#SQLi in #Wordpress Core #CVE-2022-21661
هجده ساعت پیش یک آسیب پذیری SQL Injection یا تزریق کد SQL، برای هسته سیستم مدیریت محتوای Wordpress عمومی شد که در نسخه 5.8.2 قابلیت بهره برداری داشته و در نسخه جدید یعنی 5.8.3 وصله یا اصطلاحا Patch شده.
آسیب پذیری از اونجایی منشا میگیره که تابع
در ادامه مقدار پارامتر
اما در ادامه مقدار پارامتر
https://wordpress.org/news/2022/01/wordpress-5-8-3-security-release/
@Unk9vvN
هجده ساعت پیش یک آسیب پذیری SQL Injection یا تزریق کد SQL، برای هسته سیستم مدیریت محتوای Wordpress عمومی شد که در نسخه 5.8.2 قابلیت بهره برداری داشته و در نسخه جدید یعنی 5.8.3 وصله یا اصطلاحا Patch شده.
آسیب پذیری از اونجایی منشا میگیره که تابع
clean_queryget_sql_for_clause زمانی که میخواد یک Append در خصوص ورودی Query خود انجام دهد، یکبار مقدار terms خود را به تابع clean_query پاس میدهد که وظیفه این تابع تصدیق میشود که مقدار terms در term_taxonomy_id قرار دارد یا خیر،در ادامه مقدار پارامتر
field در شرطی مقایسه میشه با مقدار متغییر resulting_field$ که اینجا شرط مربوطه آسیب پذیر هستش به Type Juggling که یک آسیب پذیری مبنی بر دور زدن نتیجه یک شرط است،اما در ادامه مقدار پارامتر
terms بصورت آرایه خوانده و در آرایه$query['terms']
پارس داده میشود که عملا تزریق کد SQL در همینجا و در اثر نبود فیلترینگ صحیح ورودی پارامتر، رخ خواهد داد.https://wordpress.org/news/2022/01/wordpress-5-8-3-security-release/
@Unk9vvN
#Pegasus #Spyware #Android #Technical_Analysis
در این مقاله قصد داریم که تحلیل تکنیکال جاسوس افزار پگاسوس (Pegasus) که منتصب به شرکت NSO Group است را با هم داشته باشیم و ببینیم این جاسوس افزار نحوه عملکردش به چه صورت بوده و آسیب پذیری های باینری مورد استفاده آن چه مواردی بوده اند، همچنین تشریح فنی رفتار تاکتیکی و تکنیکی ( Tactics, Techniques and Procedures ) جاسوس افزار هم قدم به قدم مورد بررسی قرار خواهیم داد.
معرفی شرکت NSO
شرکت NSO یک شرکت اسرائیلی بوده است که بنیانگذاران آن Omri Lavie و Shalev Hulio هستند، شرکت NSO واقع در Herzliya در مناطق شمالی تل...
⚠️ ادامه مطلب در لینک زیر
unk9vvn.com/2021/08/technical-analysis-of-pegasus-spyware-part-1/
@Unk9vvN
در این مقاله قصد داریم که تحلیل تکنیکال جاسوس افزار پگاسوس (Pegasus) که منتصب به شرکت NSO Group است را با هم داشته باشیم و ببینیم این جاسوس افزار نحوه عملکردش به چه صورت بوده و آسیب پذیری های باینری مورد استفاده آن چه مواردی بوده اند، همچنین تشریح فنی رفتار تاکتیکی و تکنیکی ( Tactics, Techniques and Procedures ) جاسوس افزار هم قدم به قدم مورد بررسی قرار خواهیم داد.
معرفی شرکت NSO
شرکت NSO یک شرکت اسرائیلی بوده است که بنیانگذاران آن Omri Lavie و Shalev Hulio هستند، شرکت NSO واقع در Herzliya در مناطق شمالی تل...
⚠️ ادامه مطلب در لینک زیر
unk9vvn.com/2021/08/technical-analysis-of-pegasus-spyware-part-1/
@Unk9vvN
#SOAR Platform
امروزه در دنیا بسیاری از شرکت های فعال در حوزه امنیت فضای سایبر، سعی بر ارائه محصولاتی هستند که خدمات تکنیکال را بصورت هوشمند و مبتنی بر محصولات نرم افزاری اعمال سازند، این موضوع در آینده فضای سایبر چشم گیر تر شده و چه در خدمات تهاجمی و چه در خدمات تدافعی، ما شاهد محصولات تماما اتوماتیک خواهیم بود.
برای مثال خدمات تست نفوذ دیگر مبتنی بر تخصص کارشناس ارائه نمیشود و بواسطه یک سامانه هوشمند با کیفیت و دقت بسیار بالا ارائه میشود، چیزی فراتر از اسکنر. اما در خصوص خدمات دفاعی هم امروزه پلتفرم های بسیاری که اصطلاحا به آنها SOAR گفته میشود طراحی شده تا فرایند رفتار شناسی، مانیتورینگ، کشف و گزارش رخداد حادثه را تماما مبتنی بر هوش مصنوعی انجام دهد.
اما امکان SOAR: تشخیص رفتارهای مخرب چند مرحله ای (Multi Stage)، امکان کنترل ورودی های COM و DCOM سیستم عامل بواسطه مکانیزم هایی مانند ETW، امکان دریافت اطلاعات از سنسور های مبتنی بر Midpoint برای MDR ها، امکان استفاده از IoC های منتشر شده از CTI شرکت های دیگر و نهایتا امکان مانیتور کردن پردازش ها با ریز جزئیات.
@Unk9vvN
امروزه در دنیا بسیاری از شرکت های فعال در حوزه امنیت فضای سایبر، سعی بر ارائه محصولاتی هستند که خدمات تکنیکال را بصورت هوشمند و مبتنی بر محصولات نرم افزاری اعمال سازند، این موضوع در آینده فضای سایبر چشم گیر تر شده و چه در خدمات تهاجمی و چه در خدمات تدافعی، ما شاهد محصولات تماما اتوماتیک خواهیم بود.
برای مثال خدمات تست نفوذ دیگر مبتنی بر تخصص کارشناس ارائه نمیشود و بواسطه یک سامانه هوشمند با کیفیت و دقت بسیار بالا ارائه میشود، چیزی فراتر از اسکنر. اما در خصوص خدمات دفاعی هم امروزه پلتفرم های بسیاری که اصطلاحا به آنها SOAR گفته میشود طراحی شده تا فرایند رفتار شناسی، مانیتورینگ، کشف و گزارش رخداد حادثه را تماما مبتنی بر هوش مصنوعی انجام دهد.
اما امکان SOAR: تشخیص رفتارهای مخرب چند مرحله ای (Multi Stage)، امکان کنترل ورودی های COM و DCOM سیستم عامل بواسطه مکانیزم هایی مانند ETW، امکان دریافت اطلاعات از سنسور های مبتنی بر Midpoint برای MDR ها، امکان استفاده از IoC های منتشر شده از CTI شرکت های دیگر و نهایتا امکان مانیتور کردن پردازش ها با ریز جزئیات.
@Unk9vvN
#FBI #Notification Iranian Cyber Group Emennet #Pasargad
در تاریخ 2022/01/26 پلیس FBI گزارشی رو مبنی بر اطلاع رسانی از تیم سایبری با نام Emennet Pasargad منتشر کرده که در این گزارش اشاراتی به تحرکات سایبری این تیم میندازه،
اولین موضوعی که مطرح میکنه اینه که این تیم از سرویس VPN برای مبهم سازی سر منشا ارتباطات خود استفاده میکنه و نام این سرویس دهنده های عمومی هم برده شده در تصویر شماره 2 مشخص هستش،
مورد بعدی این تیم گفته شده بسیار روی سایت های خبری آمریکا و محصولات نرم افزاری گسترده فعالیت پایش انجام میداده و بواسطه ابزار های اسکن مجانی و تجاری سعی بر کشف آسیب پذیری های پچ نشده و اختصاصی کرده است، برنامه های نرم افزاری مورد تحقیق هم نام برده که برای مثال به Wordpress اشاره شده است.
اما نکته بعدی اسامی ابزار های پایشگر مورد استفاده این تیم بوده که به Netsparker و WPScan و موارد دیگر هم در تصویر 3 اشاره شده است، در انتها هم اشاره شده به هویت دو تن از این افراد که از بازه سنی 24 تا 28 برخوردار هستند.
@Unk9vvN
در تاریخ 2022/01/26 پلیس FBI گزارشی رو مبنی بر اطلاع رسانی از تیم سایبری با نام Emennet Pasargad منتشر کرده که در این گزارش اشاراتی به تحرکات سایبری این تیم میندازه،
اولین موضوعی که مطرح میکنه اینه که این تیم از سرویس VPN برای مبهم سازی سر منشا ارتباطات خود استفاده میکنه و نام این سرویس دهنده های عمومی هم برده شده در تصویر شماره 2 مشخص هستش،
مورد بعدی این تیم گفته شده بسیار روی سایت های خبری آمریکا و محصولات نرم افزاری گسترده فعالیت پایش انجام میداده و بواسطه ابزار های اسکن مجانی و تجاری سعی بر کشف آسیب پذیری های پچ نشده و اختصاصی کرده است، برنامه های نرم افزاری مورد تحقیق هم نام برده که برای مثال به Wordpress اشاره شده است.
اما نکته بعدی اسامی ابزار های پایشگر مورد استفاده این تیم بوده که به Netsparker و WPScan و موارد دیگر هم در تصویر 3 اشاره شده است، در انتها هم اشاره شده به هویت دو تن از این افراد که از بازه سنی 24 تا 28 برخوردار هستند.
@Unk9vvN
#NSO_Group #Pegasus #iOS
جاسوس افزار پگاسوس که مختص سیستم عامل های Android و iOS است، به گزارش رویترز و به نقل از یک منبع ناشناس مورد استفاده آژانس اطلاعات مرکزی (سیا) هم بوده و موجب حملات به گوشی های iPhone شده است.
این جاسوس افزار در طی سال های گذشته چندین بار ، با استفاده از آسیب پذیری های متعدد، مورد استفاده قرار گرفته و تیم طراح آن قصد انحلال این پروژه را ندارند.
در قسمت دوم مقاله تحلیل تکنیکال جاسوس افزار پگاسوس، تمامی ابعاد فنی آن برای سیستم عامل iOS و آسیب پذیری هایی که استفاده شده است را تشریح خواهیم کرد.
https://thehackernews.com/2022/02/another-israeli-firm-quadream-caught.html
@Unk9vvN
جاسوس افزار پگاسوس که مختص سیستم عامل های Android و iOS است، به گزارش رویترز و به نقل از یک منبع ناشناس مورد استفاده آژانس اطلاعات مرکزی (سیا) هم بوده و موجب حملات به گوشی های iPhone شده است.
این جاسوس افزار در طی سال های گذشته چندین بار ، با استفاده از آسیب پذیری های متعدد، مورد استفاده قرار گرفته و تیم طراح آن قصد انحلال این پروژه را ندارند.
در قسمت دوم مقاله تحلیل تکنیکال جاسوس افزار پگاسوس، تمامی ابعاد فنی آن برای سیستم عامل iOS و آسیب پذیری هایی که استفاده شده است را تشریح خواهیم کرد.
https://thehackernews.com/2022/02/another-israeli-firm-quadream-caught.html
@Unk9vvN
#Iranian #APT #MuddyWater Target #Turkish
اخیرا تیم MuddyWater که منتصب به دستگاه نظارتی ایران است، اقدام به هدف قرار دادن کاربران ترکیه کرده است، این نفوذ مبتنی بر فایل فرمت PDF بوده که قربانیان رو مجاب به کلیک بر پیام مهندسی اجتماعی خود میکنه، و اینطور اولین مرحله زنجیره حمله رخ میده،
در اولین قدم بعد از کلیک بر گزینه دانلود، ارتباط با یک سرور اشتراک گذاری فایل، فایل هایی با فرمت XLS که از خانواده Excel هستند دریافت میشه این فایل ها دارای محتواهایی به زبان ترکی است که شبیه سازی اسناد مشروع وزارتخانه بهداشت است.
در قدم بعدی مایکروهایی که در XLS قرار داده شده به اجرا در آمده و کلید Reg برای ماندگاری در سیستم تنظیم میگردد و بعد از آن یک درخواست به canarytokens.com زده میشود بواسطه توکن از قبل تعریف شده ای Stage های بعدی زنجیره حمله دانلود میشود که فایل های مبهم سازی شده پاورشل پایه هستند.
اما در ادامه فایل VBS دانلود شده مامور اجرای فایل PS1 شده که خود فایل PS1 اقدام به دانلود دیگری که پیلود اصلی است خواهد کرد و بعد از دانلود آنرا اجرا میکند.
Reference
@Unk9vvN
اخیرا تیم MuddyWater که منتصب به دستگاه نظارتی ایران است، اقدام به هدف قرار دادن کاربران ترکیه کرده است، این نفوذ مبتنی بر فایل فرمت PDF بوده که قربانیان رو مجاب به کلیک بر پیام مهندسی اجتماعی خود میکنه، و اینطور اولین مرحله زنجیره حمله رخ میده،
در اولین قدم بعد از کلیک بر گزینه دانلود، ارتباط با یک سرور اشتراک گذاری فایل، فایل هایی با فرمت XLS که از خانواده Excel هستند دریافت میشه این فایل ها دارای محتواهایی به زبان ترکی است که شبیه سازی اسناد مشروع وزارتخانه بهداشت است.
در قدم بعدی مایکروهایی که در XLS قرار داده شده به اجرا در آمده و کلید Reg برای ماندگاری در سیستم تنظیم میگردد و بعد از آن یک درخواست به canarytokens.com زده میشود بواسطه توکن از قبل تعریف شده ای Stage های بعدی زنجیره حمله دانلود میشود که فایل های مبهم سازی شده پاورشل پایه هستند.
اما در ادامه فایل VBS دانلود شده مامور اجرای فایل PS1 شده که خود فایل PS1 اقدام به دانلود دیگری که پیلود اصلی است خواهد کرد و بعد از دانلود آنرا اجرا میکند.
Reference
@Unk9vvN
#Chisel TCP/UDP #Tunnel Over HTTP
ابزاری با نام Chisel وجود داره که یک تونل سریع TCP/UDP برقرار میکنه و از طریق HTTP و SSH ایمن میشه. این امکان بواسطه یک کلاینت و سرور. انجام میشه عمدتاً برای عبور از فایروال ها مفید هستش، اگرچه میتوان از آن برای ارائه یک نقطه پایانی امن به شبکه نیز استفاده کرد.
اخیرا در حمله سایبری Muddy Water استفاده شده البته نسخه سی شارپ اون که با نام SharpChisel در گیت هاب موجوده، این استفاده به واسطه یک VPS میانی زده شده و باعث میشه به نوعی نقطه انتهایی خط فرمان (C&C) لو نره.
استفاده ی از SOCKS این امکان رو خواهد داد که پروتکل های مختلفی مورد استفاده قرار گیره و یک ارتباط معکوس به سرور مهاجم زده بشه، ماشین قربانی به عنوان یک کاربر با VPS که به عنوان یک سرور نقش ایفا میکنه ارتباط خواهد گرفت با پروتکل مشخص! اما ارتباط انتهایی با قربانی و ارتباط ابتدایی با قربانی مبتنی بر یک ارتباط SOCKS کلاینت و سروری خواهد بود.
از این روش در بهره برداری آسیب پذیری CVE-2020-0688 استفاده شده بود که این آسیب پذیری قبلا توسط یک آکادمی ایرانی طراحی شده بود.
https://github.com/jpillora/chisel
@Unk9vvN
ابزاری با نام Chisel وجود داره که یک تونل سریع TCP/UDP برقرار میکنه و از طریق HTTP و SSH ایمن میشه. این امکان بواسطه یک کلاینت و سرور. انجام میشه عمدتاً برای عبور از فایروال ها مفید هستش، اگرچه میتوان از آن برای ارائه یک نقطه پایانی امن به شبکه نیز استفاده کرد.
اخیرا در حمله سایبری Muddy Water استفاده شده البته نسخه سی شارپ اون که با نام SharpChisel در گیت هاب موجوده، این استفاده به واسطه یک VPS میانی زده شده و باعث میشه به نوعی نقطه انتهایی خط فرمان (C&C) لو نره.
استفاده ی از SOCKS این امکان رو خواهد داد که پروتکل های مختلفی مورد استفاده قرار گیره و یک ارتباط معکوس به سرور مهاجم زده بشه، ماشین قربانی به عنوان یک کاربر با VPS که به عنوان یک سرور نقش ایفا میکنه ارتباط خواهد گرفت با پروتکل مشخص! اما ارتباط انتهایی با قربانی و ارتباط ابتدایی با قربانی مبتنی بر یک ارتباط SOCKS کلاینت و سروری خواهد بود.
از این روش در بهره برداری آسیب پذیری CVE-2020-0688 استفاده شده بود که این آسیب پذیری قبلا توسط یک آکادمی ایرانی طراحی شده بود.
https://github.com/jpillora/chisel
@Unk9vvN
#Unk9vvN #Course #Labs
طراحی اختصاصی آزمایشگاه دوره های آموزشی، رو به پایان است و برای هر سرفصل دوره چالش اختصاصی طراحی شده است،
از ویژگی های آزمایشگاه میتوان به:
1.ارائه گزارشات کامل فعالیت های دانشجو.
2.وضعیت خرید اقساطی در صورت استفاده.
3.ارائه گزارش در خصوص زمان های حل چالش.
4.فعالیت کاربر در هر دوره ای که ثبت نام کرده است.
5.پیشرفت فراگیری دروس در بخش LMS.
6.امتیاز های دریافت شده در خصوص پاس دروس.
7.استفاده از اسکریپت اختصاصی Unk9 در خصوص نصب هوشمند تمام برنامه های مورد نیاز در دوره.
8.مدیریت اطلاعات حساب و پروفایل.
و دیگر امکانات ویژه که در فرصت های بعدی به آن اشاره خواهیم داشت.
یک نکته مهم: دسترسی به دوره پس از ثبت نام مادام العمر خواهد بود، به این معنی که برای همیشه کاربران به ویدیو های آموزشی به Cheat Sheet و آزمایشگاه اختصاصی دسترسی خواهند داشت و در طول شبانه روز میتوانند رجوع کرده و از محتویات دوره استفاده نمایند.
این ویژگی برای تمامی دوره های مورد ساخت Unk9 لحاظ خواهد شد.
@Unk9vvN
طراحی اختصاصی آزمایشگاه دوره های آموزشی، رو به پایان است و برای هر سرفصل دوره چالش اختصاصی طراحی شده است،
از ویژگی های آزمایشگاه میتوان به:
1.ارائه گزارشات کامل فعالیت های دانشجو.
2.وضعیت خرید اقساطی در صورت استفاده.
3.ارائه گزارش در خصوص زمان های حل چالش.
4.فعالیت کاربر در هر دوره ای که ثبت نام کرده است.
5.پیشرفت فراگیری دروس در بخش LMS.
6.امتیاز های دریافت شده در خصوص پاس دروس.
7.استفاده از اسکریپت اختصاصی Unk9 در خصوص نصب هوشمند تمام برنامه های مورد نیاز در دوره.
8.مدیریت اطلاعات حساب و پروفایل.
و دیگر امکانات ویژه که در فرصت های بعدی به آن اشاره خواهیم داشت.
یک نکته مهم: دسترسی به دوره پس از ثبت نام مادام العمر خواهد بود، به این معنی که برای همیشه کاربران به ویدیو های آموزشی به Cheat Sheet و آزمایشگاه اختصاصی دسترسی خواهند داشت و در طول شبانه روز میتوانند رجوع کرده و از محتویات دوره استفاده نمایند.
این ویژگی برای تمامی دوره های مورد ساخت Unk9 لحاظ خواهد شد.
@Unk9vvN
#CPU #Security #Research
یکی از حوزه های جذاب در علوم سایبری مباحث مربوط به امنیت پردازنده ها است، در طی سال های اخیر انواع آسیب پذیری هایی از خانواده Side Channel و Fault Injection را شاهد بودیم که بعضا توانسته اند بهره برداری های منطقی از روش کار کرد پردازنده کشف نمایند، برخی از Case Study های مورد تحقیق در بحث امنیت پردازنده ها رو در پایین لیست میکنم براتون:
1.Novel mitigation methodologies for transient execution (side channel) attacks
2.CPU microcode security threat research
3.Cryptographic hardware mitigations for side channel and fault injection resiliency
4.Vulnerability and mitigation research for telemetry leakage
5.Trusted Execution Engine security
6.Graphics hardware and kernel mode drivers
7.Security of AI accelerator solutions
8.Thermal and voltage attacks
9.Virtualization technology security
10.FPGA security
11.5G end-to-end solutions
12.System firmware technologies
13.Pathfinding and research on hardware security analysis tools
@Unk9vvN
یکی از حوزه های جذاب در علوم سایبری مباحث مربوط به امنیت پردازنده ها است، در طی سال های اخیر انواع آسیب پذیری هایی از خانواده Side Channel و Fault Injection را شاهد بودیم که بعضا توانسته اند بهره برداری های منطقی از روش کار کرد پردازنده کشف نمایند، برخی از Case Study های مورد تحقیق در بحث امنیت پردازنده ها رو در پایین لیست میکنم براتون:
1.Novel mitigation methodologies for transient execution (side channel) attacks
2.CPU microcode security threat research
3.Cryptographic hardware mitigations for side channel and fault injection resiliency
4.Vulnerability and mitigation research for telemetry leakage
5.Trusted Execution Engine security
6.Graphics hardware and kernel mode drivers
7.Security of AI accelerator solutions
8.Thermal and voltage attacks
9.Virtualization technology security
10.FPGA security
11.5G end-to-end solutions
12.System firmware technologies
13.Pathfinding and research on hardware security analysis tools
@Unk9vvN
#PSGumshoe #Powershell #Forensics #Collections
یک مجموعه اسکریپت هایی با زبان پاورشل نوشته شده است که تا حد امکان از API سیستم عامل ویندوز برای کمک به امر شکار تهدید بهره گرفته شده.
از ویژگی های جالب این اسکریپت ها میشه به سر شماری کاربرها در موقعیت های مختلف اشاره داشت، یا ماژول هایی که در خصوص تسهیل استفاده از ابزار Sysmon وجود داره که از دریافت Event برای ایجاد یک پردازش گرفته تا بررسی دسترسی های خام بر روی حافظه یک پردازش.
از موارد دیگهه میشه به دریافت Event از COM های مختلف سیستم عامل مثل ScheduleTask و BitsAdmin اشاره داشت که بسیار در بحث شکار یک APT میتواند مفید واقع شود، همچنین شکار تکنیک هایی مثل Process Injection هم در ماژول ها دیده میشه و حتی نشست های سیستم عامل هم براحتی قابلیت دریافت دارد.
یکی از جالب ترین مجموعه ابزار های است که در خصوص مباحث جرم شناسی و شکار تهدید طراحی و عمومی شده است.
https://github.com/PSGumshoe/PSGumshoe
@Unk9vvN
یک مجموعه اسکریپت هایی با زبان پاورشل نوشته شده است که تا حد امکان از API سیستم عامل ویندوز برای کمک به امر شکار تهدید بهره گرفته شده.
از ویژگی های جالب این اسکریپت ها میشه به سر شماری کاربرها در موقعیت های مختلف اشاره داشت، یا ماژول هایی که در خصوص تسهیل استفاده از ابزار Sysmon وجود داره که از دریافت Event برای ایجاد یک پردازش گرفته تا بررسی دسترسی های خام بر روی حافظه یک پردازش.
از موارد دیگهه میشه به دریافت Event از COM های مختلف سیستم عامل مثل ScheduleTask و BitsAdmin اشاره داشت که بسیار در بحث شکار یک APT میتواند مفید واقع شود، همچنین شکار تکنیک هایی مثل Process Injection هم در ماژول ها دیده میشه و حتی نشست های سیستم عامل هم براحتی قابلیت دریافت دارد.
یکی از جالب ترین مجموعه ابزار های است که در خصوص مباحث جرم شناسی و شکار تهدید طراحی و عمومی شده است.
https://github.com/PSGumshoe/PSGumshoe
@Unk9vvN