#Inceptor #AV and #EDR Bypasses
در ابزار Inceptor روش هایی در خصوص ویژگی های مورد استفاده مکانیزم های دفاعی مطرح شده که نگاه به عملکرد اونها خالی از لطف نیست
همچنین روش های دور زدن مکانیزم های شناسایی کننده هم مطرح شده که شاخص ترین اونها بحث استفاده از مبهم سازی، تکنیک Patching که در خصوص تغییر نتایج پایش AMSI بر روی حافظه بوده و یا تکنیک هایی که موجب دور زدن Sandbox میشه، مانند چک کردن ENV ها، نام ها هش Sections ها و مواردی از این دست
موضوعی که در این ابزار جالبه توضیح نحوه کارکرد EDR هاست که تکنیک هایی براش مطرح شده مثل استفاده یک پردازش از توابع سیستمی سمت کاربر، یک Hook به DLL مربوط به پردازش EDR زده شده و ورودی های مربوط به اون تابع سیستمی که مورد بررسی قرار میگیره
حالا محقق بیان میکنه که فرایند فراخوانی یک توابع API سیستم عامل تا ساختمان سطح هسته، یک زنجیره ی Native هستش که اگر مهاجم روال مرسوم این زنجیره رو بشکنه و مستقیما به ساختمان توابع مربوط دسترسی بگیره، امکان مانیتور شدن اون تابع سیستمی توسط EDR میتونه از بین هم بره.
@Unk9vvN
در ابزار Inceptor روش هایی در خصوص ویژگی های مورد استفاده مکانیزم های دفاعی مطرح شده که نگاه به عملکرد اونها خالی از لطف نیست
همچنین روش های دور زدن مکانیزم های شناسایی کننده هم مطرح شده که شاخص ترین اونها بحث استفاده از مبهم سازی، تکنیک Patching که در خصوص تغییر نتایج پایش AMSI بر روی حافظه بوده و یا تکنیک هایی که موجب دور زدن Sandbox میشه، مانند چک کردن ENV ها، نام ها هش Sections ها و مواردی از این دست
موضوعی که در این ابزار جالبه توضیح نحوه کارکرد EDR هاست که تکنیک هایی براش مطرح شده مثل استفاده یک پردازش از توابع سیستمی سمت کاربر، یک Hook به DLL مربوط به پردازش EDR زده شده و ورودی های مربوط به اون تابع سیستمی که مورد بررسی قرار میگیره
حالا محقق بیان میکنه که فرایند فراخوانی یک توابع API سیستم عامل تا ساختمان سطح هسته، یک زنجیره ی Native هستش که اگر مهاجم روال مرسوم این زنجیره رو بشکنه و مستقیما به ساختمان توابع مربوط دسترسی بگیره، امکان مانیتور شدن اون تابع سیستمی توسط EDR میتونه از بین هم بره.
@Unk9vvN
#MERCURY #Log4j Targeting #Israel Organizations
در جریان پیدا شدن آسیب پذیری log4j تیم های تهاجمی در سراسر دنیا شروع به پایش محصولاتی کردند که از کتابخونه Log 4 Java که محصول Apache هست، پیدا کنند...
یکی از موارد معروفی که در اثر استفاده از این کتابخانه مورد حمله قرار گرفت محصولات VMware بود، اما در تهاجمی که اخیرا بر روی ارگان های دولتی کشور جعلی اسرائیل رخ داد، محصولی مورد حمله قرار گرفت با نام SysAid که بر بستر های این کشور مورد استفاده قرار میگرفته و دارای کتابخونه آسیب پذیری Log4j بوده...
اما نکات جالبی راجب خود #APT اتفاق افتاده. اول اینکه بعد از ایجاد دسترسی بواسطه آسیب پذیری، مهاجمان اقدام به اجرای کد مبتنی بر Webshell کردند و بواسطه cmd.exe و net.exe فرمان هایی رو برای ایجاد یک کاربر در localgroup انجام دادند.
مورد بعدی که جالبه، استفاده از Mimikatz برای دزدیدن Credentials بوده برای Lateral Movement و دسترسی به DC و SQL Server، همچنین به وسیله سرویسی در خود سیستم عامل که با نام vpnui.exe موجوده، یک دسترسی Remote Desktop Management بواسطه محصولی تجاری زده شده با نام eHorus !
@Unk9vvN
در جریان پیدا شدن آسیب پذیری log4j تیم های تهاجمی در سراسر دنیا شروع به پایش محصولاتی کردند که از کتابخونه Log 4 Java که محصول Apache هست، پیدا کنند...
یکی از موارد معروفی که در اثر استفاده از این کتابخانه مورد حمله قرار گرفت محصولات VMware بود، اما در تهاجمی که اخیرا بر روی ارگان های دولتی کشور جعلی اسرائیل رخ داد، محصولی مورد حمله قرار گرفت با نام SysAid که بر بستر های این کشور مورد استفاده قرار میگرفته و دارای کتابخونه آسیب پذیری Log4j بوده...
اما نکات جالبی راجب خود #APT اتفاق افتاده. اول اینکه بعد از ایجاد دسترسی بواسطه آسیب پذیری، مهاجمان اقدام به اجرای کد مبتنی بر Webshell کردند و بواسطه cmd.exe و net.exe فرمان هایی رو برای ایجاد یک کاربر در localgroup انجام دادند.
مورد بعدی که جالبه، استفاده از Mimikatz برای دزدیدن Credentials بوده برای Lateral Movement و دسترسی به DC و SQL Server، همچنین به وسیله سرویسی در خود سیستم عامل که با نام vpnui.exe موجوده، یک دسترسی Remote Desktop Management بواسطه محصولی تجاری زده شده با نام eHorus !
@Unk9vvN
What are #Chipkits ?
با گسترده شدن سطح حملات، امروزه سطوح جاسازی جاسوس افزارها همواره به لایه های دست نیافتنی تر و پایین تر پیش میرود
در گذشته ما با دو نوع معروف از جاسوس افزارها که به نام های Rootkit و Bootkit پیاده سازی میشد آشنا بودیم، اما اخیرا در گزارشاتی که در کنفرانس بلکهت 2022 ارائه شد، مفهوم جدید تری در خصوص جای گزاری جاسوس افزار و یا در پشتی مطرح شده است با نام Chipkit
در اصل Chipkit به گونه ای از بدافزارها گفته میشود که در لایه Silicon و بر روی خود تراشه تاثیر میگذارد، همچنین این سبک بدافزارها همواره از آسیب پذیری های سطح پردازنده هم بهره گرفته و در راستای انجام فرامین خود بکار میگیرند
یکی از این آسیب پذیری های شایع Fault Injection یا تزریق خطا است که محاسبات زمانبندی پردازنده را هدف قرار داده و موجب پرش اشتباه یا رفتار اشتباه در پردازنده میشود...
شرکت Intel در ابتدا برای کاهش حملات به پردازنده از ویژگی جدید خود با نام CSME رو نمایی کرد که متاسفانه در مقابل Chipkit ها نمیتواند میزان اثر بخشی بدافزار را کاهش دهد، از این روی اعتبار سنجی زمانبندی ها در مدار تراشه به درستی اعمال نمیشود.
@Unk9vvN
با گسترده شدن سطح حملات، امروزه سطوح جاسازی جاسوس افزارها همواره به لایه های دست نیافتنی تر و پایین تر پیش میرود
در گذشته ما با دو نوع معروف از جاسوس افزارها که به نام های Rootkit و Bootkit پیاده سازی میشد آشنا بودیم، اما اخیرا در گزارشاتی که در کنفرانس بلکهت 2022 ارائه شد، مفهوم جدید تری در خصوص جای گزاری جاسوس افزار و یا در پشتی مطرح شده است با نام Chipkit
در اصل Chipkit به گونه ای از بدافزارها گفته میشود که در لایه Silicon و بر روی خود تراشه تاثیر میگذارد، همچنین این سبک بدافزارها همواره از آسیب پذیری های سطح پردازنده هم بهره گرفته و در راستای انجام فرامین خود بکار میگیرند
یکی از این آسیب پذیری های شایع Fault Injection یا تزریق خطا است که محاسبات زمانبندی پردازنده را هدف قرار داده و موجب پرش اشتباه یا رفتار اشتباه در پردازنده میشود...
شرکت Intel در ابتدا برای کاهش حملات به پردازنده از ویژگی جدید خود با نام CSME رو نمایی کرد که متاسفانه در مقابل Chipkit ها نمیتواند میزان اثر بخشی بدافزار را کاهش دهد، از این روی اعتبار سنجی زمانبندی ها در مدار تراشه به درستی اعمال نمیشود.
@Unk9vvN
Content Strategy #Penetration_Testing #Courses
استراتژی محتوایی دوره های آموزش بخش تست نفوذ تیم تحقیقاتی Unk9vvN منتشر شد، قراره که در خصوص هریک از عناوینی که در Syllabus دوره ها مطرح میشه، از جنبه هایی بهش پرداخته بشه که در تصویر مطرح شده
امکان اینکه این استراتژی در خصوص تمامی آسیب پذیری ها مطرح باشه نیست، چرا که برخی آسیب پذیری ها دارای تمامی جنبه های مطرح شده نیستند، برای مثال مباحث Misconfiguration دارای ابعاد Obfuscation نیستند، اما در خصوص موضوعاتی دیگر مثل Insecure Deserialization نه تنها جنبه های مطرح شده در استراتژی محتوای وجود داره بلکه حجم مطالبش هم بسیار بالاست
این سیاست که به تمامی جنبه های آسیب پذیری ها، تکنیک ها و تاکتیک ها پرداخته بشه هم، به این دلیله که امروزه حجم اطلاعات در حوزه های تست نفوذ بسیار وسیع تر شده و توانمندی در گِروی اشراف کامل علمی دانشجو میتونه قرار داشته باشه
کلیت استراتژی شامل این چهار مورد است:
1.فهم چرایی رخداد آسیب پذیری
2.کشف آسیب پذیری بصورت Black Box
3.کشف آسیب پذیری بصورت White Box
4.پیاده سازی مبهم سازی ها
5.طراحی اتوماسیون و زنجیره کردن آسیب پذیری ها
@Unk9vvN
استراتژی محتوایی دوره های آموزش بخش تست نفوذ تیم تحقیقاتی Unk9vvN منتشر شد، قراره که در خصوص هریک از عناوینی که در Syllabus دوره ها مطرح میشه، از جنبه هایی بهش پرداخته بشه که در تصویر مطرح شده
امکان اینکه این استراتژی در خصوص تمامی آسیب پذیری ها مطرح باشه نیست، چرا که برخی آسیب پذیری ها دارای تمامی جنبه های مطرح شده نیستند، برای مثال مباحث Misconfiguration دارای ابعاد Obfuscation نیستند، اما در خصوص موضوعاتی دیگر مثل Insecure Deserialization نه تنها جنبه های مطرح شده در استراتژی محتوای وجود داره بلکه حجم مطالبش هم بسیار بالاست
این سیاست که به تمامی جنبه های آسیب پذیری ها، تکنیک ها و تاکتیک ها پرداخته بشه هم، به این دلیله که امروزه حجم اطلاعات در حوزه های تست نفوذ بسیار وسیع تر شده و توانمندی در گِروی اشراف کامل علمی دانشجو میتونه قرار داشته باشه
کلیت استراتژی شامل این چهار مورد است:
1.فهم چرایی رخداد آسیب پذیری
2.کشف آسیب پذیری بصورت Black Box
3.کشف آسیب پذیری بصورت White Box
4.پیاده سازی مبهم سازی ها
5.طراحی اتوماسیون و زنجیره کردن آسیب پذیری ها
@Unk9vvN
Attacks on #ETW Blind #EDR Sensors
مکانیزم ETW در سیستم عامل ویندوز مامور جمع آوری و ثبت رویداد هاست، در تصویر شماره 0 ویژگی ها و مناطق مورد پوشش ثبت رویدادی اون رو میتونید مشاهده کنید.
از این روی داده های مورد نیاز سامانه های EDR برای تحلیل رفتار و کشف رفتارهای مخرب وابسته به ETW است، در تصویر شماره 1 میتونید مقالاتی که در خصوص شناسایی رفتارهای مخرب بدافزارها مبتنی بر ETW طراحی شده رو مشاهده کنید.
در تصویر شماره 2 مشاهده میکنید که چه حملات APT در TTP حمله خودشون اقدام به از کار انداختن یا نامحسوس کردن حمله خودشون در مقابل ETW کردند.
اما در تصویر 3 و 4 میتونید تکنیک های حمله به ETW در سطح User-Mode و Kernel-Mode رو مشاهده کنید که عموما مبتنی بر Patch کردن داده ها در سطح حافظه و Hook Functions و Call Functions اقدام به Disable کردن سرویس کرده.
در تصویر شماره 4 مدل تهدیدات قابل انجام به ETW، ترسیم شده که مهاجمان چگونه میتونن بواسطه یک Driver مخرب در سطح هسته اقدام به Patching و تغییر در فرایند دریافت Buffer از نشست های ایجاد شده ی ETW داشته باشند.
Reference
@Unk9vvN
مکانیزم ETW در سیستم عامل ویندوز مامور جمع آوری و ثبت رویداد هاست، در تصویر شماره 0 ویژگی ها و مناطق مورد پوشش ثبت رویدادی اون رو میتونید مشاهده کنید.
از این روی داده های مورد نیاز سامانه های EDR برای تحلیل رفتار و کشف رفتارهای مخرب وابسته به ETW است، در تصویر شماره 1 میتونید مقالاتی که در خصوص شناسایی رفتارهای مخرب بدافزارها مبتنی بر ETW طراحی شده رو مشاهده کنید.
در تصویر شماره 2 مشاهده میکنید که چه حملات APT در TTP حمله خودشون اقدام به از کار انداختن یا نامحسوس کردن حمله خودشون در مقابل ETW کردند.
اما در تصویر 3 و 4 میتونید تکنیک های حمله به ETW در سطح User-Mode و Kernel-Mode رو مشاهده کنید که عموما مبتنی بر Patch کردن داده ها در سطح حافظه و Hook Functions و Call Functions اقدام به Disable کردن سرویس کرده.
در تصویر شماره 4 مدل تهدیدات قابل انجام به ETW، ترسیم شده که مهاجمان چگونه میتونن بواسطه یک Driver مخرب در سطح هسته اقدام به Patching و تغییر در فرایند دریافت Buffer از نشست های ایجاد شده ی ETW داشته باشند.
Reference
@Unk9vvN
#StarLink #Internet #Freenet
اینترنت ماهواره ای برای ایران در حال فعال شدنه و با محقق شدن این رویداد، ما فصل جدیدی از اینترنت رو تجربه خواهیم کرد.
اثر این تحول محدود به رفع فیلترینگ نیست و میتونه بسیاری از ابعاد دیگه فضای فناوری اطلاعات رو تغییر بده، این تغییر هم جنبه های مثبتی داره مثل تسهیل خدمات در تمام نقاط یک کشور که بواسطه کیفیت خوب سرعت موجب میشه مردم بتونن از خدمات دنیای ارتباطات بهتر استفاده کنند و همچنین از بین رفتن تمام محدودیت ها در خصوص دسترسی به سرویس دهنده های خارجی مانند Youtube و غیره.
جنبه های منفی اون هم اینه که بدلیل محقق شدن یک ارتباط سراسری و یکپارچه بدون هرگونه محدودیت، تمامی سرویس دهنده های اینترنت در ایران و شرکت های وابسته آنها، همگی بازار خود را از دست خواهند داد. نکته ی دیگر اینکه اینترنت StarLink نیاز به یک دریافت کننده زمینی داره که بواسطه اونها میبایست دستگاه های خانگی، اینترنت رو دریافت کنند این ایستگاه ها تا شعاع 500 کیلومتر رو پوشش خواهند داد که قراره در خاورمیانه نصب بشه.
https://www.starlink.com
@Unk9vvN
اینترنت ماهواره ای برای ایران در حال فعال شدنه و با محقق شدن این رویداد، ما فصل جدیدی از اینترنت رو تجربه خواهیم کرد.
اثر این تحول محدود به رفع فیلترینگ نیست و میتونه بسیاری از ابعاد دیگه فضای فناوری اطلاعات رو تغییر بده، این تغییر هم جنبه های مثبتی داره مثل تسهیل خدمات در تمام نقاط یک کشور که بواسطه کیفیت خوب سرعت موجب میشه مردم بتونن از خدمات دنیای ارتباطات بهتر استفاده کنند و همچنین از بین رفتن تمام محدودیت ها در خصوص دسترسی به سرویس دهنده های خارجی مانند Youtube و غیره.
جنبه های منفی اون هم اینه که بدلیل محقق شدن یک ارتباط سراسری و یکپارچه بدون هرگونه محدودیت، تمامی سرویس دهنده های اینترنت در ایران و شرکت های وابسته آنها، همگی بازار خود را از دست خواهند داد. نکته ی دیگر اینکه اینترنت StarLink نیاز به یک دریافت کننده زمینی داره که بواسطه اونها میبایست دستگاه های خانگی، اینترنت رو دریافت کنند این ایستگاه ها تا شعاع 500 کیلومتر رو پوشش خواهند داد که قراره در خاورمیانه نصب بشه.
https://www.starlink.com
@Unk9vvN
#RatMilad #Android #Spyware
با شدت گرفتن بحث فیلترینگ، بخش جاسوس افزارهای اندرویدی در تلگرام شدت گرفته، که به گزارش Zimperium این بدافزارها در قالب سرویس دهنده VPN پخش شده است
این جاسوس افزار میتواند لیست مخاطبین، گزارش تماس، لیست SMS، موقعیت GPS و غیره رو دریافت میکنه. گفته میشه c طراحی و پخش این بدافزار از ایران بوده و اهداف ایرانی و افغانی رو مورد هدف قرار داده است
از ویژگی های فنی این جاسوس افزار میشود به امکان خواندن و نوشتن فایل اشاره کرد، همچنین امکان حذف فایل و همچنین نحوه عملکرد C&C که مبتنی بر نوع محتوای Json مقادیر مدنظر بواسطه تعریف jobID های مختلف ارسال میشده است
مورد بعد اینکه جاسوس افزار مبتنی بر یک randomUUID و مقدار Mac Address قربانی، یک Job در C&C خودش برای قربانی تعریف کرده و مبتنی بر اون دستگاها تفکیک میشدند، همچنین مجوزها یا Permissions های مورد نیاز نرم افزار، در accessibility services سیستم عامل تنظیم میشده و در صورت ارائه این سرویس از طرف قربانی، مهاجم میتونسته permissions granted های مد نظر خودش رو اعمال کنه.
https://blog.zimperium.com/we-smell-a-ratmilad-mobile-spyware/
@Unk9vvN
با شدت گرفتن بحث فیلترینگ، بخش جاسوس افزارهای اندرویدی در تلگرام شدت گرفته، که به گزارش Zimperium این بدافزارها در قالب سرویس دهنده VPN پخش شده است
این جاسوس افزار میتواند لیست مخاطبین، گزارش تماس، لیست SMS، موقعیت GPS و غیره رو دریافت میکنه. گفته میشه c طراحی و پخش این بدافزار از ایران بوده و اهداف ایرانی و افغانی رو مورد هدف قرار داده است
از ویژگی های فنی این جاسوس افزار میشود به امکان خواندن و نوشتن فایل اشاره کرد، همچنین امکان حذف فایل و همچنین نحوه عملکرد C&C که مبتنی بر نوع محتوای Json مقادیر مدنظر بواسطه تعریف jobID های مختلف ارسال میشده است
مورد بعد اینکه جاسوس افزار مبتنی بر یک randomUUID و مقدار Mac Address قربانی، یک Job در C&C خودش برای قربانی تعریف کرده و مبتنی بر اون دستگاها تفکیک میشدند، همچنین مجوزها یا Permissions های مورد نیاز نرم افزار، در accessibility services سیستم عامل تنظیم میشده و در صورت ارائه این سرویس از طرف قربانی، مهاجم میتونسته permissions granted های مد نظر خودش رو اعمال کنه.
https://blog.zimperium.com/we-smell-a-ratmilad-mobile-spyware/
@Unk9vvN
#ZeroTrust #Access Model
این روزها شاهد رخداد خرابکاری در #صداوسیما هستیم که گفته میشود این خرابکاری ها هک نیست
اولین نکته ای که میبایست در پاسخ به این موضوع مطرح کرد، این است که زمانی که هدف یک خرابکاری در نهایت یک سیستم دیجیتالی است که میتواند یک کامپیوتر باشد یا برای مثال یک دستگاه PLC در فضای صنعتی یا یک بیلبورد تبلیغاتی مبتنی بر Arduino، میتوان آنرا هک نامید
تیم های امنیت دفاعی سایبری علاوه بر اعمال سیاست های ضد بدافزاری و مقابله تکنیکی تاکتیکی مبتنی بر علوم کامپیوتر، میبایست سیاست های کنترل سطح دسترسی و همچنین دسترسی فیزیکی و احراز افراد در سازمان را هم بواسطه مدل هایی مانند Zero Trust Acess و محصولاتی همچون PAM تعیین کنند
برای مثال مایکروسافت در Workshop آموزش میدهد که چگونه مدل های پیاده سازی Zero Trust را مدیران امنیت اطلاعات انجام دهند.
اما نتیجه اینکه زمانی که در کنداکتور پخش یک شبکه تلویزیونی یک داده غیر نرمال از نظر سازمان قربانی بواسطه نیروی انسانی نفوذی وارد میشه به این معنی هست که تیم امنیتی پروسه تصدیق داده و کنترل سطح دسترسی به سیستم های کلیدی رو درست پیاده سازی نکرده است.
@Unk9vvN
این روزها شاهد رخداد خرابکاری در #صداوسیما هستیم که گفته میشود این خرابکاری ها هک نیست
اولین نکته ای که میبایست در پاسخ به این موضوع مطرح کرد، این است که زمانی که هدف یک خرابکاری در نهایت یک سیستم دیجیتالی است که میتواند یک کامپیوتر باشد یا برای مثال یک دستگاه PLC در فضای صنعتی یا یک بیلبورد تبلیغاتی مبتنی بر Arduino، میتوان آنرا هک نامید
تیم های امنیت دفاعی سایبری علاوه بر اعمال سیاست های ضد بدافزاری و مقابله تکنیکی تاکتیکی مبتنی بر علوم کامپیوتر، میبایست سیاست های کنترل سطح دسترسی و همچنین دسترسی فیزیکی و احراز افراد در سازمان را هم بواسطه مدل هایی مانند Zero Trust Acess و محصولاتی همچون PAM تعیین کنند
برای مثال مایکروسافت در Workshop آموزش میدهد که چگونه مدل های پیاده سازی Zero Trust را مدیران امنیت اطلاعات انجام دهند.
اما نتیجه اینکه زمانی که در کنداکتور پخش یک شبکه تلویزیونی یک داده غیر نرمال از نظر سازمان قربانی بواسطه نیروی انسانی نفوذی وارد میشه به این معنی هست که تیم امنیتی پروسه تصدیق داده و کنترل سطح دسترسی به سیستم های کلیدی رو درست پیاده سازی نکرده است.
@Unk9vvN