#MITRE ATT&CK
یک اسکریپت PowerShell در خصوص ارتباط با API فریمورک MITRE ATT&CK وجود دارد که میتواند تمام تکنیک ها و روش هایی که در خصوص مراحل نفوذ و پسا نفوذ را برای هکرهای #Offensive نمایان سازد اسکریپت PowerShell مذکور با API JsonBase آدرس زیر ارتباط میگیره
https://raw.githubusercontent.com/mitre/cti/master/enterprise-attack/enterprise-attack.json
دقت داشته باشید که این اسکریپت تکنیک هارو برای شما انجام نمیده بلکه تکنیک های روز رو برای شما تشریح و اگر Blog برای آنها وجود داشته باشه لینک میکنه که بتونید اطلاعات از اون تکنیک کسب کنید.
https://github.com/Cyb3rWard0g/Invoke-ATTACKAPI
@Unk9vvN
یک اسکریپت PowerShell در خصوص ارتباط با API فریمورک MITRE ATT&CK وجود دارد که میتواند تمام تکنیک ها و روش هایی که در خصوص مراحل نفوذ و پسا نفوذ را برای هکرهای #Offensive نمایان سازد اسکریپت PowerShell مذکور با API JsonBase آدرس زیر ارتباط میگیره
https://raw.githubusercontent.com/mitre/cti/master/enterprise-attack/enterprise-attack.json
دقت داشته باشید که این اسکریپت تکنیک هارو برای شما انجام نمیده بلکه تکنیک های روز رو برای شما تشریح و اگر Blog برای آنها وجود داشته باشه لینک میکنه که بتونید اطلاعات از اون تکنیک کسب کنید.
https://github.com/Cyb3rWard0g/Invoke-ATTACKAPI
@Unk9vvN
#Threat #Detection Solutions
چندی پیش با مدیر عامل شرکت امن پردازان کویر #APK جلسه ای داشتم, منباب همکاری که در نهایت توافقات مدنظر شکل نگرفت و موضوع کنسل شد,
موضوع مورد بحث این بود که ما نظر بر تولید محصول #Detection_Offensive داشتیم که بشه براش #Rule هایی نوشت و بصورت متن باز Signature سازی کرد از تحلیل ها و رصدهایی که خود محصول یا نیروی انسانی انجام میده,
این عزیزان فکر میکردن ما داریم حرف های قشنگ قشنگ میزنیم که بگیم خیلی خوبیم:) , تصویری که در پست میبینید دقیقا همین محصولی هست که ما بصورت تجربی به ایدش رسیده بودیم که میبینید Stage های ایرانی رو هم شناسایی کرده و #Rule اون هم نصب شده برای Solution به نام #THOR که یک #APT_SCANNER هستش,
در هر صورت یکی از استانداردهای اصلی مرکز کنترل امنیت اینه که محصول طراحی شده برای شرکت پای قرارداد باشه نه محصولاتی مثل SIEM->Splunk و غیره که بومی نیستند, مورد بعدی همین محصولات هم کفایت بحث #Detect یا #Hunting حملات نخواهد بود.
https://valhalla.nextron-systems.com/
@Unk9vvN
چندی پیش با مدیر عامل شرکت امن پردازان کویر #APK جلسه ای داشتم, منباب همکاری که در نهایت توافقات مدنظر شکل نگرفت و موضوع کنسل شد,
موضوع مورد بحث این بود که ما نظر بر تولید محصول #Detection_Offensive داشتیم که بشه براش #Rule هایی نوشت و بصورت متن باز Signature سازی کرد از تحلیل ها و رصدهایی که خود محصول یا نیروی انسانی انجام میده,
این عزیزان فکر میکردن ما داریم حرف های قشنگ قشنگ میزنیم که بگیم خیلی خوبیم:) , تصویری که در پست میبینید دقیقا همین محصولی هست که ما بصورت تجربی به ایدش رسیده بودیم که میبینید Stage های ایرانی رو هم شناسایی کرده و #Rule اون هم نصب شده برای Solution به نام #THOR که یک #APT_SCANNER هستش,
در هر صورت یکی از استانداردهای اصلی مرکز کنترل امنیت اینه که محصول طراحی شده برای شرکت پای قرارداد باشه نه محصولاتی مثل SIEM->Splunk و غیره که بومی نیستند, مورد بعدی همین محصولات هم کفایت بحث #Detect یا #Hunting حملات نخواهد بود.
https://valhalla.nextron-systems.com/
@Unk9vvN
#RedTeam Tools
علوم سایبری همواره در حال گذار از مباحث روز بوده و مطالب جدیدتر و مباحث و استانداردهای جدیدتری رو سازمان دهی میکند, یکی از این استانداردها تسلط بر تکنیک های دوازده گانه شرکت MITRE ATT&CK هستش که به تازگی سازماندهی شده,
ما در این سطح از فضای تکنیکال و عملیات های PenetrationTesting خلاء هایی در کشور داریم که البته جز تیم های وصل به ارگان های نظامی مانند OilRig دیگر تیم های مردم نهاد و دانشجویی نگرش چندانی در این فضا نداشتند,
از این رو پیشنهاد میکنم که سابقه یک تیم ایرانی منتسب به سازمان های نظامی ایران رو بررسی کنید تا از کم و کیف تکنیک های استفاده شده و همینطور Tools های بکار رفته شده در حملات APTs مطلع شوید و کمی در امر حملات RealWorld نگاه دقیقتری داشته باشید,
تصویر پست یکی از همین Tools هایی است که توسط تیم OilRig و پنتسترهای RedTeam استفاده میشه.
https://attack.mitre.org/groups/G0049/
@Unk9vvN
علوم سایبری همواره در حال گذار از مباحث روز بوده و مطالب جدیدتر و مباحث و استانداردهای جدیدتری رو سازمان دهی میکند, یکی از این استانداردها تسلط بر تکنیک های دوازده گانه شرکت MITRE ATT&CK هستش که به تازگی سازماندهی شده,
ما در این سطح از فضای تکنیکال و عملیات های PenetrationTesting خلاء هایی در کشور داریم که البته جز تیم های وصل به ارگان های نظامی مانند OilRig دیگر تیم های مردم نهاد و دانشجویی نگرش چندانی در این فضا نداشتند,
از این رو پیشنهاد میکنم که سابقه یک تیم ایرانی منتسب به سازمان های نظامی ایران رو بررسی کنید تا از کم و کیف تکنیک های استفاده شده و همینطور Tools های بکار رفته شده در حملات APTs مطلع شوید و کمی در امر حملات RealWorld نگاه دقیقتری داشته باشید,
تصویر پست یکی از همین Tools هایی است که توسط تیم OilRig و پنتسترهای RedTeam استفاده میشه.
https://attack.mitre.org/groups/G0049/
@Unk9vvN
#Securitylab #Github
آیا با SecurityLab آشنایی دارید؟ میتوانید آسیب پذیری های Publish شده در Github رو در اینجا بصورت جامع داشته و توضیحات محققین و کاشف آسیب پذیری هارو هم ببینید, همچنین میتواند آسیب پذیری هارا با Syntax CodeQL که مخصوص محققین امنیتی طراحی شده گزارش کنید...
https://securitylab.github.com/research
@Unk9vvN
آیا با SecurityLab آشنایی دارید؟ میتوانید آسیب پذیری های Publish شده در Github رو در اینجا بصورت جامع داشته و توضیحات محققین و کاشف آسیب پذیری هارو هم ببینید, همچنین میتواند آسیب پذیری هارا با Syntax CodeQL که مخصوص محققین امنیتی طراحی شده گزارش کنید...
https://securitylab.github.com/research
@Unk9vvN
#OS_Binraries ( Windows & Linux )
آیا علاقمند هستید تا Executer های سیستم عامل های لینوکس و ویندوز رو بشناسید؟
و راه حل های خلاقانه در خصوص چگونگی پیاده سازی پیلودها بر بستر نوع API یا ساختار رفتاری آنها طراحی کنید تا با استفاده از این روش بسیاری از مکانیزم های Detection رو دور زده و یک اجرای shell بصورت Evasion رو شاهد باشید,
البته ناگفته نمونه که این منبع میتونه در خصوص نوشتن برخی Post Explotation های کار آمد هم مؤثر عمل کنه...
#Windows
https://lolbas-project.github.io
#Linux
https://gtfobins.github.io
@Unk9vvN
آیا علاقمند هستید تا Executer های سیستم عامل های لینوکس و ویندوز رو بشناسید؟
و راه حل های خلاقانه در خصوص چگونگی پیاده سازی پیلودها بر بستر نوع API یا ساختار رفتاری آنها طراحی کنید تا با استفاده از این روش بسیاری از مکانیزم های Detection رو دور زده و یک اجرای shell بصورت Evasion رو شاهد باشید,
البته ناگفته نمونه که این منبع میتونه در خصوص نوشتن برخی Post Explotation های کار آمد هم مؤثر عمل کنه...
#Windows
https://lolbas-project.github.io
#Linux
https://gtfobins.github.io
@Unk9vvN
#MuddyWater_Pivot
در یکی از گزارشات کمپانی clearskysec در خصوص بدافزار Embed شده به فایل فرمت خانواده محصولات Office یعنی Doc آمده که تیم ایرانی برای رد گم کنی یک دامنه اسرائلی رو هک کرده و Reverse دسترسی بدافزار ارسالی خودش رو به واسطه پروکسی های پی در پی به این دامنه ارسال کرده,
حرکت جالب و به ظاهر خلاقانه ای هستش اما مثل اینکه زیاد هم کار آمد نبوده و این شرکت توانسته بدافزار رو Detect و Signature کنه , البته چون هدف کشورهای عربی بوده بحث شناسایی این حمله با تاخیر انجام شده,
نوع پایلود اصلی که میشه Stage Two هم یک Macro به زبان VBScript بوده که البته بصورت مبهم سازی نوشته شده بوده و پایلود رو بر بستر خط فرمان Powershell به اجرا در می آورده, این گزارش برای سال 2018 هستش...
https://www.clearskysec.com/muddywater-operations-in-lebanon-and-oman/
@Unk9vvN
در یکی از گزارشات کمپانی clearskysec در خصوص بدافزار Embed شده به فایل فرمت خانواده محصولات Office یعنی Doc آمده که تیم ایرانی برای رد گم کنی یک دامنه اسرائلی رو هک کرده و Reverse دسترسی بدافزار ارسالی خودش رو به واسطه پروکسی های پی در پی به این دامنه ارسال کرده,
حرکت جالب و به ظاهر خلاقانه ای هستش اما مثل اینکه زیاد هم کار آمد نبوده و این شرکت توانسته بدافزار رو Detect و Signature کنه , البته چون هدف کشورهای عربی بوده بحث شناسایی این حمله با تاخیر انجام شده,
نوع پایلود اصلی که میشه Stage Two هم یک Macro به زبان VBScript بوده که البته بصورت مبهم سازی نوشته شده بوده و پایلود رو بر بستر خط فرمان Powershell به اجرا در می آورده, این گزارش برای سال 2018 هستش...
https://www.clearskysec.com/muddywater-operations-in-lebanon-and-oman/
@Unk9vvN
#Host_Header #Injection on #RCE
تکنیک های زنجیروار برای پیاده سازی یک Remote Code Execution بر بستر فریمورک ها بسیار متفاوت و نیاز به آزمایشات بسیاری دارد, از این رو در آسیب پذیری هایی مانند #Host_Header_Injection همونطور که در تصویر پست مشاهده میکنید, هکر امکان این رو پیدا میکنه تا با فراخوانی curl یک Request به وبسرور خود زده و پایلود RCE خودش رو بر بستر فریمورک فراخوانی و اجرا کنه,
پایلود Advance های این آسیب پذیری بسیار محرک برای پیاده سازی حملات RCE میباشد, پیشنهاد میکنم تحقیقاتی در حوزه انجام بدید ...
https://exploitbox.io/vuln/Vanilla-Forums-Exploit-Host-Header-Injection-CVE-2016-10073-0day.html
@Unk9vvN
تکنیک های زنجیروار برای پیاده سازی یک Remote Code Execution بر بستر فریمورک ها بسیار متفاوت و نیاز به آزمایشات بسیاری دارد, از این رو در آسیب پذیری هایی مانند #Host_Header_Injection همونطور که در تصویر پست مشاهده میکنید, هکر امکان این رو پیدا میکنه تا با فراخوانی curl یک Request به وبسرور خود زده و پایلود RCE خودش رو بر بستر فریمورک فراخوانی و اجرا کنه,
پایلود Advance های این آسیب پذیری بسیار محرک برای پیاده سازی حملات RCE میباشد, پیشنهاد میکنم تحقیقاتی در حوزه انجام بدید ...
https://exploitbox.io/vuln/Vanilla-Forums-Exploit-Host-Header-Injection-CVE-2016-10073-0day.html
@Unk9vvN
#Web #Google_CTF 2019 #Writeup
آخرین چالش CTF شرکت Google در سال 2019 که منجر به خوندن فایل
از نکات جالب این Payload میتوان به دور زدن مکانیزم #SOP اشاره کرد که در خصوص اعمال محدودیت برای درخواست های بیرون از Origin خود است. در نتیجه مهاجم بواسطه خواندن یک فایل
مرحله بعد از این Entity در راستای خواندن فایل
نکته آخر این هستش که آسیب پذیری بر بستر یک Request که با نوع محتوای
@Unk9vvN
آخرین چالش CTF شرکت Google در سال 2019 که منجر به خوندن فایل
passwd و flag شد.از نکات جالب این Payload میتوان به دور زدن مکانیزم #SOP اشاره کرد که در خصوص اعمال محدودیت برای درخواست های بیرون از Origin خود است. در نتیجه مهاجم بواسطه خواندن یک فایل
dtd پیشرفض بر روی local سیستم عامل، اقدام به تعریف Entity خودش کنه.مرحله بعد از این Entity در راستای خواندن فایل
passwd تعریف شده که اینجا با عوض کردن آدرس و اشاره به فایل Flag در آدرس root سیستم عامل، عملا پرچم هم کشف خواهد شد.نکته آخر این هستش که آسیب پذیری بر بستر یک Request که با نوع محتوای
json تعریف شده بود ارسال می شد که اینجا مهاجم با تعویض نوع Content-Type به نوع محتوای XML امکان برقراری با Endpoint رو پیدا کرده و آسیب پذیری XXE رو توانسته تست کنه و نهایتا بهره برداری کنه...@Unk9vvN
#HTTP_Parameter_Pollution for #Bypass_WAF
یکی از جذابیت های آسیب پذیری HTTP Parameter Pollution این هستش که به واسطه این آسیب پذیری میتوان #WAF هارو دور زد,
اما به چه صورت؟! خب همونطور که در تصویر پست هم مشاهده میکنید آسیب پذیری #HPP امکان این رو به شما میده که پارامتر دارای آسیب پذیر رو Pollution یا آلوده کنه به چه صورت؟ با مقدار دهی متعدد یک پارامتر,
این آسیب پذیری میتواند موجب Parse یک پایلود در EndPoint یک وبسرویس شده و قبل از آن بصورت Split باشه و ارسال بشه. طبیعا #WAF ها یک پایلود Split شده رو نمیتوانند موردی برای خطر پردازش و Block کنند...
https://blog.mert.ninja/twitter-hpp-vulnerability/
@Unk9vvN
یکی از جذابیت های آسیب پذیری HTTP Parameter Pollution این هستش که به واسطه این آسیب پذیری میتوان #WAF هارو دور زد,
اما به چه صورت؟! خب همونطور که در تصویر پست هم مشاهده میکنید آسیب پذیری #HPP امکان این رو به شما میده که پارامتر دارای آسیب پذیر رو Pollution یا آلوده کنه به چه صورت؟ با مقدار دهی متعدد یک پارامتر,
این آسیب پذیری میتواند موجب Parse یک پایلود در EndPoint یک وبسرویس شده و قبل از آن بصورت Split باشه و ارسال بشه. طبیعا #WAF ها یک پایلود Split شده رو نمیتوانند موردی برای خطر پردازش و Block کنند...
https://blog.mert.ninja/twitter-hpp-vulnerability/
@Unk9vvN
#Whitelist_URL Bypassing
در بسیاری از مواقع وبسایت های حساس تا جایی که خدمات سرویس دهی آنها مختل نشود محدودیت و Policy هایی برای وبسرویس خود وضع میکنند,
در چنین شرایط اگر آسیب پذیری هایی مانند #Server_Side_Request_Forgery رخ بده هکر نمیتونه اون رو Pentest و یا پایلود ریزی موفق داشته باشه, چرا که در خصوص مثلا وبسایت هایی که دارای مجوز برای پارس کردن یه Request ,از سمت سرور دارند یک #Whitelist تعریف شده، این یک مکانیزم #SSRF_Protection هستش نه #CSP
در چنین شرایطی هکر میتونه با استفاده از Map کردن و زیر نظر گرفتن عملکرد وبسرویس ها, وبسایت Valid رو شناسایی و بر روی زیر دامنه ها به دنبال آسیب پذیری هایی مانند #Open_Redirect گشته و در صورت پیدایش به واسطه آسیب پذیری دوم یک Redirect به سرور هکر زده و تست آسیب پذیری #SSRF رو بر روی پروتکل های لیست شده، با بایپس محدودیت ها انجام داد, این سناریو رو میتونید در تصویر پست مشاهده کنید,
https://medium.com/@vickieli/bypassing-ssrf-protection-e111ae70727b
@Unk9vvN
در بسیاری از مواقع وبسایت های حساس تا جایی که خدمات سرویس دهی آنها مختل نشود محدودیت و Policy هایی برای وبسرویس خود وضع میکنند,
در چنین شرایط اگر آسیب پذیری هایی مانند #Server_Side_Request_Forgery رخ بده هکر نمیتونه اون رو Pentest و یا پایلود ریزی موفق داشته باشه, چرا که در خصوص مثلا وبسایت هایی که دارای مجوز برای پارس کردن یه Request ,از سمت سرور دارند یک #Whitelist تعریف شده، این یک مکانیزم #SSRF_Protection هستش نه #CSP
در چنین شرایطی هکر میتونه با استفاده از Map کردن و زیر نظر گرفتن عملکرد وبسرویس ها, وبسایت Valid رو شناسایی و بر روی زیر دامنه ها به دنبال آسیب پذیری هایی مانند #Open_Redirect گشته و در صورت پیدایش به واسطه آسیب پذیری دوم یک Redirect به سرور هکر زده و تست آسیب پذیری #SSRF رو بر روی پروتکل های لیست شده، با بایپس محدودیت ها انجام داد, این سناریو رو میتونید در تصویر پست مشاهده کنید,
https://medium.com/@vickieli/bypassing-ssrf-protection-e111ae70727b
@Unk9vvN
#MITRE_ATT&CK #Offline
اگر علاقمند هستید تا تمامی تاکتیک ها و ابزارها و حملات #APT در دنیا همراه با #reference های اون هارو بصورت Offliine در سیستم عامل خود داشته باشید میتونید از دستور زیر استفاده کنید,
وبسایت #MITRE_ATT&CK بصورت آفلاین برای شما از گیتهاب خود دانلود شده و بعد از Configure شدن بر روی وبسرور Python3 بر روی پورت 8000 بالا خواهد آمد مانند تصویر پست:
root@unk9vvn:~#
@Unk9vvN
اگر علاقمند هستید تا تمامی تاکتیک ها و ابزارها و حملات #APT در دنیا همراه با #reference های اون هارو بصورت Offliine در سیستم عامل خود داشته باشید میتونید از دستور زیر استفاده کنید,
وبسایت #MITRE_ATT&CK بصورت آفلاین برای شما از گیتهاب خود دانلود شده و بعد از Configure شدن بر روی وبسرور Python3 بر روی پورت 8000 بالا خواهد آمد مانند تصویر پست:
root@unk9vvn:~#
wget https://github.com/mitre-attack/attack-website/archive/website-v1.0.4.tar.gz;tar -xvf website-v1.0.4.tar.gz;rm website-v1.0.4.tar.gz;cd attack-website-website-v1.0.4/;chmod 755 *;apt-get update;apt-get install -y python3 python3-pip python3-venv;python3 -m venv env;source env/bin/activate;pip3 install -r requirements.txt;python3 update-attack.py -c -b;cd output;gnome-terminal --tab -e 'firefox --new-tab http://localhost:8000';python3 -m pelican.server
https://attack.mitre.org@Unk9vvN
#ArvanCloud #WAF Bypass
به نظر میرسه سرویس ابری #ArvanCloud فایروال مناسبی در خصوص شناسایی پیلودهای حتی ساده مانند آسیب پذیری #Cross_Site_Scripting را هم رصد نداره, البته سرویس ابرآروان پلن های مختلفی در خصوص سرویس دهی خودش داره که امکان داره در پلن های سطح بالا مکانیزم های #Detection بهتری رو در اختیار مشتریان خودش قرار بده, در هر صوت فعلا با ساده ترین #Obfuscation های پایلودهای جاوا اسکریپتی دور زده شده....!
https://github.com/Bo0oM/WAF-bypass-Cheat-Sheet
@Unk9vvN
به نظر میرسه سرویس ابری #ArvanCloud فایروال مناسبی در خصوص شناسایی پیلودهای حتی ساده مانند آسیب پذیری #Cross_Site_Scripting را هم رصد نداره, البته سرویس ابرآروان پلن های مختلفی در خصوص سرویس دهی خودش داره که امکان داره در پلن های سطح بالا مکانیزم های #Detection بهتری رو در اختیار مشتریان خودش قرار بده, در هر صوت فعلا با ساده ترین #Obfuscation های پایلودهای جاوا اسکریپتی دور زده شده....!
https://github.com/Bo0oM/WAF-bypass-Cheat-Sheet
@Unk9vvN
#Obfuscation with #Charset_Encoding
محقق ایرانی سروش دلیلی در سال ۲۰۱۶ با رو نمایی از تکنیکی که بر پایه استفاده از کاراکتر ست های متعددی هستش توانست بسیاری از #WAF های قدرتمند را دور بزند, که البته روش استفاده از اینکدینگ های کاراکترستی در هر مدل وبسرور متفاوت است,
لیست برخی از این پشتیبانی ها در تصویر پست مشخص هستش, اما نمونه ای هم در خصوص استفاده از اینکدینگ IBM037:
# Original Request:
@Unk9vvN
محقق ایرانی سروش دلیلی در سال ۲۰۱۶ با رو نمایی از تکنیکی که بر پایه استفاده از کاراکتر ست های متعددی هستش توانست بسیاری از #WAF های قدرتمند را دور بزند, که البته روش استفاده از اینکدینگ های کاراکترستی در هر مدل وبسرور متفاوت است,
لیست برخی از این پشتیبانی ها در تصویر پست مشخص هستش, اما نمونه ای هم در خصوص استفاده از اینکدینگ IBM037:
# Original Request:
POST /sample.aspx?id1=something HTTP/1.1
HOST: victim.com
Content-Type: application/x-www-form-urlencoded; charset=utf-8
Content-Length: 41
id2='union all select * from users--
# Obfuscated Request + URL Encoding:POST /sample.aspx?%89%84%F1=%A2%96%94%85%A3%88%89%95%87 HTTP/1.1
HOST: victim.com
Content-Type: application/x-www-form-urlencoded; charset=ibm037
Content-Length: 115
%89%84%F2=%7D%A4%95%89%96%95%40%81%93%93%40%A2%85%93%85%83%A3%40%5C%40%86%99%96%94%40%A4%A2%85%99%A2%60%60
https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2017/august/request-encoding-to-bypass-web-application-firewalls/@Unk9vvN
#JScript OBF #HTA Attack
یکی از رایجترین حملات, استفاده از فایل فرمت های Front-End هستش فایل فرمت هایی مانند sct-hta-js-xml و غیره اما یکی از چالش هایی که در تمام این فایل فرمت ها وجود دارد بحث شناسایی پترنی هستش که در خصوص initialize کردن یک #COM_Object برای اجرای پایلودهای پاورشی ایجاد میشود,
از این روی یکی از تکنیک های جالبی که میتوان استفاده کرد این است که ما مقادیر مربوط به مثلا نام #COM_Object هارا بصورت هگزادسیمال تعریف کرده و پروسه Initialize کردن آنرا بر بستر نام هایی انجام دهیم که بوصورت هگزادسیمال درون یک آرایه ریخته شده و سپس براساس موقعیت قرارگیری آنها در آرایه آنهارا فراخوانی کنیم,
این امر میتواند به بحث شناسایی نشدن پایلود کمک کند و البته اگر بیشتر به این موضوع پرداخته شود میتوان پایلود رو به Evasion شدن ۱۰۰٪ نزدیک نمود....
@Unk9vvN
یکی از رایجترین حملات, استفاده از فایل فرمت های Front-End هستش فایل فرمت هایی مانند sct-hta-js-xml و غیره اما یکی از چالش هایی که در تمام این فایل فرمت ها وجود دارد بحث شناسایی پترنی هستش که در خصوص initialize کردن یک #COM_Object برای اجرای پایلودهای پاورشی ایجاد میشود,
از این روی یکی از تکنیک های جالبی که میتوان استفاده کرد این است که ما مقادیر مربوط به مثلا نام #COM_Object هارا بصورت هگزادسیمال تعریف کرده و پروسه Initialize کردن آنرا بر بستر نام هایی انجام دهیم که بوصورت هگزادسیمال درون یک آرایه ریخته شده و سپس براساس موقعیت قرارگیری آنها در آرایه آنهارا فراخوانی کنیم,
این امر میتواند به بحث شناسایی نشدن پایلود کمک کند و البته اگر بیشتر به این موضوع پرداخته شود میتوان پایلود رو به Evasion شدن ۱۰۰٪ نزدیک نمود....
@Unk9vvN
#VBScript #Macro Attack
گاهی وقت ها نیازی نیست که حتما برای بدست آوردن اطلاعات حساس و مورد نیاز اقدام به گرفتن دسترسی Shell یا سطوح بالاتر باشه,
بلکه نیازه که صرفاء یک کلید رجیستری دوباره باز نویسی بشه, در ماکرو تعریف شده در تصویر که البته بصورت مبهم نوشته شده سناریویی طرح ریزی تغییر HomePage نرم افزار Outlook توسط کلید رجیستری تعریف شده هست , که البته این آسیب پذیری پح شده اما سناریو انجام شده نکات جالبی برای ما دارا هستش,
از دیگر نکات جالب میتوان به روش مبهم سازی کلیدها اشاره کرد که با تابع ()Replace مقادیر ما بین کلیدها یعنی Pipe ها از بین رفته و در نهایت کلید اصلی ساخته میشود, البته باید به این موضوع هم اشاره کرد که نوع عملیات انجام شده توسط ماکرو حساسیت کمتری برای دیوایس های Detection ایجاد میکنه که این هم یک امتیاز مثبی هستش...
https://blog.trendmicro.com/trendlabs-security-intelligence/malicious-macro-hijacks-desktop-shortcuts-to-deliver-backdoor/
@Unk9vvN
گاهی وقت ها نیازی نیست که حتما برای بدست آوردن اطلاعات حساس و مورد نیاز اقدام به گرفتن دسترسی Shell یا سطوح بالاتر باشه,
بلکه نیازه که صرفاء یک کلید رجیستری دوباره باز نویسی بشه, در ماکرو تعریف شده در تصویر که البته بصورت مبهم نوشته شده سناریویی طرح ریزی تغییر HomePage نرم افزار Outlook توسط کلید رجیستری تعریف شده هست , که البته این آسیب پذیری پح شده اما سناریو انجام شده نکات جالبی برای ما دارا هستش,
از دیگر نکات جالب میتوان به روش مبهم سازی کلیدها اشاره کرد که با تابع ()Replace مقادیر ما بین کلیدها یعنی Pipe ها از بین رفته و در نهایت کلید اصلی ساخته میشود, البته باید به این موضوع هم اشاره کرد که نوع عملیات انجام شده توسط ماکرو حساسیت کمتری برای دیوایس های Detection ایجاد میکنه که این هم یک امتیاز مثبی هستش...
https://blog.trendmicro.com/trendlabs-security-intelligence/malicious-macro-hijacks-desktop-shortcuts-to-deliver-backdoor/
@Unk9vvN
#Privilege on #Token_Stealing
یکی از روش های رایج ارتقاء سطح دسترسی در ویندوز سرورهایی که سرویس #ActiveDirectory آنها فعال است, این مورد است که هر کاربر #AD میتواند امتیاز Load کردن درایور داشته و اگر این Policy محدود نشده باشد بتوان با استفاده از یک درایور در جدول EPROCESS یکی از پروسس های دارای توکن سطح SYSTEM را Hijack کرده و خط فرمان cmd را با استفاده از آن Token دزدیده شده با سطح Administator بر روی پروسس مجزا ساخته و اجرا نمود,
ما برای اینکار نیاز داریم که یک فایل در خصوص Enable کردن ویژگی SeLoadDriverPrivilege نوشته و اجرا کنیم که در تصویر پست در سمت چپ همین پردازش دیده میشود, و همچنین نیاز به یک درایور آسیب پذیر هستش که مکانیزم #SMEP را غیرفعال نموده و با استفاده از توابع کرنل پروسه دزدیدن Token را انجام دهد, برای اینکار من از یک درایور پابلیک استفاده کردم که لینک گیتهاب اون رو برای شما در انتها خواهم گذاشت,
نتیجه خلاصه وار ما آن است که اگر Policy های هوشیارانه از سمت هکرهای کلاه سفید در ویندوز سرورها اتخاذ نشود میتواند موردی مخرب باشد.
https://github.com/tandasat/ExploitCapcom
@Unk9vvN
یکی از روش های رایج ارتقاء سطح دسترسی در ویندوز سرورهایی که سرویس #ActiveDirectory آنها فعال است, این مورد است که هر کاربر #AD میتواند امتیاز Load کردن درایور داشته و اگر این Policy محدود نشده باشد بتوان با استفاده از یک درایور در جدول EPROCESS یکی از پروسس های دارای توکن سطح SYSTEM را Hijack کرده و خط فرمان cmd را با استفاده از آن Token دزدیده شده با سطح Administator بر روی پروسس مجزا ساخته و اجرا نمود,
ما برای اینکار نیاز داریم که یک فایل در خصوص Enable کردن ویژگی SeLoadDriverPrivilege نوشته و اجرا کنیم که در تصویر پست در سمت چپ همین پردازش دیده میشود, و همچنین نیاز به یک درایور آسیب پذیر هستش که مکانیزم #SMEP را غیرفعال نموده و با استفاده از توابع کرنل پروسه دزدیدن Token را انجام دهد, برای اینکار من از یک درایور پابلیک استفاده کردم که لینک گیتهاب اون رو برای شما در انتها خواهم گذاشت,
نتیجه خلاصه وار ما آن است که اگر Policy های هوشیارانه از سمت هکرهای کلاه سفید در ویندوز سرورها اتخاذ نشود میتواند موردی مخرب باشد.
https://github.com/tandasat/ExploitCapcom
@Unk9vvN
#Return_Oriented_Programming (Win)
تکنیک برنامه نویسی بازگشتی که اشاره به پرش های خانه EIP در سیستم عامل های ۳۲ بیتی و RIP در سیستم عامل های ۶۴ بیتی داره, همواره در تکنیک های اکسپلویت نویسی بسیار مورد استفاده قرار میگیره,
از این روی در خصوص هر سیستم عاملی عملیات فراخوانی توابعه سییستمی یا همان OS API میتونه برای ما متفاوت باشه, برای مثال در خصوص سیستم عامل های ویندوزی تابعی که بسیار مورد استفاده قرار میگیره تابع ()VirtualProtect هستش که مامور کنترل سطح مکانیزم های امنیتی یک فایل فرمت رو دارا هستش,
هکر با استفاده از بازخوانی این تابع پروسسی که برنامه آسیب پذیر دارد رو به حالت Disable در میاورد و با اینکار مکانیزم هایی همچون DEP/NX که مامور مانع شدن اجرای کد در حافظه Stack هستش خاموش خواهد شد, از طرفی دیگه با تنظیم کردن حالت امنیتی پروسس در مقدار 0 میشود مکانیزم هایی مانند #ASLR رو هم خاموش کرد, در نتیجه تمام مکانیزم های #Mitigation در این تکنیک دور زده خواهد شد...
https://www.exploit-db.com/exploits/20116
https://users.suse.com/~krahmer/no-nx.pdf
@Unk9vvN
تکنیک برنامه نویسی بازگشتی که اشاره به پرش های خانه EIP در سیستم عامل های ۳۲ بیتی و RIP در سیستم عامل های ۶۴ بیتی داره, همواره در تکنیک های اکسپلویت نویسی بسیار مورد استفاده قرار میگیره,
از این روی در خصوص هر سیستم عاملی عملیات فراخوانی توابعه سییستمی یا همان OS API میتونه برای ما متفاوت باشه, برای مثال در خصوص سیستم عامل های ویندوزی تابعی که بسیار مورد استفاده قرار میگیره تابع ()VirtualProtect هستش که مامور کنترل سطح مکانیزم های امنیتی یک فایل فرمت رو دارا هستش,
هکر با استفاده از بازخوانی این تابع پروسسی که برنامه آسیب پذیر دارد رو به حالت Disable در میاورد و با اینکار مکانیزم هایی همچون DEP/NX که مامور مانع شدن اجرای کد در حافظه Stack هستش خاموش خواهد شد, از طرفی دیگه با تنظیم کردن حالت امنیتی پروسس در مقدار 0 میشود مکانیزم هایی مانند #ASLR رو هم خاموش کرد, در نتیجه تمام مکانیزم های #Mitigation در این تکنیک دور زده خواهد شد...
https://www.exploit-db.com/exploits/20116
https://users.suse.com/~krahmer/no-nx.pdf
@Unk9vvN
#Iran #Unpatched Vulnerabiliys
بد نیست یکسری اطلاعات آماری در خصوص آسیب پذیری های پچ نشده و یا Misconfiguration ها, داده بشه تا کمی وضعیت کشور را در خصوص امنیت سایبری بهتر بشناسیم,
و اما بالاترین آسیب پذیری دیده شده باگ Apache HTTPD: Weak Digest auth nonce generation هستش که موجب رخداد حملات Replay Attack و دور زدن احراز هویت این وبسرور را خواهد داشت, حالا اهمیت Public کردن تست نفوذ برخی از این آسیب پذیری های گذارش شده بهتر درک خواهد شد,
@Unk9vvN
بد نیست یکسری اطلاعات آماری در خصوص آسیب پذیری های پچ نشده و یا Misconfiguration ها, داده بشه تا کمی وضعیت کشور را در خصوص امنیت سایبری بهتر بشناسیم,
1,809,339
پورت باز در کشور وجود دارد,84
دیوایس صنعتی در شبکه اینترنت دیده میشود,1,848
دیوایس آسیب پذیر به BlueKeep وجود داره212
پایگاه داده در شبکه دیده میشودSMB_Authentication
۲۷٪ سرویس های SMB در کشور وضعیت احراز آنها غیرفعال است518
دیوایس آسیب پذیر به Heartbleed وجود داره176
دیوایس به آسیب پذیری EternalBlue وجود دارهو اما بالاترین آسیب پذیری دیده شده باگ Apache HTTPD: Weak Digest auth nonce generation هستش که موجب رخداد حملات Replay Attack و دور زدن احراز هویت این وبسرور را خواهد داشت, حالا اهمیت Public کردن تست نفوذ برخی از این آسیب پذیری های گذارش شده بهتر درک خواهد شد,
@Unk9vvN
#Stealing_Instagram
در گزارش شرکت Terndmicro در سال ۲۰۱۹ موردی نظرم رو جلب کرد, آنهم دزدیدن اطلاعات حساب ۷۰,۰۰۰ کاربر شبکه اجتماعی اینستاگرام بود,
روش بکار برده شده همونطور که در تصویر هم مشاهده میکنید پیاده سازی Mail-Phishing در ابعاد وسیع و هوشمند بوده که با یک مهندسی اجتماعی در قالب Verify کردن اکانت به کاربران ارسال میشده که در جریان این Verify اطلاعات حساب در مرحله اول و در صورت داشتن Authentication Two احراز آن و اکسس به اکانت,
اما دو نکته جالب ایمیل قربانیان چگونه Crawl میشده ؟ به گفته این شرکت با فالوو کردن قربانی و Share بودن پل ارتباطی Email از طرف قربانیان, اما نکته دوم اینکه در سالهای اخیر همین سناریو در سبک Spearing در ابراز #AndTroj کد زده شده بود که البته به دلایلی نسخه تکمیل شده در Github بروز نشد.
https://blog.trendmicro.com/trendlabs-security-intelligence/how-a-hacking-group-is-stealing-popular-instagram-profiles/
@Unk9vvN
در گزارش شرکت Terndmicro در سال ۲۰۱۹ موردی نظرم رو جلب کرد, آنهم دزدیدن اطلاعات حساب ۷۰,۰۰۰ کاربر شبکه اجتماعی اینستاگرام بود,
روش بکار برده شده همونطور که در تصویر هم مشاهده میکنید پیاده سازی Mail-Phishing در ابعاد وسیع و هوشمند بوده که با یک مهندسی اجتماعی در قالب Verify کردن اکانت به کاربران ارسال میشده که در جریان این Verify اطلاعات حساب در مرحله اول و در صورت داشتن Authentication Two احراز آن و اکسس به اکانت,
اما دو نکته جالب ایمیل قربانیان چگونه Crawl میشده ؟ به گفته این شرکت با فالوو کردن قربانی و Share بودن پل ارتباطی Email از طرف قربانیان, اما نکته دوم اینکه در سالهای اخیر همین سناریو در سبک Spearing در ابراز #AndTroj کد زده شده بود که البته به دلایلی نسخه تکمیل شده در Github بروز نشد.
https://blog.trendmicro.com/trendlabs-security-intelligence/how-a-hacking-group-is-stealing-popular-instagram-profiles/
@Unk9vvN
#RedTeam #Assessments
در خصوص تیم قرمز بارها بصورت نکته ای صحبت کردیم اما در این پست کمی دقیقتر به ماهیت تخصصی این تیم میپردازیم, تیم قرمز از یک لایف استایل اشتراکی بهره میبره که در تمامی شرکت ها یک تعریف کلی داره, که آنهارا ذکر میکنم,
#0x1 Recon
#0x2 Inital Compromise
#0x3 Establish Persistence
#0x4 Escalate Privileges
#0x5 Internal Recon
#0x6 Lateral Movement
#0x7 Data Analysis
#0x8 Exfiltrate and Complete Mission
در خصوص تمامی این مراحل میتوان ساعت ها صحبت کرد اما نکته ای که بسیار مهم است ذکر شود این است که تیم های قرمز دقیقا به سبک تیم های #APTs عمل میکنند و تمام تلاش تیم قرمز بر آن است که تمامی پروسه ۰ تا ۱۰۰ نفوذ را با استفاده از روش های نوین خود پیاده سازی کند, میتوانید عملکرد تیم های #APTs رو با استایل تیم قرمز مقایسه کنید.
https://github.com/Cyb3rWard0g/Invoke-ATTACKAPI/raw/master/examples/ATTACK_Attribution.xlsx
https://github.com/Cyb3rWard0g/Invoke-ATTACKAPI/raw/master/examples/ATTACK_ALL.xlsx
@Unk9vvN
در خصوص تیم قرمز بارها بصورت نکته ای صحبت کردیم اما در این پست کمی دقیقتر به ماهیت تخصصی این تیم میپردازیم, تیم قرمز از یک لایف استایل اشتراکی بهره میبره که در تمامی شرکت ها یک تعریف کلی داره, که آنهارا ذکر میکنم,
#0x1 Recon
#0x2 Inital Compromise
#0x3 Establish Persistence
#0x4 Escalate Privileges
#0x5 Internal Recon
#0x6 Lateral Movement
#0x7 Data Analysis
#0x8 Exfiltrate and Complete Mission
در خصوص تمامی این مراحل میتوان ساعت ها صحبت کرد اما نکته ای که بسیار مهم است ذکر شود این است که تیم های قرمز دقیقا به سبک تیم های #APTs عمل میکنند و تمام تلاش تیم قرمز بر آن است که تمامی پروسه ۰ تا ۱۰۰ نفوذ را با استفاده از روش های نوین خود پیاده سازی کند, میتوانید عملکرد تیم های #APTs رو با استایل تیم قرمز مقایسه کنید.
https://github.com/Cyb3rWard0g/Invoke-ATTACKAPI/raw/master/examples/ATTACK_Attribution.xlsx
https://github.com/Cyb3rWard0g/Invoke-ATTACKAPI/raw/master/examples/ATTACK_ALL.xlsx
@Unk9vvN
#ICS_Security_Levels
شرکت Dragos در شرح استراتژی امنیتی خود در شبکه و سیستم های صنعتی, پرده از دیوایس های سخت افزاری Detection خود برداشت,
همونطور که در تصویر مشاهده میکنید در قدم اول سنسورهایی در کنار ترافیک های رد و بدل شده میانه دیوایس های PLC و RTU وجود داره که مامور محافظت از پردازش های Physical هستش , در مرحله دوم یکسری Midpoint دیده میشه که در میان ارتباطات شبکه ای PLC ها و مرکز کنترل آنها یعنی SCADA قرار داره , کار این Midpoint شبیه به فایروال های ASA شرکت Cisco هستش, یعنی عمکرد آن محدود به بستن رول ها نمیشه و در امر رصد ترافیک های #Signature شده ی خطرناک و هم عملیات #Set_Patterning رو هم پوشش میده,
اما بعد از مرحله سوم ما پیاده سازی Operations های SOC و لاگر SIEM رو داریم که باقی عملیات کنترل و بررسی حوادث سایبری رو مانیتور خواهد کرد,
https://dragos.com/wp-content/uploads/Dragos_Platform_TCO_Data_Sheet.pdf
@Unk9vvN
شرکت Dragos در شرح استراتژی امنیتی خود در شبکه و سیستم های صنعتی, پرده از دیوایس های سخت افزاری Detection خود برداشت,
همونطور که در تصویر مشاهده میکنید در قدم اول سنسورهایی در کنار ترافیک های رد و بدل شده میانه دیوایس های PLC و RTU وجود داره که مامور محافظت از پردازش های Physical هستش , در مرحله دوم یکسری Midpoint دیده میشه که در میان ارتباطات شبکه ای PLC ها و مرکز کنترل آنها یعنی SCADA قرار داره , کار این Midpoint شبیه به فایروال های ASA شرکت Cisco هستش, یعنی عمکرد آن محدود به بستن رول ها نمیشه و در امر رصد ترافیک های #Signature شده ی خطرناک و هم عملیات #Set_Patterning رو هم پوشش میده,
اما بعد از مرحله سوم ما پیاده سازی Operations های SOC و لاگر SIEM رو داریم که باقی عملیات کنترل و بررسی حوادث سایبری رو مانیتور خواهد کرد,
https://dragos.com/wp-content/uploads/Dragos_Platform_TCO_Data_Sheet.pdf
@Unk9vvN