… فقط یه شبح توی حافظه که کار خودشو میکنه
🧠 Phantom DLL چیه دقیقاً
ایدهی اصلی اینه:
🔧 یه DLL قانونی رو لود میکنی،
🧼 بعدش محتواشو پاک میکنی،
🧠 بعد شلکدتو میریزی جای اون...
اما هنوز از بیرون، همهچی به نظر اوکیه. چون فایل اصلی رو با Delete on Close باز کردی
💡 چرا بهش میگن Phantom؟
چون وقتی سیستم فایل DLL رو میخونه، میبینه هست.
ولی وقتی پروسس بسته بشه، DLL از روی دیسک پاک میشه…
یعنی عملاً یه فایل بیجسم داری که فقط تو حافظه هست.
⚒️ چجوری انجامش میدن؟
1 با CreateFile یا API مشابه، فایل DLL رو با فلگ FILE_FLAG_DELETE_ON_CLOSE باز کن
2 از CreateFileMapping برای مپ کردن محتواش تو حافظه استفاده کن
3 از MapViewOfFile برای دسترسی به حافظه
4 محتوا رو با VirtualProtect قابل نوشتن کن
5 کلش رو پاک کن و Shellcode یا DLL مخرب خودتو بریز
6 از CreateRemoteThread یا LoadLibrary جعلی برای اجرا استفاده کن
🔥 چرا خفنتر از Process Hollowing؟
خیلی از آنتیویروسها فقط دنبال PEهای اجراشده یا فایلهای روی دیسکن
اینجا فایلی وجود نداره! (حداقل نه وقتی پروسس بسته شه)
لاگهایی مثل Event ID 7 (Sysmon) چیزی نشون نمیدن چون DLL از روی دیسک نیست
🧪 تشخیص چیه؟
✅ بررسی PEهای لود شده با مقایسه بین هَش فایل روی دیسک و محتوای در حافظه
✅ ابزارهایی مثل PE-sieve، Volatility و Cuckoo میتونن شناسایی کنن:
pe-sieve64.exe /pid <pid> /shellc /imp
🔍 همچنین میتونی با بررسی inconsistency بین module path و state حافظه پیداش کنی.
🎯 کجا استفاده میشه؟
APTهای جدی مثل FIN7، Lazarus و حتی بعضی rootkitها توی مراحل نهایی استفادهش میکنن برای payload injection توی DLL قانونی
🧠 جمعبندی:
> Phantom DLL Hollowing = تزریق نامرئی!
نه فایل هست، نه رد پای واقعی… فقط یه شبح توی حافظه که کار خودشو میکنه
🗿3👌1
CyberSecurity
👻 روحی که جایگزین DLL شد! 🧠 Phantom DLL چیه دقیقاً ایدهی اصلی اینه: 🔧 یه DLL قانونی رو لود میکنی، 🧼 بعدش محتواشو پاک میکنی، 🧠 بعد شلکدتو میریزی جای اون... اما هنوز از بیرون، همهچی به نظر اوکیه. چون فایل اصلی رو با Delete on Close باز کردی 💡…
نهایتن این کار برای دور زدن آنتی ویروس هاست
جوری که ردپای زیادی نداشته باشیم
یک dll که بصورت قانونی روی مموری لود شدرو بر میداریم کامل خالی میکنیم🗿
بعد InMemory بدون درگیری با دیسک محتوای خودمونو جایگزینش میکنیم…
جوری که ردپای زیادی نداشته باشیم
یک dll که بصورت قانونی روی مموری لود شدرو بر میداریم کامل خالی میکنیم🗿
بعد InMemory بدون درگیری با دیسک محتوای خودمونو جایگزینش میکنیم…
🗿3
🖥 بعد از دسترسی به یک سرور ویندوزی A و ریکان شبکه داخلیش متوجه شدم هاست های دیگه ای هستن داخل شبکه,
شبکه Workgroup بود...
روی یکی از ویندوز های داخلی سازمان SQL Server بود که ما ویندوز سرور B در نظر میگیریم.
بعد از گشتن و بررسی کامل سرور A اطلاعات کانکشن به دیتابیس در ویندوز B پیدا شد...
📍استک کويری رو فعال کردم روش و Lateral Movment انجام شد...
در هاردنینگ درون سازمانی خودتون بشدت دقت کنید که با تسخیر یک سرور کل شبکتون تحت کنترل مهاجم در نیاد.:)
@matitanium
شبکه Workgroup بود...
روی یکی از ویندوز های داخلی سازمان SQL Server بود که ما ویندوز سرور B در نظر میگیریم.
بعد از گشتن و بررسی کامل سرور A اطلاعات کانکشن به دیتابیس در ویندوز B پیدا شد...
📍استک کويری رو فعال کردم روش و Lateral Movment انجام شد...
در هاردنینگ درون سازمانی خودتون بشدت دقت کنید که با تسخیر یک سرور کل شبکتون تحت کنترل مهاجم در نیاد.:)
@matitanium
🔥4
حین کار، با یه پروژه رو به رو شدم
کامل داکیومنتشو نخوندم
ولی اینو چک کنید:)
https://www.trydeepteam.com/
کامل داکیومنتشو نخوندم
ولی اینو چک کنید:)
https://www.trydeepteam.com/
Trydeepteam
DeepTeam - The Open-Source LLM Red Teaming Framework
🔥3
Audio
#Article
چگونه یک مدل یادگیری ماشین برای شناسایی DLL hijacking آموزش دادیم
تصمیم گرفتم این مقاله رو با Notebooklm برای شما تبدیل کنم تا متوجه بشید غول های تکنولوژی به چه صورت از LLM ها و ML استفاده می کنند تا یکسری کارها به صورت فرآیند خودکار انجام بشه.
تکنیک DLL hijacking یک تکنیک عملیات رایج است که در آن مهاجمان کتابخانهای (DLL) را که توسط یک فرایند قانونی فراخوانی میشود با یک کتابخانهی مخرب جایگزین میکنند. این روش هم توسط سازندگان بدافزارهای با تاثیر وسیع (مثل stealerها و تروجانهای بانکی) و هم توسط گروههای APT و جرایم سایبری که پشت حملات هدفمند هستند، استفاده میشود. در سالهای اخیر تعداد حملات DLL hijacking بهطور قابل توجهی افزایش یافته است.
برای جزئیات فنی و نتایج آزمایشها میتوانید مقالهٔ کامل Kaspersky را در Securelist مطالعه کنید.
پاورقی : ترجمه به فارسی برخی لغات همچنان مشکل داره ولی، قابل قبول هست 😊😉
🦅 کانال بایت امن | گروه بایت امن
_
چگونه یک مدل یادگیری ماشین برای شناسایی DLL hijacking آموزش دادیم
تصمیم گرفتم این مقاله رو با Notebooklm برای شما تبدیل کنم تا متوجه بشید غول های تکنولوژی به چه صورت از LLM ها و ML استفاده می کنند تا یکسری کارها به صورت فرآیند خودکار انجام بشه.
تکنیک DLL hijacking یک تکنیک عملیات رایج است که در آن مهاجمان کتابخانهای (DLL) را که توسط یک فرایند قانونی فراخوانی میشود با یک کتابخانهی مخرب جایگزین میکنند. این روش هم توسط سازندگان بدافزارهای با تاثیر وسیع (مثل stealerها و تروجانهای بانکی) و هم توسط گروههای APT و جرایم سایبری که پشت حملات هدفمند هستند، استفاده میشود. در سالهای اخیر تعداد حملات DLL hijacking بهطور قابل توجهی افزایش یافته است.
برای جزئیات فنی و نتایج آزمایشها میتوانید مقالهٔ کامل Kaspersky را در Securelist مطالعه کنید.
پاورقی : ترجمه به فارسی برخی لغات همچنان مشکل داره ولی، قابل قبول هست 😊😉
🦅 کانال بایت امن | گروه بایت امن
_
👍1
Forwarded from پلاک نت|مرجع انتشار محتوای کاربردی مرتبط با تیم های قرمز Red teams (k bs)
APT28 LAMEHUG
اولین بدافزار مجهز به هوش مصنوعی
گروه هکری روس APT28 (Forest Blizzard, UAC-0001) با توسعه اولین بدافزار عمومی مستندشده که از یک مدل زبانی بزرگ (LLM) بهره می برد، دوره جدیدی از حملات سایبری را معرفی کرده است. LAMEHUG فصل جدیدی در تاریخ بدافزارها گشوده است.
معماری فنی
اجزای اصلی:
- زبان برنامهنویسی: پایتون
- بستهبندی: PyInstaller (فایلهای .pif)
- مدل زبانی: Qwen 2.5-Coder-32B-Instruct
- رابط برنامهنویسی (API): Hugging Face Inference API
- روش تحویل: ایمیلهای فیشینگ حاوی فایلهای ZIP
رویکرد انقلابی:
LAMEHUG
دستورات متنی به زبان طبیعی را دریافت کرده و از طریق مدل زبانی آن ها را به دستورات سیستمی تبدیل می کند که روی دستگاه آلوده اجرا می شوند. این قابلیت امکان خودکارسازی وظایف پیچیده جاسوسی و سرقت دادهها را بدون نیاز به برنامهنویسی دستورات خاص فراهم میکند.
مکانیزم عملکرد
مرحله ۱: آلودگی
مرحله ۲: تولید دستورات توسط هوش مصنوعی
بدافزار درخواستهایی را به Qwen 2.5-Coder از طریق API Hugging Face ارسال میکند:
"تولید دستورات ویندوز برای جمعوآوری اطلاعات سیستمی شامل سختافزار، پروسس ها، سرویس ها و پیکربندی شبکه"
مرحله ۳: اجرای دستورات تولید شده
مدل زبانی دستورات آماده را باز می گرداند و LAMEHUG آن ها را از طریق cmd.exe اجرا میکند:
مرحله ۴: جمع آوری و استخراج داده ها
- جستجوی بازگشتی در پوشه های Documents، Desktop، Downloads
- آماده سازی فایل ها برای استخراج
- انتقال داده ها از طریق SFTP یا HTTP POST.
گونههای بدافزار
سه نسخه شناسایی شده است:
1. نسخه اصلی (Appendix.pdf.pif)
- قابلیت پایه تولید دستورات توسط هوش مصنوعی
- جمعآوری اطلاعات سیستمی
- استخراج دادهها از طریق SFTP
2.AI_generator_uncensored_Canvas_PRO_v0.9.exe
- قابلیتهای پیشرفته تر تولید دستورات
- روش های جایگزین استخراج داده
- دور زدن محدودیت های مدل زبانی
3. image.py
- نسخه اسکریپت پایتون
- منطق تغییر یافته برای استخراج
- احتمالاً نسخه آزمایشی
شاخص های فنی
- نسخه جایگزین
شاخص های شبکهای:
هش فایل ها:
روش های شناسایی
1. نظارت بر فعالیت فایل:
2. شناسایی جاسوسی:
3. نظارت شبکهای:
اولین بدافزار مجهز به هوش مصنوعی
گروه هکری روس APT28 (Forest Blizzard, UAC-0001) با توسعه اولین بدافزار عمومی مستندشده که از یک مدل زبانی بزرگ (LLM) بهره می برد، دوره جدیدی از حملات سایبری را معرفی کرده است. LAMEHUG فصل جدیدی در تاریخ بدافزارها گشوده است.
معماری فنی
اجزای اصلی:
- زبان برنامهنویسی: پایتون
- بستهبندی: PyInstaller (فایلهای .pif)
- مدل زبانی: Qwen 2.5-Coder-32B-Instruct
- رابط برنامهنویسی (API): Hugging Face Inference API
- روش تحویل: ایمیلهای فیشینگ حاوی فایلهای ZIP
رویکرد انقلابی:
LAMEHUG
دستورات متنی به زبان طبیعی را دریافت کرده و از طریق مدل زبانی آن ها را به دستورات سیستمی تبدیل می کند که روی دستگاه آلوده اجرا می شوند. این قابلیت امکان خودکارسازی وظایف پیچیده جاسوسی و سرقت دادهها را بدون نیاز به برنامهنویسی دستورات خاص فراهم میکند.
مکانیزم عملکرد
مرحله ۱: آلودگی
Appendix.pdf.zip → Appendix.pdf.pif → PyInstaller executable
مرحله ۲: تولید دستورات توسط هوش مصنوعی
بدافزار درخواستهایی را به Qwen 2.5-Coder از طریق API Hugging Face ارسال میکند:
"تولید دستورات ویندوز برای جمعوآوری اطلاعات سیستمی شامل سختافزار، پروسس ها، سرویس ها و پیکربندی شبکه"
مرحله ۳: اجرای دستورات تولید شده
مدل زبانی دستورات آماده را باز می گرداند و LAMEHUG آن ها را از طریق cmd.exe اجرا میکند:
cmd.exe /c "mkdir %PROGRAMDATA%\info &&
systeminfo >> %PROGRAMDATA%\info\info.txt &&
wmic computersystem get name,manufacturer,model >> %PROGRAMDATA%\info\info.txt &&
wmic cpu get name,speed >> %PROGRAMDATA%\info\info.txt &&
wmic memorychip get capacity,speed >> %PROGRAMDATA%\info\info.txt &&
wmic diskdrive get model,size >> %PROGRAMDATA%\info\info.txt &&
wmic nic get name,macaddress,ipaddress >> %PROGRAMDATA%\info\info.txt &&
tasklist >> %PROGRAMDATA%\info\info.txt &&
net start >> %PROGRAMDATA%\info\info.txt &&
ipconfig /all >> %PROGRAMDATA%\info\info.txt &&
whoami /user >> %PROGRAMDATA%\info\info.txt &&
whoami /groups >> %PROGRAMDATA%\info\info.txt &&
net config workstation >> %PROGRAMDATA%\info\info.txt &&
dsquery user -samid %username% >> %PROGRAMDATA%\info\info.txt"
مرحله ۴: جمع آوری و استخراج داده ها
- جستجوی بازگشتی در پوشه های Documents، Desktop، Downloads
- آماده سازی فایل ها برای استخراج
- انتقال داده ها از طریق SFTP یا HTTP POST.
گونههای بدافزار
سه نسخه شناسایی شده است:
1. نسخه اصلی (Appendix.pdf.pif)
- قابلیت پایه تولید دستورات توسط هوش مصنوعی
- جمعآوری اطلاعات سیستمی
- استخراج دادهها از طریق SFTP
2.AI_generator_uncensored_Canvas_PRO_v0.9.exe
- قابلیتهای پیشرفته تر تولید دستورات
- روش های جایگزین استخراج داده
- دور زدن محدودیت های مدل زبانی
3. image.py
- نسخه اسکریپت پایتون
- منطق تغییر یافته برای استخراج
- احتمالاً نسخه آزمایشی
شاخص های فنی
آرتیفکت های فایل:
- %PROGRAMDATA%\info\info.txt
- اطلاعات سیستمی
- Appendix.pdf.pif
پیلود اصلی
- AI_generator_uncensored_Canvas_PRO_v0.9.exe
- نسخه جایگزین
شاخص های شبکهای:
- سرورهای C2: 144.126.202.227, 192.36.27.37
- دامنهها:
boroda70@meta.ua, stayathomeclasses.com
- API: inference.huggingface.co (Qwen 2.5-Coder)
- User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:140.0) Gecko/20100101 Firefox/140.0
هش فایل ها:
- 8013b23cb78407675f323d54b6b8dfb2a61fb40fb13309337f5b662dbd812a
- 766c356d6a4b00078a0293460c5967764fcd788da8c1cd1df708695f3a15b777
- a30930dfb655aa39c571c163ada65ba4dec30600df3bf548cc48bedd0e841416
- d6af1c9f5ce407e53ec73c8e7187ed804fb4f80cf8dbd6722fc69e15e135db2e
- bdb33bbb4ea11884b15f67e5c974136e6294aa87459cdc276ac2eea85b1deaa3
- 384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65715
روش های شناسایی
1. نظارت بر فعالیت فایل:
Sysmon Event ID 11: File creation in %PROGRAMDATA%\info\*
Suspicious files in writable directories: AppData, ProgramData, Users\Public
2. شناسایی جاسوسی:
- اجرای چندین دستور شناسایی در بازه زمانی کوتاه:
whoami, systeminfo, wmic, ipconfig, net, tasklist
3. نظارت شبکهای:
- اتصالات به نقاط پایانی API مدلهای زبانی:
- inference.huggingface.co
- api.openai.com
- generativelanguage.googleapis.com
- api.anthropic.com`
❤1
This media is not supported in your browser
VIEW IN TELEGRAM
بیش از 200 گزارش امنیتی از کمپانی های شرکت کننده در ایونت کشف و گزارش شد…
🔴 در اقدامی جالب در بخش رد تیم
حملات مهندسی اجتماعی هم تایید میشدن که باعث شد حملات بشدت شبیه سازی واقعی بشن
💵در مجموع بیش از 2میلیارد تومن جایزه به متخصصین اهدا شد
با حضور نمایندگان پلیس فتا تهران بزرگ
@matitanium
🔴 در اقدامی جالب در بخش رد تیم
حملات مهندسی اجتماعی هم تایید میشدن که باعث شد حملات بشدت شبیه سازی واقعی بشن
💵در مجموع بیش از 2میلیارد تومن جایزه به متخصصین اهدا شد
با حضور نمایندگان پلیس فتا تهران بزرگ
@matitanium
❤4👍1
executing shellcode from non-executable memory and "bypassing" DEP/NX.
A proof-of-concept implementation demonstrating how to execute code from non-executable memory on Windows x64 systems by combining hardware breakpoints, vectored exception handling (VEH), and instruction emulation—bypassing DEP/NX protection without modifying memory permissions.
🙂🙂🙂🙂🙂🙂🙂🙂
A proof-of-concept implementation demonstrating how to execute code from non-executable memory on Windows x64 systems by combining hardware breakpoints, vectored exception handling (VEH), and instruction emulation—bypassing DEP/NX protection without modifying memory permissions.
🙂🙂🙂🙂🙂🙂🙂🙂
GitHub
GitHub - VirtualAlllocEx/HWBP-DEP-Bypass: Educational proof-of-concept demonstrating DEP/NX bypass using hardware breakpoints,…
Educational proof-of-concept demonstrating DEP/NX bypass using hardware breakpoints, vectored exception handling, and instruction emulation on Windows x64. For security research and learning purpos...
🗿4