❇️ امنیت اطلاعات شامل فنون شبکه ، نرم افزار و... و فرآیند ، مدیریت هوش هیجانی و بحران و داشتن تفکر امنیتی/ اطلاعاتی است

✅ امنیت اطلاعات را با ما، حرفه ای بیاموزید
@roozbeh_learning 👈🏼
اکادمی روزبه

❇️ آگاهی رسانی :

سعی کنید وب سایتهایی که مکرر بازدید میکنید را بوک مارک کنید تا احیانا در هنگام تایپ و اشتباه زدن کلید کی بورد ، به سایتی حاوی بد افزار وارد نشوید.

بنا بر تحقیقات اخیر ، نزدن حرف O در .COM میتواند شما را به سایتی مخرب برساند .
برای مثال :
🔵بجای Amazon.com
🔴اشتباه بزنید Amazon.cm

@roozbeh_learning 👈🏼
از مجموعه آگاهی رسانی های همگانی
گروه آموزشی پژوهشی روزبه

🚨🚨تا لحظاتی دیگر بررسی فنی بدافزار
GhostMiner👇👇👇👇

بررسی فنی بدافزار
GhostMiner

قسمت اول :

عملیات اصلی توسط یک فایل اجرایی ویندوزی انجام میگردد. و برای ناشناس ماندن از فریم ورک های پنهان سازی زیر استفاده میکند :

Out-compressedDll
Invoke-ReflectivePEInjection

عمل این فریم ورک ها Fileless کردن کدهای اجرایی است .

@roozbeh_learning 👈🏼

@roozbeh_learning 👈🏼

❇️درحال بررسی فنی بدافزار
GhostMiner

هستیم

هرگاه مایبنر از تکنیک Fileless استفاده کند ، آنتی ویروسها نمیتوانند انرا کشف کنند در غیر اینصورت شناسایی میشود 👇

@roozbeh_learning 👈🏼

برای الوده سازی قربانیان جدید، Neutrino.ps1 به میان می آید و قربانیان از لیست زیر هستند:

Oracle weblogic
MSSQL
PHPMyAdmin
اغلب بصورت تصادفی به جستجو و پراب IP ها میپردازد و تلاش میکند اهداف آسیب پذیر را بیابد

@roozbeh_learning 👈🏼

@roozbeh_learning 👈🏼

برای اینکه عملیات از نظر تجهیزات امنیت شبکه مخفی بماند ارتباط خود را با سرور C2 خود با انکدینگ Base64 از طریق HTTP به انحام میرساند

شکل زیر

@roozbeh_learning 👈🏼

@roozbeh_learning 👈🏼

@roozbeh_learning 👈🏼

شکل فوق بخشی از پکت اخذ شده از ارتباطات :

در قسمت قرمز درخواست شامل یک تسک جدید با مشخصات ایستگاه الوده و درقسمت ابی پاسخ را میبینید دستور در راستای الوده سازی یک سرور وبلاجیک

به نظر میرسد کاربران این سرور C2 چینی زبان باشند
@roozbeh_learning 👈🏼

❇️درحال بررسی فنی بدافزار
GhostMiner

هستیم

حال ماینینگ چطور اتفاق میافتد 👇👇

با توجه به تکنیک Fileless ای که به کار برده است مستقیما از داخل حافظه اجرا میگردد و بر اساس شواهد نسخه تغییر یافته ماینر اپن سورسXMRig است

@roozbeh_learning 👈🏼

@roozbeh_learning 👈🏼

سه هفته فعالیت این ماینر؛ فقط ۲۰۰ دلار ؟!!

@roozbeh_learning 👈🏼

دلیل درامد کم این ماینر را میتوان در دو مورد زیر دید :

اول به دلیل قابلیت Monero که برای پنهان سازی استفاده میکند ، آدرسهایی دیگر هم برای ارتباطات دارد که در انالیز فوق کشف نشده است

دوم به دلیل اینکه این ماینر ها از اسیب پذیری های عام استفاده میکنند ، تعداد بالایی از هکرها ماینر خود را تولید کرده اند و رقابت بالا است ‌

@roozbeh_learning 👈🏼

نشانه های تسخیر شدگی ( آلودگی) سیستم های شما به این ماینر



IOCs

C2 IP Address:
123[.]59[.]68[.]172
Hashes (SHA-256)
Neutrino.ps1:
4b9ce06c6dc82947e888e919c3b8108886f70e5d80a3b601cc6eb3752a1069a1
9a326afeeb2ba80de356992ec72beeab28e4c11966b28a16356b43a397d132e8
WMI.ps1:
40a507a88ba03b9da3de235c9c0afdfcf7a0473c8704cbb26e16b1b782becd4d
WMI64.ps1:
8a2bdea733ef3482e8d8f335e6a4e75c690e599a218a392ebac6fcb7c8709b52
Associated Monero address:
43ZSpXdMerQGerimDrUviDN6qP3vkwnkZY1vvzTV22AbLW1oCCBDstNjXqrT3anyZ22j7DEE74GkbVcQFyH2nNiC3fchGfc
“Killer” noscript:
Service names
xWinWpdSrv
SVSHost
Microsoft Telemetry
lsass
Microsoft
system
Oracleupdate
CLR
sysmgt
gm
WmdnPnSN
Sougoudl
Nationaaal
Natimmonal
Nationaloll
Task names
Mysa
Mysa1
Mysa2
Mysa3
ok
Oracle Java
Oracle Java Update
Microsoft Telemetry
Spooler SubSystem Service
Oracle Products Reporter
Update service for products
gm
ngm
Process names
msinfo
xmrig*
minerd
MinerGate
Carbon
yamm1
upgeade
auto-upgeade
svshost
SystemIIS
SystemIISSec
WindowsUpdater*
WindowsDefender*
update
carss
service
csrsc
cara
javaupd
gxdrv
lsmosee
Miner related server side TCP ports
1111
2222
3333
4444
5555
6666
7777
8888
9999
14433
14444
45560
65333
55335
Miner related command line arguments
*cryptonight*
*stratum+*
*--donate-level*
*--max-cpu-usage*
*-p x*
*pool.electroneum.hashvault

@roozbeh_learning 👈🏼