This media is not supported in your browser
VIEW IN TELEGRAM
#IRGC #General #Qasem_Soleimani
ارائه ای در کنفرانس CyberWarCon 2022 مطرح شده که میپردازد به روش های مهندسی اجتماعی دستگاه های امنیتی ایرانی در خصوص کشف جاسوسان احتمالی در سیستم نظامی ایران، بواسطه پیشنهادات همکاری از طرف موساد.
اینکه این ادعاها در این ارائه قطعا صحیح است یا خیر را نمیتوان با قطعیت گفت، اما شواهد فنی مطرحه در ارائه این ذهنیت را تقویت می نماید که ادعای مطرحه میتواند صحیح باشد.
اما از عنوان اصلی ارائه که بگذریم، ارائه دهنده در پیرامون صحبت های خود به یک سوال مشخص پاسخ میدهد، آن سوال این است سردار سلیمانی بواسطه چه نقص امنیتی ترور شد؟
این فرد ارائه دهنده اشاره میکند که آمریکا موفق شده است فرمانده نظامی ایرانی را ردیابی کند، آیا منظور از ردیابی، کشف موقعیت های مکانی بواسطه نفوذ به شبکه سلولی مخابراتی است؟ یا هک مستقیم تلفن همراه یا دستگاه سخت افزاری ردیابی فیزیکی؟ مشخص نیست...
https://www.youtube.com/watch?v=kE1l4ZyNkz0
@Unk9vvN
ارائه ای در کنفرانس CyberWarCon 2022 مطرح شده که میپردازد به روش های مهندسی اجتماعی دستگاه های امنیتی ایرانی در خصوص کشف جاسوسان احتمالی در سیستم نظامی ایران، بواسطه پیشنهادات همکاری از طرف موساد.
اینکه این ادعاها در این ارائه قطعا صحیح است یا خیر را نمیتوان با قطعیت گفت، اما شواهد فنی مطرحه در ارائه این ذهنیت را تقویت می نماید که ادعای مطرحه میتواند صحیح باشد.
اما از عنوان اصلی ارائه که بگذریم، ارائه دهنده در پیرامون صحبت های خود به یک سوال مشخص پاسخ میدهد، آن سوال این است سردار سلیمانی بواسطه چه نقص امنیتی ترور شد؟
این فرد ارائه دهنده اشاره میکند که آمریکا موفق شده است فرمانده نظامی ایرانی را ردیابی کند، آیا منظور از ردیابی، کشف موقعیت های مکانی بواسطه نفوذ به شبکه سلولی مخابراتی است؟ یا هک مستقیم تلفن همراه یا دستگاه سخت افزاری ردیابی فیزیکی؟ مشخص نیست...
https://www.youtube.com/watch?v=kE1l4ZyNkz0
@Unk9vvN
#CTI #STIX #TAXII #MAEC
هوش تهدید ساختار یافته یا Structured Threat Information Expression یک استاندارد است در خصوص اشتراک گذاری هوش یک تهدید و حمله APT بر پایه شاخه ها (#IoC) و رفتار تاکتیکی و تکنیکی حمله (#TTP).
اما در کنار ساختار STIX یک مکانیزم Transport هم وجود دارد با نام Trusted Automated Exchange of Intelligence Information است که به معنی تبادل اطلاعات قابل اعتماد بصورت اتوماتیک است که برای استانداردسازی فرایند های اشتراک گذاری بواسطه یک مکانیزم مشخص تا کلیه ابزارها و محصولات مرتبط با مقوله #CTI با هم ارتباط گیرند.
مورد بعدی Malware Attribute Enumeration and Characterization است به معنی سرشماری خصوصیات و ویژگی های بدافزار که برای توسعه زیرساخت های #CTI در راستای پالایش منابع بدافزارها طراحی شده است.
اما مورد آخر Cyber Observable eXpression است به معنی ساختارمند کردن داده های قابل مشاهده در فضای سایبر، که در راستای استفاده در پایگاه داده های #CTI نقش آفرینی میکند.
https://oasis-open.github.io/cti-documentation/
@Unk9vvN
هوش تهدید ساختار یافته یا Structured Threat Information Expression یک استاندارد است در خصوص اشتراک گذاری هوش یک تهدید و حمله APT بر پایه شاخه ها (#IoC) و رفتار تاکتیکی و تکنیکی حمله (#TTP).
اما در کنار ساختار STIX یک مکانیزم Transport هم وجود دارد با نام Trusted Automated Exchange of Intelligence Information است که به معنی تبادل اطلاعات قابل اعتماد بصورت اتوماتیک است که برای استانداردسازی فرایند های اشتراک گذاری بواسطه یک مکانیزم مشخص تا کلیه ابزارها و محصولات مرتبط با مقوله #CTI با هم ارتباط گیرند.
مورد بعدی Malware Attribute Enumeration and Characterization است به معنی سرشماری خصوصیات و ویژگی های بدافزار که برای توسعه زیرساخت های #CTI در راستای پالایش منابع بدافزارها طراحی شده است.
اما مورد آخر Cyber Observable eXpression است به معنی ساختارمند کردن داده های قابل مشاهده در فضای سایبر، که در راستای استفاده در پایگاه داده های #CTI نقش آفرینی میکند.
https://oasis-open.github.io/cti-documentation/
@Unk9vvN
#Cyber #Police #Spyware #BouldSpy
به گزارش آزمایشگاه تحلیل بدافزار های موبایلی شرکت Lookout، یک جاسوس افزار با نام BouldSpy در ایران منتشر شده است که گفته میشود از سوی پلیس سایبری ایران طراحی شده و مرکز کنترل و فرمان این جاسوس افزار، مراکز فرماندهی پلیس استانها بوده است.
همچنین ذکر شده است که این جاسوس افزار در قالب نرم افزار هایی مانند Psiphon ، Fake Call ، Currency Converter Pro و Call Service و CPU-Z و برخی دیگر، قرار گرفته و منتشر شده است.
در این گزارش مطرح شده است که متهمانی که دستگیر می شده اند، بر روی گوشی آنها این جاسوس افزار نصب می شده و اقدام به جاسوسی میکرده است، اطلاعات مورد جاسوسی، موقعیت مکانی، تاریخچه تماس ها، لیست مخاطبین، ضبط کلید های کیبورد، تاریخچه مرورگر ها، ضبط صدا از میکروفون، تهیه اسکرین شات و ضبط مکالمات VoIP از گوشی های اندرویدی بوده است.
در بررسی تکنیکال این جاسوس افزار مشخص شده است که یک تابع با نام
@Unk9vvN
به گزارش آزمایشگاه تحلیل بدافزار های موبایلی شرکت Lookout، یک جاسوس افزار با نام BouldSpy در ایران منتشر شده است که گفته میشود از سوی پلیس سایبری ایران طراحی شده و مرکز کنترل و فرمان این جاسوس افزار، مراکز فرماندهی پلیس استانها بوده است.
همچنین ذکر شده است که این جاسوس افزار در قالب نرم افزار هایی مانند Psiphon ، Fake Call ، Currency Converter Pro و Call Service و CPU-Z و برخی دیگر، قرار گرفته و منتشر شده است.
در این گزارش مطرح شده است که متهمانی که دستگیر می شده اند، بر روی گوشی آنها این جاسوس افزار نصب می شده و اقدام به جاسوسی میکرده است، اطلاعات مورد جاسوسی، موقعیت مکانی، تاریخچه تماس ها، لیست مخاطبین، ضبط کلید های کیبورد، تاریخچه مرورگر ها، ضبط صدا از میکروفون، تهیه اسکرین شات و ضبط مکالمات VoIP از گوشی های اندرویدی بوده است.
در بررسی تکنیکال این جاسوس افزار مشخص شده است که یک تابع با نام
onDestroy تعریف شده است که در صورت راه اندازی مجدد، فراخوانی شده و یک Broadcast را اجرا و سرویس خود را آغاز می نماید.@Unk9vvN
#Microsoft #Threat #Intelligence #Iranian #APTs
مایکروسافت گزارشی از تحرکات یکی دو سال اخیر سایبری ایران منتشر کرده و در اونجا تیم های فعال منتسب به دستگاه های امنیتی ایران رو مشخص کرده است.
نکته قابل توجه در این گزارش، رفتار های تاکتیکی تکنیکی این تیم ها بوده که عموما بر پایه یک سطح مشخصی تعریف شده، به عنوان مثال استفاده گستره از Exploit Public-Facing یا کد های بهره برداری عمومی شده که برای ایجاد دسترسی استفاده شده است.
آسیب پذیری هایی مانند Log4Shell ، CVE-2022-47966 ، CVE-2022-47986 و چند مورد دیگر که در خصوص نرم افزار های خاص عموم شده بود. اما اهداف چه بوده است؟ عموم اهداف Data theft یا سرقت اطلاعات بوده، در مرحله بعد Defacement یا تخریب ظاهر وب سرویس های قربانی بوده است.
این تیم ها عموما در مراحل تخصصی تیم قرمز، طراحی و توسعه انجام میدهند و مراحلی مانند ایجاد دسترسی را بواسطه یک فرصت عمومی ایجاد شده اعمال میکنند، از این روی بعد از منتشر شدن یک آسیب پذیری سطح حساس، میتوانیم منتظر حملات گستره این تیم ها باشیم.
@Unk9vvN
مایکروسافت گزارشی از تحرکات یکی دو سال اخیر سایبری ایران منتشر کرده و در اونجا تیم های فعال منتسب به دستگاه های امنیتی ایران رو مشخص کرده است.
نکته قابل توجه در این گزارش، رفتار های تاکتیکی تکنیکی این تیم ها بوده که عموما بر پایه یک سطح مشخصی تعریف شده، به عنوان مثال استفاده گستره از Exploit Public-Facing یا کد های بهره برداری عمومی شده که برای ایجاد دسترسی استفاده شده است.
آسیب پذیری هایی مانند Log4Shell ، CVE-2022-47966 ، CVE-2022-47986 و چند مورد دیگر که در خصوص نرم افزار های خاص عموم شده بود. اما اهداف چه بوده است؟ عموم اهداف Data theft یا سرقت اطلاعات بوده، در مرحله بعد Defacement یا تخریب ظاهر وب سرویس های قربانی بوده است.
این تیم ها عموما در مراحل تخصصی تیم قرمز، طراحی و توسعه انجام میدهند و مراحلی مانند ایجاد دسترسی را بواسطه یک فرصت عمومی ایجاد شده اعمال میکنند، از این روی بعد از منتشر شدن یک آسیب پذیری سطح حساس، میتوانیم منتظر حملات گستره این تیم ها باشیم.
@Unk9vvN
#Windows #DHCPv6 Server #RCE
یک آسیب پذیری با شناسه CVE-2023-28231 ثبت شده است که از درجه حساسیت 9.8 برخوردار بوده، که بر روی سرویس DHCPv6 ویندوز رخ داده است.
این آسیب پذیری از نوع Heap-Based Buffer Overflow بوده و از راه دور قابلیت Trigger کردن داشته است. پروتکل DHCP برای مدیریت خودکار در خصوص تخصیص آدرس های IP در یک شبکه است.
در فرایند تخصص نوع آدرس IPv6 بر روی Port های 546 و 547، یک پردازش در خصوص پیام های Relay-Forward وجود داشته است که توسط تابع
این تابع یک بافر در Heap را با اندازه 1664 بایت، مقدار دهی اولیه میکند که آرایه 32 از ساختمان 52 بایت برای هر پیام Relay-forward تو در تو خواهد بود.
حال، هیچ اعتبارسنجی برای اطمینان از اینکه شمارنده از حداکثر تعداد مورد انتظار، 32 تجاوز نکند، انجام نمیشود. بنابراین اگر بیش از 32 پیام تو در تو در یک پیام Relay-forward گنجانده شود، تابع در یک افست مینویسد و از اندازه بافر تخصیص داده شده فراتر میرود که منجر به سرریز بافر میشود.
@Unk9vvN
یک آسیب پذیری با شناسه CVE-2023-28231 ثبت شده است که از درجه حساسیت 9.8 برخوردار بوده، که بر روی سرویس DHCPv6 ویندوز رخ داده است.
این آسیب پذیری از نوع Heap-Based Buffer Overflow بوده و از راه دور قابلیت Trigger کردن داشته است. پروتکل DHCP برای مدیریت خودکار در خصوص تخصیص آدرس های IP در یک شبکه است.
در فرایند تخصص نوع آدرس IPv6 بر روی Port های 546 و 547، یک پردازش در خصوص پیام های Relay-Forward وجود داشته است که توسط تابع
ProcessRelayForwardMessage در dhcpssvc.dll پردازش میشود.این تابع یک بافر در Heap را با اندازه 1664 بایت، مقدار دهی اولیه میکند که آرایه 32 از ساختمان 52 بایت برای هر پیام Relay-forward تو در تو خواهد بود.
حال، هیچ اعتبارسنجی برای اطمینان از اینکه شمارنده از حداکثر تعداد مورد انتظار، 32 تجاوز نکند، انجام نمیشود. بنابراین اگر بیش از 32 پیام تو در تو در یک پیام Relay-forward گنجانده شود، تابع در یک افست مینویسد و از اندازه بافر تخصیص داده شده فراتر میرود که منجر به سرریز بافر میشود.
@Unk9vvN
#Hyperscan #Regex #Library
کتابخانه Hyperscan که تولید شده شرکت Intel است، یک تسهیل کننده در بحث پردازش Regex Matching است که در سطح پردازش بالا، مورد استفاده قرار میگیرید.
بطور مثال محصولاتی مانند Firewall - DPI - Snort - Suricata و دیگر محصولات امنیت دفاعی که مبتنی بر نظارت Stream بر روی ترافیک، اعمال تشخیص و عمل دفاع را انجام میدهند، از این کتابخانه برای تشخیص مبتنی بر امضا استفاده کرده اند.
این کتابخانه از PCRE و BSD پشتیبانی میکند، همچنین این کتابخانه از الگوریتم های Intel® Streaming SIMD نیز استفاده میکند که این موضوع کیفیت Matching رو در پردازش بالا، صورت میبخشد.
فرایند کارکرد این کتابخانه، به این صورت است که ورودی مبتنی بر Pattern ها استخراج و در پایگاه داده ای در حافظه ذخیره میشوند برای استفاده در زمان اجرا.
اما در زمان اجرا از قبل الگوها از پایگاه داده فراخوانی میشوند و مبتنی بر موتور NFA و DFA اقدام به اعمال Matching بر روی دستورالعمل خواهند نمود، از آنجا که الگوهای پایگاه داده فقط خواندنی است، میتوان عمل پردازش رو بر روی چند هسته از پردازنده و چند Threads اجرا نموند.
@Unk9vvN
کتابخانه Hyperscan که تولید شده شرکت Intel است، یک تسهیل کننده در بحث پردازش Regex Matching است که در سطح پردازش بالا، مورد استفاده قرار میگیرید.
بطور مثال محصولاتی مانند Firewall - DPI - Snort - Suricata و دیگر محصولات امنیت دفاعی که مبتنی بر نظارت Stream بر روی ترافیک، اعمال تشخیص و عمل دفاع را انجام میدهند، از این کتابخانه برای تشخیص مبتنی بر امضا استفاده کرده اند.
این کتابخانه از PCRE و BSD پشتیبانی میکند، همچنین این کتابخانه از الگوریتم های Intel® Streaming SIMD نیز استفاده میکند که این موضوع کیفیت Matching رو در پردازش بالا، صورت میبخشد.
فرایند کارکرد این کتابخانه، به این صورت است که ورودی مبتنی بر Pattern ها استخراج و در پایگاه داده ای در حافظه ذخیره میشوند برای استفاده در زمان اجرا.
اما در زمان اجرا از قبل الگوها از پایگاه داده فراخوانی میشوند و مبتنی بر موتور NFA و DFA اقدام به اعمال Matching بر روی دستورالعمل خواهند نمود، از آنجا که الگوهای پایگاه داده فقط خواندنی است، میتوان عمل پردازش رو بر روی چند هسته از پردازنده و چند Threads اجرا نموند.
@Unk9vvN