۳۱ فروردین
Amn Pardazan Kavir (APK)
rotating_light اطلاعیه شماره هفتادونه
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
5.219.196.120
5.112.219.230
5.159.49.88
5.62.216.171
5.122.79.192
193.242.125.237
87.248.130.134
5.126.172.199
2.183.93.36
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
5.219.196.120
5.112.219.230
5.159.49.88
5.62.216.171
5.122.79.192
193.242.125.237
87.248.130.134
5.126.172.199
2.183.93.36
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
Please open Rubika to view this post
VIEW IN RUBIKA۲ اردیبهشت
Amn Pardazan Kavir (APK)
rotating_light اطلاعیه شماره هشتاد
اطلاعیه امنیتی تیم CERT شرکت APK:
شناسایی بدافزار پیشرفته مبتنی بر .NET با قابلیتهای جاسوسی و فرار از تحلیل
در پی پایشهای امنیتی انجام شده، فعالیتهای مخربی ناشی از انتشار و اجرای یک بدافزار پیشرفته مبتنی بر پلتفرم .NET شناسایی شده که نشاندهنده یک زنجیره حمله هوشمند، از مرحله پنهانسازی تا سرقت اطلاعات سیستم و ورودیهای کاربر (Exfiltration) است.
small_red_triangle_down فایل مخرب شناسایی شده با هش اختصاصی
3f498f307754573e23555dc370ed7ca01b4485a1137c873b0012c1a6e8bc6228 که با آنتروپی بسیار بالای ۷.۶۶، نشاندهنده استفاده از لایههای رمزنگاری و بستهبندی پیچیده (Packed) جهت عبور از سدهای امنیتی است.
small_red_triangle_down در این حوادث، بدافزار با بهرهگیری از ابزارهای بستهبندی نظیر Fody/Costura، کدهای اصلی خود را مخفی کرده و با استفاده از تکنیکهای ضد تحلیل نظیر بررسی محیط دیباگ (IsDebuggerPresent)، استفاده از صفحات محافظ (Guard Pages) و شناسایی محیطهای مجازیسازی (مانند Xen)، تلاش میکند تا از تحلیل در Sandbox فرار نماید. همچنین شواهدی از تلاش برای تزریق فرآیند (Process Injection) جهت اجرای کدهای مخرب در بستر پروسههای معتبر سیستم مشاهده شده است.
black_small_square️ از این رویداد میتوان دریافت که مهاجم با استفاده از متد "فرار از تحلیل" و "پنهانسازی در حافظه"، به دنبال سرقت اطلاعات حساس سیستم (مانند شماره سریال دستگاه و GUIDهای رمزنگاری) و Keylogging از طریق ایجاد اشیاء DirectInput جهت نفوذ عمیقتر به زیرساختها است.
white_check_mark تحلیل رفتارهای احتمالی آتی و اقدامات پنهان:
تیم CERT شرکت APK بر این باور است که اقدامات فوق پیشزمینهای برای فعالیتهای خطرناک زیر است:
black_small_square️ تلاش برای Exfiltration (نشت داده):
استخراج اطلاعات هویتی ماشین و دادههای جمعآوری شده از ورودیهای کاربر و ارسال آنها به سرورهای فرماندهی (C2) از طریق پروتکلهای HTTP و ارتباطات شبکهای پنهان.
black_small_square️ تداوم دسترسی و پایداری:
ایجاد فایلهای لاگ مشکوک در مسیرهای سیستمی (نظیر UsageLogs) و دستکاری کلیدهای رجیستری مربوط به .NET و سیاستهای نرمافزاری برای تضمین بقا در سیستم.
black_small_square️ توزیع Payloadهای جانبی:
استفاده از حافظههای با دسترسی RWX ایجاد شده در لایه Memory برای باز کردن و اجرای Shellcode و بدافزارهای مخربتر در مراحل نهایی حمله.
تیم CERT با توجه به تحلیل این رفتار، موارد زیر را جهت پیشگیری و مقابله پیشنهاد مینماید:
black_small_square️ مسدودسازی فوری هش فایل مذکور در تمامی آنتیویروسها و سامانههای EDR.
black_small_square️ بررسی و پایش الگوهای زیر در تیمهای SOC و تیمهای تست نفوذ:
small_red_triangle مانیتورینگ ایجاد فایلهای لاگ با پسوند .exe.log در مسیر %AppData%\Local\Microsoft\CLR_v4.0_32\UsageLogs که نشاندهنده اجرای فایلهای اجرایی داتنت بستهبندی شده است.
small_red_triangle ایجاد Alert برای پروسههایی که اقدام به ایجاد بخشهای حافظه با قابلیت Read/Write/Execute (RWX) میکنند.
small_red_triangle بررسی و مانیتورینگ دقیق ترافیک خروجی به دامنههای مرتبط با سرویسهای مایکروسافت و گوگل که بدافزار جهت پنهانسازی فعالیت خود از آنها استفاده میکند (نظیر settings-win.data.microsoft.com و update.googleapis.com).
small_red_triangle پایش فراخوانی توابع حساس نظیر IsDebuggerPresent و GetTickCount توسط فایلهای اجرایی ناشناخته در ایستگاههای کاری.
small_red_triangle بررسی تغییرات در کلیدهای رجیستری مسیر HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework و زیرشاخههای آن.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
اطلاعیه امنیتی تیم CERT شرکت APK:
شناسایی بدافزار پیشرفته مبتنی بر .NET با قابلیتهای جاسوسی و فرار از تحلیل
در پی پایشهای امنیتی انجام شده، فعالیتهای مخربی ناشی از انتشار و اجرای یک بدافزار پیشرفته مبتنی بر پلتفرم .NET شناسایی شده که نشاندهنده یک زنجیره حمله هوشمند، از مرحله پنهانسازی تا سرقت اطلاعات سیستم و ورودیهای کاربر (Exfiltration) است.
small_red_triangle_down فایل مخرب شناسایی شده با هش اختصاصی
3f498f307754573e23555dc370ed7ca01b4485a1137c873b0012c1a6e8bc6228 که با آنتروپی بسیار بالای ۷.۶۶، نشاندهنده استفاده از لایههای رمزنگاری و بستهبندی پیچیده (Packed) جهت عبور از سدهای امنیتی است.
small_red_triangle_down در این حوادث، بدافزار با بهرهگیری از ابزارهای بستهبندی نظیر Fody/Costura، کدهای اصلی خود را مخفی کرده و با استفاده از تکنیکهای ضد تحلیل نظیر بررسی محیط دیباگ (IsDebuggerPresent)، استفاده از صفحات محافظ (Guard Pages) و شناسایی محیطهای مجازیسازی (مانند Xen)، تلاش میکند تا از تحلیل در Sandbox فرار نماید. همچنین شواهدی از تلاش برای تزریق فرآیند (Process Injection) جهت اجرای کدهای مخرب در بستر پروسههای معتبر سیستم مشاهده شده است.
black_small_square️ از این رویداد میتوان دریافت که مهاجم با استفاده از متد "فرار از تحلیل" و "پنهانسازی در حافظه"، به دنبال سرقت اطلاعات حساس سیستم (مانند شماره سریال دستگاه و GUIDهای رمزنگاری) و Keylogging از طریق ایجاد اشیاء DirectInput جهت نفوذ عمیقتر به زیرساختها است.
white_check_mark تحلیل رفتارهای احتمالی آتی و اقدامات پنهان:
تیم CERT شرکت APK بر این باور است که اقدامات فوق پیشزمینهای برای فعالیتهای خطرناک زیر است:
black_small_square️ تلاش برای Exfiltration (نشت داده):
استخراج اطلاعات هویتی ماشین و دادههای جمعآوری شده از ورودیهای کاربر و ارسال آنها به سرورهای فرماندهی (C2) از طریق پروتکلهای HTTP و ارتباطات شبکهای پنهان.
black_small_square️ تداوم دسترسی و پایداری:
ایجاد فایلهای لاگ مشکوک در مسیرهای سیستمی (نظیر UsageLogs) و دستکاری کلیدهای رجیستری مربوط به .NET و سیاستهای نرمافزاری برای تضمین بقا در سیستم.
black_small_square️ توزیع Payloadهای جانبی:
استفاده از حافظههای با دسترسی RWX ایجاد شده در لایه Memory برای باز کردن و اجرای Shellcode و بدافزارهای مخربتر در مراحل نهایی حمله.
تیم CERT با توجه به تحلیل این رفتار، موارد زیر را جهت پیشگیری و مقابله پیشنهاد مینماید:
black_small_square️ مسدودسازی فوری هش فایل مذکور در تمامی آنتیویروسها و سامانههای EDR.
black_small_square️ بررسی و پایش الگوهای زیر در تیمهای SOC و تیمهای تست نفوذ:
small_red_triangle مانیتورینگ ایجاد فایلهای لاگ با پسوند .exe.log در مسیر %AppData%\Local\Microsoft\CLR_v4.0_32\UsageLogs که نشاندهنده اجرای فایلهای اجرایی داتنت بستهبندی شده است.
small_red_triangle ایجاد Alert برای پروسههایی که اقدام به ایجاد بخشهای حافظه با قابلیت Read/Write/Execute (RWX) میکنند.
small_red_triangle بررسی و مانیتورینگ دقیق ترافیک خروجی به دامنههای مرتبط با سرویسهای مایکروسافت و گوگل که بدافزار جهت پنهانسازی فعالیت خود از آنها استفاده میکند (نظیر settings-win.data.microsoft.com و update.googleapis.com).
small_red_triangle پایش فراخوانی توابع حساس نظیر IsDebuggerPresent و GetTickCount توسط فایلهای اجرایی ناشناخته در ایستگاههای کاری.
small_red_triangle بررسی تغییرات در کلیدهای رجیستری مسیر HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework و زیرشاخههای آن.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
Please open Rubika to view this post
VIEW IN RUBIKA۳ اردیبهشت
Amn Pardazan Kavir (APK)
rotating_light اطلاعیه شماره هشتادویک
در پی پایشهای امنیتی انجام شده، فعالیتهای مخرب ناشی از انتشار و اجرای بدافزار پیشرفته PureHVNC شناسایی شده که نشاندهنده یک زنجیره حمله هوشمند، از مرحله فریب کاربر (Social Engineering) تا برقراری نشستهای کنترل از راه دور و پنهان (Hidden VNC) و سرقت اطلاعات سیستم است.
small_red_triangle_down فایل مخرب شناسایی شده با نام ظاهری یک فایل متنی و هش اختصاصی 8C4758E6736950E0BF0D80BFD10CA9EBA5A9756227A9F2797EBACBF22FF2E076 است.
این بدافزار با بهرهگیری از تکنیک پسوند دوگانه (txt.js)، از تنظیمات پیشفرض عدم نمایش پسوند در ویندوز سوءاستفاده کرده تا خود را به عنوان یک سند متنی بیخطر جلوه دهد.
small_red_triangle_down در این حوادث، بدافزار با استفاده از یک لودر چندمرحلهای مبتنی بر PowerShell و بهرهگیری از ابزارهای محافظتی نظیر .NET Reactor، کدهای اصلی خود را مبهمسازی (Obfuscation) کرده است. بدافزار با استفاده از تکنیکهای ضد تحلیل نظیر دستورات Sleep طولانیمدت و تزریق فرآیند (Process Injection) در چندین نمونه از پروسه معتبر aspnet_compiler.exe، تلاش میکند تا فعالیتهای خود را در نویز سیستمعامل پنهان کرده و از تحلیل در Sandbox فرار نماید.
از این رویداد میتوان دریافت که مهاجم با استفاده از متد "Living off the Land" و سوءاستفاده از ابزارهای قانونی داتنت، به دنبال ایجاد یک تونل ارتباطی پنهان بر بستر پورتهای غیرمعمول (نظیر 8443) جهت نفوذ عمیقتر و کنترل کامل ایستگاههای کاری قربانی است.
white_check_mark تحلیل رفتارهای احتمالی آتی و اقدامات پنهان:
تیم CERT شرکت APK بر این باور است که اقدامات فوق پیشزمینهای برای فعالیتهای خطرناک زیر است:
black_small_square️ تلاش برای Exfiltration و فرماندهی:
برقراری ارتباط پایدار با سرورهای فرماندهی (C2) نظیر آدرس 83.142.209.204 جهت دریافت ماژولهای جدید و ارسال دادههای سرقتی به زیرساختهای مخربی همچون GHOSTYNETWORKS.
black_small_square️ تداوم دسترسی و پایداری:
دستکاری در تنظیمات ZoneMap رجیستری برای جا زدن ترافیک مخرب به عنوان ترافیک داخلی (Intranet) و غیرفعالسازی Trace Logهای سیستمی (RASAPI32/RASMANCS) برای حذف ردپای ارتباطات شبکه.
black_small_square️ توزیع Payloadهای جانبی:
استفاده از دسترسی ایجاد شده برای دریافت اسکریپتهای مرحله دوم (مانند update.ps1) و اجرای بدافزارهای مخربتر نظیر باجافزارها یا ابزارهای سرقت هویت در مراحل نهایی حمله.
🟥 تیم CERT با توجه به تحلیل این رفتار، موارد زیر را جهت پیشگیری و مقابله پیشنهاد مینماید:
black_small_square️ مسدودسازی فوری هش فایل مذکور و IPهای استخراج شده در تمامی لایههای حفاظتی (EDR/Firewall).
black_small_square️ بررسی و پایش الگوهای زیر در تیمهای SOC و تیمهای تست نفوذ:
small_red_triangle مانیتورینگ اجرای پروسه wscript.exe که اقدام به فراخوانی powershell.exe با پارامترهای -nop -ep bypass میکند.
small_red_triangle ایجاد Alert برای پروسه aspnet_compiler.exe در صورتی که دارای ارتباطات شبکه خروجی روی پورتهای غیرمعمول (مانند 8443) باشد.
small_red_triangle بررسی و مانیتورینگ تغییرات در کلید رجیستری HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap و اطمینان از عدم وجود مقادیر مشکوک برای Bypass کردن پروکسی.
small_red_triangle پایش ترافیک خروجی به سمت ارائه دهندگان زیرساخت پرخطر نظیر AS-COLOCROSSING و GHOSTYNETWORKS.
small_red_triangle بررسی دایرکتوری %Temp% برای شناسایی اسکریپتهای PowerShell با نامهای تصادفی که توسط بدافزار ایجاد و اجرا میشوند.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
در پی پایشهای امنیتی انجام شده، فعالیتهای مخرب ناشی از انتشار و اجرای بدافزار پیشرفته PureHVNC شناسایی شده که نشاندهنده یک زنجیره حمله هوشمند، از مرحله فریب کاربر (Social Engineering) تا برقراری نشستهای کنترل از راه دور و پنهان (Hidden VNC) و سرقت اطلاعات سیستم است.
small_red_triangle_down فایل مخرب شناسایی شده با نام ظاهری یک فایل متنی و هش اختصاصی 8C4758E6736950E0BF0D80BFD10CA9EBA5A9756227A9F2797EBACBF22FF2E076 است.
این بدافزار با بهرهگیری از تکنیک پسوند دوگانه (txt.js)، از تنظیمات پیشفرض عدم نمایش پسوند در ویندوز سوءاستفاده کرده تا خود را به عنوان یک سند متنی بیخطر جلوه دهد.
small_red_triangle_down در این حوادث، بدافزار با استفاده از یک لودر چندمرحلهای مبتنی بر PowerShell و بهرهگیری از ابزارهای محافظتی نظیر .NET Reactor، کدهای اصلی خود را مبهمسازی (Obfuscation) کرده است. بدافزار با استفاده از تکنیکهای ضد تحلیل نظیر دستورات Sleep طولانیمدت و تزریق فرآیند (Process Injection) در چندین نمونه از پروسه معتبر aspnet_compiler.exe، تلاش میکند تا فعالیتهای خود را در نویز سیستمعامل پنهان کرده و از تحلیل در Sandbox فرار نماید.
از این رویداد میتوان دریافت که مهاجم با استفاده از متد "Living off the Land" و سوءاستفاده از ابزارهای قانونی داتنت، به دنبال ایجاد یک تونل ارتباطی پنهان بر بستر پورتهای غیرمعمول (نظیر 8443) جهت نفوذ عمیقتر و کنترل کامل ایستگاههای کاری قربانی است.
white_check_mark تحلیل رفتارهای احتمالی آتی و اقدامات پنهان:
تیم CERT شرکت APK بر این باور است که اقدامات فوق پیشزمینهای برای فعالیتهای خطرناک زیر است:
black_small_square️ تلاش برای Exfiltration و فرماندهی:
برقراری ارتباط پایدار با سرورهای فرماندهی (C2) نظیر آدرس 83.142.209.204 جهت دریافت ماژولهای جدید و ارسال دادههای سرقتی به زیرساختهای مخربی همچون GHOSTYNETWORKS.
black_small_square️ تداوم دسترسی و پایداری:
دستکاری در تنظیمات ZoneMap رجیستری برای جا زدن ترافیک مخرب به عنوان ترافیک داخلی (Intranet) و غیرفعالسازی Trace Logهای سیستمی (RASAPI32/RASMANCS) برای حذف ردپای ارتباطات شبکه.
black_small_square️ توزیع Payloadهای جانبی:
استفاده از دسترسی ایجاد شده برای دریافت اسکریپتهای مرحله دوم (مانند update.ps1) و اجرای بدافزارهای مخربتر نظیر باجافزارها یا ابزارهای سرقت هویت در مراحل نهایی حمله.
🟥 تیم CERT با توجه به تحلیل این رفتار، موارد زیر را جهت پیشگیری و مقابله پیشنهاد مینماید:
black_small_square️ مسدودسازی فوری هش فایل مذکور و IPهای استخراج شده در تمامی لایههای حفاظتی (EDR/Firewall).
black_small_square️ بررسی و پایش الگوهای زیر در تیمهای SOC و تیمهای تست نفوذ:
small_red_triangle مانیتورینگ اجرای پروسه wscript.exe که اقدام به فراخوانی powershell.exe با پارامترهای -nop -ep bypass میکند.
small_red_triangle ایجاد Alert برای پروسه aspnet_compiler.exe در صورتی که دارای ارتباطات شبکه خروجی روی پورتهای غیرمعمول (مانند 8443) باشد.
small_red_triangle بررسی و مانیتورینگ تغییرات در کلید رجیستری HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap و اطمینان از عدم وجود مقادیر مشکوک برای Bypass کردن پروکسی.
small_red_triangle پایش ترافیک خروجی به سمت ارائه دهندگان زیرساخت پرخطر نظیر AS-COLOCROSSING و GHOSTYNETWORKS.
small_red_triangle بررسی دایرکتوری %Temp% برای شناسایی اسکریپتهای PowerShell با نامهای تصادفی که توسط بدافزار ایجاد و اجرا میشوند.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
Please open Rubika to view this post
VIEW IN RUBIKA۳ اردیبهشت
Amn Pardazan Kavir (APK)
rotating_light اطلاعیه شماره هشتاد و دو
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
193.242.125.237
151.233.11.110
5.10.248.187
185.208.175.164
132.196.3.209
5.159.49.88
5.219.101.170
2.147.228.207
135.119.27.9
5.219.196.120
2.183.73.15
2.184.76.210
77.237.181.154
78.109.201.7
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
193.242.125.237
151.233.11.110
5.10.248.187
185.208.175.164
132.196.3.209
5.159.49.88
5.219.101.170
2.147.228.207
135.119.27.9
5.219.196.120
2.183.73.15
2.184.76.210
77.237.181.154
78.109.201.7
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
Please open Rubika to view this post
VIEW IN RUBIKA۴ اردیبهشت
Amn Pardazan Kavir (APK)
rotating_light اطلاعیه شماره هشتادوسه
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
185.206.95.196
5.117.30.186
5.120.7.100
216.239.38.120
5.121.216.160
2.189.243.18
46.245.88.243
46.245.88.251
2.145.203.214
5.144.132.131
77.90.185.218
164.215.146.84
151.232.114.192
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
185.206.95.196
5.117.30.186
5.120.7.100
216.239.38.120
5.121.216.160
2.189.243.18
46.245.88.243
46.245.88.251
2.145.203.214
5.144.132.131
77.90.185.218
164.215.146.84
151.232.114.192
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
Please open Rubika to view this post
VIEW IN RUBIKA۵ اردیبهشت
Amn Pardazan Kavir (APK)
rotating_light اطلاعیه شماره هشتادوچهار
عملیات کالبدشکافی بدافزار در آزمایشگاه APKCERT منجر به شناسایی یک تهدید فعال در لایه سیستمعامل شده است که با هدف برقراری دسترسی زنده و استخراج محرمانه دادهها (Exfiltration) طراحی شده است.
این بدافزار که با نام crackme.exe در زیرساخت رویت شده، نمونهای بارز از حملات هدفمند برای دور زدن دیوارههای آتش سازمانی است.
small_red_triangle_down تحلیل آنتروپی و ساختار فایل crackme.exe با هش
D797B6EFDECF3DD771B1AB315CB3DF68A18724A2DE0FFFA5C101A4C65BB9C2DC نشان میدهد که مهاجم با تعبیه ۵ بخش عملیاتی مجزا، به دنبال مخفیسازی بدنه اصلی کد مخرب از دید اسکنرهای آنتیویروس بوده است.
small_red_triangle_down مستندات فنی تایید میکنند که crackme.exe با موفقیت مکانیزم UAC ویندوز را پشت سر گذاشته و با سطح دسترسی High Integrity در حافظه مستقر شده است.
خطرناکترین رفتار رصد شده، تلاش مستقیم این فایل برای فلج کردن سرویسهای حیاتی ویندوز از طریق دستور taskkill /IM svchost.exe /F است که عملاً سیستم را در برابر حملات بعدی بیدفاع میکند.
خروجی تحلیل ترافیک شبکه نشان میدهد که مهاجم با استفاده از یک Reverse Shell تعاملی، موفق شده است از پورت غیرمعمول 37135 برای اتصال به سرور فرماندهی در استونی (IP: 213.109.192.63) استفاده کند.
white_check_mark نقشه راه احتمالی مهاجم و تهدیدات ثانویه:
برآورد فنی تیم CERT حاکی از آن است که حضور crackme.exe بر روی هر ایستگاه کاری، مقدمهای برای سناریوهای بحرانی زیر خواهد بود:
black_small_square️ تکمیل چرخه جاسوسی (Live Spying):
با توجه به ارسال نام کاربری ادمین به صورت Cleartext، مهاجم هماکنون در مرحله "مشاهده زنده" قرار دارد و میتواند هر لحظه فرمان استخراج دیتابیسها یا مستندات حساس را صادر کند.
black_small_square️ پیمایش عرضی در شبکه (Lateral Movement):
سوءاستفاده از ابزارهای بومی نظیر netstat و findstr ثابت میکند که مهاجم در حال نقشهبرداری از ارتباطات شبکه داخلی برای یافتن سرورهای حیاتیتر و تکرار زنجیره آلودگی است.
black_small_square️ استفاده از ابزارهای قانونی به عنوان پوشش:
اجرای notepad.exe توسط بدافزار، یک تکنیک Decoy برای استقرار موقت کدهای مرحله دوم در بستری است که معمولاً توسط تیمهای SOC به عنوان رفتار مخرب شناسایی نمیشود.
تیم CERT با تکیه بر این یافتهها، پروتکلهای دفاعی زیر را الزامی میداند:
black_small_square️ مسدودسازی بیدرنگ فایل crackme.exe بر اساس هش SHA256 در تمامی لایههای EDR.
black_small_square️ الگوهای پایش در تیمهای SOC و شکار تهدید:
small_red_triangle شناسایی و قطع ارتباط هرگونه پروسه که به سمت پورتهای غیرمتعارف (مانند 37135) ترافیک ارسال میکند.
small_red_triangle مانیتورینگ رفتاری (Behavioral Alert) برای دستور taskkill زمانی که هدف آن پروسههای سیستمی مانند svchost.exe یا آنتیویروسها باشد.
small_red_triangle حساسیت نسبت به اجرای فایلهای EXE از مسیر %Temp% که بلافاصله درخواست ارتقای دسترسی (Elevation) میدهند.
small_red_triangle پایش فعالیتهای "گشتزنی" در شبکه؛ مانند اجرای پیاپی netstat -anon که با الگوی کاری نرمافزارهای استاندارد سازمان همخوانی ندارد.
small_red_triangle بازرسی کلیدهای رجیستری مربوط به تنظیمات Notepad در مسیر HKCU برای یافتن ردپای دادههای تزریق شده.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
عملیات کالبدشکافی بدافزار در آزمایشگاه APKCERT منجر به شناسایی یک تهدید فعال در لایه سیستمعامل شده است که با هدف برقراری دسترسی زنده و استخراج محرمانه دادهها (Exfiltration) طراحی شده است.
این بدافزار که با نام crackme.exe در زیرساخت رویت شده، نمونهای بارز از حملات هدفمند برای دور زدن دیوارههای آتش سازمانی است.
small_red_triangle_down تحلیل آنتروپی و ساختار فایل crackme.exe با هش
D797B6EFDECF3DD771B1AB315CB3DF68A18724A2DE0FFFA5C101A4C65BB9C2DC نشان میدهد که مهاجم با تعبیه ۵ بخش عملیاتی مجزا، به دنبال مخفیسازی بدنه اصلی کد مخرب از دید اسکنرهای آنتیویروس بوده است.
small_red_triangle_down مستندات فنی تایید میکنند که crackme.exe با موفقیت مکانیزم UAC ویندوز را پشت سر گذاشته و با سطح دسترسی High Integrity در حافظه مستقر شده است.
خطرناکترین رفتار رصد شده، تلاش مستقیم این فایل برای فلج کردن سرویسهای حیاتی ویندوز از طریق دستور taskkill /IM svchost.exe /F است که عملاً سیستم را در برابر حملات بعدی بیدفاع میکند.
خروجی تحلیل ترافیک شبکه نشان میدهد که مهاجم با استفاده از یک Reverse Shell تعاملی، موفق شده است از پورت غیرمعمول 37135 برای اتصال به سرور فرماندهی در استونی (IP: 213.109.192.63) استفاده کند.
white_check_mark نقشه راه احتمالی مهاجم و تهدیدات ثانویه:
برآورد فنی تیم CERT حاکی از آن است که حضور crackme.exe بر روی هر ایستگاه کاری، مقدمهای برای سناریوهای بحرانی زیر خواهد بود:
black_small_square️ تکمیل چرخه جاسوسی (Live Spying):
با توجه به ارسال نام کاربری ادمین به صورت Cleartext، مهاجم هماکنون در مرحله "مشاهده زنده" قرار دارد و میتواند هر لحظه فرمان استخراج دیتابیسها یا مستندات حساس را صادر کند.
black_small_square️ پیمایش عرضی در شبکه (Lateral Movement):
سوءاستفاده از ابزارهای بومی نظیر netstat و findstr ثابت میکند که مهاجم در حال نقشهبرداری از ارتباطات شبکه داخلی برای یافتن سرورهای حیاتیتر و تکرار زنجیره آلودگی است.
black_small_square️ استفاده از ابزارهای قانونی به عنوان پوشش:
اجرای notepad.exe توسط بدافزار، یک تکنیک Decoy برای استقرار موقت کدهای مرحله دوم در بستری است که معمولاً توسط تیمهای SOC به عنوان رفتار مخرب شناسایی نمیشود.
تیم CERT با تکیه بر این یافتهها، پروتکلهای دفاعی زیر را الزامی میداند:
black_small_square️ مسدودسازی بیدرنگ فایل crackme.exe بر اساس هش SHA256 در تمامی لایههای EDR.
black_small_square️ الگوهای پایش در تیمهای SOC و شکار تهدید:
small_red_triangle شناسایی و قطع ارتباط هرگونه پروسه که به سمت پورتهای غیرمتعارف (مانند 37135) ترافیک ارسال میکند.
small_red_triangle مانیتورینگ رفتاری (Behavioral Alert) برای دستور taskkill زمانی که هدف آن پروسههای سیستمی مانند svchost.exe یا آنتیویروسها باشد.
small_red_triangle حساسیت نسبت به اجرای فایلهای EXE از مسیر %Temp% که بلافاصله درخواست ارتقای دسترسی (Elevation) میدهند.
small_red_triangle پایش فعالیتهای "گشتزنی" در شبکه؛ مانند اجرای پیاپی netstat -anon که با الگوی کاری نرمافزارهای استاندارد سازمان همخوانی ندارد.
small_red_triangle بازرسی کلیدهای رجیستری مربوط به تنظیمات Notepad در مسیر HKCU برای یافتن ردپای دادههای تزریق شده.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
Please open Rubika to view this post
VIEW IN RUBIKA۶ اردیبهشت
Amn Pardazan Kavir (APK)
rotating_light اطلاعیه شماره هشتادوپنج
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
78.39.35.83
109.230.68.191
5.117.7.187
185.192.114.181
2.190.178.243
5.117.20.133
5.239.123.101
47.103.54.202
45.141.215.110
185.244.192.184
107.189.10.175
45.141.215.200
45.141.215.40
157.245.243.118
185.247.137.109
217.219.228.97
92.42.207.252
37.156.153.9
85.133.182.247
2.189.114.213
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
78.39.35.83
109.230.68.191
5.117.7.187
185.192.114.181
2.190.178.243
5.117.20.133
5.239.123.101
47.103.54.202
45.141.215.110
185.244.192.184
107.189.10.175
45.141.215.200
45.141.215.40
157.245.243.118
185.247.137.109
217.219.228.97
92.42.207.252
37.156.153.9
85.133.182.247
2.189.114.213
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
Please open Rubika to view this post
VIEW IN RUBIKA۶ اردیبهشت
Amn Pardazan Kavir (APK)
rotating_light اطلاعیه شماره هشتادوشش
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
31.25.92.169
5.202.51.50
217.219.68.163
37.156.159.214
31.25.92.192
195.178.110.162
139.162.3.141
45.59.163.167
91.224.92.121
62.171.158.50
187.110.175.195
45.156.128.113
217.219.163.1
25.2.115.62
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
31.25.92.169
5.202.51.50
217.219.68.163
37.156.159.214
31.25.92.192
195.178.110.162
139.162.3.141
45.59.163.167
91.224.92.121
62.171.158.50
187.110.175.195
45.156.128.113
217.219.163.1
25.2.115.62
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
Please open Rubika to view this post
VIEW IN RUBIKA۷ اردیبهشت
Amn Pardazan Kavir (APK)
rotating_light اطلاعیه شماره هشتادوهفت
در بررسی و معرفی روشهای ترند مهاجمان برای آسیب به زیرساختها، امروز به بررسی عمیق بدافزار destoryed.exe میپردازیم.
black_small_square️ این تهدید که در دستهی «لودرهای چندمرحلهای» (Multi-stage Loaders) قرار دارد، با بهرهگیری از فریمورک داتنت و لایههای (Obfuscation)، برای ورود خانوادههای خطرناکی مثل Amadey، Stealc و njRAT عمل میکند.
small_red_triangle_down این بدافزار با هش اختصاصی 033729FE4F6AADC1BA38DE00013F7B0E5E1BF5D540DF00872931053488ED79BD، فراتر از یک ابزار مخرب ساده، قابلیت «آگاهی از محیط» (Environment Awareness) دارد؛ مهاجم با دستکاری استراتژیک رجیستری در مسیرهای زیر، سیستم مانیتورینگ ویندوز را مختل میکند:
HKLM\SOFTWARE\Microsoft\Tracing\destoryed_RASMANCS
HKLM\SOFTWARE\Microsoft\Tracing\destoryed_RASAPI32
با تغییر مقدار EnableFileTracing به صفر، بدافزار تمامی ردپاهای تعامل با سرویسهای (Remote Access Services) را پاک و عملاً ارتباطات شبکه خود را از دید ابزارهای فارنزیک سیستمی مخفی میکند.
small_red_triangle_down لایه عملیاتی این تهدید بر پایه مدل «تزریق زنجیرهای» است.
این بدافزار، بعد از اجرای اولیه، با استخراج Machine GUID اقدام به انگشتنگاری (Fingerprinting) از سیستم قربانی میکند تا یک شناسه منحصربهفرد برای مدیریت در پنل C2 ایجاد کند.
بلافاصله، فرآیند svchost.exe با سطح دسترسی SYSTEM مورد سوءاستفاده قرار میگیرد تا ماژول Stealc را بارگذاری کند. این ماژول با ارسال بیش از ۴۰۰ درخواست HTTP POST در بازه زمانی بسیار کوتاه، دادههای حساسیمثل کوکیهای مرورگر، اطلاعات تکمیل خودکار (Autofill) و کیفپولهای ارز دیجیتال را به سرورهای مهاجم منتقل میکند.
white_check_mark راهکارهای جامع شناسایی و مقابله (Detection & Mitigation)
با توجه به پیچیدگی و رفتار ماژولار این بدافزار، اقدامات دفاعی باید در چندین لایه به شرح زیر پیادهسازی شوند:
black_small_square️ پایش رفتاری و جرمشناسی فرآیندها (Process Forensic)
ردیابی سوءاستفاده از svchost: ایجاد Alert برای هرگونه ترافیک شبکه خروجی از پروسه svchost.exe که توسط والد غیرمعمول (مانند یک فایل در مسیر Temp) ایجاد شده باشد. ترافیک خروجی این پروسه به سمت IPهای مشکوک (نظیر 82.26.74.80) باید منجر به قطع فوری دسترسی سیستم به شبکه شود.
شناسایی Artifactهای موقت: مانیتورینگ مداوم مسیر %AppData%\Local\Temp\ برای شناسایی فایلهایی با الگوی نامگذاری __PSScriptPolicyTest_. این فایلها نشاندهنده تلاش بدافزار برای تست سطح دسترسی PowerShell و دور زدن Execution Policyها هستند.
تحلیل نرخ درخواستهای شبکه: تنظیم قوانین شناسایی ناهنجاری (Anomaly Detection) بر روی تجهیزات امنیت شبکه (WAF/IPS) برای شناسایی نرخ غیرعادی درخواستهای HTTP (بیش از ۱۰۰ درخواست در دقیقه) از یک کلاینت واحد به سمت مقاصد ناشناخته.
black_small_square️ سختگیری در لایه میزبان و سیستمعامل (Host Hardening)
کنترل دسترسی به رجیستری: اعمال محدودیت بر روی کلیدهای رجیستری مرتبط با Tracing و Cryptography. هرگونه تلاش برای تغییر در مقادیر EnableFileTracing یا خواندن MachineGuid توسط پروسههای غیرسیستمی باید بلافاصله توسط ابزار EDR مسدود شود.
ایزولهسازی مسیرهای اجرایی: فعالسازی قوانین Attack Surface Reduction (ASR) برای جلوگیری از اجرای فایلهای اسکریپتی و اجرایی از پوشههای موقت (Temp) و دانلودهای کاربران.
جلوگیری از جعل نام (Anti-Masquerading): اسکن دورهای سیستم برای شناسایی فایلهای اجرایی که از نامهای معتبر سیستمی (مانند lsass.exe یا svchost.exe) استفاده میکنند اما در مسیرهای غیرسیستمی (مانند دسکتاپ یا Temp) مستقر شدهاند.
black_small_square️ مدیریت شاخصهای آلودگی و پاسخ به حادثه
پاکسازی و ایزوله کردن: به محض شناسایی هر یک از فایلهای فرعی نظیر bot.exe یا ransomware.exe در مسیرهای ذکر شده، سیستم باید فوراً از شبکه جداسازی شود؛ چرا که وجود این فایلها به معنای عبور بدافزار از فاز سرقت داده و ورود به فاز تخریب (Encryption) است.
بررسی ترافیک C2: مسدودسازی تمامی ارتباطات به سمت دامنهها و IPهای استخراج شده در لایه فایروال و بررسی لاگهای DNS برای شناسایی سایر سیستمهایی که ممکن است برای اتصال به این آدرسها تلاش کرده باشند.
بازرسی ابزارهای LotL: مانیتورینگ دقیق استفاده از PowerShell و ابزارهای مدیریت سیستم. هرگونه استفاده از سوئیچهای -ExecutionPolicy Bypass یا -WindowStyle Hidden در ترکیب با آدرسهای IP خارجی باید به عنوان تهدید قطعی تلقی گردد.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
در بررسی و معرفی روشهای ترند مهاجمان برای آسیب به زیرساختها، امروز به بررسی عمیق بدافزار destoryed.exe میپردازیم.
black_small_square️ این تهدید که در دستهی «لودرهای چندمرحلهای» (Multi-stage Loaders) قرار دارد، با بهرهگیری از فریمورک داتنت و لایههای (Obfuscation)، برای ورود خانوادههای خطرناکی مثل Amadey، Stealc و njRAT عمل میکند.
small_red_triangle_down این بدافزار با هش اختصاصی 033729FE4F6AADC1BA38DE00013F7B0E5E1BF5D540DF00872931053488ED79BD، فراتر از یک ابزار مخرب ساده، قابلیت «آگاهی از محیط» (Environment Awareness) دارد؛ مهاجم با دستکاری استراتژیک رجیستری در مسیرهای زیر، سیستم مانیتورینگ ویندوز را مختل میکند:
HKLM\SOFTWARE\Microsoft\Tracing\destoryed_RASMANCS
HKLM\SOFTWARE\Microsoft\Tracing\destoryed_RASAPI32
با تغییر مقدار EnableFileTracing به صفر، بدافزار تمامی ردپاهای تعامل با سرویسهای (Remote Access Services) را پاک و عملاً ارتباطات شبکه خود را از دید ابزارهای فارنزیک سیستمی مخفی میکند.
small_red_triangle_down لایه عملیاتی این تهدید بر پایه مدل «تزریق زنجیرهای» است.
این بدافزار، بعد از اجرای اولیه، با استخراج Machine GUID اقدام به انگشتنگاری (Fingerprinting) از سیستم قربانی میکند تا یک شناسه منحصربهفرد برای مدیریت در پنل C2 ایجاد کند.
بلافاصله، فرآیند svchost.exe با سطح دسترسی SYSTEM مورد سوءاستفاده قرار میگیرد تا ماژول Stealc را بارگذاری کند. این ماژول با ارسال بیش از ۴۰۰ درخواست HTTP POST در بازه زمانی بسیار کوتاه، دادههای حساسیمثل کوکیهای مرورگر، اطلاعات تکمیل خودکار (Autofill) و کیفپولهای ارز دیجیتال را به سرورهای مهاجم منتقل میکند.
white_check_mark راهکارهای جامع شناسایی و مقابله (Detection & Mitigation)
با توجه به پیچیدگی و رفتار ماژولار این بدافزار، اقدامات دفاعی باید در چندین لایه به شرح زیر پیادهسازی شوند:
black_small_square️ پایش رفتاری و جرمشناسی فرآیندها (Process Forensic)
ردیابی سوءاستفاده از svchost: ایجاد Alert برای هرگونه ترافیک شبکه خروجی از پروسه svchost.exe که توسط والد غیرمعمول (مانند یک فایل در مسیر Temp) ایجاد شده باشد. ترافیک خروجی این پروسه به سمت IPهای مشکوک (نظیر 82.26.74.80) باید منجر به قطع فوری دسترسی سیستم به شبکه شود.
شناسایی Artifactهای موقت: مانیتورینگ مداوم مسیر %AppData%\Local\Temp\ برای شناسایی فایلهایی با الگوی نامگذاری __PSScriptPolicyTest_. این فایلها نشاندهنده تلاش بدافزار برای تست سطح دسترسی PowerShell و دور زدن Execution Policyها هستند.
تحلیل نرخ درخواستهای شبکه: تنظیم قوانین شناسایی ناهنجاری (Anomaly Detection) بر روی تجهیزات امنیت شبکه (WAF/IPS) برای شناسایی نرخ غیرعادی درخواستهای HTTP (بیش از ۱۰۰ درخواست در دقیقه) از یک کلاینت واحد به سمت مقاصد ناشناخته.
black_small_square️ سختگیری در لایه میزبان و سیستمعامل (Host Hardening)
کنترل دسترسی به رجیستری: اعمال محدودیت بر روی کلیدهای رجیستری مرتبط با Tracing و Cryptography. هرگونه تلاش برای تغییر در مقادیر EnableFileTracing یا خواندن MachineGuid توسط پروسههای غیرسیستمی باید بلافاصله توسط ابزار EDR مسدود شود.
ایزولهسازی مسیرهای اجرایی: فعالسازی قوانین Attack Surface Reduction (ASR) برای جلوگیری از اجرای فایلهای اسکریپتی و اجرایی از پوشههای موقت (Temp) و دانلودهای کاربران.
جلوگیری از جعل نام (Anti-Masquerading): اسکن دورهای سیستم برای شناسایی فایلهای اجرایی که از نامهای معتبر سیستمی (مانند lsass.exe یا svchost.exe) استفاده میکنند اما در مسیرهای غیرسیستمی (مانند دسکتاپ یا Temp) مستقر شدهاند.
black_small_square️ مدیریت شاخصهای آلودگی و پاسخ به حادثه
پاکسازی و ایزوله کردن: به محض شناسایی هر یک از فایلهای فرعی نظیر bot.exe یا ransomware.exe در مسیرهای ذکر شده، سیستم باید فوراً از شبکه جداسازی شود؛ چرا که وجود این فایلها به معنای عبور بدافزار از فاز سرقت داده و ورود به فاز تخریب (Encryption) است.
بررسی ترافیک C2: مسدودسازی تمامی ارتباطات به سمت دامنهها و IPهای استخراج شده در لایه فایروال و بررسی لاگهای DNS برای شناسایی سایر سیستمهایی که ممکن است برای اتصال به این آدرسها تلاش کرده باشند.
بازرسی ابزارهای LotL: مانیتورینگ دقیق استفاده از PowerShell و ابزارهای مدیریت سیستم. هرگونه استفاده از سوئیچهای -ExecutionPolicy Bypass یا -WindowStyle Hidden در ترکیب با آدرسهای IP خارجی باید به عنوان تهدید قطعی تلقی گردد.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
Please open Rubika to view this post
VIEW IN RUBIKA۱۱ اردیبهشت
Amn Pardazan Kavir (APK)
rotating_light اطلاعیه شماره هشتادونه
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
5.125.136.203
37.255.59.228
91.212.174.83
185.7.172.104
37.156.158.7
37.148.66.229
5.119.200.11
87.248.154.43
109.162.252.19
37.148.79.185
109.162.252.28
151.235.237.53
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
5.125.136.203
37.255.59.228
91.212.174.83
185.7.172.104
37.156.158.7
37.148.66.229
5.119.200.11
87.248.154.43
109.162.252.19
37.148.79.185
109.162.252.28
151.235.237.53
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
Please open Rubika to view this post
VIEW IN RUBIKA۱۱ اردیبهشت
Amn Pardazan Kavir (APK)
rotating_light اطلاعیه شماره نود
بر اساس تحلیلهای فنی و گزارشهای منتشر شده از منابع معتبر امنیت سایبری در مارس ۲۰۲۶، یک حمله سازمانیافته و بسیار خطرناک در زنجیره تأمین اکوسیستم npm شناسایی شده است که نشاندهنده تمرکز ویژه عامل تهدید بر زیرساختهای داخل ایران است.
این حمله که توسط گروه TeamPCP و در پی رخنه به ابزارهای امنیتی در خطوط لوله CI/CD (نظیر Trivy v0.69.4) اجرا شده، از طریق انتشار نسخههای آلوده در بستههای پرکاربرد (نظیر اسکوپ @opengov) در حال گسترش است.
small_red_triangle_down بدافزار شناسایی شده با نام CanisterWorm، یک کرم خودتکثیر است که با سرقت توکنهای انتشار، کدهای مخرب خود را در بستههای تحت اختیار قربانی تزریق و منتشر میکند.
small_red_triangle_down این بدافزار با بهرهگیری از اسکریپتهای postinstall، کدهای اصلی خود را بلافاصله پس از نصب اجرا کرده و با ایجاد یک سرویس systemd به نام pgmon.serv در سطح کاربر، پایداری خود را بدون نیاز به دسترسی Root تضمین مینماید.
warning️ تحلیل بخش بحرانی: مکانیزم تخریب هدفمند در ایران
black_small_square️ تحلیل کدهای استخراج شده نشان میدهد که بدافزار مجهز به یک "بمب منطقی" (Logic Bomb) هوشمند با متغیر داخلی اختصاصی برای شناسایی هدف در ایران (IRAN_TARGET) است.
black_small_square️ بدافزار پس از اجرا، ابتدا با فراخوانی توابعی نظیر getSystemTimezone() و بررسی آدرسهای IP، موقعیت سیستم را پایش کرده و در صورت تشخیص جغرافیای ایران، واکنشهای تخریبی زیر را فعال میکند:
black_small_square️ در محیطهای کلاستر (Kubernetes):
بدافزار با استفاده از کتابخانههای کلاینت و دسترسی به API سرور، یک DaemonSet ویژه به نام host-provisioner-iran را مستقر میکند. این شیء مخرب با تنظیمات سطح بالا (privileged: true) و مگنت کردن ریشه میزبان (hostPath: /) به داخل کانتینر، اجازه مییابد فراتر از ایزولاسیون کانتینری، کل فایلسیستم سرورهای فیزیکی کلاستر را پاکسازی کرده و با ریبوت اجباری، زیرساخت را نابود کند.
black_small_square️ در سیستمهای لینوکسی معمولی:
چنانچه بدافزار تشخیص دهد که سیستم در ایران مستقر است اما محیط کوبرنتیز نیست، مستقیماً دستور مرگبار rm -rf / --no-preserve-root را جهت نابودی کامل سیستم و حذف تمامی فایلهای ریشه اجرا میکند.
لازم به ذکر است بدافزار برای سیستمهای خارج از ایران تنها به نصب یک بکدور جهت جاسوسی بسنده میکند که نشاندهنده ماهیت کاملاً هدفمند این Wiper علیه ایران است.
white_check_mark تحلیل رفتارهای احتمالی آتی و اقدامات پنهان:
کارشناسان تحلیل تهدیدات بر این باورند که این اقدامات پیشزمینهای برای حملات وسیعتر با مشخصات زیر است:
black_small_square️ استفاده از C2 غیرقابل توقیف:
ارتباط بر بستر بلاکچین ICP که به دلیل ساختار غیرمتمرکز، مسدودسازی آن ناممکن است.
black_small_square️ سرقت گسترده اعتبارنامهها:
اسکن مداوم توکنهای NPM جهت گسترش زنجیرهای حمله به سایر سازمانها.
🟥 با توجه به موار فوق پیشنهاد می گردد اقدامات ذیل در اسرع وقت مورد بررسی قرار گیرند:
black_small_square️ بررسی و پایش الگوهای زیر در لایههای SOC و زیرساخت:
small_red_triangle پایش کلاستر (Kubernetes Monitoring):
black_small_square️ جستجوی فوری برای شناسایی و حذف DaemonSet مخرب با نام host-provisioner-iran در تمامی فضاهای نام (بهویژه kube-system).
black_small_square️ پایش ایجاد هرگونه شیء جدید در کوبرنتیز که دارای پارامتر privileged: true و hostPath به ریشه (/) باشد.
small_red_triangle️ مسدودسازی شبکه (Network Containment):
black_small_square️ جلوگیری از ترافیک خروجی به دامنهی مرکز فرماندهی بلاکچین: *tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io*.
black_small_square️ مسدودسازی دامنهی سرقت اطلاعات اولیه: *scan.aquasecurtiy.org*.*
small_red_triangle بازرسی فایلسیستم (Host-based Hunting):
black_small_square️ جستجو و حذف فایل ایمپلنت اصلی: ~/.local/share/pgmon/service.py و سرویس پایداری آن: ~/.config/systemd/user/pgmon.serv.
black_small_square️ پایش دایرکتوری موقت برای فایلهای وضعیت و پیلودهای مرحله دوم: /tmp/pglog و /tmp/.pg_state.
small_red_triangle مدیریت اعتبارنامهها و توکنها (Credential Rotation):
black_small_square️ ابطال و تعویض فوری تمامی توکنهای موجود در فایلهای .npmrc و متغیرهای محیطی محیطهای CI/CD که احتمال آلودگی آنها وجود دارد.
small_red_triangle تحلیل زنجیره تأمین و بازرسی کد (Supply Chain Audit):
black_small_square️ اسکن فایلهای package.json: جستجوی اسکریپتهای نصب مشکوک نظیر "postinstall": "node index.js" در بستههای اسکوپ @opengov و بستههای وابسته.
black_small_square️ بررسی کدهای مبهم: شناسایی کدهای جاوااسکریپت حاوی رشتههای طولانی Base64 که در زمان اجرا اقدام به ساخت فایلهای پایتون (.py) در پسزمینه میکنند.
small_red_triangle تثبیت نسخهها (Version Pinning):
black_small_square️ قفل کردن نسخههای تمامی بستههای npm بر روی آخرین نسخهی پایدار تأیید شده (پیش از مارس ۲۰۲۶) جهت جلوگیری از دریافت آپدیتهای آلوده.
@apkgroup
بر اساس تحلیلهای فنی و گزارشهای منتشر شده از منابع معتبر امنیت سایبری در مارس ۲۰۲۶، یک حمله سازمانیافته و بسیار خطرناک در زنجیره تأمین اکوسیستم npm شناسایی شده است که نشاندهنده تمرکز ویژه عامل تهدید بر زیرساختهای داخل ایران است.
این حمله که توسط گروه TeamPCP و در پی رخنه به ابزارهای امنیتی در خطوط لوله CI/CD (نظیر Trivy v0.69.4) اجرا شده، از طریق انتشار نسخههای آلوده در بستههای پرکاربرد (نظیر اسکوپ @opengov) در حال گسترش است.
small_red_triangle_down بدافزار شناسایی شده با نام CanisterWorm، یک کرم خودتکثیر است که با سرقت توکنهای انتشار، کدهای مخرب خود را در بستههای تحت اختیار قربانی تزریق و منتشر میکند.
small_red_triangle_down این بدافزار با بهرهگیری از اسکریپتهای postinstall، کدهای اصلی خود را بلافاصله پس از نصب اجرا کرده و با ایجاد یک سرویس systemd به نام pgmon.serv در سطح کاربر، پایداری خود را بدون نیاز به دسترسی Root تضمین مینماید.
warning️ تحلیل بخش بحرانی: مکانیزم تخریب هدفمند در ایران
black_small_square️ تحلیل کدهای استخراج شده نشان میدهد که بدافزار مجهز به یک "بمب منطقی" (Logic Bomb) هوشمند با متغیر داخلی اختصاصی برای شناسایی هدف در ایران (IRAN_TARGET) است.
black_small_square️ بدافزار پس از اجرا، ابتدا با فراخوانی توابعی نظیر getSystemTimezone() و بررسی آدرسهای IP، موقعیت سیستم را پایش کرده و در صورت تشخیص جغرافیای ایران، واکنشهای تخریبی زیر را فعال میکند:
black_small_square️ در محیطهای کلاستر (Kubernetes):
بدافزار با استفاده از کتابخانههای کلاینت و دسترسی به API سرور، یک DaemonSet ویژه به نام host-provisioner-iran را مستقر میکند. این شیء مخرب با تنظیمات سطح بالا (privileged: true) و مگنت کردن ریشه میزبان (hostPath: /) به داخل کانتینر، اجازه مییابد فراتر از ایزولاسیون کانتینری، کل فایلسیستم سرورهای فیزیکی کلاستر را پاکسازی کرده و با ریبوت اجباری، زیرساخت را نابود کند.
black_small_square️ در سیستمهای لینوکسی معمولی:
چنانچه بدافزار تشخیص دهد که سیستم در ایران مستقر است اما محیط کوبرنتیز نیست، مستقیماً دستور مرگبار rm -rf / --no-preserve-root را جهت نابودی کامل سیستم و حذف تمامی فایلهای ریشه اجرا میکند.
لازم به ذکر است بدافزار برای سیستمهای خارج از ایران تنها به نصب یک بکدور جهت جاسوسی بسنده میکند که نشاندهنده ماهیت کاملاً هدفمند این Wiper علیه ایران است.
white_check_mark تحلیل رفتارهای احتمالی آتی و اقدامات پنهان:
کارشناسان تحلیل تهدیدات بر این باورند که این اقدامات پیشزمینهای برای حملات وسیعتر با مشخصات زیر است:
black_small_square️ استفاده از C2 غیرقابل توقیف:
ارتباط بر بستر بلاکچین ICP که به دلیل ساختار غیرمتمرکز، مسدودسازی آن ناممکن است.
black_small_square️ سرقت گسترده اعتبارنامهها:
اسکن مداوم توکنهای NPM جهت گسترش زنجیرهای حمله به سایر سازمانها.
🟥 با توجه به موار فوق پیشنهاد می گردد اقدامات ذیل در اسرع وقت مورد بررسی قرار گیرند:
black_small_square️ بررسی و پایش الگوهای زیر در لایههای SOC و زیرساخت:
small_red_triangle پایش کلاستر (Kubernetes Monitoring):
black_small_square️ جستجوی فوری برای شناسایی و حذف DaemonSet مخرب با نام host-provisioner-iran در تمامی فضاهای نام (بهویژه kube-system).
black_small_square️ پایش ایجاد هرگونه شیء جدید در کوبرنتیز که دارای پارامتر privileged: true و hostPath به ریشه (/) باشد.
small_red_triangle️ مسدودسازی شبکه (Network Containment):
black_small_square️ جلوگیری از ترافیک خروجی به دامنهی مرکز فرماندهی بلاکچین: *tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io*.
black_small_square️ مسدودسازی دامنهی سرقت اطلاعات اولیه: *scan.aquasecurtiy.org*.*
small_red_triangle بازرسی فایلسیستم (Host-based Hunting):
black_small_square️ جستجو و حذف فایل ایمپلنت اصلی: ~/.local/share/pgmon/service.py و سرویس پایداری آن: ~/.config/systemd/user/pgmon.serv.
black_small_square️ پایش دایرکتوری موقت برای فایلهای وضعیت و پیلودهای مرحله دوم: /tmp/pglog و /tmp/.pg_state.
small_red_triangle مدیریت اعتبارنامهها و توکنها (Credential Rotation):
black_small_square️ ابطال و تعویض فوری تمامی توکنهای موجود در فایلهای .npmrc و متغیرهای محیطی محیطهای CI/CD که احتمال آلودگی آنها وجود دارد.
small_red_triangle تحلیل زنجیره تأمین و بازرسی کد (Supply Chain Audit):
black_small_square️ اسکن فایلهای package.json: جستجوی اسکریپتهای نصب مشکوک نظیر "postinstall": "node index.js" در بستههای اسکوپ @opengov و بستههای وابسته.
black_small_square️ بررسی کدهای مبهم: شناسایی کدهای جاوااسکریپت حاوی رشتههای طولانی Base64 که در زمان اجرا اقدام به ساخت فایلهای پایتون (.py) در پسزمینه میکنند.
small_red_triangle تثبیت نسخهها (Version Pinning):
black_small_square️ قفل کردن نسخههای تمامی بستههای npm بر روی آخرین نسخهی پایدار تأیید شده (پیش از مارس ۲۰۲۶) جهت جلوگیری از دریافت آپدیتهای آلوده.
@apkgroup
Please open Rubika to view this post
VIEW IN RUBIKA۱۲ اردیبهشت
Amn Pardazan Kavir (APK)
rotating_light اطلاعیه شماره نودویک
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
5.237.27.98
83.123.146.15
87.107.100.39
5.112.57.113
5.119.240.249
37.202.165.148
87.107.165.12
83.120.156.77
2.176.83.85
151.234.202.18
5.210.173.75
5.237.2.128
2.183.140.82
109.225.165.40
109.162.252.63
5.121.249.195
5.122.143.212
109.162.252.46
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
5.237.27.98
83.123.146.15
87.107.100.39
5.112.57.113
5.119.240.249
37.202.165.148
87.107.165.12
83.120.156.77
2.176.83.85
151.234.202.18
5.210.173.75
5.237.2.128
2.183.140.82
109.225.165.40
109.162.252.63
5.121.249.195
5.122.143.212
109.162.252.46
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
Please open Rubika to view this post
VIEW IN RUBIKA۱۳ اردیبهشت
Amn Pardazan Kavir (APK)
rotating_light اطلاعیه شماره نود و سه
بر اساس تحلیلهای فنی و گزارشهای منتشر شده از منابع معتبر امنیت سایبری در اواخر آوریل و اوایل می ۲۰۲۶، یک آسیبپذیری بسیار خطرناک در هسته لینوکس با شناسه CVE-2026-31431 ملقب به Copy Fail بهصورت عمومی افشا شده و هماکنون در حال بهرهبرداری فعال است.
این آسیبپذیری که در زیرسیستم Crypto و ماژول algif_aead قرار دارد، امکان ارتقاء دسترسی محلی Local Privilege Escalation از کاربر عادی به root را با سطح اطمینان بالا فراهم میکند.
rotating_light آخرین آپدیت کلیدی
۱ می ۲۰۲۶
انتشار تحلیلهای Threat Intelligence توسط Microsoft و سایر وندورها مبنیبر:
black_small_square️ ریسک بالا در محیطهای Cloud و Kubernetes
black_small_square️ امکان chain شدن در container escape
small_red_triangle_down تحلیل بخش بحرانی: مکانیزم حمله (Copy-on-Write Abuse)
این آسیبپذیری ناشی از نقص در مدیریت عملیات in-place در AF_ALG است که به مهاجم اجازه میدهد:
black_small_square️ بدون تغییر فایل روی دیسک
black_small_square️ بدون ثبت در مکانیزمهای integrity
black_small_square️ محتوای page cache را مستقیماً overwrite کند.
در این سناریو، مهاجم میتواند:
black_small_square️ باینریهای حساس مثل SUID binariesرا فقط در حافظه تغییر دهد.
black_small_square️ همان باینری را اجرا کند و به سطح root برسد.
warning️ نکته حیاتی
این رفتار باعث bypass کامل ابزارهای forensic مبتنیبر دیسک میشود.
small_red_triangle_down ویژگیهای خطرناک اکسپلویت
black_small_square️ بدون نیاز به race condition (برخلاف Dirty COW)
black_small_square️ بسیار پایدار و deterministic
black_small_square️ حجم بسیار کم PoC (حدود ۷۳۲ بایت)
black_small_square️ قابل اجرا روی طیف وسیعی از دیستروها (distro)
warning️ تحلیل تهدید در زیرساختهای مدرن
exclamationدر محیطهای Containerized
black_small_square️ سوءاستفاده از page cache مشترک بین container و host
black_small_square️ امکان escape از container و دسترسی به node
exclamationدر محیطهای Cloud
black_small_square️ Escalation از user-level access در VM به root
black_small_square️ افزایش ریسک lateral movement در شبکه داخلی
با توجه به توضیحات بالا، پیشنهاد میشود اقدامات زیر فوراً بررسی و اجرا شوند:
Patch Management (بسیار حیاتی)
black_small_square️ بروزرسانی فوری kernel به نسخههای patch شده (بعد از ۱ آوریل ۲۰۲۶)
black_small_square️ بررسی وضعیت patch در distro (بعضی هنوز Fully Patched نیستند.)
Hardening در سطح سیستم
black_small_square️ غیرفعالسازی AF_ALG در صورت عدم نیاز
black_small_square️ محدودسازی unprivileged user namespaces
black_small_square️ کاهش دسترسی به سیسکالها مرتبط مانند splice()
Detection & Threat Hunting
black_small_square️ پایش الگوهای غیرعادی
small_blue_diamondاستفاده همزمان از AF_ALG + splice ()
small_blue_diamondدسترسی غیرعادی به کریپتو سوکتها (Crypto Socket)
black_small_square️ استفاده از EDR با قابلیت memory analysis (نه فقط disk-based)
Kubernetes Security Monitoring
black_small_square️ بررسی رفتار کانتینرها برای سیسکالهای غیرمعمول
black_small_square️ اعمال seccomp و AppArmor profiles محدودکننده
black_small_square️ مانیتورینگ دسترسی به host kernel interface
Incident Response Readiness
black_small_square️ فرض compromise در صورت وجود access محلی
black_small_square️ بررسی integrity باینریها در runtime (نه فقط روی دیسک)
black_small_square️ Rotation دسترسیها درصورت مشاهده رفتار مشکوک
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
بر اساس تحلیلهای فنی و گزارشهای منتشر شده از منابع معتبر امنیت سایبری در اواخر آوریل و اوایل می ۲۰۲۶، یک آسیبپذیری بسیار خطرناک در هسته لینوکس با شناسه CVE-2026-31431 ملقب به Copy Fail بهصورت عمومی افشا شده و هماکنون در حال بهرهبرداری فعال است.
این آسیبپذیری که در زیرسیستم Crypto و ماژول algif_aead قرار دارد، امکان ارتقاء دسترسی محلی Local Privilege Escalation از کاربر عادی به root را با سطح اطمینان بالا فراهم میکند.
rotating_light آخرین آپدیت کلیدی
۱ می ۲۰۲۶
انتشار تحلیلهای Threat Intelligence توسط Microsoft و سایر وندورها مبنیبر:
black_small_square️ ریسک بالا در محیطهای Cloud و Kubernetes
black_small_square️ امکان chain شدن در container escape
small_red_triangle_down تحلیل بخش بحرانی: مکانیزم حمله (Copy-on-Write Abuse)
این آسیبپذیری ناشی از نقص در مدیریت عملیات in-place در AF_ALG است که به مهاجم اجازه میدهد:
black_small_square️ بدون تغییر فایل روی دیسک
black_small_square️ بدون ثبت در مکانیزمهای integrity
black_small_square️ محتوای page cache را مستقیماً overwrite کند.
در این سناریو، مهاجم میتواند:
black_small_square️ باینریهای حساس مثل SUID binariesرا فقط در حافظه تغییر دهد.
black_small_square️ همان باینری را اجرا کند و به سطح root برسد.
warning️ نکته حیاتی
این رفتار باعث bypass کامل ابزارهای forensic مبتنیبر دیسک میشود.
small_red_triangle_down ویژگیهای خطرناک اکسپلویت
black_small_square️ بدون نیاز به race condition (برخلاف Dirty COW)
black_small_square️ بسیار پایدار و deterministic
black_small_square️ حجم بسیار کم PoC (حدود ۷۳۲ بایت)
black_small_square️ قابل اجرا روی طیف وسیعی از دیستروها (distro)
warning️ تحلیل تهدید در زیرساختهای مدرن
exclamationدر محیطهای Containerized
black_small_square️ سوءاستفاده از page cache مشترک بین container و host
black_small_square️ امکان escape از container و دسترسی به node
exclamationدر محیطهای Cloud
black_small_square️ Escalation از user-level access در VM به root
black_small_square️ افزایش ریسک lateral movement در شبکه داخلی
با توجه به توضیحات بالا، پیشنهاد میشود اقدامات زیر فوراً بررسی و اجرا شوند:
Patch Management (بسیار حیاتی)
black_small_square️ بروزرسانی فوری kernel به نسخههای patch شده (بعد از ۱ آوریل ۲۰۲۶)
black_small_square️ بررسی وضعیت patch در distro (بعضی هنوز Fully Patched نیستند.)
Hardening در سطح سیستم
black_small_square️ غیرفعالسازی AF_ALG در صورت عدم نیاز
black_small_square️ محدودسازی unprivileged user namespaces
black_small_square️ کاهش دسترسی به سیسکالها مرتبط مانند splice()
Detection & Threat Hunting
black_small_square️ پایش الگوهای غیرعادی
small_blue_diamondاستفاده همزمان از AF_ALG + splice ()
small_blue_diamondدسترسی غیرعادی به کریپتو سوکتها (Crypto Socket)
black_small_square️ استفاده از EDR با قابلیت memory analysis (نه فقط disk-based)
Kubernetes Security Monitoring
black_small_square️ بررسی رفتار کانتینرها برای سیسکالهای غیرمعمول
black_small_square️ اعمال seccomp و AppArmor profiles محدودکننده
black_small_square️ مانیتورینگ دسترسی به host kernel interface
Incident Response Readiness
black_small_square️ فرض compromise در صورت وجود access محلی
black_small_square️ بررسی integrity باینریها در runtime (نه فقط روی دیسک)
black_small_square️ Rotation دسترسیها درصورت مشاهده رفتار مشکوک
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
Please open Rubika to view this post
VIEW IN RUBIKA۱۳ اردیبهشت
Amn Pardazan Kavir (APK)
rotating_light اطلاعیه شماره نودوچهار
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
37.221.27.52
188.253.67.40
46.143.92.235
5.10.248.155
188.136.220.71
93.126.40.22
91.236.168.167
212.80.18.11
185.18.213.22
80.210.47.42
87.236.208.94
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
37.221.27.52
188.253.67.40
46.143.92.235
5.10.248.155
188.136.220.71
93.126.40.22
91.236.168.167
212.80.18.11
185.18.213.22
80.210.47.42
87.236.208.94
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
Please open Rubika to view this post
VIEW IN RUBIKA۱۴ اردیبهشت
Amn Pardazan Kavir (APK)
rotating_light اطلاعیه شماره نودوپنج
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
80.191.185.128
5.122.233.193
94.177.75.104
94.182.214.91
2.147.172.213
142.250.202.174
5.62.176.102
77.237.163.206
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
80.191.185.128
5.122.233.193
94.177.75.104
94.182.214.91
2.147.172.213
142.250.202.174
5.62.176.102
77.237.163.206
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
Please open Rubika to view this post
VIEW IN RUBIKA۱۴ اردیبهشت
Amn Pardazan Kavir (APK)
rotating_light اطلاعیه شماره نودوشش
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
37.148.70.118
142.250.202.238
188.121.120.148
185.129.228.26
142.250.202.46
217.218.31.112
5.10.248.4
78.157.51.89
37.32.10.163
2.176.110.7
5.122.211.72
77.237.166.139
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
با توجه به فعالیتهای مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
black_small_square️ بلاک کردن کلیه موارد اعلامی
black_small_square️ بررسی وضعیت لاگهای SIEM در خصوص فعالیت این IPها در شبکه
warning️ لیست IPها:
37.148.70.118
142.250.202.238
188.121.120.148
185.129.228.26
142.250.202.46
217.218.31.112
5.10.248.4
78.157.51.89
37.32.10.163
2.176.110.7
5.122.211.72
77.237.166.139
small_red_triangle️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیتها به واحد CERT اطلاعرسانی شود.
black_small_square️
black_small_square️
black_small_square️
آیدی کانال: @apkgroup
مرکز CERT شرکت امنپردازان کویر (APK)
Please open Rubika to view this post
VIEW IN RUBIKA