شبکه اجتماعی آزمایشگاه امنیت وایت لب
🔍 این گزارش بیتدیفندر از کمپین «Curly COMrades» نشان میدهد مهاجمان با فعالسازی Hyper-V روی ویندوزهای قربانی، یک VM سبک شامل CurlyShell و CurlCat را اجرا کردهاند تا اجرای بدافزار و ترافیک C2 را درون یک محیط ایزوله پنهان کنند و از تشخیص EDRها بگریزند.
⚠️ تکنیکهای کلیدی شامل بارگذاری و وارد کردن VHDX/VMCX، استفاده از Default Switch برای NATکردن ترافیک تا ترافیک خروجی از خود میزبان بهنظر برسد، استفاده از Cron برای پایداری، و تونلزدن SSH از طریق CurlCat است.
✳️ توصیهها:
- قابلیتهای مجازیسازی را فقط بهصورت کنترلشده و با مانیتورینگ فعالیتهای نصب/واردسازی VM مجاز کنید.
- ترافیک شرقی-غربی بین VM ها و ترافیک مشکوک از میزبان یا VM را مانیتور کنید.
- الزامات و چکلیستهای مصوب سازمان را تدوین کنید و به صورت دورهای زیرساخت را با چکلیستهایی نظیر CIS و STIG را همراه با الزامات داخلی سازمان ارزیابی نمایید
برچسبها:
