#Endpoint Detection in #Splunk Demo
نمایشی از چگونگی عملکرد ThreatHunting یکی از App های نرم افزار #Splunk هستش که چطور Process Injection پایلودهای فریمورک Cobalt Strike رو شناسایی میکنه و از بین میبره,

البته وبلاگ CobaltStrike هم اعلام کرده که دیگه از تکنیک RemoteThreads استفاده نمیکنه برای Process Injection و بجای آن از WriteProcessMemory استفاده خواهد کرد که چند و چون ماجرا را میتوانید در وبلاگ زیر مطالعه بفرمایید...


https://blog.cobaltstrike.com/2019/08/21/cobalt-strikes-process-injection-the-details/


https://splunkbase.splunk.com/app/4305/
@Unk9vvN

#Arbitrary_File_Read in Contact Form 7
ماجرا از آنجایی شروع میشود که پلاگین ها برای ایجاد یک پست نیازمند استفاده از تابعی از API هسته Wordpress خواهند شد,این تابع که ()register_post_type نام دارد دارای آسیب پذیری در قسمت تصدیق سطح دسترسی برای کاربران سطح پایین در خصوص ایجاد یک پست است,

هر درخواست برای ایجاد یک Post جدید میبایست دارای post_type$ تایید شده برای ایجاد باشد که این post_type$ در سطح ادمین ساخته میشود,نکته و آسیب پذیری آنجایست که اگر پارامتر GET['post']_$ به صفحه wp-admin/post.php/ به همراه ساختمان ایجاد Contact Form ارسال شود بدون آنکه مقدار آن چک شود تابع ()wp_insert_post اقدام به ایجاد یک Contact Form با data هکر خواهد کرد,

همانطور که میدانید این پلاگین ماهیت ایجاد Contact را بشما میدهد, آسیب پذیری دقیقا همین قایلیت است,هکر با استفاده از قابلیت attachment اقدام به attach کردن فایل های حساس CMS مانند wp-config.php/.. میکند ,Validate نکردن آدرس های فایل attach شده, موجب میشود تا هکر فایل حساسی را attach کرده و به Mail تنظیم کرده خود ارسال کند!

Blog
@Unk9vvN

#ProcDump for Linux
ابزار محبوب ProcDump برای سیستم عامل های لینوکس هم طراحی شده است,

ماکروسافت ابزاری را طراحی کرده که میتوان با آن مانند #ProcDump در سیستم عامل ویندوز در لینوکس هم عمل کرد و داده های مپ شده بر روی حافظه رو Dump نمود,

# Ubuntu
unk9vvn@avi:~$ wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb;sudo dpkg -i packages-microsoft-prod.deb;sudo apt-get update;sudo apt-get install procdump

# Kali Linux
unk9vvn@avi:~$ sudo apt-get install -y procdump


https://github.com/microsoft/ProcDump-for-Linux
@Unk9vvN

#DbgShell Hackathon PoC
ماکروسافت یک دیباگر بر مبنای زبان پاورشل داره که بسیار در عرصه مهندسی معکوس بدافزارها میتونه مفید باشه چرا که بسیاری از دیباگرها برای بدافزارها شناسایی شده و مکانیزم های آنتی دیباگ بر علیه آنها نوشته میشود,

اما اگر از دیباگرهای کمتر شناخته شده استفاده بشه میتونه درصد موفقیت رو بالا ببره, همچنین این دیباگر میتونه موتورهای اجرایی زبان های جاوا اسکریپت بر روی مرورگرهارو هم دیباگ کنه که در عرصه کشف آسیب پذیری برای مرورگرها میتونه مفید باشه, همچنین تعامل این دیباگر با دیباگر ویندوز هم یکی دیگه از گزینه های مثبت اون حساب میشود, برای دیدن عملکرد این دیباگر پشنهاد میکند PoC Video رو مشاهده بفرمایید,

https://github.com/microsoft/DbgShell


@Unk9vvN

#HX #Exploit #Detection for #Endpoints
در سال ۲۰۱۶ شرکت #FireEye از محصولی با نام Helix Security که علاوه بر EndPoint Detection بودنش یک ویژگی منحصر به فردی دیگری هم داشت که در این دمو در آن خصوص توضیحاتی را بیان میکند,

اگر بطور خلاصه بخواهیم به آن بپردازیم, میتوان اینطور شرح داد که این شرکت نه تنها بر Stage های طراحی شده در زبان های سطح بالا بر روی فایل فرمت های Portable Execution بلکه بر روی Shellcode هایی که بر بستر یک Vulnerability میتونه به قربانی ارسال بشه هم رهگیری خواهد شد, یعنی اگر یک هکر بر روی مثلا یک پروتکل یک آسیب پذیری 0day کشف کرده باشه و یک Gadget در خصوص دور زدن مکانیزم های Mitigation در مقابل آسیب پذیری رو بخواد پیاده کنه از همین تکنیک ها میتوان او را ردیابی کرد,

پس با این شرایط بظر میاد یک چالشی دیگر در خصوص پایلود کردن یک آسیب پذیری به تمامی چالش های این موضوع هم اضافه خواهد شد, نظریه اولیه در خصوص دور زدن این Exploit Guard میتونه این باشه که روش هایی که برای دور زدن Mitigation ها استفاده میشه هم میبایست Publish نباشه و ...

Helix
@Unk9vvN

#Type_Juggling & #Object_Reference on #PHP_Object_Injection
جالب است بدانید که در خصوص پایلود پایلود ریزی مثلا مقادیر Serialize شده پارامتر کوکی هم میتوان در خصوص دور زدن مکانیزم احراز هویت اقدام به اکسپلویت کردن آسیب پذیری هایی مانند Type_Juggling کرد,

به کد آسیب پذیری سمت چپ بالا دقت کنید, بصورت واضح دیده میشه که کوکی تنظیم شده بر روی auth در پارامتر Cookie قراره که در تابع ()unserialize ترجمه و در شرط زیرین پارامترهای username و password رو با مقادیر متغیرات مقابل را مقایسه و در صورت صحیح بودن متغیر admin$ رو معادل True قرار میدهد

خب اولین نکته اینجاست که compare استفاده شده از نوع loose هست که به معنی در نظر نگرفتن نوع داده های مقایسه هست که همین موضوع موجب آسیب پذیری است

در تصویر پست سمت چپ پایین میبینید که یک آرایه تعریف شده با دو value که b:1 هستند به معنیه Boolean True که همین Value که یک DataType محصوب میشه موجب مقایسه True == String میشه و نتیجه آنکه خروجی Condition میشود True و به این صورت متغیر admin$ برابر True خواهد بود

آسیب پذیری سمت راست رو هم به خودتون میسپارم...

@Unk9vvN

#Enumerating Vulnerable #DCOM Applications #DCOMrade
با استفاده از DCOMrade شما میتونید از راه دور به دیوایس ویندوزی خود وصل شده و یک سرشماری بر روی AppID ها انجام داده تا CLSID هایی که پرمیژن LaunchPermission باز دارند رو پیدا کنید, تا از آن که البته بصورت پیشفرض وجود داره و این موضوع دو امکان رو به هکر میتونه بده,

یک اینکه شما میتونید برای Lateral Movement انجام دادن استفاده کنید که میتونه باعث دور زدن رفتار شناسی پایلودها به وسیله #EDR ها و غیره است, دوم اینکه میتوان با استفاده از این پرمیژن مکانیزم هایی مانند #UAC و برای #Privilege_Escalation انجام داد, حتی در مواقعی میتوان از این Security Misconfiguration در سرورهای آسیب پذیر میتوان برای Pivot زدن در شبکه هم استفاده کرد,روش استخراج اطلاعات

unk9vvn@avi:~$ pwsh
PS /home/unk9vvn> $com = [Type]::GetTypeFromCLSID('9BA05972-F6A8-11CF-A442-00A0C90A8F39', "192.168.99.13")
PS /home/unk9vvn> $obj = [System.Activator]::CreateInstance($com)
PS /home/unk9vvn> $item = $obj.Item()
PS /home/unk9vvn> $item
... ...

https://github.com/sud0woodo/DCOMrade
@Unk9vvN

#Drupal_XSS_RCE
آسیب پذیری که در CMS محبوب Drupal در سال ۲۰۱۹ عمومی شد بر بستر یکی از روش های تست آسیب پذیری #Uploader ها هستش, همونطور که در تصویر پست مشاهده میکنید هکر بر بستر Content-Type از نوع فایل تصویری image/gif پیلود ریزی شده که بعد از آپلود اگر توسط شخصی یا مکانیزمی load بخواد بشه فایل مربوطه که درونش با signature فایل فرمت GIF آغاز شده مانند یک صفحه html باز خواهد شد و کد جاوا اسکریپتی هکر به اجرا در خواهد آمد,

اما نکته ای که در این اکسپلویت وجود داره نام فایل هم هست اگر به نام فایل دقت کنید xxx\xc0.gif هستش که در اینجا یک مقدار hexadecimal هستش که معادل

xc0 -> �

قرار داره یعنی در نام فایل هم یک NullByte استفاده شده برای تفسیر نشدن فایل فرمت به یک GIF پس در نتیجه Loader مربوطه محتوای فایل رو در وبسرور میتونه به اجرا در بیاره...


https://github.com/thezdi/PoC/tree/master/Drupal
https://www.zerodayinitiative.com/advisories/ZDI-19-291/
@Unk9vvN

#Javascript #Malware #Obfuscation
در بسیاری از حملات #APTs استفاده از Stage های مبهم شده بر بستر زبان هایی مانند Javascript بسیار میتونه در امر Evasion شدن پیلود مفید باشه,

در پیلود تصویر میبینید که چهار دامنه تعریف شده در متغیر x که یک حلقه for کام آبجکت WScript مامور ساخت یک آبجکت از روی MSXML2 میشه برای زدن Requset هایی به وبسایت های تعریف شده و دریافت Response از آنها و بعد از آماده سازی Response مقدار با مقدار متغیر m و نهایتا در تابع ()eval کد دریافتی اجرا شده و مرحله بعد Leteral Movement شرو ع خواهد شد,

دقت بفرمایید که حساسیت استفاده از COM Object ها در فرمت هایی مانند JS بسیار بالاست و این قبیل فرمت ها تحت نظر و برسی خواهند بود اما زمانی که بصورت مبهم سازی شده COM Object ساخته و عملیات مد نظر رو initialize کرده و جالب اینجاست که Stage اصلی از Response دریافت خواهد شد, این نکته بسیار در امر Evasion شدن پیلود موءثر بوده است...


https://medium.com/nodesimplified/obfuscation-what-is-obfuscation-in-javascript-why-obfuscation-is-used-f6a5f5bcf022
@Unk9vvN

#JavaScript #Types #Map
یکی از فضاهای بسیار جذاب برای هکرهای بلکهت در خصوص حمله به اهداف خود استفاده از آسیب پذیری های مرورگرها است, که البته در این خصوص قبلا صحبت کردیم,

اما نکته ای که در این پست میتونه براتون مفید باشه اینه که برای طراحی اکسپلویت در خصوص Engine های تفسیری مرورگرها خصوصا Engine مفسر زبان JavaScript, میبایست محققین این امر نگاه دقیقی به Syntax زبان JavaScript داشته و اطلاعات کاملی را از نحوه عملکرد Type های مختلف این زبان داشته باشد,

از این روی یک نقشه کامل از Type ها Method ها و دیگر مباحث مهم در این زبان را برای شما به اشتراک گزاشته خواهد شد تا در ادراک سازوکار های Type های مختلف بر روی حافظه های مختلف در سطح زیرین پیدا کرده و از روی با تسلط بیشتری وارد این دنیای جذاب شد,

برای استفاده از تصویر نقشه بر روی آن زوم بفرمایید...

https://ibb.co/1b1CKb9

@Unk9vvN

#Underground Chat 2020

فعالین حوزه سایبری که بصورت زیر زمینی در ایران فعالیت دارند, همواره تحت نظر هستند...


https://intel471.com
@Unk9vvN

#OilRig Spoofing on #Chafer
به نظر میاد در Stage هایی که در #APT39 استفاده شده, برخی الگوریتم ها, همانند تصویر پست که یک فایل VBS هستش از همان الگوریتم هایی بهره برده شده که در Stage های تیم OilRig, بوده,

به نوعی میتوان گفت که شرکت های فعال در حوزه EndPoint Security بسیار در بحث رفتار شناسی فعال شده و راه چاره شناسایی Threat های انجام شده را در رفتار شناسی یک C&C میدانند, البته این موضوع در کنار بررسی Buffer ورودی تمامی COM Object های سیستم عامل, قدرت بسیاری در بحث رهگیری, به محصول مربوطه میده, هنر تیم های ایرانی همواره در این بوده که خلاقیت ها را, راه حل موفقیت حمله خود جای مبهم سازی ها بدانند

برای مثال در حمله #APT39 استفاده از پروتکل SSH برای Forward کردن یک پروتکل دیگر استفاده شده بود که خب بدلیل نوآورانه بودن این روش Detection های مربوطه متوجه این دسترسی نشده و به نوعی در مقابل روشی قرار داشتند که از اون روش هیچ Signature درون خود نداشته و حتی مکانیزم های Heuristic اون ها هم به این انعطاف ها مسلح نشده بودند, که این روش کمتر دیده شده ای بود.

Doc
@Unk9vvN

#Apache Struts #RCE #CVE-2017-5638
در بسیاری از تست های بلک باکس محصولات وب بیس یک نقطه ضعف خود نمایی میکند, آن نقطه ضعف عدم پیلود ریزی پیشرفته بصورت هوشمند است, یعنی معمولا برای یک #RCE ما از پیلودهای پیشفرض استفاده میکنیم برای مثال بر روی آسیب پذیری که پردازش Content-Type رخ داده پیلود مورد نظر اول مقدار multipart/form-data ارسال میکنه تا به محل پردازشی این نوع داده برسه , در مرحله بعد یک متغیر با نام dm ساخته و بواسطه اون فراخوانی میشه

@ofnl.OgnlContext@DEFAULT_MEMBER_ACCESS

در این قسمت با استفاده از فریمورک OGNL در پلتفرم Struts 2 یک دسترسی کاربر شرط شده که اگر بود یک Context ایجاد شده و بواسطه اون متغیری با نام ognlUtil پروسه initial کردن خود رو پش برده تا به پارامتر cmd رسیده و دستور مورد نظر اینجا برای پارس شدن ارسال خواهد شد,

در ادامه پیلود با استفاده از

@java.lang.System@getProperty.(os.name)

اقدام به تشخیص سیستم عامل میکنه و طبق Result که دریافت میکنه میاد مشخص کنه که کدام یک از Syntax خط فرمان رو اجرا خواهد کرد,

https://commons.apache.org/proper/commons-ognl/
@Unk9vvN

#OilRig Leak ( #APT34 )
پارسال خبری منتشر شد مبنی بر اینکه پنل #CnC تیم تهاجمی منتصب به دستگاه های اطلاعاتی ایران هک شده,

یک تیم سایبری روسی که قبلا در پروژه نفوذ به سازمان #NSA نقش داشته با نام #ShadowBrokers این اتفاق را رقم زده است, جالب اینجاس که در همان اکانت Github که اکسپلویت های سازمان #NSA را منتشر کرده بود اینبار #CnC مربوط به تیم ایرانی را ساله گذشته منتشر کرد,

گفته میشه آسیب پذیری پنل #CnC مربوطه از نوع #SQL_Injection بوده و موجب به دامپ شدن قسمت های زیادی از این #CnC شده است, این حرکت تیم #ShadowBrokers مارو یاد سخن کهنی میندازه که میگه دست بالای دست بسیار است...

https://github.com/misterch0c/APT34
https://en.wikipedia.org/wiki/The_Shadow_Brokers
@Unk9vvN

#Address_Sanitizer (#ASAN)
یکی از تولیدات موفق سالهای اخیر شرکت گوگل در امر ایمن سازی نرم افزارهای تحت دسکتاپ هستش, که با نام AddressSanitizer شناخته میشه و برای کامپایلرهای LLVM و GCC و با سو‌ئیچ fsanitize=address- در زمان کامپایل فراخوانی خواهد شد, اما این ویژگی چه فوایدی رو برای ما میتونه داشته باشه؟ این محصول در اصل شناسایی کننده آسیب پذیری هایی از نوع Temporal:

heap-use-after-free, stack-use-after-return , stack-use-after-scope

و بصورت Spatial:

heap-buffer-overflow , stack-buffer-overflow , global-buffer-overflow , container-overflow

همچنین آسیب پذیری هایی که از حافظه Uninitialized-Memory بهره برداری میکنند , این پروسه شناسایی آسیب پذیری بصورت کلی به این صورته که قبل از کامپایل نهایی برنامه یکبار در Memory Shadow یک بار مپ شده و اگر مناطق مثلا heap دو بار Point بشه بصورتی که قبل از اشاره دوم حافظه آزاد شده باشه, برنامه نتیجه میگیره که اینجا use_after_free رخ داده, البته بنده بصورت بسیار خلاصه وار عرض کردم, برای مطالعات بیشتر میتونید به این مقاله رجوع نمایید,

@Unk9vvN