ایران‌هک را در شبکه‌های اجتماعی دنبال کنید

گروه سایبری ایران هک

108

امنیت, جنگ سایبری, هک

داغ

تکنیک جدید Obfuscation برای عبور از آنتی‌ویروس و EDR بدون شناسایی

116نمایش

پژوهشگران امنیتی از یک تکنیک جدید و پیشرفته پرده برداشتند که به مهاجمان اجازه می‌دهد تا بدون شناسایی توسط ابزارهای Antivirus (AV) و Endpoint Detection and Response (EDR)، عملیات خود را با موفقیت اجرا کنند.

🧠 قدرت Obfuscation در خط فرمان

بر اساس گزارش منتشرشده توسط Wietze، ابزارهای دفاعی مدرن تمرکز زیادی روی تحلیل رفتار و آرگومان‌های خط فرمان دارند، زیرا این آرگومان‌ها می‌توانند نشان دهند که یک عملیات مخرب است یا خیر. اما مهاجمان نیز پیشرفت کرده‌اند.

تکنیک جدید به نام “Command-Line Obfuscation” معرفی شده است. این تکنیک نه با تغییر عملکرد، بلکه با پیچیده‌سازی نحو (syntax) دستورات، ابزارهای امنیتی را فریب می‌دهد.

بر خلاف تکنیک‌های رایج مانند DOSfuscation یا PowerShell Obfuscation، این روش کاملاً مستقل از محیط شل است و به‌جای آن، از ویژگی‌های خاص پردازش پارامترها توسط فایل اجرایی (executable) استفاده می‌کند.

🛠️ ابزار ArgFuscator چگونه کار می‌کند؟

ابزار ArgFuscator به‌عنوان یک پروژه متن‌باز، ده‌ها روش Obfuscation را مستند کرده است که شامل موارد زیر است:

  • جایگزینی نویسه‌های گزینه‌ها: استفاده از کاراکترهای غیر معمول مانند - به جای /

  • جایگزینی یا افزودن نویسه‌های یونیکد: مثال: reg eˣport به جای reg export

  • دستکاری مسیرها و کوتیشن‌ها: استفاده بیش‌ازحد یا نامعمول از کوتیشن یا مسیرهای ترکیبی برای گمراهی تحلیل‌گر

  • تغییر فرمت مقادیر: استفاده از فرمت‌های عددی یا قالب‌های خاص برای مقادیر و آدرس‌ها

📉 چرا این تکنیک خطرناک است؟

این روش‌ها بر روی بسیاری از ابزارهای قابل اعتماد سیستم مانند taskkill, reg, و curl کار می‌کنند — که به آن‌ها LOLBINs (Living-off-the-Land Binaries) گفته می‌شود.

در بسیاری از موارد، امنیت‌سنج‌ها نمی‌توانند این دستورات تغییر یافته را شناسایی کنند زیرا از نظر فنی معتبر هستند.

این روند به‌ویژه در حملاتی بدون بدافزار (malwareless) نگران‌کننده است، جایی که مهاجم بدون نصب بدافزار، با ابزارهای قانونی سیستم، اهدافش را پیش می‌برد.

🛡️ توصیه‌های دفاعی

پژوهشگران ArgFuscator پیشنهاد می‌کنند که تیم‌های امنیتی اقدامات زیر را انجام دهند:

  • شناسایی نویسه‌های غیرعادی یونیکد یا کوتیشن‌های اضافی

  • نرمال‌سازی خط فرمان قبل از تحلیل آن

  • همبستگی فعالیت خط فرمان با ترافیک شبکه یا شاخص‌های دیگر

📌 جمع‌بندی

ابزارهایی مانند ArgFuscator نشان می‌دهند که مهاجمان به سطح جدیدی از پیچیدگی رسیده‌اند و به‌جای انتشار بدافزار، از ابزارهای داخلی سیستم استفاده می‌کنند.

افزایش آگاهی نسبت به تکنیک‌های نوظهور Obfuscation، گامی ضروری برای دفاع در برابر حملات آینده است.

, , , , , , , , , , , , , ,

دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

108

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ورود به اسایت

Captcha!
Forgot password?

رمز را فراموش کردم

Back to
ورود به اسایت