IPIment ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

malware

شرکت تاکیان - توسعه امن کیان - تاکیان

احراز هویت دو مرحله ای، دیگر قابل اعتماد نیست

به گزارش سایت هک رید؛ تاکنون به کرات در اخبار، به واکاوی و بررسی وضعیت امنیت احراز هویت 2 مرحله ‌ای پرداخته شده و در برخی مواقع، غیرقابل نفوذ بودن این احراز هویت‌ها در بعضی سرویس‌ها مطرح شده است. البته در همه‌ی موارد، با فرض این مسئله که کاربران از دستگاه تلفن همراه خود، به خوبی مراقبت می‌کنند، امنیت احراز هویت 2 مرحله‌ای تأیید شده است.

Takian.ir hacker demonstrates how to bypass two factor authentication

بیشتر برنامه های رایانه ای، برای افزایش امنیت خود، از تأیید 2 مرحله ای را پیشنهاد می کنند و باور دارند که امکان دور زدن آن وجود ندارد. اما هم اکنون هکرها به روشی دست یافتند که به آسانی از این شیوه حفاظتی از طریق حملات فیشینگ عبور می کنند.

در این زمینه، هکرها به کمک حملات فیشینگ و جانمایی بدافزار «KnowBe4» می توانند اطلاعات مربوط به تأیید 2 مرحله ای را سرقت کرده، فرآیند تشخیص هویت را دور بزنند.

شرکت «Mitnick» -که در زمینه هک و نفوذ فعالیت می نماید- طی یادداشتی اعلام کرد: بدافزار «KnowBe4»، بیش از 17 هزار سازمان و نهاد را تحت تأثیر قرار داده است. این بدافزار، به یاری حملات فیشینگ، وارد دستگاه های رایانه ای می شود.

روش پیشین -که برای دور زدن تشخیص هویت 2 مرحله ای ارائه شد- به این ترتیب بود که اطلاعات با بهره گیری از روش ‌های مهندسی اجتماعی و سایر یورش های سنتی، علیه گذرواژه ‌ها انجام می گرفت و داشتنی های زیر، مورد نیاز بودند:

•    شناسه و گذرواژه‌ی حساب کاربری قربانی
•    شماره‌ تلفن همراه قربانی که سرویس احراز هویت 2 مرحله‌ای روی آن تعریف شده است
•    سرویس جعل شماره‌ی همراه
•    شماره‌ی رایانامه صوتی به منظور دسترسی از راه دور

اما در روشی نوین، هکرها با فرستادن رایانامه های فیشینگ، بدافزار بالا را به سامانه کاربران وارد می کنند و مقدمات سرقت اطلاعات مربوط به تأیید هویت 2 مرحله ای را فراهم می نمایند.

بدافزار مایلوبات، سیستم شما را مانند یک سرباز پیاده نظام به استخدام در میاورد

به گزارش سایت ویروس ریمووا، بدافزاری جدید یافت شده که با سوء استفاده از سیستم های کامپیوتری آنها را به یک بات نت، برای گسترش بیشتر خود تبدیل می نماید.Takian.ir Mylobot Malware Featured

نام این بدافزار «MyloBot» بوده است و در بازه زمانی برگزاری انتخابات آمریکا گسترش یافته است.

از طرفی این بدافزار بیشتر از طریق فضای دارک وب منتشر شده، زیرا بیش از 50 هزار سایت تبهکاری، جاسوسی و... در دارک وب وجود دارد که جولانگاه مناسبی برای بدافزارها است.

به طور معمول بدافزار های مختلفی در سطح جهان وجود دارد، اما پیچیدگی در طراحی و عملکرد این بدافزار ها آنها را متفاوت می کند.

بات نت «botnet MyloBot» سیستم قربانیان را به بردگی گرفته و علاوه بر آلوده کردن خود سیستم از رایانه قربانی برای انتشار بیشتر خود، سوء استفاده می کند.

به طور کلی هدف قرار گرفت سامانه کامپیوتری عبارت اند از: در اختیار گرفتن میزبانی، سرقت اطلاعات، نصب باج افزار، نصب بدافزار، غیر فعال کردن آنتی ویروس و....

بات نت یاد شده علاوه بر توانایی های فوق، سیستم قربانی را به یک منتشر کننده بات نت تبدیل می کند. این امکان بسیار منحصر به فرد بوده و گسترش این بات نت را هموار می سازد.

این بات نت پس از ورود به سیستم کاربر «Windows Defender» را غیر فعال کرده، به روز رسانی ها را میبندد، درگاه های خاص فایروال ویندوز را غیر فعال کرده و سپس در پوشه ای به نام « %APPDATA%» بدافزار قرار می دهد.

سیستم رایانه ای قربانی همانند بات نت زامبی به دنبال آلوده کردن سیستم های دیگر است.

این بدافزار در دارک وب منتشر شده و به سرعت گسترش یافته است، زیرا برخی هکرها از این نوع بات نت ها برای تخریب طیف گسترده ای از سیستم ها استفاده می کنند. به طور مثال هکرها با آلوده کردن چند سیستم رایانه ای در یک نهاد یا سازمان و تبدیل آن به زامبی برای آلوده کردن سامانه های دیگر بهره می برند.

بدافزارهای مخرب جاسوسی که از پورت سفارشی سازی شده استفاده میکنند

بدافزارهای مخرب جاسوسی
محققان امنیتی، یک کمپین جاسوسی سایبری بسیار هدفمند کشف کرده اند که گفته می شود با یک گروه هک شده در پس تروجان KHRAT همراه است و سازمان ها را در جنوب شرق آسیا هدف قرار داده است.به گفته محققان از Palo Alto، این گروه هک که RANCOR نامیده می شوند، با استفاده از دو خانواده جدید بدافزار PLAINTEE و DDKONG پیدا شده است که هدف اصلی آنها در سنگاپور و کامبوج قرار دارد.با این حال، در سال های گذشته، تهدید کنندگان تروجان KHRAT با یک گروه جاسوسی سایبری چینی، شناخته شده به عنوان DragonOK لینک شده اند.Takian.ir cyber espionage malware
محققان در حالی که مشغول نظارت بر زیرساخت های C&C مرتبط با تروجان KHRATبودند، انواع مختلفی از این دو خانواده بدافزار را شناسایی کردند، به نظر می رسد PLAINTEE آخرین سلاح در زرادخانه این گروه است که از یک پروتکل UDP سفارشی برای ارتباط با سرور کنترل و کنترل از راه دور استفاده می کند.برای تحویل هر دو PLAINTEE و DDKONG، مهاجمان از پیام های فیشینگ صریح با بردارهای آلوده مختلف استفاده می کنند، از جمله ماکروهای مخرب در فایل Microsoft Office Excel، HTA Loader و DLL Loader، که شامل فایل های فریبنده است.
محققان توضیح می دهند: "این دزدی ها حاوی جزئیاتی از مقالات خبری عمومی است که عمدتا در مورد اخبار و رویدادهای سیاسی متمرکز شده است و علاوه بر این، این اسناد دزدی در وب سایت های قانونی شامل وب سایت دولتی متعلق به دولت کامبوج و حداقل یک بار در مورد فیس بوک میزبانی می شوند. "علاوه بر این، PLAINTEE افزونه های اضافی را با استفاده از یک پروتکل UDP سفارشی که داده ها را در فرم رمزگذاری می کند، از سرور C&C خود بارگیری و نصب می کند.محققان می گویند: "این خانواده از بدافزارها از ارتباطات شبکه سفارشی برای بارگیری و اجرای پلاگین های مختلفی که توسط مهاجمان میزبانی شده اند، استفاده می کنند." "قابل توجه است که برنامه خرابکاری PLAINTEE" از یک پروتکل UDP سفارشی استفاده می کند و در هنگام تشخیص هویت های ناشناخته برای بدافزار ناشناخته ارزش دارد. "Takian.ir cyber espionage malware2
از سوی دیگر، DDKONG از فوریه 2017 توسط گروه هک استفاده شده است و هیچ پروتکل ارتباطی سفارشی مانند PLAINTEE ندارد.طبق تحقیقات، میزان بار نهایی هر دو خانواده مخرب نشان می دهد که هدف از هر دو بدافزار، به جای سرقت پول از اهداف خود، جاسوسی سایبری سیاسی از آنهاست. از آنجایی که RANCOR به طور عمده کاربرانی غیر تکنولوژیک را هدف قرار می دهد، همیشه توصیه می شود که هر سند ناخواسته ارسال شده از طریق ایمیل را اجرا نکرده و هرگز بر روی لینک های درون آن اسناد کلیک نکنید، مگر اینکه منبع دقیق را تأیید کنید.علاوه بر این، مهمتر از همه، استفاده از نرم افزار ضد ویروس مبتنی بر رفتار است که می تواند چنین نرم افزارهای مخرب را قبل از اینکه دستگاه شما را آلوده کند شناسایی و بلوک کند و همیشه آن را حفظ کرده و برنامه های دیگر را به روز نگه می دارد.

شبکه تحویل محتوای گوگل (CDN) میزبان تصاویر آلوده به بدافزارها شد

به گزارش سایت هکرید، این بدافزار سایت های مورداعتماد گوگل را هدف قرار داده است.
فیلدهای متادیتای عکس های آپلود شده در CDN گوگل، از طریق هکرها مورد سواستفاده قرار گرفته است تا با استفاده از کدهای مخرب، امنیت وب سایت ها را به خطر بیاندازند. این روش از سوءاستفاده،در واقع نوعی آسیب پذیری است زیرا کاربران هرگز تصاویر را به‌منظور کشف نرم افزارهای مخرب اسکن نمیکنند.Takian.ir googleusercontent cdn hosting images infected with malware 1
این بدافزار تزریق شده از فرمت EXIF (فایل عکس قابل تغییر) برای مخفی کردن کد استفاده می کند و تصاویر خطرناک در سایت های رسمی گوگل از جمله شبکه اجتماعی Google+، سایت های GoogleUserContent و وبلاگنویسان مانند Blogger.com در دسترس هستند.
حمله مشابهی قبلا در GitHub و Pastebin دیده شده بود، جایی که مجرمان سایبری قادر به پنهان کردن نرم افزارهای مخرب در تصاویر آپلود شده بودند.این موضوع توسط شرکت امنیتی سایبری Sucuri کشف شد و یافته ها در روز پنج شنبه منتشر شد. 
یکی از محققان امنیتی به نام Dennis Sinegubko در Sucuri طرح توزیع بدافزار را شناسایی کرد که از GoogleUserContent CDN برای میزبانی یکی از تصاویر آلوده استفاده کرد. بنابراین هنگامی که چنین تصویری دانلود می شود، بدافزار بلافاصله سایت را آلوده می کند. مهاجم فقط باید منتظر دریافت یک گزارش از سمت تصویر آلوده باشد و سپس اقدام به راه اندازی حمله برعلیه این سایت ها میکند.
Sinegubko در گزارش خود که در روز چهارشنبه منتشر شد، اظهار داشت که تمرکز شناسایی این کمپین بر سرقت توکن های امنیتی PayPal با هدف جلوگیری از فرآیند تأیید پی پال است.
هکرها با لود کردن تصویری که توسط گوگل میزبانی شده بود و با استفاده از تکنیک استگانوگرافی (steganography) میزبانی میگردید، توانستند بدافزار را در سرور نصب کنند. آنچه در steganography اتفاق می افتد این است که هکرها فایل را استخراج کرده و کد مخرب را در فیلد متادیتای کاربر EXIF ​​پنهان می کنند. کد مورد استفاده در این کمپین یک رشته کدگذاری Base64 است.
هنگامی که این رشته بیش از یک بار رمزگشایی می شود، آن را به یک اسکریپت تبدیل می کند که می تواند یک Shell از پیش تعریف شده بر روی سرور هدف را با دیگر فایل ها آپلود کند. این Shell در حال حاضر قادر به خرابکاری سرور است و مهاجم می تواند آدرس های سایت هایی را که با موفقیت مورد سوء استفاده قرار گرفته اند دریافت کنند.Takian.ir googleusercontent cdn hosting images infected with malware 2
Sinegubko ادعا می کند که پنهان کردن نرم افزارهای مخرب به فایل های EXIF ​​برای او خیلی هم نگران کننده نیست؛ نگران کننده ترین چیز این بود که هکرها از GoogleUserContent CDN برای تحقق اهداف نابکار خود استفاده می کردند. این کاملا یک ایده جدید است که مطمئنا شبهای پرسر و صدا را به محققان امنیتی تحمیل می کند.
دلیل اصلی برای نگرانی این است که هیچ راه استانداردی برای اطلاع گوگل در مورد تصویر آلوده شده وجود ندارد، زیرا این شرکت یک فرآیند گزارش دهی برای نقض حق نسخه برداری و نه مسائل مرتبط با امنیت را اجرا کرده است. Sinegubko می نویسد:

"گوگل ابزارهای بسیاری برای حذف محتوا دارد، اما مشخص نیست که چگونه بدافزار موجود در تصاویر را میخواهد گزارش دهد. اکثر ابزارهای آنها نیاز به ارائه پیوندهایی به پستهای اصلی، صفحات یا نظرات حاوی محتوای نقض‌کننده دارند. تصویر در اینجا جزء برخی از محتوای عمومی شناخته شده نیست. "

محققان نمی توانند منبع آپلود بدافزار را شناسایی کنند. محققان در Sucuri اذعان کرده اند که:

"دشوار است بگوییم که منبع اصلی تصاویر کجاست، زیرا URL های آنها ناشناس هستند و فرمت مشابعی دارند."

هکرها بیش از دویست هزار روتر میکروتیک را آلوده به بدافزارهای ماینینگ کردند

محققان امنیتی حداقل سه کمپین عظیم مخرب برای گسترش بدافزارها را کشف کرده اند که از صدها هزار روتر MikroTik سوء استفاده می کنند تا بصورت مخفیانه بدافزارهای ماینر ارزهای دیجیتال (cryptocurrency miners) را بدون اجازه در رایانه های متصل به آنها نصب کنند.Takian.ir Mining Monero in Mikrotik
در مجموع، کمپین های بدافزاری بیش از 210،000 روتر از شرکت ارائه دهنده سخت افزار شبکه لتونی (Latvian network hardware provider Mikrotik) در سراسر جهان را به خطر انداخته اند، که هنوز هم در حال افزایش هستند.
هکرها از یک آسیب پذیری شناخته شده در Winbox روتر MikroTik بهره می گیرند که در اردیبهشت ماه سال جاری(1397) کشف شد و طی یک روز از کشف آن پچ شده است که بار دیگر نشان میدهد که پچ نکردن بروزرسانی ها چقدر میتواند دردسرساز باشد.
این نقص امنیتی به طور بالقوه می تواند به مهاجم این اجازه را بدهد که از راه دور به هر روتر میکروتیک آسیب پذیری دسترسی داشته باشد.
اولین کمپین برای اولین بار توسط توسط محققان Trustwave کشف شد که با هدف قرار دادن تجهیزات شبکه در برزیل آغاز شده بود، جایی که یک هکر یا گروهی از هکرها بیش از 183،700 روتر MikroTik را به خطر انداختند.
از آنجا که هنوز هم بسیاری از روترهای میکروتیک موجود در دنیا، پچ های مرود نظر را نصب نکرده اند و هکرها هرروز اطلاعات بیشتری در مورد این باگ کشف میکنند، احتمال میرود که این حملات در مقیاس گسترده تری در جهان گسترش یابند.
تروی مورچ (Troy Mursch)، یکی از محققان امنیتی، دو کمپین مشابه بدافزار را شناسایی کرده است که 25،500 و 16،000 روتر MikroTik را در مولدووا آلوده کرده است، که این بدافزارها عمدتاً به منظور ماینینگ ارزهای دیجیتال بوده و از سرویس CoinHive بهره برده اند. روش کار به این صورت است که مهاجمان کد جاوا اسکریپت Coinhive را به صفحات وبی تزریق میکنند که از مسیر یک روتر آسیب پذیر مشاهده شود تا در نهایت هر کامپیوتر متصل را به صورت ناشناس به یک ماینر ارز دیجیتالی مونرو (Monero) تبدیل کند.
سایمون کنین (Simon Kenin) محقق شرکت Trustwave می گوید: "مهاجم یک صفحه خطای سفارشی با اسکریپت CoinHive را ایجاد کرده است" و "اگر کاربر هنگام مرور صفحات وب، یک صفحه خطا (از هر نوع) را دریافت کند، این صفحه خطای سفارشی برای کاربر ارسال میگردد و شروع به ماینینگ میکند."  آنچه در مورد این کمپین ها قابل توجه است، این است که مهاجمان بجای اینکه با استفاده از روش های پیچیده استفاده کنند، توانسته اند به همین راحتی کلاینت های بسیار زیادی را آلوده کرده و به هدفشان برسند.
سایمون کنین همچنین گفت: "صدها هزار دستگاه از این دستگاه ها (MikroTik) در سرتاسر جهان وجود دارد، در ISP ها و سازمان ها و کسب و کارهای مختلف، هر دستگاه حداقل ده ها و نه صدها کاربر روزانه را خدمت می کند. این یک زنگ اخطار خوب برای کاربران و مدیران فناوری اطلاعات است که در حال حاضر روترهای MikroTik آسیب پذیر را در محیط خود به کار می گیرند تا در اسرع وقت دستگاه های خود را بروزرسانی و پچ کنند".
این اولین بار نیست که روترهای MikroTik برای گسترش نرم افزارهای مخرب هدف قرار گرفته اند. در اسفند ما سال 1396 نیز، یک گروه هک پیشرفته APT از آسیب پذیری های ناشناخته در روترهای MikroTik به منظور مخفی ساختن نرم افزارهای جاسوسی به رایانه های قربانیان بهره برداری کرد.
حرف آخر:با توجه به بالا رفتن قیمت ارز و قیمت پایین تجهیزات میکروتیک ، استفاده از این فایروال روتر بسیار فراگیر شده است، برای جلوگیری از بروز حملات رایج مطرح شده در این چند ماه و درگیر شدن با کمپین های بدافزاری، حتما فایروال روتر میکروتیک خود را بروزرسانی کرده و دسترسی های آن را محدود نمایید و در سناریوهای تخصصی تر حتما از فایروال های حرفه ای استفاده نمایید.

هکرهای کره شمالی با برنامه های گوگل پلی از شما جاسوسی میکنند

به گزارش سایت Komando، دنیای دیجیتال ترسناک است. مجرمان سایبری در اطراف هر گوشه‌ای پنهان می‌شوند و به دنبال ما می آیند و باعث ویرانی می‌گردند.Takian.ir GooglePlay North Korea
واقعیت این است که گروه‌های هک متشکل از تکنسین‌های پیچیده هستند که در انجام کارهای بی‌رحمانه ،خوب هستند. در زمانی که دولت‌ها دست به کار می‌زنند ، اوضاع وخیم است. این دقیقاً همان چیزی است که در حال حاضر اتفاق می افتد. کره شمالی با کمک برنامه‌های مخرب موجود در فروشگاه Google Play جاسوسی می کند.

این واقعاً ترسناک است

دولت کره‌شمالی اخیرا از فروشگاه گوگل‌پلی استفاده کرده‌ است. این سازمان از برنامه‌های مخرب برای کشف و حمله فراریان این کشور استفاده می‌کند.

محققان مک آفی این کمپین حمله را به عنوان "RedDawn" کشف و ضبط کردند. آن‌ها نه تنها فراریان بلکه افرادی که به آن‌ها کمک می‌کنند و همچنین روزنامه نگارانی که با آن‌ها مرتبط هستند را هدف قرار می‌دهند.

گروه پشت این حمله به عنوان " تیم خورشید " شناخته می‌شود و یک گروه تحت حمایت دولتی است که پشت حملات مشابه گذشته قرار دارد.

محققان سه برنامه مخرب را در فروشگاه Google Play با این تهدید به ارمغان آورده اند. این برنامه ها عبارتند از:
Food Ingredients Info ,  Fast AppLock  ,  and AppLockFree
Takian.ir GooglePlay North Korea malware app

خبر خوب این است که گوگل پس از اطلاع  McAfee  در مورد شان ، این برنامه‌ها  را از Play Store  حذف کرده است. خبر بد، این مورد می تواند دوباره اتفاق بیفتد و کراکرهای  کره شمالی را مورد هدف قرار می دهد. هر زمان که برنامه‌های بتا یا برنامه های فروشندگان را در معرض خطر قرار می دهید، برنامه شما را نصب می کند. خواندن را ادامه دهید تا یاد بگیرید چطور محافظت کنید.

چگونه از برنامه‌های مخرب حفاظت کنیم

در نبرد بی پایان با مهاجمان، گوگل از کاربران آندروید درخواست می کند تا این مراحل را دنبال کنند:

1 - محافظت از Google Play 

یکی از راه‌های محافظت در برابر این است که از Google Play Protect استفاده کنید. این برنامه برای کار در پس زمینه طراحی شده است، کاربران را از برنامه های مخرب در زمان واقعی محافظت می کند.

2 - از برنامه‌های third-party اجتناب کنید

فقط برنامه ها را از فروشگاه Google Play دانلود کنید. با وجود اینکه برخی از برنامه های مخرب آن را به Play Store تبدیل می کنند، این روند فرایند غربالگری بیشتری دارد. این باعث کاهش شانس برنامه‌های مخرب میشود. فروشگاه‌های نرم افزاری third-party این پروسه های غربالگری را ندارند.

3 - منابع ناشناخته را غیرفعال کنید

با توجه به اندروید، برخی از کاربران در دانلود‌ها یا نصب‌ها  از  برنامه‌های ناشناخته  یا برنامه‌های کاربردی نامعتبری که از منابع غیر از گوگل است ،  استفاده می‌کند. قالب‌های آندروید تا زمانی نصب می‌شوند که کاربر اجازه نصب برنامه‌های کاربردی از منابع دیگر را ندارد.

4 - اطمینان حاصل کنید که سیستم عملیاتی شما تا به امروز ارتقاء یافته است

دقت کنید که ابزار الکترونیکی تان با تازه‌ترین به روزرسانی های امنیتی اندروید به روز شده باشد. این اطلاعات به روز رسانی های امنیتی را در سیستم عملیاتی معمولی به دست خواهید آورد. این یک روش عالی برای وصله کردن آسیب‌پذیری است.

5 - سازنده برنامه را بررسی کنید

تأیید نام سازنده  برنامه مهم است. برنامه های Copycat یک نام سازنده متفاوت از یک برنامه واقعی دارند. قبل از دانلود یک برنامه، یک جستجو در گوگل برای پیدا کردن سازنده اصلی انجام دهید.

6 - به بررسی‌های صورت گرفته توسط دیگران  توجه کنید

اکثر برنامه‌های محبوب توسط کاربران دیگر در فروشگاه app مورد بررسی قرار خواهند گرفت. گاهی اوقات می‌توانید نظرات متخصصان را به صورت آنلاین پیدا کنید. این ها در اشاره به برنامه‌های مخرب یا معیوب مفید هستند. اگر یک اخطار بازبینی پیدا کردید، این برنامه مخرب است، آن را دانلود نکنید.

چگونگی تحلیل بدافزار و معرفی ابزار‌ها و منابع امنیتی

جای امیدواری است که صنعت امنیت سایبری روش‌های مختلفی را برای تجزیه‌وتحلیل بدافزارها توسعه داده است و البته هرکدام مجموعه نقاط قوت و ضعف خود را دارند. این به این معنی است که درحالیکه استفاده از فقط یک روش تجزیه‌وتحلیل بدافزار می‌تواند یک شبکه را در معرض خطر قرار دهد، اجرای روش‌های تجزیه‌وتحلیل‌ متعدد با ترتیب درست، می‌تواند با احتمال بالاتری از نفوذ بدافزارها به شبکه جلوگیری کند.takian.ir malware analysis tools

یک گروه امنیتی میتواند با اجرای متوالی روش های مختلف تحلیل بدافزار، تقریباً اکثر تهدیدات را بصورت خودکار تشخیص دهد در صورتی که بدون استفاده از مدل های اجرایی موفق و کسب اطلاعات کافی در مورد تهدید، ممکن است تنها به یک بازی حدش و گمان بسنده کنند که در نهایت نیز محکوم به شکست است.در محیط های تحلیل بدافزار ما با 3 نوع تحلیل مواجه هستیم:

1 - تحلیل ایستا (Static Analysis): تجزیه‌وتحلیل ایستا، خط اول دفاع است که شامل شکستن یک پرونده‌ی ناشناخته به مولفه‌هایی برای بررسی آن و بدون خراب شدن پرونده است و یک‌راه فوق‌العاده سریع و دقیق برای تشخیص بدافزارهای شناخته‌شده و انواع دیگر است که بخش عمده‌ای از حملاتی که معمولاً در سازمان‌ها دیده‌شده را تشکیل می‌دهد.

2 - تحلیل با استفاده از یادگیری ماشین (Machine Learning Analysis):  یادگیری ماشین شامل ایجاد و خودکارسازی یک سامانه برای طبقه‌بندی رفتارهای مخرب به گروه‌های متفاوت است. این گروه‌ها می‌توانند برای شناسایی محتوای مخرب در آینده بدون نیاز به ساخت الگوی دستی مورداستفاده قرار گیرند و هرچه نمونه بدافزارهای بیشتری مورد بررسی قرار گیرد و فهرست شود، توانایی سامانه برای تشخیص حملات در طول زمان رشد می‌کند

3 - تحلیل های پویا (Dynamic Analysis): آنچه عموماً به‌عنوان تحلیل پویا شناخته می‌شود معمولاً شامل ارسال یک نمونه مشکوک به یک محیط مبتنی بر ماشین مجازی و سپس فعال کردن آن در یک محیط کاملاً کنترل‌شده (بانام مستعار Sand box یا جعبه شنی) است که رفتار آن مشاهده می‌شود و از آن اطلاعاتی استخراج می‌شود.
ازآنجا که تجزیه‌وتحلیل ایستا و یادگیری ماشین هر دو نیاز به درجه‌ای از آشنایی قبلی با بدافزار دارند، برای آن‌ها شناسایی فعالیت‌های مخرب کاملاً جدید دشوار است. چالش تجزیه‌وتحلیل پویا مقیاس‌پذیری آن است که نیاز به محاسبات عظیم، ذخیره‌سازی و خودکارسازی دارد. گفته می‌شود اگر هر دو تجزیه‌وتحلیل ایستا و یادگیری ماشین انجام‌شده باشد آن‌ها به‌ احتمال ‌زیاد  بخش عمده‌ای از بدافزارها را شناسایی کرده‌اند.
برای اینکه بتوانید اقدامات اصلی را برای تحلیل بدافزار انجام دهید نیاز به ابزارهایی دارید که در اینجا به معرفی برخی از مهم‌ترین ابزار‌ها، کتاب‌ها و منابعی پرداخته خواهد شد که در تجزیه و تحلیل بدافزار و مهندسی معکوس مورد استفاده قرار می‌گیرد.

 

استفاده از ویراستار‌های Hex

یک ویراستار‌ Hex (یا ویراستار فایل باینری یا Byteeditor) نوعی برنامه‌ی کامپیوتری است که به کاربر توانایی دستکاری داده‌های باینری اساسی را می‌دهد و یک فایل کامپیوتری را تشکیل می‌دهند. نام «Hex» از واژه‌ی «Hexadecimal» می‌آید، فرمت استاندارد عددی برای نمایش داده‌های باینری است. در زیر چند برنامه ویراستار به همراه لینک توضیحات آن ارائه شده است.

 

معرفی Disassemblerها

Disassembler یک برنامه‌ی کامپیوتری است که زبان ماشین را به زبان اسمبلی ترجمه می‌کند (عملیات معکوس نسبت به Assembler). لازم به ذکر است که Disassembler با Decompiler متفاوت است زیرا هدف Decompiler زبانی در سطح بالا است و نه یک زبان اسمبلی. فرمت Disassembly که خروجی Disassembler است، معمولا برای خواندن توسط انسان‌ها تعیین می‌شود، نه برای ورودی یک Assembler و این امر باعث می‌شود که این ابزار اساسا مبتنی بر مهندسی معکوس باشد.

 

ابزارهای شناسایی و طبقه‌بندی

  • Assemblyline: چهارچوبی مقیاس‌پذیر برای تجزیه‌و‌تحلیل فایل توزیعی است.
  • BinaryAlert: یک AWS Pipeline متن باز و بدون سرور که براساس مجموعه‌ای از قوانین YARA فایل‌های آپلودشده را اسکن کرده و درموردشان هشدار می‌دهد.
  • chkrootkit: ابزاری برای شناسایی Rootkit مربوط به Local Linux است.
  • ClamAV: نوعی موتور آنتی‌ویروس متن باز است0
  • Detect:It:Easy : برنامه‌ای برای تعیین نوع فایل‌ها است.
  • ExifTool: فراداده‌ی (Metadata) مربوط به خواندن، نوشتن و ویرایش فایل است.
  • File Scanning Framework: راهکاری ماژولار و بازگشتی(Recursive) برای اسکن کردن فایل‌هاست.
  • hashdeep: ابزاری برای محاسبه‌ی Hash Digestها با الگوریتم‌های مختلف به شمار می رود.
  • Loki: نوعی اسکنر مبتنی بر Host برای IOCها است.
  • Malfunction: فهرست اطلاعات یا کاتالوگ است و به مقایسه‌ی بدافزار در سطح عملکرد می‌پردازد.
  • MASTIFF: چهارچوب تجزیه‌و‌تحلیل استاتیک است.
  • MultiScanner: چهارچوبی ماژولار است که برای اسکن و یا تجزیه‌و‌تحلیل فایل استفاده می شود.
  • nsrllookup: ابزاری برای جستجوی Hashها در دیتابیس National Software Reference Library متعلق به NIST است.
  • packerid: یک پلتفرم مبتنی بر پایتون است که جایگزینی برای PEiD محسوب می‌گردد.
  • PEV: یک Multiplatform Toolkit برای کار کردن با فایل‌های PE، که ابزار‌هایی با ویژگی‌های متنوع را برای تجزیه‌و‌تحلیل باینری‌های مشکوک فراهم می‌نماید.
  • Rootkit Hunter: ابزاری است که Rootkitهای Linux را شناسایی می‌نماید.
  • ssdeep: ابزاری که Hashهای مبهم (Fuzzy) را محاسبه می‌کند.
  • TrID: شناسه‌ی (Identifier) فایل.
  • YARA: ابزاری برای تطابق الگو (Pattern Matching) برای تحلیل‌گران است.
  • Yara rules generator : ابزاری که بر اساس مجموعه‌ای از نمونه‌های بدافزار، قواعد Yara را ایجاد می‌کند. همچنین حاوی یک DB مناسب است که منجر به اجتناب از خطا در اعلام هشدار می‌گردد.

 

ابزارهای دقیق  Dynamic Binary

در زیر به معرفی ابزارهای باینری داینامیک دقیق یا در اصطلاح Dynamic Binary Instrumentation می‌پردازیم.

 

ابزارهای رمزگشایی Mac

ابزار Mac Decrypting به شرح زیر می باشند:

 

معرفی ابزارهای شبیه سازی (Emulator)

 

معرفی ابزارهای آنالیز مستندات

 

تجزیه‌و‌تحلیل داینامیک

این مبحث، توضیحاتِ مقدماتی در زمینه‌ی تجزیه‌و‌تحلیل بدافزادها به صورت پویا می‌باشد و برای کسانی کاربرد دارد که در زمینه‌ی آنالیز بدافزار (Malware) شروع به کار کرده‌اند و یا می‌خواهند از مشکلاتی که بدافزار‌ها به جا می گذارند با ابزارهای مختلف مطلع شوند.

 

معرفی ابزارهای XOR معکوس و دیگر روش‌های سوء استفاده از کد

  • Balbuzard : یک ابزار برای تجزیه‌و‌تحلیل بدافزار برای Obfuscation معکوس (XOR، ROLو …) و موارد دیگر.
  • de4dot : برای NET deobfuscator.  و  unpacker
  • ex_pe_xor و iheartxor : دو ابزار از سوی Alexander Hanel برای کار کردن با فایل‌های رمزنگاری شده‌ی Single:Byte XOR.
  • FLOSS :یا همان FireEye Labs Obfuscated String Solver از تکنیک‌های تجزیه‌و‌تحلیل استاتیک پیشرفته استفاده می‌کند تا به طور خودکار Stringها را از باینری‌های بدافزار جهت سوء استفاده خارج نماید.
  • NoMoreXOR : حدس یک کلیدXOR 256 بایتی با استفاده از تجزیه‌و‌تحلیل فرکانس.
  • PackerAttacker : یک استخراج‌کننده‌ی (Extractor) کد مخفی عمومی برای بدافزارهای ویندوز.
  • Unpacker : بدافزار خودکارسازی شده برای بدافزارهای ویندوز مبتنی بر WinAppDbg.
  • unxor : ابزاری برای حدس کلید‌های XOR با استفاده از حملات Known:Plaintext.
  • VirtualDeobfuscator : ابزار مهندسی معکوس برای ساختارهای مجازی‌سازی.
  • XORBruteForcer : یک اسکریپت پایتون جهت انجام حمله Brute Force روی کلید‌های Single:Byte XOR.
  • XORSearch و XORStrings : دو برنامه از Didier Stevens برای یافتن داده‌های XORed.
  • xortool : حدس طول کلید XOR و همچنین خود کلید.

 

معرفی ابزارهای Debugging

در این لیست می‌توان ابزاری برای Disassemblerها و Debuggerها و همچنین دیگر ابزار تجزیه‌و‌تحلیل استاتیک و داینامیک را مشاهده کرد.

ابزار Debugging بصورت پلتفرم

ابزار Debugging متعلق به ویندوز

تنها ابزار Debugging متعلق به لینوکس

 

مهندسی معکوس

  • angr : چهارچوبی جهت آنالیز باینری پلتفرم Agnostic که در Seclab متعلق به UCSB توسعه داده شده است.
  • bamfdetect: اطلاعات را شناسایی کرده و آن‌ها را از Botها و دیگر بدافزارها خارج می‌نماید.
  • BAP : چهارچوبی برای تجزیه‌و‌تحلیل باینری چند پلتفرمی و متن باز در Cylab متعلق به CMU.
  • BARF : چهارچوبی برای آنالیز باینری و مهندسی معکوس متن باز و Multiplatform.
  • Binnavi : تجزیه‌و‌تحلیل باینری برای مهندسی معکوس مبتنی بر Graph Visualization.
  • Binary ninja : یک پلتفرم مهندسی معکوس که جایگزین IDA است.
  • Binwalk : ابزار تجزیه‌و‌تحلیل Firmware.
  • Bokken : یک GUI برای Pyew و Radare. (Mirror)
  • Capstone : چهارچوب Disassembly برای تجزیه‌و‌تحلیل باینری و Reversing، با قابلیت پشتیبانی از بسیاری از معماری‌ها.
  • codebro : مرورگر کد مبتنی بر وب که برای فراهم کردن تجزیه‌و‌تحلیل ابتدایی کد از Clang استفاده می‌کند.
  • Dynamic Executable Code Analysis Framework یا به اختصار DECAF : یک پلتفرم تجزیه‌و‌تحلیل باینری مبتنی بر QEMU است و DroidScope اکنون افزونه‌ای برای DECAF است.
  • dnSpy: ویراستار Net Assembly.، Decompiler و Debugger.
  • Evan’s Debugger) EDB): یک Debugger ماژولار با یک Qt GUI.
  • Fibratus: ابزاری برای کاوش و ردیابی هسته‏ی ویندوز.
  • FPort: در یک سیستم روی پورت‌های TCP/IP و UDP گزارش‌گیری می‌کند و آن‌ها را به برنامه‌ی کاربردی مربوطه Map می‌نماید.
  • GDB: یک Debugger مربوط به GNU.
  • GEF: قابلیت‌های پیشرفته‌ی GDB برای Exploiterها و مهندسان معکوس.
  • hackers:grep: کاربردی برای جستجوی Stringها در فایل‌های قابل اجرای PE شامل Importها، Exportها و نشانه‌های Debug.
  • Hopper: یک Disassembler متعلق به macOS و لینوکس.
  • IDA Pro: یک Disassembler و Debugger ویندوز، به همراه یک نسخه‌ی رایگان.
  • Immunity Debugger :یک Debugger برای تجزیه‌و‌تحلیل بدافزارها و موارد دیگر، به همراه یک Python API.
  • ILSpy این ابزار در واقع یک مرورگر و Decompiler مربوط به Net Assembly. متن باز می‌باشد.
  • Kaitai Struct: درواقع یک DSL برای فرمت‌های فایل، پروتکل‌های شبکه، ساختارهای داده، مهندسی معکوس و Dissection، همراه با ایجاد کد برای ++C، #C، Java، JavaScript، Perl، PHP، Python و Ruby است.
  • LIEF : یک Library بین پلتفرمی را برای مجزا نمودن، اصلاح کردن و جداسازی فرمت‌های ELF، PE و MachO فراهم می‌نماید.
  • ltrace: ابزاری برای تجزیه‌و‌تحلیل دینامیک برای فایل‌های قابل اجرای لینوکس می‌باشد.
  • objdump: بخشی از Binutilهای GNU برای تجزیه‌و‌تحلیل استاتیک باینری‌های لینوکس.
  • OllyDbg: یک Debugger در سطح Assembly برای فایل‌های قابل اجرای ویندوز است.
  • PANDA: پلتفرمی برای معماری: تجزیه‌و‌تحلیل دینامیک بصورت بی طرف.
  • PEDA یا Python Exploit Development Assistance برای GDB، نمایشگری پیشرفته با دستورات اضافی.
  • pestudio: اجرای تجزیه‌و‌تحلیل استاتیک برای فایل‌های قابل اجرای ویندوز.
  • Pharos: می‌توان از چهارچوب Pharos برای تجزیه‌و‌تحلیل باینری برای اجرای تجزیه‌و‌تحلیل استاتیک خودکارسازی‌شده‌ی باینری‌ها استفاده کرد.
  • Plasma : یک Disassembler تعاملی برای x86، ARM، MIPS.
  • (PPEE (Puppy : یک مرورگر فایل PE حرفه‌ای برای Reverserها، پژوهشگران برافزار و کسانی که می‌خواهند فایل‌های PE را به طور استاتیک و به صورت جزئی‌تر بررسی نمایند.
  • Process Explorer : یک Task Manager پیشرفته برای ویندوز.
  • Process Hacker : ابزاری که منابع سیستم را مانیتور می‌کند.
  • Process Monitor : یک ابزار مانیتورینگ پیشرفته برای برنامه‌های ویندوز.
  • PSTools : ابزار خط دستور ویندوز که به مدیریت و بررسی سیستم‌های زنده کمک می‌کند.
  • Pyew : ابزار پایتون برای تجزیه‌و‌تحلیل بدافزار.
  • PyREBox :درواقع Sandbox مهندسی معکوس Scriptable متعلق به Python تولید شده توسط تیم Talos در Cisco.
  • Radare2 : چهارچوب مهندسی معکوس با پشتیبانی از Debugger.
  • RegShot : ابزار مقایسه‌ی Registry که Snapshotها را مقایسه می‌کند.
  • RetDec: یک Machine:Code Decompiler با قابلیت هدف‌گذاری مجدد (Retargetable) با یک سرویس Decompilation آنلاین و API که کاربر می‌تواند در ابزارهای خود از آن استفاده کند.
  • ROPMEMU : چهارچوبی برای تجزیه‌و‌تحلیل، Dissect و Decompile کردن حملات Code:Reuse پیچیده.
  • SMRT : یا همان Sublime Malware Research Tool، افزونه‌ای است برای Sublime 3 با هدف کمک به تجزیه‌و‌تحلیل بدافزار.
  • strace : تجزیه‌و‌تحلیل دینامیک برای فایل‌های قابل اجرای لینوکس.
  • Triton: یک چهارچوب تجزیه‌و‌تحلیل باینری دینامیک.
  • Udis86: یک Library و ابزار Disassembler برای x86 و x64.
  • Vivisect: ابزار Python برای تجزیه‌و‌تحلیل بدافزار.
  • WinDbg:یک Debugger چندکاربردی برای سیستم عامل ویندوز، از آن برای Debug کردن برنامه‌های کاربردی User Mode، درایورهای دستگاه و Memory Dumpهای Kernel:Mode استفاده می‌شود.
  • X64dbg : یک Debugger x64/x32 متن باز برای ویندوز است.

 

فرمت باینری و تجزیه‌و‌تحلیل باینری

Compound File Binary Format اصلی‌ترین Container مورد استفاده توسط فرمت‌های فایل مختلف مایکروسافت مانند مستندات Microsoft Office و بسته‌های Microsoft Installer می‌باشد.

منابع تجزیه‌و‌تحلیل باینری

معرفی Decompiler

Decompiler برنامه‌ای کامپیوتری است که یک فایل قابل اجرا را به عنوان ورودی می‌گیرد و سعی می‌کند یک سورس فایل سطح بالا بسازد که بتوان آن را به طور موفقیت آمیزی Recompile نمود. در نتیجه نقطه‌ی مقابل Compiler محسوب می‌شود زیرا Compiler یک فایل منبع را می‌گیرد و آن را به فایل قابل اجرا تبدیل می‌نماید.

معرفی  Decompiler پرکاربرد

معرفی Decompilerهای جاوا

معرفی Decompilerهای NET.

معرفی Decompilerهای زبان دلفی

معرفیDecompilerهای زبان پایتون

 

معرفی ابزار تجزیه‌و‌تحلیل Bytecode

 

معرفی ابزارهای Import Reconstruction

 

Sandboxها و اسکنرهای آنلاین

از ابزارهایی که در ادامه معرفی می‌شوند به عنوان اسکنرهای Multi:AV مبتنی بر وب و Sandboxهای بدافزار برای تجزیه‌و‌تحلیل خودکارسازی‌شده استفاده می‌گردد.

  • io : یک Sandbox آنلاین است.
  • AndroTotal : آنالیز آنلاین رایگان برای APKها در مقابل چندین برنامه‌ی آنتی‌ویروس موبایل.
  • AVCaesar: اسکنر آنلاین lu و مخزن (Repository) بدافزار.
  • Cryptam: تحلیل اسناد مشکوک Office.
  • Cuckoo Sandbox: یک Sandbox متن باز و Self Hosted و سیستم تجزیه‌و‌تحلیل خودکارسازی‌شده.
  • cuckoo:modified: نسخه‌ی اصلاح‌شده‌ی Cuckoo Sandbox که تحت GPL منتشر شده است. به دلایل قانونی و صلاح‌دید مولف Merged Upstream نیست.
  • cuckoo:modified:api: یک Python API که برای کنترل یک Sandbox که Cuckoo:Modified است مورد استفاده قرار می‌گیرد.
  • DeepViz : تحلیلگر فایل چند فرمتی با طبقه‌بندی Machine:Learning.
  • detux : یک Sandbox که توسعه داده شده است تا تجزیه‌و‌تحلیل ترافیک بدافزارهای لینوکس و IOCهای Capturing را انجام دهد.
  • DRAKVUF : سیستم تجزیه‌و‌تحلیل بدافزار دینامیک.
  • re : تقریبا هر بسته‌ی Firmwareای را Unpack، اسکن و تجزیه‌و‌تحلیل می‌کند.
  • HaboMalHunter : یک ابزار تجزیه‌و‌تحلیل بدافزار خودکارسازی شده برای فایل‌های ELF لینوکس.
  • Hybrid Analysis : ابزار تجزیه‌و‌تحلیل بدافزار آنلاین که VxSandbox قدرت موردنیاز آن را تامین می‌کند.
  • IRMA : یک پلتفرم تجزیه‌و‌تحلیل Asynchronous و قابل سفارشی‌سازی برای فایل‌های مشکوک.
  • Joe Sandbox : تجزیه‌و‌تحلیل بدافزار به‌صورت عمقی با Joe Sandbox.
  • Jotti : اسکنر Multi:AV آنلاین رایگان.
  • Limon :یک Sandboxی برای تحلیل بدافزار لینوکس.
  • Malheur : ابزاری برای تجزیه‌و‌تحلیل خودکار رفتار بدافزار در Sandbox.
  • malsub : یک چهارچوب Python RESTful API برای بدافزارهای آنلاین و خدمات تجزیه‌و‌تحلیل URL.
  • Malware config : ابزاری برای Extract، Decode و نمایش آنلاین تنظیمات پیکربندی از بدافزارهای عادی.
  • Malwr : تجزیه‌و‌تحلیل رایگان با یک Cuckoo Sandbox Instance آنلاین.
  • com : اسکن کردن یک فایل، Hash یا آدرس IP برای بدافزار (رایگان).
  • NetworkTotal: سرویسی که فایل‌های pcap را آنالیز کرده و شناسایی سریع ویروس‌ها، Wormها، Trojanها و انواع بدافزار را با استفاده از Suricata که با EmergingThreats Pro پیکربندی شده است تسهیل می‌نماید.
  • PDF Examiner : ابزاری برای تجزیه‌و‌تحلیل فایل‌های PDF مشکوک استفاده می‌شود.
  • ProcDot : یک Toolkit گرافیکی برای تجزیه‌و‌تحلیل بدافزار است.
  • Recomposer : یک اسکریپت کمک‌کننده برای آپلود ایمن باینری‌ها به سایت‌های Sandbox به شمار می‌رود.
  • Sand droid : سیستمی کامل و خودکار برای تجزیه‌و‌تحلیل برنامه‌های کاربردی اندروید است.
  • SEE یا Sandboxed Execution Environment چهارچوبی است برای ساختن خودکارسازی تست در محیط‌های ایمن است.
  • VirusTotal – ابزاری برای تجزیه‌و‌تحلیل آنلاین رایگان نمونه‌های بدافزار و URLها.
  • Zeltser’s List : یک Sandboxها و خدمات خودکارسازی‌شده‌ی رایگان که توسط Lenny Zeltser جمع‌آوری شده‌اند.

 

معرفی تجزیه‌و‌تحلیل مستندات

 

بررسی ابزارهای Scripting

 

معرفی ابزارهای اندروید

 

بررسی منابع Yara

 

Artifactهای ویندوز

  • AChoir : یک اسکریپت پاسخ رویداد، جهت جمع‌آوری Artifactهای ویندوز است.
  • python:evt :کتابخانه متعلق به Python برای مجزا نمودن Event Logهای ویندوز.
  • python:registry : کتابخانه متعلق به Python برای مجزا نمودن فایل‌های Registry.
  • RegRipper : ابزار تجزیه‌و‌تحلیل Registry مبتنی بر Plugin.

 

بررسی ابزارهای Storage و Workflow

  • Aleph : سیستم Pipeline تجزیه‌و‌تحلیل بدافزار متن باز.
  • CRITs : پژوهش مبتنی بر همکاری در مورد تهدیدات، یک بدافزار و مخزن (Repository) تهدید.
  • FAME : چهارچوبی برای تجزیه‌و‌تحلیل بدافزار، دارای یک Pipeline که می‌توان با استفاده از ماژول‌های سفارشی آن‌ها را گسترش داد. می‌توان این ماژول‌ها را زنجیروار به هم متصل کرد تا با یک دیگر تعامل داشته باشند تا تجزیه‌و‌تحلیل بصورت End-to-End اجرا گردد.
  • Malwarehouse : ذخیره‌سازی، Tag کردن و جستجوی بدافزار.
  • Polichombr : یک پلتفرم تجزیه‌و‌تحلیل بدافزار که طراحی شده است تا به تحلیل‌گران کمک کند قابلیت همکاری بدافزارها را برعکس نمایند.
  • stoQ : چهارچوبی برای تجزیه‌و‌تحلیل محتوای توزیع‌شده با پشتیبانی گسترده از افزونه‌ها، از ورودی تا خروجی و تمام موارد بین آن‌ها.
  • Viper : چهارچوبی برای مدیریت و تجزیه‌و‌تحلیل باینری برای تحلیل‌گران و پژوهشگران.

 

ابزارهای جمع آوری نمونه‌هایی از بدافزار

  • Clean MX : دیتابیس Realtime از بدافزارها و دامین‌های مخرب.
  • Contagio: مجموعه‌ای از نمونه‌ها و تجزیه‌و‌تحلیل‌های اخیر مربوط به بدافزارها.
  • Exploit Database : نمونه‌های Exploit و Shellcode.
  • Malshare : مجموعه ای بزرگ از بدافزارهایی که فعالانه از سایت‌های مخرب گرفته شده‌اند.
  • MalwareDB : مجموعه ای از نمونه‌های بدافزار.
  • Open Malware Project : اطلاعات و دانلود‌های نمونه Offensive Computing.
  • Ragpicker : افزونه‌ای مبتنی بر Crawler بدافزار همراه با قابلیت‌های Pre:Analysis و گزارش‌گیری.
  • theZoo : نمونه‌های بدافزار برای تحلیل‌گران.
  • ViruSign : دیتابیس بدافزاری که توسط بسیاری از برنامه‌های بدافزار به غیر از ClamAV شناسایی شده است.
  • VirusShare : مخزن بدافزار، نیازمند ثبت‌نام.
  • VX Vault : مجموعه‌ای فعال از نمونه‌های بدافزار
  • Zeltser’s Sources : لیستی از منابع نمونه‌های بدافزار که توسط Lenny Zeltser جمع‌آوری شده است.
  • Zeus Source Code : منبع Zeus trojan که در سال 2011 فاش شد.

 

معرفی دوره‌های آموزشی مهندسی معکوس

 

بررسی دامین‌ها و آدرس‌های IP

  • com : سرویس IP blacklist اجتماع‌محور.
  • boomerang : ابزاری که برای ثبت مداوم و ایمن از منابع وب شبکه طراحی شده است.
  • Cymon : ردیاب هوش تهدیدات، همراه با جستجوی IP، دامین و Hash.
  • me : ابزاری نیازمند تنها یک کلیک، با هدف بازیابی Metadata به بیشترین حد ممکن برای یک سایت و همچنین با هدف ارزیابی مناسب آن.
  • dnstwist : موتور جایگشت (Permutation) نام دامین برای شناسایی Typo Squatting، Phishing و Corporate Espionage.
  • IPinfo : جمع‌آوری اطلاعات درمورد یک IP یا دامین با جستجو در منابع آنلاین.
  • Machinae : ابزار OSINT برای جمع‌آوری اطلاعات درمورد URLها، IPها و یا Hashها. مشابه Automator.
  • MaltegoVT : دگرگونی Maltego برای VirusTotal API. تحقیق در مورد دامین و IP و همچنین جستجو برای File Hashها و گزارشات Scan را ممکن می‌سازد.
  • Multi rbl : چندین DNS Blacklist و Forward Confirmed Reverse DNS برای بیش از 300 RBL.
  • NormShield Services : خدمات API رایگان برای شناسایی دامین‌های Phishing احتمالی، آدرس‌های IP که Blacklist شده‌اند و حساب‌هایی که دچار نقض امنیتی گشته‌اند.
  • SpamCop : یک Spam Block List مبتنی بر IP است.
  • SpamHaus : یک Block List مبتنی بر دامین‌ها و IPها است.
  • Sucuri SiteCheck : بدافزار وب‌سایت رایگان و اسکنر امنیتی.
  • Talos Intelligence : ابزاری برای جستجو برای صاحب IP، دامین و شبکه. (در گذشته SenderBase بوده است.)
  • TekDefense Automater : ابزار OSINT برای جمع‌آوری اطلاعات درمورد URLها، IPها و یا Hashها.
  • URLQuery : اسکنر URL رایگان.
  • Whois : ابزاری برای جستجوی Whois آنلاین رایگان DomainTools.
  • Zeltser’s List : ابزار آنلاین رایگان برای تحقیق در مورد وب‌سایت‌های مخرب، جمع‌آوری شده توسط Lenny Zeltser
  • ZScalar Zulu : تحلیلگر ریسک Zulu URL.

 

اسناد و Shellcode

  • AnalyzePDF : ابزاری برای تحلیل PDFها و سعی بر تعیین اینکه آیا مخرب هستند یا خیر.
  • box:js : ابزاری برای مطالعه‌ی بدافزار JavaScript، با پشتیبانی از JScript و WScript و شبیه‌سازی ActiveX.
  • diStorm :یک Disassembler برای تحلیل Shellcode مخرب است.
  • JS Beautifier :یک Unpacking و Deobfuscation برای جاوا اسکریپت است.
  • JS Deobfuscator :یک Deobfuscate کننده‌ی Javascript ساده است که از Eval یا write برای پنهان کردن کد خود استفاده می‌کند.
  • Libemu : ابزار برای شبیه‌سازی x86 Shellcode است.
  • Malpdfobj : جدا کننده‌ی PDFهای مخرب در یک نمایش از JSON.
  • OfficeMalScanner : اسکن کردن ردهای مخرب در اسناد MS Office.
  • olevba : اسکریپتی برای مجزا نمودن اسناد OLE و OpenXML و Extract کردن اطلاعات مفید.
  • Origami PDF : ابزاری برای تحلیل PDFهای مخرب و موارد بیشتر.
  • PDF X:Ray Lite : ابزاری برای تحلیل PDF، نسخه‌ی Backend:Free از PDF X:RAY.
  • peepdf : ابزار Python برای کاوش در PDFهایی که احتمال مخرب بودنشان وجود دارد.
  • QuickSand : QuickSand یک چهارچوب Compact C است برای تحلیل اسناد مشکوک بدافزار با هدف شناسایی Exploitها در Streamهایی از Encodingهای متفاوت و همچنین با هدف پیدا کردن و Extract کردن فایل‌های قابل اجرای کارگزاری‌شده.
  • Spidermonkey : موتور JavaScript متعلق به Mozilla، برای debug کردن JS مخرب.

 

معرفی کتاب‌ها در زمینه معندسی معکوس

 

ابزار هوش تهدیدات متن باز

  • AbuseHelper : چهارچوبی متن باز برای دریافت و توزیع دوباره‌ی Feedهای مزاحم و هوش تهدیدات.
  • AlienVault Open Threat Exchange : ابزاری برای به اشتراک گذاری و همکاری در توسعه‌ی هوش تهدیدات.
  • Combine : ابزاری برای جمع‌آوری شاخص‌های هوش تهدیدات از منابعی که به طور عمومی در دسترس می‌باشند.
  • Fileintel : ابزاری برای به دست آوردن اطلاعات به ازای File Hash.
  • Hostintel : ابزاری برای به دست آوردن اطلاعات به ازای Host.
  • IntelMQ : ابزاری برای CERTها به منظور پردازش داده‌های مربوط به رخدادها با استفاده از یک Message Queue.
  • OC Editor : ویراستاری رایگان برای فایل‌های XML IOC.
  • ioc_writer : کتابخانه متعلق به پایتون برای کار کردن با Objectهای OpenIOC از Mandiant.
  • Massive Octo Spice : در گذشته به عنوان Collective Intelligence Framework یا به اختصار CIF شناخته می‌شد و در واقع IOCها را از لیست‌های مختلف کنار هم جمع می‌کند.
  • Pulsedive : یک پلتفرم هوش تهدیدات رایگان و مبتنی بر جامعه که IOCها را از Feedهای متن باز جمع‌آوری می‌کند.
  • PyIOCe : یک ویراستار OpenIOC متعلق به زبان پایتون است.
  • threataggregator : تهدیدات امنیتی را از منابع مختلف، شامل منابعی که در ادامه در بخش «منابع دیگر» فهرست شده‌اند، کنار هم جمع می‌کند.
  • ThreatCrowd : یک موتور جستجو برای تهدیدات، همراه با مصورسازی گرافیکی است.
  • ThreatTracker : یک اسکریپت مبتنی بر زبان پایتون است که برای ایجاد و مانیتور کردن هشدارها براساس IOCهایی که توسط مجموعه‌ی از Google Custom Search Engines، ایندکس شده‌اند.
  • TIQ:test : مصورسازی داده و تجزیه‌و‌تحلیل آماری Feedهای هوش تهدیدات.

 

معرفی منابع دیگر

  • APT Notes : مجموعه‌ای از مقالات و یادداشت‌های مربوط به تهدیدات مداوم پیشرفته.
  • File Formats posters : مصورسازی خوب از فرمت‌های فایلی که عموما مورد استفاده قرار می‌گیرند (از جمله PE و ELF).
  • Honeynet Project : ابزار Honeypot، مقالات و دیگر منابع.
  • Kernel Mode : انجمن فعال مختص به تجزیه‌و‌تحلیل بدافزار و توسعه‌ی Kernel.
  • Malicious Software : بلاگ و منابع Malware جمع‌آوری‌شده توسط Lenny Zeltser.
  • Malware Analysis Search : موتور جستجوی سفارشی Google از Corey Harrell.
  • Malware Analysis Tutorials : دوره‌های آموزشی تجزیه‌و‌تحلیل بدافزار توسط Xiang Fu، منبعی عالی برای یادگیری تجزیه‌و‌تحلیل کاربردی بدافزار.
  • Malware Samples and Traffic : این بلاگ روی ترافیک شبکه مرتبط آلودگی‌های بدافزار متمرکز است.
  • Practical Malware Analysis Starter Kit : این بسته حاوی اکثر ارجاعات نرم‌افزاری در کتاب Practical Malware Analysis می‌باشد.
  • Windows Registry specification : مشخصات فرمت فایل Registry ویندوز.

کشف بدافزار جدید ماینینگ ارز دیجیتالی با قدرت بسیار بالا بنام ZombieBoy

به گزارش سایت ambcrypto.com، یک کارشناس امنیتی مستقل با نام James Quinn خانواده جدیدی از ماینرهای ارز دیجیتالی را کشف کرده است. این ماینرکه ZombieBoy نام گذاری شده است، طبق تحلیل‌های این کارشناس، دارای سرعت کاوش 43 KH/s 43000) Hash در ثانیه) است که قادر به استخراج 1000 دلار در ماه است. این ماینر یا همان کاوشگر از زبان چینی استفاده می‌کند که از این رو احتمالا در کشور چین توسعه داده شده است.Takian.ir ZombieBoy Malware Threatens The Security of Cryptocurrency Worldwide
Quinn در بلاگ خود توضیح داده است که این کاوشگر مشابه massminer است که در اوایل ماه می معرفی شد. بدلیل استفاده این بدافزار از ZombieBoyTools، آنرا ZombieBoy نامگذاری کرده‌اند. باید اشاره کرد که ZombieBoyTools دارای ارتباطاتی با IronTigerAPT است و یک ویرایش از تروجان Gh0st است.
بدافزار به کمک این ابزار اولین فایل dll خود را در سیستم قربانی قرار می‌دهد. علاوه بر این، Quinn ادعا می‌کند که این کرم از اکسپلویت‌های مختلف برای گسترش در سیستم استفاده می‌کند. تفاوتی که بین massminer و ZombieBoy وجود دارد در استفاده از ابزار اسکن میزبان است که ZombieBoy به جای MassScan از WinEggDrop استفاده می‌کند. نکته قابل توجه و البته نگران کننده این بدافزار بروزرسانی آن بصورت مداوم است. علاوه بر این، بدافزار می‌تواند از CVEهای مختلفی برای دور زدن برنامه‌های امنیتی بهره ببرد. این CVEها شامل یک آسیب‌پذیری RDP یعنی CVE-2017-9073 و اکسپلویت‌های CVE-2017-0143 و CVE-2017-0146 هستند.Takian.ir ZombieBoy
بدافزار از اکسپلویت‌های DoublePulsar و EternalBlue برای ایجاد در پشتی استفاده می‌کند. از آنجایی که بدافزار می‌تواند چندین درپشتی ایجاد کند، بنابراین راه ورود سایر برنامه‌های مخرب مانند keyloggerها، باج‌افزارها و بدافزارهای دیگر باز می‌شود.

کشف بدافزار پیشرفته جاسوسی Norxa توسط مرکز مدیریت راهبردی افتا

بدافزار پیچیده و ناشناخته ای که سیستم عامل های ویندوز را هدف قرار می دهد، در تازه ترین بررسی های کارشناسان مرکز افتا، شناسایی شد .

Taskian.ir Malware Norxa
به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، این بدافزار کاملا منحصر به فرد، که توسط این مرکز کشف و Norxa نامیده شده ؛ با هدف جاسوسی و جمع آوری اطلاعات طراحی شده است. 
این بدافزار دارای قابلیت دریافت دستور از سرور C&C و  اجرای عملیات های خرابکارانه در سیستم قربانی نیز هست.
کارشناسان مرکز افتا، پس از مشاهده ناهنجاریهای ترافیکی در یکی از سازمان ها، موفق به شناسایی این بدافزار جاسوسی پیشرفته شدند . 
ساختار و قابلیت های این بدافزار، که بسیار خاص و هدفمند طراحی شده، به نحوی است که کمترین حساسیت را در سیستم عامل ایجاد می‌کند.
با توجه به تاریخ ایجاد فایل های مشکوک در سیستم‌های مورد بررسی که سال ۲۰۱۴ است، حداقل زمان فعالیت این بدافزار حدود ۴ سال تخمین زده می شود.
متخصصان مرکز مدیریت راهبردی افتا، این بدافزار را در تعداد کمی از سازمان ها شناسایی کرده اند . 
گفتنی است تحقیقات تکمیلی برای کشف تمامی اهداف این بدافزار همچنان در دستور کار مرکز افتاست و گزارش های تکمیلی متعاقبا منتشر خواهد شد . 
باتوجه به مخاطرات تاثیرگذار و مخرب این بدافزار، اطلاعات مربوط به آن به صورت عمومی به اشتراک گذاشته شده است، تا دستگاه‌ها و قربانیان بتوانند محافظت‌ها و اقدامات لازم را در خصوص شناسایی و حذف آن به عمل آورند.
کارشناسان مرکز افتا توصیه می کنند تا در صورت تشخیص ماژول های بدافزار، سیستم آلوده با سیستم امن‌سازی شده دیگری جایگزین شود.
برای شناسایی و مقابله با این بدافزار در سیستم های آلوده می توانید، ابزارزیر را از حالت فشرده خارج کرده و سپس فایل Norxa_Detector_Loki.exe با سطح دسترسی مدیر (Run as administrator) اجرا وسپس فایل لاگ تولید شده را در همان مسیر بررسی کنید.
ابزار شناسایی بدافزارNorxa
اطلاعات فنی و تخصصی درباره مشخصات این بدافزار، در فایل پیوست قابل دسترسی است .
فایل پیوست:اطلاعات فنی بدافزارNorxa
Taskian.ir Malware Norxa loki