#MITRE_Engenuity #Attack_Flow
ابزاری وجود داره با نام Attack Flow که محصول ارگان تحقیقاتی MITRE Engenuity است که در موضوعات امنیت دفاعی فعال است.

این ابزار میتواند به شما یک فضای شبیه سازی و ترسیم جریان اجرایی یک حمله APT را دهد تا مبتنی بر تکنیک و تاکتیک های مستند شده در MITRE ATT&CK ، شمای کلی حمله رو ترسیم نماید.

این ترسیم میتواند مبتنی بر فرمت های afb - dot - json و mmd خروجی دهد، طراحی این گراف میتواند بر پایه مدل STIX هم باشد تا #TTP حمله قابلیت استفاده در #CTI یا اشتراک گذاری اطلاعات تهدیدات سایبری باشد، همچنین استفاده در مکانیزم های رفتار شناسی را نیز دارا باشد.

این ویژگی مهم، میتواند به متخصصین شکار تهدید و کارشناسان #SOC امکان خوبی برای کشف و آشکار سازی جریان اجرایی حملات #APT را بدهد. برای نمونه میتوانید موارد زیر را مشاهده نماید:


Iranian APT exploited Log4Shell and deployed XMRig crypto mining software

A financial crime involving the SWIFT banking network

A breach at Uber by the Lapsus$ group

A Russian state-sponsored malware campaign targeting Ukraine


@Unk9vvN
#HTML #Smuggling Attack for #Bypass #SOC
در مرکز عملیات امنیت، کارشناسان در تلاش هستند که بواسطه بررسی رویداد های مبتنی بر سیستم عامل و ارتباطات مبتنی بر شبکه، تهدیدات را شکار نمایند.

همچنین بواسطه تکنولوژی DPI یا نظارت عمیق بر پکت ها، تیم امنیت دفاعی سعی خواهد کرد تا نوع ترافیک در جریان را تشخیص بدهد.

ویژگی تکنیک HTML Smuggling این است که بر بستر ترافیک Legitimate یا مشروع، Stage های بد افزار را میتوان بصورت نا محسوس انتقال داد.

مانند تصویر پست که Stage بدافزار را که مبتنی بر فایل فرمت PE است، اول Compress و Encrypt با رمز مشخص میکند و در ادامه بواسطه تکنیک Polyglot با یک فرمت غیر حساس مانند PNG ادغام میکند.

این ادغام به این صورت است که امضای اول فایل PNG دست نخورده و در ادامه داده های Chunk که XOR شده مقادیر فرمت ZIP هستند را باز نویسی میکند.

نهایتا فایل PNG در یک دامنه ای قرار گرفته و در یک صفحه HTML بواسطه جاوا اسکریت src شده و بر روی سیستم قربانی بارگزاری میشود.

فایل HTML پایه میتواند بر روی CDN نیز قرار گرفته شده و IP خط کنترل و فرمان مهاجم نیز پنهان شود.

@Unk9vvN