#C3 #Breaking #Network #Segregation
یکی از دغدغه تیم های قرمز بحث برقراری ارتباط با CnC است که بصورت ناشناس انجام بشه و همین ناشناسی موجب عدم شکار حمله توسط تیم های شکارچی باشه
در همین راستا محققین شرکت F-Secure یک ارائه دادن در BlackHat 2021 تحت عنوان نحوه Breaking شبکه در خط فرمان تولیدی خودشون با نام C3، این خط فرمان قراره از DCOM های خود سیستم عامل استفاده کنه در خصوص انجام فرامین خط فرمان C3 در پوشش یک DCOM صحیح سیستم مانند سرویس Printer و درایور Print Spooler
همونطور که در تصاویر میتونید ببینید، خط فرمان بواسطه یک ارتباط مبتنی بر Slack اقدام به برقراری ارتباط کرده و بواسطه کانالی که خط فرمان طراحی کرده اقدام به ارتباط با RPC میکنه، در نتیجه دستورات اول به RPC پرینتر داده شده و بعد به C3
اتفاقی که اینجا می افته اینه که چون پردازش مستقیمی برای برقراری ارتباط از طرف C3 انجام نشده و این ارتباط بواسطه یک واسط صحیح در سیستم بوده، تیم SOC دیگه رویدادی که جلب توجه کنه براش، نخواهد دید و بنوعی دور میخوره...
سناریو های بعدی مطرح شده در مقاله رو خودتون میتوید در اینجا مطالعه بفرماید.
@Unk9vvN
یکی از دغدغه تیم های قرمز بحث برقراری ارتباط با CnC است که بصورت ناشناس انجام بشه و همین ناشناسی موجب عدم شکار حمله توسط تیم های شکارچی باشه
در همین راستا محققین شرکت F-Secure یک ارائه دادن در BlackHat 2021 تحت عنوان نحوه Breaking شبکه در خط فرمان تولیدی خودشون با نام C3، این خط فرمان قراره از DCOM های خود سیستم عامل استفاده کنه در خصوص انجام فرامین خط فرمان C3 در پوشش یک DCOM صحیح سیستم مانند سرویس Printer و درایور Print Spooler
همونطور که در تصاویر میتونید ببینید، خط فرمان بواسطه یک ارتباط مبتنی بر Slack اقدام به برقراری ارتباط کرده و بواسطه کانالی که خط فرمان طراحی کرده اقدام به ارتباط با RPC میکنه، در نتیجه دستورات اول به RPC پرینتر داده شده و بعد به C3
اتفاقی که اینجا می افته اینه که چون پردازش مستقیمی برای برقراری ارتباط از طرف C3 انجام نشده و این ارتباط بواسطه یک واسط صحیح در سیستم بوده، تیم SOC دیگه رویدادی که جلب توجه کنه براش، نخواهد دید و بنوعی دور میخوره...
سناریو های بعدی مطرح شده در مقاله رو خودتون میتوید در اینجا مطالعه بفرماید.
@Unk9vvN
#Real_World #Cybersecurity #Training
مقوله آموزش در کشور ما شده یکسری روش های مرسوم که عموما همه ما باهاش آشنا هستیم و نقاط ضعفش رو میشناسیم...
اما در آمریکا و در بخش های مختلفی که نیاز دارند علوم سایبری رو بصورت جامع و اصطلاحا Real World تدریس کنند، زیرساخت تحصیلی جامع و کاملی رو پی ریزی کرده و اگر مطالعه کنید در وبسایت مربوطه، ذکر شده که با تکنولوژی های نوین بحث آموزش (آموزش آنلاین مبتنی بر هدایت دقیق کاربر) دارند پیش میبرند
دستگاه های متولی مانند افتا ریاست جمهوری و پلیس فتا میبایست در خصوص ارتقاء کیفیت سر فصل های آموزشی و همچنین مدل آموزش، یک تنظیم گیری قوانین طبق روندی که در دنیا پیش گرفته شده داشته باشند
تا ما در امر تولید محتوا و دوره های آموزشی، کیفیت خوبی رو شاهد باشیم و به تبع اون نیروی انسانی با کیفیت رو در سریع ترین زمان وارد شرکت های دانش بنیان و همچنین تیم های استارت آپی فعال در حوزه امنیت سایبری کنیم.
https://www.dcita.edu/
@Unk9vvN
مقوله آموزش در کشور ما شده یکسری روش های مرسوم که عموما همه ما باهاش آشنا هستیم و نقاط ضعفش رو میشناسیم...
اما در آمریکا و در بخش های مختلفی که نیاز دارند علوم سایبری رو بصورت جامع و اصطلاحا Real World تدریس کنند، زیرساخت تحصیلی جامع و کاملی رو پی ریزی کرده و اگر مطالعه کنید در وبسایت مربوطه، ذکر شده که با تکنولوژی های نوین بحث آموزش (آموزش آنلاین مبتنی بر هدایت دقیق کاربر) دارند پیش میبرند
دستگاه های متولی مانند افتا ریاست جمهوری و پلیس فتا میبایست در خصوص ارتقاء کیفیت سر فصل های آموزشی و همچنین مدل آموزش، یک تنظیم گیری قوانین طبق روندی که در دنیا پیش گرفته شده داشته باشند
تا ما در امر تولید محتوا و دوره های آموزشی، کیفیت خوبی رو شاهد باشیم و به تبع اون نیروی انسانی با کیفیت رو در سریع ترین زمان وارد شرکت های دانش بنیان و همچنین تیم های استارت آپی فعال در حوزه امنیت سایبری کنیم.
https://www.dcita.edu/
@Unk9vvN
#Semgrep #Static_Analysis #Binary #Vulnerability
یک پویشگر کد که بصورت آنالیز ایستا کار میکند، در خصوص کشف آسیب پذیری های Binary طراحی شده که بیش از 20 زبان رو پشتیبانی میکنه و به گفته خودش بالای 2000 rule پایش برای کشف آسیب پذیری داره.
این ابزار امکان نصب بصورت یک افزونه برای VSCode و Ghidra رو داشته و میتونه در زمان Disassemble کد، شروع به پایش آسیب پذیری کنه، برخی از این Rule هارو میتونید اینجا ببینید.
از ویژگی های جالب این ابزار میشود، به داشتن Syntax مخصوص در بحث ساخت Rule اشاره داشت که همانند امضاهای Yara امکان ساخت نوع Pattern مد نظر خودتون رو خواهد داشت و بصورت هوشمند شروع به پایش در کد کند..
یک ارائه هم در این خصوص انجام شده که اینجا میتونید مشاهده بفرماید.
https://semgrep.dev/
@Unk9vvN
یک پویشگر کد که بصورت آنالیز ایستا کار میکند، در خصوص کشف آسیب پذیری های Binary طراحی شده که بیش از 20 زبان رو پشتیبانی میکنه و به گفته خودش بالای 2000 rule پایش برای کشف آسیب پذیری داره.
این ابزار امکان نصب بصورت یک افزونه برای VSCode و Ghidra رو داشته و میتونه در زمان Disassemble کد، شروع به پایش آسیب پذیری کنه، برخی از این Rule هارو میتونید اینجا ببینید.
از ویژگی های جالب این ابزار میشود، به داشتن Syntax مخصوص در بحث ساخت Rule اشاره داشت که همانند امضاهای Yara امکان ساخت نوع Pattern مد نظر خودتون رو خواهد داشت و بصورت هوشمند شروع به پایش در کد کند..
یک ارائه هم در این خصوص انجام شده که اینجا میتونید مشاهده بفرماید.
https://semgrep.dev/
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#BypassAVs #Hardcoding C++
ایجاد یک رفتار جدید در فرایند های Coding مرسوم یک موضوع، میتونه موجب دور زدن مکانیزم های دفاعی بشه...
چرا که تابع رفتاری عموم آنها مبتنی بر مدل رفتار الگویی است که تا به آن روز استفاده میشده، در نتیجه در مواجه با روش های نوین امکان تشخیص مخرب بودن یک کد رو سخت خواهد نمود...
در تصویر روش بکار گرفته شده در خصوص پیچیده کردن فرایند استفاده از توابع سیستم عامل و پاس دادن مقادیر ورودی برنامه بوده، که به روش غیر معمول انجام شده و نتیجتا موجب دور زدن 97 درصدی تمامی محصولات ضدبدافزار شده است...
پیچیده کردن الگوی رفتاری توابع یک بدافزار میتواند در نحوه تشخیص ترسیم الگوی امضای کد مخرب، ایمن باشد.
https://www.virustotal.com/gui/file/8b73a148a27479ae55e00d9f95fcd3ae5efd960d4a83c69605a7f899292e011d
@Unk9vvN
ایجاد یک رفتار جدید در فرایند های Coding مرسوم یک موضوع، میتونه موجب دور زدن مکانیزم های دفاعی بشه...
چرا که تابع رفتاری عموم آنها مبتنی بر مدل رفتار الگویی است که تا به آن روز استفاده میشده، در نتیجه در مواجه با روش های نوین امکان تشخیص مخرب بودن یک کد رو سخت خواهد نمود...
در تصویر روش بکار گرفته شده در خصوص پیچیده کردن فرایند استفاده از توابع سیستم عامل و پاس دادن مقادیر ورودی برنامه بوده، که به روش غیر معمول انجام شده و نتیجتا موجب دور زدن 97 درصدی تمامی محصولات ضدبدافزار شده است...
پیچیده کردن الگوی رفتاری توابع یک بدافزار میتواند در نحوه تشخیص ترسیم الگوی امضای کد مخرب، ایمن باشد.
https://www.virustotal.com/gui/file/8b73a148a27479ae55e00d9f95fcd3ae5efd960d4a83c69605a7f899292e011d
@Unk9vvN
#Wordpress #Object_Injection (CVE-2022-21663)
استفاده نا صحیح از
موضوعی که میتونه جالب باشه اینه که عملکرد تابع
حالا برای دور زدن میبایست توجه به این نکته کنیم که در PHP نسخه 7.4 به قبل نشانگر
همچنین در switch های تابع
@Unk9vvN
استفاده نا صحیح از
()unserialize@ بجای ()maybe_unserialize در نقطه انتهایی wp-admin/options.php و در پارامتر active_plugins که مقدارش بصورت Serialize در پایگاه داده ذخیره میشه، موجب شده تا آسیب پذیری Object Injection رخ بده..موضوعی که میتونه جالب باشه اینه که عملکرد تابع
()maybe_unserialize اینطوره که اگر مقدار ورودی Object یا Array و یا Serialize باشه، میاد اون رو Double Serialize میکنه که به نوعی اثر تخریبی مقادیر داخلش رو دفع کنه،حالا برای دور زدن میبایست توجه به این نکته کنیم که در PHP نسخه 7.4 به قبل نشانگر
C در مقادیر Serialize معرف Class بوده که در تابع ()unserialize پشتیبانی میشه، همچنین در switch های تابع
()maybe_unserialize ذکر نشده که اگر نوع داده Object و نشانگر اون C بود بیا و عملیات Double Serialize رو انجام بده، همین موضوع باعث میشه که مهاجم در طراحی POP Chain Gadget خودش، نوع Object رو با نشانگر C قرار بده و تابع ()maybe_unserialize رو دور بزنه.@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#MITRE_ATTCK #Evaluation 2022
گزارشی از شرکت SentinelOne در خصوص کسب مقام اول بهترین سامانه XDR در خصوص شبیه سازی حملات Wizard Spider و Sandworm که هر دو از جمله حملات #APT بوده
این شبیه سازی هر یک الی دو سال بین شرکت های فعال در حوزه تولید محصولات امنیت دفاعی بواسطه مجموعه MITRE ATT&CK Evaluations برگزار میشه که بهترین عملکرد ها رو برای عموم مخاطبین به نمایش میزاره
این ارزیابی کیفی محصولات موجب شده که محصولات فیک و غیر واقعی در رده محصولات بازار قرار نگیره و عملکرد هر محصولی در مقابل یک حمله مداوم پیشرفته بصورت واقعی ارزیابی بشه
موضوعی که در کشور ما به جد بهش نیازه و مراکزی مانند افتا میبایست در این خصوص تنظیم گیری هایی صورت میدادند...
https://www.sentinelone.com/blog/our-take-sentinelones-2022-mitre-attck-evaluation-results/
@Unk9vvN
گزارشی از شرکت SentinelOne در خصوص کسب مقام اول بهترین سامانه XDR در خصوص شبیه سازی حملات Wizard Spider و Sandworm که هر دو از جمله حملات #APT بوده
این شبیه سازی هر یک الی دو سال بین شرکت های فعال در حوزه تولید محصولات امنیت دفاعی بواسطه مجموعه MITRE ATT&CK Evaluations برگزار میشه که بهترین عملکرد ها رو برای عموم مخاطبین به نمایش میزاره
این ارزیابی کیفی محصولات موجب شده که محصولات فیک و غیر واقعی در رده محصولات بازار قرار نگیره و عملکرد هر محصولی در مقابل یک حمله مداوم پیشرفته بصورت واقعی ارزیابی بشه
موضوعی که در کشور ما به جد بهش نیازه و مراکزی مانند افتا میبایست در این خصوص تنظیم گیری هایی صورت میدادند...
https://www.sentinelone.com/blog/our-take-sentinelones-2022-mitre-attck-evaluation-results/
@Unk9vvN
#Inceptor #AV and #EDR Bypasses
در ابزار Inceptor روش هایی در خصوص ویژگی های مورد استفاده مکانیزم های دفاعی مطرح شده که نگاه به عملکرد اونها خالی از لطف نیست
همچنین روش های دور زدن مکانیزم های شناسایی کننده هم مطرح شده که شاخص ترین اونها بحث استفاده از مبهم سازی، تکنیک Patching که در خصوص تغییر نتایج پایش AMSI بر روی حافظه بوده و یا تکنیک هایی که موجب دور زدن Sandbox میشه، مانند چک کردن ENV ها، نام ها هش Sections ها و مواردی از این دست
موضوعی که در این ابزار جالبه توضیح نحوه کارکرد EDR هاست که تکنیک هایی براش مطرح شده مثل استفاده یک پردازش از توابع سیستمی سمت کاربر، یک Hook به DLL مربوط به پردازش EDR زده شده و ورودی های مربوط به اون تابع سیستمی که مورد بررسی قرار میگیره
حالا محقق بیان میکنه که فرایند فراخوانی یک توابع API سیستم عامل تا ساختمان سطح هسته، یک زنجیره ی Native هستش که اگر مهاجم روال مرسوم این زنجیره رو بشکنه و مستقیما به ساختمان توابع مربوط دسترسی بگیره، امکان مانیتور شدن اون تابع سیستمی توسط EDR میتونه از بین هم بره.
@Unk9vvN
در ابزار Inceptor روش هایی در خصوص ویژگی های مورد استفاده مکانیزم های دفاعی مطرح شده که نگاه به عملکرد اونها خالی از لطف نیست
همچنین روش های دور زدن مکانیزم های شناسایی کننده هم مطرح شده که شاخص ترین اونها بحث استفاده از مبهم سازی، تکنیک Patching که در خصوص تغییر نتایج پایش AMSI بر روی حافظه بوده و یا تکنیک هایی که موجب دور زدن Sandbox میشه، مانند چک کردن ENV ها، نام ها هش Sections ها و مواردی از این دست
موضوعی که در این ابزار جالبه توضیح نحوه کارکرد EDR هاست که تکنیک هایی براش مطرح شده مثل استفاده یک پردازش از توابع سیستمی سمت کاربر، یک Hook به DLL مربوط به پردازش EDR زده شده و ورودی های مربوط به اون تابع سیستمی که مورد بررسی قرار میگیره
حالا محقق بیان میکنه که فرایند فراخوانی یک توابع API سیستم عامل تا ساختمان سطح هسته، یک زنجیره ی Native هستش که اگر مهاجم روال مرسوم این زنجیره رو بشکنه و مستقیما به ساختمان توابع مربوط دسترسی بگیره، امکان مانیتور شدن اون تابع سیستمی توسط EDR میتونه از بین هم بره.
@Unk9vvN
#MERCURY #Log4j Targeting #Israel Organizations
در جریان پیدا شدن آسیب پذیری log4j تیم های تهاجمی در سراسر دنیا شروع به پایش محصولاتی کردند که از کتابخونه Log 4 Java که محصول Apache هست، پیدا کنند...
یکی از موارد معروفی که در اثر استفاده از این کتابخانه مورد حمله قرار گرفت محصولات VMware بود، اما در تهاجمی که اخیرا بر روی ارگان های دولتی کشور جعلی اسرائیل رخ داد، محصولی مورد حمله قرار گرفت با نام SysAid که بر بستر های این کشور مورد استفاده قرار میگرفته و دارای کتابخونه آسیب پذیری Log4j بوده...
اما نکات جالبی راجب خود #APT اتفاق افتاده. اول اینکه بعد از ایجاد دسترسی بواسطه آسیب پذیری، مهاجمان اقدام به اجرای کد مبتنی بر Webshell کردند و بواسطه cmd.exe و net.exe فرمان هایی رو برای ایجاد یک کاربر در localgroup انجام دادند.
مورد بعدی که جالبه، استفاده از Mimikatz برای دزدیدن Credentials بوده برای Lateral Movement و دسترسی به DC و SQL Server، همچنین به وسیله سرویسی در خود سیستم عامل که با نام vpnui.exe موجوده، یک دسترسی Remote Desktop Management بواسطه محصولی تجاری زده شده با نام eHorus !
@Unk9vvN
در جریان پیدا شدن آسیب پذیری log4j تیم های تهاجمی در سراسر دنیا شروع به پایش محصولاتی کردند که از کتابخونه Log 4 Java که محصول Apache هست، پیدا کنند...
یکی از موارد معروفی که در اثر استفاده از این کتابخانه مورد حمله قرار گرفت محصولات VMware بود، اما در تهاجمی که اخیرا بر روی ارگان های دولتی کشور جعلی اسرائیل رخ داد، محصولی مورد حمله قرار گرفت با نام SysAid که بر بستر های این کشور مورد استفاده قرار میگرفته و دارای کتابخونه آسیب پذیری Log4j بوده...
اما نکات جالبی راجب خود #APT اتفاق افتاده. اول اینکه بعد از ایجاد دسترسی بواسطه آسیب پذیری، مهاجمان اقدام به اجرای کد مبتنی بر Webshell کردند و بواسطه cmd.exe و net.exe فرمان هایی رو برای ایجاد یک کاربر در localgroup انجام دادند.
مورد بعدی که جالبه، استفاده از Mimikatz برای دزدیدن Credentials بوده برای Lateral Movement و دسترسی به DC و SQL Server، همچنین به وسیله سرویسی در خود سیستم عامل که با نام vpnui.exe موجوده، یک دسترسی Remote Desktop Management بواسطه محصولی تجاری زده شده با نام eHorus !
@Unk9vvN
What are #Chipkits ?
با گسترده شدن سطح حملات، امروزه سطوح جاسازی جاسوس افزارها همواره به لایه های دست نیافتنی تر و پایین تر پیش میرود
در گذشته ما با دو نوع معروف از جاسوس افزارها که به نام های Rootkit و Bootkit پیاده سازی میشد آشنا بودیم، اما اخیرا در گزارشاتی که در کنفرانس بلکهت 2022 ارائه شد، مفهوم جدید تری در خصوص جای گزاری جاسوس افزار و یا در پشتی مطرح شده است با نام Chipkit
در اصل Chipkit به گونه ای از بدافزارها گفته میشود که در لایه Silicon و بر روی خود تراشه تاثیر میگذارد، همچنین این سبک بدافزارها همواره از آسیب پذیری های سطح پردازنده هم بهره گرفته و در راستای انجام فرامین خود بکار میگیرند
یکی از این آسیب پذیری های شایع Fault Injection یا تزریق خطا است که محاسبات زمانبندی پردازنده را هدف قرار داده و موجب پرش اشتباه یا رفتار اشتباه در پردازنده میشود...
شرکت Intel در ابتدا برای کاهش حملات به پردازنده از ویژگی جدید خود با نام CSME رو نمایی کرد که متاسفانه در مقابل Chipkit ها نمیتواند میزان اثر بخشی بدافزار را کاهش دهد، از این روی اعتبار سنجی زمانبندی ها در مدار تراشه به درستی اعمال نمیشود.
@Unk9vvN
با گسترده شدن سطح حملات، امروزه سطوح جاسازی جاسوس افزارها همواره به لایه های دست نیافتنی تر و پایین تر پیش میرود
در گذشته ما با دو نوع معروف از جاسوس افزارها که به نام های Rootkit و Bootkit پیاده سازی میشد آشنا بودیم، اما اخیرا در گزارشاتی که در کنفرانس بلکهت 2022 ارائه شد، مفهوم جدید تری در خصوص جای گزاری جاسوس افزار و یا در پشتی مطرح شده است با نام Chipkit
در اصل Chipkit به گونه ای از بدافزارها گفته میشود که در لایه Silicon و بر روی خود تراشه تاثیر میگذارد، همچنین این سبک بدافزارها همواره از آسیب پذیری های سطح پردازنده هم بهره گرفته و در راستای انجام فرامین خود بکار میگیرند
یکی از این آسیب پذیری های شایع Fault Injection یا تزریق خطا است که محاسبات زمانبندی پردازنده را هدف قرار داده و موجب پرش اشتباه یا رفتار اشتباه در پردازنده میشود...
شرکت Intel در ابتدا برای کاهش حملات به پردازنده از ویژگی جدید خود با نام CSME رو نمایی کرد که متاسفانه در مقابل Chipkit ها نمیتواند میزان اثر بخشی بدافزار را کاهش دهد، از این روی اعتبار سنجی زمانبندی ها در مدار تراشه به درستی اعمال نمیشود.
@Unk9vvN
Content Strategy #Penetration_Testing #Courses
استراتژی محتوایی دوره های آموزش بخش تست نفوذ تیم تحقیقاتی Unk9vvN منتشر شد، قراره که در خصوص هریک از عناوینی که در Syllabus دوره ها مطرح میشه، از جنبه هایی بهش پرداخته بشه که در تصویر مطرح شده
امکان اینکه این استراتژی در خصوص تمامی آسیب پذیری ها مطرح باشه نیست، چرا که برخی آسیب پذیری ها دارای تمامی جنبه های مطرح شده نیستند، برای مثال مباحث Misconfiguration دارای ابعاد Obfuscation نیستند، اما در خصوص موضوعاتی دیگر مثل Insecure Deserialization نه تنها جنبه های مطرح شده در استراتژی محتوای وجود داره بلکه حجم مطالبش هم بسیار بالاست
این سیاست که به تمامی جنبه های آسیب پذیری ها، تکنیک ها و تاکتیک ها پرداخته بشه هم، به این دلیله که امروزه حجم اطلاعات در حوزه های تست نفوذ بسیار وسیع تر شده و توانمندی در گِروی اشراف کامل علمی دانشجو میتونه قرار داشته باشه
کلیت استراتژی شامل این چهار مورد است:
1.فهم چرایی رخداد آسیب پذیری
2.کشف آسیب پذیری بصورت Black Box
3.کشف آسیب پذیری بصورت White Box
4.پیاده سازی مبهم سازی ها
5.طراحی اتوماسیون و زنجیره کردن آسیب پذیری ها
@Unk9vvN
استراتژی محتوایی دوره های آموزش بخش تست نفوذ تیم تحقیقاتی Unk9vvN منتشر شد، قراره که در خصوص هریک از عناوینی که در Syllabus دوره ها مطرح میشه، از جنبه هایی بهش پرداخته بشه که در تصویر مطرح شده
امکان اینکه این استراتژی در خصوص تمامی آسیب پذیری ها مطرح باشه نیست، چرا که برخی آسیب پذیری ها دارای تمامی جنبه های مطرح شده نیستند، برای مثال مباحث Misconfiguration دارای ابعاد Obfuscation نیستند، اما در خصوص موضوعاتی دیگر مثل Insecure Deserialization نه تنها جنبه های مطرح شده در استراتژی محتوای وجود داره بلکه حجم مطالبش هم بسیار بالاست
این سیاست که به تمامی جنبه های آسیب پذیری ها، تکنیک ها و تاکتیک ها پرداخته بشه هم، به این دلیله که امروزه حجم اطلاعات در حوزه های تست نفوذ بسیار وسیع تر شده و توانمندی در گِروی اشراف کامل علمی دانشجو میتونه قرار داشته باشه
کلیت استراتژی شامل این چهار مورد است:
1.فهم چرایی رخداد آسیب پذیری
2.کشف آسیب پذیری بصورت Black Box
3.کشف آسیب پذیری بصورت White Box
4.پیاده سازی مبهم سازی ها
5.طراحی اتوماسیون و زنجیره کردن آسیب پذیری ها
@Unk9vvN
Attacks on #ETW Blind #EDR Sensors
مکانیزم ETW در سیستم عامل ویندوز مامور جمع آوری و ثبت رویداد هاست، در تصویر شماره 0 ویژگی ها و مناطق مورد پوشش ثبت رویدادی اون رو میتونید مشاهده کنید.
از این روی داده های مورد نیاز سامانه های EDR برای تحلیل رفتار و کشف رفتارهای مخرب وابسته به ETW است، در تصویر شماره 1 میتونید مقالاتی که در خصوص شناسایی رفتارهای مخرب بدافزارها مبتنی بر ETW طراحی شده رو مشاهده کنید.
در تصویر شماره 2 مشاهده میکنید که چه حملات APT در TTP حمله خودشون اقدام به از کار انداختن یا نامحسوس کردن حمله خودشون در مقابل ETW کردند.
اما در تصویر 3 و 4 میتونید تکنیک های حمله به ETW در سطح User-Mode و Kernel-Mode رو مشاهده کنید که عموما مبتنی بر Patch کردن داده ها در سطح حافظه و Hook Functions و Call Functions اقدام به Disable کردن سرویس کرده.
در تصویر شماره 4 مدل تهدیدات قابل انجام به ETW، ترسیم شده که مهاجمان چگونه میتونن بواسطه یک Driver مخرب در سطح هسته اقدام به Patching و تغییر در فرایند دریافت Buffer از نشست های ایجاد شده ی ETW داشته باشند.
Reference
@Unk9vvN
مکانیزم ETW در سیستم عامل ویندوز مامور جمع آوری و ثبت رویداد هاست، در تصویر شماره 0 ویژگی ها و مناطق مورد پوشش ثبت رویدادی اون رو میتونید مشاهده کنید.
از این روی داده های مورد نیاز سامانه های EDR برای تحلیل رفتار و کشف رفتارهای مخرب وابسته به ETW است، در تصویر شماره 1 میتونید مقالاتی که در خصوص شناسایی رفتارهای مخرب بدافزارها مبتنی بر ETW طراحی شده رو مشاهده کنید.
در تصویر شماره 2 مشاهده میکنید که چه حملات APT در TTP حمله خودشون اقدام به از کار انداختن یا نامحسوس کردن حمله خودشون در مقابل ETW کردند.
اما در تصویر 3 و 4 میتونید تکنیک های حمله به ETW در سطح User-Mode و Kernel-Mode رو مشاهده کنید که عموما مبتنی بر Patch کردن داده ها در سطح حافظه و Hook Functions و Call Functions اقدام به Disable کردن سرویس کرده.
در تصویر شماره 4 مدل تهدیدات قابل انجام به ETW، ترسیم شده که مهاجمان چگونه میتونن بواسطه یک Driver مخرب در سطح هسته اقدام به Patching و تغییر در فرایند دریافت Buffer از نشست های ایجاد شده ی ETW داشته باشند.
Reference
@Unk9vvN