#Endpoint Detection and Response (EDR) Solutions
سلوشن های EDR از این حیص که در جبهه مقابل RedTeamer ها هستند برای ما اهمیت ویژه ای دارند,یکی از ویژگی های #EDR ها اینه که با استفاده از هوش مصنوعی عمل و رهگیری میکنند,و بعد ReAction پایلود هارا Response گرفته و در نهایت دسترسی را شکار میکنند,

این پروسه ذکر شده رو در دمو های پست مشاهده میکنید, حال جنگی میان RedTeamer با کمپانی های فعال در حوزه #EDR ها همواره وجود داره که اتفاقا تیم های دولتی ایرانی هم هنرمندی خواصی در دور زدن این سلوشن ها دارند, نکته دیگری که میتوان به آن اشاره کرد این است که شما با استفاده از #EDR ها قدرت #Forensic هم خواهید داشت و به گونه ای شبه به SIEM ها عمل خواهند کرد,

شرکت های خارجی بسیار در این حوزه فعال هستند و نتایج خوبی رو هم از حیص درآمدی کسب کرده اند, این موضوع در حالی اتفاق می افتد که شرکت های ایرانی اکثرا درگیر با دایره خدماتی iSMS بوده و نیت جدی برای تولید محصولات این چنینی ندارند, البته مبانی اطلاعاتی اولیه این چنین تولیدات نرم افزاری مستلزم آن است که ماتریکس هایی مانند MITRE ATT&CK را بصورت کامل و جامعه درک شود.

@Unk9vvN
#SWF Exploitation (ActionScript)
از سال ۲۰۱۵ که تیم های چینی اقدام به اکسپلویت کردن آسیب پذیری های مرورگرها کردند, آن هم بصورت وسیع و حساب شده, نگاهی در حوزه کشف آسیب پذیری از مفسرهای مختلف یک #JIT_Compiler بوجود آمد,

البته چالش اکسپلویت کردن مرورگرها تنها چالش هکرها نبود, بلکه چگونگی اجرای یک پایلود بصورت Evasion هم دغدغه های بسیاری وجود دارد ,

در تصویر پست استفاده از تکنیک رمزنگاری داده با استفاده از الگوریتم RC4 هستش که در زمان اجرای بر حافظه دیکد و اجرا خواهد شد...


https://github.com/kphongagsorn/adobe-flash-cve2018-15982
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Certutil Windows
در حملات بسیاری در سالهای اخیر , مانند APT34 از ماژول Certutil استفاده شده است, دلیل این موضوع این است که Certutil دو ویژگی بسیار جذاب برای هکرها دارد,

اول من کمی توضیح راجب ماهیت این ماژول بدم, و بعد دو ویژگی مذکور , Certutil یک ماژول در رابطه با نصب Certificate های Customize مورد نیاز در سیستم عامل های ویندوز میباشد که توسط خود ماکروسافت طراحی و بصورت پیشفرض بر روی سیستم عامل های ویندوز نصب دارد,

اما دو ویژگی این ماژول این است که, ما با استفاده از Certutil میتونیم مقادیر اینکدینگ BASE64 رو دیکد کنیم , خب استفاده از Certutil بجای یک دیکدر دست نوشته در Payload هکر میتونه مود بسیار خوبی باشه, مورد دوم اینه که ما میتونیم با استفاده از این ماژول فایل های TextPlain رو میتونه از روی DNS های External برای ما دانلود و ذخیره کنه...

هدف از این پست صرفاء تشریح CertUtil نبوده و بیشتر این بود که به بهانه این ماژول توجه شمارو به سرویس های پیشفرض سیستم عامل های ویندوز توجه ویژه کنند تا در عمر دور زدن مکانیزم های Detection راه حل های خلاقانه ای بوجود آورند.

#APT34
@Unk9vvN
#PDF_Malware
در ساختار و Syntax فایل فرمت هایی مانند PDF همواره Object هایی در خصوص فراخوانی یک Link وجود داره که بصورت طبیعی میتونه برای یک هکر مفید باشه,

در تصویر پست تعریف یک obj رو میبینید که از نوغ MediaBox بوده و برای آن یک xref تعرف شده تا فایل فرمت برای دریافت Contents به یک آدرس که در اینجا آدرس از نوع پروتکل SMB بوده داده شده, زمانی که قربانی PDF رو باز کرده و کاربر اجازه ارسال یک درخواست از طرف فایل فرمت رو میده , 3 0 obj اقدام به اجرای Contents و فراخوانی پروتکل میکنه ,

از آنجایی که هکر ابزار Responder رو برای شنود و گوش دادن به درخواست های SMB فعال کرده به محض ارسال شدن درخواست از طرف قربانی مقادیر Authentication پروتکل رو ثبت و ضبط خواهد کرد و در نتیجه هکر اطلاعات هویتی سیستم قربانی را بدست خواهد آورد...

https://github.com/SpiderLabs/Responder
https://www.sentinelone.com/blog/malicious-pdfs-revealing-techniques-behind-attacks/
@Unk9vvN
#p0wnedShell
معرفی ابزار محبوب مخصوص #RT

برای مثال ابزار p0wnedShell که در خصوص عملیات های جمع آوری اطلاعات , اجرای کد در حافظه سیستم قربانی همراه با دور زدن آنتی ویروس ها, و همچنین پیاده سازی هفت روش در خصوص ارتقاء سطح دسترسی که دو نمونه آن بر بستر آسیب پذیری های Release شده از سیستم عامل ها هستش مانند آسیب پذیری Kerberos که با MS14-068 شناخته میشه,

همچنین این ابزار میتونه Stage های Metasploit رو برای شما تزریق کنه و به واسطه همین موضوع دسترسی Meterpreter رو برای شما به ارمغان بیاره, از دیگر ویژگی های این ابزار میشه به اجرای دستور بر بستر سرویس هایی مانند WMI و SMB اشاره کرد که عملیات Leteral Movement رو میتونید باهاش انجام بدید ,

/* Bypass AppLocker */

C:\Users\unk9vvn>C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe /logfile= /LogToConsole=false /U C:\p0wnedShell\p0wnedShell\bin\Debug\p0wnedShell.exe


https://github.com/Cn33liz/p0wnedShell
@Unk9vvN
#APTSimulator
کمپانی NextronSystems یک Simulator در خصوص تمرین در خصوص پیاده سازی تکنیک های #RT در مقابل #Endpoint Detection ها و سیستم های مانیتورینگ که مامور شکار حملات و تکنیک های استفاده شده ی هکرها هستش,

از لینک زیر میتوانید این Simulator رو دانلود و بر روی یک سیستم عامل ویندوزی ترجیحا نسخه 10 با سطح دسترسی Administrator باز کرده و سناریو مورد نظر خودتون رو از لیست موجود انتخاب و اجرا کنید...


https://github.com/NextronSystems/APTSimulator/releases
@Unk9vvN
#BurpBounty #Profiles
دو سال پیش یک محقق این پلاگین رو طراحی کرد و امروز نسخه ۳ اونم Release شده, ابزار #BB امکان Signature سازی آسیب پذیری های وب اپلکیشنی رو برای شما محیا میکنه تا شما پایلود های Customize خودتون رو در جریان اسکن Active و Passive در ابزار BurpSuite استفاده کنید, این مشکلی بود که سالها در ابزار BurpSuite احساس میشد چرا که بسیای از پایلود های مورد استفاده خودش بصورت پیشفرض تعریف شده بودند در حالی که هکر نیاز داشت پایلود های خودش رو مثلا با روش مبهم سازی خودش ارسال کنه,

شاید بگید که خب در Intruder امکانش بود که ما خودمون بصورت Customize پایلودهای خودمون رو تعریف کنیم, بله در Intruder این امکان بود اما بصورت وسیع در جریان Sitemap کردن قربانی امکان Detect وجود نداشت و از طرفی #BB امکانات ویژه تری رو هم فراهم میکنه مانند استفاده از Signature هایی که تا به حال هکرها ساخته اند در خصوص انواع آسیب پذیری ها و شما میتونید با دانلود اونها و Import در قسمت پروفایل از تجربیات و و نحوه پایلود ریزی و Detect آسیب پذیری بهره مند شوید نمونه ای از این Profiles ها برای #BB

Profile1
Profile2
Profile3
@Unk9vvN
#Iranian #NIDS
شاید تا به حال برای شما هم این سوال هم مطرح شده است که شرکت های فعال در حوزه دفاع سایبری در ایران چه محصولات و مکانیزم هایی در خصوص مقابله با حملات سایبری اندیشیده اند, یکی از شرکت های فعال این حوزه امن افزار گستر شریف است که به پشتوانه دانشگاه شریف و خصولتی بودنش توانسته در ایران پیشتازی کند,

اما با یک بررسی اجمالی و مقایسه تدابیر این شرکت متوجه نواقصی هم شده ایم از جمله تکیه بیش از حد به مکانیزم های NIDS و MidPoint ها که بصورت اغراق آمیز بیان شده که میتواند انواع حملات را با درصد بالا ۹۰ شکار کند, این درحالیست که بسیاری از حملات سایبری APT در دنیا برپایه اکسپلویت هایی طراحی میشود که آمیخته با پروتکل های حیاطیست,

آیا دیوایس های ایرانی میتواند متوجه پایلود شدن یک پروتکل در لایه ماشین کد بشوند؟آن هم اگر برپایه مبهم سازی های باینری پی ریزی شده باشد, این تنها یک نمونه از ابهامات موجود است, محصولاتی مانند Sana-DFS یا Parham میتواند کارآمدی خوبی در مقابل حملات روتین و معمول نشان دهد, اما آیا برای تکنیک های بیشمار #RT هم کارآمدی و عملکرد دارد? بدلیل مخفی بودن محصولات جواب سوالات سخت است.

@Unk9vvN
#Syscall #Linux_Kernel x64 (HelloWorld)
در بحث طراحی اکسپلویت الزاماتی از قبیل فهم چگونگی ارتباط درایورها در کرنل برای ما بسیار حیاطی و محسوس هستش, از همین روی در قالب یک مثال بصورت خلاصه وار چگونگی پیاده سازی تماس های syscall یا system call به کرنل رو تشریح خواهم کرد,

برای مثال ما یک سوال از کاربر پرسیده و جواب او را در صفحه چاپ خواهیم کرد, خب برای اینکار نیازه که به syscall های sys_read و sys_write و sys_exit اشاره کرد, مورد بعدی اینه که هر system call ثبات هایی رو بعنوان input های خودش تعیین میکنه که در syscall های مورد استفاده ما به این صورت خواهد بود

ثبات rax به منظور دریافت آیدی syscall هستش
ثبات rdi به منظور دریافت وضعیت input/output بودن syscall هستش
ثبات rsi به منظور دریافت آدرس بافری که میبایست write یا read بشه
و نهایتا ثبات rdx به منظور طول کاراکترهای منظور شده در rsi که اشاره به define byte مربوطه ما داره رو به syscall اعلام خواهد کرد

همانطور که در تصویر پست توضیح دادم (البته بدلیل استفاده از کلمات english در توضیحات فارسی, جمله کمی به هم ریخته) syscall ها مرتب فراخوانی شده اند.

@Unk9vvN