#Adobe Experience Manager (AEM) Vulnerability
شاید شما هم در وبسایت های بسیار معروف با این پلتفرم شرکت Adobe که در خصوص مدیریت محتوای برنامه های تحت وب فعالیت داره آشنا شده باشید, در سال ۲۰۱۵ یک آسیب پذیری RCE در این پلتفرم موجب شد که دامنه signout.live.com شرکت ماکروسافت هک بشه که البته هکر صرفا به جهت دریافت جایزه آسیب پذیری رو گزارش کرده,
جالبه که بدونید فایل config مرتبط با CRX Content Repository بصورت Anonymous قابل دسترس بوده و هکر میتونسته این فایل config رو بصورت non-authenticated خونده و رمز اون رو که از رمزنگاری SHA-256 استفاده شده بوده رو براحتی با دستور زیر بشکنه
$
@Unk9vvN
شاید شما هم در وبسایت های بسیار معروف با این پلتفرم شرکت Adobe که در خصوص مدیریت محتوای برنامه های تحت وب فعالیت داره آشنا شده باشید, در سال ۲۰۱۵ یک آسیب پذیری RCE در این پلتفرم موجب شد که دامنه signout.live.com شرکت ماکروسافت هک بشه که البته هکر صرفا به جهت دریافت جایزه آسیب پذیری رو گزارش کرده,
جالبه که بدونید فایل config مرتبط با CRX Content Repository بصورت Anonymous قابل دسترس بوده و هکر میتونسته این فایل config رو بصورت non-authenticated خونده و رمز اون رو که از رمزنگاری SHA-256 استفاده شده بوده رو براحتی با دستور زیر بشکنه
$
h=$(echo "6J7An/QgzU+j5gr1G0CyEexJ9xkgiIyyUzTcmaCCV5g=" | base64 -d | xxd -p | tr -d '\n');echo $h > hash.txt;cd /usr/share/wordlists;sudo gzip -d rockyou.txt.gz;cd ;hashcat -a 0 -m 1400 hash.txt /usr/share/wordlists/rockyou.txt
و با نام کاربری که در تصویر شماره ۲ می بینید یعنی admin لاگین کنه در پلتفرم و در تصویر ۳ در قالب یک ماژول مربوطه برای AEM یک Webshell رو نصب و دسترسی ایجاد کنه...@Unk9vvN
#APT_Hunter
یه محقق به اسم ahmedkhalief یه کار زیبا کرده به نظرم در عین سادگی بسیار کارآمده, شکار تهدیدات یک وظیفه در خصوص سرپرست های مرکز کنترل امنیت حساب میشه که عامل تعیین کننده ای در خصوص کشف حملات رخدادی هستش,
از طرف دیگه نرم افزارهایی که در این خصوص فعال میشوند گاه بسیار عمل مانیتوریگ رو پیچیده و پر زحمت میکنند, از این روی ابزار این محقق بسیار گزینه ساده و در عین حال کار آمدی حساب میشه, تصاویری که مشاهده میکنید نشان دهنده بخشی از عملکرد یک ابزاره که در قدم اول تمامی COM Object ها و مخازن Log آنهارو بدست آوردی و در کد بعدی تعریف شده که در آنها جستجو و Pattern های خاصی که مدنظر هستش نمایان بشه,
اینجا محقق نیومده مستقیما خودش با استفاده از هوش مصنوعی عمل رهگیری رو انجام بده, و صرفا خواسته مواردی و دستوراتی که بعضا بر بستر COM Object که از حساسیت بالایی برخورداره رو برای ما به نمایش دربیاره, حالا اینکه Hunter باید تشخیص بده که استفاده ای از اون COM Object بصورت خطرناک بوده یا نه یک رفتار عادی بوده است...
https://github.com/ahmedkhlief/APT-Hunter
@Unk9vvN
یه محقق به اسم ahmedkhalief یه کار زیبا کرده به نظرم در عین سادگی بسیار کارآمده, شکار تهدیدات یک وظیفه در خصوص سرپرست های مرکز کنترل امنیت حساب میشه که عامل تعیین کننده ای در خصوص کشف حملات رخدادی هستش,
از طرف دیگه نرم افزارهایی که در این خصوص فعال میشوند گاه بسیار عمل مانیتوریگ رو پیچیده و پر زحمت میکنند, از این روی ابزار این محقق بسیار گزینه ساده و در عین حال کار آمدی حساب میشه, تصاویری که مشاهده میکنید نشان دهنده بخشی از عملکرد یک ابزاره که در قدم اول تمامی COM Object ها و مخازن Log آنهارو بدست آوردی و در کد بعدی تعریف شده که در آنها جستجو و Pattern های خاصی که مدنظر هستش نمایان بشه,
اینجا محقق نیومده مستقیما خودش با استفاده از هوش مصنوعی عمل رهگیری رو انجام بده, و صرفا خواسته مواردی و دستوراتی که بعضا بر بستر COM Object که از حساسیت بالایی برخورداره رو برای ما به نمایش دربیاره, حالا اینکه Hunter باید تشخیص بده که استفاده ای از اون COM Object بصورت خطرناک بوده یا نه یک رفتار عادی بوده است...
https://github.com/ahmedkhlief/APT-Hunter
@Unk9vvN
#Microsoft Defender for Endpoint
ماکروسافت هم وارد عرصه محصولات Endpoint Security شده و بسیاری از آسیب پذیری های عمومی و تکنیک های مورد استفاده تیم های APT رو پوشش میده, میشه گفت ویژگی های این محصول رفتار شناسی دقیقش هستش که بر پایه مستندات MITRE ATT&CK کار میکنه, از این روی از این پس پیاده سازی بسیاری از تکنیک ها بر روی سیستم عامل های ویندوز سختر خواهد شد,
این محصول متمایز تر از محصولات دیگس چرا که طراحش خود ماکروسافت هستش, ویژگی های دیگه این محصول:
راه حل امنیتی نهایی و جامع ارائه شده توسط ابره که شامل مدیریت و ارزیابی آسیب پذیری مبتنی بر ریسک، کاهش سطح حمله، حفاظت نسل بعدی مبتنی بر رفتار و ابر، تشخیص و پاسخ به نقطه پایان (EDR)، تحقیق و اصلاح خودکار، خدمات شکار مدیریت شده، API های غنی و مدیریت امنیت یکپارچه خواهد بود...
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-advanced-threat-protection
@Unk9vvN
ماکروسافت هم وارد عرصه محصولات Endpoint Security شده و بسیاری از آسیب پذیری های عمومی و تکنیک های مورد استفاده تیم های APT رو پوشش میده, میشه گفت ویژگی های این محصول رفتار شناسی دقیقش هستش که بر پایه مستندات MITRE ATT&CK کار میکنه, از این روی از این پس پیاده سازی بسیاری از تکنیک ها بر روی سیستم عامل های ویندوز سختر خواهد شد,
این محصول متمایز تر از محصولات دیگس چرا که طراحش خود ماکروسافت هستش, ویژگی های دیگه این محصول:
راه حل امنیتی نهایی و جامع ارائه شده توسط ابره که شامل مدیریت و ارزیابی آسیب پذیری مبتنی بر ریسک، کاهش سطح حمله، حفاظت نسل بعدی مبتنی بر رفتار و ابر، تشخیص و پاسخ به نقطه پایان (EDR)، تحقیق و اصلاح خودکار، خدمات شکار مدیریت شده، API های غنی و مدیریت امنیت یکپارچه خواهد بود...
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-advanced-threat-protection
@Unk9vvN
#ICMP Deliver Shellcode ( #Exfiltration )
یکی از روش های Exfiltration یا مخفی سازی کانال ارتباطی با CnC اینه که Shellcode اصلی خودمون رو در مکانی قرار بدیم که وقتی مثلا قراره به واسطه یک دانلودر Stage اول دریافت بشه, در معرض دید مکانیزم های شناسایی کننده تحت شبکه و Endpoint Security نباشه,
یعنی فیلد یا مناطقی قرار نداشته باشه که مکانیزم ها یا متخصصین BlueTeam بتوانند رصدش بکنند, خب یکی از سناریو های طرح شده این بوده که Shellcode رو در قالب ICMP Request به سیستم عامل قربانی ارسال کنیم, چرا که 65,000 بایت داده میتونه بگیره که برای ارسال Shellcode مناسبه,
همونطور که در تصویر شماره یک پست میبینید پیلودی از MSF دریافت شده بر مبنای زبان #C که در Initial آبجک ساخته شده از کلاس Ping ریخته شده و در قالب یک ICMP Request به سمت قربانی ارسال میشه,
در تصویر دوم Stage مختص به دریافت Shellcode تعریف شده که بعد از Import API سیستم عامل برای دریافت Shellcode از Sockettype.Raw و رایت کردن اون در یک پراسس برنامه ای مشخص مثل Notepad استفاده شده و با استفاده از توابع سیستمی یک Thread برای Shellcode ایجاد میشه...
SRC
@Unk9vvN
یکی از روش های Exfiltration یا مخفی سازی کانال ارتباطی با CnC اینه که Shellcode اصلی خودمون رو در مکانی قرار بدیم که وقتی مثلا قراره به واسطه یک دانلودر Stage اول دریافت بشه, در معرض دید مکانیزم های شناسایی کننده تحت شبکه و Endpoint Security نباشه,
یعنی فیلد یا مناطقی قرار نداشته باشه که مکانیزم ها یا متخصصین BlueTeam بتوانند رصدش بکنند, خب یکی از سناریو های طرح شده این بوده که Shellcode رو در قالب ICMP Request به سیستم عامل قربانی ارسال کنیم, چرا که 65,000 بایت داده میتونه بگیره که برای ارسال Shellcode مناسبه,
همونطور که در تصویر شماره یک پست میبینید پیلودی از MSF دریافت شده بر مبنای زبان #C که در Initial آبجک ساخته شده از کلاس Ping ریخته شده و در قالب یک ICMP Request به سمت قربانی ارسال میشه,
در تصویر دوم Stage مختص به دریافت Shellcode تعریف شده که بعد از Import API سیستم عامل برای دریافت Shellcode از Sockettype.Raw و رایت کردن اون در یک پراسس برنامه ای مشخص مثل Notepad استفاده شده و با استفاده از توابع سیستمی یک Thread برای Shellcode ایجاد میشه...
SRC
@Unk9vvN
#Tor_Router #Raspberry Pi
شاید برای شما هم این ایده تدایی شده باشه که با استفاده از یک سخت افزار ترافیک هر شبکه ای رو ناشناس کنید و از شبکه The Onion Routing یا همون TOR رد کنید, خب توی تصاویر پست سناریویی که ما بر مبنای اون اسکریپتی رو طراحی کردیم به این صورته که دیوایس سخت افزاری ما با استفاده از WiFi به Access Point شبکه دارای اینترنت وصل بشه و در ادامه از خروجی Ethernet خودش اتصالات کاربران شبکه که میتونن کامپیوتر یا هر چیزه دیگه باشند :) رو از طریق سوئیچ به RPi ما وصل کنه,
تا RPi ما مثل یک روتر اونهارو با استفاده از DHCP Server که به واسطه Dnsmasq راه اندازی کردیم IP داده و ترافیک دریافتی از اونهارو به پورت باز شده مخصوص Tor هدایت کنیم, که اینکارو با IPTables انجام میدیم, حالا شما یه Tor Router دارید, دقت داشته باشید که اسکریپت بر روی ورژن Pi Desktop سیستم عامل Raspberry Pi طراحی شده و به واسطه پورت SSH براحتی قابل اجرا کردن داره آخر Restart میکنه و Tor Router شما آمادس همراه با دور زدن فیلترینگ IP های Tor...
https://gist.github.com/a9v8i/48c7bcb2962b64d9a6f1b8986ab265f0
@Unk9vvN
شاید برای شما هم این ایده تدایی شده باشه که با استفاده از یک سخت افزار ترافیک هر شبکه ای رو ناشناس کنید و از شبکه The Onion Routing یا همون TOR رد کنید, خب توی تصاویر پست سناریویی که ما بر مبنای اون اسکریپتی رو طراحی کردیم به این صورته که دیوایس سخت افزاری ما با استفاده از WiFi به Access Point شبکه دارای اینترنت وصل بشه و در ادامه از خروجی Ethernet خودش اتصالات کاربران شبکه که میتونن کامپیوتر یا هر چیزه دیگه باشند :) رو از طریق سوئیچ به RPi ما وصل کنه,
تا RPi ما مثل یک روتر اونهارو با استفاده از DHCP Server که به واسطه Dnsmasq راه اندازی کردیم IP داده و ترافیک دریافتی از اونهارو به پورت باز شده مخصوص Tor هدایت کنیم, که اینکارو با IPTables انجام میدیم, حالا شما یه Tor Router دارید, دقت داشته باشید که اسکریپت بر روی ورژن Pi Desktop سیستم عامل Raspberry Pi طراحی شده و به واسطه پورت SSH براحتی قابل اجرا کردن داره آخر Restart میکنه و Tor Router شما آمادس همراه با دور زدن فیلترینگ IP های Tor...
https://gist.github.com/a9v8i/48c7bcb2962b64d9a6f1b8986ab265f0
@Unk9vvN
#Exchange Server #SSRF Vulnerability
در روزهای گذشته خبر هک شدن بسیاری از سرویس های Exchange Server ماکروسافت به واسطه چند آسیب پذیری زنجیر وار پخش شده که توجهات رو به خودش جلب کرده,
موضوعی که در این حمله که گفته میشه از طرف کشور چین بوده, اول از همه اینکه آسیب پذیری Initial Access یک SSRF بوده که بواسطه اون هکر میتونسته بصورت unauthenticated دسترسی به ECP پیدا کنه و بواسطه آسیب پذیری دومی که از نوع post-authentication arbitrary write file بوده اطلاعات احراز ادمین ها رو دزدیده و در نهایت با استفاده از یک آسیب پذیری deserialization اقدام به اجرای کد سطح SYSTEM بکنه, ماکروسافت اسکریپتی رو برای شناسایی سرورهای آسیب پذیر طراحی کرده
┌──(unk9vvn㉿avi)-[~]
└─$
└─$
@Unk9vvN
در روزهای گذشته خبر هک شدن بسیاری از سرویس های Exchange Server ماکروسافت به واسطه چند آسیب پذیری زنجیر وار پخش شده که توجهات رو به خودش جلب کرده,
موضوعی که در این حمله که گفته میشه از طرف کشور چین بوده, اول از همه اینکه آسیب پذیری Initial Access یک SSRF بوده که بواسطه اون هکر میتونسته بصورت unauthenticated دسترسی به ECP پیدا کنه و بواسطه آسیب پذیری دومی که از نوع post-authentication arbitrary write file بوده اطلاعات احراز ادمین ها رو دزدیده و در نهایت با استفاده از یک آسیب پذیری deserialization اقدام به اجرای کد سطح SYSTEM بکنه, ماکروسافت اسکریپتی رو برای شناسایی سرورهای آسیب پذیر طراحی کرده
┌──(unk9vvn㉿avi)-[~]
└─$
sudo wget https://raw.githubusercontent.com/microsoft/CSS-Exchange/main/Security/http-vuln-cve2021-26855.nse -O /usr/share/nmap/scripts/http-vuln-cve2021-26855.nse
┌──(unk9vvn㉿avi)-[~]└─$
nmap -p 443 --script http-vuln-cve2021-26855 -Pn $TARGET
https://us-cert.cisa.gov/ncas/alerts/aa21-062a@Unk9vvN
#Tor Proxy on #Termux for #Bypass ISP Filtering
برخی دوستان برای دانلود فایلهای حجیم و بحث از کار افتادن VPN های مجانی درخواست یک روشی رو داشتند که این مشکل برای همیشه حل بشه در همین خصوص یک اسکریپت طراحی شده که بر بستره برنامه Termux سیستم عامل اندروید اجرا شده و بعد از نصب پکیج های مورد نیاز یک Bridge برای شما Config کرده و بواسطه اون سرویس شبکه Tor رو فعال میکنه,
همچنین با استفاده از ابزار privoxy کار تبدیل پروتکل HTTP به Socks5 رو انجام میدیم که بشه بواسطه پورت 8118 و پروتکل HTTP نرم افزار اندرویدی Twitter رو هم به پروکسی Tor متصل نموده و این برنامه رو هم از شر بحث فیلتریگ های ISP ها راحت کنیم, برای انجام تمام اینکارها کافیست دستور زیر رو در خط فرمان Termux وارد نمایید مانند تصویر پست,
┌──(unk9vvn㉿avi)-[~]
└─$
برخی دوستان برای دانلود فایلهای حجیم و بحث از کار افتادن VPN های مجانی درخواست یک روشی رو داشتند که این مشکل برای همیشه حل بشه در همین خصوص یک اسکریپت طراحی شده که بر بستره برنامه Termux سیستم عامل اندروید اجرا شده و بعد از نصب پکیج های مورد نیاز یک Bridge برای شما Config کرده و بواسطه اون سرویس شبکه Tor رو فعال میکنه,
همچنین با استفاده از ابزار privoxy کار تبدیل پروتکل HTTP به Socks5 رو انجام میدیم که بشه بواسطه پورت 8118 و پروتکل HTTP نرم افزار اندرویدی Twitter رو هم به پروکسی Tor متصل نموده و این برنامه رو هم از شر بحث فیلتریگ های ISP ها راحت کنیم, برای انجام تمام اینکارها کافیست دستور زیر رو در خط فرمان Termux وارد نمایید مانند تصویر پست,
┌──(unk9vvn㉿avi)-[~]
└─$
curl -sL https://gist.githubusercontent.com/a9v8i/beaeabfd264ab68c6a24a3106e734dfb/raw/401989381e06f654b6c52b35293e974a38133a53/TorTer.sh | bash
@Unk9vvN#SQLi User Defined Function ( #UDF )
مفهوم User Defined Function که مخفف UDF است را که در آسیب پذیری SQL Injection کاربرد داره رو تشریح کنیم , برای اینکار سطح دسترسی Execute نیازه که با استفاده از توابعی مانند
این کار همانند این است که شما تابع خودتان را درون یک فایل DLL یا SO قرار دهید, ما در اینجا از lib_mysqludf_sys_64.so استفاده می کنیم, این ماژول در metasploit موجود است می توانید آن را در دایرکتوری پیدا کنید,
https://github.com/rapid7/metasploit-framework/tree/master/data/exploits/mysql
@Unk9vvN
مفهوم User Defined Function که مخفف UDF است را که در آسیب پذیری SQL Injection کاربرد داره رو تشریح کنیم , برای اینکار سطح دسترسی Execute نیازه که با استفاده از توابعی مانند
()load_file
امکان خواندن یک فایل از روی سرور مهاجم امکان پذیر باشه و محل پلاگین های پایگاه داده و Initial کردن توابع موجود در Dynamic Load Library مد نظر ما که اینجا Library های تعریف شده فریمورک متاسپلوت میباشد هستش,این کار همانند این است که شما تابع خودتان را درون یک فایل DLL یا SO قرار دهید, ما در اینجا از lib_mysqludf_sys_64.so استفاده می کنیم, این ماژول در metasploit موجود است می توانید آن را در دایرکتوری پیدا کنید,
/usr/share/metasploit-framework/data/exploits/mysql/
درون فایل مشاهده خواهید کرد که هم فایل so که مخصوص لینوکس است به صورت 32 و 64 بیت است و هم فایل DLL که مخصوص ویندوز است.https://github.com/rapid7/metasploit-framework/tree/master/data/exploits/mysql
@Unk9vvN
#A Decade After Stuxnet’s Printer Vulnerability ( #Stuxnet 2.0 )
در کنفرانس 2020 تمامی آسیب پذیری های مورد استفاده ویروس Stuxnet و اصطلاحا Patch هایی که در خصوص آسیب پذیری ها زده شده Bypass شده است, ویروس Stuxnet مرحله Initial Access خودش رو بواسطه یک آسیب پذیری در فایل فرمت LNK و توسط پیلود شدن اون در یک دیوایس Flash پیاده سازی و اجرا شده بوده,
فایل فرمت CPL که بصورت یک DLL عمل میکنه و COM Object مربوطه برای Parse کردن این فایل فرمت control.exe هستش, این فایل فرمت رو با استفاده از تابع CPIApplet میتوان Export و اجرا کرد, همچنین بصورت Double Click هم قابلیت Executable داره و بواسطه آسیب پذیری که در LNK وجود داره میشد این فرمت رو اجرا کرد,
اما ویروس فقط از این آسیب پذیری استفاده نمیکرده و از چند آسیب پذیری استفاده میکرده که در تصویر آخر پست ذکر شده, مسئله مهمی که اینجا وجود داره بهره برداری از درایوری با نام Spooler هستش که در خصوص ارتباط با Printer ها استفاده میشده و هکر بواسطه آسیب پذیری که در این درایور کشف کرده بوده میتونسته با دیوایس های PLC تعاملات مستقیم داشته باشه,
SRC
@Unk9vvN
در کنفرانس 2020 تمامی آسیب پذیری های مورد استفاده ویروس Stuxnet و اصطلاحا Patch هایی که در خصوص آسیب پذیری ها زده شده Bypass شده است, ویروس Stuxnet مرحله Initial Access خودش رو بواسطه یک آسیب پذیری در فایل فرمت LNK و توسط پیلود شدن اون در یک دیوایس Flash پیاده سازی و اجرا شده بوده,
فایل فرمت CPL که بصورت یک DLL عمل میکنه و COM Object مربوطه برای Parse کردن این فایل فرمت control.exe هستش, این فایل فرمت رو با استفاده از تابع CPIApplet میتوان Export و اجرا کرد, همچنین بصورت Double Click هم قابلیت Executable داره و بواسطه آسیب پذیری که در LNK وجود داره میشد این فرمت رو اجرا کرد,
اما ویروس فقط از این آسیب پذیری استفاده نمیکرده و از چند آسیب پذیری استفاده میکرده که در تصویر آخر پست ذکر شده, مسئله مهمی که اینجا وجود داره بهره برداری از درایوری با نام Spooler هستش که در خصوص ارتباط با Printer ها استفاده میشده و هکر بواسطه آسیب پذیری که در این درایور کشف کرده بوده میتونسته با دیوایس های PLC تعاملات مستقیم داشته باشه,
SRC
@Unk9vvN
#Vulnerability Discovery Level
اگر علاقمند هستید که بدانید مراتب کشف آسیب پذیری چیا هستند و در چه مرتبه ای قرار دارند به تصویر پست دقت کنید,
اولین قدم همواره تحلیل ایستا هستش که بواسطه مهندسی معکوس میتوان انجام داد و تا حدی امکان کشف آسیب پذیری رو به محقق خواهد داد اما بسیار دشوار میباشد,
مورد بعدی بحث Fuzzing هستش که بواسطه نرم افزار های نوشته شده و تکنیک های مورد استفاده در این نرم افزارها پیلودهایی از Type های مختلفی از آسیب پذیری ها را ساخته و با روش منطقی مشخص به ورودی های برنامه ارسال میکند تا نشان هایی از وجود آسیب پذیری را مشاهده کند,
مورد بعدی تحلیل حملاتی است که بعد از کشف منطقه مورد ضعف انجام میشه, یعنی مرحله تصدیق و تعیین جزئیات آسیب پذیری خواهیم داشت و بررسی میکنیم
مورد بعد Asan هستش که بواسطه Map کردن بصورت Dynamic بروی منطقه Memory Shadow حافظه و تحلیل رفتار نرم افزار و اشاره گرها و توابع موجود در برنامه است, که اگر موردی تطبیق پیدا کند با Type های مختلف آسیب پذیری ها سریعا مشخص کرده و اعلام میدارد,
دو مورد آخر هم استفاده از تکنیک های Bypass در خصوص Mitigation های مختلف خواهد بود
@Unk9vvN
اگر علاقمند هستید که بدانید مراتب کشف آسیب پذیری چیا هستند و در چه مرتبه ای قرار دارند به تصویر پست دقت کنید,
اولین قدم همواره تحلیل ایستا هستش که بواسطه مهندسی معکوس میتوان انجام داد و تا حدی امکان کشف آسیب پذیری رو به محقق خواهد داد اما بسیار دشوار میباشد,
مورد بعدی بحث Fuzzing هستش که بواسطه نرم افزار های نوشته شده و تکنیک های مورد استفاده در این نرم افزارها پیلودهایی از Type های مختلفی از آسیب پذیری ها را ساخته و با روش منطقی مشخص به ورودی های برنامه ارسال میکند تا نشان هایی از وجود آسیب پذیری را مشاهده کند,
مورد بعدی تحلیل حملاتی است که بعد از کشف منطقه مورد ضعف انجام میشه, یعنی مرحله تصدیق و تعیین جزئیات آسیب پذیری خواهیم داشت و بررسی میکنیم
مورد بعد Asan هستش که بواسطه Map کردن بصورت Dynamic بروی منطقه Memory Shadow حافظه و تحلیل رفتار نرم افزار و اشاره گرها و توابع موجود در برنامه است, که اگر موردی تطبیق پیدا کند با Type های مختلف آسیب پذیری ها سریعا مشخص کرده و اعلام میدارد,
دو مورد آخر هم استفاده از تکنیک های Bypass در خصوص Mitigation های مختلف خواهد بود
@Unk9vvN
#Embedded #jscode #Dropper
مکانیزم های متعددی در خصوص محافظت از Endpoint ها وجود دارند که بر بستر شبکه مانیتورینگ انجام میدن و یا بصورت IDS/IPS داده کاوی انجام داده و سعی بر تطبیق signature های خود با کد های malicious دارند
اما در این میان مکانیزم هایی که بر بستر خود سرویس ها کار میکنند از ویژگی خاص تری برخوردار هستند برای مثال sandbox ها رو میتواند یاد کرد که بر پایه خود مرورگر فعال هستند و اگر رفتار خطرناکی را شاهد باشند بصورت کاملا کنترل شده process ایجاد شده را kill میکنند
این یک عامل چالشی در راستای حملات وب پایه هستش, که هکر میکوشد با استفاده از فایل فرمت هایی که امکان ارتباط با COM Object های سیستمی را دارد process مربوط به Remote Access Trojan را ایجاد کرده و اولین مرحله آلوده سازی سیستم قربانی را انجام دهد
در این میان همواره ارسال مستقیم RAT بر روی سیستم قربانی کاریست بس تابلو! چرا که بواسطه Sandbox ها سریعا رصد شده و اخطارهای لازمه تولید میشود, در این میان زبان های تحت وب و سمت کاربر همواره گزینه مناسبی برای آغاز یک حمله و قدم اول است, چرا که هم بواسطه sandbox ها خیلی مورد تهدید نیستند
@Unk9vvN
مکانیزم های متعددی در خصوص محافظت از Endpoint ها وجود دارند که بر بستر شبکه مانیتورینگ انجام میدن و یا بصورت IDS/IPS داده کاوی انجام داده و سعی بر تطبیق signature های خود با کد های malicious دارند
اما در این میان مکانیزم هایی که بر بستر خود سرویس ها کار میکنند از ویژگی خاص تری برخوردار هستند برای مثال sandbox ها رو میتواند یاد کرد که بر پایه خود مرورگر فعال هستند و اگر رفتار خطرناکی را شاهد باشند بصورت کاملا کنترل شده process ایجاد شده را kill میکنند
این یک عامل چالشی در راستای حملات وب پایه هستش, که هکر میکوشد با استفاده از فایل فرمت هایی که امکان ارتباط با COM Object های سیستمی را دارد process مربوط به Remote Access Trojan را ایجاد کرده و اولین مرحله آلوده سازی سیستم قربانی را انجام دهد
در این میان همواره ارسال مستقیم RAT بر روی سیستم قربانی کاریست بس تابلو! چرا که بواسطه Sandbox ها سریعا رصد شده و اخطارهای لازمه تولید میشود, در این میان زبان های تحت وب و سمت کاربر همواره گزینه مناسبی برای آغاز یک حمله و قدم اول است, چرا که هم بواسطه sandbox ها خیلی مورد تهدید نیستند
@Unk9vvN