#Red_Team & #Endpoint_Detection_Response Maps
اگر علاقمند هستید که دامنه و گستره بازرسی و روند شناسایی دیوایس های #EDR را بدانید میتواند تصویر نقشه EDR را مطالعه نمایید, مبحث کنترل Endpoint ها همه روزه با تقویت موتورهای Heuristic و Signature Based و رفتارشناسی در خصوص حملات Advanced Threat بیشتر شده و کار را برای استفاده از روش های عمومی سخت کرده است,
همچنین تصویر سمت چپ دارای نقشه عملکردی تیم قرمز هستش که از این روی تیم های قرمز هم بیکار نبوده اند و در فضاهای مختلف سعی بر ترکیب سازی روش های ابداعی خود دارند و با آزمون خطا نقاط ضعف #EDR ها را شناسایی میکنند, برای بررسی طیف گسترده ای از این تکنیک ها شمارو ارجاع میدم به gist زیر,
https://gist.github.com/RedTeams
با بررسی روش های بالا میتوانید با دامنه سناریو سازی ها و طراحی Stage های مختلف حمله آشنا شده و با کمی خلاقیت باز هم از همین روش های عمومی شده به جهت دور زدن مکانیزم های دفاعی استفاده کنید...
https://en.wikipedia.org/wiki/Red_team
https://en.wikipedia.org/wiki/Endpoint_detection_and_response
@Unk9vvN
اگر علاقمند هستید که دامنه و گستره بازرسی و روند شناسایی دیوایس های #EDR را بدانید میتواند تصویر نقشه EDR را مطالعه نمایید, مبحث کنترل Endpoint ها همه روزه با تقویت موتورهای Heuristic و Signature Based و رفتارشناسی در خصوص حملات Advanced Threat بیشتر شده و کار را برای استفاده از روش های عمومی سخت کرده است,
همچنین تصویر سمت چپ دارای نقشه عملکردی تیم قرمز هستش که از این روی تیم های قرمز هم بیکار نبوده اند و در فضاهای مختلف سعی بر ترکیب سازی روش های ابداعی خود دارند و با آزمون خطا نقاط ضعف #EDR ها را شناسایی میکنند, برای بررسی طیف گسترده ای از این تکنیک ها شمارو ارجاع میدم به gist زیر,
https://gist.github.com/RedTeams
با بررسی روش های بالا میتوانید با دامنه سناریو سازی ها و طراحی Stage های مختلف حمله آشنا شده و با کمی خلاقیت باز هم از همین روش های عمومی شده به جهت دور زدن مکانیزم های دفاعی استفاده کنید...
https://en.wikipedia.org/wiki/Red_team
https://en.wikipedia.org/wiki/Endpoint_detection_and_response
@Unk9vvN
#Whonix Gateway
سالهاس که سیستم عاملی با پتانسیل های بالاتری نسبت به سایر سیستم عامل های لینوکسی طراحی شده که به شما این امکان رو میده براحتی تمامی ترافیک یک شبکه با داشتن کلاینت های متعدد رو ناشناس کنید و ترافیک خروجی رو از شبکه Tor رد کنید, برای اینکار چون در ایران IP های شبکه Tor فیلتر هستش میبایست بصورت دستی طبق راهنمایی های تصاویر پست IP از لینک زیر گرفته
https://bridges.torproject.org/options
و در حالتی که گزینه Transport بصورت none هستش دریافت کرده و به Whonix Gateway معرفی کنید تا بتونه با شبکه Tor ارتباط بگیره, بعد از اتمام این فرایند کافیه Gateway کامپیوتر های داخل شبکه LAN رو Gateway ساخته شده این سیستم عامل که با نام Whonix بصورت پیشفرض ساخته میشه بدید تا کامپیوترها یا گوشی ها و دیگر موارد از DHCP Server این سیستم عامل IP دریافت کرده و اون رو به عنوان Router خودشون مد نظر قرار بدن و نهایتا ترافیک ارسالی و دریافتی خودشون رو از طریق این سیستم عامل انجام بدن و ترافیک ورودی رو Forward شده و از طریق شبکه Tor ارسال بشود بدون کوچک ترین دخالت و زحمتی برای کاربران شبکه.
@Unk9vvN
سالهاس که سیستم عاملی با پتانسیل های بالاتری نسبت به سایر سیستم عامل های لینوکسی طراحی شده که به شما این امکان رو میده براحتی تمامی ترافیک یک شبکه با داشتن کلاینت های متعدد رو ناشناس کنید و ترافیک خروجی رو از شبکه Tor رد کنید, برای اینکار چون در ایران IP های شبکه Tor فیلتر هستش میبایست بصورت دستی طبق راهنمایی های تصاویر پست IP از لینک زیر گرفته
https://bridges.torproject.org/options
و در حالتی که گزینه Transport بصورت none هستش دریافت کرده و به Whonix Gateway معرفی کنید تا بتونه با شبکه Tor ارتباط بگیره, بعد از اتمام این فرایند کافیه Gateway کامپیوتر های داخل شبکه LAN رو Gateway ساخته شده این سیستم عامل که با نام Whonix بصورت پیشفرض ساخته میشه بدید تا کامپیوترها یا گوشی ها و دیگر موارد از DHCP Server این سیستم عامل IP دریافت کرده و اون رو به عنوان Router خودشون مد نظر قرار بدن و نهایتا ترافیک ارسالی و دریافتی خودشون رو از طریق این سیستم عامل انجام بدن و ترافیک ورودی رو Forward شده و از طریق شبکه Tor ارسال بشود بدون کوچک ترین دخالت و زحمتی برای کاربران شبکه.
@Unk9vvN
#Adobe Experience Manager (AEM) Vulnerability
شاید شما هم در وبسایت های بسیار معروف با این پلتفرم شرکت Adobe که در خصوص مدیریت محتوای برنامه های تحت وب فعالیت داره آشنا شده باشید, در سال ۲۰۱۵ یک آسیب پذیری RCE در این پلتفرم موجب شد که دامنه signout.live.com شرکت ماکروسافت هک بشه که البته هکر صرفا به جهت دریافت جایزه آسیب پذیری رو گزارش کرده,
جالبه که بدونید فایل config مرتبط با CRX Content Repository بصورت Anonymous قابل دسترس بوده و هکر میتونسته این فایل config رو بصورت non-authenticated خونده و رمز اون رو که از رمزنگاری SHA-256 استفاده شده بوده رو براحتی با دستور زیر بشکنه
$
@Unk9vvN
شاید شما هم در وبسایت های بسیار معروف با این پلتفرم شرکت Adobe که در خصوص مدیریت محتوای برنامه های تحت وب فعالیت داره آشنا شده باشید, در سال ۲۰۱۵ یک آسیب پذیری RCE در این پلتفرم موجب شد که دامنه signout.live.com شرکت ماکروسافت هک بشه که البته هکر صرفا به جهت دریافت جایزه آسیب پذیری رو گزارش کرده,
جالبه که بدونید فایل config مرتبط با CRX Content Repository بصورت Anonymous قابل دسترس بوده و هکر میتونسته این فایل config رو بصورت non-authenticated خونده و رمز اون رو که از رمزنگاری SHA-256 استفاده شده بوده رو براحتی با دستور زیر بشکنه
$
h=$(echo "6J7An/QgzU+j5gr1G0CyEexJ9xkgiIyyUzTcmaCCV5g=" | base64 -d | xxd -p | tr -d '\n');echo $h > hash.txt;cd /usr/share/wordlists;sudo gzip -d rockyou.txt.gz;cd ;hashcat -a 0 -m 1400 hash.txt /usr/share/wordlists/rockyou.txt
و با نام کاربری که در تصویر شماره ۲ می بینید یعنی admin لاگین کنه در پلتفرم و در تصویر ۳ در قالب یک ماژول مربوطه برای AEM یک Webshell رو نصب و دسترسی ایجاد کنه...@Unk9vvN
#APT_Hunter
یه محقق به اسم ahmedkhalief یه کار زیبا کرده به نظرم در عین سادگی بسیار کارآمده, شکار تهدیدات یک وظیفه در خصوص سرپرست های مرکز کنترل امنیت حساب میشه که عامل تعیین کننده ای در خصوص کشف حملات رخدادی هستش,
از طرف دیگه نرم افزارهایی که در این خصوص فعال میشوند گاه بسیار عمل مانیتوریگ رو پیچیده و پر زحمت میکنند, از این روی ابزار این محقق بسیار گزینه ساده و در عین حال کار آمدی حساب میشه, تصاویری که مشاهده میکنید نشان دهنده بخشی از عملکرد یک ابزاره که در قدم اول تمامی COM Object ها و مخازن Log آنهارو بدست آوردی و در کد بعدی تعریف شده که در آنها جستجو و Pattern های خاصی که مدنظر هستش نمایان بشه,
اینجا محقق نیومده مستقیما خودش با استفاده از هوش مصنوعی عمل رهگیری رو انجام بده, و صرفا خواسته مواردی و دستوراتی که بعضا بر بستر COM Object که از حساسیت بالایی برخورداره رو برای ما به نمایش دربیاره, حالا اینکه Hunter باید تشخیص بده که استفاده ای از اون COM Object بصورت خطرناک بوده یا نه یک رفتار عادی بوده است...
https://github.com/ahmedkhlief/APT-Hunter
@Unk9vvN
یه محقق به اسم ahmedkhalief یه کار زیبا کرده به نظرم در عین سادگی بسیار کارآمده, شکار تهدیدات یک وظیفه در خصوص سرپرست های مرکز کنترل امنیت حساب میشه که عامل تعیین کننده ای در خصوص کشف حملات رخدادی هستش,
از طرف دیگه نرم افزارهایی که در این خصوص فعال میشوند گاه بسیار عمل مانیتوریگ رو پیچیده و پر زحمت میکنند, از این روی ابزار این محقق بسیار گزینه ساده و در عین حال کار آمدی حساب میشه, تصاویری که مشاهده میکنید نشان دهنده بخشی از عملکرد یک ابزاره که در قدم اول تمامی COM Object ها و مخازن Log آنهارو بدست آوردی و در کد بعدی تعریف شده که در آنها جستجو و Pattern های خاصی که مدنظر هستش نمایان بشه,
اینجا محقق نیومده مستقیما خودش با استفاده از هوش مصنوعی عمل رهگیری رو انجام بده, و صرفا خواسته مواردی و دستوراتی که بعضا بر بستر COM Object که از حساسیت بالایی برخورداره رو برای ما به نمایش دربیاره, حالا اینکه Hunter باید تشخیص بده که استفاده ای از اون COM Object بصورت خطرناک بوده یا نه یک رفتار عادی بوده است...
https://github.com/ahmedkhlief/APT-Hunter
@Unk9vvN
#Microsoft Defender for Endpoint
ماکروسافت هم وارد عرصه محصولات Endpoint Security شده و بسیاری از آسیب پذیری های عمومی و تکنیک های مورد استفاده تیم های APT رو پوشش میده, میشه گفت ویژگی های این محصول رفتار شناسی دقیقش هستش که بر پایه مستندات MITRE ATT&CK کار میکنه, از این روی از این پس پیاده سازی بسیاری از تکنیک ها بر روی سیستم عامل های ویندوز سختر خواهد شد,
این محصول متمایز تر از محصولات دیگس چرا که طراحش خود ماکروسافت هستش, ویژگی های دیگه این محصول:
راه حل امنیتی نهایی و جامع ارائه شده توسط ابره که شامل مدیریت و ارزیابی آسیب پذیری مبتنی بر ریسک، کاهش سطح حمله، حفاظت نسل بعدی مبتنی بر رفتار و ابر، تشخیص و پاسخ به نقطه پایان (EDR)، تحقیق و اصلاح خودکار، خدمات شکار مدیریت شده، API های غنی و مدیریت امنیت یکپارچه خواهد بود...
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-advanced-threat-protection
@Unk9vvN
ماکروسافت هم وارد عرصه محصولات Endpoint Security شده و بسیاری از آسیب پذیری های عمومی و تکنیک های مورد استفاده تیم های APT رو پوشش میده, میشه گفت ویژگی های این محصول رفتار شناسی دقیقش هستش که بر پایه مستندات MITRE ATT&CK کار میکنه, از این روی از این پس پیاده سازی بسیاری از تکنیک ها بر روی سیستم عامل های ویندوز سختر خواهد شد,
این محصول متمایز تر از محصولات دیگس چرا که طراحش خود ماکروسافت هستش, ویژگی های دیگه این محصول:
راه حل امنیتی نهایی و جامع ارائه شده توسط ابره که شامل مدیریت و ارزیابی آسیب پذیری مبتنی بر ریسک، کاهش سطح حمله، حفاظت نسل بعدی مبتنی بر رفتار و ابر، تشخیص و پاسخ به نقطه پایان (EDR)، تحقیق و اصلاح خودکار، خدمات شکار مدیریت شده، API های غنی و مدیریت امنیت یکپارچه خواهد بود...
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-advanced-threat-protection
@Unk9vvN
#ICMP Deliver Shellcode ( #Exfiltration )
یکی از روش های Exfiltration یا مخفی سازی کانال ارتباطی با CnC اینه که Shellcode اصلی خودمون رو در مکانی قرار بدیم که وقتی مثلا قراره به واسطه یک دانلودر Stage اول دریافت بشه, در معرض دید مکانیزم های شناسایی کننده تحت شبکه و Endpoint Security نباشه,
یعنی فیلد یا مناطقی قرار نداشته باشه که مکانیزم ها یا متخصصین BlueTeam بتوانند رصدش بکنند, خب یکی از سناریو های طرح شده این بوده که Shellcode رو در قالب ICMP Request به سیستم عامل قربانی ارسال کنیم, چرا که 65,000 بایت داده میتونه بگیره که برای ارسال Shellcode مناسبه,
همونطور که در تصویر شماره یک پست میبینید پیلودی از MSF دریافت شده بر مبنای زبان #C که در Initial آبجک ساخته شده از کلاس Ping ریخته شده و در قالب یک ICMP Request به سمت قربانی ارسال میشه,
در تصویر دوم Stage مختص به دریافت Shellcode تعریف شده که بعد از Import API سیستم عامل برای دریافت Shellcode از Sockettype.Raw و رایت کردن اون در یک پراسس برنامه ای مشخص مثل Notepad استفاده شده و با استفاده از توابع سیستمی یک Thread برای Shellcode ایجاد میشه...
SRC
@Unk9vvN
یکی از روش های Exfiltration یا مخفی سازی کانال ارتباطی با CnC اینه که Shellcode اصلی خودمون رو در مکانی قرار بدیم که وقتی مثلا قراره به واسطه یک دانلودر Stage اول دریافت بشه, در معرض دید مکانیزم های شناسایی کننده تحت شبکه و Endpoint Security نباشه,
یعنی فیلد یا مناطقی قرار نداشته باشه که مکانیزم ها یا متخصصین BlueTeam بتوانند رصدش بکنند, خب یکی از سناریو های طرح شده این بوده که Shellcode رو در قالب ICMP Request به سیستم عامل قربانی ارسال کنیم, چرا که 65,000 بایت داده میتونه بگیره که برای ارسال Shellcode مناسبه,
همونطور که در تصویر شماره یک پست میبینید پیلودی از MSF دریافت شده بر مبنای زبان #C که در Initial آبجک ساخته شده از کلاس Ping ریخته شده و در قالب یک ICMP Request به سمت قربانی ارسال میشه,
در تصویر دوم Stage مختص به دریافت Shellcode تعریف شده که بعد از Import API سیستم عامل برای دریافت Shellcode از Sockettype.Raw و رایت کردن اون در یک پراسس برنامه ای مشخص مثل Notepad استفاده شده و با استفاده از توابع سیستمی یک Thread برای Shellcode ایجاد میشه...
SRC
@Unk9vvN
#Tor_Router #Raspberry Pi
شاید برای شما هم این ایده تدایی شده باشه که با استفاده از یک سخت افزار ترافیک هر شبکه ای رو ناشناس کنید و از شبکه The Onion Routing یا همون TOR رد کنید, خب توی تصاویر پست سناریویی که ما بر مبنای اون اسکریپتی رو طراحی کردیم به این صورته که دیوایس سخت افزاری ما با استفاده از WiFi به Access Point شبکه دارای اینترنت وصل بشه و در ادامه از خروجی Ethernet خودش اتصالات کاربران شبکه که میتونن کامپیوتر یا هر چیزه دیگه باشند :) رو از طریق سوئیچ به RPi ما وصل کنه,
تا RPi ما مثل یک روتر اونهارو با استفاده از DHCP Server که به واسطه Dnsmasq راه اندازی کردیم IP داده و ترافیک دریافتی از اونهارو به پورت باز شده مخصوص Tor هدایت کنیم, که اینکارو با IPTables انجام میدیم, حالا شما یه Tor Router دارید, دقت داشته باشید که اسکریپت بر روی ورژن Pi Desktop سیستم عامل Raspberry Pi طراحی شده و به واسطه پورت SSH براحتی قابل اجرا کردن داره آخر Restart میکنه و Tor Router شما آمادس همراه با دور زدن فیلترینگ IP های Tor...
https://gist.github.com/a9v8i/48c7bcb2962b64d9a6f1b8986ab265f0
@Unk9vvN
شاید برای شما هم این ایده تدایی شده باشه که با استفاده از یک سخت افزار ترافیک هر شبکه ای رو ناشناس کنید و از شبکه The Onion Routing یا همون TOR رد کنید, خب توی تصاویر پست سناریویی که ما بر مبنای اون اسکریپتی رو طراحی کردیم به این صورته که دیوایس سخت افزاری ما با استفاده از WiFi به Access Point شبکه دارای اینترنت وصل بشه و در ادامه از خروجی Ethernet خودش اتصالات کاربران شبکه که میتونن کامپیوتر یا هر چیزه دیگه باشند :) رو از طریق سوئیچ به RPi ما وصل کنه,
تا RPi ما مثل یک روتر اونهارو با استفاده از DHCP Server که به واسطه Dnsmasq راه اندازی کردیم IP داده و ترافیک دریافتی از اونهارو به پورت باز شده مخصوص Tor هدایت کنیم, که اینکارو با IPTables انجام میدیم, حالا شما یه Tor Router دارید, دقت داشته باشید که اسکریپت بر روی ورژن Pi Desktop سیستم عامل Raspberry Pi طراحی شده و به واسطه پورت SSH براحتی قابل اجرا کردن داره آخر Restart میکنه و Tor Router شما آمادس همراه با دور زدن فیلترینگ IP های Tor...
https://gist.github.com/a9v8i/48c7bcb2962b64d9a6f1b8986ab265f0
@Unk9vvN
#Exchange Server #SSRF Vulnerability
در روزهای گذشته خبر هک شدن بسیاری از سرویس های Exchange Server ماکروسافت به واسطه چند آسیب پذیری زنجیر وار پخش شده که توجهات رو به خودش جلب کرده,
موضوعی که در این حمله که گفته میشه از طرف کشور چین بوده, اول از همه اینکه آسیب پذیری Initial Access یک SSRF بوده که بواسطه اون هکر میتونسته بصورت unauthenticated دسترسی به ECP پیدا کنه و بواسطه آسیب پذیری دومی که از نوع post-authentication arbitrary write file بوده اطلاعات احراز ادمین ها رو دزدیده و در نهایت با استفاده از یک آسیب پذیری deserialization اقدام به اجرای کد سطح SYSTEM بکنه, ماکروسافت اسکریپتی رو برای شناسایی سرورهای آسیب پذیر طراحی کرده
┌──(unk9vvn㉿avi)-[~]
└─$
└─$
@Unk9vvN
در روزهای گذشته خبر هک شدن بسیاری از سرویس های Exchange Server ماکروسافت به واسطه چند آسیب پذیری زنجیر وار پخش شده که توجهات رو به خودش جلب کرده,
موضوعی که در این حمله که گفته میشه از طرف کشور چین بوده, اول از همه اینکه آسیب پذیری Initial Access یک SSRF بوده که بواسطه اون هکر میتونسته بصورت unauthenticated دسترسی به ECP پیدا کنه و بواسطه آسیب پذیری دومی که از نوع post-authentication arbitrary write file بوده اطلاعات احراز ادمین ها رو دزدیده و در نهایت با استفاده از یک آسیب پذیری deserialization اقدام به اجرای کد سطح SYSTEM بکنه, ماکروسافت اسکریپتی رو برای شناسایی سرورهای آسیب پذیر طراحی کرده
┌──(unk9vvn㉿avi)-[~]
└─$
sudo wget https://raw.githubusercontent.com/microsoft/CSS-Exchange/main/Security/http-vuln-cve2021-26855.nse -O /usr/share/nmap/scripts/http-vuln-cve2021-26855.nse
┌──(unk9vvn㉿avi)-[~]└─$
nmap -p 443 --script http-vuln-cve2021-26855 -Pn $TARGET
https://us-cert.cisa.gov/ncas/alerts/aa21-062a@Unk9vvN
#Tor Proxy on #Termux for #Bypass ISP Filtering
برخی دوستان برای دانلود فایلهای حجیم و بحث از کار افتادن VPN های مجانی درخواست یک روشی رو داشتند که این مشکل برای همیشه حل بشه در همین خصوص یک اسکریپت طراحی شده که بر بستره برنامه Termux سیستم عامل اندروید اجرا شده و بعد از نصب پکیج های مورد نیاز یک Bridge برای شما Config کرده و بواسطه اون سرویس شبکه Tor رو فعال میکنه,
همچنین با استفاده از ابزار privoxy کار تبدیل پروتکل HTTP به Socks5 رو انجام میدیم که بشه بواسطه پورت 8118 و پروتکل HTTP نرم افزار اندرویدی Twitter رو هم به پروکسی Tor متصل نموده و این برنامه رو هم از شر بحث فیلتریگ های ISP ها راحت کنیم, برای انجام تمام اینکارها کافیست دستور زیر رو در خط فرمان Termux وارد نمایید مانند تصویر پست,
┌──(unk9vvn㉿avi)-[~]
└─$
برخی دوستان برای دانلود فایلهای حجیم و بحث از کار افتادن VPN های مجانی درخواست یک روشی رو داشتند که این مشکل برای همیشه حل بشه در همین خصوص یک اسکریپت طراحی شده که بر بستره برنامه Termux سیستم عامل اندروید اجرا شده و بعد از نصب پکیج های مورد نیاز یک Bridge برای شما Config کرده و بواسطه اون سرویس شبکه Tor رو فعال میکنه,
همچنین با استفاده از ابزار privoxy کار تبدیل پروتکل HTTP به Socks5 رو انجام میدیم که بشه بواسطه پورت 8118 و پروتکل HTTP نرم افزار اندرویدی Twitter رو هم به پروکسی Tor متصل نموده و این برنامه رو هم از شر بحث فیلتریگ های ISP ها راحت کنیم, برای انجام تمام اینکارها کافیست دستور زیر رو در خط فرمان Termux وارد نمایید مانند تصویر پست,
┌──(unk9vvn㉿avi)-[~]
└─$
curl -sL https://gist.githubusercontent.com/a9v8i/beaeabfd264ab68c6a24a3106e734dfb/raw/401989381e06f654b6c52b35293e974a38133a53/TorTer.sh | bash
@Unk9vvN