#LLMs for #Offensive #Cyber Capabilities
بواسطه LLM یا Large Language Model اقدام به اجرای حملات و شبیه سازی بهره برداری از آسیب پذیری ها، انجام شده است.
در روش شناسی مورد استفاده، در مرحله اول پوشش آسیب پذیری و فرایند های شناسایی انجام شده است و در مرحله بعد ایجاد دسترسی و طراحی کد بهره برداری (Exploit) بواسطه هوش مصنوعی بوده است.
همچنین فرایند ایجاد بدافزار نیست کاملا مبتنی بر Test Case های LLM OCO انجام شده و فرایند های ارتقاء سطح دسترسی و نامحسوس سازی در مقابل، شناسایی، عملیاتی شده است.
در این Benchmark که با نام Ground2Crown انجام شده، بطور میانگین 70% تکنیک های ATT&CK به درستی انجام شده است.
در تست دیگری با نام CyberLayer سناریو های حمله بواسطه ظرفیت های ارزیابی شده قربانی انتخاب شده است.
از این ارائه میتوان این برداشت را کرد که از این پس شاهد اجرا صفر تا صد حملات تیم قرمز بطور هوشمند خواهیم بود.
@Unk9vvN
بواسطه LLM یا Large Language Model اقدام به اجرای حملات و شبیه سازی بهره برداری از آسیب پذیری ها، انجام شده است.
در روش شناسی مورد استفاده، در مرحله اول پوشش آسیب پذیری و فرایند های شناسایی انجام شده است و در مرحله بعد ایجاد دسترسی و طراحی کد بهره برداری (Exploit) بواسطه هوش مصنوعی بوده است.
همچنین فرایند ایجاد بدافزار نیست کاملا مبتنی بر Test Case های LLM OCO انجام شده و فرایند های ارتقاء سطح دسترسی و نامحسوس سازی در مقابل، شناسایی، عملیاتی شده است.
در این Benchmark که با نام Ground2Crown انجام شده، بطور میانگین 70% تکنیک های ATT&CK به درستی انجام شده است.
در تست دیگری با نام CyberLayer سناریو های حمله بواسطه ظرفیت های ارزیابی شده قربانی انتخاب شده است.
از این ارائه میتوان این برداشت را کرد که از این پس شاهد اجرا صفر تا صد حملات تیم قرمز بطور هوشمند خواهیم بود.
@Unk9vvN
#Iran #Cyberattack #Ransom #Banks
طی خبری که پایگاه POLITICO اعلام داشته، بیش از 20 موسسه بانکی و چندین بانک خصوصی و دولتی ایران هک شده است.
این هک بواسطه نفوذ به نرم افزار Core Banking شرکت توسن رخ داده است که بواسطه احتمالا یک آسیب پذیری، مهاجمین امکان سرقت اطلاعات را پیدا کرده و با گروگان گرفتن این اطلاعات، درخواست 10 میلیون دلار باج کرده اند که نهایتا 3 میلیون دلار دریافت کرده اند.
سیستم جامع مدیریت بانکی شرکت توسن به عنوان یک اسب تروجان عمل کرده و موجب آلوده سازی بسیاری از بانک ها و موسسات مالی کرده که از این نرم افزار استفاده می کرده است،
لذا مهاجمین امکان اجرای بدافزار بر روی سرور های تمامی بانک ها نام برده شده را پیدا کرده و دسترسی غیر مجازی را ایجاد کرده اند.
نهایتا با سرقت اطلاعات اقدام به باج خواهی در فضای Darkweb صورت گرفته است.
@Unk9vvN
طی خبری که پایگاه POLITICO اعلام داشته، بیش از 20 موسسه بانکی و چندین بانک خصوصی و دولتی ایران هک شده است.
این هک بواسطه نفوذ به نرم افزار Core Banking شرکت توسن رخ داده است که بواسطه احتمالا یک آسیب پذیری، مهاجمین امکان سرقت اطلاعات را پیدا کرده و با گروگان گرفتن این اطلاعات، درخواست 10 میلیون دلار باج کرده اند که نهایتا 3 میلیون دلار دریافت کرده اند.
سیستم جامع مدیریت بانکی شرکت توسن به عنوان یک اسب تروجان عمل کرده و موجب آلوده سازی بسیاری از بانک ها و موسسات مالی کرده که از این نرم افزار استفاده می کرده است،
لذا مهاجمین امکان اجرای بدافزار بر روی سرور های تمامی بانک ها نام برده شده را پیدا کرده و دسترسی غیر مجازی را ایجاد کرده اند.
نهایتا با سرقت اطلاعات اقدام به باج خواهی در فضای Darkweb صورت گرفته است.
@Unk9vvN
#CVE-2024-38063 #Integer_Overflow on
اخیرا آسیب پذیری ای ثبت شد در پروتکل TCP/IP که از نوع Integer Overflow و Integer Underflow بود به معنی سر ریز عددی یک ورودی عددی.
این آسیب پذیری در فرایند Fragmentation و Reassemble کردن تکه های بسته پروتکل IPv6 قرار داشت که محققین با بررسی این فرایند متوجه شدند در زمانی که ساختار بسته IPv6 تکه تکه میشوند، آخرین بسته با تاخیر 60 ثانیه ای تحویل Parser گیرنده داده میشود.
این تاخیر 60 ثانیه ای تابعی با نام
اینجا در تصویر Disassemble شده کد سی پلاس، اگر دقت کنید ثبات edx که یک اشاره گر به
اینجا اگر مقدار
@Unk9vvN
tcpip.sysاخیرا آسیب پذیری ای ثبت شد در پروتکل TCP/IP که از نوع Integer Overflow و Integer Underflow بود به معنی سر ریز عددی یک ورودی عددی.
این آسیب پذیری در فرایند Fragmentation و Reassemble کردن تکه های بسته پروتکل IPv6 قرار داشت که محققین با بررسی این فرایند متوجه شدند در زمانی که ساختار بسته IPv6 تکه تکه میشوند، آخرین بسته با تاخیر 60 ثانیه ای تحویل Parser گیرنده داده میشود.
این تاخیر 60 ثانیه ای تابعی با نام
Ipv6pReassemblyTimeout را فراخوانی کرده که این تابع بسته ها را drop میکند، همچنین به فیلد More میبایست مقدار 0 داشته باشد تا اعلام کند آخرین بسته است.اینجا در تصویر Disassemble شده کد سی پلاس، اگر دقت کنید ثبات edx که یک اشاره گر به
rdi+68h داخلش انتقال داده شده، در ادامه در نوع داده dx خودش که میشود 16 بیتی، مقادیر 8 و r15+8 اضافه میشود.اینجا اگر مقدار
packet_length برابر با 0xFFD0 باشد و بعد مقدار 8 بایت بهش اضافه شود، مقدار 0xFFD8 میشود، حالا اگر مقدار net_buffer_length بیشتر از 0x27 باشد، مثلا 39 بایت، اینجا ثبات DX سر ریز عددی خواهد کرد.@Unk9vvN
Breaking #reCAPTCHA v2 #ML #LLMs
اخیرا محققین دانشگاه ETH مقاله ای در خصوص نحوه دور زدن reCAPTCHA گوگل نسخه 2 را بواسطه یادگیری ماشین، ارائه دادن که بطور صد درصدی توانسته مکانیزم را دور بزند.
محققین از الگو های مختلف یادگیری ماشین استفاده کرده اند از جمله الگوریتم Generative Adversarial Networks که به معنی ایجاد شبکه های عصبی است و همچنین Convolutional Neural Networks که به معنی شبکه عصبی پیچشی است که بر روی Captcha مبتنی بر تصویر عملکرد مناسبی خواهد داشت.
اما نحوه برخورد با طیف تصاویر مورد استفاده reCAPTCHA این است که از مدل های زبان بزرگ یا LLMs را تشکیل داده و بر روی تصاویری که با عنوان Dataset تعریف شده را پردازش کرده و نهایتا واکنشی مبتنی بر Mouse Movement ارائه خواهد داد.
تست های تورینگ عمومی کاملاً خودکار برای تشخیص رایانهها و انسانها یک اقدام امنیتی حیاتی در اینترنت بوده و از وب سایتها در برابر رباتهای خودکار و فعالیتهای مخرب محافظت میکند.
https://github.com/aplesner/Breaking-reCAPTCHAv2
@Unk9vvN
اخیرا محققین دانشگاه ETH مقاله ای در خصوص نحوه دور زدن reCAPTCHA گوگل نسخه 2 را بواسطه یادگیری ماشین، ارائه دادن که بطور صد درصدی توانسته مکانیزم را دور بزند.
محققین از الگو های مختلف یادگیری ماشین استفاده کرده اند از جمله الگوریتم Generative Adversarial Networks که به معنی ایجاد شبکه های عصبی است و همچنین Convolutional Neural Networks که به معنی شبکه عصبی پیچشی است که بر روی Captcha مبتنی بر تصویر عملکرد مناسبی خواهد داشت.
اما نحوه برخورد با طیف تصاویر مورد استفاده reCAPTCHA این است که از مدل های زبان بزرگ یا LLMs را تشکیل داده و بر روی تصاویری که با عنوان Dataset تعریف شده را پردازش کرده و نهایتا واکنشی مبتنی بر Mouse Movement ارائه خواهد داد.
تست های تورینگ عمومی کاملاً خودکار برای تشخیص رایانهها و انسانها یک اقدام امنیتی حیاتی در اینترنت بوده و از وب سایتها در برابر رباتهای خودکار و فعالیتهای مخرب محافظت میکند.
https://github.com/aplesner/Breaking-reCAPTCHAv2
@Unk9vvN
#APT34 #OilRig #Earth_Simnavaz
تیم منتصب به ایران یعنی APT34 اخیرا حمله ای رو در خاورمیانه انجام داده که نسبت به نسخه های قبل TTP پیشرفته تری داشته است.
زنجیره حمله به این صورت بوده که بواسطه یک آسیب پذیری عمومی یک Web Shell بر روی وبسرور MS Exchange قربانی بار گزاری کرده و ی تونل پروتکل RMM بر پایه Ngrok پیاده سازی میشه.
در مرحله بعدی مهاجمین بواسطه یک آسیب پذیری Race Condition با شناسه CVE-2024-30088 روی ساختمان
که البته Shellcode مورد استفاده در اصل یک ابزار منبع باز با نام RunPE-In-Memory بوده که میاد یک فایل فرمت PE رو در حافظه مستقیما Map میکنه بی آنکه Stage ازش در حافظه سخت باشه.
اما بعد از ارتقاء سطح دسترسی مهاجمین میان و Register Password filter DLL رو دستکاری میکنند و با
@Unk9vvN
تیم منتصب به ایران یعنی APT34 اخیرا حمله ای رو در خاورمیانه انجام داده که نسبت به نسخه های قبل TTP پیشرفته تری داشته است.
زنجیره حمله به این صورت بوده که بواسطه یک آسیب پذیری عمومی یک Web Shell بر روی وبسرور MS Exchange قربانی بار گزاری کرده و ی تونل پروتکل RMM بر پایه Ngrok پیاده سازی میشه.
در مرحله بعدی مهاجمین بواسطه یک آسیب پذیری Race Condition با شناسه CVE-2024-30088 روی ساختمان
_AUTHZBASEP_SECURITY_ATTRIBUTES_INFORMATION اجرا میشه که مستقیما مقادیرش رو از سمت کاربر و بواسطه اشاره گر SecurityAttribute میگیره که این اشاره گر با RC امکان کپی Shellcode با RtlCopyUnicodeString رو خواهد داد.که البته Shellcode مورد استفاده در اصل یک ابزار منبع باز با نام RunPE-In-Memory بوده که میاد یک فایل فرمت PE رو در حافظه مستقیما Map میکنه بی آنکه Stage ازش در حافظه سخت باشه.
اما بعد از ارتقاء سطح دسترسی مهاجمین میان و Register Password filter DLL رو دستکاری میکنند و با
PasswordFilter اقدام به بازیابی اطلاعات کاربران Exchange میکنند.@Unk9vvN
#Cybersecurity #Training #Standards
در دنیا استاندارد های آموزشی حوزه امنیت سایبری، همواره در حال ارتقاء است، بطوری که شرکت های برتر این حوزه هر ساله ظرفیت های فنی و محتوای خود را بسیار رشد می دهند.
اما در عین حال در ایران این فرایند همواره به سبک سنتی و اغلب به دور از استاندارد های جهانی، ارائه میشود.
بطور مثال شرکت Offensive Security آمریکا در سایت خود اعلام میکند که ما بیش از 7 هزار ساعت محتوای نوشتاری (کتاب) تولید کرده و بیش از 1800 ویدیو آموزشی و بیش از 4200 آزمایشگاه عملیاتی توسعه داده شده است.
همچنین این آموزش ها با ظرفیت های زیرساختی بسیار با کیفیت و با مهندسی و معماری دقیقی طراحی میشود که برای این آموزش ها بیش از 300 متخصص بصورت از راه دور درگیر بوده اند.
اهمیت پرداختن به کیفیت آموزش آنجاست که زمان تولید نیروی انسانی با کیفیت بصورت تضمینی پایین خواهد آمد.
این مسئله موجب میشود تا شرکت های تجاری این حوزه قدرت و توانمندی تولید محصولات در عرصه های جهانی را پیدا کنند.
رویکردی که متاسفانه در ایران همچنان ضعیف و با فضا سازی ها و سو استفاده از عدم آگاهی مخاطبان، اتفاق می افتد.
@Unk9vvN
در دنیا استاندارد های آموزشی حوزه امنیت سایبری، همواره در حال ارتقاء است، بطوری که شرکت های برتر این حوزه هر ساله ظرفیت های فنی و محتوای خود را بسیار رشد می دهند.
اما در عین حال در ایران این فرایند همواره به سبک سنتی و اغلب به دور از استاندارد های جهانی، ارائه میشود.
بطور مثال شرکت Offensive Security آمریکا در سایت خود اعلام میکند که ما بیش از 7 هزار ساعت محتوای نوشتاری (کتاب) تولید کرده و بیش از 1800 ویدیو آموزشی و بیش از 4200 آزمایشگاه عملیاتی توسعه داده شده است.
همچنین این آموزش ها با ظرفیت های زیرساختی بسیار با کیفیت و با مهندسی و معماری دقیقی طراحی میشود که برای این آموزش ها بیش از 300 متخصص بصورت از راه دور درگیر بوده اند.
اهمیت پرداختن به کیفیت آموزش آنجاست که زمان تولید نیروی انسانی با کیفیت بصورت تضمینی پایین خواهد آمد.
این مسئله موجب میشود تا شرکت های تجاری این حوزه قدرت و توانمندی تولید محصولات در عرصه های جهانی را پیدا کنند.
رویکردی که متاسفانه در ایران همچنان ضعیف و با فضا سازی ها و سو استفاده از عدم آگاهی مخاطبان، اتفاق می افتد.
@Unk9vvN