#Ransomware Compiles itself at Runtime #Avoid AVs
یکی از چالش های باج افزارها روند فعال شدن اونها هستش که با وجود مکانیزم ها و EDR های مختلف بسیار چالش بزرگی به حساب خواهد آمد, از این روی روش هایی مبتکرانه بعضاً استفاده میشه که بتونه این چالش رو بصورت نا محسوس حل کنه,
همونطور که در تصویر شماره یک میبینید استفاده از روش یک namespace و یک کلاس HelloWorldClass تعریف شده, اینجا دقیقا جایی هست که کد منبع یک باج افزار یا بدافزار میبایست قرار بگیره و در ادامه میبینید که با استفاده از ویژگی CodeDom.Compiler یک فرایند Initial Compile شکل میگیره و در تصویر دو و خط ۴۷ و ۴۸ Object مربوطه ساخته و کد باج افزار بهش معرفی میشه,
حالا استفاده از csc.exe برای ما بسیار حیاتی میشه و با استفاده از csc.exe یک dll در پوشه %temp% خروجی داده میشه که به دلیل استفاده از Method ویژه ای که بصورت System.Reflection اجرا میشه یعنی Invoke در خط ۶۸ تعریف شده و کد در حافظه مستقیما اجرا خواهد شد...
https://www.bleepingcomputer.com/news/security/new-c-ransomware-compiles-itself-at-runtime/
@Unk9vvN
یکی از چالش های باج افزارها روند فعال شدن اونها هستش که با وجود مکانیزم ها و EDR های مختلف بسیار چالش بزرگی به حساب خواهد آمد, از این روی روش هایی مبتکرانه بعضاً استفاده میشه که بتونه این چالش رو بصورت نا محسوس حل کنه,
همونطور که در تصویر شماره یک میبینید استفاده از روش یک namespace و یک کلاس HelloWorldClass تعریف شده, اینجا دقیقا جایی هست که کد منبع یک باج افزار یا بدافزار میبایست قرار بگیره و در ادامه میبینید که با استفاده از ویژگی CodeDom.Compiler یک فرایند Initial Compile شکل میگیره و در تصویر دو و خط ۴۷ و ۴۸ Object مربوطه ساخته و کد باج افزار بهش معرفی میشه,
حالا استفاده از csc.exe برای ما بسیار حیاتی میشه و با استفاده از csc.exe یک dll در پوشه %temp% خروجی داده میشه که به دلیل استفاده از Method ویژه ای که بصورت System.Reflection اجرا میشه یعنی Invoke در خط ۶۸ تعریف شده و کد در حافظه مستقیما اجرا خواهد شد...
https://www.bleepingcomputer.com/news/security/new-c-ransomware-compiles-itself-at-runtime/
@Unk9vvN
#Mosesstaff #Iranian #APT #Ransomware
دو گزارش از شرکت های CheckPoint و Cybereason در خصوص TTP حملات تیم ایرانی عصای موسی به قربانیان خود منتشر شده که دارای نکات جالبی هستش، در گزارش مطرح شده که این تیم برای ایجاد دسترسی، از آسیب پذیری ناشناخته ای که در خصوص سرورهای ME Exchange استفاده کرده.
اما رفتار تکنیکی تاکتیکی دیگری که در تیم عصای موسی مطرح بوده، استفاده از ابزارهای PsExec، WMIC و Powershell در خصوص جا به جایی در سیستم ها بوده، همچنین در مرحله Impact حمله این تیم از ابزار عمومی DiskCryptor استفاده کرده در راستای رمزنگاری فایل ها و قفل گذاری بر روی Bootloader سیستم قربانی. مورد بعد استفاده از Webshell مبهم سازی شده که با رمزی Hash شده محافظت می شده و مهاجم میبایست رمز رو بصورت MD5 وارد میکرده تا وارد Webshell بشه.
اما نکته مهم استفاده از درایور
@Unk9vvN
دو گزارش از شرکت های CheckPoint و Cybereason در خصوص TTP حملات تیم ایرانی عصای موسی به قربانیان خود منتشر شده که دارای نکات جالبی هستش، در گزارش مطرح شده که این تیم برای ایجاد دسترسی، از آسیب پذیری ناشناخته ای که در خصوص سرورهای ME Exchange استفاده کرده.
اما رفتار تکنیکی تاکتیکی دیگری که در تیم عصای موسی مطرح بوده، استفاده از ابزارهای PsExec، WMIC و Powershell در خصوص جا به جایی در سیستم ها بوده، همچنین در مرحله Impact حمله این تیم از ابزار عمومی DiskCryptor استفاده کرده در راستای رمزنگاری فایل ها و قفل گذاری بر روی Bootloader سیستم قربانی. مورد بعد استفاده از Webshell مبهم سازی شده که با رمزی Hash شده محافظت می شده و مهاجم میبایست رمز رو بصورت MD5 وارد میکرده تا وارد Webshell بشه.
اما نکته مهم استفاده از درایور
DCSrv.sys
به عنوان یک Rootkit و PyDCrypt
به عنوان بستر ساز کل عملیات و تعامل با C2 که به زبان Python و با PyInstaller اون رو Compile و با سوئیچ key—
براش رمزی قرار داده میشه و نهایتا اون رو اجرا میکنه...@Unk9vvN
#Ransomware #Moneybird Targeted #Israel
تیم پاسخ به حادثه شرکت Check Point مقاله ای انتشار داده است مبنی بر حمله مجدد باج افزاری با نام Moneybird به ارگان ها و شرکت های اسرائیلی برای اخاذی مالی.
رفتار تکنیکی تاکتیکی حمله طبق معمول بر پایه یک ایجاد دسترسی بر پایه یک آسیب پذیری، و زدن تونل RDP مبتنی بر Web Shell که منجر به دانلود و اجرای باج افزار میشود.
اما دو نکته قابل توجه این حمله، یک استفاده مکرر از ابزار های تجاری رایگان است که مکانیزم های دفاعی به آنها واکنشی نشان نمی دهند، دیگری توسعه باج افزار با رویکردی جدید به زبان ++C که به عنوان یک Encryptor عمل خواهد کرد.
باج افزار پارامتر های CLI دریافت میکند که این موضوع موجب میشود مهاجم بصورت شخصی سازی شده توابع باج افزار را پیکربندی نماید، این پیکربندی میلی ثانیه خواب بودن قبل از start باج افزار است.
تعداد Threads های چک و Ciphering که با بررسی تعداد هسته های پردازنده تعیین خواهد شد، تعیین بررسی لیست Extension ها، برای رمز کردن و دیگر موارد که در تصویر مهندسی معکوس فایل مشخص شده است.
@Unk9vvN
تیم پاسخ به حادثه شرکت Check Point مقاله ای انتشار داده است مبنی بر حمله مجدد باج افزاری با نام Moneybird به ارگان ها و شرکت های اسرائیلی برای اخاذی مالی.
رفتار تکنیکی تاکتیکی حمله طبق معمول بر پایه یک ایجاد دسترسی بر پایه یک آسیب پذیری، و زدن تونل RDP مبتنی بر Web Shell که منجر به دانلود و اجرای باج افزار میشود.
اما دو نکته قابل توجه این حمله، یک استفاده مکرر از ابزار های تجاری رایگان است که مکانیزم های دفاعی به آنها واکنشی نشان نمی دهند، دیگری توسعه باج افزار با رویکردی جدید به زبان ++C که به عنوان یک Encryptor عمل خواهد کرد.
باج افزار پارامتر های CLI دریافت میکند که این موضوع موجب میشود مهاجم بصورت شخصی سازی شده توابع باج افزار را پیکربندی نماید، این پیکربندی میلی ثانیه خواب بودن قبل از start باج افزار است.
تعداد Threads های چک و Ciphering که با بررسی تعداد هسته های پردازنده تعیین خواهد شد، تعیین بررسی لیست Extension ها، برای رمز کردن و دیگر موارد که در تصویر مهندسی معکوس فایل مشخص شده است.
@Unk9vvN
#Ransomware #LockBit 3.0
باج افزار LockBit تا کنون مبلغی بیش از 100 میلیون دلار توانسته باج گیری رایانه ای کنه که عموما از ارگان های دولتی آمریکا، چین، هند، فرانسه، آلمان، اوکراین و اندونزی رو درگیر کرده و جالب است که با سرور هایی که زبان های روسی، رومانی، عربی سوری تنظیم داشتند، کاری نداشته است.
رفتار های شاخص تکنیکی تاکتیکی این باج افزار چی مواردی است؟ نسخه 3 این باج افزار برای ایجاد دسترسی از تکنیک های Bruteforce پروتکل RDP ، تکنیک Drive-By Compromise و Spear Phishing و دسترسی به حساب های کاربری صحیح و همچنین بهره برداری از یک آسیب پذیری سرویس های fortinet بوده است.
اما برای Exfiltration عموما از وبسرویس های اشتراک گذاری فایل استفاده شده که فایل های مورد نیاز باج افزار رو به سیستم قربانی انتقال خواهد داد.
استفاده از Autostart Execution ها برای ارتقاء سطح دسترسی که معمولا با schtasks انجام میشه، استفاده از Obfuscation کد برای نامحسوس سازی PE باج افزار، خاموش کردن سرویس های امنیتی سیستم عامل، گرفتن Dump از LSASS بر بستر حافظه و مواردی دیگر، اطلاعات تکمیلی در این مقاله است.
@Unk9vvN
باج افزار LockBit تا کنون مبلغی بیش از 100 میلیون دلار توانسته باج گیری رایانه ای کنه که عموما از ارگان های دولتی آمریکا، چین، هند، فرانسه، آلمان، اوکراین و اندونزی رو درگیر کرده و جالب است که با سرور هایی که زبان های روسی، رومانی، عربی سوری تنظیم داشتند، کاری نداشته است.
رفتار های شاخص تکنیکی تاکتیکی این باج افزار چی مواردی است؟ نسخه 3 این باج افزار برای ایجاد دسترسی از تکنیک های Bruteforce پروتکل RDP ، تکنیک Drive-By Compromise و Spear Phishing و دسترسی به حساب های کاربری صحیح و همچنین بهره برداری از یک آسیب پذیری سرویس های fortinet بوده است.
اما برای Exfiltration عموما از وبسرویس های اشتراک گذاری فایل استفاده شده که فایل های مورد نیاز باج افزار رو به سیستم قربانی انتقال خواهد داد.
استفاده از Autostart Execution ها برای ارتقاء سطح دسترسی که معمولا با schtasks انجام میشه، استفاده از Obfuscation کد برای نامحسوس سازی PE باج افزار، خاموش کردن سرویس های امنیتی سیستم عامل، گرفتن Dump از LSASS بر بستر حافظه و مواردی دیگر، اطلاعات تکمیلی در این مقاله است.
@Unk9vvN