#Obfuscation (#RAR with #JPG ext) #RedTeam
یکی از روش هایی که همواره در عملیات های تیم قرمز در سالهای آتی مورد توجه بود تکنیک استفاده از Extension Spoofing بواسطه کاراکتر Letf-to-Right و همچنین استفاده از فایل فرمت SFX که مبتنی بر نرم افزار WinRAR به نوعی عملیات Section Compression رو در فایل فرمت خودش انجام میداد و به روش Stub Decompression مقادیر کمپر شده خودش رو آزاد میکرد، و در کنار این آزاد کردن مواردی رو هم خودش اجرا میکرد مانند: run as administrator یا Extract کردن داده های کمپرس شده در آدرس مشخص شده و همچنین اجرای اون فایل ها...

اما در سال 2018 که تیم تحقیقاتی Unk9vvN دمویی از این تکنیک رو نمایی کرد، همزمان با این رو نمایی یک APT 39 منتسب به ایران هم رخ داد که از همین تکنیک فوق استفاده شده بود، همچنین این تکنیک همونطور که در تصویر دوم مشاهده میشه آن زمان پتانسیل دور زدن EDR و NIDS و AV ها رو داشته و کاملا عملیاتی بوده، البته امروز دیگر این تکنیک لو رفته و کار آمد نیست، برای مشاهده بخشی از این تکنیک میتونید به دمو تولید شده در سال 2019 مراجعه نمایید...

@Unk9vvN
#DTS #Solution
در تصاویر پست راهکارهای امنیتی یکی از شرکت های خارجی رو مشاهده میکنید که در پنج مرحله آرایش راهکار امنیتی خودش رو تشریح کرده،

اولین مورد Cyber Strategy هستش که مشخص میشه مبتنی بر نیازمندی های یک سازمان و مجموعه چه نوعی از استراتژی رو میبایست شرکت امنیتی در نظر بگیره، معمولا در این مورد متغیر های زیادی وجود نداره.

دومین مورد Cyber Secure هستش که اشاره میشه به سه دسته Red Team که خدمات تهاجمی رو پیاده سازی میکند، دوم Blue Team که خدمات تدافعی رو پشتیبانی خواهد کرد و سوم White Team که نقش مشاوره ای دارد، در تصویر مشخصه که هر کدام چه نقش ها و موضوعاتی رو شامل میشن و این حلقه با هم یک ساختار ایمن رو برقرار خواهند کرد،

اما در مرحله Defense in Depth میبینیم که 8 بخش مطرحه که در لایه ها و Scope های مختلف محصولات و سرویس های دفاعی و خدمات، طرح ریزی شده و در کنار هم زنجره امنیت دفاعی رو پوشش خواهند داد، بدلیل محدودیت نوشتاری در پست های تلگرام از توضیح تک به تک صرف نظر میکنم،

اما در مورد قسمت Cyber Kill Chain آرایش دفاعی در مقابل APT رو هم تشریح کرده است.

https://www.dts-solution.com/
@Unk9vvN
#Atomic #Threat #Coverage
ابزار Atomic Threat Coverage یک ابزار در راستای اجرای اتوماتیک رفتار های تهدید آمیز مبتنی بر MITRE ATT&CK که میتواند سیستم عامل را تحت تاثیر قرار دهد و همزمان با این شبیه سازی که برپایه ابزار Atomic Red Team انجام میشود،

بحث شناسایی و تشخیص تکنیک های شبیه سازی شده هم مبتنی بر ابزار Sigma که یک سیستم Signature Based هستش پیاده سازی میشود،

این ابزار به نوعی میتوان گفت به عنوان یک Purple Teaming عمل کرده و وظایف یک Red Teamer و یک Blue Teamer رو بصورت همزمان و مبتنی بر ابزار های متن باز پیاده سازی و عملیاتی میکند،

از ابزار atc-react در راستای Incident Response یا پاسخ به حادثه استفاده میکند و با استفاده از Visualisations یک داشبورد Threat Hunting رو برای ما به نمایش خواهد گذاشت.

https://github.com/atc-project/atomic-threat-coverage
@Unk9vvN
#China #Research #Vulnerabilites
یکی از پایگاه های قوی تحقیقات پیشرفته آسیب پذیری های حوزه امنیت تهاجمی، وبسایت exp-blog.com که مرتبط با Computer Emergency Readiness Team کشور چین که با دامنه cert.360.cn فعال است.

همچنین این وبسایت exp-blog.com یک مخزن به اشتراک گزاری آسیب پذیری های عمومی شده دارند که در راستای سیاست های Cyber Threat Intelligence تعریف میشود، که در گیت هاب این وبسایت قابل دسترس هستش.

این مرجع برای متخصصین امنیت دفاعی میتونه یک منبع بررسی Signature آسیب پذیری های باینری و تحت وب باشه...

https://github.com/lyy289065406/threat-broadcast
@Unk9vvN
#SQLi in #Wordpress Core #CVE-2022-21661
هجده ساعت پیش یک آسیب پذیری SQL Injection یا تزریق کد SQL، برای هسته سیستم مدیریت محتوای Wordpress عمومی شد که در نسخه 5.8.2 قابلیت بهره برداری داشته و در نسخه جدید یعنی 5.8.3 وصله یا اصطلاحا Patch شده.

آسیب پذیری از اونجایی منشا میگیره که تابع clean_queryget_sql_for_clause زمانی که میخواد یک Append در خصوص ورودی Query خود انجام دهد، یکبار مقدار terms خود را به تابع clean_query پاس میدهد که وظیفه این تابع تصدیق میشود که مقدار terms در term_taxonomy_id قرار دارد یا خیر،

در ادامه مقدار پارامتر field در شرطی مقایسه میشه با مقدار متغییر resulting_field$ که اینجا شرط مربوطه آسیب پذیر هستش به Type Juggling که یک آسیب پذیری مبنی بر دور زدن نتیجه یک شرط است،

اما در ادامه مقدار پارامتر terms بصورت آرایه خوانده و در آرایه

$query['terms']

پارس داده میشود که عملا تزریق کد SQL در همینجا و در اثر نبود فیلترینگ صحیح ورودی پارامتر، رخ خواهد داد.

https://wordpress.org/news/2022/01/wordpress-5-8-3-security-release/
@Unk9vvN
#Pegasus #Spyware #Android #Technical_Analysis
در این مقاله قصد داریم که تحلیل تکنیکال جاسوس افزار پگاسوس (Pegasus) که منتصب به شرکت NSO Group است را با هم داشته باشیم و ببینیم این جاسوس افزار نحوه عملکردش به چه صورت بوده و آسیب پذیری های باینری مورد استفاده آن چه مواردی بوده اند، همچنین تشریح فنی رفتار تاکتیکی و تکنیکی ( Tactics, Techniques and Procedures ) جاسوس افزار هم قدم به قدم مورد بررسی قرار خواهیم داد.

معرفی شرکت NSO
شرکت NSO یک شرکت اسرائیلی بوده است که بنیانگذاران آن Omri Lavie و Shalev Hulio هستند، شرکت NSO واقع در Herzliya در مناطق شمالی تل...

⚠️ ادامه مطلب در لینک زیر

unk9vvn.com/2021/08/technical-analysis-of-pegasus-spyware-part-1/

@Unk9vvN
#SOAR Platform
امروزه در دنیا بسیاری از شرکت های فعال در حوزه امنیت فضای سایبر، سعی بر ارائه محصولاتی هستند که خدمات تکنیکال را بصورت هوشمند و مبتنی بر محصولات نرم افزاری اعمال سازند، این موضوع در آینده فضای سایبر چشم گیر تر شده و چه در خدمات تهاجمی و چه در خدمات تدافعی، ما شاهد محصولات تماما اتوماتیک خواهیم بود.

برای مثال خدمات تست نفوذ دیگر مبتنی بر تخصص کارشناس ارائه نمیشود و بواسطه یک سامانه هوشمند با کیفیت و دقت بسیار بالا ارائه میشود، چیزی فراتر از اسکنر. اما در خصوص خدمات دفاعی هم امروزه پلتفرم های بسیاری که اصطلاحا به آنها SOAR گفته میشود طراحی شده تا فرایند رفتار شناسی، مانیتورینگ، کشف و گزارش رخداد حادثه را تماما مبتنی بر هوش مصنوعی انجام دهد.

اما امکان SOAR: تشخیص رفتارهای مخرب چند مرحله ای (Multi Stage)، امکان کنترل ورودی های COM و DCOM سیستم عامل بواسطه مکانیزم هایی مانند ETW، امکان دریافت اطلاعات از سنسور های مبتنی بر Midpoint برای MDR ها، امکان استفاده از IoC های منتشر شده از CTI شرکت های دیگر و نهایتا امکان مانیتور کردن پردازش ها با ریز جزئیات.

@Unk9vvN
#FBI #Notification Iranian Cyber Group Emennet #Pasargad
در تاریخ 2022/01/26 پلیس FBI گزارشی رو مبنی بر اطلاع رسانی از تیم سایبری با نام Emennet Pasargad منتشر کرده که در این گزارش اشاراتی به تحرکات سایبری این تیم میندازه،

اولین موضوعی که مطرح میکنه اینه که این تیم از سرویس VPN برای مبهم سازی سر منشا ارتباطات خود استفاده میکنه و نام این سرویس دهنده های عمومی هم برده شده در تصویر شماره 2 مشخص هستش،

مورد بعدی این تیم گفته شده بسیار روی سایت های خبری آمریکا و محصولات نرم افزاری گسترده فعالیت پایش انجام میداده و بواسطه ابزار های اسکن مجانی و تجاری سعی بر کشف آسیب پذیری های پچ نشده و اختصاصی کرده است، برنامه های نرم افزاری مورد تحقیق هم نام برده که برای مثال به Wordpress اشاره شده است.

اما نکته بعدی اسامی ابزار های پایشگر مورد استفاده این تیم بوده که به Netsparker و WPScan و موارد دیگر هم در تصویر 3 اشاره شده است، در انتها هم اشاره شده به هویت دو تن از این افراد که از بازه سنی 24 تا 28 برخوردار هستند.

@Unk9vvN
#NSO_Group #Pegasus #iOS
جاسوس افزار پگاسوس که مختص سیستم عامل های Android و iOS است، به گزارش رویترز و به نقل از یک منبع ناشناس مورد استفاده آژانس اطلاعات مرکزی (سیا) هم بوده و موجب حملات به گوشی های iPhone شده است.

این جاسوس افزار در طی سال های گذشته چندین بار ، با استفاده از آسیب پذیری های متعدد، مورد استفاده قرار گرفته و تیم طراح آن قصد انحلال این پروژه را ندارند.

در قسمت دوم مقاله تحلیل تکنیکال جاسوس افزار پگاسوس، تمامی ابعاد فنی آن برای سیستم عامل iOS و آسیب پذیری هایی که استفاده شده است را تشریح خواهیم کرد.

https://thehackernews.com/2022/02/another-israeli-firm-quadream-caught.html
@Unk9vvN
#Iranian #APT #MuddyWater Target #Turkish
اخیرا تیم MuddyWater که منتصب به دستگاه نظارتی ایران است، اقدام به هدف قرار دادن کاربران ترکیه کرده است، این نفوذ مبتنی بر فایل فرمت PDF بوده که قربانیان رو مجاب به کلیک بر پیام مهندسی اجتماعی خود میکنه، و اینطور اولین مرحله زنجیره حمله رخ میده،

در اولین قدم بعد از کلیک بر گزینه دانلود، ارتباط با یک سرور اشتراک گذاری فایل، فایل هایی با فرمت XLS که از خانواده Excel هستند دریافت میشه این فایل ها دارای محتواهایی به زبان ترکی است که شبیه سازی اسناد مشروع وزارتخانه بهداشت است.

در قدم بعدی مایکروهایی که در XLS قرار داده شده به اجرا در آمده و کلید Reg برای ماندگاری در سیستم تنظیم میگردد و بعد از آن یک درخواست به canarytokens.com زده میشود بواسطه توکن از قبل تعریف شده ای Stage های بعدی زنجیره حمله دانلود میشود که فایل های مبهم سازی شده پاورشل پایه هستند.

اما در ادامه فایل VBS دانلود شده مامور اجرای فایل PS1 شده که خود فایل PS1 اقدام به دانلود دیگری که پیلود اصلی است خواهد کرد و بعد از دانلود آنرا اجرا میکند.

Reference
@Unk9vvN