#StarLink #Internet #Freenet
اینترنت ماهواره ای برای ایران در حال فعال شدنه و با محقق شدن این رویداد، ما فصل جدیدی از اینترنت رو تجربه خواهیم کرد.
اثر این تحول محدود به رفع فیلترینگ نیست و میتونه بسیاری از ابعاد دیگه فضای فناوری اطلاعات رو تغییر بده، این تغییر هم جنبه های مثبتی داره مثل تسهیل خدمات در تمام نقاط یک کشور که بواسطه کیفیت خوب سرعت موجب میشه مردم بتونن از خدمات دنیای ارتباطات بهتر استفاده کنند و همچنین از بین رفتن تمام محدودیت ها در خصوص دسترسی به سرویس دهنده های خارجی مانند Youtube و غیره.
جنبه های منفی اون هم اینه که بدلیل محقق شدن یک ارتباط سراسری و یکپارچه بدون هرگونه محدودیت، تمامی سرویس دهنده های اینترنت در ایران و شرکت های وابسته آنها، همگی بازار خود را از دست خواهند داد. نکته ی دیگر اینکه اینترنت StarLink نیاز به یک دریافت کننده زمینی داره که بواسطه اونها میبایست دستگاه های خانگی، اینترنت رو دریافت کنند این ایستگاه ها تا شعاع 500 کیلومتر رو پوشش خواهند داد که قراره در خاورمیانه نصب بشه.
https://www.starlink.com
@Unk9vvN
اینترنت ماهواره ای برای ایران در حال فعال شدنه و با محقق شدن این رویداد، ما فصل جدیدی از اینترنت رو تجربه خواهیم کرد.
اثر این تحول محدود به رفع فیلترینگ نیست و میتونه بسیاری از ابعاد دیگه فضای فناوری اطلاعات رو تغییر بده، این تغییر هم جنبه های مثبتی داره مثل تسهیل خدمات در تمام نقاط یک کشور که بواسطه کیفیت خوب سرعت موجب میشه مردم بتونن از خدمات دنیای ارتباطات بهتر استفاده کنند و همچنین از بین رفتن تمام محدودیت ها در خصوص دسترسی به سرویس دهنده های خارجی مانند Youtube و غیره.
جنبه های منفی اون هم اینه که بدلیل محقق شدن یک ارتباط سراسری و یکپارچه بدون هرگونه محدودیت، تمامی سرویس دهنده های اینترنت در ایران و شرکت های وابسته آنها، همگی بازار خود را از دست خواهند داد. نکته ی دیگر اینکه اینترنت StarLink نیاز به یک دریافت کننده زمینی داره که بواسطه اونها میبایست دستگاه های خانگی، اینترنت رو دریافت کنند این ایستگاه ها تا شعاع 500 کیلومتر رو پوشش خواهند داد که قراره در خاورمیانه نصب بشه.
https://www.starlink.com
@Unk9vvN
#RatMilad #Android #Spyware
با شدت گرفتن بحث فیلترینگ، بخش جاسوس افزارهای اندرویدی در تلگرام شدت گرفته، که به گزارش Zimperium این بدافزارها در قالب سرویس دهنده VPN پخش شده است
این جاسوس افزار میتواند لیست مخاطبین، گزارش تماس، لیست SMS، موقعیت GPS و غیره رو دریافت میکنه. گفته میشه c طراحی و پخش این بدافزار از ایران بوده و اهداف ایرانی و افغانی رو مورد هدف قرار داده است
از ویژگی های فنی این جاسوس افزار میشود به امکان خواندن و نوشتن فایل اشاره کرد، همچنین امکان حذف فایل و همچنین نحوه عملکرد C&C که مبتنی بر نوع محتوای Json مقادیر مدنظر بواسطه تعریف jobID های مختلف ارسال میشده است
مورد بعد اینکه جاسوس افزار مبتنی بر یک randomUUID و مقدار Mac Address قربانی، یک Job در C&C خودش برای قربانی تعریف کرده و مبتنی بر اون دستگاها تفکیک میشدند، همچنین مجوزها یا Permissions های مورد نیاز نرم افزار، در accessibility services سیستم عامل تنظیم میشده و در صورت ارائه این سرویس از طرف قربانی، مهاجم میتونسته permissions granted های مد نظر خودش رو اعمال کنه.
https://blog.zimperium.com/we-smell-a-ratmilad-mobile-spyware/
@Unk9vvN
با شدت گرفتن بحث فیلترینگ، بخش جاسوس افزارهای اندرویدی در تلگرام شدت گرفته، که به گزارش Zimperium این بدافزارها در قالب سرویس دهنده VPN پخش شده است
این جاسوس افزار میتواند لیست مخاطبین، گزارش تماس، لیست SMS، موقعیت GPS و غیره رو دریافت میکنه. گفته میشه c طراحی و پخش این بدافزار از ایران بوده و اهداف ایرانی و افغانی رو مورد هدف قرار داده است
از ویژگی های فنی این جاسوس افزار میشود به امکان خواندن و نوشتن فایل اشاره کرد، همچنین امکان حذف فایل و همچنین نحوه عملکرد C&C که مبتنی بر نوع محتوای Json مقادیر مدنظر بواسطه تعریف jobID های مختلف ارسال میشده است
مورد بعد اینکه جاسوس افزار مبتنی بر یک randomUUID و مقدار Mac Address قربانی، یک Job در C&C خودش برای قربانی تعریف کرده و مبتنی بر اون دستگاها تفکیک میشدند، همچنین مجوزها یا Permissions های مورد نیاز نرم افزار، در accessibility services سیستم عامل تنظیم میشده و در صورت ارائه این سرویس از طرف قربانی، مهاجم میتونسته permissions granted های مد نظر خودش رو اعمال کنه.
https://blog.zimperium.com/we-smell-a-ratmilad-mobile-spyware/
@Unk9vvN
#ZeroTrust #Access Model
این روزها شاهد رخداد خرابکاری در #صداوسیما هستیم که گفته میشود این خرابکاری ها هک نیست
اولین نکته ای که میبایست در پاسخ به این موضوع مطرح کرد، این است که زمانی که هدف یک خرابکاری در نهایت یک سیستم دیجیتالی است که میتواند یک کامپیوتر باشد یا برای مثال یک دستگاه PLC در فضای صنعتی یا یک بیلبورد تبلیغاتی مبتنی بر Arduino، میتوان آنرا هک نامید
تیم های امنیت دفاعی سایبری علاوه بر اعمال سیاست های ضد بدافزاری و مقابله تکنیکی تاکتیکی مبتنی بر علوم کامپیوتر، میبایست سیاست های کنترل سطح دسترسی و همچنین دسترسی فیزیکی و احراز افراد در سازمان را هم بواسطه مدل هایی مانند Zero Trust Acess و محصولاتی همچون PAM تعیین کنند
برای مثال مایکروسافت در Workshop آموزش میدهد که چگونه مدل های پیاده سازی Zero Trust را مدیران امنیت اطلاعات انجام دهند.
اما نتیجه اینکه زمانی که در کنداکتور پخش یک شبکه تلویزیونی یک داده غیر نرمال از نظر سازمان قربانی بواسطه نیروی انسانی نفوذی وارد میشه به این معنی هست که تیم امنیتی پروسه تصدیق داده و کنترل سطح دسترسی به سیستم های کلیدی رو درست پیاده سازی نکرده است.
@Unk9vvN
این روزها شاهد رخداد خرابکاری در #صداوسیما هستیم که گفته میشود این خرابکاری ها هک نیست
اولین نکته ای که میبایست در پاسخ به این موضوع مطرح کرد، این است که زمانی که هدف یک خرابکاری در نهایت یک سیستم دیجیتالی است که میتواند یک کامپیوتر باشد یا برای مثال یک دستگاه PLC در فضای صنعتی یا یک بیلبورد تبلیغاتی مبتنی بر Arduino، میتوان آنرا هک نامید
تیم های امنیت دفاعی سایبری علاوه بر اعمال سیاست های ضد بدافزاری و مقابله تکنیکی تاکتیکی مبتنی بر علوم کامپیوتر، میبایست سیاست های کنترل سطح دسترسی و همچنین دسترسی فیزیکی و احراز افراد در سازمان را هم بواسطه مدل هایی مانند Zero Trust Acess و محصولاتی همچون PAM تعیین کنند
برای مثال مایکروسافت در Workshop آموزش میدهد که چگونه مدل های پیاده سازی Zero Trust را مدیران امنیت اطلاعات انجام دهند.
اما نتیجه اینکه زمانی که در کنداکتور پخش یک شبکه تلویزیونی یک داده غیر نرمال از نظر سازمان قربانی بواسطه نیروی انسانی نفوذی وارد میشه به این معنی هست که تیم امنیتی پروسه تصدیق داده و کنترل سطح دسترسی به سیستم های کلیدی رو درست پیاده سازی نکرده است.
@Unk9vvN
Top #Cybersecurity #Startups 2022
در مقاله ای از وبسایت esecurityplanet پرداخته شده به 10 شرکت استارت آپ در سال 2022 در حوزه امنیت سایبری که توانسته اند جذب سرمایه خوبی داشته و ایده های خودشون رو با موفقیت پیاده سازی کنند.
در توضیحات این مقاله عنوان شده که کمبود شدید متخصصان امنیت با تجربه، کار رو برای استارت آپ های نوآورانه سخت تر میکنه، به همین دلیل در سال 2021 سرمایه گذاری در امنیت سایبری بیش از دو برابر از سال های گذشته بوده که رقمی معادل 22 بیلیون دلار هستش.
اما علاوه بر رشد سرمایه گذاری خطر پذیر، ایده های مورد توجه بازار عبارت هستند از پلتفرم امنیت ایمیل مبتنی بر زیرساخت ابری، جرم شناسی دیجیتال بواسطه سامانه های هوشمند رفتار شناسی، تشخیص اشتباهات در پیکربندی زیرساخت های ابری، تداوم امنیت سازمانی بواسطه محصولات مبتنی بر Zero Trust و سامانه های XDR که بصورت چندکاره و متمرکز مامور رصد، تشخیص، پیشگیری، شکار تهدیدات است.
بیشترین سرمایه گزاری در حوزه استارت آپ های امنیتی مربوط به کشور آمریکا اسرائیل و انگلستان است...
Reference
@Unk9vvN
در مقاله ای از وبسایت esecurityplanet پرداخته شده به 10 شرکت استارت آپ در سال 2022 در حوزه امنیت سایبری که توانسته اند جذب سرمایه خوبی داشته و ایده های خودشون رو با موفقیت پیاده سازی کنند.
در توضیحات این مقاله عنوان شده که کمبود شدید متخصصان امنیت با تجربه، کار رو برای استارت آپ های نوآورانه سخت تر میکنه، به همین دلیل در سال 2021 سرمایه گذاری در امنیت سایبری بیش از دو برابر از سال های گذشته بوده که رقمی معادل 22 بیلیون دلار هستش.
اما علاوه بر رشد سرمایه گذاری خطر پذیر، ایده های مورد توجه بازار عبارت هستند از پلتفرم امنیت ایمیل مبتنی بر زیرساخت ابری، جرم شناسی دیجیتال بواسطه سامانه های هوشمند رفتار شناسی، تشخیص اشتباهات در پیکربندی زیرساخت های ابری، تداوم امنیت سازمانی بواسطه محصولات مبتنی بر Zero Trust و سامانه های XDR که بصورت چندکاره و متمرکز مامور رصد، تشخیص، پیشگیری، شکار تهدیدات است.
بیشترین سرمایه گزاری در حوزه استارت آپ های امنیتی مربوط به کشور آمریکا اسرائیل و انگلستان است...
Reference
@Unk9vvN
#Domestic #Kitten Targeting #Iranian on #Android #Malware App
اخیرا گزارشی از تیم تحقیقاتی ESET بیرون اومده در خصوص بدافزار اندرویدی که در قالب یک نرم افزار مقاله سرا و از طریق یک وبسایت فعال در عرصه مقالات و فروش کتاب انتشار یافته است. مدل پخش و ایجاد دسترسی اولیه، مبتنی بر لینک مستقیم و به ظاهر صفحه گوگل پلی انجام شده که در تصاویر پست مشاهده میکنید.
این بدافزار قبلا هم فعال بوده (APT-C-50) و به گفته ESET با وبسایتی جعلی جدیدی دوباره فعال شده است، بررسی های انجام شده نشون میده که این بدافزار قرار بوده که مامور بر جاسوسی از کاربران ایرانی باشه و دسترسی های مطرحه در AndroidManifest.xml شامل موقعیت مکانی، تاریخچه تماس ها، رکورد تماس ها، اجرای برنامه ها، اطلاعات گوشی، لیست مخاطبین و اطلاعیه های برنامه های دیگه هستش...
اما روش کار C&C یا خط فرمان این جاسوس افزار، مبتنی بر ارسال و دریافت درخواست های مبتنی بر Web Service طراحی شده بوده که دریافت اطلاعات و ارسال فرمان ها بصورت مبهم سازی شده انجام می شده است.
@Unk9vvN
اخیرا گزارشی از تیم تحقیقاتی ESET بیرون اومده در خصوص بدافزار اندرویدی که در قالب یک نرم افزار مقاله سرا و از طریق یک وبسایت فعال در عرصه مقالات و فروش کتاب انتشار یافته است. مدل پخش و ایجاد دسترسی اولیه، مبتنی بر لینک مستقیم و به ظاهر صفحه گوگل پلی انجام شده که در تصاویر پست مشاهده میکنید.
این بدافزار قبلا هم فعال بوده (APT-C-50) و به گفته ESET با وبسایتی جعلی جدیدی دوباره فعال شده است، بررسی های انجام شده نشون میده که این بدافزار قرار بوده که مامور بر جاسوسی از کاربران ایرانی باشه و دسترسی های مطرحه در AndroidManifest.xml شامل موقعیت مکانی، تاریخچه تماس ها، رکورد تماس ها، اجرای برنامه ها، اطلاعات گوشی، لیست مخاطبین و اطلاعیه های برنامه های دیگه هستش...
اما روش کار C&C یا خط فرمان این جاسوس افزار، مبتنی بر ارسال و دریافت درخواست های مبتنی بر Web Service طراحی شده بوده که دریافت اطلاعات و ارسال فرمان ها بصورت مبهم سازی شده انجام می شده است.
@Unk9vvN
#Wordpress Core #Unauthenticated Blind #SSRF
اخیرا تحقیقاتی منتشر شده از Simon Scannell و Thomas Chauchefoin که میپردازد به یک آسیب پذیری در هسته سیستم مدیریت محتوای وردپرس که از نوع Blind SSRF بوده و بصورت Unauthenticated امکان Trigger شدن رو میده البته بواسطه تکنیک DNS Rebinding.
این آسیب پذیری در ویژگی pingback در API نقطه انتهایی XML-RPC هستش، محقق مطرح میکنه که در جریان عملیاتی کردن این روش
نکته دیگر اینکه کد Backend، یک Handle کننده درخواست های
مهاجم بواسطه Validate اشتباه در جریان دریافت مقادیر، این امکان رو پیدا کرده تا با پیاده سازی وضعیت رقابتی، درخواست های متعدد خودش رو مبنی بر مجبور کردن ارسال یک درخواست جعلی، از سرور قربانی به DNS Server خودش رو پیاده سازی کنه (Race Condition) که به عبارتی یک SSRF میزنه.
@Unk9vvN
اخیرا تحقیقاتی منتشر شده از Simon Scannell و Thomas Chauchefoin که میپردازد به یک آسیب پذیری در هسته سیستم مدیریت محتوای وردپرس که از نوع Blind SSRF بوده و بصورت Unauthenticated امکان Trigger شدن رو میده البته بواسطه تکنیک DNS Rebinding.
این آسیب پذیری در ویژگی pingback در API نقطه انتهایی XML-RPC هستش، محقق مطرح میکنه که در جریان عملیاتی کردن این روش
pingback.ping، امکان اینکه دو مقدار یا value برای این Method تعریف بشه وجود داره.نکته دیگر اینکه کد Backend، یک Handle کننده درخواست های
pingback، وجود داره که دارای یک ویژگی از PHP است با نام Requests_Transport_cURL این ویژگی برای کتابخونه Requests استفاده شده و بواسطه Requests_Transport_fsockopen درخواست pingback رو Handle میکنه.مهاجم بواسطه Validate اشتباه در جریان دریافت مقادیر، این امکان رو پیدا کرده تا با پیاده سازی وضعیت رقابتی، درخواست های متعدد خودش رو مبنی بر مجبور کردن ارسال یک درخواست جعلی، از سرور قربانی به DNS Server خودش رو پیاده سازی کنه (Race Condition) که به عبارتی یک SSRF میزنه.
@Unk9vvN
#Office #Macro #Evasion
در ارائه امسال Blackhat اروپا، یک PoC مطرح شد در خصوص طراحی Macro برای اجرای کد مخرب بصورت نا محسوس.
نکته ای که محقق مبتنی بر اون روش منطق طراحی Macro خودش قراره داده، این است که بجای استفاده از یک Pattern کد معمول، سعی کرده ساختار Initialize کد برای رسیدن به نهایتا اجرای کد Powershell در تابع Shell، بصورت غیر معمول انجام بده.
یعنی معمولا برای دستیابی به اجرای کد بر روی خط فرمان، میتوان مستقیما از
محقق در کد مطرح شده خودش اومده از یک COM به نام
با برقراری شرط به تابع Shell تماسی زده میشه و کد Powershell اجرا میشه مبنی بر دانلود و اجرای یک فایل EXE.
@Unk9vvN
در ارائه امسال Blackhat اروپا، یک PoC مطرح شد در خصوص طراحی Macro برای اجرای کد مخرب بصورت نا محسوس.
نکته ای که محقق مبتنی بر اون روش منطق طراحی Macro خودش قراره داده، این است که بجای استفاده از یک Pattern کد معمول، سعی کرده ساختار Initialize کد برای رسیدن به نهایتا اجرای کد Powershell در تابع Shell، بصورت غیر معمول انجام بده.
یعنی معمولا برای دستیابی به اجرای کد بر روی خط فرمان، میتوان مستقیما از
Wscript.Shell یک Object ساخته و مقدار مربوطه رو وارد کرد، این روش قطعا تشخیص داده خواهد شد، چرا که مقادیر Macro برای AMSI سیستم عامل ویندوز ارسال میشه و اونجا بواسطه تشخیص مبتنی بر امضا دیده خواهد شد.محقق در کد مطرح شده خودش اومده از یک COM به نام
winmgmts استفاده کرده برای زدن یک Query به Win32_PhysicalMemory که مقدار واحد RAM رو دریافت خواهد کرد، در ادامه این واحد رو جمع به خود میکنه تا در شرط در ادامه طراحی شده، مقدار dRam بیش از 20000000000 بشه تا شرط برقرار بشه.با برقراری شرط به تابع Shell تماسی زده میشه و کد Powershell اجرا میشه مبنی بر دانلود و اجرای یک فایل EXE.
@Unk9vvN
#Mosesstaff #Iranian #APT #Ransomware
دو گزارش از شرکت های CheckPoint و Cybereason در خصوص TTP حملات تیم ایرانی عصای موسی به قربانیان خود منتشر شده که دارای نکات جالبی هستش، در گزارش مطرح شده که این تیم برای ایجاد دسترسی، از آسیب پذیری ناشناخته ای که در خصوص سرورهای ME Exchange استفاده کرده.
اما رفتار تکنیکی تاکتیکی دیگری که در تیم عصای موسی مطرح بوده، استفاده از ابزارهای PsExec، WMIC و Powershell در خصوص جا به جایی در سیستم ها بوده، همچنین در مرحله Impact حمله این تیم از ابزار عمومی DiskCryptor استفاده کرده در راستای رمزنگاری فایل ها و قفل گذاری بر روی Bootloader سیستم قربانی. مورد بعد استفاده از Webshell مبهم سازی شده که با رمزی Hash شده محافظت می شده و مهاجم میبایست رمز رو بصورت MD5 وارد میکرده تا وارد Webshell بشه.
اما نکته مهم استفاده از درایور
@Unk9vvN
دو گزارش از شرکت های CheckPoint و Cybereason در خصوص TTP حملات تیم ایرانی عصای موسی به قربانیان خود منتشر شده که دارای نکات جالبی هستش، در گزارش مطرح شده که این تیم برای ایجاد دسترسی، از آسیب پذیری ناشناخته ای که در خصوص سرورهای ME Exchange استفاده کرده.
اما رفتار تکنیکی تاکتیکی دیگری که در تیم عصای موسی مطرح بوده، استفاده از ابزارهای PsExec، WMIC و Powershell در خصوص جا به جایی در سیستم ها بوده، همچنین در مرحله Impact حمله این تیم از ابزار عمومی DiskCryptor استفاده کرده در راستای رمزنگاری فایل ها و قفل گذاری بر روی Bootloader سیستم قربانی. مورد بعد استفاده از Webshell مبهم سازی شده که با رمزی Hash شده محافظت می شده و مهاجم میبایست رمز رو بصورت MD5 وارد میکرده تا وارد Webshell بشه.
اما نکته مهم استفاده از درایور
DCSrv.sys به عنوان یک Rootkit و PyDCrypt به عنوان بستر ساز کل عملیات و تعامل با C2 که به زبان Python و با PyInstaller اون رو Compile و با سوئیچ key— براش رمزی قرار داده میشه و نهایتا اون رو اجرا میکنه...@Unk9vvN