با توجه به تکنیک Fileless ای که به کار برده است مستقیما از داخل حافظه اجرا میگردد و بر اساس شواهد نسخه تغییر یافته ماینر اپن سورسXMRig است
@roozbeh_learning 👈🏼
@roozbeh_learning 👈🏼
دلیل درامد کم این ماینر را میتوان در دو مورد زیر دید :
اول به دلیل قابلیت Monero که برای پنهان سازی استفاده میکند ، آدرسهایی دیگر هم برای ارتباطات دارد که در انالیز فوق کشف نشده است
دوم به دلیل اینکه این ماینر ها از اسیب پذیری های عام استفاده میکنند ، تعداد بالایی از هکرها ماینر خود را تولید کرده اند و رقابت بالا است
@roozbeh_learning 👈🏼
اول به دلیل قابلیت Monero که برای پنهان سازی استفاده میکند ، آدرسهایی دیگر هم برای ارتباطات دارد که در انالیز فوق کشف نشده است
دوم به دلیل اینکه این ماینر ها از اسیب پذیری های عام استفاده میکنند ، تعداد بالایی از هکرها ماینر خود را تولید کرده اند و رقابت بالا است
@roozbeh_learning 👈🏼
نشانه های تسخیر شدگی ( آلودگی) سیستم های شما به این ماینر
IOCs
C2 IP Address:
123[.]59[.]68[.]172
Hashes (SHA-256)
Neutrino.ps1:
4b9ce06c6dc82947e888e919c3b8108886f70e5d80a3b601cc6eb3752a1069a1
9a326afeeb2ba80de356992ec72beeab28e4c11966b28a16356b43a397d132e8
WMI.ps1:
40a507a88ba03b9da3de235c9c0afdfcf7a0473c8704cbb26e16b1b782becd4d
WMI64.ps1:
8a2bdea733ef3482e8d8f335e6a4e75c690e599a218a392ebac6fcb7c8709b52
Associated Monero address:
43ZSpXdMerQGerimDrUviDN6qP3vkwnkZY1vvzTV22AbLW1oCCBDstNjXqrT3anyZ22j7DEE74GkbVcQFyH2nNiC3fchGfc
“Killer” noscript:
Service names
xWinWpdSrv
SVSHost
Microsoft Telemetry
lsass
Microsoft
system
Oracleupdate
CLR
sysmgt
gm
WmdnPnSN
Sougoudl
Nationaaal
Natimmonal
Nationaloll
Task names
Mysa
Mysa1
Mysa2
Mysa3
ok
Oracle Java
Oracle Java Update
Microsoft Telemetry
Spooler SubSystem Service
Oracle Products Reporter
Update service for products
gm
ngm
Process names
msinfo
xmrig*
minerd
MinerGate
Carbon
yamm1
upgeade
auto-upgeade
svshost
SystemIIS
SystemIISSec
WindowsUpdater*
WindowsDefender*
update
carss
service
csrsc
cara
javaupd
gxdrv
lsmosee
Miner related server side TCP ports
1111
2222
3333
4444
5555
6666
7777
8888
9999
14433
14444
45560
65333
55335
Miner related command line arguments
*cryptonight*
*stratum+*
*--donate-level*
*--max-cpu-usage*
*-p x*
*pool.electroneum.hashvault
@roozbeh_learning 👈🏼
IOCs
C2 IP Address:
123[.]59[.]68[.]172
Hashes (SHA-256)
Neutrino.ps1:
4b9ce06c6dc82947e888e919c3b8108886f70e5d80a3b601cc6eb3752a1069a1
9a326afeeb2ba80de356992ec72beeab28e4c11966b28a16356b43a397d132e8
WMI.ps1:
40a507a88ba03b9da3de235c9c0afdfcf7a0473c8704cbb26e16b1b782becd4d
WMI64.ps1:
8a2bdea733ef3482e8d8f335e6a4e75c690e599a218a392ebac6fcb7c8709b52
Associated Monero address:
43ZSpXdMerQGerimDrUviDN6qP3vkwnkZY1vvzTV22AbLW1oCCBDstNjXqrT3anyZ22j7DEE74GkbVcQFyH2nNiC3fchGfc
“Killer” noscript:
Service names
xWinWpdSrv
SVSHost
Microsoft Telemetry
lsass
Microsoft
system
Oracleupdate
CLR
sysmgt
gm
WmdnPnSN
Sougoudl
Nationaaal
Natimmonal
Nationaloll
Task names
Mysa
Mysa1
Mysa2
Mysa3
ok
Oracle Java
Oracle Java Update
Microsoft Telemetry
Spooler SubSystem Service
Oracle Products Reporter
Update service for products
gm
ngm
Process names
msinfo
xmrig*
minerd
MinerGate
Carbon
yamm1
upgeade
auto-upgeade
svshost
SystemIIS
SystemIISSec
WindowsUpdater*
WindowsDefender*
update
carss
service
csrsc
cara
javaupd
gxdrv
lsmosee
Miner related server side TCP ports
1111
2222
3333
4444
5555
6666
7777
8888
9999
14433
14444
45560
65333
55335
Miner related command line arguments
*cryptonight*
*stratum+*
*--donate-level*
*--max-cpu-usage*
*-p x*
*pool.electroneum.hashvault
@roozbeh_learning 👈🏼
روش درمان :
ماینر در حال اجرا را Kill کنید :
using PowerShell’s “Stop-Process -force” command
سرویس های بلک لیست ماینر ( اشاره شده در قسمت نشانه های آلودگی ) را استاپ و پاک کنید
در قسمت تسک های زمان بندی شده آنرا پاک کنید و همچنین سرویس های مرتبط که زمان بندی شده اند
از طریق کانکشن های برقرار شده و پورتهای مرتبط ماینر را شناسایی کرده و سرویس مربوطه را استاپ کنید
@roozbeh_learning
ماینر در حال اجرا را Kill کنید :
using PowerShell’s “Stop-Process -force” command
سرویس های بلک لیست ماینر ( اشاره شده در قسمت نشانه های آلودگی ) را استاپ و پاک کنید
در قسمت تسک های زمان بندی شده آنرا پاک کنید و همچنین سرویس های مرتبط که زمان بندی شده اند
از طریق کانکشن های برقرار شده و پورتهای مرتبط ماینر را شناسایی کرده و سرویس مربوطه را استاپ کنید
@roozbeh_learning
2018 Cannes Film Festival will begin on
Tuesday, Ordibehesht 18
and ends on
Saturday, Ordibehesht 29
فستیوال فیلم کن
اصغر فرهادی با " همه میدانند " درآن شرکت دارد .
@roozbeh_learning 👈🏼
Tuesday, Ordibehesht 18
and ends on
Saturday, Ordibehesht 29
فستیوال فیلم کن
اصغر فرهادی با " همه میدانند " درآن شرکت دارد .
@roozbeh_learning 👈🏼
آکادمی آموزش روزبه 📚
@roozbeh_learning👈🏼
This media is not supported in your browser
VIEW IN TELEGRAM
فیلم ادعایی که Sentinelone برای کشف ماینر Ghostminerدارد
@roozbeh_learning 👈🏼
@roozbeh_learning 👈🏼
SentinelOne-Survey_032418b_eng FINAL.pdf
657.4 KB
گزارشی از باج افزارها
@roozbeh_learning 👈🏼
@roozbeh_learning 👈🏼
👆اینهمه تعریف از فناوری ای که پسورد شما ؛ رمز نشده، توسط آن از کامپیوتر مک شما استخراج میشود
macOS High Sierra
https://tek.io/2GnAUFk
@roozbeh_learning 👈🏼
macOS High Sierra
https://tek.io/2GnAUFk
@roozbeh_learning 👈🏼
نحوه استخدام متخصص ارشد تحقیقات امنیتی
https://www.linkedin.com/pulse/how-hire-rockstar-security-researcher-your-company-harshit-agarwal
https://www.linkedin.com/pulse/how-hire-rockstar-security-researcher-your-company-harshit-agarwal
Linkedin
How to Hire a Rockstar Security Researcher For Your Company
Cyber-attacks are on the rise..each day..every day. There are no two ways about it. We have said this time and again that Cybercrime is the greatest
اول صبحی این خبر نگران کننده :
وارد شدن دو هواپیمای جنگی اسراییل به حریم هوایی ایران در ماه گذشته( البته به اعلام روزنامه کویتی )
https://m-jpost-com.cdn.ampproject.org/c/m.jpost.com/Middle-East/Report-Israeli-stealth-fighters-fly-over-Iran-547421/amp
@roozbeh_learning 👈🏼
وارد شدن دو هواپیمای جنگی اسراییل به حریم هوایی ایران در ماه گذشته( البته به اعلام روزنامه کویتی )
https://m-jpost-com.cdn.ampproject.org/c/m.jpost.com/Middle-East/Report-Israeli-stealth-fighters-fly-over-Iran-547421/amp
@roozbeh_learning 👈🏼
m-jpost-com.cdn.ampproject.org
Report: Israeli stealth fighters fly over Iran
Two IAF F-35 Adir fighter jets entered Iranian airspace undetected, according to the Kuwaiti newspaper Al-Jarida.
👌بنیاد موزیلا بازهم پایبندی خود در راستای حفاظت از حریم شخصی کاربران را نشان داد.
❇️ افزونه زیر برای دفاع درمقابل جمع آوری اطلاعات توسط فیس بوک.
https://mzl.la/2pKtTXW
@roozbeh_learning 👈🏼
❇️ افزونه زیر برای دفاع درمقابل جمع آوری اطلاعات توسط فیس بوک.
https://mzl.la/2pKtTXW
@roozbeh_learning 👈🏼
تجربه تلخ و ناجوانمردی در حق جناب خلیلیان در امتحان
CCIE Lab
https://www.linkedin.com/feed/update/urn:li:activity:6384876953282969600
CCIE Lab
https://www.linkedin.com/feed/update/urn:li:activity:6384876953282969600
LinkedIn
Amin Khalilian on LinkedIn: “بعد ۳ ماه سعی و…
بعد ۳ ماه سعی و تلاش تونستم تو هند کسی رو پیدا کنم تا بتونم امتحان CCIE LAB بدم،اما گفتن ازت امتحان نمیگیریم(حتی حاضر بودم تا ۵۰۰ دلار بیشتر بدم تا …
وبینار سیسکو در مورد:
Cisco Defense Orchestrator
مدیریت متمرکز پالیسی های امنیتی
لینک ثبت نام :
https://bit.ly/2GkTemv
@roozbeh_learning 👈🏼
Cisco Defense Orchestrator
مدیریت متمرکز پالیسی های امنیتی
لینک ثبت نام :
https://bit.ly/2GkTemv
@roozbeh_learning 👈🏼
وارد کردن اطلاعات کشف شده درخصوص بد افرارها توسط محصولات مختلف سیسکو خصوصا AMP به اسپلانک برای آنالیز بیشتر و تلفیق با سایر منابع
لینک ثبت نام وبینار:
https://bit.ly/2GkTemv
@roozbeh_learning 👈🏼
لینک ثبت نام وبینار:
https://bit.ly/2GkTemv
@roozbeh_learning 👈🏼
برنامه (app) ای در اپ استور که با هفته ای ۲ دلار میتواند از طریق واتس اپ و هوش مصنوعی، یک نمونه پروفایل رفتاری از فرد مورد نظر شما ارایه دهد.
https://bit.ly/2E68myb
@roozbeh_learning 👈🏼
https://bit.ly/2E68myb
@roozbeh_learning 👈🏼
آکادمی آموزش روزبه 📚
اول صبحی این خبر نگران کننده : وارد شدن دو هواپیمای جنگی اسراییل به حریم هوایی ایران در ماه گذشته( البته به اعلام روزنامه کویتی ) https://m-jpost-com.cdn.ampproject.org/c/m.jpost.com/Middle-East/Report-Israeli-stealth-fighters-fly-over-Iran-547421/amp …
یک تحلیل فنی - سیاسی که نتیجه میگیره صحت خبر منتشر شده توسط روزنامه کویتی زیر سوال است
@roozbeh_learning 👈🏼
https://theaviationist.com/2018/03/29/heres-why-the-claim-that-two-israeli-f-35-stealth-jets-entered-iranian-airspace-does-not-make-any-sense/
@roozbeh_learning 👈🏼
https://theaviationist.com/2018/03/29/heres-why-the-claim-that-two-israeli-f-35-stealth-jets-entered-iranian-airspace-does-not-make-any-sense/
The Aviationist
Here’s Why The Claim That Two Israeli F-35 Stealth Jets Entered Iranian Airspace Does Not Make Any Sense
Two Israeli Air Force (IAF) F-35 stealth fighters flew over Syrian and Iraqi airspace to reach Iran, report says. Most probably, just fake news or PSYOPS.
اخذ( ذخیره سازی) صفحات وب برای درج بعنوان شواهد در پرونده های جرم شناسی رایانه ای
این قسمت :
اخذ صفحاتی که توسط امکانات پست گذاری گمنام توسط فیسبوک فراهم شده اند.
FAW 7 for forensics acquisition of Facebook on the Onion network
https://www.linkedin.com/pulse/faw-7-acquisition-facebook-onion-network-matteo-zavattari
این قسمت :
اخذ صفحاتی که توسط امکانات پست گذاری گمنام توسط فیسبوک فراهم شده اند.
FAW 7 for forensics acquisition of Facebook on the Onion network
https://www.linkedin.com/pulse/faw-7-acquisition-facebook-onion-network-matteo-zavattari
Linkedin
FAW 7 for forensics acquisition of Facebook on the Onion network
Contrary to what one might think, acquiring sites on the Deep Web with FAW is really simple. Recently Facebook has created its domain on the TOR