4104
unk9vvn.com github.com/unk9vvn twitter.com/unk9vvn instagram.com/unk9vvnx youtube.com/c/unk9vvnx linkedin.com/company/unk9vvn @Unk9_BoT Cyber Security Group
#کپی_کاری #اسکیمو ایرانی
یه پست تلگرامی چیزه خاصی نیست و بعضا زیاد دیدیم کانال های دیگه مطالب مارو کپی میکنند و بطور هوشمندانه با کمی تغییر به خورد مخاطبان خود میدهند.
اما اینکه کانال های به ظاهر معتبر این کارو میکنند کمی برای ما جای تعجب داره، اگر نمیتونید 4 خط تحلیل فنی راجب یک APT بنویسید خب کانال تولید محتوا لطفا نزنید که مثل قارچ هم زیاد شده.
در هر صورت خوب نیست برای اعتبارتون که کپی بزنید باز هر جور صلاحه، تیم آنون بزودی از این کشور مهاجرت میکنه تا همتون از شر ما راحت بشید انشاالله :)
@Unk9vvN
#IOCONTROL #ICS #Trojan
در ماه فوریه امسال یک Trojan توسط Qianxin XLab شناسایی شد با نام IOCONTROL که بر پایه سیستم های لینوکسی بوده و در خصوص حمله به زیرساخت های صنعتی، دستگاه های HMI و PLC و IIoT فعالیت می کرده است.
که بواسطه پروتکل MQTT که در خصوص تجهیزات اینترنت اشیاء صنعتی است، با مرکز کنترل و فرمان مهاجمین ارتباط می گرفته است.
این بدافزار از DNS-over-HTTPS برای ارسال ترافیک اطلاعات پیکربندی ها استفاده می کرده است که مبتنی بر سرویس ابری Cloudflare عمل میکرده که همین موضوع باعث پنهان ماندن C2 بوده است.
همچنین از MQTT over TLS برای محافظت از ارسال و دریافت فرمان های C2 استفاده می کرده است که داده ها با رمزنگاری AES و Mode رمزنگاری CBC فعالیت داشته است.
خود بدافزار نیست با فایل فرمت ELF 32 بیت بوده و با UPX یکدور پک شده و امضای UPX تغییر داده شده به ABC!.
اما تکنیک ماندگاری Trojan نیز یک اسکریپت Bash بوده است که اقدام به اجرای iocontrol بصورت پنهان کرده و 5 ثانیه به خواب میرود.
@Unk9vvN
#XSS and #CSRF to #RCE for #WordPress
اگر از افزونه های جانبی سیستم مدیریت محتوای WordPress آسیب پذیری XSS کشف شد، چطور میشه آسیب پذیری رو به RCE یا اجرای کد از راه دور، تبدیل کرد؟
مهاجم بواسطه ایجاد درخواست جعلی از سمت کاربر (CSRF) اقدام به ارسال Request بر روی مرورگر ادمین میکند بواسطه آسیب پذیری XSS که وجود دارد، یعنی آسیب پذیری XSS موجب میشود یک Exploit به زبان جاوا اسکریپت رو SRC میکند.
لذا مهاجم میتواند بواسطه XMLHttpRequest شروع به درخواست با Cookie ادمین میکند و بواسطه زدن اولین درخواست با روش GET، مقدار CSRF-Token که در وردپرس _wpnonce نام دارد را دریافت میکند.
و از آن CSRF-Token برای زدن درخواست معتبر بعدی مبنی بر بار گزاری یک افزونه جعلی خواهد کرد و با Endpoint مربوط به plugin-install.php صحبت میکند، و نتیجه میشود بار گزاری یک افزونه Backdoor، در ادامه درخواست فعال سازی افزونه زده خواهد شد و تمام.
اما نحوه صحبت با Backdoor روش جالبی است، صحبت با Endpoint درب عقبی بواسطه ارسال دستورات در پارامتر های POST است که در تابع ()callback پارس خواهد.
@Unk9vvN
#Cybersecurity #Training #Standards
در دنیا استاندارد های آموزشی حوزه امنیت سایبری، همواره در حال ارتقاء است، بطوری که شرکت های برتر این حوزه هر ساله ظرفیت های فنی و محتوای خود را بسیار رشد می دهند.
اما در عین حال در ایران این فرایند همواره به سبک سنتی و اغلب به دور از استاندارد های جهانی، ارائه میشود.
بطور مثال شرکت Offensive Security آمریکا در سایت خود اعلام میکند که ما بیش از 7 هزار ساعت محتوای نوشتاری (کتاب) تولید کرده و بیش از 1800 ویدیو آموزشی و بیش از 4200 آزمایشگاه عملیاتی توسعه داده شده است.
همچنین این آموزش ها با ظرفیت های زیرساختی بسیار با کیفیت و با مهندسی و معماری دقیقی طراحی میشود که برای این آموزش ها بیش از 300 متخصص بصورت از راه دور درگیر بوده اند.
اهمیت پرداختن به کیفیت آموزش آنجاست که زمان تولید نیروی انسانی با کیفیت بصورت تضمینی پایین خواهد آمد.
این مسئله موجب میشود تا شرکت های تجاری این حوزه قدرت و توانمندی تولید محصولات در عرصه های جهانی را پیدا کنند.
رویکردی که متاسفانه در ایران همچنان ضعیف و با فضا سازی ها و سو استفاده از عدم آگاهی مخاطبان، اتفاق می افتد.
@Unk9vvN
#Social_Engineering #Email_Phishing
یکی از بسترهای حملات فیشینگ مبتنی بر مهندسی اجتماعی، حساب های ترجیحا تجاری ایمیل هستش، که مهاجمین همواره بد افزار یا صفحات فیشینگ را در بستر آنها پیاده سازی میکنند.
نکته ای که مهم است از منظر آگاهی امنیت سایبری، این هستش که همواره این نوع حملات با دامنه های سرویس دهنده های واسط مانند Ngrok یا IPFS صورت میگیرد، در مواردی هم دامنه ای بی سابقه از Namecheap خریداری میشود.
برای مقابله با این نوع حملات اول بررسی کنید آیا Attachment یا لینکی در ایمیل هست یا خیر، در صورت وجود Attachment حتما به فایل دست نزنید و حتی دانلود هم نکنید، و با یک کارشناس شکارچی تهدید ارتباط گرفته و موضوع را اطلاع داده تا کارشناسان فایل را در محیط Isolate و Sandbox باز کرده و مهندسی معکوس نمایند برای فرایند های جرم شناسی دیجیتال و رد یابی مهاجم.
اگر لینک در ایمیل بود بر روی لینک Mouse خود را نگهداشته تا لینک گوشه زیر برای شما نمایان شود، اگر شمایل این چنینی داشت و دامنه ای مشروع نبود، با موتور های جستجوی CTI بررسی نماید، بطور مثال این عزیزان در تصویر که برای ما تلاش میکنند.
خدا قوت هکر :)
@Unk9vvN
Breaking #reCAPTCHA v2 #ML #LLMs
اخیرا محققین دانشگاه ETH مقاله ای در خصوص نحوه دور زدن reCAPTCHA گوگل نسخه 2 را بواسطه یادگیری ماشین، ارائه دادن که بطور صد درصدی توانسته مکانیزم را دور بزند.
اما محققین از الگو های مختلف یادگیری ماشین استفاده کرده اند از جمله الگوریتم Generative adversarial Networks که به معنی ایجاد شبکه های عصبی است و همچنین Convolutional Neural Networks که به معنی شبکه عصبی پیچشی است که بر روی Captcha مبتنی بر تصویر عملکرد مناسبی خواهد داشت.
اما نحوه برخورد با طیف تصاویر مورد استفاده reCAPTCHA این است که از مدل های زبان بزرگ یا LLMs را تشکیل داده و بر روی تصاویری که با عنوان Dataset تعریف شده را پردازش کرده و نهایتا واکنشی مبتنی بر Mouse Movement ارائه خواهد داد.
https://github.com/aplesner/Breaking-reCAPTCHAv2
@Unk9vvN
#CVE-2024-38063 #Integer_Overflow on tcpip.sys
اخیرا آسیب پذیری ای ثبت شد در پروتکل TCP/IP که از نوع Integer Overflow و Integer Underflow بود به معنی سر ریز عددی یک ورودی عددی.
این آسیب پذیری در فرایند Fragmentation و Reassemble کردن تکه های بسته پروتکل IPv6 قرار داشت که محققین با بررسی این فرایند متوجه شدند در زمانی که ساختار بسته IPv6 تکه تکه میشوند، آخرین بسته با تاخیر 60 ثانیه ای تحویل Parser گیرنده داده میشود.
این تاخیر 60 ثانیه ای تابعی با نام Ipv6pReassemblyTimeout را فراخوانی کرده که این تابع بسته ها را drop میکند، همچنین به فیلد More میبایست مقدار 0 بگیرد تا اعلام کند آخرین بسته است.
اینجا در تصویر Disassemble شده کد سی پلاس، اگر دقت کنید ثبات edx که یک اشاره گر به rdi+68h داخلش انتقال داده شده، در ادامه در نوع داده dx خودش که میشود 16 بیتی خودش، مقادیر 8 و r15+8 اضافه میشود.
اینجا اگر مقدار packet_length برابر با 0xFFD0 باشد و بعد مقدار 8 بایت بهش اضافه شود، مقدار 0xFFD8 میشود، حالا اگر مقدار net_buffer_length بیشتر از 0x27 باشد، مثلا 39 بایت، اینجا ثبات DX سر ریز عددی خواهد کرد.
@Unk9vvN
#LLMs for #Offensive #Cyber Capabilities
بواسطه LLM یا Large Language Model اقدام به اجرای حملات و شبیه سازی بهره برداری از آسیب پذیری ها، انجام شده است.
در روش شناسی مورد استفاده، در مرحله اول پوشش آسیب پذیری و فرایند های شناسایی انجام شده است و در مرحله بعد ایجاد دسترسی و طراحی کد بهره برداری (Exploit) بواسطه هوش مصنوعی بوده است.
همچنین فرایند ایجاد بدافزار نیست کاملا مبتنی بر Test Case های LLM OCO انجام شده و فرایند های ارتقاء سطح دسترسی و نامحسوس سازی در مقابل، شناسایی، عملیاتی شده است.
در این Benchmark که با نام Ground2Crown انجام شده، بطور میانگین 70% تکنیک های ATT&CK به درستی انجام شده است.
در تست دیگری با نام CyberLayer سناریو های حمله بواسطه ظرفیت های ارزیابی شده قربانی انتخاب شده است.
از این ارائه میتوان این برداشت را کرد که از این پس شاهد اجرا صفر تا صد حملات تیم قرمز بطور هوشمند خواهیم بود.
@Unk9vvN
#Adobe Reader 2018 #Zeroday Exploit Analysis
در تصویر شماره 0 در فایل فرمت PDF و در زبان ActionScript مهاجم اقدام به صدا زدن مفسر JavaScript میکنه، و بواسطه یک دکمه میاد و تابع trigger رو به اجرا در میاره.
قبل از به اجرا در اومدن تابع، یک دکمه ساخته میشه که از نوع display.visible هستش که اینکار باعث میشه JIT Compiler برنامه Adobe Reader بیاد و پردازشگر JPEG2000 رو صدا کنه و به طبع اون کتابخونه (JP2KLib.dll) پردازشگر این Object رو فراخوانی خواهد کرد.
در تصویر 3 مهاجم میاد تکنیک Heap Spray رو اجرا میکنه که موجب میشه در حافظه Heap طول بافر 10 هزار رزرو بشه، بعد میاد همون حافظه Alloc شده رو آزاد میکنه، بعد میاد بواسطه Object که f.display ساخته بود (JP2KLib) به رو از همون منطقه اشاره میکنه بعد میاد index رو بدست میاره و طول بافر 250 رو آزاد میکنه، بعد محاسبه میکنه از از 10 هزار 249 تا بره بالا چه آدرسی خواهد بود، بعد میاد بواسطه یه sprayarr دقیقا به همون اندازه که آزاد کرده بود به بالا، یعنی 0x400 اشاره میکنه که اینجا OOB Read اتفاق می افته...
هک بواسطه یک PDF !
@Unk9vvN
#regreSSHion #OpenSSH #CVE-2024-6387
اخیرا برنامه OpenSSH که استفاده گسترده ای در پروتکل SSH دارد، دارای یک آسیب پذیری شرایط رقابتی یا Race Condition شده است.
این آسیب پذیری از نسخه 8.5p1 => 9.8p1 که در برابر signal handler آسیب پذیری Race Condition رخ خواهد داد، که به زبان ساده میشود اینکه در یک بازه زمانی مشخص، چندین Thread موازی تلاش میکنند در یک منطقه حافظه برخی فرایند خواندن و برخی فرایند نوشتن را انجام دهند.
اینجا تقدم و تأخر لحظه استفاده و لحظه چک بهم خواهد خورد و آسیب پذیری این امکان رو خواهد داد که شما از 200 درخواست ارسالی چند مورد رو به اشتباه مجوز تایید بگیرید.
خب حالا نحوه رخداد آسیب پذیری چطور بوده؟ این آسیب پذیری بر روی سیستم عامل های لینوکسی که از کتابخونه glibc بهره میگیرند، قابل بهره برداری است، چرا که تابع syslog خود تابع async-signal-unsafe را فراخوانی میکند که این تابع از malloc و free برای تخصیص حافظه استفاده میکند که در منطقه سیستم است لذا سطح دسترسی نیز root خواهد بود.
@Unk9vvN
#Argument_Injection #RCE on #PHP-CGI #CVE-2024-4577
اخیرا Orange Tsai یک آسیب پذیری از PHP-CGI زبان PHP از نسخه 8.1 تا 8.3 را در XAMPP ویندوز تحت تاثیر قرار میدهد.
این آسیب پذیری در پیکربندی های PHP-CGI است در برنامه XAMPP، که مهاجم با ارسال یک فرمان اجرایی به پارامتر:/cgi-bin/php-cgi.exe?d+allow_url_include=1+d+auto_prepend_file=php://input
و نقطه انتهایی php-cgi.exe که موجبات اجرای wrapper مربوط به php را فراهم نبوده و مهاجم میتواند کد سمت سرور را با روش POST ارسال کرده و اجرا کند.
نکته جالب این آسیب پذیری، Initialize کردن PHP-CGI برای مجاز کردن فرایند دریافت کد سمت سرور از URL را خود انجام داده و نهایتا با Wrapper مربوط به PHP اقدام به اجرای کد میکند.
https://blog.orange.tw/2024/06/cve-2024-4577-yet-another-php-rce.html
@Unk9vvN
#FortiSIEM #CVE-2024-23108 2nd Order #Command_Injection
غول امنیت خود چند ماهی است قربانی متخصصین امنیت تهاجمی است. به تازگی آسیب پذیری 2nd Order Command Injection از سامانه FortiSIEM از خانواده محصولات شرکت Fortinet کشف شده است که امکان اجرای کد بصورت Unauthenticated را خواهد داد.
آسیب پذیری مطرح شده در Port 7900 بطور پیشفرض است که برای Phoenix Monitor Service است، این سرویس با Backend پایتون نوشته شده است و آسیب پذیری در آدرس زیر بوده است:/opt/phoenix/deployment/jumpbox/datastore.py
آسیب پذیری در بخش تصدیق IP از Request دریافتی بوده که در صورت IPv6 بودن یک storeData_list مقدار nfs_ip گرفته و در آدرس زیر:/opt/phoenix/deployment/jumpbox/datastore/nfs/test.py
یک تماس با تابع testMount__ یک تماس گرفته خواهد شد که در (rt_mount=os.system(MNT_CM را در سطح root اجرا میکند، ورودی دریافتی به این تابع یعنی MNT_CMD پیشتر از [storeObj['nfs_string'__ دریافت شده بوده است.
@Unk9vvN
#Browser V8 Heap #Sandbox #Escape
اخیرا روشی در کنفرانس OffensiveCon 2024 مطرح شده در خصوص دور زدن Sandbox مرورگر Chrome با موتور اجرایی V8.
این روش مطرح شده به این صورت است که مهاجم بواسطه یک آسیب پذیری Memory Corruption توان خواندن و نوشتن در منطقه حافظه Sandbox را پیدا میکند، لذا بواسطه تعریف چند HeapObj امکان دسترسی به Base Address ساختمان PTR Table شده و مقدار آدرس را با نوع محتوای عددی، دریافت میشود.
اما همانطور که میدانید Sandbox ها از Control Flow Integrity استفاده میکنند برای ترسیم پرش ها و اشاره های درون یک برنامه، محقق اینجا میکوشد تا بواسطه HeapObjها یک اشاره گر External را تعریف کرده تا از منطقه Trust حافظه خارج شده و اقدام به فراخوانی Gadget در بیرون حافظه کند.
که این موضوع موجب میشود محقق بتواند یک پردازش بیرون از Sandbox را ایجاد کرده و مکانیزم را دور بزند، این مسئله در پی باگی در نحوه پوشش Sandbox موتور اجرایی V8 رخ میدهد که External Object ها را Isolate نمیکند.
@Unk9vvN
#Gartner #Technology #Adoption #Roadmap
در نقشه راه 2024 مجله Gartner لیستی از تکنولوژی های امنیت سایبری مطرح کرده است که کم و کیف آنها و درصد ریسک پذیری شان مشخص شده است.
در بخش Security Operations بیشترین ریسک برای تکنولوژی SOAR بوده است.
در بخش Application/Data Security پلتفرم های امنیت داده و محافظ برنامه های مبتنی بر شبکه ابری بوده است.
در بخش Cybersecurity/Privacy Risk نیز Confidential Computing بیشترین ریسک را داشته است.
در بخش Identity/Access Management نیز بحث کنترل دسترسی به API ها دارای ریسک بوده.
در بخش Infrastructure Security نیز بحث محافظ از ایمیل های بیزینسی بیشترین ریسک را داشته و همچنین Zero Trust Strategy.
بهترین تکنولوژی ها نیست Threat Modeling Automation و محصولات Threat Intelligence و Attack Surface Management بوده است.
https://www.gartner.com/en/cybersecurity
@Unk9vvN
#Google #Willow #Quantum #Chip
گوگل اخیرا تراشه کوانتومی جدیدی به نام (Willow) معرفی کرده است که با ۱۰۵ کیوبیت، پیشرفتی مهم در محاسبات کوانتومی محسوب میشود. این تراشه قادر است مسائلی را در عرض پنج دقیقه حل کند که سریع ترین ابر رایانههای کنونی برای حل آنها به زمانی بیش از عمر جهان نیاز دارند.
تراشه Willow با کاهش نرخ خطاها در مقیاس بزرگتر، به چالشی اساسی در این حوزه پاسخ میدهد و نشان میدهد که با افزایش تعداد کیوبیتها، دقت محاسبات نیز بهبود مییابد.
گوگل ادعا میکند که Willow میتواند مسائل دنیای واقعی، مانند شبیه سازی مولکول ها برای کشف دارو های جدید و طراحی باتری های قدرتمندتر، را حل کند. این پیشرفت به کاربردهای تجاری محاسبات کوانتومی بسیار نزدیکتر شده است.
سیستم های رمزنگاری مدرن (مانند RSA، AES و ECC) به قدرت محاسباتی کلاسیک وابسته اند و امنیت آنها بر پایه زمان مورد نیاز برای شکستن کلیدها است. تراشههای کوانتومی مانند Willow، با استفاده از الگوریتم (Shor)، میتوانند در زمان کوتاهی کلیدهای رمزنگاری سنتی را شکسته و دادهها را در معرض خطر قرار دهند.
@Unk9vvN
#Cyberespionage #Gamaredon #APT on #Ukraine
اخیرا یک حمله از یک کمپین روسی شناسایی شده که هدفش سازمان های اکراینی و کشور های هم پیمان ناتو بوده است.
حمله به این صورت بوده یک فایل فرمت LNK به ایمیل های فیشینگ Attachment بوده که به محض دانلود و اجرا، Stage بعدی دانلود می شده است.
فایل LNK از بستر اینترنت یک فایل HTA رو بصورت از راه دور اجرا میکنه که اون فایل در حالت minimize بوده و پنجره ای نیز باز نخواهد کرد.
فایل اجرایی HTA دارای یک ActiveX Object بوده که میاد Wscript.Shell رو Object میکنه که اجازه دسترسی به خط فرمان رو خواهد داد.
به registered یک فرمان داده میشه برای اجرا که باز میاد mshta.exe رو بکار میگیره برای اجرای یک فایل دیگه با نام rejoined.jpeg که بظاهر فرمت jpeg دارد.
در فایل دریافتی یک کد JS وجود داره که میاد یک مقدار Base64 رو بصورت مبهم سازی هست رو دانلود میکنه که در اصل یک فایل rar هستش.
گزارش مفصل هست اما یک نکته جالب دیگه داره، اونم اینکه استفاده از تکنیک Fast Flux DNS که برای گم کردن رد C&C استفاده شده و مدام IP پشت دامنه ها در حال تغییر بوده.
@Unk9vvN
#WASM #Browser #Exploitation
در کنفرانس BlackHat 2024 آمریکا، ارائه ای در خصوص کشف آسیب پذیری باینری از موتور پیاده سازی Web Assembly ارائه شد که روش شناسی های جدیدی رو در این حوزه مطرح میکند.
محققین اعلام میکنند در مرورگرهای مدرن امروزی مانند Chrome و Safari، استفاده از ساختار Web Assembly در زبان Javascript این امکان رو خواهد داد تا مهاجمین در زمان Build Proccess اقدام به ایجاد یک سردرگمی نوع داده بکنند که ظرفیت اسپری Shellcode مخرب را داده و موجب اجرای کد در حافظه مرورگر میشود.
بطور خلاصه ماجرا از این قرار است که جریان اجرا در WASM به 3 حالت کلی برمیگرده، اول Runtime Build دوم ByteCode Execution سوم External Interaction که در حالت Runtime Build دو آسیب پذیری باینری کشف شده تا کنون، از Bytecode Exec نیز دو آسیب پذیری سردرگمی نوع داده و خواندن و نوشتن بیرون از باند رخ داده است.
در اثر استفاده WASM از Wrapper JS برای تغییر Context مثلا یک تابع، ظرفیت ایجاد یک آسیب پذیری سردرگمی نوع داده بوجود خواهد آمد.
بقیه ماجرا در مقاله، نصفه ارائه رو هم نگفتیم که ظرفیت متن تلگرام پر شد...
@Unk9vvN
#Bypass #UAC with #COM
در ساختار ویندوز مفهومی به نام COM وجود داره که مخفف Component Object Model هست به معنی یک مدل نرم افزاری که به نرم افزار های دیگه امکان استفاده از ظرفیت های تعریف شده در COM رو خواهد داد.
حالا اگر یک Instance از COM ویندوز ساخته بشه امکان فراخوانی GUID مربوط به COM مد نظر ما خواهد بود، همچنین مهاجم از COMAutoApprovalList مایکروسافت که مستند نشده است، استفاده کرده برای تماس با آن و ایجاد یک پردازش بواسطه تابع CopyFile ذیل آن پردازش.
خب اما یکی از این COM ها که Connection Manager نام دارد مشخصا سرویس Service Transport Profile، دارای تابع ShellExexcuteExW است که مهاجم در ساختمان ICMLuaUtilVtbl به آن دسترسی خواهد داشت.
مهاجم بواسطه GetElevatedComObject اقدام به ایجاد دسترسی به CMLUA میکند بواسطه IID و یک جعل ImagePathName ایجاد، بر روی COM و فایل explorer.exe که مجوز دسترسی سیستم دارد را انتخاب میکند برای ساخت دستور cmd.exe خود در ShellExec که در GetElevatedComObject ایجاد کرده بوده است.
بدین ترتیب دستور در منطقه حافظه explorer.exe اجرا خواهد شد توسط یک COM داخلی سیستم عامل.
@Unk9vvN
#APT34 #OilRig #Earth_Simnavaz
تیم منتصب به ایران یعنی APT34 اخیرا حمله ای رو در خاورمیانه انجام داده که نسبت به نسخه های قبل TTP پیشرفته تری داشته است.
زنجیره حمله به این صورت بوده که بواسطه یک آسیب پذیری عمومی یک Web Shell بر روی وبسرور MS Exchange قربانی بار گزاری کرده و ی تونل پروتکل RMM بر پایه Ngrok پیاده سازی میشه.
در مرحله بعدی مهاجمین بواسطه یک آسیب پذیری Race Condition با شناسه CVE-2024-30088 روی ساختمان _AUTHZBASEP_SECURITY_ATTRIBUTES_INFORMATION اجرا میشه که مستقیما مقادیرش رو از سمت کاربر و بواسطه اشاره گر SecurityAttribute میگیره که این اشاره گر با RC امکان کپی Shellcode با RtlCopyUnicodeString رو خواهد داد.
که البته Shellcode مورد استفاده در اصل یک ابزار منبع باز با نام RunPE-In-Memory بوده که میاد یک فایل فرمت PE رو در حافظه مستقیما Map میکنه بی آنکه Stage ازش در حافظه سخت باشه.
اما بعد از ارتقاء سطح دسترسی مهاجمین میان و Register Password filter DLL رو دستکاری میکنند و با PasswordFilter اقدام به بازیابی اطلاعات کاربران Exchange میکنند.
@Unk9vvN
#Iran #Cyberattack #Ransomware #Banks
طی خبری که پایگاه POLITICO اعلام داشته، بیش از 20 موسسه بانکی و چندین بانک خصوصی و دولتی ایران هک شده است.
این هک بواسطه نفوذ به نرم افزار Core Banking شرکت توسن رخ داده است که بواسطه آسیب پذیری کشف شده، مهاجمین امکان اجرای باج افزار را پیدا کرده و با گروگان گرفتن پایگاه داده این بانک ها درخواست 3 میلیون دلار باج کرده اند.
سالها پیش بارها اعلام شد که حاکمیت میبایست اقدامات جدی ای در بحث پرورش و ایجاد قوانین تنظیم گری درست در راستای حمایت مستقیم از محققین کند.
اما وجود برخی شرکت های فاسد و رانتی که حیاط خود را با روابط زنده نگهداشته اند، مانع از اقدامات درست شد.
این حمله در تاریخ ایران بی سابقه بوده و بنظر میرسد کماکان موجب نخواهد شد که فساد سیستماتیکی که در حوزه امنیت سایبری ایران وجود دارد، از بین برود.
در هر صورت این وضعیت موجب تخلیه صد در صدی محققین از کشور شده و مواجه حاکمیت با موج حملاتی که این بار بواسطه هوش مصنوعی صورت میگیرد، خواهد بود.
@Unk9vvN
Reinforcement Learning #RL for Automonous Resilient #Cyber_Defence
سازمان #GCHQ و #MOD و #DARPA پارتنرشیپ تحقیقاتی در خصوص یک اکوسیستمی با نام #ARCD شدند تا فرایند های دفاع سایبری رو بواسطه Machine Learning بتونن اتوماسیون کنند و کیفیت دفاع رو بالا ببرند.
تمرکز این تحقیقات بر روی بالا بردن سرعت پاسخ و فرایند های بازیابی بوده که مبتنی بر چهارچوب NIST آمریکا شکل گرفته است.
ایجاد یک واکنش پاسخ به حادثه در لحظه، بواسطه ACO موجبات آموزش دیدن هر چه بیشتر هوش مصنوعی خواهد شد، که با ظرفیت های الگوریتمی که هوش مصنوعی داره، فرایند یادگیری اتفاق خواهد افتاد.
الگوریتم هایی مانند PPO - DQN - DDQN - GA - GNN - MARL که بر روی شبیه سازی هایی با نام PrimAITE - Yawing Titan - Cyborg عملیاتی شده است.
این یادگیری در ابعاد نظامی و تکنولوژی های عملیاتی آن نیز پیاده سازی شده است که میتواند موجبات دفع حملاتی که مبتنی بر فضای سایبر رخ میدهد، شود.
https://i.blackhat.com/BH-US-24/Presentations/US24-MilesFarmer-ReinforcementLearningForAutonomousResilientCyberDefence-Thursday.pdf
@Unk9vvN
#CrowdStrike Kernel Mode Binary #Vulnerabilities
آسیب پذیری NULL Pointer Deference در Driver سنسور Falcon که در خصوص پیاده سازی مدل های هوش مصنوعی تشخیص رفتار های مخرب در سیستم عامل را انجام داده و فرایند پاسخ به حادثه در لحظه رو اعمال خواهد کرد. نام آن نیز CSAgent.sys بوده است.
اما جزئیات آسیب پذیری: اول اینکه یک Driver سطح هسته سیستم عامل در زبان Boot سیستم عامل نصب و راه اندازی میشوند. دوم Driver امکان ارتباط مستقیم با سخت افزار داشته و میتواند منابع سیستم عامل و دسترسی به حافظه محافظ شده را نیز دارا است. سوم یک Driver سطح هسته میتواند بر رفتار اصلی سیستم عامل تاثیر بگذارد.
این Driver ها در Windows Hardware Lab Kit امضای دیجیتالی مایکروسافت رو برای فعالیت در سیستم عامل دریافت میکنند که Driver نرم افزار Falcon نیز از آن جمله است.
فرایند بررسی و اعطای مجوز به Driver ها توسط مایکروسافت، یک فرایند زمانبر است لذا CS رویکردی با نام RRC ایجاد کرده تا سریعا محتواهای واکنش سریع خود را در قالب یک بروز رسانی پیکربندی محتوا انجام داده و Driver را بصورت پویا Load نماید.
@Unk9vvN
#VScript #Obfuscation #Excel #Darkgate
یکم راجب مبهم سازی هایی که بازیگر تهدید یعنی Dargate صحبت کنیم که اخیرا گفته شده در سرقت اطلاعات از AT&T دست داشته.
اولین مرحله ایجاد دسترسی ارسال یک ایمیل فیشینگ همراه با یک فایل Excel بوده که قربانی رو تشویق به Enable Content کرده تا کد VBScript که در Macro فایل طراحی شده و شما در تصویر میبینید، اجرا شود.
با اجرای این کد، سه Object از COM های اجرایی سیستم عامل ساخته میشه و بصورت مبهم سازی شده مقادیری رو echo کرده و هر بخش ساخت Stage بعد رو بواسطه یک COM انجام میدهند.
اما در ادامه Stage دیگری با فرمت js اجرا میشود که بواسطه ActiveXObject یک COM سیستم عامل با نام WScript.Shell را ساخته و در ادامه با استفاده از Invoke-Expression است که باز داخل اون یک روش Invoke-RestMethod استفاده شده برای دریافت Stage بعدی.
فایلی که از دامنه دانلود شده و با فرمت a.bin ذخیره میشود در سیستم قربانی، بواسطه certutil مقدار a.bin را hex decode کرده و یک فایل exe ساخته میشود.
@Unk9vvN
#BypassEDR with #Code_Injection
در کنفرانس BlackHat 2022 یک ارائه ای مطرح شد مبنی بر رویکردی جدید از نحوه تزریق کد به یک Process بی آنکه توسط EDR ها شناسایی شود.
روش شناسی محقق بر مبنای امکان ایجاد یک Fork از یک Process است، بدین صورت که از یک پردازش والد بتوان یک پردازش والد دیگری را ایجاد نمود.
مشخصا محقق اشاره میکند که اینکار توسط یکی از توابع API سیستم عامل میتواند صورت گیرد با نام RtlCloneUserProcess که از ماژول Windows Dagnostic Infrastructure گرفته شده است.
همچنین تابع دیگری با نام PssCaptureSnapshot از POSIX ویندوز گرفته میشود برای ضبط محتوای مقادیر آدرس های مجازی یک پردازش.
حالا مهاجم بطور مثال میخواهد از LSASS یک Dump بگیرد، اینکار توسط EDR پیشگیری خواهد شد، اما اگر مهاجم بتواند بواسطه روش شناسی پیشتر توضیح داده شده بتواند یک Clone از پردازش LSASS ایجاد کند، اینجا Dump صورت گرفته و EDR فرایند را تشخیص نخواهد داد و اینکار میبایست توسط Remote Fork API صورت بگیرد در Self Fork API :)
ادامه موضوع از صفحه 13 به بعد است...
@Unk9vvN
#Unk9vvN #Roadmap #Linkedin
درسته در ایران بایکوت هستیم و بی مهری های فراوانی از جامعه امنیت سایبری ایران دیده ایم.
اما در جوامع سالم دیگر ملیت ها، متوجه اهمیت بسیاری از تلاش های تیم تحقیقاتی آنون شده اند.
#پست_موقت
@Unk9vvN
#Gartner #Cybersecurity #Technology 2024
در گزارش اخیر مجله Gartner تکنولوژی های امنیت سایبری ای که تاثیر بیشتری داشته و در بازار بیشتر مورد توجه بوده اند، مشخص شده است.
جالب توجه است که طی سالهای اخیر محصولات و سامانه های امنیت تهاجمی بیشتر مورد توجه بوده اند، بطور مثال سامانه های زیر:
Attack Surface Management
API Security Testing
Breach and Attack Simulation
Threat Modeling Automation
Mobile Application Security Testing
لذا همواره راهکار های امنیت تهاجمی کار آمدی لازمه خود را داشته و در کنار تکنولوژی های امنیت دفاعی، مکمل مهم و جدی ای به حساب می آمده است.
لازم به ذکر است که بسیاری از تکنولوژی های امنیت تهاجمی در چرخه تولید محصول قرار نداشته و یک خلع چشم گیری در آن دیده میشود.
این در حالی است که گستره تکنیک ها و تاکتیک های حوزه امنیت تهاجمی هر ساله چندین برابر شده و سطح تهاجمات تکنیک ها پیشرفته تر میشود.
@Unk9vvN
Introduction to #Cybersecurity
در این ویدئو قصد داریم نقش امنیت سایبری در زندگی امروز را نمایش دهیم و شناخت جامعی را برای کسانی که میخواهند تازه این علوم را بشناسند، ارائه میکنیم.
⚠️ ادامه مطلب در لینک زیر
youtu.be/2JbeJWhSwMo
aparat.com/v/mgv5zfd
@Unk9vvN
#unk9wpt #telegram #webapp #xss #session_hijacking
اخیرا یک آسیب پذیری از برنامه تحت وب تلگرام (WebK 2.0.0) منتشر شده که از نوع XSS هست و در فایل appDialogsManager-aLs9GOvc.js قرار داشته است.
ماجرا از این قرار است که ورودی دریافت کننده url لینکی که توسط یک ربات تولید شده، کنترل امنیتی صحیحی صورت نگرفته است و لذا یک مهاجم میتواند با ایجاد یک Bot + Mini App یک مقدار URL رو تنظیم نماید برای Mini App و زمانی که ربات لینک را ارسال میکند، لینک اشاره دارد به یک وبسایت بیرون از Scope برنامه تحت وب تلگرام.
در صورت باز کردن لینک صفحه مربوط به مهاجم بار گذاری شده و کد جاوا اسکریپتی اقدام به دزدیدن کوکی کاربر کرده و از این کوکی و نشستی که در آن است سو استفاده کرده و اقدامات بعدی را در جهت بهره برداری Account Takeover را انجام دهد.
<body onload=exploit()>
<script>
function exploit() {
window.parent.postMessage(JSON.stringify({eventType: 'web_app_open_link',
eventData: {url:
"javascript:alert(JSON.stringify(window.parent.localStorage))"}}), '*'); }
</script>
</body>