#Electromagnetic #Signal #Injection #Attacks
در تحقیقات اخیر دانشگاه Oxford مقاله ای تحت عنوان تزریق سیگنال های الکترو مغناطیسی به سیگنال های دیفرانسیلی، ارائه شده که در آن محققین مدعی میشوند که بر جریان های ارتباطات رادیوی میتوانند از راه دور تزریق بیت انجام داده و پیام مخربی رو ارسال کنند.

این روش انتقال داده مبتنی بر دو سیگنال الکتریکی مکمل رمزگذاری کار میکنه و این نوع رمزگذاری باعث میشه که گیرنده بتونه سیگنال های نویز رو با دریافت کردن و عدم تطبیق اون با مدل رمزنگاری، تشخیص داده و رد کنه.

حالا محققین اعلام کردند که در تحقیقات خودشون تونستند این روش تشخیص Noise Rejection رو دور زده و بیت های دلخواه یک مهاجم رو بواسطه تزریق به هر دو سیگنال در مدل دیفرانسیل و همسانی بوجود آمده، دور بزنند.

نکته جالب توجه این مقاله اینه که طبق گفته های محققین، بسیاری از پروتکل های رایج و پرکاربرد رو توانستند تزریق و بهره برداری کنند، از جمله CAN، سیستم خودرو، Ethernet، USB، HDMI و حتی سیستم های هوانوردی مانند هواپیما.

@Unk9vvN
#National #Cyber #Strategy #UK
در سند استراتژی امنیت ملی فضای سایبر انگستان دو بخش جالبی وجود داشت که بد نیست برای متولیان حکمرانی فضای سایبر کشور، باز خوانی بشه.

در بخش قرمز، عنوان میکنه امنیت سایبری بریتانیا به سرعت در حال رشد بوده و بیش از 1400 کسب و کار در سال گذشته (2021) گردش مالی 8.9 بیلیون یورو رو داشته اند، که منجر به ایجاد 46700 شغل شده است.

با وجود این رشد مالی، اعلام میشه این کشور هنوز در عرصه های بین المللی جای رشد داشته و بریتانیا به عنوان یک رهبر جهانی در تحقیقات امنیت سایبری با داشتن 19 دانشگاه عالی و 4 موسسه تحقیقاتی، خودش رو تثبیت کرده است.

در بخش سبز رنگ اعلام شده نیروی کار در بخش امنیت سایبری در 4 سال گذشته 50% رشد کرده، و بعضا تقاضا از عرضه بیشتر بوده.

در ادامه مطرح میکنه که برای الهام بخشیدن به جوانان برای دنبال کردن تخصص های امنیت سایبری، اقداماتی صورت گرفته و از سال 2019 تا 2020 نزدیک به 57000 جوان رو در برنامه یادگیری CyberFirst و Cyber Discovery پرورش داده شده و این روند تا مقطع دانش آموزی رو هم وارد فعالیت های دوره ها امنیت سایبری کرده است.

@Unk9vvN
#APT38 #DYEPACK #FireEye
حمله مدام پیشرفته APT38 منتصب است به تیم دولتی از کشور کره شمالی، که هدفش بانک ها و زیرساخت های تجاری و موسسه های مالی است.

بدافزار طراحی شده این تیم با نام DYEPACK توسعه داده شده که متمرکز بر هدف قرار دادن سیستم های SWIFT است. بعد از جمع آوری اطلاعات در سطح سه، تیم اقدام به بهره برداری از یک آسیب پذیری در خصوص Apache Struts2 کرده که منجر به ایجاد دسترسی اولیه شده است.

این آسیب پذیری با شناسه CVE-2019-0230 ثبت شده که از نوع Double OGNL Evaluation بوده، که ورودی خام رو مبتنی بر tag attributes دریافت کرده و مهاجم امکان ارسال کد مخرب مبتنی بر ساختار OGNL رو پیدا میکند.

اما مرحله جالب توجه، بحث جمع آوری اطلاعات داخلی بواسطه Backdoor نصب شده که به مدت دو سال به طول انجامیده و با استفاده از Sysmon تمام تراکنش های سیستم SWIFT بانک رو نظارت میکرده است.

تیم بواسطه DYEPACK به Transaction های سیستم SWIFT دسترسی پیدا کرده و با Collection بدافزاری خود، بواسطه ارسال درخواست های SQL به پایگاه داده، اقدام به دستکاری Record های SWIFT کرده است که حاصل آن 1.1 بیلیون دلار بوده.

@Unk9vvN
#Donut #ETW Bypass #Module_Overloading
ابزار Donut یک ابزار در راستای اجرای فایل های VBScript، JScript، EXE، DLL و dotNET Assembly در حافظه رو امکان پذیر میکنه بی آنکه Stage بر روی حافظه سخت قرار داشته باشه. همچنین امکان فراخوانی یک Stage از یک وبسرور بواسطه درخواست HTTP انجام شده و در Loader جاسازی شود.

اما موضوعی که جذابه اینه که یکی از ویژگی های این ابزار اینه که بواسطه تکنیک Module Overloading که امکان اینرو میده که در یک فایل اجرایی Native PE بشود یک Manual Mapping انجام داد که بواسطه اون میشود فایل Map شده در حافظه رو Overwrite کرد.

گفته شده این تکنیک موجب میشه مکانیزم تشخیص مبتنی بر Process Injection دور زد، چرا که کد اجرایی مهاجم در حافظه در فایل روی دیسک Map نشده است.

این ماژول که با نام Decoy طراحی و بواسطه توابع NtCreateSection و NtMapViewOfSection کار میکنه، یک Legitimate Executable در زمان Map شدن در حافظه ایجاد میکنه، برای Overwrite کردن شلکد مد نظر در Section فایل فرمت PE.

@Unk9vvN
#KernelCallbackTable #Injection
تکنیک دزدیدن اجرا از KernelCallbackTable در فرایند فراخوانی توابع سیستمی بازگشتی، یک تکنیک مورد استفاده تیم Lazarus بود تا بواسطه این تکنیک Payload ایجاد شده خود را اجرا نماید و موجب نا محسوس شدن و ارتقاء سطح دسترسی شود.

اما این فرایند چگونه کار میکند؟ برای فهم مختصر این تکنیک اول میبایست این موضوع رو درک کرد که KernelCallbackTable چیست؟

زمانی که یک برنامه برای مثال از توابع GUI که Callback هستند رو از کتابخانه user32.dll فراخوانی میکند، Process بهره برداری کننده در ساختمان Process Environment Block مقادیر KernelCallbackTable رو آماده سازی میکند.

مهاجم زمانی که Process قربانی، به تابع سیستمی Callback اشاره میکند، یک جا به جایی انجام داده و بجای تابع اصلی تابع خود را که اشاره به Payload مخرب دارد، قرار میدهد. برای اینکار اول میبایست مکان یابی PEB را بواسطه NtQueryInformationProcess انجام داد و به ستون های KernelCallbackTable بواسطه WriteProcessMemory ، آدرس Payload مخرب را قرار داد.

@Unk9vvN
#MITRE_Engenuity #Attack_Flow
ابزاری وجود داره با نام Attack Flow که محصول ارگان تحقیقاتی MITRE Engenuity است که در موضوعات امنیت دفاعی فعال است.

این ابزار میتواند به شما یک فضای شبیه سازی و ترسیم جریان اجرایی یک حمله APT را دهد تا مبتنی بر تکنیک و تاکتیک های مستند شده در MITRE ATT&CK ، شمای کلی حمله رو ترسیم نماید.

این ترسیم میتواند مبتنی بر فرمت های afb - dot - json و mmd خروجی دهد، طراحی این گراف میتواند بر پایه مدل STIX هم باشد تا #TTP حمله قابلیت استفاده در #CTI یا اشتراک گذاری اطلاعات تهدیدات سایبری باشد، همچنین استفاده در مکانیزم های رفتار شناسی را نیز دارا باشد.

این ویژگی مهم، میتواند به متخصصین شکار تهدید و کارشناسان #SOC امکان خوبی برای کشف و آشکار سازی جریان اجرایی حملات #APT را بدهد. برای نمونه میتوانید موارد زیر را مشاهده نماید:


Iranian APT exploited Log4Shell and deployed XMRig crypto mining software

A financial crime involving the SWIFT banking network

A breach at Uber by the Lapsus$ group

A Russian state-sponsored malware campaign targeting Ukraine


@Unk9vvN
#SANS #Course #Copyright
محققی به نام Jason Haddix توییتی زده است مبنی بر اینکه، یک فردی اقدام به برگزاری یکی از دوره های موسسه SANS کرده است بی آنکه مجوزی از این مجموعه داشته باشد. به بهانه این توییت یک نمونه از آسیب های ریشه ای صنعت امنیت سایبری در کشور را باز میکنیم...

برگزاری دوره آموزشی در دنیا، یک ملزومات فنی ای نیاز دارد تا بتواند رسالت و ماموریت خود را به سرانجام برساند، برای مثال یک دوره آموزشی در حوزه امنیت سایبری تهاجمی، میبایست دارای مکتوباتی (کتابچه - دستورالمعل) باشد تا تمامی نکات یک موضوع را به دانشجو انتقال دهد، چرا که اساسا انتقال دانش زمان حاصل میشود که تمامی جنبه های آن علوم و نکات متعددش مطرح شده باشد، در غیر این صورت آن دوره آموزشی رسالت خود را به سرانجام نرسانده است.

با توجه به نکات بالا، حال میتوان درک کرد که دلیل اصلی عدم وجود تیم های استارت آپ گسترده و با کیفیت، نسبت به جمعیت کشوری مانند ایران، چرا بسیار کم بوده و نیروی انسانی خود ساخته هم علاقه ای به فعالیت دانش بنیان ندارد و ترجیح به مهاجرت دارد.

@Unk9vvN
#GFW #GoodbyeDPI #PowerTunnel
دیواره آتش چین مبتنی بر چه تکنولوژی ای کار میکند؟ پاسخ مشخص است، مبتنی بر سیستم های DPI یا بررسی پکت بصورت عمیق.

بررسی پکت بصورت عمیق به چه معنی است؟ به این معنی است که الگوهای تشخیص پروتکل ارتباطی نیازی ندارند تا درون بخش Payload رمزنگاری شده را بازگشایی کرده و ببینند تا بتوانند متوجه شوند آن پروتکل چیست.

بلکه برعکس، بواسطه بررسی ساختار کلی پکت این سامانه متوجه میشود که ماهیت پکت برای چه پروتکلی بوده و حتی امضاهایی بصورت شخصی سازی شده در خصوص ایجاد نشست هایی خاص را نیز، درون آن تشخیص دهد.

برای مثال نشست WebSocket مبتنی بر HTTP... اما با دانستن این موضوع چه نتیجه ای میتوان گرفت؟ یک نتیجه مشخص! یکی از مکانیزم های عملکردی سامانه فیلترینگ میتواند بواسطه مخفی سازی پروتکل تانل درون بخش Payload یک پروتکل Legitimate مانند HTTPS دور زده شود و نشست های آن بواسطه تزریق RST مختل نشود.

برای استفاده از این تکنیک نیاز به پیاده سازی یک PKI معتبر است تا ترافیک بواسطه تکنیک های MiTM قابلیت Intercept شدن نداشته باشد و صرفا با Certificate خود احراز رمزنگاری را انجام دهد.

Clue
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#IRGC #General #Qasem_Soleimani
ارائه ای در کنفرانس CyberWarCon 2022 مطرح شده که میپردازد به روش های مهندسی اجتماعی دستگاه های امنیتی ایرانی در خصوص کشف جاسوسان احتمالی در سیستم نظامی ایران، بواسطه پیشنهادات همکاری از طرف موساد.

اینکه این ادعاها در این ارائه قطعا صحیح است یا خیر را نمیتوان با قطعیت گفت، اما شواهد فنی مطرحه در ارائه این ذهنیت را تقویت می نماید که ادعای مطرحه میتواند صحیح باشد.

اما از عنوان اصلی ارائه که بگذریم، ارائه دهنده در پیرامون صحبت های خود به یک سوال مشخص پاسخ میدهد، آن سوال این است سردار سلیمانی بواسطه چه نقص امنیتی ترور شد؟

این فرد ارائه دهنده اشاره میکند که آمریکا موفق شده است فرمانده نظامی ایرانی را ردیابی کند، آیا منظور از ردیابی، کشف موقعیت های مکانی بواسطه نفوذ به شبکه سلولی مخابراتی است؟ یا هک مستقیم تلفن همراه یا دستگاه سخت افزاری ردیابی فیزیکی؟ مشخص نیست...

https://www.youtube.com/watch?v=kE1l4ZyNkz0
@Unk9vvN
#CTI #STIX #TAXII #MAEC
هوش تهدید ساختار یافته یا Structured Threat Information Expression یک استاندارد است در خصوص اشتراک گذاری هوش یک تهدید و حمله APT بر پایه شاخه ها (#IoC) و رفتار تاکتیکی و تکنیکی حمله (#TTP).

اما در کنار ساختار STIX یک مکانیزم Transport هم وجود دارد با نام Trusted Automated Exchange of Intelligence Information است که به معنی تبادل اطلاعات قابل اعتماد بصورت اتوماتیک است که برای استانداردسازی فرایند های اشتراک گذاری بواسطه یک مکانیزم مشخص تا کلیه ابزارها و محصولات مرتبط با مقوله #CTI با هم ارتباط گیرند.

مورد بعدی Malware Attribute Enumeration and Characterization است به معنی سرشماری خصوصیات و ویژگی های بدافزار که برای توسعه زیرساخت های #CTI در راستای پالایش منابع بدافزارها طراحی شده است.

اما مورد آخر Cyber Observable eXpression است به معنی ساختارمند کردن داده های قابل مشاهده در فضای سایبر، که در راستای استفاده در پایگاه داده های #CTI نقش آفرینی میکند.

https://oasis-open.github.io/cti-documentation/
@Unk9vvN
#Cyber #Police #Spyware #BouldSpy
به گزارش آزمایشگاه تحلیل بدافزار های موبایلی شرکت Lookout، یک جاسوس افزار با نام BouldSpy در ایران منتشر شده است که گفته میشود از سوی پلیس سایبری ایران طراحی شده و مرکز کنترل و فرمان این جاسوس افزار، مراکز فرماندهی پلیس استانها بوده است.

همچنین ذکر شده است که این جاسوس افزار در قالب نرم افزار هایی مانند Psiphon ، Fake Call ، Currency Converter Pro و Call Service و CPU-Z و برخی دیگر، قرار گرفته و منتشر شده است.

در این گزارش مطرح شده است که متهمانی که دستگیر می شده اند، بر روی گوشی آنها این جاسوس افزار نصب می شده و اقدام به جاسوسی میکرده است، اطلاعات مورد جاسوسی، موقعیت مکانی، تاریخچه تماس ها، لیست مخاطبین، ضبط کلید های کیبورد، تاریخچه مرورگر ها، ضبط صدا از میکروفون، تهیه اسکرین شات و ضبط مکالمات VoIP از گوشی های اندرویدی بوده است.

در بررسی تکنیکال این جاسوس افزار مشخص شده است که یک تابع با نام onDestroy تعریف شده است که در صورت راه اندازی مجدد، فراخوانی شده و یک Broadcast را اجرا و سرویس خود را آغاز می نماید.

@Unk9vvN