#CrowdStrike Kernel Mode Binary #Vulnerabilities
آسیب پذیری NULL Pointer Dereference در Driver سنسور Falcon که در خصوص پیاده سازی مدل های هوش مصنوعی تشخیص رفتار های مخرب در سیستم عامل را انجام داده و فرایند پاسخ به حادثه در لحظه رو اعمال خواهد کرد، آسیب پذیر بوده و با نام
اما جزئیات آسیب پذیری: اول اینکه یک Driver سطح هسته سیستم عامل در زمان Boot سیستم عامل نصب و راه اندازی میشوند. دوم Driver امکان ارتباط مستقیم با سخت افزار داشته و میتواند منابع سیستم عامل و دسترسی به حافظه محافظ شده را نیز دارا باشد. سوم یک Driver سطح هسته میتواند بر رفتار اصلی سیستم عامل تاثیر بگذارد.
این Driver ها در Windows Hardware Lab Kit امضای دیجیتالی مایکروسافت رو برای فعالیت در سیستم عامل دریافت میکنند که Driver نرم افزار Falcon نیز از آن جمله است.
فرایند بررسی و اعطای مجوز به Driver ها توسط مایکروسافت، یک فرایند زمانبر است لذا CS رویکردی با نام RRC ایجاد کرده تا سریعا محتواهای واکنش سریع خود را در قالب یک بروز رسانی پیکربندی محتوا انجام داده و Driver را بصورت پویا Load نماید.
@Unk9vvN
آسیب پذیری NULL Pointer Dereference در Driver سنسور Falcon که در خصوص پیاده سازی مدل های هوش مصنوعی تشخیص رفتار های مخرب در سیستم عامل را انجام داده و فرایند پاسخ به حادثه در لحظه رو اعمال خواهد کرد، آسیب پذیر بوده و با نام
CSAgent.sys فعالیت میکرده است.اما جزئیات آسیب پذیری: اول اینکه یک Driver سطح هسته سیستم عامل در زمان Boot سیستم عامل نصب و راه اندازی میشوند. دوم Driver امکان ارتباط مستقیم با سخت افزار داشته و میتواند منابع سیستم عامل و دسترسی به حافظه محافظ شده را نیز دارا باشد. سوم یک Driver سطح هسته میتواند بر رفتار اصلی سیستم عامل تاثیر بگذارد.
این Driver ها در Windows Hardware Lab Kit امضای دیجیتالی مایکروسافت رو برای فعالیت در سیستم عامل دریافت میکنند که Driver نرم افزار Falcon نیز از آن جمله است.
فرایند بررسی و اعطای مجوز به Driver ها توسط مایکروسافت، یک فرایند زمانبر است لذا CS رویکردی با نام RRC ایجاد کرده تا سریعا محتواهای واکنش سریع خود را در قالب یک بروز رسانی پیکربندی محتوا انجام داده و Driver را بصورت پویا Load نماید.
@Unk9vvN
#Reinforcement_Learning for #Automonous_Resilient #Cyber_Defence
سازمان #GCHQ و #MOD و #DARPA پارتنرشیپ تحقیقاتی در خصوص یک اکوسیستمی با نام #ARCD شدند تا فرایند های دفاع سایبری رو بواسطه Machine Learning بتونن اتوماسیون کنند و کیفیت دفاع رو بالا ببرند.
تمرکز این تحقیقات بر روی بالا بردن سرعت پاسخ و فرایند های بازیابی بوده که مبتنی بر چهارچوب NIST آمریکا شکل گرفته است.
ایجاد یک واکنش پاسخ به حادثه در لحظه، بواسطه ACO موجبات آموزش دیدن هر چه بیشتر هوش مصنوعی خواهد شد، که با ظرفیت های الگوریتمی که هوش مصنوعی داره، فرایند یادگیری اتفاق خواهد افتاد.
الگوریتم هایی مانند PPO - DQN - DDQN - GA - GNN - MARL که بر روی شبیه سازی هایی با نام PrimAITE - Yawing Titan - Cyborg عملیاتی شده است.
این یادگیری در ابعاد نظامی و تکنولوژی های عملیاتی آن نیز پیاده سازی شده است که میتواند موجبات دفع حملاتی که مبتنی بر فضای سایبر رخ میدهد، شود.
https://i.blackhat.com/BH-US-24/Presentations/US24-MilesFarmer-ReinforcementLearningForAutonomousResilientCyberDefence-Thursday.pdf
@Unk9vvN
سازمان #GCHQ و #MOD و #DARPA پارتنرشیپ تحقیقاتی در خصوص یک اکوسیستمی با نام #ARCD شدند تا فرایند های دفاع سایبری رو بواسطه Machine Learning بتونن اتوماسیون کنند و کیفیت دفاع رو بالا ببرند.
تمرکز این تحقیقات بر روی بالا بردن سرعت پاسخ و فرایند های بازیابی بوده که مبتنی بر چهارچوب NIST آمریکا شکل گرفته است.
ایجاد یک واکنش پاسخ به حادثه در لحظه، بواسطه ACO موجبات آموزش دیدن هر چه بیشتر هوش مصنوعی خواهد شد، که با ظرفیت های الگوریتمی که هوش مصنوعی داره، فرایند یادگیری اتفاق خواهد افتاد.
الگوریتم هایی مانند PPO - DQN - DDQN - GA - GNN - MARL که بر روی شبیه سازی هایی با نام PrimAITE - Yawing Titan - Cyborg عملیاتی شده است.
این یادگیری در ابعاد نظامی و تکنولوژی های عملیاتی آن نیز پیاده سازی شده است که میتواند موجبات دفع حملاتی که مبتنی بر فضای سایبر رخ میدهد، شود.
https://i.blackhat.com/BH-US-24/Presentations/US24-MilesFarmer-ReinforcementLearningForAutonomousResilientCyberDefence-Thursday.pdf
@Unk9vvN
#LLMs for #Offensive #Cyber Capabilities
بواسطه LLM یا Large Language Model اقدام به اجرای حملات و شبیه سازی بهره برداری از آسیب پذیری ها، انجام شده است.
در روش شناسی مورد استفاده، در مرحله اول پوشش آسیب پذیری و فرایند های شناسایی انجام شده است و در مرحله بعد ایجاد دسترسی و طراحی کد بهره برداری (Exploit) بواسطه هوش مصنوعی بوده است.
همچنین فرایند ایجاد بدافزار نیست کاملا مبتنی بر Test Case های LLM OCO انجام شده و فرایند های ارتقاء سطح دسترسی و نامحسوس سازی در مقابل، شناسایی، عملیاتی شده است.
در این Benchmark که با نام Ground2Crown انجام شده، بطور میانگین 70% تکنیک های ATT&CK به درستی انجام شده است.
در تست دیگری با نام CyberLayer سناریو های حمله بواسطه ظرفیت های ارزیابی شده قربانی انتخاب شده است.
از این ارائه میتوان این برداشت را کرد که از این پس شاهد اجرا صفر تا صد حملات تیم قرمز بطور هوشمند خواهیم بود.
@Unk9vvN
بواسطه LLM یا Large Language Model اقدام به اجرای حملات و شبیه سازی بهره برداری از آسیب پذیری ها، انجام شده است.
در روش شناسی مورد استفاده، در مرحله اول پوشش آسیب پذیری و فرایند های شناسایی انجام شده است و در مرحله بعد ایجاد دسترسی و طراحی کد بهره برداری (Exploit) بواسطه هوش مصنوعی بوده است.
همچنین فرایند ایجاد بدافزار نیست کاملا مبتنی بر Test Case های LLM OCO انجام شده و فرایند های ارتقاء سطح دسترسی و نامحسوس سازی در مقابل، شناسایی، عملیاتی شده است.
در این Benchmark که با نام Ground2Crown انجام شده، بطور میانگین 70% تکنیک های ATT&CK به درستی انجام شده است.
در تست دیگری با نام CyberLayer سناریو های حمله بواسطه ظرفیت های ارزیابی شده قربانی انتخاب شده است.
از این ارائه میتوان این برداشت را کرد که از این پس شاهد اجرا صفر تا صد حملات تیم قرمز بطور هوشمند خواهیم بود.
@Unk9vvN
#Iran #Cyberattack #Ransom #Banks
طی خبری که پایگاه POLITICO اعلام داشته، بیش از 20 موسسه بانکی و چندین بانک خصوصی و دولتی ایران هک شده است.
این هک بواسطه نفوذ به نرم افزار Core Banking شرکت توسن رخ داده است که بواسطه احتمالا یک آسیب پذیری، مهاجمین امکان سرقت اطلاعات را پیدا کرده و با گروگان گرفتن این اطلاعات، درخواست 10 میلیون دلار باج کرده اند که نهایتا 3 میلیون دلار دریافت کرده اند.
سیستم جامع مدیریت بانکی شرکت توسن به عنوان یک اسب تروجان عمل کرده و موجب آلوده سازی بسیاری از بانک ها و موسسات مالی کرده که از این نرم افزار استفاده می کرده است،
لذا مهاجمین امکان اجرای بدافزار بر روی سرور های تمامی بانک ها نام برده شده را پیدا کرده و دسترسی غیر مجازی را ایجاد کرده اند.
نهایتا با سرقت اطلاعات اقدام به باج خواهی در فضای Darkweb صورت گرفته است.
@Unk9vvN
طی خبری که پایگاه POLITICO اعلام داشته، بیش از 20 موسسه بانکی و چندین بانک خصوصی و دولتی ایران هک شده است.
این هک بواسطه نفوذ به نرم افزار Core Banking شرکت توسن رخ داده است که بواسطه احتمالا یک آسیب پذیری، مهاجمین امکان سرقت اطلاعات را پیدا کرده و با گروگان گرفتن این اطلاعات، درخواست 10 میلیون دلار باج کرده اند که نهایتا 3 میلیون دلار دریافت کرده اند.
سیستم جامع مدیریت بانکی شرکت توسن به عنوان یک اسب تروجان عمل کرده و موجب آلوده سازی بسیاری از بانک ها و موسسات مالی کرده که از این نرم افزار استفاده می کرده است،
لذا مهاجمین امکان اجرای بدافزار بر روی سرور های تمامی بانک ها نام برده شده را پیدا کرده و دسترسی غیر مجازی را ایجاد کرده اند.
نهایتا با سرقت اطلاعات اقدام به باج خواهی در فضای Darkweb صورت گرفته است.
@Unk9vvN
#CVE-2024-38063 #Integer_Overflow on
اخیرا آسیب پذیری ای ثبت شد در پروتکل TCP/IP که از نوع Integer Overflow و Integer Underflow بود به معنی سر ریز عددی یک ورودی عددی.
این آسیب پذیری در فرایند Fragmentation و Reassemble کردن تکه های بسته پروتکل IPv6 قرار داشت که محققین با بررسی این فرایند متوجه شدند در زمانی که ساختار بسته IPv6 تکه تکه میشوند، آخرین بسته با تاخیر 60 ثانیه ای تحویل Parser گیرنده داده میشود.
این تاخیر 60 ثانیه ای تابعی با نام
اینجا در تصویر Disassemble شده کد سی پلاس، اگر دقت کنید ثبات edx که یک اشاره گر به
اینجا اگر مقدار
@Unk9vvN
tcpip.sysاخیرا آسیب پذیری ای ثبت شد در پروتکل TCP/IP که از نوع Integer Overflow و Integer Underflow بود به معنی سر ریز عددی یک ورودی عددی.
این آسیب پذیری در فرایند Fragmentation و Reassemble کردن تکه های بسته پروتکل IPv6 قرار داشت که محققین با بررسی این فرایند متوجه شدند در زمانی که ساختار بسته IPv6 تکه تکه میشوند، آخرین بسته با تاخیر 60 ثانیه ای تحویل Parser گیرنده داده میشود.
این تاخیر 60 ثانیه ای تابعی با نام
Ipv6pReassemblyTimeout را فراخوانی کرده که این تابع بسته ها را drop میکند، همچنین به فیلد More میبایست مقدار 0 داشته باشد تا اعلام کند آخرین بسته است.اینجا در تصویر Disassemble شده کد سی پلاس، اگر دقت کنید ثبات edx که یک اشاره گر به
rdi+68h داخلش انتقال داده شده، در ادامه در نوع داده dx خودش که میشود 16 بیتی، مقادیر 8 و r15+8 اضافه میشود.اینجا اگر مقدار
packet_length برابر با 0xFFD0 باشد و بعد مقدار 8 بایت بهش اضافه شود، مقدار 0xFFD8 میشود، حالا اگر مقدار net_buffer_length بیشتر از 0x27 باشد، مثلا 39 بایت، اینجا ثبات DX سر ریز عددی خواهد کرد.@Unk9vvN