This media is not supported in your browser
VIEW IN TELEGRAM
سواستفاده از ابزارهای مجاز ویندوزی
یکی از راههای نفوذ مهاجمان به سازمان، استفاده از ابزارهای مجاز و رایج برای انجام عملیات مخرب و دور زدن مکانیزم های امنیتی است. از آنجایی که این ابزارها در White List قرار دارند و مجاز تلقی میشوند، مهاجمان میتوانند به راحتی حساسیت کمتری نسبت به فعالیت های خود ایجاد کنند.
آنها میتوانند از ابزارهایی مانند GMER، Process Hacker و PC Hunter جهت مانیتورینگ Process های ویندوز و یافتن اطلاعات Processها با سطح دسترسی بالا استفاده کنند. همچنین، این ترفند، یعنی استفاده از ابزارهای مجاز، میتواند راهکاری برای حملات باج افزاری باشند. برای مثال، مهاجم میتواند با استفاده از ابزار GMER و PC Hunter ردپای اجرای باج افزار را حذف کند. علاوه بر این، مهاجم با استفاده از ابزار Process Hacker قادر به دستکاری DLL های ویندوزی است که موجب غیرفعال سازی مکانیزم های امنیتی می گردد.
#soorin
#securiry
#soc
#process
#DLL
@hypersec
شرکت دانش بنیان سورین
https://soorinsec.ir
یکی از راههای نفوذ مهاجمان به سازمان، استفاده از ابزارهای مجاز و رایج برای انجام عملیات مخرب و دور زدن مکانیزم های امنیتی است. از آنجایی که این ابزارها در White List قرار دارند و مجاز تلقی میشوند، مهاجمان میتوانند به راحتی حساسیت کمتری نسبت به فعالیت های خود ایجاد کنند.
آنها میتوانند از ابزارهایی مانند GMER، Process Hacker و PC Hunter جهت مانیتورینگ Process های ویندوز و یافتن اطلاعات Processها با سطح دسترسی بالا استفاده کنند. همچنین، این ترفند، یعنی استفاده از ابزارهای مجاز، میتواند راهکاری برای حملات باج افزاری باشند. برای مثال، مهاجم میتواند با استفاده از ابزار GMER و PC Hunter ردپای اجرای باج افزار را حذف کند. علاوه بر این، مهاجم با استفاده از ابزار Process Hacker قادر به دستکاری DLL های ویندوزی است که موجب غیرفعال سازی مکانیزم های امنیتی می گردد.
#soorin
#securiry
#soc
#process
#DLL
@hypersec
شرکت دانش بنیان سورین
https://soorinsec.ir
🔎Detect DLL Hijacking techniques from HijackLibs with Splunk
این مقاله نحوه استفاده از **HijackLibs** را برای ایجاد و اجرای DLLهای مخرب در یک سیستم هدف، و نحوه استفاده از Splunk برای نظارت و تجزیه و تحلیل رویدادهای ایجاد شده توسط حملات را نشان می دهد.
🔗 https://detect.fyi/detect-dll-hijacking-techniques-from-hijacklibs-with-splunk-c760d2e0656f
@hypersec
#DLL #splunk
شرکت دانش بنیان سورین
این مقاله نحوه استفاده از **HijackLibs** را برای ایجاد و اجرای DLLهای مخرب در یک سیستم هدف، و نحوه استفاده از Splunk برای نظارت و تجزیه و تحلیل رویدادهای ایجاد شده توسط حملات را نشان می دهد.
🔗 https://detect.fyi/detect-dll-hijacking-techniques-from-hijacklibs-with-splunk-c760d2e0656f
@hypersec
#DLL #splunk
شرکت دانش بنیان سورین
Medium
Detect DLL Hijacking techniques from HijackLibs with Splunk
Splunk detections searches
🔏این مقاله در مورد DLL side-loading ؛ تکنیکی است که توسط برخی از عوامل مخرب برای فرار از شناسایی و اجرای کد آنها در یک سیستم هدف استفاده می شود. DLL side-loading بر اساس رفتار ویندوز کار میکند به اینصورت که یک DLL را از همان دایرکتوری برنامه مورد نیاز قبل از جستجوی مکانهای دیگر بارگیری میکند. این به مهاجم اجازه می دهد تا یک DLL مخرب و یک فایل اجرایی قانونی را در یک پوشه قرار دهد و سیستم را فریب دهد تا DLL را هنگام راه اندازی فایل اجرایی ، اجرا کند.
🔹"در تصویر ، میتوانید پوشهای حاوی «WFS.exe» و یک DLL مخرب را ببینید. "
👀نحوه شناسایی :
1️⃣ فایل های اجرایی امضا شده ای را که از مسیری ناشناخته اجرا می شوند را جستجو کنید و DLL های بدون علامت را بارگیری کنید.
2️⃣جستجو برای فایل های اجرایی که در آن DLL از همان پوشه بارگذاری می شود. به عنوان مثال، اگر فایل اجرایی در پوشه "Documents" وجود داشته باشد و DLL از همان پوشه بارگیری شود، مشکوک است و نیاز به بررسی بیشتر دارد.
3️⃣این مسیرهای متداول هدفمند را در جستجوهای خود بگنجانید: «\Documents» «\ProgramData» «\Public» «\AppData» و غیره.
#DLL
تیم سورین
🔹"در تصویر ، میتوانید پوشهای حاوی «WFS.exe» و یک DLL مخرب را ببینید. "
👀نحوه شناسایی :
1️⃣ فایل های اجرایی امضا شده ای را که از مسیری ناشناخته اجرا می شوند را جستجو کنید و DLL های بدون علامت را بارگیری کنید.
2️⃣جستجو برای فایل های اجرایی که در آن DLL از همان پوشه بارگذاری می شود. به عنوان مثال، اگر فایل اجرایی در پوشه "Documents" وجود داشته باشد و DLL از همان پوشه بارگیری شود، مشکوک است و نیاز به بررسی بیشتر دارد.
3️⃣این مسیرهای متداول هدفمند را در جستجوهای خود بگنجانید: «\Documents» «\ProgramData» «\Public» «\AppData» و غیره.
#DLL
تیم سورین
👌2👍1🤩1
difference between EXE vs DLL 👩💻 💫
🚀 https://www.linkedin.com/posts/soorinsec_dll-exe-windows-activity-7201517633647685632-oV9y?utm_source=share&utm_medium=member_desktop
#windows #EXE #DLL
تیم سورین
#windows #EXE #DLL
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Linkedin
Soorin on LinkedIn: #dll #exe #windows #ویندوز
difference between EXE vs DLL 👩💻 💫
🌐 join our community : https://t.iss.one/hypersec
#DLL #EXE #Windows
#ویندوز
🌐 join our community : https://t.iss.one/hypersec
#DLL #EXE #Windows
#ویندوز