#SMBGhost Analysis (CVE-2020-0796)
اینبار بر روی الگوریتم Compression نسخه 3.1.1 آسیب پذیری ای بروز داده که از نوع Integer Overflow هستش, این آسیب پذیری بر روی نسخه های 1903 و 1909 ویندوز 10 قابلیت اکسپلویت کردن داره و بصورت unauthenticated عمل میکنه,
آسیب پذیری در درایور srv2.sys قرار داره و اگر به تصویر 1 نگاهی کنید ما در پروتکل دو پارامتر با نام های OriginalCompressedSegmentSize و Offset/Length داریم که گزینه اول برای اعلام طول سگمنت کمپرس شده هستش و دومی اندازه داده های فشرده نشده رو نشان میده, هر دو این پارامترها 32bit بوده و تحت کنترل یک هکر میتونه قرار بگیره,
حالا اگر به تصویر 2 نگاه کنید سمت چپ کد Reverse شده تابع مربوطه رو میبینید که قسمت آسیب پذیر مشخص شده, همونطور که میدونید DataType های از نوع integer که بصورت unsigned هستند بازه مثبت 65,535 بایت داده عددی دریافت میکنند, خب آسیب پذیری اونجایست که تابع SrvNetAllocateBuffer که یک اشاره گر به قسمتی از حافظه هستش مقادیر ورودیش کنترل نشده و موجب ورود داده عددی بالای مقدار تعیین شده ی DataType بوده و موجب سر ریز عددی خواهد شد..
@Unk9vvN
اینبار بر روی الگوریتم Compression نسخه 3.1.1 آسیب پذیری ای بروز داده که از نوع Integer Overflow هستش, این آسیب پذیری بر روی نسخه های 1903 و 1909 ویندوز 10 قابلیت اکسپلویت کردن داره و بصورت unauthenticated عمل میکنه,
آسیب پذیری در درایور srv2.sys قرار داره و اگر به تصویر 1 نگاهی کنید ما در پروتکل دو پارامتر با نام های OriginalCompressedSegmentSize و Offset/Length داریم که گزینه اول برای اعلام طول سگمنت کمپرس شده هستش و دومی اندازه داده های فشرده نشده رو نشان میده, هر دو این پارامترها 32bit بوده و تحت کنترل یک هکر میتونه قرار بگیره,
حالا اگر به تصویر 2 نگاه کنید سمت چپ کد Reverse شده تابع مربوطه رو میبینید که قسمت آسیب پذیر مشخص شده, همونطور که میدونید DataType های از نوع integer که بصورت unsigned هستند بازه مثبت 65,535 بایت داده عددی دریافت میکنند, خب آسیب پذیری اونجایست که تابع SrvNetAllocateBuffer که یک اشاره گر به قسمتی از حافظه هستش مقادیر ورودیش کنترل نشده و موجب ورود داده عددی بالای مقدار تعیین شده ی DataType بوده و موجب سر ریز عددی خواهد شد..
@Unk9vvN
#Net_Framework Compiler (#MSBuild)
استفاده از کامپایلر NET. در خصوص دور زدن EDR ها بسیار کارآمد بوده و همواره استفاده میشه,
استفاده از تابع Unregister در زبان #C این امکان رو میده که با استفاده از پارسرUnregisterAssembly اجرا کرد, این پارسر در خصوص ویژوال استودیو طراحی شده اما میتونه به نفع هکر نقش ایفا کنه,
همونطور که در تصویر میبینید اگر یک سورس کد با تابع نام برده شده ساخته بشه که مامور اجرای یک ماشین حساب هستش, میتونه با استفاده از MSBuild کامپایل شده و DLL خروجی گرفته شده با استفاده از پارسر مربوط به ویژوال استودیو به دست خود کامپایلر صدا و اجرا بشه,
زمانی که در یک سیستم عامل سورس کد خامی ساخته میشه حساسیتی برای Detection ها نخواهد داشت اما زمانی که همان سورس کد کامپایل و اجرا میشه میتونه موجب رخداد یک دسترسی بشه,
هکر میتونه Stage های بعدی خودش رو به این صورت اجرا کنه و Stage های ابتدایی خودش رو صرفاً یک Echo قرار بده بدین ترتیب رفتار شناسی حمله بسیار دشوار خواهد شد...
https://t.me/Unk9vvN/1126
@Unk9vvN
استفاده از کامپایلر NET. در خصوص دور زدن EDR ها بسیار کارآمد بوده و همواره استفاده میشه,
استفاده از تابع Unregister در زبان #C این امکان رو میده که با استفاده از پارسرUnregisterAssembly اجرا کرد, این پارسر در خصوص ویژوال استودیو طراحی شده اما میتونه به نفع هکر نقش ایفا کنه,
همونطور که در تصویر میبینید اگر یک سورس کد با تابع نام برده شده ساخته بشه که مامور اجرای یک ماشین حساب هستش, میتونه با استفاده از MSBuild کامپایل شده و DLL خروجی گرفته شده با استفاده از پارسر مربوط به ویژوال استودیو به دست خود کامپایلر صدا و اجرا بشه,
زمانی که در یک سیستم عامل سورس کد خامی ساخته میشه حساسیتی برای Detection ها نخواهد داشت اما زمانی که همان سورس کد کامپایل و اجرا میشه میتونه موجب رخداد یک دسترسی بشه,
هکر میتونه Stage های بعدی خودش رو به این صورت اجرا کنه و Stage های ابتدایی خودش رو صرفاً یک Echo قرار بده بدین ترتیب رفتار شناسی حمله بسیار دشوار خواهد شد...
https://t.me/Unk9vvN/1126
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#Machine_Learning #Cyberwar
ایلان ماسک زمانی گفته بود: (حرف های من یادتان باشد؛ هوش مصنوعی از بمب های اتمی بسیار خطرناک تر است), با دیدن فیلم فوق به عمق عقیده ایلان ماسک پی خواهید برد.
پیشرفت هوش مصنوعی و تکنیک های بهره برداری از Dataset ها میتواند در ابعاد نظامی و در خصوص ربات های سرباز نیز استفاده شود و در صورت موفقیت هوش مصنوعی در این عرصه، جنگ آیندگان میتواند جنگ ربات ها باشد.
@Unk9vvN
ایلان ماسک زمانی گفته بود: (حرف های من یادتان باشد؛ هوش مصنوعی از بمب های اتمی بسیار خطرناک تر است), با دیدن فیلم فوق به عمق عقیده ایلان ماسک پی خواهید برد.
پیشرفت هوش مصنوعی و تکنیک های بهره برداری از Dataset ها میتواند در ابعاد نظامی و در خصوص ربات های سرباز نیز استفاده شود و در صورت موفقیت هوش مصنوعی در این عرصه، جنگ آیندگان میتواند جنگ ربات ها باشد.
@Unk9vvN
#Privilege on #Exchange API Call
سرور های Exchange همونطور که میدونید از سرویس SOAP که یک سرویس XML پایه هستش برای ارتباط با دیوایس های دیگه استفاده میکنه, مدیریت کردن این سرویس در امر امن سازی سرور بسیار مهم و حیاتی میتونه باشه,
برای مثال کاربران دامنه Active Directory بصورت پیش فرض از سطح دسترسی بالا استفاده میکنند, ئ اگر ارتباط با API بر بستر پروتکل TLS نباشه میشه حملاتی مانند Relay Attack پیاده کرد, و با استفاده از یک Refresher مقادیر Authentication ویندوز که NTLM نام داره رو بدست آورد,
مشکل در API سرور Exchange از آنجایی شروع شد که هکر با استفاده از PushSubscription میتونه درخواست Modify و بالا بردن سطح دسترسی یک کاربر بر روی دامنه AD رو داشته باشه, یعنی ارتباط مستقیم با DCsync یا Domain Controller Sync داشته باشه,
کافیه ارتباط با API گرفته و بعد از دریافت ارتباط کاربر سطح بالا با NTLM Relayx هکر, هکر دامنه مدنظر خودش رو با hash ادمین Modify کرده و تغییر خودش رو بر روی ِDomain Controller اعمال میکنه, جزئیات بیشتر این حمله رو اینجا بخونید.
Tools
@Unk9vvN
سرور های Exchange همونطور که میدونید از سرویس SOAP که یک سرویس XML پایه هستش برای ارتباط با دیوایس های دیگه استفاده میکنه, مدیریت کردن این سرویس در امر امن سازی سرور بسیار مهم و حیاتی میتونه باشه,
برای مثال کاربران دامنه Active Directory بصورت پیش فرض از سطح دسترسی بالا استفاده میکنند, ئ اگر ارتباط با API بر بستر پروتکل TLS نباشه میشه حملاتی مانند Relay Attack پیاده کرد, و با استفاده از یک Refresher مقادیر Authentication ویندوز که NTLM نام داره رو بدست آورد,
مشکل در API سرور Exchange از آنجایی شروع شد که هکر با استفاده از PushSubscription میتونه درخواست Modify و بالا بردن سطح دسترسی یک کاربر بر روی دامنه AD رو داشته باشه, یعنی ارتباط مستقیم با DCsync یا Domain Controller Sync داشته باشه,
کافیه ارتباط با API گرفته و بعد از دریافت ارتباط کاربر سطح بالا با NTLM Relayx هکر, هکر دامنه مدنظر خودش رو با hash ادمین Modify کرده و تغییر خودش رو بر روی ِDomain Controller اعمال میکنه, جزئیات بیشتر این حمله رو اینجا بخونید.
Tools
@Unk9vvN
#RMI Protocol #Deserialization Vulnerability
شاید اسم پروتکل Java RMI به گوشتون نخورده باشه اما جالبه که بدونید برای مدیریت RMX یا Remote Management Extentions به کار میره و تعاملات داده ای رو میتونه بر عهده بگیره, از جمله مدیریت و مانیتورینگ برنامه ها,و کلاس MBean برای طراحی قوانین این تکنولوژی
اینکار از طرفی خوبی هایی رو به همراه داره از جمله بالا رفتن سرعت Transfer اطلاعات, اما از طرفی هم میتونه موجب خطر آفرینی باشه, در طول سالها آسیب پذیری های متعددی از این سرویس کشف شده اما اخیرا فضای تحقیقاتی محققین به سمت کشف آسیب پذیری های Deserialization بر مبنای این پروتکل رو در پیش گرفتند,
برای مثال در تصویر پست سمت چپ یک فراخوانی wrapper مخصوص jndi رو در jmx مشاهده میکنید که هکر با استفاده از این,به نوعی پیلود تونسته مکانیزم احراز هویت رو دور بزنه البته این پیش تر به این دلیل بوده که الگوریتم تصدیق احراز در کلاس های JMXConnector رو داشته که اینجا موجب ساخت یک پیلود Serialize به دست payloadObject که یک آبجکت از کلاس ysoserial هستش رو به همراه داشته و در نهایت Initialize میشه برای ارسال به پروتکل RMI.
@Unk9vvN
شاید اسم پروتکل Java RMI به گوشتون نخورده باشه اما جالبه که بدونید برای مدیریت RMX یا Remote Management Extentions به کار میره و تعاملات داده ای رو میتونه بر عهده بگیره, از جمله مدیریت و مانیتورینگ برنامه ها,و کلاس MBean برای طراحی قوانین این تکنولوژی
اینکار از طرفی خوبی هایی رو به همراه داره از جمله بالا رفتن سرعت Transfer اطلاعات, اما از طرفی هم میتونه موجب خطر آفرینی باشه, در طول سالها آسیب پذیری های متعددی از این سرویس کشف شده اما اخیرا فضای تحقیقاتی محققین به سمت کشف آسیب پذیری های Deserialization بر مبنای این پروتکل رو در پیش گرفتند,
برای مثال در تصویر پست سمت چپ یک فراخوانی wrapper مخصوص jndi رو در jmx مشاهده میکنید که هکر با استفاده از این,به نوعی پیلود تونسته مکانیزم احراز هویت رو دور بزنه البته این پیش تر به این دلیل بوده که الگوریتم تصدیق احراز در کلاس های JMXConnector رو داشته که اینجا موجب ساخت یک پیلود Serialize به دست payloadObject که یک آبجکت از کلاس ysoserial هستش رو به همراه داشته و در نهایت Initialize میشه برای ارسال به پروتکل RMI.
@Unk9vvN
#Android Penetration Testing
در سالهای اخیر ابزارهای خوبی در خصوص تست آسیب پذیری های منتسب به یک برنامه اندرویدی طراحی شده است,
و تست اپلکیشن های اندرویدی از اهمیت زیادی برخوردار است, برای مثال در وبسرور های Customize طراحی شده میتوان API های آسیب پذیر را پیدا و به واسطه اپلکیشن اندرویدی یک سرویس دهنده آنلاین را مورد حمله و اخذ دسترسی به وبسرور مربوطه را حاصل نمود,
همچنین آسیب پذیری های دیگری که در طول سالهای اخیر Publish شده و میتواند در تمامی اپلکیشن های اندرویدی وجود داشته باشد, از این روی میتوانید نقشه ای از حملات و آسیب پذیری های Release شده برای این سیستم عامل را در تصویر پست مشاهده نمایید...
@Unk9vvN
در سالهای اخیر ابزارهای خوبی در خصوص تست آسیب پذیری های منتسب به یک برنامه اندرویدی طراحی شده است,
و تست اپلکیشن های اندرویدی از اهمیت زیادی برخوردار است, برای مثال در وبسرور های Customize طراحی شده میتوان API های آسیب پذیر را پیدا و به واسطه اپلکیشن اندرویدی یک سرویس دهنده آنلاین را مورد حمله و اخذ دسترسی به وبسرور مربوطه را حاصل نمود,
همچنین آسیب پذیری های دیگری که در طول سالهای اخیر Publish شده و میتواند در تمامی اپلکیشن های اندرویدی وجود داشته باشد, از این روی میتوانید نقشه ای از حملات و آسیب پذیری های Release شده برای این سیستم عامل را در تصویر پست مشاهده نمایید...
@Unk9vvN
#SilkETW #Forensic and #Incident_Response on #ETW
آیا تا به حال در خصوص پتانسیل Event Tracing Windows برای شناسایی پیلودها یا Post Exploitation ها چیزی شنیده اید؟ ETW یک ردیاب رویدادها در سطح کرنل هستش که تمامی رخداد های یک برنامه رو ثبت و به عنوان Log ذخیره میکنه, این بدین معنیه که ما یک Real-Time Logger در اختیار داریم که میتونه در مبحث رهگیری لحظه ای دسترسی ها و پسا دسترسی ها به کمک یک BlueTeamer بیاد,
اما چطور میشود همچین استفاده ای از ETW داشت؟! تیم FuzzySecurity به سفارش شرکت FireEye یک ابزار در خصوص پالایش بر مبنای ETW طراحی نموده که بصورت عمومی در اختیار کاربران قرار گرفته است, نام این محصول SilkETW هستش, که در سال 2019 در کنفرانس بلکهت آمریکا ازش رو نمایی شد,
از ویژگی های این محصول میتوان به سازگاری اون با Signature های گرفته شده از Yara اشاره کرد که همونطور که در تصویر پست میبینید تونسته با استفاده از Signature مربوط به ابزار Seatbelt که یک PostEXP جامع برای RedTeamer هاست, اون رو شناسایی و بصورت Real-Time رهگیری کنه, برای اطلاعات بیشتر میتونید به این مقاله مراجعه کنید.
Demo 1
Demo 2
@Unk9vvN
آیا تا به حال در خصوص پتانسیل Event Tracing Windows برای شناسایی پیلودها یا Post Exploitation ها چیزی شنیده اید؟ ETW یک ردیاب رویدادها در سطح کرنل هستش که تمامی رخداد های یک برنامه رو ثبت و به عنوان Log ذخیره میکنه, این بدین معنیه که ما یک Real-Time Logger در اختیار داریم که میتونه در مبحث رهگیری لحظه ای دسترسی ها و پسا دسترسی ها به کمک یک BlueTeamer بیاد,
اما چطور میشود همچین استفاده ای از ETW داشت؟! تیم FuzzySecurity به سفارش شرکت FireEye یک ابزار در خصوص پالایش بر مبنای ETW طراحی نموده که بصورت عمومی در اختیار کاربران قرار گرفته است, نام این محصول SilkETW هستش, که در سال 2019 در کنفرانس بلکهت آمریکا ازش رو نمایی شد,
از ویژگی های این محصول میتوان به سازگاری اون با Signature های گرفته شده از Yara اشاره کرد که همونطور که در تصویر پست میبینید تونسته با استفاده از Signature مربوط به ابزار Seatbelt که یک PostEXP جامع برای RedTeamer هاست, اون رو شناسایی و بصورت Real-Time رهگیری کنه, برای اطلاعات بیشتر میتونید به این مقاله مراجعه کنید.
Demo 1
Demo 2
@Unk9vvN
#Windows 10 Threat #Mitigation
DEP / NX
SEHOP
Mandatory ASLR
Terminate on Heap Corruption
High Entropy ASLR
Disable Win32k System Calls
Arbitrary Code Guard
Control Flow Guard
Code Integrity Guard
Only Allow Microsoft Signed Binaries
Block Remote Image Loads
Block Low Label Image Loads
Return Flow Guard
Enforce Signing Level for Dependent Modules / Loader Integrity Continuity
Only Allow Control Flow Guard Enabled Binaries / Strict CFG
ROP Stack Pivot Detection
ROP Caller Detection
ROP Gadget Detection / ROP SimExec
Export Address Filter Plus
Block Child Process Creation
Import Address Filter
Restrict Indirect Branch Prediction
Memory Disambiguation Disable
Control-flow Enforcement Technology (CET) Shadow Stacks
Module Tampering Protection
Dependent Modules Dont Inherit Tamper Protection
Allow Threads Opt Out Of Arbitrary Code Guard
Allow Non Exported Call Targets
Allow Store Signed Binaries
Restrict Set Thread Context
Win32k Filtering
@Unk9vvN
DEP / NX
SEHOP
Mandatory ASLR
Terminate on Heap Corruption
High Entropy ASLR
Disable Win32k System Calls
Arbitrary Code Guard
Control Flow Guard
Code Integrity Guard
Only Allow Microsoft Signed Binaries
Block Remote Image Loads
Block Low Label Image Loads
Return Flow Guard
Enforce Signing Level for Dependent Modules / Loader Integrity Continuity
Only Allow Control Flow Guard Enabled Binaries / Strict CFG
ROP Stack Pivot Detection
ROP Caller Detection
ROP Gadget Detection / ROP SimExec
Export Address Filter Plus
Block Child Process Creation
Import Address Filter
Restrict Indirect Branch Prediction
Memory Disambiguation Disable
Control-flow Enforcement Technology (CET) Shadow Stacks
Module Tampering Protection
Dependent Modules Dont Inherit Tamper Protection
Allow Threads Opt Out Of Arbitrary Code Guard
Allow Non Exported Call Targets
Allow Store Signed Binaries
Restrict Set Thread Context
Win32k Filtering
@Unk9vvN
#TokiTorch #Process_Injection
یکی از روش های مخفی ماندن و ارتقاء سطح دسترسی در یک سیستم عامل ویندوزی, استفاده از روش های متعدد تزریق یک پیلود در یک Process هدف هستش,
از این روی ابزاری با نام TikiTorch رو معرفی میکنم که Script مختص به Cobalt-Strike هم براش طراحی شده, و همونطور که در تصویر پست مشاهده میکنید عملکرد دو مورد از ماژول های tikiexec و tikilateral هستش که یکی تزریق یک پیلود به Process مربوط به Notepad رو به واسطه PSExec انجام داده و دیگری تزریق پیلود با استفاده از تابع processcallcreate مرتبط با wmi و کامپایل اون به دست msbuild تزریق شده به Process مربوط به Notepad,
پیاده سازی تکنیک های Process Hollowing به این دو مثال ختم نمیشه و ماژول های دیگری در خصوص Service ها و Loader ها و پیاده سازی تزریق بر بستر فایل فرمت CPL هم تعریف شده است...
https://github.com/rasta-mouse/TikiTorch
@Unk9vvN
یکی از روش های مخفی ماندن و ارتقاء سطح دسترسی در یک سیستم عامل ویندوزی, استفاده از روش های متعدد تزریق یک پیلود در یک Process هدف هستش,
از این روی ابزاری با نام TikiTorch رو معرفی میکنم که Script مختص به Cobalt-Strike هم براش طراحی شده, و همونطور که در تصویر پست مشاهده میکنید عملکرد دو مورد از ماژول های tikiexec و tikilateral هستش که یکی تزریق یک پیلود به Process مربوط به Notepad رو به واسطه PSExec انجام داده و دیگری تزریق پیلود با استفاده از تابع processcallcreate مرتبط با wmi و کامپایل اون به دست msbuild تزریق شده به Process مربوط به Notepad,
پیاده سازی تکنیک های Process Hollowing به این دو مثال ختم نمیشه و ماژول های دیگری در خصوص Service ها و Loader ها و پیاده سازی تزریق بر بستر فایل فرمت CPL هم تعریف شده است...
https://github.com/rasta-mouse/TikiTorch
@Unk9vvN
#Java #Deserialization Vulnerability Detection Bypass on Blind Commons Gadgets
آسیب پذیری ها همواره در حال عمیق تر شدن هستند و آسیب پذیری Deserialization هم از این قاعده مستثنا نیست, حال این پیشرفت با چالش هایی هم رو به رو شده از جمله شناسایی پیلود های RCE که به دلیل محدود بودنشان به سادگی قابل Signature شدن و رهگیری هستند,
در این میان یک محقق ایده ای رو مطرح کرده که در فواصل ابتدایی خود با ذکر مثال ساده خلاصه گویی کرده, همونطور که در تصویر مشاهده میکنید ایده استفاده از Query های شرطی SQLMap روش خوبی برای دور زدن فایروال میتونه باشه,
که هکر با استفاده از تابع ()sleep امکان اینو پیدا میکنه که با زمان دادن به وبسایت متوجه صحت شرط خود شده یا خیر, به نوعی میتوان گفت که ایده Blind Base بودن یا شرطی بودن پیلودها مبنای خوبی حساب میشده و همونطور که در انتهای تصویر پست میبینید با استفاده از هوشمند کردن Condition پیلود سریالیز شده هکر امکان حدس کاراکتر رو هم پیدا میکنه,اطلاعات بیشتر در لینک زیر...
https://deadcode.me/blog/2016/09/02/Blind-Java-Deserialization-Commons-Gadgets
@Unk9vvN
آسیب پذیری ها همواره در حال عمیق تر شدن هستند و آسیب پذیری Deserialization هم از این قاعده مستثنا نیست, حال این پیشرفت با چالش هایی هم رو به رو شده از جمله شناسایی پیلود های RCE که به دلیل محدود بودنشان به سادگی قابل Signature شدن و رهگیری هستند,
در این میان یک محقق ایده ای رو مطرح کرده که در فواصل ابتدایی خود با ذکر مثال ساده خلاصه گویی کرده, همونطور که در تصویر مشاهده میکنید ایده استفاده از Query های شرطی SQLMap روش خوبی برای دور زدن فایروال میتونه باشه,
که هکر با استفاده از تابع ()sleep امکان اینو پیدا میکنه که با زمان دادن به وبسایت متوجه صحت شرط خود شده یا خیر, به نوعی میتوان گفت که ایده Blind Base بودن یا شرطی بودن پیلودها مبنای خوبی حساب میشده و همونطور که در انتهای تصویر پست میبینید با استفاده از هوشمند کردن Condition پیلود سریالیز شده هکر امکان حدس کاراکتر رو هم پیدا میکنه,اطلاعات بیشتر در لینک زیر...
https://deadcode.me/blog/2016/09/02/Blind-Java-Deserialization-Commons-Gadgets
@Unk9vvN
#AMSI Microsoft Bypass
یکی از چالش های حال حاضر Red Teamer ها در بحث اجرای پیلود با استفاده از تعریف Macro برای محصولات Word و Excel از دسته محصولات Office هستش,
حالا محققی استفاده از پتانسیلی که زبان VBA در خصوص Import کردن توابع UserLand که در API سیستم عامل ویندوز وجود داره اقدام به دستکاری نتیجه بازگشتی تابع ()AmsiScanBuffer که مسئول بررسی داده های تعریفی برای COM Object های سیستم عامل هستش,
اما این دور زدن به چه صورت هستش؟ محقق با بررسی حافظه تعریف شده برای Context مربوط به تابع نام برده شده متوجه این موضوع شده که تابع در Segment حافظه Heap برقرار میشه, حالا با استفاده از تابع ()CoTaskMemAlloc که از توابع API سیستم عامل هست اقدام به اشاره به آدرس Offset تعیین شده ای میکنه که Context مربوط به AMSI در اونجا قرار داره,
قبل از اینکه پیلود هکر به مرحله اجرا برسه از اونجا که AMSI یک بار یک کد رو بررسی میکنه هکر با دستکاری که میکنه نتیجه AMSI رو 0 برمیگردونه تا در مرحله بعد اقدامی برای بررسی پیلود صورت نگیره توضیحات بیشتر در وبلاگ محقق...
Blog
@Unk9vvN
یکی از چالش های حال حاضر Red Teamer ها در بحث اجرای پیلود با استفاده از تعریف Macro برای محصولات Word و Excel از دسته محصولات Office هستش,
حالا محققی استفاده از پتانسیلی که زبان VBA در خصوص Import کردن توابع UserLand که در API سیستم عامل ویندوز وجود داره اقدام به دستکاری نتیجه بازگشتی تابع ()AmsiScanBuffer که مسئول بررسی داده های تعریفی برای COM Object های سیستم عامل هستش,
اما این دور زدن به چه صورت هستش؟ محقق با بررسی حافظه تعریف شده برای Context مربوط به تابع نام برده شده متوجه این موضوع شده که تابع در Segment حافظه Heap برقرار میشه, حالا با استفاده از تابع ()CoTaskMemAlloc که از توابع API سیستم عامل هست اقدام به اشاره به آدرس Offset تعیین شده ای میکنه که Context مربوط به AMSI در اونجا قرار داره,
قبل از اینکه پیلود هکر به مرحله اجرا برسه از اونجا که AMSI یک بار یک کد رو بررسی میکنه هکر با دستکاری که میکنه نتیجه AMSI رو 0 برمیگردونه تا در مرحله بعد اقدامی برای بررسی پیلود صورت نگیره توضیحات بیشتر در وبلاگ محقق...
Blog
@Unk9vvN
#Online Cybersecurity Kaspersky Training
به نظر میاد شرکت کسپراسکای این روزها سرگرم طراحی آموزش های تخصصی آنلاین برای علاقمندان کشف و ردیابی بدافزارها هستش,
این در حالیه که این شرکت با سابقه بررسی بیش از 350.000 بدافزار طرح مثال در این آموزش ها میخواد کُرسی درخور سابقه خودش رو ارائه بده, گفته میشه مخاطبان این دوره مدیران مرکز کنترل امنیت و تیم های پشتیبانی حوادث سایبری میباشند...
نمونه ای از DataSheet های یکی از دوره ها
https://media.kaspersky.com/en/business-security/enterprise/Kaspersky_Security_Training.pdf
https://xtraining.kaspersky.com
@Unk9vvN
به نظر میاد شرکت کسپراسکای این روزها سرگرم طراحی آموزش های تخصصی آنلاین برای علاقمندان کشف و ردیابی بدافزارها هستش,
این در حالیه که این شرکت با سابقه بررسی بیش از 350.000 بدافزار طرح مثال در این آموزش ها میخواد کُرسی درخور سابقه خودش رو ارائه بده, گفته میشه مخاطبان این دوره مدیران مرکز کنترل امنیت و تیم های پشتیبانی حوادث سایبری میباشند...
نمونه ای از DataSheet های یکی از دوره ها
https://media.kaspersky.com/en/business-security/enterprise/Kaspersky_Security_Training.pdf
https://xtraining.kaspersky.com
@Unk9vvN
#RedTeaming Establishing a RDP Protocol
در سالهای اخیر استفاده از پروتکل #RDP برای دسترسی به دسکتاپ قربانی پلن خوبی در خصوص کنترل سیستم عامل مطرح بوده,
مثلا در این سناریو تصویر پست اتفاقی که می افته اینه که بعد از نصب بکدور به واسطه یک ایمیل فیشینگ رمزهای ورود سیستم عامل دزدیده میشه و در پلن بعد یک #VPN تونل به سرور C&C هکر زده میشه که اینجا هکر ارتباطش رو با قربانی برقرار میکنه,
اما هکر با استفاده از دزدیده شدن رمز سیستم عامل در همون لایه تونل VPN میاد و ریموت دسکتاپ میزنه به سیستم عامل قربانی و در اولین حرکت خودش اقدام به سرشماری میزبان های سرویس Active Directory میکنه که متوجه یک Domain Controller میشه,
نکته جالب اینه که mimikatz اطلاعات ادمین IT که برای عیب یابی به سیستم قربانی لاگین کرده هم استخراج شده, و بدین ترتیب هکر به سیستم های دیگه سرویس AD ریموت دسکتاپ میزنه و تمام,
گرفتن دسترسی صرفاً به معنی موفقیت یک نفوذ نخواهد بود بلکه هکر باید از بین تکنیک های بیشمار MITRE ATT&CK روش های خلاقانه تری برای به سرانجام رسیدن انتخاب کنه...
Reference
@Unk9vvN
در سالهای اخیر استفاده از پروتکل #RDP برای دسترسی به دسکتاپ قربانی پلن خوبی در خصوص کنترل سیستم عامل مطرح بوده,
مثلا در این سناریو تصویر پست اتفاقی که می افته اینه که بعد از نصب بکدور به واسطه یک ایمیل فیشینگ رمزهای ورود سیستم عامل دزدیده میشه و در پلن بعد یک #VPN تونل به سرور C&C هکر زده میشه که اینجا هکر ارتباطش رو با قربانی برقرار میکنه,
اما هکر با استفاده از دزدیده شدن رمز سیستم عامل در همون لایه تونل VPN میاد و ریموت دسکتاپ میزنه به سیستم عامل قربانی و در اولین حرکت خودش اقدام به سرشماری میزبان های سرویس Active Directory میکنه که متوجه یک Domain Controller میشه,
نکته جالب اینه که mimikatz اطلاعات ادمین IT که برای عیب یابی به سیستم قربانی لاگین کرده هم استخراج شده, و بدین ترتیب هکر به سیستم های دیگه سرویس AD ریموت دسکتاپ میزنه و تمام,
گرفتن دسترسی صرفاً به معنی موفقیت یک نفوذ نخواهد بود بلکه هکر باید از بین تکنیک های بیشمار MITRE ATT&CK روش های خلاقانه تری برای به سرانجام رسیدن انتخاب کنه...
Reference
@Unk9vvN
#Hashcat for Airodump-ng Handshake Cracking
یه بررسی ریز کردم و متوجه شدم ابزار Aircrack-ng دقت لازم برای کرک یک Handshake با روش Dictionary رو درست و کامل انجام نمیده بسیاری از رمزهای موجود در لیست رمز تست نمیشن اما Aircrack-ng به اشتباه اونهارو هم به تعداد رمزهای تست شده اضافه میکنه!
حالا روش مطمئن تری رو پیاده کردم با ابزار محبوب Hashcat که علاوه بر دقت بالا سرعت بسیار بالایی رو هم در پردازش لیست رمز از خودش نشون داده, البته این بدلیل اینه که داره از پردازش GPU برای کرک خودش استفاده میکنه...
@Unk9vvN
یه بررسی ریز کردم و متوجه شدم ابزار Aircrack-ng دقت لازم برای کرک یک Handshake با روش Dictionary رو درست و کامل انجام نمیده بسیاری از رمزهای موجود در لیست رمز تست نمیشن اما Aircrack-ng به اشتباه اونهارو هم به تعداد رمزهای تست شده اضافه میکنه!
حالا روش مطمئن تری رو پیاده کردم با ابزار محبوب Hashcat که علاوه بر دقت بالا سرعت بسیار بالایی رو هم در پردازش لیست رمز از خودش نشون داده, البته این بدلیل اینه که داره از پردازش GPU برای کرک خودش استفاده میکنه...
@Unk9vvN
#GCHQ #Cybersecurity #UK #Government
شاید بد نباشه که لایه های پنهان جاسوسی در دنیای سایبری رو هم کمی شناخت, سازمان دولتی #GCHQ یکی از سازمان های در سایه هستش و گفته میشه حجم عملیات های جاسوسی اون از سازمان مشابه آمریکایی خودش یعنی #NSA هم بسیار بیشتره,
جالبه که در گزارش های شرکت های فعال خارجی در حوزه رهگیری جاسوس افزارها و دیگر حملات سایبری اثری از کشفیات سازمان هایی مانند #GCHQ به چشم نمیخوره, این در حالیه که در اطلاعات آشکار مربوط به این سازمان صراحتاً بیان شده که بیشترین حجم جاسوسی های سایبری رو داشته و ایران رو بزرگ ترین هدف خودش قرار داده,
از شرکت های مدعی در حوزه کشف و دفاع سایبری ایران هم این انتظار همواره وجود داره که چرا ردپاهای این سازمان هارو رصد و به گوش عموم مردم نمیرسونن؟شاید به دلیل اینه که تمامی محصولات مورد استفاده شرکت های ایرانی در واقع همان محصولات شرکت های زیر نظر سازمان هایی مانند #GCHQ هستند
کشور ایران نه تنها مورد بیشترین حملات جاسوس افزارهای سایبری هستش بلکه ضعیف ترین عملکرد تشکُل سازی پایگاه دانشی رو هم دارا هستش.
Wiki
@Unk9vvN
شاید بد نباشه که لایه های پنهان جاسوسی در دنیای سایبری رو هم کمی شناخت, سازمان دولتی #GCHQ یکی از سازمان های در سایه هستش و گفته میشه حجم عملیات های جاسوسی اون از سازمان مشابه آمریکایی خودش یعنی #NSA هم بسیار بیشتره,
جالبه که در گزارش های شرکت های فعال خارجی در حوزه رهگیری جاسوس افزارها و دیگر حملات سایبری اثری از کشفیات سازمان هایی مانند #GCHQ به چشم نمیخوره, این در حالیه که در اطلاعات آشکار مربوط به این سازمان صراحتاً بیان شده که بیشترین حجم جاسوسی های سایبری رو داشته و ایران رو بزرگ ترین هدف خودش قرار داده,
از شرکت های مدعی در حوزه کشف و دفاع سایبری ایران هم این انتظار همواره وجود داره که چرا ردپاهای این سازمان هارو رصد و به گوش عموم مردم نمیرسونن؟شاید به دلیل اینه که تمامی محصولات مورد استفاده شرکت های ایرانی در واقع همان محصولات شرکت های زیر نظر سازمان هایی مانند #GCHQ هستند
کشور ایران نه تنها مورد بیشترین حملات جاسوس افزارهای سایبری هستش بلکه ضعیف ترین عملکرد تشکُل سازی پایگاه دانشی رو هم دارا هستش.
Wiki
@Unk9vvN