#C3 #Breaking #Network #Segregation
یکی از دغدغه تیم های قرمز بحث برقراری ارتباط با CnC است که بصورت ناشناس انجام بشه و همین ناشناسی موجب عدم شکار حمله توسط تیم های شکارچی باشه
در همین راستا محققین شرکت F-Secure یک ارائه دادن در BlackHat 2021 تحت عنوان نحوه Breaking شبکه در خط فرمان تولیدی خودشون با نام C3، این خط فرمان قراره از DCOM های خود سیستم عامل استفاده کنه در خصوص انجام فرامین خط فرمان C3 در پوشش یک DCOM صحیح سیستم مانند سرویس Printer و درایور Print Spooler
همونطور که در تصاویر میتونید ببینید، خط فرمان بواسطه یک ارتباط مبتنی بر Slack اقدام به برقراری ارتباط کرده و بواسطه کانالی که خط فرمان طراحی کرده اقدام به ارتباط با RPC میکنه، در نتیجه دستورات اول به RPC پرینتر داده شده و بعد به C3
اتفاقی که اینجا می افته اینه که چون پردازش مستقیمی برای برقراری ارتباط از طرف C3 انجام نشده و این ارتباط بواسطه یک واسط صحیح در سیستم بوده، تیم SOC دیگه رویدادی که جلب توجه کنه براش، نخواهد دید و بنوعی دور میخوره...
سناریو های بعدی مطرح شده در مقاله رو خودتون میتوید در اینجا مطالعه بفرماید.
@Unk9vvN
یکی از دغدغه تیم های قرمز بحث برقراری ارتباط با CnC است که بصورت ناشناس انجام بشه و همین ناشناسی موجب عدم شکار حمله توسط تیم های شکارچی باشه
در همین راستا محققین شرکت F-Secure یک ارائه دادن در BlackHat 2021 تحت عنوان نحوه Breaking شبکه در خط فرمان تولیدی خودشون با نام C3، این خط فرمان قراره از DCOM های خود سیستم عامل استفاده کنه در خصوص انجام فرامین خط فرمان C3 در پوشش یک DCOM صحیح سیستم مانند سرویس Printer و درایور Print Spooler
همونطور که در تصاویر میتونید ببینید، خط فرمان بواسطه یک ارتباط مبتنی بر Slack اقدام به برقراری ارتباط کرده و بواسطه کانالی که خط فرمان طراحی کرده اقدام به ارتباط با RPC میکنه، در نتیجه دستورات اول به RPC پرینتر داده شده و بعد به C3
اتفاقی که اینجا می افته اینه که چون پردازش مستقیمی برای برقراری ارتباط از طرف C3 انجام نشده و این ارتباط بواسطه یک واسط صحیح در سیستم بوده، تیم SOC دیگه رویدادی که جلب توجه کنه براش، نخواهد دید و بنوعی دور میخوره...
سناریو های بعدی مطرح شده در مقاله رو خودتون میتوید در اینجا مطالعه بفرماید.
@Unk9vvN
#Real_World #Cybersecurity #Training
مقوله آموزش در کشور ما شده یکسری روش های مرسوم که عموما همه ما باهاش آشنا هستیم و نقاط ضعفش رو میشناسیم...
اما در آمریکا و در بخش های مختلفی که نیاز دارند علوم سایبری رو بصورت جامع و اصطلاحا Real World تدریس کنند، زیرساخت تحصیلی جامع و کاملی رو پی ریزی کرده و اگر مطالعه کنید در وبسایت مربوطه، ذکر شده که با تکنولوژی های نوین بحث آموزش (آموزش آنلاین مبتنی بر هدایت دقیق کاربر) دارند پیش میبرند
دستگاه های متولی مانند افتا ریاست جمهوری و پلیس فتا میبایست در خصوص ارتقاء کیفیت سر فصل های آموزشی و همچنین مدل آموزش، یک تنظیم گیری قوانین طبق روندی که در دنیا پیش گرفته شده داشته باشند
تا ما در امر تولید محتوا و دوره های آموزشی، کیفیت خوبی رو شاهد باشیم و به تبع اون نیروی انسانی با کیفیت رو در سریع ترین زمان وارد شرکت های دانش بنیان و همچنین تیم های استارت آپی فعال در حوزه امنیت سایبری کنیم.
https://www.dcita.edu/
@Unk9vvN
مقوله آموزش در کشور ما شده یکسری روش های مرسوم که عموما همه ما باهاش آشنا هستیم و نقاط ضعفش رو میشناسیم...
اما در آمریکا و در بخش های مختلفی که نیاز دارند علوم سایبری رو بصورت جامع و اصطلاحا Real World تدریس کنند، زیرساخت تحصیلی جامع و کاملی رو پی ریزی کرده و اگر مطالعه کنید در وبسایت مربوطه، ذکر شده که با تکنولوژی های نوین بحث آموزش (آموزش آنلاین مبتنی بر هدایت دقیق کاربر) دارند پیش میبرند
دستگاه های متولی مانند افتا ریاست جمهوری و پلیس فتا میبایست در خصوص ارتقاء کیفیت سر فصل های آموزشی و همچنین مدل آموزش، یک تنظیم گیری قوانین طبق روندی که در دنیا پیش گرفته شده داشته باشند
تا ما در امر تولید محتوا و دوره های آموزشی، کیفیت خوبی رو شاهد باشیم و به تبع اون نیروی انسانی با کیفیت رو در سریع ترین زمان وارد شرکت های دانش بنیان و همچنین تیم های استارت آپی فعال در حوزه امنیت سایبری کنیم.
https://www.dcita.edu/
@Unk9vvN
#Semgrep #Static_Analysis #Binary #Vulnerability
یک پویشگر کد که بصورت آنالیز ایستا کار میکند، در خصوص کشف آسیب پذیری های Binary طراحی شده که بیش از 20 زبان رو پشتیبانی میکنه و به گفته خودش بالای 2000 rule پایش برای کشف آسیب پذیری داره.
این ابزار امکان نصب بصورت یک افزونه برای VSCode و Ghidra رو داشته و میتونه در زمان Disassemble کد، شروع به پایش آسیب پذیری کنه، برخی از این Rule هارو میتونید اینجا ببینید.
از ویژگی های جالب این ابزار میشود، به داشتن Syntax مخصوص در بحث ساخت Rule اشاره داشت که همانند امضاهای Yara امکان ساخت نوع Pattern مد نظر خودتون رو خواهد داشت و بصورت هوشمند شروع به پایش در کد کند..
یک ارائه هم در این خصوص انجام شده که اینجا میتونید مشاهده بفرماید.
https://semgrep.dev/
@Unk9vvN
یک پویشگر کد که بصورت آنالیز ایستا کار میکند، در خصوص کشف آسیب پذیری های Binary طراحی شده که بیش از 20 زبان رو پشتیبانی میکنه و به گفته خودش بالای 2000 rule پایش برای کشف آسیب پذیری داره.
این ابزار امکان نصب بصورت یک افزونه برای VSCode و Ghidra رو داشته و میتونه در زمان Disassemble کد، شروع به پایش آسیب پذیری کنه، برخی از این Rule هارو میتونید اینجا ببینید.
از ویژگی های جالب این ابزار میشود، به داشتن Syntax مخصوص در بحث ساخت Rule اشاره داشت که همانند امضاهای Yara امکان ساخت نوع Pattern مد نظر خودتون رو خواهد داشت و بصورت هوشمند شروع به پایش در کد کند..
یک ارائه هم در این خصوص انجام شده که اینجا میتونید مشاهده بفرماید.
https://semgrep.dev/
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#BypassAVs #Hardcoding C++
ایجاد یک رفتار جدید در فرایند های Coding مرسوم یک موضوع، میتونه موجب دور زدن مکانیزم های دفاعی بشه...
چرا که تابع رفتاری عموم آنها مبتنی بر مدل رفتار الگویی است که تا به آن روز استفاده میشده، در نتیجه در مواجه با روش های نوین امکان تشخیص مخرب بودن یک کد رو سخت خواهد نمود...
در تصویر روش بکار گرفته شده در خصوص پیچیده کردن فرایند استفاده از توابع سیستم عامل و پاس دادن مقادیر ورودی برنامه بوده، که به روش غیر معمول انجام شده و نتیجتا موجب دور زدن 97 درصدی تمامی محصولات ضدبدافزار شده است...
پیچیده کردن الگوی رفتاری توابع یک بدافزار میتواند در نحوه تشخیص ترسیم الگوی امضای کد مخرب، ایمن باشد.
https://www.virustotal.com/gui/file/8b73a148a27479ae55e00d9f95fcd3ae5efd960d4a83c69605a7f899292e011d
@Unk9vvN
ایجاد یک رفتار جدید در فرایند های Coding مرسوم یک موضوع، میتونه موجب دور زدن مکانیزم های دفاعی بشه...
چرا که تابع رفتاری عموم آنها مبتنی بر مدل رفتار الگویی است که تا به آن روز استفاده میشده، در نتیجه در مواجه با روش های نوین امکان تشخیص مخرب بودن یک کد رو سخت خواهد نمود...
در تصویر روش بکار گرفته شده در خصوص پیچیده کردن فرایند استفاده از توابع سیستم عامل و پاس دادن مقادیر ورودی برنامه بوده، که به روش غیر معمول انجام شده و نتیجتا موجب دور زدن 97 درصدی تمامی محصولات ضدبدافزار شده است...
پیچیده کردن الگوی رفتاری توابع یک بدافزار میتواند در نحوه تشخیص ترسیم الگوی امضای کد مخرب، ایمن باشد.
https://www.virustotal.com/gui/file/8b73a148a27479ae55e00d9f95fcd3ae5efd960d4a83c69605a7f899292e011d
@Unk9vvN
#Wordpress #Object_Injection (CVE-2022-21663)
استفاده نا صحیح از
موضوعی که میتونه جالب باشه اینه که عملکرد تابع
حالا برای دور زدن میبایست توجه به این نکته کنیم که در PHP نسخه 7.4 به قبل نشانگر
همچنین در switch های تابع
@Unk9vvN
استفاده نا صحیح از
()unserialize@ بجای ()maybe_unserialize در نقطه انتهایی wp-admin/options.php و در پارامتر active_plugins که مقدارش بصورت Serialize در پایگاه داده ذخیره میشه، موجب شده تا آسیب پذیری Object Injection رخ بده..موضوعی که میتونه جالب باشه اینه که عملکرد تابع
()maybe_unserialize اینطوره که اگر مقدار ورودی Object یا Array و یا Serialize باشه، میاد اون رو Double Serialize میکنه که به نوعی اثر تخریبی مقادیر داخلش رو دفع کنه،حالا برای دور زدن میبایست توجه به این نکته کنیم که در PHP نسخه 7.4 به قبل نشانگر
C در مقادیر Serialize معرف Class بوده که در تابع ()unserialize پشتیبانی میشه، همچنین در switch های تابع
()maybe_unserialize ذکر نشده که اگر نوع داده Object و نشانگر اون C بود بیا و عملیات Double Serialize رو انجام بده، همین موضوع باعث میشه که مهاجم در طراحی POP Chain Gadget خودش، نوع Object رو با نشانگر C قرار بده و تابع ()maybe_unserialize رو دور بزنه.@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#MITRE_ATTCK #Evaluation 2022
گزارشی از شرکت SentinelOne در خصوص کسب مقام اول بهترین سامانه XDR در خصوص شبیه سازی حملات Wizard Spider و Sandworm که هر دو از جمله حملات #APT بوده
این شبیه سازی هر یک الی دو سال بین شرکت های فعال در حوزه تولید محصولات امنیت دفاعی بواسطه مجموعه MITRE ATT&CK Evaluations برگزار میشه که بهترین عملکرد ها رو برای عموم مخاطبین به نمایش میزاره
این ارزیابی کیفی محصولات موجب شده که محصولات فیک و غیر واقعی در رده محصولات بازار قرار نگیره و عملکرد هر محصولی در مقابل یک حمله مداوم پیشرفته بصورت واقعی ارزیابی بشه
موضوعی که در کشور ما به جد بهش نیازه و مراکزی مانند افتا میبایست در این خصوص تنظیم گیری هایی صورت میدادند...
https://www.sentinelone.com/blog/our-take-sentinelones-2022-mitre-attck-evaluation-results/
@Unk9vvN
گزارشی از شرکت SentinelOne در خصوص کسب مقام اول بهترین سامانه XDR در خصوص شبیه سازی حملات Wizard Spider و Sandworm که هر دو از جمله حملات #APT بوده
این شبیه سازی هر یک الی دو سال بین شرکت های فعال در حوزه تولید محصولات امنیت دفاعی بواسطه مجموعه MITRE ATT&CK Evaluations برگزار میشه که بهترین عملکرد ها رو برای عموم مخاطبین به نمایش میزاره
این ارزیابی کیفی محصولات موجب شده که محصولات فیک و غیر واقعی در رده محصولات بازار قرار نگیره و عملکرد هر محصولی در مقابل یک حمله مداوم پیشرفته بصورت واقعی ارزیابی بشه
موضوعی که در کشور ما به جد بهش نیازه و مراکزی مانند افتا میبایست در این خصوص تنظیم گیری هایی صورت میدادند...
https://www.sentinelone.com/blog/our-take-sentinelones-2022-mitre-attck-evaluation-results/
@Unk9vvN
#Inceptor #AV and #EDR Bypasses
در ابزار Inceptor روش هایی در خصوص ویژگی های مورد استفاده مکانیزم های دفاعی مطرح شده که نگاه به عملکرد اونها خالی از لطف نیست
همچنین روش های دور زدن مکانیزم های شناسایی کننده هم مطرح شده که شاخص ترین اونها بحث استفاده از مبهم سازی، تکنیک Patching که در خصوص تغییر نتایج پایش AMSI بر روی حافظه بوده و یا تکنیک هایی که موجب دور زدن Sandbox میشه، مانند چک کردن ENV ها، نام ها هش Sections ها و مواردی از این دست
موضوعی که در این ابزار جالبه توضیح نحوه کارکرد EDR هاست که تکنیک هایی براش مطرح شده مثل استفاده یک پردازش از توابع سیستمی سمت کاربر، یک Hook به DLL مربوط به پردازش EDR زده شده و ورودی های مربوط به اون تابع سیستمی که مورد بررسی قرار میگیره
حالا محقق بیان میکنه که فرایند فراخوانی یک توابع API سیستم عامل تا ساختمان سطح هسته، یک زنجیره ی Native هستش که اگر مهاجم روال مرسوم این زنجیره رو بشکنه و مستقیما به ساختمان توابع مربوط دسترسی بگیره، امکان مانیتور شدن اون تابع سیستمی توسط EDR میتونه از بین هم بره.
@Unk9vvN
در ابزار Inceptor روش هایی در خصوص ویژگی های مورد استفاده مکانیزم های دفاعی مطرح شده که نگاه به عملکرد اونها خالی از لطف نیست
همچنین روش های دور زدن مکانیزم های شناسایی کننده هم مطرح شده که شاخص ترین اونها بحث استفاده از مبهم سازی، تکنیک Patching که در خصوص تغییر نتایج پایش AMSI بر روی حافظه بوده و یا تکنیک هایی که موجب دور زدن Sandbox میشه، مانند چک کردن ENV ها، نام ها هش Sections ها و مواردی از این دست
موضوعی که در این ابزار جالبه توضیح نحوه کارکرد EDR هاست که تکنیک هایی براش مطرح شده مثل استفاده یک پردازش از توابع سیستمی سمت کاربر، یک Hook به DLL مربوط به پردازش EDR زده شده و ورودی های مربوط به اون تابع سیستمی که مورد بررسی قرار میگیره
حالا محقق بیان میکنه که فرایند فراخوانی یک توابع API سیستم عامل تا ساختمان سطح هسته، یک زنجیره ی Native هستش که اگر مهاجم روال مرسوم این زنجیره رو بشکنه و مستقیما به ساختمان توابع مربوط دسترسی بگیره، امکان مانیتور شدن اون تابع سیستمی توسط EDR میتونه از بین هم بره.
@Unk9vvN
#MERCURY #Log4j Targeting #Israel Organizations
در جریان پیدا شدن آسیب پذیری log4j تیم های تهاجمی در سراسر دنیا شروع به پایش محصولاتی کردند که از کتابخونه Log 4 Java که محصول Apache هست، پیدا کنند...
یکی از موارد معروفی که در اثر استفاده از این کتابخانه مورد حمله قرار گرفت محصولات VMware بود، اما در تهاجمی که اخیرا بر روی ارگان های دولتی کشور جعلی اسرائیل رخ داد، محصولی مورد حمله قرار گرفت با نام SysAid که بر بستر های این کشور مورد استفاده قرار میگرفته و دارای کتابخونه آسیب پذیری Log4j بوده...
اما نکات جالبی راجب خود #APT اتفاق افتاده. اول اینکه بعد از ایجاد دسترسی بواسطه آسیب پذیری، مهاجمان اقدام به اجرای کد مبتنی بر Webshell کردند و بواسطه cmd.exe و net.exe فرمان هایی رو برای ایجاد یک کاربر در localgroup انجام دادند.
مورد بعدی که جالبه، استفاده از Mimikatz برای دزدیدن Credentials بوده برای Lateral Movement و دسترسی به DC و SQL Server، همچنین به وسیله سرویسی در خود سیستم عامل که با نام vpnui.exe موجوده، یک دسترسی Remote Desktop Management بواسطه محصولی تجاری زده شده با نام eHorus !
@Unk9vvN
در جریان پیدا شدن آسیب پذیری log4j تیم های تهاجمی در سراسر دنیا شروع به پایش محصولاتی کردند که از کتابخونه Log 4 Java که محصول Apache هست، پیدا کنند...
یکی از موارد معروفی که در اثر استفاده از این کتابخانه مورد حمله قرار گرفت محصولات VMware بود، اما در تهاجمی که اخیرا بر روی ارگان های دولتی کشور جعلی اسرائیل رخ داد، محصولی مورد حمله قرار گرفت با نام SysAid که بر بستر های این کشور مورد استفاده قرار میگرفته و دارای کتابخونه آسیب پذیری Log4j بوده...
اما نکات جالبی راجب خود #APT اتفاق افتاده. اول اینکه بعد از ایجاد دسترسی بواسطه آسیب پذیری، مهاجمان اقدام به اجرای کد مبتنی بر Webshell کردند و بواسطه cmd.exe و net.exe فرمان هایی رو برای ایجاد یک کاربر در localgroup انجام دادند.
مورد بعدی که جالبه، استفاده از Mimikatz برای دزدیدن Credentials بوده برای Lateral Movement و دسترسی به DC و SQL Server، همچنین به وسیله سرویسی در خود سیستم عامل که با نام vpnui.exe موجوده، یک دسترسی Remote Desktop Management بواسطه محصولی تجاری زده شده با نام eHorus !
@Unk9vvN