#Cybersecurity #Roadmaps
نقشه راه امنیت سایبری در دو بخش امنیت تهاجمی و امنیت تدافعی معرفی شد.
از ویژگی های این نقشه راه، اشاره مستقیم به خود تاکتیک ها و تکنیک ها است که مبتنی بر آنها محصولات امنیتی طراحی میشوند، همچنین دوره هایی که برای کار با آن محصولات امنیتی است.
در نتیجه برای ترسیم دقیق بازه توانمندی هر محصول و یا ارائه خدمات علوم امنیت، میتوان به این نقشه راه متکی بوده و مبتنی بر آن پیش رفت.
این نقشه راه در شش بخش عنوان شده است که دوره های مورد طراحی تیم تحقیقاتی Unk9vvN ، مبتنی بر آن خواهد بود.
لازم به ذکر است که این نقشه راه هر ساله اصلاح خواهد شد و مباحثی اضافه و کم میشود، در نتیجه برای مطلع شدن از تغییرات حاصله، میتوانید همواره از لینک زیر نقشه راه را مشاهده نماید.
# Roadmap
unk9vvn.github.io/cybersecurity-roadmaps
# Presentation Videos
youtube.com/playlist?list=PLptEYzkzqybeXTzHkR-ij3mlWDcgC50VH
@Unk9vvN
نقشه راه امنیت سایبری در دو بخش امنیت تهاجمی و امنیت تدافعی معرفی شد.
از ویژگی های این نقشه راه، اشاره مستقیم به خود تاکتیک ها و تکنیک ها است که مبتنی بر آنها محصولات امنیتی طراحی میشوند، همچنین دوره هایی که برای کار با آن محصولات امنیتی است.
در نتیجه برای ترسیم دقیق بازه توانمندی هر محصول و یا ارائه خدمات علوم امنیت، میتوان به این نقشه راه متکی بوده و مبتنی بر آن پیش رفت.
این نقشه راه در شش بخش عنوان شده است که دوره های مورد طراحی تیم تحقیقاتی Unk9vvN ، مبتنی بر آن خواهد بود.
لازم به ذکر است که این نقشه راه هر ساله اصلاح خواهد شد و مباحثی اضافه و کم میشود، در نتیجه برای مطلع شدن از تغییرات حاصله، میتوانید همواره از لینک زیر نقشه راه را مشاهده نماید.
# Roadmap
unk9vvn.github.io/cybersecurity-roadmaps
# Presentation Videos
youtube.com/playlist?list=PLptEYzkzqybeXTzHkR-ij3mlWDcgC50VH
@Unk9vvN
#SANS #Iranian #Threat #Actor
در جریان توییت آقای Bob Diachenko در خصوص افشای اطلاعات 46 میلیون حساب اینستاگرام، 1.2 میلیون حساب توییتر و 180 هزار حساب تلگرام ایرانی در دامنه ای با نام
خانوم Lina Lau ارائه ای رو در مجموعه SANS انجام میدهد که در آن اشاره میکند به گروه های فعال تهاجمی در ایران و در جریان افشاگری های مطرح شده در توییتر، مشخص شد یکی از تیم های سایبری منتصب به دستگاه اطلاعاتی ایرانی حریم خصوصی مردم را نقض و بر خلاف قوانین جمهوری اسلامی ایران، مبنی بر عدم جاسوسی از حریم خصوصی مردم، اقدام به شنود و ضبط اطلاعات حساب های شبکه های اجتماعی مردم کرده است.
اما در کنار این نقض قانون، در این مقاله مطرح میشود که حساب کاربری با نام
لازم دانستیم شفاف سازی کنیم که نام کاربری
@Unk9vvN
در جریان توییت آقای Bob Diachenko در خصوص افشای اطلاعات 46 میلیون حساب اینستاگرام، 1.2 میلیون حساب توییتر و 180 هزار حساب تلگرام ایرانی در دامنه ای با نام
secnerd.ir که بر روی آن پلتفرم Elasticsearch بصورت ناشیانه پیکربندی شده بود، لو رفته است.خانوم Lina Lau ارائه ای رو در مجموعه SANS انجام میدهد که در آن اشاره میکند به گروه های فعال تهاجمی در ایران و در جریان افشاگری های مطرح شده در توییتر، مشخص شد یکی از تیم های سایبری منتصب به دستگاه اطلاعاتی ایرانی حریم خصوصی مردم را نقض و بر خلاف قوانین جمهوری اسلامی ایران، مبنی بر عدم جاسوسی از حریم خصوصی مردم، اقدام به شنود و ضبط اطلاعات حساب های شبکه های اجتماعی مردم کرده است.
اما در کنار این نقض قانون، در این مقاله مطرح میشود که حساب کاربری با نام
Unkn19wn و ایمیل unk19wn@gmail.com در جریان یکی از عملیات های تهاجمی شرکتی با نام Najee و با مدیریت فردی با نام Mansour Ahmadi اقدام به فعالیت های سایبری کرده است.لازم دانستیم شفاف سازی کنیم که نام کاربری
Unkn19wn هیچ ربطی به این تیم تحقیقاتی ندارد.@Unk9vvN
#Ransomware #Moneybird Targeted #Israel
تیم پاسخ به حادثه شرکت Check Point مقاله ای انتشار داده است مبنی بر حمله مجدد باج افزاری با نام Moneybird به ارگان ها و شرکت های اسرائیلی برای اخاذی مالی.
رفتار تکنیکی تاکتیکی حمله طبق معمول بر پایه یک ایجاد دسترسی بر پایه یک آسیب پذیری، و زدن تونل RDP مبتنی بر Web Shell که منجر به دانلود و اجرای باج افزار میشود.
اما دو نکته قابل توجه این حمله، یک استفاده مکرر از ابزار های تجاری رایگان است که مکانیزم های دفاعی به آنها واکنشی نشان نمی دهند، دیگری توسعه باج افزار با رویکردی جدید به زبان ++C که به عنوان یک Encryptor عمل خواهد کرد.
باج افزار پارامتر های CLI دریافت میکند که این موضوع موجب میشود مهاجم بصورت شخصی سازی شده توابع باج افزار را پیکربندی نماید، این پیکربندی میلی ثانیه خواب بودن قبل از start باج افزار است.
تعداد Threads های چک و Ciphering که با بررسی تعداد هسته های پردازنده تعیین خواهد شد، تعیین بررسی لیست Extension ها، برای رمز کردن و دیگر موارد که در تصویر مهندسی معکوس فایل مشخص شده است.
@Unk9vvN
تیم پاسخ به حادثه شرکت Check Point مقاله ای انتشار داده است مبنی بر حمله مجدد باج افزاری با نام Moneybird به ارگان ها و شرکت های اسرائیلی برای اخاذی مالی.
رفتار تکنیکی تاکتیکی حمله طبق معمول بر پایه یک ایجاد دسترسی بر پایه یک آسیب پذیری، و زدن تونل RDP مبتنی بر Web Shell که منجر به دانلود و اجرای باج افزار میشود.
اما دو نکته قابل توجه این حمله، یک استفاده مکرر از ابزار های تجاری رایگان است که مکانیزم های دفاعی به آنها واکنشی نشان نمی دهند، دیگری توسعه باج افزار با رویکردی جدید به زبان ++C که به عنوان یک Encryptor عمل خواهد کرد.
باج افزار پارامتر های CLI دریافت میکند که این موضوع موجب میشود مهاجم بصورت شخصی سازی شده توابع باج افزار را پیکربندی نماید، این پیکربندی میلی ثانیه خواب بودن قبل از start باج افزار است.
تعداد Threads های چک و Ciphering که با بررسی تعداد هسته های پردازنده تعیین خواهد شد، تعیین بررسی لیست Extension ها، برای رمز کردن و دیگر موارد که در تصویر مهندسی معکوس فایل مشخص شده است.
@Unk9vvN
#Ransomware #LockBit 3.0
باج افزار LockBit تا کنون مبلغی بیش از 100 میلیون دلار توانسته باج گیری رایانه ای کنه که عموما از ارگان های دولتی آمریکا، چین، هند، فرانسه، آلمان، اوکراین و اندونزی رو درگیر کرده و جالب است که با سرور هایی که زبان های روسی، رومانی، عربی سوری تنظیم داشتند، کاری نداشته است.
رفتار های شاخص تکنیکی تاکتیکی این باج افزار چی مواردی است؟ نسخه 3 این باج افزار برای ایجاد دسترسی از تکنیک های Bruteforce پروتکل RDP ، تکنیک Drive-By Compromise و Spear Phishing و دسترسی به حساب های کاربری صحیح و همچنین بهره برداری از یک آسیب پذیری سرویس های fortinet بوده است.
اما برای Exfiltration عموما از وبسرویس های اشتراک گذاری فایل استفاده شده که فایل های مورد نیاز باج افزار رو به سیستم قربانی انتقال خواهد داد.
استفاده از Autostart Execution ها برای ارتقاء سطح دسترسی که معمولا با schtasks انجام میشه، استفاده از Obfuscation کد برای نامحسوس سازی PE باج افزار، خاموش کردن سرویس های امنیتی سیستم عامل، گرفتن Dump از LSASS بر بستر حافظه و مواردی دیگر، اطلاعات تکمیلی در این مقاله است.
@Unk9vvN
باج افزار LockBit تا کنون مبلغی بیش از 100 میلیون دلار توانسته باج گیری رایانه ای کنه که عموما از ارگان های دولتی آمریکا، چین، هند، فرانسه، آلمان، اوکراین و اندونزی رو درگیر کرده و جالب است که با سرور هایی که زبان های روسی، رومانی، عربی سوری تنظیم داشتند، کاری نداشته است.
رفتار های شاخص تکنیکی تاکتیکی این باج افزار چی مواردی است؟ نسخه 3 این باج افزار برای ایجاد دسترسی از تکنیک های Bruteforce پروتکل RDP ، تکنیک Drive-By Compromise و Spear Phishing و دسترسی به حساب های کاربری صحیح و همچنین بهره برداری از یک آسیب پذیری سرویس های fortinet بوده است.
اما برای Exfiltration عموما از وبسرویس های اشتراک گذاری فایل استفاده شده که فایل های مورد نیاز باج افزار رو به سیستم قربانی انتقال خواهد داد.
استفاده از Autostart Execution ها برای ارتقاء سطح دسترسی که معمولا با schtasks انجام میشه، استفاده از Obfuscation کد برای نامحسوس سازی PE باج افزار، خاموش کردن سرویس های امنیتی سیستم عامل، گرفتن Dump از LSASS بر بستر حافظه و مواردی دیگر، اطلاعات تکمیلی در این مقاله است.
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#MOVEit #Transfer #SQLi
اخیرا دو آسیب پذیری ثبت شده با شناسه های CVE-2023-34362 و CVE-2023-35036 که از نوع Unauthenticated SQLi بوده است که مبتنی بر سناریو زیر بوده:
اول: پیدا کردن CSRF Token، دریافت Cookie از نقطه انتهایی
دوم: ایجاد کاربر sysadmin در پایگاه داده و تنظیم رمز.
سوم: گرفتن API Token از Endpoint مربوطه.
چهارم: پیدا کردن
پنجم: آپلود فایل Webshell بواسطه دسترسی به API.
ششم: کلید رمزنگاری API رو بدست میاد.
هفتم: فاش کردن کلید رمزنگاری بخش
هشتم: ایجاد یک Deserialization Gadget که دارای پبلود ایجاد یک Process بر روی سیستم عامل است.
نهم: این Gadget در پایگاه داده و فایل آپلودی در فیلد
دهم: ارتباط با فایل از طریق API گرفته میشه و Gadget قرار داده شده در فایل اجرا میشه.
یازدهم: نشانه های IoC از روی پایگاه داده حذف میشود.
@Unk9vvN
اخیرا دو آسیب پذیری ثبت شده با شناسه های CVE-2023-34362 و CVE-2023-35036 که از نوع Unauthenticated SQLi بوده است که مبتنی بر سناریو زیر بوده:
اول: پیدا کردن CSRF Token، دریافت Cookie از نقطه انتهایی
guestaccess.aspx، تنظیم session قرار دادن پیلود SQL در پارامتر MyPkgSelfProvisionedRecips هدر Cookie، ساخت رمز با Salt منطبق با پایگاه داده.دوم: ایجاد کاربر sysadmin در پایگاه داده و تنظیم رمز.
سوم: گرفتن API Token از Endpoint مربوطه.
چهارم: پیدا کردن
ID پوشه هدف بارگزاری ها.پنجم: آپلود فایل Webshell بواسطه دسترسی به API.
ششم: کلید رمزنگاری API رو بدست میاد.
هفتم: فاش کردن کلید رمزنگاری بخش
Standard Networks\siLock\Institutions برای ارتباط یکی از پارامتر های APIهشتم: ایجاد یک Deserialization Gadget که دارای پبلود ایجاد یک Process بر روی سیستم عامل است.
نهم: این Gadget در پایگاه داده و فایل آپلودی در فیلد
file_jason بروز رسانی میشه.دهم: ارتباط با فایل از طریق API گرفته میشه و Gadget قرار داده شده در فایل اجرا میشه.
یازدهم: نشانه های IoC از روی پایگاه داده حذف میشود.
@Unk9vvN
#GFW #Detection #Rules
در مقاله اخیر در کنفرانس USENIX تحلیل و بررسی انجام شده بر روی نحوه عملکرد دیواره آتش چین که به آن #GFW گفته میشود.
اولین نکته اشاره به پنج Rule برای تشخیص اکتشافی است که مبتنی بر تحلیل بایت های اولیه ارتباط TCP بخش Payload پروتکل است.
بر اساس این تحقیقات اگر شش بایت اول پکت های TCP بصورت تصادفی و از نوع Printable تولید شود، پکت عبور داده خواهد شد، اما اگر این شش بایت اول دارای کاراکتر محدوده
اما جالب است که GFW برای برخی پروتکل های عمومی معافیت هایی در نظر میگیرد، بطور مثال پروتکل TLS و HTTP در GFW دارای معافیت هستند و اگر سه بایت اول آنها مطابق با
اما کاوشگر GFW همواره علاوه بر نظارت بر پکت ها، بر روی IP سرور های مشکوک شروع به صحبت با Port های معروف میکند، به عنوان مثال اگر بر روی Port هایی مانند 443 یا 80 باشد، کاوشگر درخواست استفاده به عنوان Proxy میکند، و اگر سرور پاسخ دهد آن IP مسدود خواهد شد.
https://www.usenix.org/system/files/sec23fall-prepub-234-wu-mingshi.pdf
@Unk9vvN
در مقاله اخیر در کنفرانس USENIX تحلیل و بررسی انجام شده بر روی نحوه عملکرد دیواره آتش چین که به آن #GFW گفته میشود.
اولین نکته اشاره به پنج Rule برای تشخیص اکتشافی است که مبتنی بر تحلیل بایت های اولیه ارتباط TCP بخش Payload پروتکل است.
بر اساس این تحقیقات اگر شش بایت اول پکت های TCP بصورت تصادفی و از نوع Printable تولید شود، پکت عبور داده خواهد شد، اما اگر این شش بایت اول دارای کاراکتر محدوده
[0x20,0x7e] باشد، پکت مسدود خواهد شد.اما جالب است که GFW برای برخی پروتکل های عمومی معافیت هایی در نظر میگیرد، بطور مثال پروتکل TLS و HTTP در GFW دارای معافیت هستند و اگر سه بایت اول آنها مطابق با
[\x16-\x17]\x03[\x00-\x09] باشد، ترافیک مجاز به عبور خواهد بود.اما کاوشگر GFW همواره علاوه بر نظارت بر پکت ها، بر روی IP سرور های مشکوک شروع به صحبت با Port های معروف میکند، به عنوان مثال اگر بر روی Port هایی مانند 443 یا 80 باشد، کاوشگر درخواست استفاده به عنوان Proxy میکند، و اگر سرور پاسخ دهد آن IP مسدود خواهد شد.
https://www.usenix.org/system/files/sec23fall-prepub-234-wu-mingshi.pdf
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Exploitation of a #Samsung Zero-Click #MMS
در سال 2020 محققی با نام Mateusz Jurczyk از تیم Project Zero شرکت گوگل، مطرح میکنه که چند آسیب پذیری Buffer Overflow در ماه May گزارش شده که منجر به تخریب حافظه در درایور
اول محقق از SkCodecFuzzer که یک ابزار منبع باز برای Fuzzing Harness بر روی کتابخانه نام برده شده استفاده میکند که باعث کشف آسیب پذیری میشود.
دوم محقق برای دور زدن مکانیزم ASLR، از تکنیک Bruteforce آدرس پایه و آدرس انتهایی در حافظه سایه CFI که 2GB است انجام میشود، یعنی اول آدرس حافظه سایه کشف میشود، دوم انتهای منطقه حافظه سایه کشف میشود، و بعد حافظه آدرس پایه کتابخانه حساس
سوم محقق آدرس پایه
@Unk9vvN
در سال 2020 محققی با نام Mateusz Jurczyk از تیم Project Zero شرکت گوگل، مطرح میکنه که چند آسیب پذیری Buffer Overflow در ماه May گزارش شده که منجر به تخریب حافظه در درایور
Qmage از Codec های سامسونگ شده است که از کتابخانه Skia بوده و مامور Render کردن فایل فرمت های تصویری در اندروید بوده است.اول محقق از SkCodecFuzzer که یک ابزار منبع باز برای Fuzzing Harness بر روی کتابخانه نام برده شده استفاده میکند که باعث کشف آسیب پذیری میشود.
دوم محقق برای دور زدن مکانیزم ASLR، از تکنیک Bruteforce آدرس پایه و آدرس انتهایی در حافظه سایه CFI که 2GB است انجام میشود، یعنی اول آدرس حافظه سایه کشف میشود، دوم انتهای منطقه حافظه سایه کشف میشود، و بعد حافظه آدرس پایه کتابخانه حساس
libhwui.so کشف میشود.سوم محقق آدرس پایه
linker64 رو بدست آورده و آدرس تابع dl_popen رو محاسبه میکند، و بعد از طریق آدرس پایه libhwui آدرس آفست bitmap_vtable رو بدست آورده و تابع dl_popen رو در ساختمان قرار میدهد. نهایتا به تابع dl_popen مقدار RCE داده شده برای اجرا.@Unk9vvN