👹Malware Analysis Tools👾
Mindmap of links:
Encoding/Decoding tools
File Carving tools
Memory Forensics
Online scanners
Malware analysis tools
Debuggers/Decompliers
🔗https://malwareanalysis.tools/
#malware
تیم سورین
Mindmap of links:
Encoding/Decoding tools
File Carving tools
Memory Forensics
Online scanners
Malware analysis tools
Debuggers/Decompliers
🔗https://malwareanalysis.tools/
#malware
تیم سورین
malwareanalysis.tools
Malware Analysis Tools
Malware analysis tools list
🕵🏻♀️☠️ SEMA ☠️ - ToolChain using Symbolic Execution for Malware Analysis.
📎 https://github.com/csvl/SEMA-ToolChain
#malware
تیم سورین
📎 https://github.com/csvl/SEMA-ToolChain
#malware
تیم سورین
GitHub
GitHub - csvl/SEMA: SEMA is based on angr, a symbolic execution engine used to extract API calls. Especially, we extend ANGR with…
SEMA is based on angr, a symbolic execution engine used to extract API calls. Especially, we extend ANGR with strategies to create representative signatures based on System Call Dependency graph ...
👾PE-bear
PE-bear is a multiplatform reversing tool for PE files. Its objective is to deliver fast and flexible “first view” for malware analysts, stable and capable to handle malformed PE files.
🔗https://github.com/hasherezade/pe-bear
#malware
تیم سورین
PE-bear is a multiplatform reversing tool for PE files. Its objective is to deliver fast and flexible “first view” for malware analysts, stable and capable to handle malformed PE files.
🔗https://github.com/hasherezade/pe-bear
#malware
تیم سورین
GitHub
GitHub - hasherezade/pe-bear: Portable Executable reversing tool with a friendly GUI
Portable Executable reversing tool with a friendly GUI - GitHub - hasherezade/pe-bear: Portable Executable reversing tool with a friendly GUI
/ بدافزار WogRAT از یک Notepad (ویندوز، لینوکس) سوء استفاده می کند
این مقاله در مورد بدافزاری به نام WogRAT است. روش های توزیع WogRAT و نحوه آلوده کردن سیستم های ویندوز و لینوکس را مورد بحث قرار می دهد. این بدافزار خود را به عنوان برنامه های کاربردی قانونی پنهان می کند. پس از دانلود، WogRAT اطلاعات را از سیستم آلوده جمع آوری کرده و به سرور فرمان و کنترل (C&C) ارسال می کند. سپس سرور C&C می تواند دستورات را به سیستم آلوده ارسال کند.
#windows #linux #malware
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
#windows #malware
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Windows Malware in C# — Using Github as C2
In the realm of cybersecurity, Advanced Persistent Threat (APT) groups continue to evolve and adapt, often employing innovative techniques…
#malware #IR
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
ashemery.github.io
Malware Analysis and Incident Response Tools and Tricks | Malware Analysis and Incident Response Tools and Tricks One-Stop Shop
The goal of this repository is to serve as a base of all the tools that we might be using or I recommend to be used for performing different malware analysis...
❤1
Here is standard top ten common Indicators of Compromise (IOCs) and Tactics, Techniques, and Procedures (TTPs) that SOC analysts often encounter over the period.
1.#Malicious IP Addresses: IP addresses associated with known command and control (C2) servers or malicious activities.
2. #Malware Hashes: Hashes of malicious files used in attacks, such as viruses or Trojans.
3. #Domain Names: Suspicious or typo-squatting domains used for phishing or C2 communication.
4. #URLs: Links to malicious websites or payloads, often delivered through phishing emails.
5. #Email Addresses: Addresses used in phishing campaigns or to receive stolen data.
6. #File Paths: Unusual or suspicious file paths on systems or servers.
7. #Registry Keys: Unauthorized or malicious registry keys that may indicate compromise.
8. #User-Agent Strings: Uncommon or malicious user-agent strings in HTTP requests.
9. #YARA Signatures: Custom rules used to detect specific patterns or characteristics in files.
10. #Behavioral Anomalies: Unusual behavior, like excessive data exfiltration or unusual system activities.
1. #Phishing: Attackers use deceptive emails to trick users into revealing sensitive information or executing malicious code.
2. #Malware Delivery: Sending malicious files via email attachments, compromised websites, or other means.
3. #Command and Control (C2): Communication between malware and attacker-controlled servers for remote control and data exfiltration.
4. #Credential Theft: Techniques like keylogging or credential dumping to steal login credentials.
5. #Lateral Movement: Moving laterally within a network to explore and compromise other systems.
6. #Privilege Escalation: Gaining higher-level access to systems by exploiting vulnerabilities or misconfigurations.
7. #Data Exfiltration: Stealing sensitive data and sending it to the attacker-controlled infrastructure.
8. #Denial of Service (DoS): Overwhelming a system or network to disrupt availability.
9. #Ransomware: Encrypting data and demanding a ransom for decryption.
10. #Fileless Attacks: Exploiting legitimate system tools and processes to carry out attacks without leaving traces on disk.
These IOCs and TTPs are just a starting point, as the threat landscape is constantly evolving.
Effective SOC analysts should continuously update their knowledge and adapt their detection strategies to new attack techniques by keeping themselves up to date with Applicable threats based on the type of industry.
#TTP #IOC
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1👏1
🕵🏻♂️PeStudio
Malware analysis tool which investigages the resources of EXE files.
یک ابزار قدرتمند برای تجزیه و تحلیل استاتیک فایل های اجرایی، به ویژه برای تجزیه و تحلیل بدافزار است.
💎 https://www.winitor.com/download2
#analyzer #malware #tools
تیم سورین
Malware analysis tool which investigages the resources of EXE files.
یک ابزار قدرتمند برای تجزیه و تحلیل استاتیک فایل های اجرایی، به ویژه برای تجزیه و تحلیل بدافزار است.
#analyzer #malware #tools
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
👾 Malware Development - Evading Diaries.
• NTFS Files Attributes;
• FuncIn;
• Code Cave;
• Stolen Certificate;
• Redirect Antivirus Website Evading Techniques;
• Shortcut Hiding;
• Disabling Antivirus;
• Adding Antivirus Exception;
• Fake Signature;
• Mark-Of-The-Web (MOTW) Bypass;
• Return Address Spoofing;
• Runtime Function Decryption;
• DLL Unhooking;
- How DLL Unhooking Works;
- Unhooking Strategies;
• Evasion Using Direct Syscalls;
- Key Aspects of This Technique;
- Operational Mechanism;
- Featured Windows APIs;
• Unloading Module With FreeLibrary;
- Operational Overview;
- Key Aspects of This Technique;
- Featured Windows APIs;
• References.
#Malware
تیم سورین
• NTFS Files Attributes;
• FuncIn;
• Code Cave;
• Stolen Certificate;
• Redirect Antivirus Website Evading Techniques;
• Shortcut Hiding;
• Disabling Antivirus;
• Adding Antivirus Exception;
• Fake Signature;
• Mark-Of-The-Web (MOTW) Bypass;
• Return Address Spoofing;
• Runtime Function Decryption;
• DLL Unhooking;
- How DLL Unhooking Works;
- Unhooking Strategies;
• Evasion Using Direct Syscalls;
- Key Aspects of This Technique;
- Operational Mechanism;
- Featured Windows APIs;
• Unloading Module With FreeLibrary;
- Operational Overview;
- Key Aspects of This Technique;
- Featured Windows APIs;
• References.
#Malware
تیم سورین
ExpiredDomains.com
redteamrecipe.com is for sale! Check it out on ExpiredDomains.com
Buy redteamrecipe.com for 195 on GoDaddy via ExpiredDomains.com. This premium expired .com domain is ideal for establishing a strong online identity.
🔥2👍1
Part I - Analysis and DFIR Series
Part II - Analysis and DFIR Series
Part III - Analysis and DFIR Series
Part IV - Analysis and DFIR Series
#malware
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
این سایت یک منبع عالی برای به اشتراکگذاری فایلهای کپچر (pcap) و نمونههای بدافزار است. اگر به تحلیل ترافیک شبکه علاقهمند هستید، این سایت میتونه خیلی بهتون کمک کنه.
💡 ویژگیهای کلیدی:
اشتراکگذاری فایلهای pcap: دسترسی به انواع فایلهای پکت کپچر برای تحلیل ترافیک شبکه.
نمونههای بدافزار: دانلود و بررسی نمونههای مختلف بدافزار برای تحقیقات و آموزش.
تمرینات تحلیل ترافیک: تمرینات آموزشی برای تحلیل فایلهای pcap و بهبود مهارتهای شما در این زمینه.
📅 آرشیو پستها:
این سایت دارای آرشیو کاملی از پستها از سال ۲۰۱۳ تا ۲۰۲۴ است که میتونید به راحتی به اونها دسترسی پیدا کنید.
#Malware_analysis
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
دوره رایگان تجزیه و تحلیل بدافزار، مفاهیم بدافزار، تجزیه و تحلیل بدافزار و تکنیک های مهندسی معکوس جعبه سیاه را پوشش می دهد.
#cybersecurity #Malware
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Hypersec
🔐🔏 تیم عملیات امنیت سورین
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
بدافزار Metamorphic و polymorphic دو شکل پیشرفته از نرمافزارهای مخرب را نشان میدهند که به طور مداوم برای فرار از شناسایی توسط اقدامات امنیتی سنتی تکامل مییابند. درک مکانیسم ها، تفاوت ها و استراتژی های پیشگیری برای متخصصان و سازمان های امنیت سایبری بسیار مهم است.
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Linkedin
Soorin on LinkedIn: metamorphic and polymorphic malware
🎇metamorphic and polymorphic malware
💫 Our Community : https://xn--r1a.website/hypersec
#metamorphic
#چندریختی
#دگرگونی
#polymorphic
#cyberssecurity
#malware
#بدافزار
💫 Our Community : https://xn--r1a.website/hypersec
#metamorphic
#چندریختی
#دگرگونی
#polymorphic
#cyberssecurity
#malware
#بدافزار
👍1
تیم سورین
#info #Malware
Please open Telegram to view this post
VIEW IN TELEGRAM
Kaspersky
Kaspersky Threat Intelligence Portal
Kaspersky Threat Intelligence Portal allows you to scan files, domains, IP addresses, and URLs for threats, malware, viruses
👍4
مجموعهای از ابزارهایی که ممکن است برای شما جالب باشند، اگر به مهندسی معکوس و/یا تحلیل بدافزار در سیستمهای x86 و x64 ویندوز علاقهمند هستید.
#Reverse #Malware
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
🧩 تحلیل فنی: سوءاستفاده مهاجمان از ConnectWise برای ساخت بدافزارهای امضاشده
در ماههای اخیر (از مارس ۲۰۲۵)، افزایش چشمگیری در نمونههای آلوده و اپلیکیشنهای جعلی مشاهده شده که با نمونههای امضاشدهی معتبر از نرمافزار ConnectWise ساخته شدهاند.
🔹 ابزار ConnectWise چیست؟
نرم افزار ConnectWise یک پلتفرم مدیریت و پشتیبانی از راه دور (Remote Monitoring & Management - RMM) است که معمولاً توسط تیمهای IT و شرکتهای MSP برای مدیریت سیستمها، مانیتورینگ شبکه، پشتیبانی کاربران، و انجام عملیات از راه دور استفاده میشود.
این نرمافزار به سرورها و کلاینتهای سازمانی دسترسی سطح بالا دارد و میتواند اسکریپت اجرا کند، فایل منتقل کند، و سرویسها را کنترل کند — یعنی دقیقاً همان سطح دسترسیای که یک مهاجم هم در پی آن است.
به همین دلیل، اگر مهاجمان بتوانند از نسخهی معتبر یا امضاشدهی ConnectWise سوءاستفاده کنند، میتوانند از آن بهعنوان ابزاری قانونی برای اجرای بدافزار و کنترل سیستمها بهره ببرند.
گزارش جدید شرکت G DATA نشان میدهد که مهاجمان سایبری با بهرهگیری از ضعف در فرآیند امضای دیجیتال، موفق شدهاند از ConnectWise به عنوان "builder" برای تولید بدافزارهای امضاشده و قابل اعتماد استفاده کنند.
به بیان سادهتر: امضای معتبر، باعث میشود سیستمهای امنیتی و کاربران به فایل مخرب اعتماد کنند — در حالی که در واقعیت، فایل یک بدافزار است.
🔍 نکات مهم گزارش:
خطای اصلی در فرآیند code-signing و مدیریت گواهیها است.
مهاجمان با استفاده از نسخههای معتبر ConnectWise، بدافزارهایی تولید میکنند که امضا و اعتبار قانونی دارند.
بسیاری از محصولات امنیتی در شناسایی این نوع تهدیدها دچار چالش میشوند.
راهکار پیشنهادی: بررسی دقیق رفتار اجرایی بهجای اعتماد مطلق به امضا و گواهیها.
📎 منبع:
G DATA Software Blog – ConnectWise Abuse
#ThreatIntel #ConnectWise #Malware #CodeSigning #BlueTeam
تیم سورین
در ماههای اخیر (از مارس ۲۰۲۵)، افزایش چشمگیری در نمونههای آلوده و اپلیکیشنهای جعلی مشاهده شده که با نمونههای امضاشدهی معتبر از نرمافزار ConnectWise ساخته شدهاند.
نرم افزار ConnectWise یک پلتفرم مدیریت و پشتیبانی از راه دور (Remote Monitoring & Management - RMM) است که معمولاً توسط تیمهای IT و شرکتهای MSP برای مدیریت سیستمها، مانیتورینگ شبکه، پشتیبانی کاربران، و انجام عملیات از راه دور استفاده میشود.
این نرمافزار به سرورها و کلاینتهای سازمانی دسترسی سطح بالا دارد و میتواند اسکریپت اجرا کند، فایل منتقل کند، و سرویسها را کنترل کند — یعنی دقیقاً همان سطح دسترسیای که یک مهاجم هم در پی آن است.
به همین دلیل، اگر مهاجمان بتوانند از نسخهی معتبر یا امضاشدهی ConnectWise سوءاستفاده کنند، میتوانند از آن بهعنوان ابزاری قانونی برای اجرای بدافزار و کنترل سیستمها بهره ببرند.
گزارش جدید شرکت G DATA نشان میدهد که مهاجمان سایبری با بهرهگیری از ضعف در فرآیند امضای دیجیتال، موفق شدهاند از ConnectWise به عنوان "builder" برای تولید بدافزارهای امضاشده و قابل اعتماد استفاده کنند.
به بیان سادهتر: امضای معتبر، باعث میشود سیستمهای امنیتی و کاربران به فایل مخرب اعتماد کنند — در حالی که در واقعیت، فایل یک بدافزار است.
🔍 نکات مهم گزارش:
خطای اصلی در فرآیند code-signing و مدیریت گواهیها است.
مهاجمان با استفاده از نسخههای معتبر ConnectWise، بدافزارهایی تولید میکنند که امضا و اعتبار قانونی دارند.
بسیاری از محصولات امنیتی در شناسایی این نوع تهدیدها دچار چالش میشوند.
راهکار پیشنهادی: بررسی دقیق رفتار اجرایی بهجای اعتماد مطلق به امضا و گواهیها.
📎 منبع:
G DATA Software Blog – ConnectWise Abuse
#ThreatIntel #ConnectWise #Malware #CodeSigning #BlueTeam
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Gdatasoftware
Threat Actors abuse signed ConnectWise application as malware builder
Since March 2025, there has been a noticeable increase in infections and fake applications using validly signed ConnectWise samples. We reveal how bad signing practices allow threat actors to abuse this legitimate software to build and distribute their own…
❤1