Unk9vvN

10 сентября 2023 09:48

#APT34 #Tesla #Agent #Phishing #Trojan
اخیرا تحرکاتی از تیم #APT34 منتصب به ایران، رخ داده است که مبتنی بر آسیب پذیری قدیمی CVE-2017-11882 و CVE-2018-0802 اقدام به پخش ایمیل فیشینگ هایی با محتوای فایل xls و یک دانلودر بدافزار بوده است.

اما در مرحله اجرا یک OLE اجرا میشود که دارای equation data است که در EQNEDT32.EXE به اجرا در آمده و از آسیب پذیری استفاده کرده و شلدکی را به اجرا در میاورد.

شلکد اجرایی در اصل یک دانلودر و اجراگر بدافزار است که بواسطه تابع URLDownloadToFileW که یک تابع API است تماس گرفته شده و بدافزاری با نام chromium.exe دانلود شده و در %TEMP% با نام desHost.exe ذخیره میشود.

اما فایل دانلودی یک بدافزار طراحی شده با DotNet است که کاملا مبهم سازی شده بواسطه IntelliLock و Net Reactor. بوده و مهاجم تمامی اسامی ها را مبهم ساخته است.

اما درون این بدافزار مقادیر Encode شده ای قرار دارد که دارای پیلود برای Agent Tesla بوده که بصورت Encode و Compress در Resource Section قرار داده شده است.

پیلود Agent Tesla با تکنیک Process Hollowing که یک تکنیک برای محافظت از پردازش بدافزار است.

@Unk9vvN

Unk9vvN

02 сентября 2023 23:13

#AFTA #FATA #Iran #Cybersecurity #Attacks
با توجه به تحولات دو سال اخیر فضای سایبر کشور، مشخص شد ادعاهای مطرحه از سوی ما در خصوص وجود ضعف های جدی در زیرساخت های امنیت فضای سایبر کشور کاملا صحیح است.

در پادکست های منتشر شده از سوی تیم تحقیقاتی #Unk9vvN آسیب شناسی های متعددی صورت گرفت از علل وجود این ضعف ها و بی کفایتی مدیریتی، از متولیان امور امنیت فضای سایبر کشور.

متاسفانه در کشور ما برای سو مدیریت هزینه ای وجود ندارد و محکمه ای نیز تشکیل نمیشود در نتیجه صاحبان کسب کار های اینترنتی با درآمد های میلیاردی حاضر به اهمیت دادن به امنیت اطلاعات مردم نیستند و از سوی دیگر دستگاه های حاکمیتی مربوطه نیز برخوردی صورت نمیدهند.

حاکمیت مالیات دریافت میکند طبق قانون اساسی، تا امنیت را برای مردم مهیا کند، امنیت اطلاعات یکی از مهمترین ابعاد امنیت است و توجه جدی به این بخش، از وظایف حاکمیت است.

افشای اطلاعات مردم بخاطر چند هزار دلار، موجب میشود تا تمامی دستگاه های اطلاعاتی کشور های خارجی، اشراف کاملتری بر مردم ایران داشته باشند و اینگونه میشود که حوادثی مانند #شاهچراغ با موفقیت برای دومین بار، رخ میدهد.

@Unk9vvN

Unk9vvN

01 сентября 2023 00:51

#Unk9_PodcasT 2
مسیر ورود به دنیای علوم امنیت فضای سایبری :
1.وضعیت زیرساخت های تحصیلی و استاندارد های این موضوع
2.روش های صحیح خود سازی علمی بصورت فردی و آکادمیک
3.آموزش عملی در ابزارها و تکنیک های امنیت سایبری
4.هدف گذاری فردی و تیمی برای رسیدن به خروجی عملی و تحقیقاتی
5.مسیر توانمند سازی فردی و تیمی علوم امنیت
6.تجربه جهانی در عرضه زیرساختی و تنظیم گیری های حاکمیتی

@Unk9vvN

Unk9vvN

24 августа 2023 13:55

#Machine_Learning #EvilModel #Red_Team
با توجه به تقویت یافتن زیرساخت های یادگیری ماشین، امروزه انجمن هایی ظهور پیدا کرده اند تا خوراک های اصلی الگوریتم های یادگیری ماشین را توسعه داده و به اشتراک بگذارند.

یکی از این انجمن ها، انجمن Hugging Face مانند GitHub است تا توسعه دهندگان مدل و مجموعه داده (Models - Datasets) را به اشتراک بگذارند.

مثالی در خصوص مسیر فرایند آموزش و آنالیز و تصدیق تشخیص بدافزار مبتنی بر ML Pipeline، که در تصویر مشاهده میکنید که در نهایت بصورت یک کتابخانه پایتونی، کد منبع باز منتشر میشود.

اما همین بستر، میتواند موجب شود تا مهاجمین تیم قرمز با تزریق مدل های مخرب بدافزاری در پروژه های شرکت های معتبر، باعث شوند تا در فرایند Tensorflow کد وارد بخش حساس شرکت شده و به اجرا در بیاورد.

برای مثال در TensorFlow لایه Kenras Lambda، امکان اجای عبارات دلخواه ارائه میدهد که عملگر های داخلی معادل نداشته باشند. معمولا میتوان از آن برای نوشتن عبارات ریاضی استفاده کرد، اما هیچ چیز مانع از انجام هرکاری مانند فراخوانی تابع ()exec داخلی پایتون نمیشود.

https://arxiv.org/pdf/2107.08590.pdf
@Unk9vvN

Unk9vvN

22 августа 2023 18:57

#Infrastructure #Cybersecurity #Strategy
پیرو مطلبی که شش ماه پیش منتشر کردیم مبنی بر اقدامات انگلستان در سند راهبردی استراتژی های امنیت سایبری، یکی از موارد سرمایه گذاری بر روی نوجوانان انگلستان در خصوص آشنایی و استعداد یابی در حوزه علوم سایبری بوده است.

کشور ایران در حوزه نیروی انسانی حوزه فناوری اطلاعات به مرز بحران رسیده و این وضع در حوزه علوم امنیت سایبر بسیار وخیم تر بوده است.

اما در این میان، دبیر شورای عالی فضای مجازی، خبر از منصوب کردن میثم غلامی به عنوان سرپرست پژوهشگاه فضای مجازی میدهد.

وی دانش آموخته خارج فقه و اصول در حوزه علمیه قم بوده و همچنین فازغ التحصیل فلسفه اخلاق از دانشگاه قم است.

واقعا تا کی جوانان این مملکت باید بنشینند و ببینید که حاکمیت بجای پیروی از سیاست های شایسته سالاری، شاهد بر سرکار آمدن افرادی باشند که تحصیلات آنها هیچ ربطی به فضای مجازی ندارد.

اگر جوانان این کشور مهاجرت میکنند کاملا حق دارند چرا که در حاکمیت ایران، عموم جوانان این کشور که مقید به تظاهرات ظاهری مذهبی نیستند، به عنوان تهدید پنداشته میشوند و قشر مذهبی نما صرفا در صلاحیت است.

@Unk9vvN

Unk9vvN

16 августа 2023 10:21

#Unk9_PodcasT 1
مقدمه ای بر امنیت سایبری در فناوری اطلاعات:
1.فناوری اطلاعات چیست.
2.امنیت سایبری چیست.
3.امنیت سایبری در دانشگاه.
4.جایگاه علوم امنیت فضای سایبر در فناوری اطلاعات.
5.بررسی اجمالی رشته های مختلف علوم امنیت سایبر.
6.نقش امنیت تهاجمی در علوم امنیت فضای سایبر.
7.نقش امنیت تدافعی در علوم امنیت فضای سایبر.
8.چارچوب ها و استانداردهای امنیت سایبری.
9.نگاهی به شرایط حقوقی و اخلاقی امنیت سایبری.

@Unk9vvN

Unk9vvN

06 августа 2023 22:10

#Microsoft #Exchange #Zeroday
طی یک حمله مداوم پیشرفته انجام شده، دو آسیب پذیری روز صفر از Microsoft Exchange مشخص شد، آسیب پذیری اول یعنی CVE-2022-41040 بر روی نقطه انتهایی Powershell API قرار داره که مبتنی بر مکانیزم Autodiscover امکان دسترسی بهش وجود داره.

مهاجم بر روی پروتکل WSMAN که روی سرویس WBEM قرار دارد، آسیب پذیری اجرای کد رخ داده است، این اجرای کد به این دلیل بوده که مهاجم میتوانه بواسطه سرویس SOAP با نوع محتوای XML مجال اینو میده بشه اسکریپت Powershell اجرا کرد بصورت Windows Remote Management.

اما مهاجم برای اجرای shell خودش نیاز داره که سریعا بیاد و طول عمر ارتباط رو افزایش بده چرا که زمان انقضا بصورت پیشفرض کوتاه است، برای همین یک درخواست ویژه به WSMAN ارسال میکنه که Keep Alive فعال بشه.

بعد آسیب پذیری دوم استفاده خواهد (CVE-2022-41082) شد که بواسطه PSRemoting یک درخواست به Address Book بصورت Encoded و داده Serialize شده ارسال میکنه تا بواسطه System.UnitySerializationHolder یک شیُ از کلاس System.Windows.Markup.XamlReader رو ایجاد کرده و داده های XAML پیلود ارسالی رو پردازش کند.

@Unk9vvN

Unk9vvN

27 июля 2023 17:00

#Cybersecurity #Meeting 2023
جلسه میتینگی در دانشگاه آزاد با همکاری تیم تحقیقاتی Unk9vvN برگزار میشود با موضوعات زیر:

1.نقشه راه توانمند سازی فردی و تیمی در حوزه علوم امنیت فضای سایبر.
2.فرصت ها و نیاز سنجی ملی و فرا ملی حوزه علوم امنیت فضای سایبر.
3.در آخر بخش پرسش و پاسخ نیز خواهیم داشت.

ظرفیت جلسه محدود است و افرادی که علاقمند هستند حضور داشته باشند، میتوانند اسم و فامیلی خود را جهت هماهنگی با حراست دانشگاه، به این آیدی @f0rb1dd3n ارسال نمایند.

این جلسه بطور غیر رسمی برگزار میشود و یک میتینگ دیالوگ محور خواهد بود تا تمامی افراد حاظر بتوانند نکته نظرات خود را بیان داشته باشند.

محل برگزاری: پونک، بزرگراه اشرفی اصفهانی، خیابان امام حسن (ع)، مجتمع دانشگاهی آیت الله هاشمی رفسنجانی (تهران مرکز).

زمان: ساعت 10:30 الی 1:00 سه شنبه 17 مرداد.

@Unk9vvN

Unk9vvN

24 июля 2023 22:56

#پست_موقت

لینک گروه:

/channel/+LoB044Sx6Mo2Mzc8

@Unk9vvN

Unk9vvN

09 июля 2023 17:35

#GFW #Detection #Rules
در مقاله اخیر در کنفرانس USENIX تحلیل و بررسی انجام شده بر روی نحوه عملکرد دیواره آتش چین که به آن #GFW گفته میشود.

اولین نکته اشاره به پنج Rule برای تشخیص اکتشافی است که مبتنی بر تحلیل بایت های اولیه ارتباط TCP بخش Payload پروتکل است.

بر اساس این تحقیقات اگر شش بایت اول پکت های TCP بصورت تصادفی و از نوع Printable تولید شود، پکت عبور داده خواهد شد، اما اگر این شش بایت اول دارای کاراکتر محدوده [0x20,0x7e] باشد، پکت مسدود خواهد شد.

اما جالب است که GFW برای برخی پروتکل های عمومی معافیت هایی در نظر میگیرد، بطور مثال پروتکل TLS و HTTP در GFW دارای معافیت هستند و اگر سه بایت اول آنها مطابق با [\x16-\x17]\x03[\x00-\x09] باشد، ترافیک مجاز به عبور خواهد شد.

اما کاوشگر GFW همواره علاوه بر نظارت بر پکت ها، بر روی IP سرور های مشکوک شروع به صحبت با Port های معروف میکند، به عنوان مثال اگر بر روی Port هایی مانند 443 یا 80 باشد، کاوشگر درخواست استفاده به عنوان Proxy میکند، و اگر سرور پاسخ دهد آن IP مسدود خواهد شد.

https://www.usenix.org/system/files/sec23fall-prepub-234-wu-mingshi.pdf
@Unk9vvN

Unk9vvN

18 июня 2023 16:01

#MOVEit #Transfer #SQLi
اخیرا دو آسیب پذیری ثبت شده با شناسه های CVE-2023-34362 و CVE-2023-35036 که از نوع Unauthenticated SQLi بوده است که به شرح زیر میباشد:

اول: پیدا کردن CSRF Token، دریافت Cookie از نقطه انتهایی guestaccess.aspx، تنظیم session قرار دادن پیلود SQL در پارامتر MyPkgSelfProvisionedRecips هدر Cookie، ساخت رمز با Salt منطبق با پایگاه داده.

دوم: ایجاد کاربر sysadmin در پایگاه داده و تنظیم رمز از قبل طراحی شده و اعطا دسترسی پایگاه داده.

سوم: گرفتن API Token از Endpoint مربوطه.

چهارم: پیدا کردن ID پوشه هدف بارگزاری ها.

پنجم: آپلود فایل Webshell بواسطه دسترسی به .API

هفتم: فاش کردن کلید رمزنگاری بخش Standard Networks\siLock\Institutions برای ارتباط یکی از پارامتر های API

هشتم: ایجاد یک Deserialization Gadget که دارای پبلود ایجاد یک Process بر روی سیستم عامل است.

نهم: این Gadget در پایگاه داده و فایل آپلودی در فیلد file_jason بروز رسانی میشه.

دهم: ارتباط با فایل از طریق API گرفته میشه و Gadget قرار داده شده در فایل اجرا میشه.

یازدهم: نشانه های IoC از روی پایگاه داده حذف میشود.

@Unk9vvN

Unk9vvN

06 июня 2023 04:28

#پست_موقت

لینک گروه تیم تحقیقاتی Unk9vvN

/channel/+LoB044Sx6Mo2Mzc8

@Unk9vvN

Unk9vvN

03 июня 2023 04:14

#SANS #Iranian #Threat #Actor
در جریان توییت آقای Bob Diachenko در خصوص افشای اطلاعات 46 میلیون حساب اینستاگرام، 1.2 میلیون حساب توییتر و 180 هزار حساب تلگرام ایرانی در دامنه ای با نام secnerd.ir که بر روی آن پلتفرم Elasticsearch بصورت ناشیانه پیکربندی شده بود، لو رفته است.

خانوم Lina Lau ارائه ای رو در مجموعه SANS انجام میدهد که در آن اشاره میکند به گروه های فعال تهاجمی در ایران و در جریان افشاگری های مطرح شده در توییتر، مشخص شد یکی از تیم های سایبری منتصب به دستگاه اطلاعاتی ایرانی حریم خصوصی مردم را نقض و بر خلاف قوانین جمهوری اسلامی ایران، مبنی بر عدم جاسوسی از حریم خصوصی مردم، اقدام به شنود و ضبط اطلاعات حساب های شبکه های اجتماعی آنها کرده است.

اما در کنار این نقض قانون، در این مقاله مطرح میشود که حساب کاربری با نام Unkn19wn و ایمیل unk19wn@gmail.com در جریان یکی از عملیات های تهاجمی شرکتی با نام Najee و با مدیریت فردی با نام Mnasour Ahmadi اقدام به فعالیت های سایبری کرده است.

لازم دانستیم شفاف سازی کنیم که نام کاربری Unkn19wn هیچ ربطی به این تیم تحقیقاتی ندارد.

@Unk9vvN

Unk9vvN

29 мая 2023 02:06

#TripleCross #eBPF #Rootkit #Linux
در بحث طراحی Rootkit تکنیک ها و مدل های مختلفی وجود دارد که میتواند موجب ماندگاری آن شود.

یکی از این روش ها استفاده از فناوری extended Berkeley Packet Filters است که از نسخه 3.18 هسته لینوکس اضافه شده است و اجازه میدهد تا اجرای کد در هسته سیستم عامل، بدون نیاز به Load ماژول در هسته انجام شود.

البته فناوری eBPF برای فیلترینگ Packet و نظارت بر شبکه طراحی شده است، اما بستر خیلی خوبی نیز برای اجرای کد میتواند باشد، چرا که منابع انحصاری هسته و امکان ردیابی فعالیت های سمت کاربر را میتواند انجام دهد.

برای مثال TripleCross یک Rootkit مبتنی بر eBPF است و قابلیت هایی مانند ماژول تزریق کتابخانه و اجرای کد در حافظه مجازی، اجرای کد در سطح هسته و به موجب آن ارتقاء سطح دسترسی برای یک Process سمت کاربر، امکان فعال سازی Backdoor در سطح root و غیره را دارد.

اما مهاجمین بواسطه Patch کردن بخشی از ساختمان های این فناوری بواسطه Rootkit های خود، موفق شدند از این فناوری بر علیه خود سیستم عامل استفاده کنند و از ویژگی های منحصر به فرد آن سو استفاده نمایند...

@Unk9vvN

Unk9vvN

16 мая 2023 08:00

#Windows #DHCPv6 Server #RCE
یک آسیب پذیری با شناسه CVE-2023-28231 ثبت شده است که از درجه حساسیت 9.8 برخوردار بوده، که بر روی سرویس DHCPv6 ویندوز رخ داده است.

این آسیب پذیری از نوع Heap-Based Buffer Overflow بوده و از راه دور قابلیت Trigger کردن داشته است. پروتکل DHCP برای مدیریت خودکار در خصوص تخصیص آدرس های IP در یک شبکه است.

در فرایند تخصص نوع آدرس IPv6 بر روی Port های 546 و 547، یک پردازش در خصوص پیام های Relay-Forward وجود داشته است که توسط تابع ProcessRelayForwardMessage در dhcpssvc.dll پردازش میشود.

این تابع یک بافر در Heap را با اندازه 1664 بایت، مقدار دهی اولیه میکند که آرایه 32 از ساختمان 52 بایت برای هر پیام Relay-forward تو در تو خواهد بود.

حال، هیچ اعتبارسنجی برای اطمینان از اینکه شمارنده از حداکثر تعداد مورد انتظار، 32 تجاوز نکند، انجام نمیشود. بنابراین اگر بیش از 32 پیام تو در تو در یک پیام Relay-forward گنجانده شود، تابع در یک افست مینویسد و از اندازه بافر تخصیص داده شده فراتر میرود که منجر به سرریز بافر میشود.

@Unk9vvN

Unk9vvN

07 сентября 2023 21:32

#Ransomware #Detection Using #Machine_Learning
در مقاله ای از MDPI به موضوع نحوه تشخیص باج افزار مبتنی بر روش های تشخیص رفتار تهدید آمیز مبتنی هوش مصنوعی را مطرح نموده است.

در روش های قدیمی مرسوم، عموما مکانیزم های EPP اقدام به تشخیص مبتنی بر امضا، تشخیص مبتنی بر ترسیم رفتار مخرب یا Behavioral-Patterns و روش های Heuristic-Based Scanning پرداخته شده است.

حالا موضوعی به آن مبتنی بر هوش مصنوعی توجه شده است، بحث یاد گیری ماشین و ایجاد Dataset های بزرگ برای الگوریتم های یادگیری ماشین است.

با توجه به اینکه منابع Dataset در اینجا نقش خوراک الگوریتم را میبایست بازی کند، وجود Dataset های با کیفیت و جامع بسیار در امر یادگیری ماشین، کمک خواهد کرد.

این Dataset ها میبایست مدل های تشخیص آموزش دیده ای را به ماشین بدهند تا ماشین با تحلیل رفتار پردازش ها بتواند بهترین و دقیقا Pattern ای تشخیصی رو پایش کند.

که در این صورت ماشین میتواند هر بار بسیار سریع تر متوجه یک رفتار غیر طبیعی از یک برنامه توجیه یا Legitimate را تشخیص داده و واکنش مطلوب را سریعا نشان دهد.

https://www.mdpi.com/2504-2289/7/3/143
@Unk9vvN

Unk9vvN

02 сентября 2023 23:12

#Cybersecurity #US #Jobs #Offsec
دو نکته از دو مقاله شرکت Offensive Security آمریکا در باب وضعیت مشاغل امنیت سایبری.

تصویر بالا: بیش از 700.000 شغل امنیت سایبری در آمریکا نیاز است و سه میلیون نیروی متخصص در کل دنیا.

تصویر پایین: حقوق متخصصین امنیت سایبری برابر است با حقوق معاون رئیس جمهور ایالات متحده، و حتی بیشتر از آن و تا سقف 330 هزار دلار در سال.

40.000 موقعیت شغلی امنیت سایبری هم در بخش دولتی نیاز است.

@Unk9vvN

Unk9vvN

26 августа 2023 14:30

#AFTA #Zimbra #Email_Servers
با توجه به حملاتی که در طی چند ماه اخیر به سازمان انرژی اتمی ایران و همچنین وبسایت internet.ir و برخی مجموع های دیگر از سوی تیم #Black_Reward انجام شد، بنظر میرسد نهاد حاکمیتی مرتبط با سیاست گذاری حاکمیتی فضای سایبر کشور یعنی #افتا ، هنوز واکنش های مدیریتی صحیحی نسبت به این موضوع انجام نداده است.

با توجه به نصب بودن این ایمیل سرور بر روی وبسایت های مهم کشور، بنظر میرسد امکان رخداد دوباره حملات سایبری سنگینی به مراجع حساس وجود خواهد داشت.

شرکت #فارسی_ساز کننده این ایمیل سرور، اعلام دارد که ما پایداری و امنیت این ایمیل سرور را تامین میکنیم، اما از انجا که موضوع امن سازی کد و تست نفوذ سرویس های تحت وب یک امر تخصصی است و میبایست تیم های تخصصی به این موضوع بپردازند، بنظر نمیرسد که ادعای این شرکت قابل اعتماد باشد.

با توجه به مقاله تحلیلی منتشر شده از سوی تیم تحقیقاتی #Unk9vvN ، این ایمیل سرور بطور استاندارد امن سازی و ارزیابی نشده است و همین موضوع میتواند تهدید دوباره امنیتی برای کشور به همراه داشته باشد.

@Unk9vvN

Unk9vvN

24 августа 2023 13:54

#Unk9_PodcasT 1
مقدمه ای بر امنیت سایبری در فناوری اطلاعات:
1.فناوری اطلاعات چیست.
2.امنیت سایبری چیست.
3.امنیت سایبری در دانشگاه.
4.جایگاه علوم امنیت فضای سایبر در فناوری اطلاعات.
5.بررسی اجمالی رشته های مختلف علوم امنیت سایبر.
6.نقش امنیت تهاجمی در علوم امنیت فضای سایبر.
7.نقش امنیت تدافعی در علوم امنیت فضای سایبر.
8.چارچوب ها و استانداردهای امنیت سایبری.
9.نگاهی به شرایط حقوقی و اخلاقی امنیت سایبری.

منابع:
1.منبع سند ملی امنیت استراتژیک انگلستان
2.سندی در خصوص مقابله با دوره های کپی
3.گزارش مجله esecurityplanet از جذب سرمایه استارت آپ های امنیت سایبری
4.نمونه ای از استارت آپ آسیای شرقی در حوزه امنیت تهاجمی
5.عدم بررسی کیفی افتا در جریان ایمیل سرور سازمان انرژی اتمی
6.توجه ویژه ارتش آمریکا در موضوع آموزش های عملی امنیت سایبری
7.جنبه های مختلف پرداختن به مباحث آموزشی تست نفوذ
8.مفهموم متخصصین تیم بنفش
9.مفهوم IoC و IoC در جرم شناسی دیجیتال
10.نمونه ای از نبود قوانین حقوقی مشخص
11.نمونه ای از ارزیابی مجموعه MITRE در خصوص محصولات امنیت دفاعی
12.نمونه ای نفوذ سازمان NSA به سازمان ایرانی به مدت 7 سال

@Unk9vvN

Unk9vvN

20 августа 2023 10:43

#Machine_Learning #EvilModel #Red_Team
با توجه به تقویت یافتن زیرساخت های یادگیری ماشین، امروزه انجمن هایی ظهور پیدا کرده اند تا خوراک های اصلی الگوریتم های یادگیری ماشین را توسعه داده و به اشتراک بگذارند.

یکی از این انجمن ها، انجمن Hugging Face مانند GitHub است تا توسعه دهندگان مدل و مجموعه داده (Models - Datasets) را به اشتراک بگذارند.

مثالی در خصوص مسیر فرایند آموزش و آنالیز و تصدیق تشخیص بدافزار مبتنی بر ML Pipeline، که در تصویر مشاهده میکنید که در نهایت بصورت یک کتابخانه پایتونی، کد منبع باز منتشر میشود.

اما همین بستر، میتواند موجب شود تا مهاجمین تیم قرمز با تزریق مدل های مخرب بدافزاری در پروژه های شرکت های معتبر، باعث شوند تا در فرایند Tensorflow کد وارد بخش حساس شرکت شده و به اجرا در بیاورد.

برای مثال در TensorFlow لایه Kenras Lambda، امکان اجای عبارات دلخواه ارائه میدهد که عملگر های داخلی معادل نداشته باشند. معمولا میتوان از آن برای نوشتن عبارات ریاضی استفاده کرد، اما هیچ چیز مانع از انجام هرکاری مانند فراخوانی تابع ()exec داخلی پایتون نمیشود.

https://arxiv.org/pdf/2107.08590.pdf
@Unk9vvN

Unk9vvN

16 августа 2023 05:13

#Unk9_PodcasT 1
مقدمه ای بر امنیت سایبری در فناوری اطلاعات:
1.فناوری اطلاعات چیست.
2.امنیت سایبری چیست.
3.امنیت سایبری در دانشگاه.
4.جایگاه علوم امنیت فضای سایبر در فناوری اطلاعات.
5.بررسی اجمالی رشته های مختلف علوم امنیت سایبر.
6.نقش امنیت تهاجمی در علوم امنیت فضای سایبر.
7.نقش امنیت تدافعی در علوم امنیت فضای سایبر.
8.چارچوب ها و استانداردهای امنیت سایبری.
9.نگاهی به شرایط حقوقی و اخلاقی امنیت سایبری.

@Unk9vvN

Unk9vvN

03 августа 2023 05:23

#Mission #Impossible #ML #Offensive
سری فیلم های ماموریت غیر ممکن که در ژانر ماجراجویی با رویکرد انجام ماموریت های اطلاعاتی را همگی میشناسید.

در سری جدید این فیلم یعنی نسخه Dead Reckoning داستان فیلم میپردازد به یک ماشین هوش مصنوعی که مجهز به استفاده از تکنیک های علوم سایبری است و بواسطه مسلط بودن بر این تکنیک ها امکان نفوذ به دستگاه های مختلف را پیدا میکند.

شاید برای ما از منظر فنی، این فیلم صرفا یک قسمت تخیلی است که موضوع ترکیب دو علوم هوش مصنوعی و امنیت سایبری را بسیار بزرگ نمایی کرده است، اما در طول چند دهه اخیر بارها ثابت شده که فناوری ها و موضوعاتی که در فیلم ها مطرح میشود، در آینده به عرصه زندگی ما پا باز کرده است.

از نگاه فنی آیا میشود ماشینی را طراحی کرد که به عنوان مثال، از ابتدایی ترین مراحل یک حمله مداوم پیشرفته را کاملا مبتنی بر هوش مصنوعی پیاده سازی کرد؟

با توجه به رشد زبان های برنامه نویسی در عرصه اتوماسیون سازی و گسترش کتابخانه های متعدد و همچنین به بلوغ رسیدن این کتابخانه ها، امکان ساخت این ماشین از منظر فنی قابل رد نیست.

SharpML
@Unk9vvN

Unk9vvN

27 июля 2023 02:56

#جلسه #انجمن_تجارت_الکترونیک با #وزارت_ارتباطات
در جلسه ای که اخیرا در وزارت ارتباطات برگزار شد، نکات بسیاری در خصوص اختلال های اینترنت ایران مطرح شده است که در ویدیو جلسه قابل مشاهده است.

در بخشی از این جلسه اشاره میشود که شرکت ارتباطات زیرساخت بسیار موفق بوده در بحث مقابله با حملات تکذیب سرویس یا DDoS، که مشخص میشود آقایان از طیف حملات تکذیب سرویس آگاه نیستند.

جالب است که برای مقابله با حملات سایبری اخیر کشور اعلام میشود که با افراد تاپ فنی دستورالعمل طراحی کرده اند که نشان دهنده عدم وجود محصولات روز امنیتی است و راهکار فعلا بر پایه مقاوم سازی ها است.

نکته دیگر صحبت های رئیس هیئت مدیره شرکت ارتباطات زیرساخت است که تماما تاکید بر معتبر بودن و فنی بودن گفته های خود دارد، اما دریغ از نمایش یک ارائه مستند.

از نوع استناد به آمار های فنی که مبتنی بر تجربه شخصی خود است که این نکته برداشت میشود که ایشان به روند های ارائه مستندات فنی اشراف ندارد.

@Unk9vvN

Unk9vvN

16 июля 2023 01:36

#Exploitation of a #Samsung Zero-Click #MMS
در سال 2020 محققی با نام Mateusz Jurczyk از تیم Project Zero شرکت گوگل، مطرح شده که چند آسیب پذیری Buffer Overflows در ماه May گزارش شده که منجر به تخریب حافظه در درایور Qmage از Codec های سامسونگ شده است که از کتابخانه Skia بوده و مامور Render کردن فایل فرمت های تصویری در اندروید بوده است.

محقق از SkCodecFuzzer که یک ابزار منبع باز برای Fuzzing Harness بر روی کتابخانه نام برده شده است که باعث کشف آسیب پذیری شده است.

دوم محقق برای دور زدن مکانیزم ASLR، از تکنیک Bruteforce آدرس پایه و آدرس انتهایی در حافظه سایه CFI که 2GB است انجام میشود، یعنی اول آدرس حافظه سایه کشف میشود، دوم انتهای منطقه حافظه سایه کشف میشود، و بعد محافظه آدرس پایه کتابخانه حساس libhwui.so انجام میشود.

سوم محقق آدرس پایه linker64 رو برای محاسبه آدرس افست کتابخونه dl_popen رو انجام میدهد، و بعد از طریق آدرس پایه libhwui آدرس آفست bitmap_vtable رو بدست آورده و تابع dl_popen رو در ساختمان قرار میدهد. نهایتا به تابع dl_popen مقدار RCE داده شده برای اجرا.

@Unk9vvN

Unk9vvN

29 июня 2023 02:12

#پست_موقت
عموم مخاطبان ما علاقه ای ندارند ما را معرفی کنند و در طول این سال‌های فعالیت هایی که داشتیم هیچگونه حمایت رسانه ای و معنوی نشدیم.

در کنار تمام این بی فرهنگی ها و رفتار دشمن گونه با این تیم، هستند کسانی در کشور های دیگر، که به دنبال سرمایه گذاری بر روی این تیم حقیر هستند.

حمایتی از جای نمیخوایم و انتظاری هم نداریم، لااقل رفتاری نکنید که حال آدم از این کشور و برخی افرادش بهم بخوره.


@Unk9vvN

Unk9vvN

16 июня 2023 14:49

#Ransomware #LockBit 3.0
باج افزار LockBit تا کنون مبلغی بیش از 100 میلیون دلار توانسته باج گیری رایانه ای کنه که عموما از ارگان های دولتی آمریکا، چین، هند، فرانسه، آلمان، اوکراین و اندونزی رو درگیر کرده و جالب است که با سرور هایی که زبان های روسی، رومانی، عربی سوری تنظیم داشتند، کاری نداشته است.

اما رفتار های شاخص تکنیکی تاکتیکی این باج افزار چی مواردی است؟ نسخه 3 این باج افزار برای ایجاد دسترسی از تکنیک های Bruteforce پروتکل RDP ، تکنیک Drive-By Compromise و Spear Phishing و دسترسی به حساب های کاربری صحیح و همچنین بهره برداری از یک آسیب پذیری سرویس های fortinet بوده است.

اما برای Exfiltration عموما از وبسرویس های اشتراک گذاری فایل استفاده شده که فایل های مورد نیاز باج افزار رو به سیستم قربانی انتقال خواهد داد.

استفاده از Autostart Execution ها برای ارتقاء سطح دسترسی که معمولا با schtasks انجام میشه، استفاده از Obfuscation کد برای نامحسوس سازی PE باج افزار، خاموش کردن سرویس های امنیتی سیستم عامل، گرفتن Dump از LSASS بر بستر حافظه و مواردی دیگر، اطلاعات تکمیلی در این مقاله است.

@Unk9vvN

Unk9vvN

04 июня 2023 10:01

#Ransomware #Moneybird Targeted #Israel
تیم پاسخ به حادثه شرکت Check Point مقاله ای انتشار داده است مبنی بر حمله مجدد باج افزاری با نام Moneybird به ارگان ها و شرکت های اسرائیلی برای اخاذی مالی.

رفتار تکنیکی تاکتیکی حمله طبق معمول بر پایه یک ایجاد دسترسی بر پایه یک آسیب پذیری، و زدن تونل RDP مبتنی بر Web Shell که منجر به دانلود و اجرای باج افزار میشود.

اما دو نکته قابل توجه این حمله، یک استفاده مکرر از ابزار های تجاری رایگان است که مکانیزم های دفاعی به آنها واکنشی نشان نمی دهند، و دیگری توسعه باج افزار با رویکردی جدید به زبان ++C که به عنوان یک Encryptor عمل خواهد کرد.

باج افزار پارامتر های CLI دریافت میکند که این موضوع موجب میشود مهاجم بصورت شخصی سازی شده توابع بدافزار را پیکربندی نماید، این پیکربندی، میلی ثانیه خواب بودن قبل از start بدافزار است، تعداد Threads های چک و Ciphering که با بررسی تعداد هسته های پردازنده تعیین خواهد شد، تعیین بررسی لیست Extension ها، برای رمز کردن و دیگر موارد که در تصویر مهندسی معکوس فایل مشخص شده است.

@Unk9vvN

Unk9vvN

31 мая 2023 05:51

#Cybersecurity #Roadmaps
نقشه راه امنیت سایبری در دو بخش امنیت تهاجمی و امنیت تدافعی معرفی شد.

از ویژگی های این نقشه راه، اشاره مستقیم به خود تاکتیک ها و تکنیک ها است که مبتنی بر آنها محصولات طراحی شده اند، همچنین دوره هایی که مبتنی بر محصولات امنیتی ارائه میشوند.

در نتیجه برای ترسیم دقیق بازه توانمندی هر محصول و یا ارائه خدمات علوم امنیت، میتوان به این نقشه راه متکی بوده و مبتنی بر آن پیش رفت.

این نقشه راه در شش بخش عنوان شده است که دوره های مورد طراحی تیم تحقیقاتی Unk9vvN ، مبتنی بر همین نقشه راه خواهد بود.

لازم به ذکر است که این نقشه راه هر ساله اصلاح خواهد شد و مباحثی اضافه و کم میشود، در نتیجه برای مطلع شدن از این تغییرات میتوانید همواره از لینک زیر آخرین تغییرات را مشاهده نماید.


https://unk9vvn.github.io/cybersecurity-roadmaps.html


@Unk9vvN

Unk9vvN

17 мая 2023 13:50

#Hyperscan #Regex #Library
کتابخانه Hyperscan که تولید شده شرکت Intel است، یک تسهیل کننده در بحث پردازش Regex Matching است که در سطح پردازش بالا، مورد استفاده قرار میگیرید.

بطور مثال محصولاتی مانند Firewall - DPI - Snort - Suricata و دیگر محصولات امنیت دفاعی که مبتنی بر نظارت Stream بر روی ترافیک، اعمال تشخیص و عمل دفاع را انجام میدهند، از این کتابخانه برای تشخیص مبتنی بر امضا استفاده کرده اند.

این کتابخانه از PCRE و BSD پشتیبانی میکند، همچنین این کتابخانه از الگوریتم های Intel® Streaming SIMD نیز استفاده میکند که این موضوع کیفیت Matching رو در پردازش بالا، صورت میبخشد.

فرایند کارکرد این کتابخانه، به این صورت است که ورودی مبتنی بر Pattern ها استخراج و در پایگاه داده ای در حافظه ذخیره میشوند برای استفاده در زمان اجرا.

اما در زمان اجرا از قبل الگوها از پایگاه داده فراخوانی میشوند و مبتنی بر موتور NFA و DFA اقدام به اعمال Matching بر روی دستورالعمل خواهند نمود، از آنجا که الگوهای پایگاه داده فقط خواندنی است، میتوان عمل پردازش رو بر روی چند هسته از پردازنده و چند Threads اجرا نموند.

@Unk9vvN

Unk9vvN

04 мая 2023 00:31

#Microsoft #Threat #Intelligence #Iranian #APTs
مایکروسافت گزارشی از تحرکات یکی دو سال اخیر سایبری ایران منتشر کرده و در اونجا تیم های فعال منتسب به دستگاه های امنیتی ایران رو مشخص کرده است.

نکته قابل توجه در این گزارش، رفتار های تاکتیکی تکنیکی این تیم ها بوده که عموما بر پایه یک سطح مشخصی تعریف شده، به عنوان مثال استفاده گستره از Exploit Public-Facing یا کد های بهره برداری عمومی شده که برای ایجاد دسترسی استفاده شده است.

آسیب پذیری هایی مانند Log4Shell ، CVE-2022-47966 و CVE-2022-47986 و چند مورد دیگر که در خصوص نرم افزار های خاص عموم شده بود. اما اهداف چه بوده است؟ عموم اهداف Data theft یا سرقت اطلاعات بوده، در مرحله بعد Defacement یا تخریب ظاهر وب سرویس های قربانی بوده است.

این تیم ها عموما در مراحل تخصصی تیم قرمز، طراحی و توسعه انجام میدهند و مراحلی مانند ایجاد دسترسی را بواسطه یک فرصت عمومی ایجاد شده اعمال میکنند، از این روی بعد از منتشر شدن یک آسیب پذیری سطح حساس، میتوانیم منتظر حملات گستره این تیم ها باشیم.

@Unk9vvN