#Maher IR vs #Cyber_Defense US
بد نیست کمی اطلاعات آماری سازمان های متولی بحث امنیت دفاعی رو ببینیم و ببینیم که بازه عملکردی اونها تا کجاس،
قبل از این موضوع، جالبه که بدونید 67 گواهی محصول داخلی در حوزه محصولات امنیت داده شده که در نوع خودش جالبه چرا که نماوای این محصولات بعضا در دسترس نیست و نمیشود ارزیابی کیفی و عمکردی کرد تا نقاط ضعف و قوت آنها را شناخت،
اما در خصوص عملکرد مرکز ماهر هم اطلاعاتی به چشم میخوره که بازه عملکردی رو میتونید مشاهده کنید آیا مرکز ماهر در خصوص 303873 هزار نقطه آلوده، IOCs هایی هم منتشر کرده؟ تا در رویکرد های تکنیکی #CTI هم بشود از آنها استفاده کرد؟
یا در خصوص حملات سطح پیشرفته یعنی #APT چه TTPs هایی رو منتشر داشته این مرکز؟ همونطور که میدونید بزرگترین دغدغه های حملات سایبری حملات پیشرفته میباشد نه صرفا بات و RAT و دیگر موارد سطح معمول
آیا ما در خصوص شکار حملات سایبری سطح کشوری که بعضا کشورهای دیگر گزارشات Forensic و مفصلی رو منتشر میکنند ما هم اینگونه گزارشات رو از شرکت های داخلی یا مراکز حاکمیتی میبینیم؟
امیدوارم رویکردهای سایبری کشور بروز شود.
@Unk9vvN
بد نیست کمی اطلاعات آماری سازمان های متولی بحث امنیت دفاعی رو ببینیم و ببینیم که بازه عملکردی اونها تا کجاس،
قبل از این موضوع، جالبه که بدونید 67 گواهی محصول داخلی در حوزه محصولات امنیت داده شده که در نوع خودش جالبه چرا که نماوای این محصولات بعضا در دسترس نیست و نمیشود ارزیابی کیفی و عمکردی کرد تا نقاط ضعف و قوت آنها را شناخت،
اما در خصوص عملکرد مرکز ماهر هم اطلاعاتی به چشم میخوره که بازه عملکردی رو میتونید مشاهده کنید آیا مرکز ماهر در خصوص 303873 هزار نقطه آلوده، IOCs هایی هم منتشر کرده؟ تا در رویکرد های تکنیکی #CTI هم بشود از آنها استفاده کرد؟
یا در خصوص حملات سطح پیشرفته یعنی #APT چه TTPs هایی رو منتشر داشته این مرکز؟ همونطور که میدونید بزرگترین دغدغه های حملات سایبری حملات پیشرفته میباشد نه صرفا بات و RAT و دیگر موارد سطح معمول
آیا ما در خصوص شکار حملات سایبری سطح کشوری که بعضا کشورهای دیگر گزارشات Forensic و مفصلی رو منتشر میکنند ما هم اینگونه گزارشات رو از شرکت های داخلی یا مراکز حاکمیتی میبینیم؟
امیدوارم رویکردهای سایبری کشور بروز شود.
@Unk9vvN
#APT_39 #Fox_Kitten
در جریان حمله APT 39 که منتسب به یک تیم ایرانی است نکات جالبی نهفته است که به برخی از آنها اشاره میکنم،
تصویر اول نشان دهنده مراجع مورد حمله قرار گرفته شدست که توضیح راجبش نمیدم مشخصه، اما در تصویر دوم زنجیره ارتباطات و Exfiltrate های مورد استفاده کاملا مشخصه که درش سه وبسرویس مورد استفاده قرار گرفته،
در تصویر سوم مشاهده میشه که فرایند ایجاد Tunnel برای بعد از مرحله Lateral Movement زده شده که از پروتکل RDP بر بستر SSH استفاده شده تا به نوعی از نظارت ها یا محدودیت های پروتکل RDP فرار صورت بگیره، یک تکنیک هوشمدانس در این خصوص،
اما در تصویر چهارم سه آسیب پذیری مورد استفاده دیده میشه که از تحقیقات Orange Tsai بصورت One Day بهره برداری شده، نوع آسیب پذیری ها اینطوره که سرویس دهنده های VPN نسبت به مقادیر ارسال بر مبنای وبسرویس آسیب پذیری هایی داشته اند مانند Path Traversal یا Format String که موجب اجرای کد بصورت Unauthenticated میشود،
در تصویر پنجم میبینیم که استفاده از سرویس Serveo که یک Forward پروتکل SSH و Ngrok برای RDP استفاده شده در تصویر شش ابزارهای مورد استفاده دیده میشه.
@Unk9vvN
در جریان حمله APT 39 که منتسب به یک تیم ایرانی است نکات جالبی نهفته است که به برخی از آنها اشاره میکنم،
تصویر اول نشان دهنده مراجع مورد حمله قرار گرفته شدست که توضیح راجبش نمیدم مشخصه، اما در تصویر دوم زنجیره ارتباطات و Exfiltrate های مورد استفاده کاملا مشخصه که درش سه وبسرویس مورد استفاده قرار گرفته،
در تصویر سوم مشاهده میشه که فرایند ایجاد Tunnel برای بعد از مرحله Lateral Movement زده شده که از پروتکل RDP بر بستر SSH استفاده شده تا به نوعی از نظارت ها یا محدودیت های پروتکل RDP فرار صورت بگیره، یک تکنیک هوشمدانس در این خصوص،
اما در تصویر چهارم سه آسیب پذیری مورد استفاده دیده میشه که از تحقیقات Orange Tsai بصورت One Day بهره برداری شده، نوع آسیب پذیری ها اینطوره که سرویس دهنده های VPN نسبت به مقادیر ارسال بر مبنای وبسرویس آسیب پذیری هایی داشته اند مانند Path Traversal یا Format String که موجب اجرای کد بصورت Unauthenticated میشود،
در تصویر پنجم میبینیم که استفاده از سرویس Serveo که یک Forward پروتکل SSH و Ngrok برای RDP استفاده شده در تصویر شش ابزارهای مورد استفاده دیده میشه.
@Unk9vvN
#Threat_Hunting #BLUESPAWN
در سالهای اخیر فعالیت های زیادی در خصوص رهگیری و شکار حملات سطح پیشرفته یا #APT انجام شده که پاشنه آشیل تمامی آنها رفتارشناسی حمله هستش که به اختصار به آن #TTPs گفته میشه،
یکی از روش هایی که تیم های آبی برای نا کارآمد کردن تکنیک ها و تاکتیک های مورد استفاده قرار گرفته شده ای تیم های APT این هستش که آن تکنیک مستند شده و الگو رفتاری اون بر مبنای حالا اگر COM Object یا بر مبنای Memory ، شناسایی و اصطلاحا شکار بشه،
در این خصوص ابزار هایی طراحی میشه که این TTP ها را بواسطه مستندات MITRE ATT&CK دریافت کرده و مخازن لاگ و پروسس های فعال و وضعیت پیکربندی سیستم عامل ، اسکن کرده و وضعیت سیستم عامل رو به شما اعلام خواهد کرد،
این روش در خصوص ایجاد TTP های اختصاصی از حملات رخداده شده در یک سازمان میتواند بسیار کار آمد باشد چرا که سریعا بدون نیاز به نرم افزار های حجیم و پر درد سر، حمله رو در سیستم ها و شبکه های دیگر سازمان پیدا و مشخص نمود.
در تصویر اول پالایش اتفاق افتاده در تصویر دوم ایرادات پیکربندی که وجود داره رو Audit کرده...
https://github.com/ION28/BLUESPAWN
@Unk9vvN
در سالهای اخیر فعالیت های زیادی در خصوص رهگیری و شکار حملات سطح پیشرفته یا #APT انجام شده که پاشنه آشیل تمامی آنها رفتارشناسی حمله هستش که به اختصار به آن #TTPs گفته میشه،
یکی از روش هایی که تیم های آبی برای نا کارآمد کردن تکنیک ها و تاکتیک های مورد استفاده قرار گرفته شده ای تیم های APT این هستش که آن تکنیک مستند شده و الگو رفتاری اون بر مبنای حالا اگر COM Object یا بر مبنای Memory ، شناسایی و اصطلاحا شکار بشه،
در این خصوص ابزار هایی طراحی میشه که این TTP ها را بواسطه مستندات MITRE ATT&CK دریافت کرده و مخازن لاگ و پروسس های فعال و وضعیت پیکربندی سیستم عامل ، اسکن کرده و وضعیت سیستم عامل رو به شما اعلام خواهد کرد،
این روش در خصوص ایجاد TTP های اختصاصی از حملات رخداده شده در یک سازمان میتواند بسیار کار آمد باشد چرا که سریعا بدون نیاز به نرم افزار های حجیم و پر درد سر، حمله رو در سیستم ها و شبکه های دیگر سازمان پیدا و مشخص نمود.
در تصویر اول پالایش اتفاق افتاده در تصویر دوم ایرادات پیکربندی که وجود داره رو Audit کرده...
https://github.com/ION28/BLUESPAWN
@Unk9vvN
#Iranian #APT #MuddyWater Target #Turkish
اخیرا تیم MuddyWater که منتصب به دستگاه نظارتی ایران است، اقدام به هدف قرار دادن کاربران ترکیه کرده است، این نفوذ مبتنی بر فایل فرمت PDF بوده که قربانیان رو مجاب به کلیک بر پیام مهندسی اجتماعی خود میکنه، و اینطور اولین مرحله زنجیره حمله رخ میده،
در اولین قدم بعد از کلیک بر گزینه دانلود، ارتباط با یک سرور اشتراک گذاری فایل، فایل هایی با فرمت XLS که از خانواده Excel هستند دریافت میشه این فایل ها دارای محتواهایی به زبان ترکی است که شبیه سازی اسناد مشروع وزارتخانه بهداشت است.
در قدم بعدی مایکروهایی که در XLS قرار داده شده به اجرا در آمده و کلید Reg برای ماندگاری در سیستم تنظیم میگردد و بعد از آن یک درخواست به canarytokens.com زده میشود بواسطه توکن از قبل تعریف شده ای Stage های بعدی زنجیره حمله دانلود میشود که فایل های مبهم سازی شده پاورشل پایه هستند.
اما در ادامه فایل VBS دانلود شده مامور اجرای فایل PS1 شده که خود فایل PS1 اقدام به دانلود دیگری که پیلود اصلی است خواهد کرد و بعد از دانلود آنرا اجرا میکند.
Reference
@Unk9vvN
اخیرا تیم MuddyWater که منتصب به دستگاه نظارتی ایران است، اقدام به هدف قرار دادن کاربران ترکیه کرده است، این نفوذ مبتنی بر فایل فرمت PDF بوده که قربانیان رو مجاب به کلیک بر پیام مهندسی اجتماعی خود میکنه، و اینطور اولین مرحله زنجیره حمله رخ میده،
در اولین قدم بعد از کلیک بر گزینه دانلود، ارتباط با یک سرور اشتراک گذاری فایل، فایل هایی با فرمت XLS که از خانواده Excel هستند دریافت میشه این فایل ها دارای محتواهایی به زبان ترکی است که شبیه سازی اسناد مشروع وزارتخانه بهداشت است.
در قدم بعدی مایکروهایی که در XLS قرار داده شده به اجرا در آمده و کلید Reg برای ماندگاری در سیستم تنظیم میگردد و بعد از آن یک درخواست به canarytokens.com زده میشود بواسطه توکن از قبل تعریف شده ای Stage های بعدی زنجیره حمله دانلود میشود که فایل های مبهم سازی شده پاورشل پایه هستند.
اما در ادامه فایل VBS دانلود شده مامور اجرای فایل PS1 شده که خود فایل PS1 اقدام به دانلود دیگری که پیلود اصلی است خواهد کرد و بعد از دانلود آنرا اجرا میکند.
Reference
@Unk9vvN
#IoB #APT #Iranian
شاخه رفتاری چیست؟ شاخصه رفتاری یا Indicator of Behavior به معنی رصد و شناسایی ای است که، مبتنی بر رفتار تاکتیکی و تکنیکی کد مندرج در فایل های مخرب (IoC) قرار دارد.
گاه مهاجمان #APT اقدام به رفتار غیر حرفه ای میکنند و کد های مورد استفاده در حملات خود را در فضاهای عمومی مثل gist یا pastebin و غیره، که با نام مستعار یا حساب کاربری اصلی خود فعال است، منتشر میسازند.
همین موضوع موجب شناسایی اونها بدست شرکت های فعال در حوزه جرم شناسی دیجیتال میشود، برای مثال در گزارش شرکت cybereason یکی از نام هاي کاربری مورد استفاده مهاجم را بررسی کرده و نمونه کد منتشر شده بدست وی را با معادل آن در فایل های مخرب استفاده شده در حمله تطبیق داده و از این روی منشع حمله و کشور آنرا شناسایی کرده است.
https://www.cybereason.com/blog/research/powerless-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage
@Unk9vvN
شاخه رفتاری چیست؟ شاخصه رفتاری یا Indicator of Behavior به معنی رصد و شناسایی ای است که، مبتنی بر رفتار تاکتیکی و تکنیکی کد مندرج در فایل های مخرب (IoC) قرار دارد.
گاه مهاجمان #APT اقدام به رفتار غیر حرفه ای میکنند و کد های مورد استفاده در حملات خود را در فضاهای عمومی مثل gist یا pastebin و غیره، که با نام مستعار یا حساب کاربری اصلی خود فعال است، منتشر میسازند.
همین موضوع موجب شناسایی اونها بدست شرکت های فعال در حوزه جرم شناسی دیجیتال میشود، برای مثال در گزارش شرکت cybereason یکی از نام هاي کاربری مورد استفاده مهاجم را بررسی کرده و نمونه کد منتشر شده بدست وی را با معادل آن در فایل های مخرب استفاده شده در حمله تطبیق داده و از این روی منشع حمله و کشور آنرا شناسایی کرده است.
https://www.cybereason.com/blog/research/powerless-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage
@Unk9vvN
#SharePoint #Deserialize #Vulnerability
نمونه ای از آسیب پذیری Deserialize در Functionality های پارس مقادیر sk یا Session Key که منجر به اجرای کد از راه دور میشود،
این آسیب پذیری روی نسخه های ۲۰۱۹ ، ۲۰۱۶ و ۲۰۱۳ وجود داشته و با شناسه CVE-2022-22005 ثبت شده است، فرایند اعمال وصله مایکروسافت در نسخه های قبلی دور زده شده و شروطی که برای تصدیق عدم وجود Object های خطرناک به درستی طراحی نشده است،
مدت دو ساله که محققین تست نفوذ وب تمرکز خودشون رو در خصوص دور زدن فیلترینگ ها و اعمال تصدیق های مایکروسافت بر روی آسیب پذیری هایی مانند Deserialization و SSRF و Directory Traversal گذاشته اند و اغلب موفق هم بوده اند،
یکی از عوامل موفقیت و جذابیت این آسیب پذیری ها، دسترسی به منابع کد سرویس های مایکروسافتی بوده و همچنین ماهیت این آسیب پذیری ها در حملات #APT بسیار مهم و نقش آفرین است...
https://hnd3884.github.io/posts/cve-2022-22005-microsoft-sharepoint-RCE/
@Unk9vvN
نمونه ای از آسیب پذیری Deserialize در Functionality های پارس مقادیر sk یا Session Key که منجر به اجرای کد از راه دور میشود،
این آسیب پذیری روی نسخه های ۲۰۱۹ ، ۲۰۱۶ و ۲۰۱۳ وجود داشته و با شناسه CVE-2022-22005 ثبت شده است، فرایند اعمال وصله مایکروسافت در نسخه های قبلی دور زده شده و شروطی که برای تصدیق عدم وجود Object های خطرناک به درستی طراحی نشده است،
مدت دو ساله که محققین تست نفوذ وب تمرکز خودشون رو در خصوص دور زدن فیلترینگ ها و اعمال تصدیق های مایکروسافت بر روی آسیب پذیری هایی مانند Deserialization و SSRF و Directory Traversal گذاشته اند و اغلب موفق هم بوده اند،
یکی از عوامل موفقیت و جذابیت این آسیب پذیری ها، دسترسی به منابع کد سرویس های مایکروسافتی بوده و همچنین ماهیت این آسیب پذیری ها در حملات #APT بسیار مهم و نقش آفرین است...
https://hnd3884.github.io/posts/cve-2022-22005-microsoft-sharepoint-RCE/
@Unk9vvN
#VECTR #PurpleTeam #Simulation
همونطور که میدونید، تیم های بنفش، به تیم هایی گفته میشه که در اصل مختصص تیم قرمز هستند و همچنین تخصص های تیم آبی رو هم فرا گرفته اند برای عملیات شکار تهدید، بازبینی مکانیزم های دفاعی و تحلیل رفتار های تکنیکی تاکتیکی مهاجمان.
در این خصوص یه پلتفرمی وجود داره با نام VECTR که میتونه با استفاده از پتانسیل شبیه سازانی همچون Atomic-RedTeam ، این امکان رو فراهم کنه که متخصصین امنیت دفاعی سعی در شبیه سازی رفتار تکنیکی تاکتیکی مهاجمین #APT کنند، البته طبق مستندات MITRE ATT&CK و با استفاده از این شبیه سازی، بیان ببینن مکانیزم های دفاعی سیستم عامل میتونه نواقصی رو در فرایند تشخیص و محافظت داشته باشه یا نه.
همچنین در کنار این شبیه سازی شما میتونید پایش شاخصه های حمله رو هم در سیستم عامل داشته و چارت آماری دقیق و کاملی رو از این پلتفرم دریافت نمایید.
https://docs.vectr.io/Installation/
https://github.com/SecurityRiskAdvisors/VECTR
@Unk9vvN
همونطور که میدونید، تیم های بنفش، به تیم هایی گفته میشه که در اصل مختصص تیم قرمز هستند و همچنین تخصص های تیم آبی رو هم فرا گرفته اند برای عملیات شکار تهدید، بازبینی مکانیزم های دفاعی و تحلیل رفتار های تکنیکی تاکتیکی مهاجمان.
در این خصوص یه پلتفرمی وجود داره با نام VECTR که میتونه با استفاده از پتانسیل شبیه سازانی همچون Atomic-RedTeam ، این امکان رو فراهم کنه که متخصصین امنیت دفاعی سعی در شبیه سازی رفتار تکنیکی تاکتیکی مهاجمین #APT کنند، البته طبق مستندات MITRE ATT&CK و با استفاده از این شبیه سازی، بیان ببینن مکانیزم های دفاعی سیستم عامل میتونه نواقصی رو در فرایند تشخیص و محافظت داشته باشه یا نه.
همچنین در کنار این شبیه سازی شما میتونید پایش شاخصه های حمله رو هم در سیستم عامل داشته و چارت آماری دقیق و کاملی رو از این پلتفرم دریافت نمایید.
https://docs.vectr.io/Installation/
https://github.com/SecurityRiskAdvisors/VECTR
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#MITRE_ATTCK #Evaluation 2022
گزارشی از شرکت SentinelOne در خصوص کسب مقام اول بهترین سامانه XDR در خصوص شبیه سازی حملات Wizard Spider و Sandworm که هر دو از جمله حملات #APT بوده
این شبیه سازی هر یک الی دو سال بین شرکت های فعال در حوزه تولید محصولات امنیت دفاعی بواسطه مجموعه MITRE ATT&CK Evaluations برگزار میشه که بهترین عملکرد ها رو برای عموم مخاطبین به نمایش میزاره
این ارزیابی کیفی محصولات موجب شده که محصولات فیک و غیر واقعی در رده محصولات بازار قرار نگیره و عملکرد هر محصولی در مقابل یک حمله مداوم پیشرفته بصورت واقعی ارزیابی بشه
موضوعی که در کشور ما به جد بهش نیازه و مراکزی مانند افتا میبایست در این خصوص تنظیم گیری هایی صورت میدادند...
https://www.sentinelone.com/blog/our-take-sentinelones-2022-mitre-attck-evaluation-results/
@Unk9vvN
گزارشی از شرکت SentinelOne در خصوص کسب مقام اول بهترین سامانه XDR در خصوص شبیه سازی حملات Wizard Spider و Sandworm که هر دو از جمله حملات #APT بوده
این شبیه سازی هر یک الی دو سال بین شرکت های فعال در حوزه تولید محصولات امنیت دفاعی بواسطه مجموعه MITRE ATT&CK Evaluations برگزار میشه که بهترین عملکرد ها رو برای عموم مخاطبین به نمایش میزاره
این ارزیابی کیفی محصولات موجب شده که محصولات فیک و غیر واقعی در رده محصولات بازار قرار نگیره و عملکرد هر محصولی در مقابل یک حمله مداوم پیشرفته بصورت واقعی ارزیابی بشه
موضوعی که در کشور ما به جد بهش نیازه و مراکزی مانند افتا میبایست در این خصوص تنظیم گیری هایی صورت میدادند...
https://www.sentinelone.com/blog/our-take-sentinelones-2022-mitre-attck-evaluation-results/
@Unk9vvN
#MERCURY #Log4j Targeting #Israel Organizations
در جریان پیدا شدن آسیب پذیری log4j تیم های تهاجمی در سراسر دنیا شروع به پایش محصولاتی کردند که از کتابخونه Log 4 Java که محصول Apache هست، پیدا کنند...
یکی از موارد معروفی که در اثر استفاده از این کتابخانه مورد حمله قرار گرفت محصولات VMware بود، اما در تهاجمی که اخیرا بر روی ارگان های دولتی کشور جعلی اسرائیل رخ داد، محصولی مورد حمله قرار گرفت با نام SysAid که بر بستر های این کشور مورد استفاده قرار میگرفته و دارای کتابخونه آسیب پذیری Log4j بوده...
اما نکات جالبی راجب خود #APT اتفاق افتاده. اول اینکه بعد از ایجاد دسترسی بواسطه آسیب پذیری، مهاجمان اقدام به اجرای کد مبتنی بر Webshell کردند و بواسطه cmd.exe و net.exe فرمان هایی رو برای ایجاد یک کاربر در localgroup انجام دادند.
مورد بعدی که جالبه، استفاده از Mimikatz برای دزدیدن Credentials بوده برای Lateral Movement و دسترسی به DC و SQL Server، همچنین به وسیله سرویسی در خود سیستم عامل که با نام vpnui.exe موجوده، یک دسترسی Remote Desktop Management بواسطه محصولی تجاری زده شده با نام eHorus !
@Unk9vvN
در جریان پیدا شدن آسیب پذیری log4j تیم های تهاجمی در سراسر دنیا شروع به پایش محصولاتی کردند که از کتابخونه Log 4 Java که محصول Apache هست، پیدا کنند...
یکی از موارد معروفی که در اثر استفاده از این کتابخانه مورد حمله قرار گرفت محصولات VMware بود، اما در تهاجمی که اخیرا بر روی ارگان های دولتی کشور جعلی اسرائیل رخ داد، محصولی مورد حمله قرار گرفت با نام SysAid که بر بستر های این کشور مورد استفاده قرار میگرفته و دارای کتابخونه آسیب پذیری Log4j بوده...
اما نکات جالبی راجب خود #APT اتفاق افتاده. اول اینکه بعد از ایجاد دسترسی بواسطه آسیب پذیری، مهاجمان اقدام به اجرای کد مبتنی بر Webshell کردند و بواسطه cmd.exe و net.exe فرمان هایی رو برای ایجاد یک کاربر در localgroup انجام دادند.
مورد بعدی که جالبه، استفاده از Mimikatz برای دزدیدن Credentials بوده برای Lateral Movement و دسترسی به DC و SQL Server، همچنین به وسیله سرویسی در خود سیستم عامل که با نام vpnui.exe موجوده، یک دسترسی Remote Desktop Management بواسطه محصولی تجاری زده شده با نام eHorus !
@Unk9vvN
#Mosesstaff #Iranian #APT #Ransomware
دو گزارش از شرکت های CheckPoint و Cybereason در خصوص TTP حملات تیم ایرانی عصای موسی به قربانیان خود منتشر شده که دارای نکات جالبی هستش، در گزارش مطرح شده که این تیم برای ایجاد دسترسی، از آسیب پذیری ناشناخته ای که در خصوص سرورهای ME Exchange استفاده کرده.
اما رفتار تکنیکی تاکتیکی دیگری که در تیم عصای موسی مطرح بوده، استفاده از ابزارهای PsExec، WMIC و Powershell در خصوص جا به جایی در سیستم ها بوده، همچنین در مرحله Impact حمله این تیم از ابزار عمومی DiskCryptor استفاده کرده در راستای رمزنگاری فایل ها و قفل گذاری بر روی Bootloader سیستم قربانی. مورد بعد استفاده از Webshell مبهم سازی شده که با رمزی Hash شده محافظت می شده و مهاجم میبایست رمز رو بصورت MD5 وارد میکرده تا وارد Webshell بشه.
اما نکته مهم استفاده از درایور
@Unk9vvN
دو گزارش از شرکت های CheckPoint و Cybereason در خصوص TTP حملات تیم ایرانی عصای موسی به قربانیان خود منتشر شده که دارای نکات جالبی هستش، در گزارش مطرح شده که این تیم برای ایجاد دسترسی، از آسیب پذیری ناشناخته ای که در خصوص سرورهای ME Exchange استفاده کرده.
اما رفتار تکنیکی تاکتیکی دیگری که در تیم عصای موسی مطرح بوده، استفاده از ابزارهای PsExec، WMIC و Powershell در خصوص جا به جایی در سیستم ها بوده، همچنین در مرحله Impact حمله این تیم از ابزار عمومی DiskCryptor استفاده کرده در راستای رمزنگاری فایل ها و قفل گذاری بر روی Bootloader سیستم قربانی. مورد بعد استفاده از Webshell مبهم سازی شده که با رمزی Hash شده محافظت می شده و مهاجم میبایست رمز رو بصورت MD5 وارد میکرده تا وارد Webshell بشه.
اما نکته مهم استفاده از درایور
DCSrv.sys به عنوان یک Rootkit و PyDCrypt به عنوان بستر ساز کل عملیات و تعامل با C2 که به زبان Python و با PyInstaller اون رو Compile و با سوئیچ key— براش رمزی قرار داده میشه و نهایتا اون رو اجرا میکنه...@Unk9vvN
#MITRE_Engenuity #Attack_Flow
ابزاری وجود داره با نام Attack Flow که محصول ارگان تحقیقاتی MITRE Engenuity است که در موضوعات امنیت دفاعی فعال است.
این ابزار میتواند به شما یک فضای شبیه سازی و ترسیم جریان اجرایی یک حمله APT را دهد تا مبتنی بر تکنیک و تاکتیک های مستند شده در MITRE ATT&CK ، شمای کلی حمله رو ترسیم نماید.
این ترسیم میتواند مبتنی بر فرمت های afb - dot - json و mmd خروجی دهد، طراحی این گراف میتواند بر پایه مدل STIX هم باشد تا #TTP حمله قابلیت استفاده در #CTI یا اشتراک گذاری اطلاعات تهدیدات سایبری باشد، همچنین استفاده در مکانیزم های رفتار شناسی را نیز دارا باشد.
این ویژگی مهم، میتواند به متخصصین شکار تهدید و کارشناسان #SOC امکان خوبی برای کشف و آشکار سازی جریان اجرایی حملات #APT را بدهد. برای نمونه میتوانید موارد زیر را مشاهده نماید:
Iranian APT exploited Log4Shell and deployed XMRig crypto mining software
A financial crime involving the SWIFT banking network
A breach at Uber by the Lapsus$ group
A Russian state-sponsored malware campaign targeting Ukraine
@Unk9vvN
ابزاری وجود داره با نام Attack Flow که محصول ارگان تحقیقاتی MITRE Engenuity است که در موضوعات امنیت دفاعی فعال است.
این ابزار میتواند به شما یک فضای شبیه سازی و ترسیم جریان اجرایی یک حمله APT را دهد تا مبتنی بر تکنیک و تاکتیک های مستند شده در MITRE ATT&CK ، شمای کلی حمله رو ترسیم نماید.
این ترسیم میتواند مبتنی بر فرمت های afb - dot - json و mmd خروجی دهد، طراحی این گراف میتواند بر پایه مدل STIX هم باشد تا #TTP حمله قابلیت استفاده در #CTI یا اشتراک گذاری اطلاعات تهدیدات سایبری باشد، همچنین استفاده در مکانیزم های رفتار شناسی را نیز دارا باشد.
این ویژگی مهم، میتواند به متخصصین شکار تهدید و کارشناسان #SOC امکان خوبی برای کشف و آشکار سازی جریان اجرایی حملات #APT را بدهد. برای نمونه میتوانید موارد زیر را مشاهده نماید:
Iranian APT exploited Log4Shell and deployed XMRig crypto mining software
A financial crime involving the SWIFT banking network
A breach at Uber by the Lapsus$ group
A Russian state-sponsored malware campaign targeting Ukraine
@Unk9vvN