#OilRig Spoofing on #Chafer
به نظر میاد در Stage هایی که در #APT39 استفاده شده, برخی الگوریتم ها, همانند تصویر پست که یک فایل VBS هستش از همان الگوریتم هایی بهره برده شده که در Stage های تیم OilRig, بوده,
به نوعی میتوان گفت که شرکت های فعال در حوزه EndPoint Security بسیار در بحث رفتار شناسی فعال شده و راه چاره شناسایی Threat های انجام شده را در رفتار شناسی یک C&C میدانند, البته این موضوع در کنار بررسی Buffer ورودی تمامی COM Object های سیستم عامل, قدرت بسیاری در بحث رهگیری, به محصول مربوطه میده, هنر تیم های ایرانی همواره در این بوده که خلاقیت ها را, راه حل موفقیت حمله خود جای مبهم سازی ها بدانند
برای مثال در حمله #APT39 استفاده از پروتکل SSH برای Forward کردن یک پروتکل دیگر استفاده شده بود که خب بدلیل نوآورانه بودن این روش Detection های مربوطه متوجه این دسترسی نشده و به نوعی در مقابل روشی قرار داشتند که از اون روش هیچ Signature درون خود نداشته و حتی مکانیزم های Heuristic اون ها هم به این انعطاف ها مسلح نشده بودند, که این روش کمتر دیده شده ای بود.
Doc
@Unk9vvN
به نظر میاد در Stage هایی که در #APT39 استفاده شده, برخی الگوریتم ها, همانند تصویر پست که یک فایل VBS هستش از همان الگوریتم هایی بهره برده شده که در Stage های تیم OilRig, بوده,
به نوعی میتوان گفت که شرکت های فعال در حوزه EndPoint Security بسیار در بحث رفتار شناسی فعال شده و راه چاره شناسایی Threat های انجام شده را در رفتار شناسی یک C&C میدانند, البته این موضوع در کنار بررسی Buffer ورودی تمامی COM Object های سیستم عامل, قدرت بسیاری در بحث رهگیری, به محصول مربوطه میده, هنر تیم های ایرانی همواره در این بوده که خلاقیت ها را, راه حل موفقیت حمله خود جای مبهم سازی ها بدانند
برای مثال در حمله #APT39 استفاده از پروتکل SSH برای Forward کردن یک پروتکل دیگر استفاده شده بود که خب بدلیل نوآورانه بودن این روش Detection های مربوطه متوجه این دسترسی نشده و به نوعی در مقابل روشی قرار داشتند که از اون روش هیچ Signature درون خود نداشته و حتی مکانیزم های Heuristic اون ها هم به این انعطاف ها مسلح نشده بودند, که این روش کمتر دیده شده ای بود.
Doc
@Unk9vvN