#Adversary in the #Middle #Attacks
در چند سال اخیر گروه تهدید روسیه که با نام Turla شناخته میشود، از یک تکنیکی با نام AiTM استفاده کرده است با همکاری کشور بلاروس، در راستای ایجاد دسترسی از اهدافی در اوکراین.
از این تکنیک میتوان در زیرساخت مخابراتی در راستای شنود داده ها، حملات مجدد (Replay Attacks) در بهره برداری از دسترسی به داده های احرازی، استفاده نمود.
همچنین مانیتور کردن یا تغییر ترافیک از دیگر ویژگی های این تکنیک است که میتواند از دستکاری DNS برای هدایت کاربر مد نظر خود به سایت مهاجم استفاده نمود یا با حملات Downgrade پروتکل های SSL/TLS به نسخه های آسیب پذیر، ترافیک رمزنگاری را بازگشایی کرد.
اما تیم مهاجم روسی از این تکنیک در راستای بازتاب دادن یک بدافزار MoustachedBouncer در زیر دامنه
کد جاوا اسکریپتی در سمت Front-End سایت تزریق شده است که اقدام به دانلود یک فایل ZIP میکند، این فایل یک بروز رسانی Fake است که در درون خود بدافزار بصورت Trojan نهفته است.
@Unk9vvN
در چند سال اخیر گروه تهدید روسیه که با نام Turla شناخته میشود، از یک تکنیکی با نام AiTM استفاده کرده است با همکاری کشور بلاروس، در راستای ایجاد دسترسی از اهدافی در اوکراین.
از این تکنیک میتوان در زیرساخت مخابراتی در راستای شنود داده ها، حملات مجدد (Replay Attacks) در بهره برداری از دسترسی به داده های احرازی، استفاده نمود.
همچنین مانیتور کردن یا تغییر ترافیک از دیگر ویژگی های این تکنیک است که میتواند از دستکاری DNS برای هدایت کاربر مد نظر خود به سایت مهاجم استفاده نمود یا با حملات Downgrade پروتکل های SSL/TLS به نسخه های آسیب پذیر، ترافیک رمزنگاری را بازگشایی کرد.
اما تیم مهاجم روسی از این تکنیک در راستای بازتاب دادن یک بدافزار MoustachedBouncer در زیر دامنه
updates.microsoft.com
استفاده کرده و اقدام به آلوده سازی قربانیان خود میکند.کد جاوا اسکریپتی در سمت Front-End سایت تزریق شده است که اقدام به دانلود یک فایل ZIP میکند، این فایل یک بروز رسانی Fake است که در درون خود بدافزار بصورت Trojan نهفته است.
@Unk9vvN
#Indie #Hackers #Silicon #Valley
در دنیا یکی از مدل های تجاری سازی تخصص های حوزه فناوری اطلاعات این است که شما به سمت STARTUP کردن حرکت کنید و محصولاتی با مزیت رقابت مناسب ساخته و بازار دلخواه خود را بدست آورید.
اما در کنار این نوع تجاری سازی و مدل درآمد زایی از علوم فناوری اطلاعات، مفهومی یک سالی هست شکل گرفته است با نام Indie Hackers که نوعی از روش شناسی تجاری سازی تخصص است.
چیزی میان یک استارت آپ نو پا تا یک شرکت بزرگ، Indie Hackers ها کسانی هستند که علاقمند هستند محصول (MVP) تولید کنند اما نه بواسطه دریافت سرمایه از VC ها یا سرمایه گذار های خطر پذیر که به نوعی شریک کسب و کار میشوند، بلکه بواسطه کوچک سازی تیم توسعه و حذف بسیاری از هزینه های روتین یک شرکت، اقدام به تولید محصولی میکنند که میتواند درآمد متوسطی را محقق کند با کمترین امکانات.
تیم های Indie Hackers اغلب چند عضو مشخص و کوچیکی دارند که متخصص هستند و توانمندی تولید یک محصول را داشته و بصورت از راه دور با هم کار میکنند و بواسطه انجام Task های منظم و تقسیم شده میان گروه، نهایتا محصولی را ساخته و به مشتری نهایی عرضه میکنند.
@Unk9vvN
در دنیا یکی از مدل های تجاری سازی تخصص های حوزه فناوری اطلاعات این است که شما به سمت STARTUP کردن حرکت کنید و محصولاتی با مزیت رقابت مناسب ساخته و بازار دلخواه خود را بدست آورید.
اما در کنار این نوع تجاری سازی و مدل درآمد زایی از علوم فناوری اطلاعات، مفهومی یک سالی هست شکل گرفته است با نام Indie Hackers که نوعی از روش شناسی تجاری سازی تخصص است.
چیزی میان یک استارت آپ نو پا تا یک شرکت بزرگ، Indie Hackers ها کسانی هستند که علاقمند هستند محصول (MVP) تولید کنند اما نه بواسطه دریافت سرمایه از VC ها یا سرمایه گذار های خطر پذیر که به نوعی شریک کسب و کار میشوند، بلکه بواسطه کوچک سازی تیم توسعه و حذف بسیاری از هزینه های روتین یک شرکت، اقدام به تولید محصولی میکنند که میتواند درآمد متوسطی را محقق کند با کمترین امکانات.
تیم های Indie Hackers اغلب چند عضو مشخص و کوچیکی دارند که متخصص هستند و توانمندی تولید یک محصول را داشته و بصورت از راه دور با هم کار میکنند و بواسطه انجام Task های منظم و تقسیم شده میان گروه، نهایتا محصولی را ساخته و به مشتری نهایی عرضه میکنند.
@Unk9vvN
#Elite #Tools #Installer
یک نصب کننده ابزار ها با نام Linux Elite طراحی شده است تا تمامی کاستی های آزمایشگاهی در حوزه های مختلف امنیت سایبری را پوشش داده و یک سیستم عامل لینوکس پایه را تبدیل به یک آزمایشگاه تیم بنفش نماید، این ابزار فعلا از دو سیستم عامل Kali Linux و Ubuntu در شرایط آخرین نسخه، پشتیبانی میکند.
همچنین در آینده یک نصب کننده ابزار ها با نام Windows Elite نیز در همین راستا بر پایه زبان Powershell طراحی شده تا فرایند های ایجاد یک آزمایشگاه تیم بنقش را ساده و آسان نماید.
# Linux Elite
Install Script
Run Script
@Unk9vvN
یک نصب کننده ابزار ها با نام Linux Elite طراحی شده است تا تمامی کاستی های آزمایشگاهی در حوزه های مختلف امنیت سایبری را پوشش داده و یک سیستم عامل لینوکس پایه را تبدیل به یک آزمایشگاه تیم بنفش نماید، این ابزار فعلا از دو سیستم عامل Kali Linux و Ubuntu در شرایط آخرین نسخه، پشتیبانی میکند.
همچنین در آینده یک نصب کننده ابزار ها با نام Windows Elite نیز در همین راستا بر پایه زبان Powershell طراحی شده تا فرایند های ایجاد یک آزمایشگاه تیم بنقش را ساده و آسان نماید.
# Linux Elite
Install Script
curl -s https://raw.githubusercontent.com/unk9vvn/unk9vvn.github.io/main/linux-elite.sh | sudo bash
Run Script
sudo linux-lite
@Unk9vvN
#HTML #Smuggling Attack for #Bypass #SOC
در مرکز عملیات امنیت، کارشناسان در تلاش هستند که بواسطه بررسی رویداد های مبتنی بر سیستم عامل و ارتباطات مبتنی بر شبکه، تهدیدات را شکار نمایند.
همچنین بواسطه تکنولوژی DPI یا نظارت عمیق بر پکت ها، تیم امنیت دفاعی سعی خواهد کرد تا نوع ترافیک در جریان را تشخیص بدهد.
ویژگی تکنیک HTML Smuggling این است که بر بستر ترافیک Legitimate یا مشروع، Stage های بد افزار را میتوان بصورت نا محسوس انتقال داد.
مانند تصویر پست که Stage بدافزار را که مبتنی بر فایل فرمت PE است، اول Compress و Encrypt با رمز مشخص میکند و در ادامه بواسطه تکنیک Polyglot با یک فرمت غیر حساس مانند PNG ادغام میکند.
این ادغام به این صورت است که امضای اول فایل PNG دست نخورده و در ادامه داده های Chunk که XOR شده مقادیر فرمت ZIP هستند را باز نویسی میکند.
نهایتا فایل PNG در یک دامنه ای قرار گرفته و در یک صفحه HTML بواسطه جاوا اسکریت src شده و بر روی سیستم قربانی بارگزاری میشود.
فایل HTML پایه میتواند بر روی CDN نیز قرار گرفته شده و IP خط کنترل و فرمان مهاجم نیز پنهان شود.
@Unk9vvN
در مرکز عملیات امنیت، کارشناسان در تلاش هستند که بواسطه بررسی رویداد های مبتنی بر سیستم عامل و ارتباطات مبتنی بر شبکه، تهدیدات را شکار نمایند.
همچنین بواسطه تکنولوژی DPI یا نظارت عمیق بر پکت ها، تیم امنیت دفاعی سعی خواهد کرد تا نوع ترافیک در جریان را تشخیص بدهد.
ویژگی تکنیک HTML Smuggling این است که بر بستر ترافیک Legitimate یا مشروع، Stage های بد افزار را میتوان بصورت نا محسوس انتقال داد.
مانند تصویر پست که Stage بدافزار را که مبتنی بر فایل فرمت PE است، اول Compress و Encrypt با رمز مشخص میکند و در ادامه بواسطه تکنیک Polyglot با یک فرمت غیر حساس مانند PNG ادغام میکند.
این ادغام به این صورت است که امضای اول فایل PNG دست نخورده و در ادامه داده های Chunk که XOR شده مقادیر فرمت ZIP هستند را باز نویسی میکند.
نهایتا فایل PNG در یک دامنه ای قرار گرفته و در یک صفحه HTML بواسطه جاوا اسکریت src شده و بر روی سیستم قربانی بارگزاری میشود.
فایل HTML پایه میتواند بر روی CDN نیز قرار گرفته شده و IP خط کنترل و فرمان مهاجم نیز پنهان شود.
@Unk9vvN
#FilterNet #SCC #Mafia
از زمان اعلام #وزیر_ارتباطات مبنی بر الزام نمودن سرویس دهنده های اینترنت به بالا بردن کیفیت، تماما شبکه خارجی بهم ریخته است.
با بررسی هایی که صورت گرفته است، مشخص شده که این ایجاد اختلال بر روی ترافیک خارجی و مخصوصا CDN شرکت Cloudflare کاملا عمدی است.
در جریان ایجاد فیلترینگ نسل جدید، بسیاری از وبسایت هایی که هیچگونه مغایرتی با مصادیق مجرمانه ندارند نیز غیر قابل دسترس شده اند، بطور مثال وبسایت های در تصویر پست.
خب حالا سوالی که پیش می آید این است که اختلال عمدی بر روی تمام ترافیک خارج از کشور به چه دلیل است؟ پاسخ در مافیای ارائه خدمات مرکز داده در ایران است.
کافی است شما در گروه های شبکه و امنیت تلگرامی درخواست خرید سرور تونل فیلترشکن داخلی نماید، بلا فاصله دلالان مرتبط با مراکز داده مطرح کشور با شما ارتباط گرفته و بصورت غیر مستقیم، سرور را بفروش میرسانند.
اگر حاکمیت و دبیر شورای عالی فضای مجازی، راست میگوید درد فیلترینگ دارد با شرکت های ارائه دهنده سرور تونل ایرانی برخورد کند.
لینک پنل معروف به MHSanaei/3x-ui بر روی مراکز داده ایران از جمله آسیاتک، رسپینا و ...
@Unk9vvN
از زمان اعلام #وزیر_ارتباطات مبنی بر الزام نمودن سرویس دهنده های اینترنت به بالا بردن کیفیت، تماما شبکه خارجی بهم ریخته است.
با بررسی هایی که صورت گرفته است، مشخص شده که این ایجاد اختلال بر روی ترافیک خارجی و مخصوصا CDN شرکت Cloudflare کاملا عمدی است.
در جریان ایجاد فیلترینگ نسل جدید، بسیاری از وبسایت هایی که هیچگونه مغایرتی با مصادیق مجرمانه ندارند نیز غیر قابل دسترس شده اند، بطور مثال وبسایت های در تصویر پست.
خب حالا سوالی که پیش می آید این است که اختلال عمدی بر روی تمام ترافیک خارج از کشور به چه دلیل است؟ پاسخ در مافیای ارائه خدمات مرکز داده در ایران است.
کافی است شما در گروه های شبکه و امنیت تلگرامی درخواست خرید سرور تونل فیلترشکن داخلی نماید، بلا فاصله دلالان مرتبط با مراکز داده مطرح کشور با شما ارتباط گرفته و بصورت غیر مستقیم، سرور را بفروش میرسانند.
اگر حاکمیت و دبیر شورای عالی فضای مجازی، راست میگوید درد فیلترینگ دارد با شرکت های ارائه دهنده سرور تونل ایرانی برخورد کند.
لینک پنل معروف به MHSanaei/3x-ui بر روی مراکز داده ایران از جمله آسیاتک، رسپینا و ...
@Unk9vvN
#AS #BGP #Hijacking
اینترنت شبکه ای از شبکه ها است و Autonomous Systems یا AS ها سیستم های مستقلی هستند که آنرا تشکیل میدهند، لذا هر AS یک شبکه بزرگ منسجم است در منطقه ی جغرافیایی مشخص، که تمامی دستگاه های متصل به اینترنت، به AS منطقه خود وصل هستند.
بسته های داده مدام بین این AS ها در حال انتقال هستند، تا به اینترنت پروتکل آدرس یا IP مقصد برسند، همچنین هر AS مجموعه ای خاص از آدرس های IP را دارد که آن توسط ISP ها کنترل میشود.
مسیریابی AS فهرستی از فضای آدرس IP است که AS کنترل میکند و علاوه بر آن لیستی از سایر AS های متصل به خود نیز دارد. اطلاعات AS ها بواسطه پروتکل BGP بین یکدیگر رد و بدل میشود.
هر AS یک فضای آدرس IP دارد که مختص به خود است، حالا زمانی که کشوری بطور مثال برای اعمال فیلترینگ نیاز دارد محدودیت ایجاد نماید، فضای آدرس بطور مثال Cloudflare را تغییر میدهند در Routing table تا ترافیک به سمت GFW هدایت و آنجا بواسطه DPI اختلال مد نظر اعمال شود.
به این تغییر فضای آدرس IP مسیریابی اصطلاحا BGP Hijacking گفته میشود که Radar Cloudflare همواره از رخداد این تکنیک در زیرساخت های ایران خبر میدهد.
@Unk9vvN
اینترنت شبکه ای از شبکه ها است و Autonomous Systems یا AS ها سیستم های مستقلی هستند که آنرا تشکیل میدهند، لذا هر AS یک شبکه بزرگ منسجم است در منطقه ی جغرافیایی مشخص، که تمامی دستگاه های متصل به اینترنت، به AS منطقه خود وصل هستند.
بسته های داده مدام بین این AS ها در حال انتقال هستند، تا به اینترنت پروتکل آدرس یا IP مقصد برسند، همچنین هر AS مجموعه ای خاص از آدرس های IP را دارد که آن توسط ISP ها کنترل میشود.
مسیریابی AS فهرستی از فضای آدرس IP است که AS کنترل میکند و علاوه بر آن لیستی از سایر AS های متصل به خود نیز دارد. اطلاعات AS ها بواسطه پروتکل BGP بین یکدیگر رد و بدل میشود.
هر AS یک فضای آدرس IP دارد که مختص به خود است، حالا زمانی که کشوری بطور مثال برای اعمال فیلترینگ نیاز دارد محدودیت ایجاد نماید، فضای آدرس بطور مثال Cloudflare را تغییر میدهند در Routing table تا ترافیک به سمت GFW هدایت و آنجا بواسطه DPI اختلال مد نظر اعمال شود.
به این تغییر فضای آدرس IP مسیریابی اصطلاحا BGP Hijacking گفته میشود که Radar Cloudflare همواره از رخداد این تکنیک در زیرساخت های ایران خبر میدهد.
@Unk9vvN