#Domestic #Kitten Targeting #Iranian on #Android #Malware App
اخیرا گزارشی از تیم تحقیقاتی ESET بیرون اومده در خصوص بدافزار اندرویدی که در قالب یک نرم افزار مقاله سرا و از طریق یک وبسایت فعال در عرصه مقالات و فروش کتاب انتشار یافته است. مدل پخش و ایجاد دسترسی اولیه، مبتنی بر لینک مستقیم و به ظاهر صفحه گوگل پلی انجام شده که در تصاویر پست مشاهده میکنید.
این بدافزار قبلا هم فعال بوده (APT-C-50) و به گفته ESET با وبسایتی جعلی جدیدی دوباره فعال شده است، بررسی های انجام شده نشون میده که این بدافزار قرار بوده که مامور بر جاسوسی از کاربران ایرانی باشه و دسترسی های مطرحه در AndroidManifest.xml شامل موقعیت مکانی، تاریخچه تماس ها، رکورد تماس ها، اجرای برنامه ها، اطلاعات گوشی، لیست مخاطبین و اطلاعیه های برنامه های دیگه هستش...
اما روش کار C&C یا خط فرمان این جاسوس افزار، مبتنی بر ارسال و دریافت درخواست های مبتنی بر Web Service طراحی شده بوده که دریافت اطلاعات و ارسال فرمان ها بصورت مبهم سازی شده انجام می شده است.
@Unk9vvN
اخیرا گزارشی از تیم تحقیقاتی ESET بیرون اومده در خصوص بدافزار اندرویدی که در قالب یک نرم افزار مقاله سرا و از طریق یک وبسایت فعال در عرصه مقالات و فروش کتاب انتشار یافته است. مدل پخش و ایجاد دسترسی اولیه، مبتنی بر لینک مستقیم و به ظاهر صفحه گوگل پلی انجام شده که در تصاویر پست مشاهده میکنید.
این بدافزار قبلا هم فعال بوده (APT-C-50) و به گفته ESET با وبسایتی جعلی جدیدی دوباره فعال شده است، بررسی های انجام شده نشون میده که این بدافزار قرار بوده که مامور بر جاسوسی از کاربران ایرانی باشه و دسترسی های مطرحه در AndroidManifest.xml شامل موقعیت مکانی، تاریخچه تماس ها، رکورد تماس ها، اجرای برنامه ها، اطلاعات گوشی، لیست مخاطبین و اطلاعیه های برنامه های دیگه هستش...
اما روش کار C&C یا خط فرمان این جاسوس افزار، مبتنی بر ارسال و دریافت درخواست های مبتنی بر Web Service طراحی شده بوده که دریافت اطلاعات و ارسال فرمان ها بصورت مبهم سازی شده انجام می شده است.
@Unk9vvN
#Wordpress Core #Unauthenticated Blind #SSRF
اخیرا تحقیقاتی منتشر شده از Simon Scannell و Thomas Chauchefoin که میپردازد به یک آسیب پذیری در هسته سیستم مدیریت محتوای وردپرس که از نوع Blind SSRF بوده و بصورت Unauthenticated امکان Trigger شدن رو میده البته بواسطه تکنیک DNS Rebinding.
این آسیب پذیری در ویژگی pingback در API نقطه انتهایی XML-RPC هستش، محقق مطرح میکنه که در جریان عملیاتی کردن این روش
نکته دیگر اینکه کد Backend، یک Handle کننده درخواست های
مهاجم بواسطه Validate اشتباه در جریان دریافت مقادیر، این امکان رو پیدا کرده تا با پیاده سازی وضعیت رقابتی، درخواست های متعدد خودش رو مبنی بر مجبور کردن ارسال یک درخواست جعلی، از سرور قربانی به DNS Server خودش رو پیاده سازی کنه (Race Condition) که به عبارتی یک SSRF میزنه.
@Unk9vvN
اخیرا تحقیقاتی منتشر شده از Simon Scannell و Thomas Chauchefoin که میپردازد به یک آسیب پذیری در هسته سیستم مدیریت محتوای وردپرس که از نوع Blind SSRF بوده و بصورت Unauthenticated امکان Trigger شدن رو میده البته بواسطه تکنیک DNS Rebinding.
این آسیب پذیری در ویژگی pingback در API نقطه انتهایی XML-RPC هستش، محقق مطرح میکنه که در جریان عملیاتی کردن این روش
pingback.ping، امکان اینکه دو مقدار یا value برای این Method تعریف بشه وجود داره.نکته دیگر اینکه کد Backend، یک Handle کننده درخواست های
pingback، وجود داره که دارای یک ویژگی از PHP است با نام Requests_Transport_cURL این ویژگی برای کتابخونه Requests استفاده شده و بواسطه Requests_Transport_fsockopen درخواست pingback رو Handle میکنه.مهاجم بواسطه Validate اشتباه در جریان دریافت مقادیر، این امکان رو پیدا کرده تا با پیاده سازی وضعیت رقابتی، درخواست های متعدد خودش رو مبنی بر مجبور کردن ارسال یک درخواست جعلی، از سرور قربانی به DNS Server خودش رو پیاده سازی کنه (Race Condition) که به عبارتی یک SSRF میزنه.
@Unk9vvN
#Office #Macro #Evasion
در ارائه امسال Blackhat اروپا، یک PoC مطرح شد در خصوص طراحی Macro برای اجرای کد مخرب بصورت نا محسوس.
نکته ای که محقق مبتنی بر اون روش منطق طراحی Macro خودش قراره داده، این است که بجای استفاده از یک Pattern کد معمول، سعی کرده ساختار Initialize کد برای رسیدن به نهایتا اجرای کد Powershell در تابع Shell، بصورت غیر معمول انجام بده.
یعنی معمولا برای دستیابی به اجرای کد بر روی خط فرمان، میتوان مستقیما از
محقق در کد مطرح شده خودش اومده از یک COM به نام
با برقراری شرط به تابع Shell تماسی زده میشه و کد Powershell اجرا میشه مبنی بر دانلود و اجرای یک فایل EXE.
@Unk9vvN
در ارائه امسال Blackhat اروپا، یک PoC مطرح شد در خصوص طراحی Macro برای اجرای کد مخرب بصورت نا محسوس.
نکته ای که محقق مبتنی بر اون روش منطق طراحی Macro خودش قراره داده، این است که بجای استفاده از یک Pattern کد معمول، سعی کرده ساختار Initialize کد برای رسیدن به نهایتا اجرای کد Powershell در تابع Shell، بصورت غیر معمول انجام بده.
یعنی معمولا برای دستیابی به اجرای کد بر روی خط فرمان، میتوان مستقیما از
Wscript.Shell یک Object ساخته و مقدار مربوطه رو وارد کرد، این روش قطعا تشخیص داده خواهد شد، چرا که مقادیر Macro برای AMSI سیستم عامل ویندوز ارسال میشه و اونجا بواسطه تشخیص مبتنی بر امضا دیده خواهد شد.محقق در کد مطرح شده خودش اومده از یک COM به نام
winmgmts استفاده کرده برای زدن یک Query به Win32_PhysicalMemory که مقدار واحد RAM رو دریافت خواهد کرد، در ادامه این واحد رو جمع به خود میکنه تا در شرط در ادامه طراحی شده، مقدار dRam بیش از 20000000000 بشه تا شرط برقرار بشه.با برقراری شرط به تابع Shell تماسی زده میشه و کد Powershell اجرا میشه مبنی بر دانلود و اجرای یک فایل EXE.
@Unk9vvN
#Mosesstaff #Iranian #APT #Ransomware
دو گزارش از شرکت های CheckPoint و Cybereason در خصوص TTP حملات تیم ایرانی عصای موسی به قربانیان خود منتشر شده که دارای نکات جالبی هستش، در گزارش مطرح شده که این تیم برای ایجاد دسترسی، از آسیب پذیری ناشناخته ای که در خصوص سرورهای ME Exchange استفاده کرده.
اما رفتار تکنیکی تاکتیکی دیگری که در تیم عصای موسی مطرح بوده، استفاده از ابزارهای PsExec، WMIC و Powershell در خصوص جا به جایی در سیستم ها بوده، همچنین در مرحله Impact حمله این تیم از ابزار عمومی DiskCryptor استفاده کرده در راستای رمزنگاری فایل ها و قفل گذاری بر روی Bootloader سیستم قربانی. مورد بعد استفاده از Webshell مبهم سازی شده که با رمزی Hash شده محافظت می شده و مهاجم میبایست رمز رو بصورت MD5 وارد میکرده تا وارد Webshell بشه.
اما نکته مهم استفاده از درایور
@Unk9vvN
دو گزارش از شرکت های CheckPoint و Cybereason در خصوص TTP حملات تیم ایرانی عصای موسی به قربانیان خود منتشر شده که دارای نکات جالبی هستش، در گزارش مطرح شده که این تیم برای ایجاد دسترسی، از آسیب پذیری ناشناخته ای که در خصوص سرورهای ME Exchange استفاده کرده.
اما رفتار تکنیکی تاکتیکی دیگری که در تیم عصای موسی مطرح بوده، استفاده از ابزارهای PsExec، WMIC و Powershell در خصوص جا به جایی در سیستم ها بوده، همچنین در مرحله Impact حمله این تیم از ابزار عمومی DiskCryptor استفاده کرده در راستای رمزنگاری فایل ها و قفل گذاری بر روی Bootloader سیستم قربانی. مورد بعد استفاده از Webshell مبهم سازی شده که با رمزی Hash شده محافظت می شده و مهاجم میبایست رمز رو بصورت MD5 وارد میکرده تا وارد Webshell بشه.
اما نکته مهم استفاده از درایور
DCSrv.sys به عنوان یک Rootkit و PyDCrypt به عنوان بستر ساز کل عملیات و تعامل با C2 که به زبان Python و با PyInstaller اون رو Compile و با سوئیچ key— براش رمزی قرار داده میشه و نهایتا اون رو اجرا میکنه...@Unk9vvN
#Hikvision IP #Camera #RCE Exploit
توجه به تست نفوذ Internet of Things برای شرکت های تولید کننده محصولات دوربین مداربسته، در آینده تبدیل به یک چالش جدی خواهد شد، چه در ایران چه در کشور های دیگر.
چرا که ماهیت این محصولات نظارت میدانی بوده که در مراجع حساس، امنیت آنها بشدت موضوعیت خواهد داشت، همچنین پر تعداد بودن این دستگاه ها و نیاز به آنلاین بودنشان موضوعی هست نا گریز که در صورت هک شدن و از کار انداختن سرویس، میتواند نارضایتی بسیاری در مشتریان شرکت های سرویس دهنده این محصولات به همراه داشته باشد.
از این روی توجه به خدمات تست نفوذ وب و اینترنت اشیاء و استفاده از روش شناسی هایی مانند #CTI یک الزامیست که فعالین حوزه دوربین میبایست به آن توجه کافی رو داشته باشند...
https://www.shodan.io/search?query=product%3A%22Hikvision+IP+Camera%22
https://www.exploit-db.com/exploits/50441
@Unk9vvN
توجه به تست نفوذ Internet of Things برای شرکت های تولید کننده محصولات دوربین مداربسته، در آینده تبدیل به یک چالش جدی خواهد شد، چه در ایران چه در کشور های دیگر.
چرا که ماهیت این محصولات نظارت میدانی بوده که در مراجع حساس، امنیت آنها بشدت موضوعیت خواهد داشت، همچنین پر تعداد بودن این دستگاه ها و نیاز به آنلاین بودنشان موضوعی هست نا گریز که در صورت هک شدن و از کار انداختن سرویس، میتواند نارضایتی بسیاری در مشتریان شرکت های سرویس دهنده این محصولات به همراه داشته باشد.
از این روی توجه به خدمات تست نفوذ وب و اینترنت اشیاء و استفاده از روش شناسی هایی مانند #CTI یک الزامیست که فعالین حوزه دوربین میبایست به آن توجه کافی رو داشته باشند...
https://www.shodan.io/search?query=product%3A%22Hikvision+IP+Camera%22
https://www.exploit-db.com/exploits/50441
@Unk9vvN
#Zimbra #Zeroday #Vulnerabilities
در این مقاله قصد داریم تا تحلیل فنی ای در خصوص آسیب پذیری های ایمیل سرور Zimbra داشته باشیم و بررسی کنیم که چگونه منجر به ایجاد دسترسی از راه دور شده، که بدون نیاز به احراز هویت بوده است. همچنین نحوه ارتقاء سطح دسترسی بعد از ایجاد دسترسی اولیه که مبتنی بر آسیب پذیری ای در خصوص وبسرویس می باشد، همچنین لازم به ذکر است که این آسیب پذیری طی ماه های گذشته موجب افشای اطلاعات از سازمان تولید و تحقیق سازمان انرژی…
⚠️ ادامه مطلب در لینک زیر
unk9vvn.com/2023/01/zimbra-server-zero-day-exploit-vulnerabilities/
@Unk9vvN
در این مقاله قصد داریم تا تحلیل فنی ای در خصوص آسیب پذیری های ایمیل سرور Zimbra داشته باشیم و بررسی کنیم که چگونه منجر به ایجاد دسترسی از راه دور شده، که بدون نیاز به احراز هویت بوده است. همچنین نحوه ارتقاء سطح دسترسی بعد از ایجاد دسترسی اولیه که مبتنی بر آسیب پذیری ای در خصوص وبسرویس می باشد، همچنین لازم به ذکر است که این آسیب پذیری طی ماه های گذشته موجب افشای اطلاعات از سازمان تولید و تحقیق سازمان انرژی…
⚠️ ادامه مطلب در لینک زیر
unk9vvn.com/2023/01/zimbra-server-zero-day-exploit-vulnerabilities/
@Unk9vvN
#EyeSpy #Spyware #Trojan #Iranian
با برقراری سیاست های غلط و غیر حرفه ای که در خصوص فیلترینگ اینترنت در ایران انجام شد، موجبات سوء استفاده تیم های سایبری را به بهانه دور زدن فیلترینگ فراهم کرده است.
به گزارش BitDefender جاسوس افزاری به بهانه فروش VPN به مخاطبان دیده شده که به عنوان یک Trojan بواسطه نصب کننده ای قانونی با نام SecondEye اقدام به جاسوس از مردم ایران کرده است.
این ابزار یک ابزار نظارتی در سطح شبکه بوده که در ایران توسعه داده شده است! و بعد از نصب، جاسوس افزار اقدام به شنود مرورگر های قربانی بواسطه Keylogger، عمل میکند.
ویژگی دیگر اینکه جاسوس افزار پیلود ریزی خود را در آدرس WindowsApps انجام میدهد که در خصوص ماندگاری جاسوس افزار هوشمندانه تر عمل کرده باشد، چرا که این پوشه مختص برنامه های فروشگاه ویندوز میباشد.
جالبه که این جاسوس افزار بواسطه زبان Delphi کامپایل شده بواسطه Smart Install Maker به عنوان یک نصب کننده گرافیکی ساخته شده است.
موارد دیگر را میتوانید از این لینک مطالعه نماید، شایسته است پلیس فتای کشور نسبت به این جاسوسی از مردم، گزارش شفافی ارائه دهد.
@Unk9vvN
با برقراری سیاست های غلط و غیر حرفه ای که در خصوص فیلترینگ اینترنت در ایران انجام شد، موجبات سوء استفاده تیم های سایبری را به بهانه دور زدن فیلترینگ فراهم کرده است.
به گزارش BitDefender جاسوس افزاری به بهانه فروش VPN به مخاطبان دیده شده که به عنوان یک Trojan بواسطه نصب کننده ای قانونی با نام SecondEye اقدام به جاسوس از مردم ایران کرده است.
این ابزار یک ابزار نظارتی در سطح شبکه بوده که در ایران توسعه داده شده است! و بعد از نصب، جاسوس افزار اقدام به شنود مرورگر های قربانی بواسطه Keylogger، عمل میکند.
ویژگی دیگر اینکه جاسوس افزار پیلود ریزی خود را در آدرس WindowsApps انجام میدهد که در خصوص ماندگاری جاسوس افزار هوشمندانه تر عمل کرده باشد، چرا که این پوشه مختص برنامه های فروشگاه ویندوز میباشد.
جالبه که این جاسوس افزار بواسطه زبان Delphi کامپایل شده بواسطه Smart Install Maker به عنوان یک نصب کننده گرافیکی ساخته شده است.
موارد دیگر را میتوانید از این لینک مطالعه نماید، شایسته است پلیس فتای کشور نسبت به این جاسوسی از مردم، گزارش شفافی ارائه دهد.
@Unk9vvN
#Cybersecurity #Jobs
بد نیست بدونید یک متخصص عملیات های تیم قرمز در خارج از کشور، بین 150 هزار دلار تا 190 هزار دلار که معادل 6 میلیارد تومن (با مبنای دلار 40 هزار تومن) که بصورت سالانه است، حقوق دریافت میکنه...
بسیاری از شرکت هایی که برای اونها بحث امنیت سایبری از اهمیت بالایی برخوردار هست، نیاز دارند تا یک متخصص Senior در حوزه امنیت تهاجمی رو در کنار تیم امنیت خودشون داشته باشند.
از طرفی اینم جالبه که نیاز مندی هایی که از متخصص مطالبه دارند هم بصورت مشخص و جامع تعریف شده، یعنی صرف اینکه یک متخصص مسلط بر یک تخصص باشه نیست و عموما نیازمند کسانی هستند که تجربه کار کردند بر روی بسیاری از حوزه های امنیت تهاجمی رو دارا باشه.
برای اطلاعات بیشتر از مشاغل امنیت سایبری، میتونید به وبسایت های زیر وارد شوید.
مشاغل خارج از کشور:
https://infosec-jobs.com
مشاغل داخل کشور:
https://jobinja.ir
@Unk9vvN
بد نیست بدونید یک متخصص عملیات های تیم قرمز در خارج از کشور، بین 150 هزار دلار تا 190 هزار دلار که معادل 6 میلیارد تومن (با مبنای دلار 40 هزار تومن) که بصورت سالانه است، حقوق دریافت میکنه...
بسیاری از شرکت هایی که برای اونها بحث امنیت سایبری از اهمیت بالایی برخوردار هست، نیاز دارند تا یک متخصص Senior در حوزه امنیت تهاجمی رو در کنار تیم امنیت خودشون داشته باشند.
از طرفی اینم جالبه که نیاز مندی هایی که از متخصص مطالبه دارند هم بصورت مشخص و جامع تعریف شده، یعنی صرف اینکه یک متخصص مسلط بر یک تخصص باشه نیست و عموما نیازمند کسانی هستند که تجربه کار کردند بر روی بسیاری از حوزه های امنیت تهاجمی رو دارا باشه.
برای اطلاعات بیشتر از مشاغل امنیت سایبری، میتونید به وبسایت های زیر وارد شوید.
مشاغل خارج از کشور:
https://infosec-jobs.com
مشاغل داخل کشور:
https://jobinja.ir
@Unk9vvN