#Microsoft #Exchange #Vulnerabilites
اخیرا یک ارائه ای از محققی با نام Orange Tsai در کنفرانس Blackhat 2021 منتشر شده که آسیب پذیری ProxyLogon و Proxyshell و ProxyOracle رو معرفی میکنه
از اونجا که سرویس دهنده Exchange در سازمان های دولتی بسیار زیاد استفاده میشه این آسیب پذیری ها میتونن مهم باشن، در تصویر 0 ساختمان ارتباط FrontEnd با BackEnd این سرویس دهنده دیده میشه که یک ماژول درونی به نام HTTP Proxy Module مامور انتقال درخواست ها به BackEnd سرویس هستش
در تصویر 1 فرایند تکامل سرویس ها را میبینید که در نسخه های 2016/2019 ماژولی با نام Client Access Service اضافه شده که در تصویر 2 فرایند ارتباط این CAS با BackEnd مشخصه، و نشون میده که Request ها قراره HTTP Proxy بشه به BackEnd
در تصویر ۳ فرایند این Proxying درخواست هارو مشاهده میکنید که خب از Header و Cookie ها کپی گرفته میشه و در قسمت Proxy Section فرایند Authenticate و Authotize درخواست اتفاق می افته
در تصویر 4 آسیب پذیری SSRF رو میبینیم که بر روی یکی از هدر های تنظیم شده CAS وجود داره و همین موجب اولین قدم رخداد حمله خواهد بود.
@Unk9vvN
اخیرا یک ارائه ای از محققی با نام Orange Tsai در کنفرانس Blackhat 2021 منتشر شده که آسیب پذیری ProxyLogon و Proxyshell و ProxyOracle رو معرفی میکنه
از اونجا که سرویس دهنده Exchange در سازمان های دولتی بسیار زیاد استفاده میشه این آسیب پذیری ها میتونن مهم باشن، در تصویر 0 ساختمان ارتباط FrontEnd با BackEnd این سرویس دهنده دیده میشه که یک ماژول درونی به نام HTTP Proxy Module مامور انتقال درخواست ها به BackEnd سرویس هستش
در تصویر 1 فرایند تکامل سرویس ها را میبینید که در نسخه های 2016/2019 ماژولی با نام Client Access Service اضافه شده که در تصویر 2 فرایند ارتباط این CAS با BackEnd مشخصه، و نشون میده که Request ها قراره HTTP Proxy بشه به BackEnd
در تصویر ۳ فرایند این Proxying درخواست هارو مشاهده میکنید که خب از Header و Cookie ها کپی گرفته میشه و در قسمت Proxy Section فرایند Authenticate و Authotize درخواست اتفاق می افته
در تصویر 4 آسیب پذیری SSRF رو میبینیم که بر روی یکی از هدر های تنظیم شده CAS وجود داره و همین موجب اولین قدم رخداد حمله خواهد بود.
@Unk9vvN
#Social_Engineering #Iranian #APTs
تا الان صحبت از تکنیک های فنی تیم های ایرانی در حملات APT زیاد مطرح کردیم، اما راجب بخش اول این حملات یعنی مهندسی اجتماعی این حملات خیلی نپرداختیم.
در تصویر دوم اشاره شده که ایران دوبار حمله به برخی ارگان های اسرائیل کرده که شناسایی هم شده،
در تصویر سوم اشاره شده که اول قربانی که یک کارمند بوده در سازمان هدف، شناسایی شده و دپارتمان مربوطه مورد توجه قرار گرفته (شناسایی میدانی شده) و به همین منظور یک وبسایت Phishing برای دپارتمان این کارمند ساخته شده است.
اما تصویر ابزارهایی که استفاده شده هم دیده میشه که چون مهندسی اجتماعی مبتنی بر فایل فرمت Excel هستش و یک Macro مبهم سازی درش درج شده، به محض اجرای فایل اولین Stage حمله راه اندازی خواهد شد،
اما راجب تصاویر بعدی صحبتی نمیکنیم چون مشخصه و قبلا بهش پرداخته شده، اما به این نکته توجه کنید که اولا حمله مبتنی بر Excel بوده دوما بصورت هدفمند در معرض قربانی قرار گرفته، این نوع از شناسایی های میدانی برای تیم های دولتی امکان پذیره و نه هر تیم دیگری و این یک فاکتور تعیین کننده ای است.
Reference
@Unk9vvN
تا الان صحبت از تکنیک های فنی تیم های ایرانی در حملات APT زیاد مطرح کردیم، اما راجب بخش اول این حملات یعنی مهندسی اجتماعی این حملات خیلی نپرداختیم.
در تصویر دوم اشاره شده که ایران دوبار حمله به برخی ارگان های اسرائیل کرده که شناسایی هم شده،
در تصویر سوم اشاره شده که اول قربانی که یک کارمند بوده در سازمان هدف، شناسایی شده و دپارتمان مربوطه مورد توجه قرار گرفته (شناسایی میدانی شده) و به همین منظور یک وبسایت Phishing برای دپارتمان این کارمند ساخته شده است.
اما تصویر ابزارهایی که استفاده شده هم دیده میشه که چون مهندسی اجتماعی مبتنی بر فایل فرمت Excel هستش و یک Macro مبهم سازی درش درج شده، به محض اجرای فایل اولین Stage حمله راه اندازی خواهد شد،
اما راجب تصاویر بعدی صحبتی نمیکنیم چون مشخصه و قبلا بهش پرداخته شده، اما به این نکته توجه کنید که اولا حمله مبتنی بر Excel بوده دوما بصورت هدفمند در معرض قربانی قرار گرفته، این نوع از شناسایی های میدانی برای تیم های دولتی امکان پذیره و نه هر تیم دیگری و این یک فاکتور تعیین کننده ای است.
Reference
@Unk9vvN
#Cyber #Threat #Intelligence
ساختار صحیح اطلاعات تهدیدات همواره مولفه های زیاده داره, از مدیریت آسیب پذیری ها و پیکربندی صحیح سرویس ها تحت نظر خواهد بود تا پایگاه لاگ ها و سرویس های تصدیق کننده داده ها,
در نتیجه اگر پازل صحیح مکانیزم های دفاعی کامل نباشه همواره میتونه موجب ضعف در شناسایی و جمع آوری تهدیدات در لحظه و گذشته بشه, از این روی استراتژی های خدمات های دفاعی همواره می بایست با بالاترین نگرش های علمی پیاده سازی بشه و از خلأ های جاری جلوگیری کنه,
یکی از خلأ های همواره موجود , نبود تیم های سطح بالای قرمز هستش, که بصورت فعال با بالاترین استاندارها بتونه عملکرد های بخش های دیگه رو به چالش بکشه, این امر در تقویت همبستگی مرکز کنترل امنیت بسیار مؤثر خواهد بود...
https://www.crowdstrike.com/epp-101/threat-intelligence/
https://www.dni.gov/files/ODNI/documents/National_Intelligence_Strategy_2019.pdf
https://www.nsa.gov/portals/75/documents/what-we-do/cybersecurity/professional-resources/ctr-nsa-css-technical-cyber-threat-framework.pdf
@Unk9vvN
ساختار صحیح اطلاعات تهدیدات همواره مولفه های زیاده داره, از مدیریت آسیب پذیری ها و پیکربندی صحیح سرویس ها تحت نظر خواهد بود تا پایگاه لاگ ها و سرویس های تصدیق کننده داده ها,
در نتیجه اگر پازل صحیح مکانیزم های دفاعی کامل نباشه همواره میتونه موجب ضعف در شناسایی و جمع آوری تهدیدات در لحظه و گذشته بشه, از این روی استراتژی های خدمات های دفاعی همواره می بایست با بالاترین نگرش های علمی پیاده سازی بشه و از خلأ های جاری جلوگیری کنه,
یکی از خلأ های همواره موجود , نبود تیم های سطح بالای قرمز هستش, که بصورت فعال با بالاترین استاندارها بتونه عملکرد های بخش های دیگه رو به چالش بکشه, این امر در تقویت همبستگی مرکز کنترل امنیت بسیار مؤثر خواهد بود...
https://www.crowdstrike.com/epp-101/threat-intelligence/
https://www.dni.gov/files/ODNI/documents/National_Intelligence_Strategy_2019.pdf
https://www.nsa.gov/portals/75/documents/what-we-do/cybersecurity/professional-resources/ctr-nsa-css-technical-cyber-threat-framework.pdf
@Unk9vvN
#Office #Macro #Malware #APTs
بسیاری از حملات سطح پیشرفته رخداده مبتنی بر Macro هایی بوده است که بصورت یک Dropper یا به عنوان یک Downloader عمل کرده و Stage های مختلف یک بد افزار رو به سیستم قربانی انتقال داده است،
اما در سالهای اخیر از پتانسیل زبان VBA به جهت دستکاری یک Process یا تزریق یک Shellcode و یا خاموش کردن مکانیزم های شناسایی کننده استفاده شده، برای مثال در این پست یک نمونه از دستکاری سطح سیستم عامل رو شاهد هستیم که میتواند مکانیزم AMSI که یک مکانیزم AV هستش رو دور زده و کد مخرب خود رو بصورت مستقیم به اجرا در بیاره!
اما جدای از این سبک استفاده از توابع سیستم عامل ویندوز، روش های دیگری در بحث مبهم سازی استفاده میشه که میتونه بواسطه ActiveX Object ها پلن بعدی حمله رو بصورت ناشناس به اجرا در بیاره،
به هر روی استفاده از Macro های خانواده Office فرصت خوبیه که سناریو های مهندسی اجتماعی قوی ای رو پیاده و عملیات تیم قرمز رو با موفقیت به سر انجام رسوند...
@Unk9vvN
بسیاری از حملات سطح پیشرفته رخداده مبتنی بر Macro هایی بوده است که بصورت یک Dropper یا به عنوان یک Downloader عمل کرده و Stage های مختلف یک بد افزار رو به سیستم قربانی انتقال داده است،
اما در سالهای اخیر از پتانسیل زبان VBA به جهت دستکاری یک Process یا تزریق یک Shellcode و یا خاموش کردن مکانیزم های شناسایی کننده استفاده شده، برای مثال در این پست یک نمونه از دستکاری سطح سیستم عامل رو شاهد هستیم که میتواند مکانیزم AMSI که یک مکانیزم AV هستش رو دور زده و کد مخرب خود رو بصورت مستقیم به اجرا در بیاره!
اما جدای از این سبک استفاده از توابع سیستم عامل ویندوز، روش های دیگری در بحث مبهم سازی استفاده میشه که میتونه بواسطه ActiveX Object ها پلن بعدی حمله رو بصورت ناشناس به اجرا در بیاره،
به هر روی استفاده از Macro های خانواده Office فرصت خوبیه که سناریو های مهندسی اجتماعی قوی ای رو پیاده و عملیات تیم قرمز رو با موفقیت به سر انجام رسوند...
@Unk9vvN
#Use_After_Free #Linux
در تصویر یک مثال ساده از نحوه رخداد این آسیب پذیری رو به نمایش گذاشتیم و همونطور که مشخصه بواسطه یک struct با نام
اما در تابع اصلی یعنی
اما در ادامه شیُ مربوطه یعنی
این شیُ بواسطه تابع
@Unk9vvN
در تصویر یک مثال ساده از نحوه رخداد این آسیب پذیری رو به نمایش گذاشتیم و همونطور که مشخصه بواسطه یک struct با نام
UAFME یک تابع درونش بصورت void تعریف شده که از نوع اشاره گر هستش اما در ادامه دو تابع دیگه رو داریم با نام های ()good و ()bad که یک تابع ()print درون هر کدوم تعریف شده و یک string رو قراره چاپ بکنهاما در تابع اصلی یعنی
()main میبینیم که همون اول کار از ساختمان UAFME یک شیُ ساخته میشه که بصورت اشاره گر بوده و حافظه رو بواسطه تابع ()malloc رزرو کرده با اندازه ساختمان UAFME اما در ادامه شیُ مربوطه یعنی
malloc1* اشاره داره به تابع درون ساختمان یعنی vulnfunc که مقدار تابع good بهش پاس داده شده، در ادامه تابع ()vulnfunc فراخوانی میشه، اینجا با این تابع که در حافظه Heap هستش تماس برقرار میشهاین شیُ بواسطه تابع
()free آزاد شده است، اما در ادامه متغییر دومی که بصورت اشاره گر با نام malloc2* تعریف شده که مقدار 0 رو داره و در ادامه تابع bad بهش پاس داده شده، اینجا چون اندازه اشاره گر مربوطه به اندازه متغییر malloc2 هستش، به همون قسمت قبل در حافظه ارجاع داده شده.@Unk9vvN
#Java #Insecure_Deserialization
آسیب پذیری Deserialize نا امن، یکی از اون آسیب پذیری های خطرناکی هستش که مهاجم رو مستقیما میتونه تا مرحله RCE یا اجرای کد ببره.
اگر معماری اجازه بده به جای اشیاء سریالی، از فرمت های دیگه میشه استفاده کرد، چرا که استفاده از مقادیر سریالی میتونه خطر آفرین باشه، این فرمت ها نباید به اشیاء پیچیده تبدیل شوند، زیرا فرصت های بیشتری برای حمله فراهم می کند.
برای مثال، حملات Deserialization مبتنی بر XML از طریق کتابخانه هایی مانند XStream و XmlDecoder امکان پذیره. از طرف دیگر، یک لیست سفید کاملاً کنترل شده می تواند آسیب پذیری کد را محدود کند، اما از وجود ابزارهای به اصطلاح Bypass هم نمیشود غافل شد، که میشه با طراحی Gadget مربوطه چنین اقدامات حفاظتی رو دور زد.
@Unk9vvN
آسیب پذیری Deserialize نا امن، یکی از اون آسیب پذیری های خطرناکی هستش که مهاجم رو مستقیما میتونه تا مرحله RCE یا اجرای کد ببره.
اگر معماری اجازه بده به جای اشیاء سریالی، از فرمت های دیگه میشه استفاده کرد، چرا که استفاده از مقادیر سریالی میتونه خطر آفرین باشه، این فرمت ها نباید به اشیاء پیچیده تبدیل شوند، زیرا فرصت های بیشتری برای حمله فراهم می کند.
برای مثال، حملات Deserialization مبتنی بر XML از طریق کتابخانه هایی مانند XStream و XmlDecoder امکان پذیره. از طرف دیگر، یک لیست سفید کاملاً کنترل شده می تواند آسیب پذیری کد را محدود کند، اما از وجود ابزارهای به اصطلاح Bypass هم نمیشود غافل شد، که میشه با طراحی Gadget مربوطه چنین اقدامات حفاظتی رو دور زد.
@Unk9vvN
#Google_Translate Secret Messages
are you watching me
به من سلام کن
https://translate.google.com/?sl=en&tl=fa&text=ar%20ey%20ou%20wa%20tc%20hi%20ng%20me&op=translate
@Unk9vvN
are you watching me
به من سلام کن
https://translate.google.com/?sl=en&tl=fa&text=ar%20ey%20ou%20wa%20tc%20hi%20ng%20me&op=translate
@Unk9vvN
#ClearSky Cyber Security Researchers
چند ماهی است شاهد درگیری های سایبری بین ایران و کشور جعلی اسرائیل هستیم که خب تیم های تهاجمی ایرانی کنش های مناسبی رو نشون دادند،
از این روی شرکت معروف ClearSky که یک شرکت وابسته به دستگاه های جاسوسی کشور جعلی اسرائیل است، از این حملات بی نصیب نمانده و هویت محققین و برخی تحقیقات این شرکت هم لو رفته است،
این سطح از حملات حاکی از این داره که تیم های تهاجمی ایران در بحث عملیات های APT از تکنیک های سطح پیشرفته ای در بحث Initial Access استفاده میکنند، از طرفی هنوز گزارش های جرم شناسی دقیقی از این حملات منتشر نشده که این هم نشان دهنده قدرت فنی ایران در بحث Defense Evasion داره
امیدواریم مباحث اجتماعی و زیرساختی حوزه سایبری هم در کشور بقدر دستگاه های نظارتی بهش بها داده بشه و از پتانسیل های مردمی برای بُعد تحقیقات تهاجمی و دفاعی استفاده کافی و وافی صورت بگیره...
@Unk9vvN
چند ماهی است شاهد درگیری های سایبری بین ایران و کشور جعلی اسرائیل هستیم که خب تیم های تهاجمی ایرانی کنش های مناسبی رو نشون دادند،
از این روی شرکت معروف ClearSky که یک شرکت وابسته به دستگاه های جاسوسی کشور جعلی اسرائیل است، از این حملات بی نصیب نمانده و هویت محققین و برخی تحقیقات این شرکت هم لو رفته است،
این سطح از حملات حاکی از این داره که تیم های تهاجمی ایران در بحث عملیات های APT از تکنیک های سطح پیشرفته ای در بحث Initial Access استفاده میکنند، از طرفی هنوز گزارش های جرم شناسی دقیقی از این حملات منتشر نشده که این هم نشان دهنده قدرت فنی ایران در بحث Defense Evasion داره
امیدواریم مباحث اجتماعی و زیرساختی حوزه سایبری هم در کشور بقدر دستگاه های نظارتی بهش بها داده بشه و از پتانسیل های مردمی برای بُعد تحقیقات تهاجمی و دفاعی استفاده کافی و وافی صورت بگیره...
@Unk9vvN
#Reverse Engineering #Android #Tools
در بحث تحلیل بد افزار های Android یکی از عواملی که همواره میتونه در این بحث کمک کننده باشه، استفاده از ابزارهای مناسب خواهد بود،
ابزار
Dexcalibur -> Unpacking - De-obfuscate - Specific Hook
ابزار
House -> Network Monitoring - De-obfuscate - Specific Hook
مورد بعدی
MobSF -> General API Monitoring - Bypass Debugger / rooting detection - Static analysis
و مورد آخر ابزار
Quark -> Static analysis
@Unk9vvN
در بحث تحلیل بد افزار های Android یکی از عواملی که همواره میتونه در این بحث کمک کننده باشه، استفاده از ابزارهای مناسب خواهد بود،
ابزار
Dexcalibur که برای Unpacking و ساده سازی مبهم سازی ها و ایجاد Hook استفاده میشود.Dexcalibur -> Unpacking - De-obfuscate - Specific Hook
ابزار
Hourse که برای شناسایی ارتباطات و فایل ها و اشتراکات در شبکه میتواند استفاده شود و همچنین ساده سازی مبهم بازی های مورد استفاده بد افزارها.House -> Network Monitoring - De-obfuscate - Specific Hook
مورد بعدی
MobSF هستش که در امر شناسایی توابع General API Monitoring هستش و دور زدن مکانیزم های تشخیص Debug .و root بودن خواهد بود.MobSF -> General API Monitoring - Bypass Debugger / rooting detection - Static analysis
و مورد آخر ابزار
Quark هستش که بصورت اختصاصی میتونه Static analysis برای ما انجام بده.Quark -> Static analysis
@Unk9vvN
#Exploit Public-Facing Application
به لطف تحقیقات عمومی شده محقق معروف یعنی Orange Tsai کشور ما در عرصه حملات سایبری توانسته خودنمایی خوبی از خود نشان بدهد
موضوعی که دلیل وجودی کنفرانس ها و حمایت های تحقیقاتی که در همه جای دنیا شرکت های خصوصی و دستگاه های حاکمیتی در بحث علوم امنیت سایبر انجام میدهند، منظور دقیق تر این است که زمانی که شما پتانسیل تحقیقاتی کشور رو فعال نکنید همواره نیروی انسانی رو راهی کشور های خارجی کرده و یک قدم حتی در حوزه حملات سایبری از دنیا عقب خواهید بود
اما در خصوص حملات اخیر ایران: گفته شده از ابزار SharpWMI که مبتنی بر زبان #C و با استفاده از Functionality های WMI کار میکند مورد استفاده بوده و در بحث ایجاد Persistence از تکنیک T1053.005 که مبتنی بر XML است بهره گرفته شده
از دیگر موارد میتوان به اهداف حمله در پلن Impact اشاره کرد که رویکرد ایران نصب باج افزاری با نام BlackMatter بوده که قرار به رمز کردن فایل های حساس رو داشته
مورد بعد استفاده از پروتکل FTP بصورت Over Alternative Protocol بر روی درگاه 443 بوده که سعی بر شناسایی نشدن بوده.
https://t.me/Unk9vvN/1997
@Unk9vvN
به لطف تحقیقات عمومی شده محقق معروف یعنی Orange Tsai کشور ما در عرصه حملات سایبری توانسته خودنمایی خوبی از خود نشان بدهد
موضوعی که دلیل وجودی کنفرانس ها و حمایت های تحقیقاتی که در همه جای دنیا شرکت های خصوصی و دستگاه های حاکمیتی در بحث علوم امنیت سایبر انجام میدهند، منظور دقیق تر این است که زمانی که شما پتانسیل تحقیقاتی کشور رو فعال نکنید همواره نیروی انسانی رو راهی کشور های خارجی کرده و یک قدم حتی در حوزه حملات سایبری از دنیا عقب خواهید بود
اما در خصوص حملات اخیر ایران: گفته شده از ابزار SharpWMI که مبتنی بر زبان #C و با استفاده از Functionality های WMI کار میکند مورد استفاده بوده و در بحث ایجاد Persistence از تکنیک T1053.005 که مبتنی بر XML است بهره گرفته شده
از دیگر موارد میتوان به اهداف حمله در پلن Impact اشاره کرد که رویکرد ایران نصب باج افزاری با نام BlackMatter بوده که قرار به رمز کردن فایل های حساس رو داشته
مورد بعد استفاده از پروتکل FTP بصورت Over Alternative Protocol بر روی درگاه 443 بوده که سعی بر شناسایی نشدن بوده.
https://t.me/Unk9vvN/1997
@Unk9vvN
#Powershortshell Stealer for #Iranian
در روزهای گذشته یک حمله به برخی ارگان های داخل کشور اتفاق افتاده مبتنی بر آسیب پذیری CVE-2021-40444 که یک آسیب پذیری از نوع فایل فرمت Word هستش و از قرار معلوم موفق هم بوده
مهاجمین طبق معمول با استفاده از Spear Phishing Mail شروع به پخش ایمیل جعلی کردند که یک فایل word بهش Attachment شده بود، و جالبه که با استفاده از Internal Recon سیستم عامل قربانی ها مامور بر گرفتن دسترسی از مخاطبان فارسی زبان گرفته، یعنی فقط ایرانی ها هدف قرار گرفتند
محتوای ایمیل مشخصه که محتوای تحریکات سیاسی داره، اما در مورد ابعاد فنی میبایست گفت که مراحل Initial مربوط به Exploit به این صورت بوده که اول یک document ساخته میشه یک Bitmap Image اضافه میشه بعد doc بسته شده و Unzip میشه و فایل document.xml.rels بهش یک دامنه و فایل External معرفی میشه
در ادامه فایل document.xml باید به OLEObject اضافه شده که مبتنی بر اون COM Object مربوط به DLL ها یعنی rundll32.exe فراخوان خواهد شد و جالبه که از cpl برای اجرای فرمت inf استفاده شده که یک جبر مربوط به خود آسیب پذیری بوده.
@Unk9vvN
در روزهای گذشته یک حمله به برخی ارگان های داخل کشور اتفاق افتاده مبتنی بر آسیب پذیری CVE-2021-40444 که یک آسیب پذیری از نوع فایل فرمت Word هستش و از قرار معلوم موفق هم بوده
مهاجمین طبق معمول با استفاده از Spear Phishing Mail شروع به پخش ایمیل جعلی کردند که یک فایل word بهش Attachment شده بود، و جالبه که با استفاده از Internal Recon سیستم عامل قربانی ها مامور بر گرفتن دسترسی از مخاطبان فارسی زبان گرفته، یعنی فقط ایرانی ها هدف قرار گرفتند
محتوای ایمیل مشخصه که محتوای تحریکات سیاسی داره، اما در مورد ابعاد فنی میبایست گفت که مراحل Initial مربوط به Exploit به این صورت بوده که اول یک document ساخته میشه یک Bitmap Image اضافه میشه بعد doc بسته شده و Unzip میشه و فایل document.xml.rels بهش یک دامنه و فایل External معرفی میشه
در ادامه فایل document.xml باید به OLEObject اضافه شده که مبتنی بر اون COM Object مربوط به DLL ها یعنی rundll32.exe فراخوان خواهد شد و جالبه که از cpl برای اجرای فرمت inf استفاده شده که یک جبر مربوط به خود آسیب پذیری بوده.
@Unk9vvN