#Resource #Development APTs - PART 1 (#VBA)
یکی از نیاز های اولیه طراحی یک حمله مداوم پیشرفته، وجود منابع اطلاعاتی کامل در خصوص، نحوه برخورد با COM های مختلف و دیگر امکانات سیستم عامل است،
هر چه آگاهی نسبت به تکنیک های استفاده شده و نحوه پیاده سازی آنها جامع باشه میتونه مهاجم رو در طراحی یک APT کمک کنه، چرا که بسیاری از حملات رخداد بواسطه Modify همین تکنیک های عمومی شده است.
البته زنجیره حمله عوامل بسیاری رو نیاز داره برای یک حمله موفق، مانند بحث ارتقاء سطح دسترسی یا فیلتر سازی کانال ارتباطی با خط کنترل فرمان، اما چیزی که بیشتر مورد توجه است بحث نحوه ایجاد دسترسی و طریقه مناسب آن در خصوص شناسایی نشدن تکنیک بواسطه مکانیزم های دفاعی است.
در این خصوص اولین بخش معرفی، ما متمرکز بر فایل فرمت VBA شدیم که میتونه در بحث ایجاد دسترسی ناشناس بواسطه Macro های محصولات خانواده Office مورد استفاده قرار بگیره، فایل فرمت VBA بدلیل داشتن این امکان که از کتابخونه های WinAPI میتونه استفاده کنه، مورد خوبی برای مانور دادن و دور زدن مکانیزم های دفاعی میتونه باشه
در پست های بعدی به دیگر فایل فرمت ها اشاره خواهیم داشت.
@Unk9vvN
یکی از نیاز های اولیه طراحی یک حمله مداوم پیشرفته، وجود منابع اطلاعاتی کامل در خصوص، نحوه برخورد با COM های مختلف و دیگر امکانات سیستم عامل است،
هر چه آگاهی نسبت به تکنیک های استفاده شده و نحوه پیاده سازی آنها جامع باشه میتونه مهاجم رو در طراحی یک APT کمک کنه، چرا که بسیاری از حملات رخداد بواسطه Modify همین تکنیک های عمومی شده است.
البته زنجیره حمله عوامل بسیاری رو نیاز داره برای یک حمله موفق، مانند بحث ارتقاء سطح دسترسی یا فیلتر سازی کانال ارتباطی با خط کنترل فرمان، اما چیزی که بیشتر مورد توجه است بحث نحوه ایجاد دسترسی و طریقه مناسب آن در خصوص شناسایی نشدن تکنیک بواسطه مکانیزم های دفاعی است.
در این خصوص اولین بخش معرفی، ما متمرکز بر فایل فرمت VBA شدیم که میتونه در بحث ایجاد دسترسی ناشناس بواسطه Macro های محصولات خانواده Office مورد استفاده قرار بگیره، فایل فرمت VBA بدلیل داشتن این امکان که از کتابخونه های WinAPI میتونه استفاده کنه، مورد خوبی برای مانور دادن و دور زدن مکانیزم های دفاعی میتونه باشه
در پست های بعدی به دیگر فایل فرمت ها اشاره خواهیم داشت.
@Unk9vvN
#RTLO for #Initial_Access
بلخره ابزاری هم در خصوص تکنیک Right to Left Override ساخته شد...
https://t.me/Unk9vvN/2124
https://github.com/ExAndroidDev/rtlo-attack
@Unk9vvN
بلخره ابزاری هم در خصوص تکنیک Right to Left Override ساخته شد...
https://t.me/Unk9vvN/2124
https://github.com/ExAndroidDev/rtlo-attack
@Unk9vvN
#Spring4Shell #CVE-2022-22963
چند وقتی هستش که یک آسیب پذیری از Spring Framework منتشر شده که مبتنی بر Java 8 و بر بستر Tomcat میتوانه مورد بهره برداری قرار بگیره،
این آسیب پذیری مبتنی بر deserialization نا امن مقادیر String بوده و این عملکرد نا امن بر بستر
حال اگر مقدار پارامتر دریافتی که بصورت POJO پارس شده، فراخوان یک کلاس باشه، اینجا امکان پیاده سازی یک زنجیره فراخوانی و تنظیم میتونه اتفاق بی افته و مقادیر فراخوانی موجبات write یک payload در یک فایل jsp رو فراهم بکنه، برای مثال:
POC
@Unk9vvN
چند وقتی هستش که یک آسیب پذیری از Spring Framework منتشر شده که مبتنی بر Java 8 و بر بستر Tomcat میتوانه مورد بهره برداری قرار بگیره،
این آسیب پذیری مبتنی بر deserialization نا امن مقادیر String بوده و این عملکرد نا امن بر بستر
PostMappning@ رخ خواهد داد و چون مقادیر دریافتی Request بصورت POJO یا Plain Old Java Object پارس میشه و با استفاده از Setter تنظیم میشه، میتوانه خطر آفرین باشه.حال اگر مقدار پارامتر دریافتی که بصورت POJO پارس شده، فراخوان یک کلاس باشه، اینجا امکان پیاده سازی یک زنجیره فراخوانی و تنظیم میتونه اتفاق بی افته و مقادیر فراخوانی موجبات write یک payload در یک فایل jsp رو فراهم بکنه، برای مثال:
http://localhost/spring4shell?class.module.classLoader.resources.context.parent.pipeline.first.pattern=test
حالا در جریان ترسیم یک زنجیره حمله، اول میتونه یه پیلود RCE تنظیم بشه و در ادامه فایل فرمت jsp به عنوان suffix و همینطور یه directory و prefix که میبایست shell قرار بگیره و نهایتا مقدار fileDateFormat که میبایست خالی قرار بگیره...POC
@Unk9vvN
#Unserialize #Use_After_Free #PHP_Internal
یکی از مواردی که در دوره تست نفوذ وب تیم تحقیقاتی Unk9vvN بهش بصورت ویژه پرداخت میشه، مبحث کشف آسیب پذیری های Binary مبتنی بر کامپایلر زبان PHP خواهد بود که بر بستر مقادیر Serialize امکان رخدادش وجود داره،
برای مثال در مقادیر Serialize شدن یک آرایه، امکان رزرو حافظه Heap بوجود خواهد آمد و از طرفی در مقادیر Serialize شده یک سمبل معادل اشاره گر Reference وجود داره که در تصویر ، در متغیر
بصورت خلاصه امکان رزور یک حافظه مبتنی بر تعریف ArrayObject وجود داره و امکان اینکه اون رو آزادش کنیم و بعد با استفاده از R بزرگ که نشان Reference هستش، به Element مورد تعریف حافظه Heap اشاره کرده و بنوعی آسیب پذیری Use After Free رو در حافظه بوجود بیاریم، این عملکرد اشتباه Garbage Collector هستش.
البته تا به امروز روش و تکنیک های متعددی در این مبحث مطرح شده که پیشنیاز فهمشون ، کتاب PHP Internals هستش، که ما بصورت مفصل در دوره تست نفوذ وب بخش Insecure Deserialization به این موضوع خواهیم پرداخت.
@Unk9vvN
یکی از مواردی که در دوره تست نفوذ وب تیم تحقیقاتی Unk9vvN بهش بصورت ویژه پرداخت میشه، مبحث کشف آسیب پذیری های Binary مبتنی بر کامپایلر زبان PHP خواهد بود که بر بستر مقادیر Serialize امکان رخدادش وجود داره،
برای مثال در مقادیر Serialize شدن یک آرایه، امکان رزرو حافظه Heap بوجود خواهد آمد و از طرفی در مقادیر Serialize شده یک سمبل معادل اشاره گر Reference وجود داره که در تصویر ، در متغیر
exploit$ اون انتهای مقادیر Serialize شده بصورت یک R بزرگ میبینیدشبصورت خلاصه امکان رزور یک حافظه مبتنی بر تعریف ArrayObject وجود داره و امکان اینکه اون رو آزادش کنیم و بعد با استفاده از R بزرگ که نشان Reference هستش، به Element مورد تعریف حافظه Heap اشاره کرده و بنوعی آسیب پذیری Use After Free رو در حافظه بوجود بیاریم، این عملکرد اشتباه Garbage Collector هستش.
البته تا به امروز روش و تکنیک های متعددی در این مبحث مطرح شده که پیشنیاز فهمشون ، کتاب PHP Internals هستش، که ما بصورت مفصل در دوره تست نفوذ وب بخش Insecure Deserialization به این موضوع خواهیم پرداخت.
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#Attack on #Windows Defender #ETW #Sessions
همانطور که میدونید بسیاری از EDR ها از Event Tracing for Windows استفاده میکنند برای دریافت رویداد های سیستم عامل و با تحلیل شاخصه های رفتاری یا Indicator of Behavior ، امکان شناسایی و پاسخ به حادثه مهیا خواهد شد.
اما نکته که میتونه جالب توجه باشه اینه که این ویژگی در سطح هسته، آسیب پذیر هم میتونه باشه و اگر مهاجم بتونه اون رو از کار بندازه، عملا دیگه محصولاتی از جمله EDR نخواهند توانست به ماهیت عملکردی خودشون ادامه بدهند، در نظر داشته باشید که EDR ها در طراحی خودشون بسیار از API های ETW در سطح هسته بهره میبرند.
در کنفرانس BlackHat 2021 ارائه ای انجام شد، راجب بدافزار های که امکان خاموش کردن ETW یا پاک کردن نشست اقدام کنند و بی آنکه مکانیزم های دفاعی سطح هسته مثل KPP بتونند رهگیری ای و مقاومت از خودشون نشون بدن.
فرایند های حمله به NT Kernel Logger Session مطرح شده است بطوری که مانیتور کردن یک Process رو کاملا مختل خواهد کرد. حمله دوم متمرکز بر ETW Logger Session خواهد بود که مبتنی بر Windows Defender فعال میشه.
@Unk9vvN
همانطور که میدونید بسیاری از EDR ها از Event Tracing for Windows استفاده میکنند برای دریافت رویداد های سیستم عامل و با تحلیل شاخصه های رفتاری یا Indicator of Behavior ، امکان شناسایی و پاسخ به حادثه مهیا خواهد شد.
اما نکته که میتونه جالب توجه باشه اینه که این ویژگی در سطح هسته، آسیب پذیر هم میتونه باشه و اگر مهاجم بتونه اون رو از کار بندازه، عملا دیگه محصولاتی از جمله EDR نخواهند توانست به ماهیت عملکردی خودشون ادامه بدهند، در نظر داشته باشید که EDR ها در طراحی خودشون بسیار از API های ETW در سطح هسته بهره میبرند.
در کنفرانس BlackHat 2021 ارائه ای انجام شد، راجب بدافزار های که امکان خاموش کردن ETW یا پاک کردن نشست اقدام کنند و بی آنکه مکانیزم های دفاعی سطح هسته مثل KPP بتونند رهگیری ای و مقاومت از خودشون نشون بدن.
فرایند های حمله به NT Kernel Logger Session مطرح شده است بطوری که مانیتور کردن یک Process رو کاملا مختل خواهد کرد. حمله دوم متمرکز بر ETW Logger Session خواهد بود که مبتنی بر Windows Defender فعال میشه.
@Unk9vvN
#IoB #APT #Iranian
شاخه رفتاری چیست؟ شاخصه رفتاری یا Indicator of Behavior به معنی رصد و شناسایی ای است که، مبتنی بر رفتار تاکتیکی و تکنیکی کد مندرج در فایل های مخرب (IoC) قرار دارد.
گاه مهاجمان #APT اقدام به رفتار غیر حرفه ای میکنند و کد های مورد استفاده در حملات خود را در فضاهای عمومی مثل gist یا pastebin و غیره، که با نام مستعار یا حساب کاربری اصلی خود فعال است، منتشر میسازند.
همین موضوع موجب شناسایی اونها بدست شرکت های فعال در حوزه جرم شناسی دیجیتال میشود، برای مثال در گزارش شرکت cybereason یکی از نام هاي کاربری مورد استفاده مهاجم را بررسی کرده و نمونه کد منتشر شده بدست وی را با معادل آن در فایل های مخرب استفاده شده در حمله تطبیق داده و از این روی منشع حمله و کشور آنرا شناسایی کرده است.
https://www.cybereason.com/blog/research/powerless-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage
@Unk9vvN
شاخه رفتاری چیست؟ شاخصه رفتاری یا Indicator of Behavior به معنی رصد و شناسایی ای است که، مبتنی بر رفتار تاکتیکی و تکنیکی کد مندرج در فایل های مخرب (IoC) قرار دارد.
گاه مهاجمان #APT اقدام به رفتار غیر حرفه ای میکنند و کد های مورد استفاده در حملات خود را در فضاهای عمومی مثل gist یا pastebin و غیره، که با نام مستعار یا حساب کاربری اصلی خود فعال است، منتشر میسازند.
همین موضوع موجب شناسایی اونها بدست شرکت های فعال در حوزه جرم شناسی دیجیتال میشود، برای مثال در گزارش شرکت cybereason یکی از نام هاي کاربری مورد استفاده مهاجم را بررسی کرده و نمونه کد منتشر شده بدست وی را با معادل آن در فایل های مخرب استفاده شده در حمله تطبیق داده و از این روی منشع حمله و کشور آنرا شناسایی کرده است.
https://www.cybereason.com/blog/research/powerless-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage
@Unk9vvN
#Bvp47 #Top_Tier #Backdoor of #NSA
یکی از آزمایشگاه های تحلیل بدافزار کشور چین که با نام Pangu فعالیت داره. گزارشی رو منتشر کرده مبنی بر Backdoor هایی که سازمان NSA آمریکا در سیستم عامل های لینوکس پایه قرار داده بوده و خب در جریان افشا گری های ادوارد اسنودن بهش اشاره شده
این Backdoor مبتنی بر کانال ارتباطی TCP SYN پکت ها فعال میشده و کد طراحی اون هم در سیستم عامل مخفی و مبهم سازی شده، نکته دیگر این Backdoor دستوری با نام
نکات و مطالب زیادی در مقاله گفته شده که ارجاع میدم خودتون مطالعه کنید، اما یکی از نکاتی که جالبه اینه که در لیست قربانی های این Backdoor یک قربانی ایرانی هم مطرح شده که در تصاویر پست مشاهده میکنید، قربانی laleh.itrc.ac.ir هستش که این دامنه مربوطه به پژوهشگاه ارتباطات و فناوری اطلاعات
نکته تامل برانگیز این است که پژوهشگاه فاوا که میبایست پیشتاز در فعالیت های تحقیقاتی حوزه علوم سایبری باشد، خود قربانی سازمان NSA بوده.
Reference
@Unk9vvN
یکی از آزمایشگاه های تحلیل بدافزار کشور چین که با نام Pangu فعالیت داره. گزارشی رو منتشر کرده مبنی بر Backdoor هایی که سازمان NSA آمریکا در سیستم عامل های لینوکس پایه قرار داده بوده و خب در جریان افشا گری های ادوارد اسنودن بهش اشاره شده
این Backdoor مبتنی بر کانال ارتباطی TCP SYN پکت ها فعال میشده و کد طراحی اون هم در سیستم عامل مخفی و مبهم سازی شده، نکته دیگر این Backdoor دستوری با نام
Bvp هستش که از نو String بوده و به عنوان Private Key میتونسته Backdoor مربوطه رو بصورت از راه دور متصل کنهنکات و مطالب زیادی در مقاله گفته شده که ارجاع میدم خودتون مطالعه کنید، اما یکی از نکاتی که جالبه اینه که در لیست قربانی های این Backdoor یک قربانی ایرانی هم مطرح شده که در تصاویر پست مشاهده میکنید، قربانی laleh.itrc.ac.ir هستش که این دامنه مربوطه به پژوهشگاه ارتباطات و فناوری اطلاعات
نکته تامل برانگیز این است که پژوهشگاه فاوا که میبایست پیشتاز در فعالیت های تحقیقاتی حوزه علوم سایبری باشد، خود قربانی سازمان NSA بوده.
Reference
@Unk9vvN