خطر جدید
استفاده از فناوی بدافزارهای Fileless؛ برای توزیع باج افزارها
@roozbeh_learning 👈🏼
https://www.securityweek.com/fileless-crypto-mining-malware-discovered
استفاده از فناوی بدافزارهای Fileless؛ برای توزیع باج افزارها
@roozbeh_learning 👈🏼
https://www.securityweek.com/fileless-crypto-mining-malware-discovered
Securityweek
Fileless Crypto-Mining Malware Discovered | SecurityWeek.Com
GhostMiner crypto-mining malware has adopted the most effective techniques used by other malware
families, including fileless infection attacks.
families, including fileless infection attacks.
❇️ امنیت اطلاعات شامل فنون شبکه ، نرم افزار و... و فرآیند ، مدیریت هوش هیجانی و بحران و داشتن تفکر امنیتی/ اطلاعاتی است
✅ امنیت اطلاعات را با ما، حرفه ای بیاموزید
@roozbeh_learning 👈🏼
اکادمی روزبه
✅ امنیت اطلاعات را با ما، حرفه ای بیاموزید
@roozbeh_learning 👈🏼
اکادمی روزبه
❇️ آگاهی رسانی :
سعی کنید وب سایتهایی که مکرر بازدید میکنید را بوک مارک کنید تا احیانا در هنگام تایپ و اشتباه زدن کلید کی بورد ، به سایتی حاوی بد افزار وارد نشوید.
بنا بر تحقیقات اخیر ، نزدن حرف O در .COM میتواند شما را به سایتی مخرب برساند .
برای مثال :
🔵بجای Amazon.com
🔴اشتباه بزنید Amazon.cm
@roozbeh_learning 👈🏼
از مجموعه آگاهی رسانی های همگانی
گروه آموزشی پژوهشی روزبه
سعی کنید وب سایتهایی که مکرر بازدید میکنید را بوک مارک کنید تا احیانا در هنگام تایپ و اشتباه زدن کلید کی بورد ، به سایتی حاوی بد افزار وارد نشوید.
بنا بر تحقیقات اخیر ، نزدن حرف O در .COM میتواند شما را به سایتی مخرب برساند .
برای مثال :
🔵بجای Amazon.com
🔴اشتباه بزنید Amazon.cm
@roozbeh_learning 👈🏼
از مجموعه آگاهی رسانی های همگانی
گروه آموزشی پژوهشی روزبه
آکادمی آموزش روزبه 📚
خطر جدید استفاده از فناوی بدافزارهای Fileless؛ برای توزیع باج افزارها @roozbeh_learning 👈🏼 https://www.securityweek.com/fileless-crypto-mining-malware-discovered
🚨🚨تا لحظاتی دیگر بررسی فنی بدافزار
GhostMiner👇👇👇👇
GhostMiner👇👇👇👇
بررسی فنی بدافزار
GhostMiner
قسمت اول :
عملیات اصلی توسط یک فایل اجرایی ویندوزی انجام میگردد. و برای ناشناس ماندن از فریم ورک های پنهان سازی زیر استفاده میکند :
Out-compressedDll
Invoke-ReflectivePEInjection
عمل این فریم ورک ها Fileless کردن کدهای اجرایی است .
@roozbeh_learning 👈🏼
GhostMiner
قسمت اول :
عملیات اصلی توسط یک فایل اجرایی ویندوزی انجام میگردد. و برای ناشناس ماندن از فریم ورک های پنهان سازی زیر استفاده میکند :
Out-compressedDll
Invoke-ReflectivePEInjection
عمل این فریم ورک ها Fileless کردن کدهای اجرایی است .
@roozbeh_learning 👈🏼
هرگاه مایبنر از تکنیک Fileless استفاده کند ، آنتی ویروسها نمیتوانند انرا کشف کنند در غیر اینصورت شناسایی میشود 👇
برای الوده سازی قربانیان جدید، Neutrino.ps1 به میان می آید و قربانیان از لیست زیر هستند:
Oracle weblogic
MSSQL
PHPMyAdmin
اغلب بصورت تصادفی به جستجو و پراب IP ها میپردازد و تلاش میکند اهداف آسیب پذیر را بیابد
@roozbeh_learning 👈🏼
Oracle weblogic
MSSQL
PHPMyAdmin
اغلب بصورت تصادفی به جستجو و پراب IP ها میپردازد و تلاش میکند اهداف آسیب پذیر را بیابد
@roozbeh_learning 👈🏼
برای اینکه عملیات از نظر تجهیزات امنیت شبکه مخفی بماند ارتباط خود را با سرور C2 خود با انکدینگ Base64 از طریق HTTP به انحام میرساند
شکل زیر
@roozbeh_learning 👈🏼
شکل زیر
@roozbeh_learning 👈🏼
شکل فوق بخشی از پکت اخذ شده از ارتباطات :
در قسمت قرمز درخواست شامل یک تسک جدید با مشخصات ایستگاه الوده و درقسمت ابی پاسخ را میبینید دستور در راستای الوده سازی یک سرور وبلاجیک
به نظر میرسد کاربران این سرور C2 چینی زبان باشند
@roozbeh_learning 👈🏼
در قسمت قرمز درخواست شامل یک تسک جدید با مشخصات ایستگاه الوده و درقسمت ابی پاسخ را میبینید دستور در راستای الوده سازی یک سرور وبلاجیک
به نظر میرسد کاربران این سرور C2 چینی زبان باشند
@roozbeh_learning 👈🏼
❇️درحال بررسی فنی بدافزار
GhostMiner
هستیم
حال ماینینگ چطور اتفاق میافتد 👇👇
GhostMiner
هستیم
حال ماینینگ چطور اتفاق میافتد 👇👇
با توجه به تکنیک Fileless ای که به کار برده است مستقیما از داخل حافظه اجرا میگردد و بر اساس شواهد نسخه تغییر یافته ماینر اپن سورسXMRig است
@roozbeh_learning 👈🏼
@roozbeh_learning 👈🏼