🔴 بهرهگیری هکرهای چینی از روتکیت Demodex برای جاسوسی از کاربران ویندوز 10
یک عامل تهدیدکننده چینی که تا قبل از این ناشناخته بوده، به عملیاتی طولانی مدت با هدفگیری اهدافی در جنوب شرقی آسیا در جولای سال ۲۰۲۰ برای مستقر کردن یک روتکیت kernel در سیستمهای ویندوزی آسیب دیده دستزده است.
گفته میشود حملاتی که توسط گروه هکری انجام شده و کسپرسکی آنها را GhostEmperor نامیده، از "فریمورک بدافزار چند مرحله ای پیچیده" استفاده کرده است. این فریمورک امکان افزایش ماندگاری و برقراری ارتباط کنترل از راه دور بر روی میزبانهای مورد نظر را فراهم میکند.
شرکت امنیت سایبری روسی کسپرسکی، این روتکیت را Demodex نامیده است. گزارشهایی از آلودگی در چندین نهاد برجسته در مالزی، تایلند، ویتنام و اندونزی و علاوه بر آن مواردی اندک در مصر، اتیوپی و افغانستان گزارش شده است.
#Cybersecurity #Cyber_attack #Demodex #GhostEmperor #Malware #Windows10 #Rootkit #Microsoft #Kaspersky #امنیت_سایبری #حمله_سایبری #بدافزار #مایکروسافت #کسپرسکی
مطالعه کامل خبر
🆔 @Engineer_Computer
یک عامل تهدیدکننده چینی که تا قبل از این ناشناخته بوده، به عملیاتی طولانی مدت با هدفگیری اهدافی در جنوب شرقی آسیا در جولای سال ۲۰۲۰ برای مستقر کردن یک روتکیت kernel در سیستمهای ویندوزی آسیب دیده دستزده است.
گفته میشود حملاتی که توسط گروه هکری انجام شده و کسپرسکی آنها را GhostEmperor نامیده، از "فریمورک بدافزار چند مرحله ای پیچیده" استفاده کرده است. این فریمورک امکان افزایش ماندگاری و برقراری ارتباط کنترل از راه دور بر روی میزبانهای مورد نظر را فراهم میکند.
شرکت امنیت سایبری روسی کسپرسکی، این روتکیت را Demodex نامیده است. گزارشهایی از آلودگی در چندین نهاد برجسته در مالزی، تایلند، ویتنام و اندونزی و علاوه بر آن مواردی اندک در مصر، اتیوپی و افغانستان گزارش شده است.
#Cybersecurity #Cyber_attack #Demodex #GhostEmperor #Malware #Windows10 #Rootkit #Microsoft #Kaspersky #امنیت_سایبری #حمله_سایبری #بدافزار #مایکروسافت #کسپرسکی
مطالعه کامل خبر
🆔 @Engineer_Computer
🔴 هک رایانههای شخصی با نسخه جعلی تلگرام توسط بدافزار Purple Fox
نصبکنندههای تروجانی برنامه پیامرسان تلگرام برای توزیع backdoor با نام Purple Fox مبتنی بر ویندوز در سیستمهای در معرض خطر استفاده میشوند.
محقق ناتالی زرگاروف گفت: «این عامل تهدید با جدا کردن اجزای حمله به چندین فایل کوچک که اکثر آنها دارای نرخ تشخیص بسیار پایین توسط موتورهای آنتی ویروس هستند، توانست اکثر قسمتهای حمله را بدون شناسایی عملی کرده و در مرحله آخر سیستم را به آلودگی روتکیت Purple Fox مبتلا کند».
بدافزار Purple Fox که اولین بار در سال ۲۰۱۸ کشف شد، دارای قابلیت روت کیت است که به بدافزار اجازه میدهد تا فراتر از دسترس راه حلهای امنیتی استقرار یافته و از شناسایی مصون بماند. گزارش مارس ۲۰۲۱ از Guardicore ویژگی انتشار کرممانند آن را به تفصیل شرح داد و این امکان را به این backdoor داد که با سرعت بیشتری گسترش یابد.
#Cybersecurity #Cyber_attack #Purple_fox #Telegram #Malware #Backdoor #Crypto #Rootkit #Windows #امنیت_سایبری #حمله_سایبری #روباه_بنفش #تلگرام #بدافزار #کریپتو #روت_کیت #ویندوز
@Engineer_Computer
نصبکنندههای تروجانی برنامه پیامرسان تلگرام برای توزیع backdoor با نام Purple Fox مبتنی بر ویندوز در سیستمهای در معرض خطر استفاده میشوند.
محقق ناتالی زرگاروف گفت: «این عامل تهدید با جدا کردن اجزای حمله به چندین فایل کوچک که اکثر آنها دارای نرخ تشخیص بسیار پایین توسط موتورهای آنتی ویروس هستند، توانست اکثر قسمتهای حمله را بدون شناسایی عملی کرده و در مرحله آخر سیستم را به آلودگی روتکیت Purple Fox مبتلا کند».
بدافزار Purple Fox که اولین بار در سال ۲۰۱۸ کشف شد، دارای قابلیت روت کیت است که به بدافزار اجازه میدهد تا فراتر از دسترس راه حلهای امنیتی استقرار یافته و از شناسایی مصون بماند. گزارش مارس ۲۰۲۱ از Guardicore ویژگی انتشار کرممانند آن را به تفصیل شرح داد و این امکان را به این backdoor داد که با سرعت بیشتری گسترش یابد.
#Cybersecurity #Cyber_attack #Purple_fox #Telegram #Malware #Backdoor #Crypto #Rootkit #Windows #امنیت_سایبری #حمله_سایبری #روباه_بنفش #تلگرام #بدافزار #کریپتو #روت_کیت #ویندوز
@Engineer_Computer
#TripleCross #eBPF #Rootkit #Linux
در بحث طراحی Rootkit تکنیک ها و مدل های مختلفی وجود دارد که میتواند موجب ماندگاری آن شود.
یکی از این روش ها استفاده از فناوری extended Berkeley Packet Filters است که از نسخه 3.18 هسته لینوکس اضافه شده است و اجازه میدهد تا اجرای کد در هسته سیستم عامل، بدون نیاز به Load ماژول در هسته انجام شود.
البته فناوری eBPF برای فیلترینگ Packet و نظارت بر شبکه طراحی شده است، اما بستر خیلی خوبی نیز برای اجرای کد میتواند باشد، چرا که منابع انحصاری هسته و امکان ردیابی فعالیت های سمت کاربر را میتواند انجام دهد.
برای مثال TripleCross یک Rootkit مبتنی بر eBPF است و قابلیت هایی مانند ماژول تزریق کتابخانه و اجرای کد در حافظه مجازی، اجرای کد در سطح هسته و به موجب آن ارتقاء سطح دسترسی برای یک Process سمت کاربر، امکان فعال سازی Backdoor در سطح root و غیره را دارد.
اما مهاجمین بواسطه Patch کردن بخشی از ساختمان های این فناوری بواسطه Rootkit های خود، موفق شدند از این فناوری بر علیه خود سیستم عامل استفاده کنند و از ویژگی های منحصر به فرد آن سو استفاده نمایند...
@Engineer_Computer
در بحث طراحی Rootkit تکنیک ها و مدل های مختلفی وجود دارد که میتواند موجب ماندگاری آن شود.
یکی از این روش ها استفاده از فناوری extended Berkeley Packet Filters است که از نسخه 3.18 هسته لینوکس اضافه شده است و اجازه میدهد تا اجرای کد در هسته سیستم عامل، بدون نیاز به Load ماژول در هسته انجام شود.
البته فناوری eBPF برای فیلترینگ Packet و نظارت بر شبکه طراحی شده است، اما بستر خیلی خوبی نیز برای اجرای کد میتواند باشد، چرا که منابع انحصاری هسته و امکان ردیابی فعالیت های سمت کاربر را میتواند انجام دهد.
برای مثال TripleCross یک Rootkit مبتنی بر eBPF است و قابلیت هایی مانند ماژول تزریق کتابخانه و اجرای کد در حافظه مجازی، اجرای کد در سطح هسته و به موجب آن ارتقاء سطح دسترسی برای یک Process سمت کاربر، امکان فعال سازی Backdoor در سطح root و غیره را دارد.
اما مهاجمین بواسطه Patch کردن بخشی از ساختمان های این فناوری بواسطه Rootkit های خود، موفق شدند از این فناوری بر علیه خود سیستم عامل استفاده کنند و از ویژگی های منحصر به فرد آن سو استفاده نمایند...
@Engineer_Computer
👍1
⭕️ پروژه ای توسعه داده شده که سمپل یک Rootkit برای استفاده توی پروژه های ردتیم کاربرد داره.
این پروژه با ++C توسعه داده شده و قابلیت ارتباط آسان با C2 مورد نظر ما را دارد.
از ویژگی های این پروژه میتوان به موارد زیر پرداخت:
#RedTeam #Rootkit #Maldev
@Engineer_Computer
این پروژه با ++C توسعه داده شده و قابلیت ارتباط آسان با C2 مورد نظر ما را دارد.
از ویژگی های این پروژه میتوان به موارد زیر پرداخت:
Current Features
Process hiding and unhiding
Process elevation
Process protection (anti-kill and dumping)
Bypass pe-sieve
Thread hiding and unhiding
Thread protection (anti-kill)
File protection (anti-deletion and overwriting)
Registry keys and values protection (anti-deletion and overwriting)
Registry keys and values hiding
Querying currently protected processes, threads, files, hidden ports, registry keys and values
Function patching
Built-in AMSI bypass
Built-in ETW patch
Process signature (PP/PPL) modification
Can be reflectively loaded
Shellcode Injection
APC
NtCreateThreadEx
DLL Injection
APC
NtCreateThreadEx
Querying kernel callbacks
ObCallbacks
Process and thread creation routines
Image loading routines
Registry callbacks
Removing and restoring kernel callbacks
ETWTI tampering
Module hiding
Driver hiding and unhiding
Credential Dumping
Port hiding/unhiding
Script execution
Initial operations
#RedTeam #Rootkit #Maldev
@Engineer_Computer
GitHub
GitHub - Idov31/Nidhogg: Nidhogg is an all-in-one simple to use windows kernel rootkit.
Nidhogg is an all-in-one simple to use windows kernel rootkit. - Idov31/Nidhogg
⭕️ اگر علاقه مند به توسعه RootKit در محیط ویندوز هستید پروژه ای توسعه داده شده که به مطالعه آن میپردازیم.
از ویژگی های این پروژه میتوان به موارد زیر اشاره کرد:
#RedTeam #RootKit #MalDev
@Engineer_Computer
از ویژگی های این پروژه میتوان به موارد زیر اشاره کرد:
Kill processes
ZwTerminateProcess is simply called from kernel land to terminate any process. Additionally, you can bury a process to avoid it to restart by setting a kernel callback to process creation: If the target process is created, Banshee will set the CreationStatus of the target process to STATUS_ACCESS_DENIED.
Change protection levels
This is done by modifying the EPROCESS structure, which is an kernel object that describes a processes attributes. It also holds a value that specifies the protection level of the process.
We can directly modify this value (aka Direct Kernel Object Modification or DKOM), since we are operating in Ring 0.
Elevate any process token to SYSTEM
EPROCESS also holds a pointer to the current access token, so we can just make it point to e.g. the token of process 4 (SYSTEM) to elevate any process to SYSTEM
Enumerating and erasing kernel callbacks
For now, only Process- and Thread-Creation kernel callbacks are enumerated, by parsing the PsSetCreateNotifyProcess/ThreadRoutine routine to reach the private Psp* routine and then parsing the address of the array, where kernel callbacks are stored.
Protecting the driver file
By hooking the NTFS filesystem's IRP_MJ_CREATE handler, we can block any process from opening a handle to our driver file
Hide Process by PID
Again, EPROCESS comes to help here - it contains a LIST_ENTRY of a doubly linked list called ActiveProcessLink which is queried by Windows to enumerate running processes. If we simply unlink an entry here, we can hide our process from tools like Process Monitor or Task Manager.
#RedTeam #RootKit #MalDev
@Engineer_Computer
GitHub
GitHub - eversinc33/Banshee: Experimental Windows x64 Kernel Rootkit with anti-rootkit evasion features.
Experimental Windows x64 Kernel Rootkit with anti-rootkit evasion features. - eversinc33/Banshee
⭕️این ابزار که جهت شناسایی و بررسی RootKit ها توسعه داده شده است، با استفاده از درایور ابزار Winpmem که خود نیز قبل تر جزو ابزار Rekall بوده است(اگر Memory Forensics کار کرده باشید احتمالا باهاش آشنا هستید) و مدتی هست بصورت جداگانه توسعه داده شده، اقدام به بررسی موارد خوبی میکند.
یکی از ویژگی هایی که میتوان به آن اشاره کرد امکان متصل کردن به سرور GDB و بررسی فایل مسیر زیر میباشد.
C:\Windows\MEMORY.DMP
خلاصه ی مواردی که این ابزار آنها را بررسی میکند :
#ThreatHunting #RootKit
@Engineer_Computer
یکی از ویژگی هایی که میتوان به آن اشاره کرد امکان متصل کردن به سرور GDB و بررسی فایل مسیر زیر میباشد.
C:\Windows\MEMORY.DMP
خلاصه ی مواردی که این ابزار آنها را بررسی میکند :
Loaded modules list
Drivers in memory code (compared to on-disk version)
Callbacks of kernel objects and internal ntoskrnl lists
PlugAndPlay tree and filters
Kernel types callbacks
FltMgr callbacks
KTimers DPC functions
IRP driver's tables
Driver signing global variables with callbacks
NDIS filters and callbacks
NetIO/FwpkCLNT filtering dispatch
Devices and their attached device objects
IDT entries
PatchGuard initialization and state
#ThreatHunting #RootKit
@Engineer_Computer
GitHub
GitHub - ExaTrack/Kdrill: Python tool to check rootkits in Windows kernel
Python tool to check rootkits in Windows kernel. Contribute to ExaTrack/Kdrill development by creating an account on GitHub.