This media is not supported in your browser
VIEW IN TELEGRAM
#VMware #Escape CVE-2017-4905
نمونه ای از فرار بدافزار بواسطه بهره برداری از آسیب پذیری باینری پروتکل RPC و درایور رابط Host با ماشین Guest که منجر به اجرای کد در حافظه Host خواهد شد.
مکانیزمی با نام Backdoor وجود دارد که برای ارتباطات guest-host است، که این Backdoor دو Port دارد 5658 و 5659، اولی برای ارتباطات کوتاه، دومی برای ارتباطات پهنای باند بالا است.
ماشین مهمان درخواست in/out را بواسطه instructions های خود به دو Port ارسال کرده و Hypervisor درخواستی را به سرویس میدهد.
پروتکل GuestRPC ویژگی های Drag، Drop و غیره را بین Guest-Host برقرار میکند که مبتنی بر xHCI Host Controller بر روی Ring 0 فعالیت دارد.
اما باگ، از ساختار XHCI یک Device Context گزارش میشود که در ثبات DCBAAP در RAM فیزیکی ذخیره میشوند، اما XHCI یک کش داخلی از Device Context را نگه میدارد و تنها زمانی که تغییراتی رخ میدهد آنرا بروز میکند.
ماشین مجازی Map موقعیت Device Context را بدست آورده و یک بروز رسانی DCBAAP انجام میدهد، این بروز رسانی چک نمیشود و مهاجم میتواند مقدار آدرس را تغییر دهد.
@Unk9vvN
نمونه ای از فرار بدافزار بواسطه بهره برداری از آسیب پذیری باینری پروتکل RPC و درایور رابط Host با ماشین Guest که منجر به اجرای کد در حافظه Host خواهد شد.
مکانیزمی با نام Backdoor وجود دارد که برای ارتباطات guest-host است، که این Backdoor دو Port دارد 5658 و 5659، اولی برای ارتباطات کوتاه، دومی برای ارتباطات پهنای باند بالا است.
ماشین مهمان درخواست in/out را بواسطه instructions های خود به دو Port ارسال کرده و Hypervisor درخواستی را به سرویس میدهد.
پروتکل GuestRPC ویژگی های Drag، Drop و غیره را بین Guest-Host برقرار میکند که مبتنی بر xHCI Host Controller بر روی Ring 0 فعالیت دارد.
اما باگ، از ساختار XHCI یک Device Context گزارش میشود که در ثبات DCBAAP در RAM فیزیکی ذخیره میشوند، اما XHCI یک کش داخلی از Device Context را نگه میدارد و تنها زمانی که تغییراتی رخ میدهد آنرا بروز میکند.
ماشین مجازی Map موقعیت Device Context را بدست آورده و یک بروز رسانی DCBAAP انجام میدهد، این بروز رسانی چک نمیشود و مهاجم میتواند مقدار آدرس را تغییر دهد.
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#Cybereason #RedTeam VS #BlueTeam
دموی معرفی خدمات شرکت Cybereason تولید کننده سامانه های XDR و غیره است که در نوع خودش جالب بود، ولی خب شما بهترین سامانه های دنیا رو هم داشته باشید باز امکان دور زدن تمامی مکانیزم های شما بواسطه طراحی بدافزارهای پیشرفته با تکنیک های نو آورانه خواهد بود.
لذا بهترین سیاست در خصوص برنده بودن در بازی موش و گربه تیم های امنیت دفاعی و تهاجمی، وجود مراکز به معنی واقعی کلمه تحقیقاتی با ظرفیت ملی است که میتواند جامعیت علمی و اطلاعاتی را در بر داشته باشد.
متاسفانه حاکمیت همچنان در حلقه فساد برخی آقایان مسئول گیر افتاده و این لایه مدیریتی اجازه شنیده شدن نظرات کارشناسان در میدان، به رده های بالاتر را نمیدهند.
از طرفی شرکت های دلال که همواره با محصولات نا کار آمد خارجی بازار را تسخیر کرده اند نیز مجال سرمایه گذاری بر روی فعالیت های تحقیق و توسعه نداده و خود یکی از عاملین اصلی مهاجرت محققین این حوزه هستند.
امنیت سایبری بسیار وابسته به تحقیق و توسعه است، لذا کار آمدی در آن منوط بر توانمندی علمی داخلی است، البته این به معنی تولید محصولات بی کیفیت یا ظاهری به هیچ وجه نیست.
@Unk9vvN
دموی معرفی خدمات شرکت Cybereason تولید کننده سامانه های XDR و غیره است که در نوع خودش جالب بود، ولی خب شما بهترین سامانه های دنیا رو هم داشته باشید باز امکان دور زدن تمامی مکانیزم های شما بواسطه طراحی بدافزارهای پیشرفته با تکنیک های نو آورانه خواهد بود.
لذا بهترین سیاست در خصوص برنده بودن در بازی موش و گربه تیم های امنیت دفاعی و تهاجمی، وجود مراکز به معنی واقعی کلمه تحقیقاتی با ظرفیت ملی است که میتواند جامعیت علمی و اطلاعاتی را در بر داشته باشد.
متاسفانه حاکمیت همچنان در حلقه فساد برخی آقایان مسئول گیر افتاده و این لایه مدیریتی اجازه شنیده شدن نظرات کارشناسان در میدان، به رده های بالاتر را نمیدهند.
از طرفی شرکت های دلال که همواره با محصولات نا کار آمد خارجی بازار را تسخیر کرده اند نیز مجال سرمایه گذاری بر روی فعالیت های تحقیق و توسعه نداده و خود یکی از عاملین اصلی مهاجرت محققین این حوزه هستند.
امنیت سایبری بسیار وابسته به تحقیق و توسعه است، لذا کار آمدی در آن منوط بر توانمندی علمی داخلی است، البته این به معنی تولید محصولات بی کیفیت یا ظاهری به هیچ وجه نیست.
@Unk9vvN
#Adversary in the #Middle #Attacks
در چند سال اخیر گروه تهدید روسیه که با نام Turla شناخته میشود، از یک تکنیکی با نام AiTM استفاده کرده است با همکاری کشور بلاروس، در راستای ایجاد دسترسی از اهدافی در اوکراین.
از این تکنیک میتوان در زیرساخت مخابراتی در راستای شنود داده ها، حملات مجدد (Replay Attacks) در بهره برداری از دسترسی به داده های احرازی، استفاده نمود.
همچنین مانیتور کردن یا تغییر ترافیک از دیگر ویژگی های این تکنیک است که میتواند از دستکاری DNS برای هدایت کاربر مد نظر خود به سایت مهاجم استفاده نمود یا با حملات Downgrade پروتکل های SSL/TLS به نسخه های آسیب پذیر، ترافیک رمزنگاری را بازگشایی کرد.
اما تیم مهاجم روسی از این تکنیک در راستای بازتاب دادن یک بدافزار MoustachedBouncer در زیر دامنه
کد جاوا اسکریپتی در سمت Front-End سایت تزریق شده است که اقدام به دانلود یک فایل ZIP میکند، این فایل یک بروز رسانی Fake است که در درون خود بدافزار بصورت Trojan نهفته است.
@Unk9vvN
در چند سال اخیر گروه تهدید روسیه که با نام Turla شناخته میشود، از یک تکنیکی با نام AiTM استفاده کرده است با همکاری کشور بلاروس، در راستای ایجاد دسترسی از اهدافی در اوکراین.
از این تکنیک میتوان در زیرساخت مخابراتی در راستای شنود داده ها، حملات مجدد (Replay Attacks) در بهره برداری از دسترسی به داده های احرازی، استفاده نمود.
همچنین مانیتور کردن یا تغییر ترافیک از دیگر ویژگی های این تکنیک است که میتواند از دستکاری DNS برای هدایت کاربر مد نظر خود به سایت مهاجم استفاده نمود یا با حملات Downgrade پروتکل های SSL/TLS به نسخه های آسیب پذیر، ترافیک رمزنگاری را بازگشایی کرد.
اما تیم مهاجم روسی از این تکنیک در راستای بازتاب دادن یک بدافزار MoustachedBouncer در زیر دامنه
updates.microsoft.com استفاده کرده و اقدام به آلوده سازی قربانیان خود میکند.کد جاوا اسکریپتی در سمت Front-End سایت تزریق شده است که اقدام به دانلود یک فایل ZIP میکند، این فایل یک بروز رسانی Fake است که در درون خود بدافزار بصورت Trojan نهفته است.
@Unk9vvN
#Indie #Hackers #Silicon #Valley
در دنیا یکی از مدل های تجاری سازی تخصص های حوزه فناوری اطلاعات این است که شما به سمت STARTUP کردن حرکت کنید و محصولاتی با مزیت رقابت مناسب ساخته و بازار دلخواه خود را بدست آورید.
اما در کنار این نوع تجاری سازی و مدل درآمد زایی از علوم فناوری اطلاعات، مفهومی یک سالی هست شکل گرفته است با نام Indie Hackers که نوعی از روش شناسی تجاری سازی تخصص است.
چیزی میان یک استارت آپ نو پا تا یک شرکت بزرگ، Indie Hackers ها کسانی هستند که علاقمند هستند محصول (MVP) تولید کنند اما نه بواسطه دریافت سرمایه از VC ها یا سرمایه گذار های خطر پذیر که به نوعی شریک کسب و کار میشوند، بلکه بواسطه کوچک سازی تیم توسعه و حذف بسیاری از هزینه های روتین یک شرکت، اقدام به تولید محصولی میکنند که میتواند درآمد متوسطی را محقق کند با کمترین امکانات.
تیم های Indie Hackers اغلب چند عضو مشخص و کوچیکی دارند که متخصص هستند و توانمندی تولید یک محصول را داشته و بصورت از راه دور با هم کار میکنند و بواسطه انجام Task های منظم و تقسیم شده میان گروه، نهایتا محصولی را ساخته و به مشتری نهایی عرضه میکنند.
@Unk9vvN
در دنیا یکی از مدل های تجاری سازی تخصص های حوزه فناوری اطلاعات این است که شما به سمت STARTUP کردن حرکت کنید و محصولاتی با مزیت رقابت مناسب ساخته و بازار دلخواه خود را بدست آورید.
اما در کنار این نوع تجاری سازی و مدل درآمد زایی از علوم فناوری اطلاعات، مفهومی یک سالی هست شکل گرفته است با نام Indie Hackers که نوعی از روش شناسی تجاری سازی تخصص است.
چیزی میان یک استارت آپ نو پا تا یک شرکت بزرگ، Indie Hackers ها کسانی هستند که علاقمند هستند محصول (MVP) تولید کنند اما نه بواسطه دریافت سرمایه از VC ها یا سرمایه گذار های خطر پذیر که به نوعی شریک کسب و کار میشوند، بلکه بواسطه کوچک سازی تیم توسعه و حذف بسیاری از هزینه های روتین یک شرکت، اقدام به تولید محصولی میکنند که میتواند درآمد متوسطی را محقق کند با کمترین امکانات.
تیم های Indie Hackers اغلب چند عضو مشخص و کوچیکی دارند که متخصص هستند و توانمندی تولید یک محصول را داشته و بصورت از راه دور با هم کار میکنند و بواسطه انجام Task های منظم و تقسیم شده میان گروه، نهایتا محصولی را ساخته و به مشتری نهایی عرضه میکنند.
@Unk9vvN
#Elite #Tools #Installer
یک نصب کننده ابزار ها با نام Linux Elite طراحی شده است تا تمامی کاستی های آزمایشگاهی در حوزه های مختلف امنیت سایبری را پوشش داده و یک سیستم عامل لینوکس پایه را تبدیل به یک آزمایشگاه تیم بنفش نماید، این ابزار فعلا از دو سیستم عامل Kali Linux و Ubuntu در شرایط آخرین نسخه، پشتیبانی میکند.
همچنین در آینده یک نصب کننده ابزار ها با نام Windows Elite نیز در همین راستا بر پایه زبان Powershell طراحی شده تا فرایند های ایجاد یک آزمایشگاه تیم بنقش را ساده و آسان نماید.
# Linux Elite
Install Script
Run Script
@Unk9vvN
یک نصب کننده ابزار ها با نام Linux Elite طراحی شده است تا تمامی کاستی های آزمایشگاهی در حوزه های مختلف امنیت سایبری را پوشش داده و یک سیستم عامل لینوکس پایه را تبدیل به یک آزمایشگاه تیم بنفش نماید، این ابزار فعلا از دو سیستم عامل Kali Linux و Ubuntu در شرایط آخرین نسخه، پشتیبانی میکند.
همچنین در آینده یک نصب کننده ابزار ها با نام Windows Elite نیز در همین راستا بر پایه زبان Powershell طراحی شده تا فرایند های ایجاد یک آزمایشگاه تیم بنقش را ساده و آسان نماید.
# Linux Elite
Install Script
curl -s https://raw.githubusercontent.com/unk9vvn/unk9vvn.github.io/main/linux-elite.sh | sudo bash
Run Script
sudo linux-lite
@Unk9vvN
#HTML #Smuggling Attack for #Bypass #SOC
در مرکز عملیات امنیت، کارشناسان در تلاش هستند که بواسطه بررسی رویداد های مبتنی بر سیستم عامل و ارتباطات مبتنی بر شبکه، تهدیدات را شکار نمایند.
همچنین بواسطه تکنولوژی DPI یا نظارت عمیق بر پکت ها، تیم امنیت دفاعی سعی خواهد کرد تا نوع ترافیک در جریان را تشخیص بدهد.
ویژگی تکنیک HTML Smuggling این است که بر بستر ترافیک Legitimate یا مشروع، Stage های بد افزار را میتوان بصورت نا محسوس انتقال داد.
مانند تصویر پست که Stage بدافزار را که مبتنی بر فایل فرمت PE است، اول Compress و Encrypt با رمز مشخص میکند و در ادامه بواسطه تکنیک Polyglot با یک فرمت غیر حساس مانند PNG ادغام میکند.
این ادغام به این صورت است که امضای اول فایل PNG دست نخورده و در ادامه داده های Chunk که XOR شده مقادیر فرمت ZIP هستند را باز نویسی میکند.
نهایتا فایل PNG در یک دامنه ای قرار گرفته و در یک صفحه HTML بواسطه جاوا اسکریت src شده و بر روی سیستم قربانی بارگزاری میشود.
فایل HTML پایه میتواند بر روی CDN نیز قرار گرفته شده و IP خط کنترل و فرمان مهاجم نیز پنهان شود.
@Unk9vvN
در مرکز عملیات امنیت، کارشناسان در تلاش هستند که بواسطه بررسی رویداد های مبتنی بر سیستم عامل و ارتباطات مبتنی بر شبکه، تهدیدات را شکار نمایند.
همچنین بواسطه تکنولوژی DPI یا نظارت عمیق بر پکت ها، تیم امنیت دفاعی سعی خواهد کرد تا نوع ترافیک در جریان را تشخیص بدهد.
ویژگی تکنیک HTML Smuggling این است که بر بستر ترافیک Legitimate یا مشروع، Stage های بد افزار را میتوان بصورت نا محسوس انتقال داد.
مانند تصویر پست که Stage بدافزار را که مبتنی بر فایل فرمت PE است، اول Compress و Encrypt با رمز مشخص میکند و در ادامه بواسطه تکنیک Polyglot با یک فرمت غیر حساس مانند PNG ادغام میکند.
این ادغام به این صورت است که امضای اول فایل PNG دست نخورده و در ادامه داده های Chunk که XOR شده مقادیر فرمت ZIP هستند را باز نویسی میکند.
نهایتا فایل PNG در یک دامنه ای قرار گرفته و در یک صفحه HTML بواسطه جاوا اسکریت src شده و بر روی سیستم قربانی بارگزاری میشود.
فایل HTML پایه میتواند بر روی CDN نیز قرار گرفته شده و IP خط کنترل و فرمان مهاجم نیز پنهان شود.
@Unk9vvN
#FilterNet #SCC #Mafia
از زمان اعلام #وزیر_ارتباطات مبنی بر الزام نمودن سرویس دهنده های اینترنت به بالا بردن کیفیت، تماما شبکه خارجی بهم ریخته است.
با بررسی هایی که صورت گرفته است، مشخص شده که این ایجاد اختلال بر روی ترافیک خارجی و مخصوصا CDN شرکت Cloudflare کاملا عمدی است.
در جریان ایجاد فیلترینگ نسل جدید، بسیاری از وبسایت هایی که هیچگونه مغایرتی با مصادیق مجرمانه ندارند نیز غیر قابل دسترس شده اند، بطور مثال وبسایت های در تصویر پست.
خب حالا سوالی که پیش می آید این است که اختلال عمدی بر روی تمام ترافیک خارج از کشور به چه دلیل است؟ پاسخ در مافیای ارائه خدمات مرکز داده در ایران است.
کافی است شما در گروه های شبکه و امنیت تلگرامی درخواست خرید سرور تونل فیلترشکن داخلی نماید، بلا فاصله دلالان مرتبط با مراکز داده مطرح کشور با شما ارتباط گرفته و بصورت غیر مستقیم، سرور را بفروش میرسانند.
اگر حاکمیت و دبیر شورای عالی فضای مجازی، راست میگوید درد فیلترینگ دارد با شرکت های ارائه دهنده سرور تونل ایرانی برخورد کند.
لینک پنل معروف به MHSanaei/3x-ui بر روی مراکز داده ایران از جمله آسیاتک، رسپینا و ...
@Unk9vvN
از زمان اعلام #وزیر_ارتباطات مبنی بر الزام نمودن سرویس دهنده های اینترنت به بالا بردن کیفیت، تماما شبکه خارجی بهم ریخته است.
با بررسی هایی که صورت گرفته است، مشخص شده که این ایجاد اختلال بر روی ترافیک خارجی و مخصوصا CDN شرکت Cloudflare کاملا عمدی است.
در جریان ایجاد فیلترینگ نسل جدید، بسیاری از وبسایت هایی که هیچگونه مغایرتی با مصادیق مجرمانه ندارند نیز غیر قابل دسترس شده اند، بطور مثال وبسایت های در تصویر پست.
خب حالا سوالی که پیش می آید این است که اختلال عمدی بر روی تمام ترافیک خارج از کشور به چه دلیل است؟ پاسخ در مافیای ارائه خدمات مرکز داده در ایران است.
کافی است شما در گروه های شبکه و امنیت تلگرامی درخواست خرید سرور تونل فیلترشکن داخلی نماید، بلا فاصله دلالان مرتبط با مراکز داده مطرح کشور با شما ارتباط گرفته و بصورت غیر مستقیم، سرور را بفروش میرسانند.
اگر حاکمیت و دبیر شورای عالی فضای مجازی، راست میگوید درد فیلترینگ دارد با شرکت های ارائه دهنده سرور تونل ایرانی برخورد کند.
لینک پنل معروف به MHSanaei/3x-ui بر روی مراکز داده ایران از جمله آسیاتک، رسپینا و ...
@Unk9vvN