🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
ذكاء البرامج الضارة

برنامج Gootloader لتهديد البرامج الضارة | استشارة إنتل

تستخدم إرشادات CloudSek الخاصة بالاستخبارات المتعلقة بالتهديدات بشأن البرامج الضارة لـ Gootloader، وإطار العدوى المستند إلى JavaScript، تقنيات جديدة لتقديم الحمولة.
تم التحديث بتاريخ
April 16, 2026
تم النشر في
March 9, 2021
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
النوع الاستشاري
ذكاء البرامج الضارة
نوع البرامج الضارة
لودر
اسم البرامج الضارة
أداة تحميل الملفات
نظام التشغيل المستهدف
شبابيك
البلدان المستهدفة
أمريكا الشمالية وكوريا الجنوبية وألمانيا وفرنسا

ملخص تنفيذي

Gootloader هو إطار عدوى قائم على جافا سكريبت ولديه آلية جديدة لتقديم حمولته. قام مشغلو هذه البرامج الضارة باختراق أكثر من 400 خادم يستضيف مواقع ويب شرعية؛ يقومون بتحرير محتوى مواقع الويب المخترقة لبدء مناقشات تبدو مشروعة بمساعدة الكلمات الرئيسية التي تجيب على استفسارات المستخدمين. يستفيد مشغلو Gootloader من تقنيات تحسين محركات البحث (SEO) التي تسمح لـ Google بفهرسة مواقع الويب المخترقة لمساعدتها على الظهور كجزء من نتائج البحث. يعمل ناقل الهجوم في بعض البلدان ومحركات بحث معينة (مثل Google). وفي حالة عدم تطابق البحث مع معايير أداة التحميل، ستكون نتيجة البحث صفحات ويب شرعية. يوفر برنامج Gootloader الضار GootKit RAT بدون ملفات وRevil رانسوم وير وكوبالتسترايك وكرونوس تروجان.

التفاصيل الفنية

  • الحمولة الأولية هي ملف جافا سكريبت واحد داخل ملف مضغوط. يتم توفير هذا بدوره كرابط قابل للتنزيل على نفس سلسلة المنتدى التي يزورها الضحايا المحتملون. يتم تشويش حمولة جافا سكريبت مرتين لتجنب الاكتشاف بواسطة أدوات حماية نقطة النهاية.
  • بعد تشغيل البرنامج النصي، يتصل بخادم C2 لتلقي سلسلة من الأرقام التي تمثل أحرف ASCII لحمولة المرحلة الثانية والتي سيتم تحميلها مباشرة في الذاكرة دون ترك أي أثر لوجودها في النظام.
  • الحمولة الثانية، بعد فك تشفير القيم الرقمية إلى نص، وتكتب المفاتيح/القيم في السجل ضمن خلية HKCU/Software.
  • كما أنه يقوم بإنشاء تشغيل تلقائي لبرنامج PowerShell النصي، والذي يتم تشغيله في كل مرة يقوم فيها النظام بالتمهيد، ويقوم بفك تشفير حمولة محمل .NET وتشغيلها.
  • يقوم البرنامج النصي PowerShell بإنشاء مفتاح تشغيل التسجيل كآلية آمنة لتنفيذ الحمولة في إعادة التشغيل التالية.
  • يحتوي مُحمل .Net على مُحمل يستند إلى Delphi. يحتوي المُحمل على تسلسلين من الأرقام السداسية العشرية في الكود الخاص به، لملفين قابلين للتنفيذ. الملف الأول هو ملف تنفيذي شرعي يتم تشغيله بواسطة أداة التحميل. بمساعدة تقنية تفريغ العملية، يقوم المُحمل بالتفريغ على الملف القابل للتنفيذ الثاني، والذي يقوم بتحميل مكون Delphi. وبالتالي فإن الملف التنفيذي الثاني هو الحمولة الخبيثة النهائية التي يمكن أن تكون Revil أو GootKit أو Kronos أو CobaltStrike.

التأثير

  • تستفيد هذه البرامج الضارة من تقنيات تحسين محركات البحث لجذب الضحايا المحتملين لزيارة مواقع الويب المخترقة.
  • يستخدم Gootloader تقنيات التشويش لتجنب الاكتشاف بواسطة AV.
  • كما أنها تستخدم تقنية بدون ملفات لتقديم سلالات أخرى من البرامج الضارة التي تؤدي إلى مزيد من الهجمات.

التخفيف

  • تحقق مرة أخرى من نتيجة البحث الأولى عند زيارة أي موقع ويب. تحقق من اسم المجال ومحتوى صفحات الويب، خاصة إذا كان غير متوافق مع اسم المجال.
  • تجنب النقر وتنزيل أي مستندات مشبوهة مقدمة في صفحات الويب المشبوهة.
  • استخدم أدوات اكتشاف الحالات الشاذة لاكتشاف السلوكيات الضارة لمنع مثل هذه الهجمات.

التكتيكات والتقنيات والإجراءات

التكتيكات
تقنيات
الاستطلاع
T1590.005جمع معلومات شبكة الضحايا: عناوين IP
تطوير الموارد
T1584.004البنية التحتية للتسوية: الخادم
التنفيذ
T1059.007مترجم الأوامر والبرمجة: جافا سكريبت/JScriptT1059.001مترجم الأوامر والبرمجة: PowerShellT1204.002تنفيذ المستخدم: ملف ضار
إصرار
T1547.001بدء التشغيل التلقائي أو تسجيل الدخول: مفاتيح تشغيل التسجيل/مجلد بدء التشغيل
التهرب الدفاعي
T1140إزالة التشويش/فك تشفير الملفات أو المعلوماتT1112تعديل التسجيلT1055.012عملية الحقن: عملية التجويف

مؤشرات التسوية

شا 1
8731316018d005690046909 f86b10a2130 cfe75 درجة مئوية04ac 4430395 e4 bb5c 8e78e3c6a277 f108da36124د 7469 دا 6 أ 523239 أ 9 قدم 2 قدم مربع العين 26 د 944 أ 9076 ج 87 مساءf43b74c10c880546cf03014e253026736 f01d1f92 × 5 قطع × 80 قدم × 4 × 38 × 2 × 1 × 6 × 3 × 6 × 3 × 3 × 3 × 3 × 3 × 6 × 3 × 3 × 3 × 3 × 3 × 3 × 37fde4507b2430e37c9a1df8904371 bc1bf9b2f2ddf525 f9bf9e583 cb6e2694e5 abfac483660b2098b332b7a4f8712916 د6a681799e390 دايف 98971 ديسيبلج 299 دا3 أفد 578 أ 3182 ج 63530315 قدم 5726dd98b9fce29b291f37 ef7cc 745 ad3cf5880b8effb1d6d2a254 c428 fd3b726e5d10b9c77a3ae6f6525c66ab292d394ff7ec3da 9beca8c4591978802efc02a97e2223a85 ديو842 إيسيب9eb86a0fc51d97e76b018918504533 ffdc05b06bae420912f1acf90d5a42eba5b601ebe1b954be72d1c5b0b2
CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد