Skip to content

ONHEXGROUP

اخبار دنیای امنیت سایبری

  • اخبار
    • آسیب پذیری امنیتی
    • آنالیز بدافزار
    • کنفرانس ،دوره ، وبینار ، لایو ، CTF
    • بازیگران تهدید
    • توسعه اکسپلویت
    • افشای اطلاعات
    • باگ بانتی
    • تیم آبی
    • تیم قرمز
    • امنیت وب
  • دوره های آموزشی
    • دوره رایگان مهندسی معکوس نرم افزار
  • لیست های ویژه
    • موتورهای جستجو برای امنیت سایبری
    • کاتالوگ KEV آژانس CISA
    • آسیب پذیری های وردپرس
      • آسیب پذیری پلاگین ها
      • آسیب پذیری های هسته
      • آسیب پذیری تم ها
    • محصولات خارج از پشتیبانی مایکروسافت
      • محصولات مایکروسافتی که در سال 2022 پشتیبانی نمیشن
      • محصولات مایکروسافتی که در سال 2023 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2024 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2025 پشتیبانی نمیشن
    • معرفی فیلم ها و سریالهای مرتبط با هک و امنیت
  • آموزش های ویدیویی
  • انتشارات
    • مجله
    • مقالات
    • پادکست
  • پروژه ها
    • ماشین آسیب پذیر
      • وردپرس آسیب پذیر
  • حمایت مالی ( Donate)
  • تماس با ما
 
  • Home
  • اخبار
  • آنالیز بدافزار
  • اخبار

xdr33 بدافزاری از نوع پروژه HIVE سیا

On دی 26, 1401فروردین 28, 1402
seyyid
Share
زمان مطالعه: 2 دقیقه

محققای 360Netlab در 21 اکتبر 2022 روی هانی پاتشون یه فایل ELF رو شناسایی کردن که از طریق آسیب پذیری F5 ، بدون شناسایی توسط آنتی ویروسها ، منتشر شده بود و با آی پی 45.9.150.144 از طریق یه گواهینامه SSL جعلی کسپرسکی ارتباط برقرار میکرد.

پس از بررسی متوجه شدن که این نمونه با سورس کد لو رفته پروژه HIVE سیا ، مطابقت داره. اسم این بدافزار رو هم، xdr33 گذاشتن.

پروژه HIVE سیا :

در سال 2017  سایت Wikileaks ، یسری افشاگری ها در خصوص ابزارها و پروژه های جاسوسی سایبری سیا تحت عنوان Vault منتشر کرد.

در سری هشتم ، Vault8 ، از یه پروژه ای بنام HIVE اطلاعاتی منتشر شد که این پروژه برای کنترل بدافزار از راه دور روی سیستم قربانی قابل استفاده بود.

بدافزار xdr33 :

بطور خلاصه ، بدافزار xdr33 یک بکدور هستش که هدف اصلی اون جمع آوری اطلاعات حساس و ایجاد بستری برای حملات بعدی هستش.

از نظر ارتباطی ، این بدافزار از طریق الگوریتم های XTEA یا AES  برای رمزنگاری و از SSL با فعال بودن حالت Client-Certificate Authentication برای محافظت بیشتر از ترافیک شبکه استفاده میکنه.

از نظر عملکردی دو وظیفه اصلی داره : beacon  و trigger . بخش beacon بصورت دوره ای اطلاعات حساس دستگاه رو به C2 beacon ارسال میکنه و دستورات ارسال شده توسط C2 رو اجرا میکنه.

بخش trigger ترافیک NIC رو برای شناسایی پیام خاص Trigger C2 مونیتور میکنه و در صورتی که چنین پیامهایی رو دریافت کرد، با Trigger C2 ارتباط برقرار کرده و منتظر اجرای دستورات صادر شده از اون میمیونه.

تصویر زیر نمای کلی Trigger message format هستش :

تصویر زیر نمای کلی Trigger Payload هستش:

شکل زیر شماتیک عملکردی این بدافزار رو نشون میده :

hive-xdr33

سیا ؟

محققا براساس دلایل زیر ، احتمال اینکه سیا این پروژه رو برای حملات جدید بهبود داده رو رد کردن و احتمال میدن که یه گروه هکری دیگه از کدهای لو رفته HIVE سوء استفاده کرده.

  • Hive از عبارت BEACON_HEADER_VERSION برای تعریف نسخه استفاده میکرد که مقدار 29 رو داشته ولی xdr33 دارای مقدار 34 هستش. این نشون میده که این بدافزار طی چند نسخه بروزرسانی شده.
  • در مقایسه با سورس کد HIVE ، بدافزار xdr33 در مواردی مانند دستورات c2 و یا تعریف ساختارها تغییراتی رو داشته که البته این تغییرات زیاد پیچیده نبودن.
  • استفاده از یه آسیب پذیری NDAY تو این حمله

تحلیل فنی این بدافزار رو میتونید از اینجا بدست بیارید. بدافزار رو هم برای تحلیل و تمرین بیشتر ، میتونید از این لینک دانلود کنید. (پسورد infected)

 

اشتراک در شبکه های اجتماعی :

Facebook
Twitter
Pinterest
LinkedIn
In آنالیز بدافزار اخبارIn HIVE , Wikileaks , xdr33

راهبری نوشته

نسخه 2.0 از IPyIDA منتشر شد
حملات زنجیره تامین با بسته های httpslib و colorslib و libhttps

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دسته‌ها

  • Osint
  • آسیب پذیری امنیتی
  • آموزش های ویدیویی
  • آنالیز بدافزار
  • اخبار
  • افشای اطلاعات
  • امنیت وب
  • انتشارات
  • اینترنت اشیاء
  • بازیگران تهدید
  • باگ بانتی
  • پادکست
  • پروژه ها
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • دوره های آموزشی
  • فازینگ
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
  • لیست های ویژه
  • ماشین آسیب پذیر
  • مجله
  • مقالات
  • مهندسی معکوس نرم افزار

پست های مرتبط

  • اخبار
  • بازیگران تهدید
seyyid
On دی 24, 1401فروردین 28, 1402

احتمال حمله LockBit به Royal Mail

  • اخبار
  • مقالات
seyyid
On شهریور 11, 1403شهریور 11, 1403

پشت صحنه ی ماجرای دستگیری پاول دوروف

  • آنالیز بدافزار
  • اخبار
  • بازیگران تهدید
seyyid
On اردیبهشت 4, 1403

سوء استفاده از دستگاههای اندرویدی بعنوان سرور پروکسی

  • آسیب پذیری امنیتی
  • اخبار
seyyid
On آبان 10, 1402

آسیب پذیری بحرانی در Confluence

درباره ما

بعد از چندین سال فعالیت تو حوزه امنیت سایبری و تولید محتوا در شبکه های اجتماعی ، بالاخره تصمیم گرفتیم تا یه سایت راه اندازی کنیم و مطالب رو ساده تر ، در یک محیط منسجم و طبقه بندی شده به دست مخاطب برسونیم. امیدوارم که قدمی در راستای رشد امنیت سایبری کشورمون برداشته باشیم.

تگ ها

0day APT command injection Deserialization of Untrusted Data Directory Traversal FBI Fortinet Heap buffer overflow integer overflow kali LockBit Memory Corruption nuclei out-of-bounds write Out of bounds read Patch Tuesday PWN2OWN Stack Buffer overflow type confusion use after free vulnerable wordpress XSS ZDI vulnerability آموزش اکسپلویت نویسی ارز دیجیتال اندروید اپل اکسپلویت باج افزار تلگرام زیرودی سیسکو فارنزیک فورتی نت فیشینگ لاک بیت لینوکس مایکروسافت هوش مصنوعی وردپرس وردپرس آسیب پذیر ویندوز پلاگین کروم گوگل

شبکه های اجتماعی

    • Instagram
    • Telegram
    • Twitter
    • GitHub
    • YouTube
    • LinkedIn
      کپی مطالب با ذکر منبع بلامانع است | 1401-1404