#Javascript #Malware #Obfuscation
در بسیاری از حملات #APTs استفاده از Stage های مبهم شده بر بستر زبان هایی مانند Javascript بسیار میتونه در امر Evasion شدن پیلود مفید باشه,

در پیلود تصویر میبینید که چهار دامنه تعریف شده در متغیر x که یک حلقه for کام آبجکت WScript مامور ساخت یک آبجکت از روی MSXML2 میشه برای زدن Requset هایی به وبسایت های تعریف شده و دریافت Response از آنها و بعد از آماده سازی Response مقدار با مقدار متغیر m و نهایتا در تابع ()eval کد دریافتی اجرا شده و مرحله بعد Leteral Movement شرو ع خواهد شد,

دقت بفرمایید که حساسیت استفاده از COM Object ها در فرمت هایی مانند JS بسیار بالاست و این قبیل فرمت ها تحت نظر و برسی خواهند بود اما زمانی که بصورت مبهم سازی شده COM Object ساخته و عملیات مد نظر رو initialize کرده و جالب اینجاست که Stage اصلی از Response دریافت خواهد شد, این نکته بسیار در امر Evasion شدن پیلود موءثر بوده است...


https://medium.com/nodesimplified/obfuscation-what-is-obfuscation-in-javascript-why-obfuscation-is-used-f6a5f5bcf022
@Unk9vvN
#Office #Macro #Malware #APTs
بسیاری از حملات سطح پیشرفته رخداده مبتنی بر Macro هایی بوده است که بصورت یک Dropper یا به عنوان یک Downloader عمل کرده و Stage های مختلف یک بد افزار رو به سیستم قربانی انتقال داده است،

اما در سالهای اخیر از پتانسیل زبان VBA به جهت دستکاری یک Process یا تزریق یک Shellcode و یا خاموش کردن مکانیزم های شناسایی کننده استفاده شده، برای مثال در این پست یک نمونه از دستکاری سطح سیستم عامل رو شاهد هستیم که میتواند مکانیزم AMSI که یک مکانیزم AV هستش رو دور زده و کد مخرب خود رو بصورت مستقیم به اجرا در بیاره!

اما جدای از این سبک استفاده از توابع سیستم عامل ویندوز، روش های دیگری در بحث مبهم سازی استفاده میشه که میتونه بواسطه ActiveX Object ها پلن بعدی حمله رو بصورت ناشناس به اجرا در بیاره،

به هر روی استفاده از Macro های خانواده Office فرصت خوبیه که سناریو های مهندسی اجتماعی قوی ای رو پیاده و عملیات تیم قرمز رو با موفقیت به سر انجام رسوند...

@Unk9vvN
#Domestic #Kitten Targeting #Iranian on #Android #Malware App
اخیرا گزارشی از تیم تحقیقاتی ESET بیرون اومده در خصوص بدافزار اندرویدی که در قالب یک نرم افزار مقاله سرا و از طریق یک وبسایت فعال در عرصه مقالات و فروش کتاب انتشار یافته است. مدل پخش و ایجاد دسترسی اولیه، مبتنی بر لینک مستقیم و به ظاهر صفحه گوگل پلی انجام شده که در تصاویر پست مشاهده میکنید.

این بدافزار قبلا هم فعال بوده (APT-C-50) و به گفته ESET با وبسایتی جعلی جدیدی دوباره فعال شده است، بررسی های انجام شده نشون میده که این بدافزار قرار بوده که مامور بر جاسوسی از کاربران ایرانی باشه و دسترسی های مطرحه در AndroidManifest.xml شامل موقعیت مکانی، تاریخچه تماس ها، رکورد تماس ها، اجرای برنامه ها، اطلاعات گوشی، لیست مخاطبین و اطلاعیه های برنامه های دیگه هستش...

اما روش کار C&C یا خط فرمان این جاسوس افزار، مبتنی بر ارسال و دریافت درخواست های مبتنی بر Web Service طراحی شده بوده که دریافت اطلاعات و ارسال فرمان ها بصورت مبهم سازی شده انجام می شده است.

@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Airgap #Exfiltration #Malware
سالها پیش پستی در خصوص فعالیت های آزمایشگاه امنیت سایبری دانشگاه Ben Gurion کشور جعلی اسرائیل مطرح کردیم که مدل سازی حملات به شبکه های Air-Gap که از محدود ترین مدل های شبکه ای بوده و معمولا در مجموعه های صنعتی استفاده میشود، ارائه شده است.

حالا محققین این دانشگاه یک مقاله جدید با نام COVID-bit ارائه دادند که بواسطه تولید جریان الکترو مغناطیسی با فرکانس پایین بین 0 تا 60 کیلوهرتز توسط یک بدافزار از قبل نشسته در سیستم قربانی، منتشر شده تا مهاجم از فاصله دو متری و بیشتر امکان دریافت اطلاعات حساسی رو داشته باشه.

این دریافت عنوان شده که بواسطه یک آنتن کوچیک یک دلاری هم امکان پذیره که بواسطه یک جاسوس میتونه اتفاق بی افته و اطلاعات حساسی رو به یک گوشی هوشمند تا حداکثر سرعت 1000 بیت در ثانیه، منتقل کنه.

این تولید جریان الکترو مغناطیسی بواسطه دستکاری جریان اجرایی هسته های پردازنده اتفاق می افته، یعنی با کنترل نحوه عمل پردازنده ها مبتنی بر بار پردازشی وارده، امکان تولید فرکانس های ضعیفی خواهد بود که بصورت دو دویی و معنادار، اقدام به ارسال اطلاعات کنند.

@Unk9vvN
#Saitama #Malware #APT34
به گزارش Malwrebytes تیم APT34 ایرانی، اقدام به عملیات APT کرده بر روی یک مقام وزارت خارجه اردن، که بواسطه یک ایمیل و فایل XLS که Attach شده در ایمیل بوده اقدام به ایجاد دسترسی کرده است.

زمانی که قربانی فایل XLS رو باز کرده و گزینه Enable Content رو فعال نماید، یک Macro مخرب فعال شده و فایل مخربی با نام update.exe رو Drop خواهد کرد.

اما نکته جالب توجه این Macro، استفاده از تکنیکی به نام Saitama است که ظاهرا ابداع خود تیم APT34 بوده و تاکتیکی برای ایجاد DNS Tunneling و ارسال فرمان مبتنی بر DNS بوده که در قسمت FQDN و بر روی زیر دامنه انجام کد گذاری میکند.

oxn009lc7n5887k96c4zfckes6uif.rootdomain.com

زمانی که Backdoor فعال میشود، به FQDN یک درخواست DNS ارسال کرده و مقدار IP رو دریافت میکند، این IPv4 مبتنی بر Octet مفهومی رو برای C2 معنا میکند، برای مثال آدرس زیر

70.119.104.111 - 97.109.105.49

اعداد کد Octet است که به کاراکترهای ASCII ترجمه میشوند، برای مثال w=119 ، h=104 ، o=111 و i=105 است که نهایتا کلمه whoami رو از خط فرمان (C2) به Backdoor ارسال میکند.

@Unk9vvN