تحلیل باج افزار GandCrab
گزارش تحلیل این باج افزار توسط آزمایشگاه تحلیل بدافزار کی پاد آماده شده است که نسخه کامل آن با مراجعه به وب سایت در دسترس است.
لازم به ذکر است که این باج افزار توسط محصول رنسام پاد قابل شناسایی است.
#malware_analysis
#ransomware
@pishgaman_kaipod
گزارش تحلیل این باج افزار توسط آزمایشگاه تحلیل بدافزار کی پاد آماده شده است که نسخه کامل آن با مراجعه به وب سایت در دسترس است.
لازم به ذکر است که این باج افزار توسط محصول رنسام پاد قابل شناسایی است.
#malware_analysis
#ransomware
@pishgaman_kaipod
باجافزار GandCrab نسخه 4 که به تازگی مشاهده شده و مورد رصد قرار گرفته است، در حال هدف قرار دادن کاربرانی است که به دنبال نرمافزارهای کرک شده هستند. این مشاهده ابتدا توسط BleepingComputer گزارش شد. شایان ذکر است، صفحات مخرب در حال حاضر به درون وبسایتهای مشروع تزریق میشوند، با این هدف که کاربران را به بدافزار GandCrab آلوده کند.
از زمانی که باجافزار GandCrab مورد یک بهروزرسانی بزرگی قرار گرفت، تقریبا 2 ماه میگذرد. در حالیکه نسخه اخیر از منظر ساختار کد شامل تغییرات اساسی شده است، اما هنوز اهداف عملیاتی بدافزار مشابه با نسخههای پیشین است.
در حالیکه برخی از ویژگیهای قبلی بدافزار حذف شده است، اغلب ویژگیهای استاندارد آن باقی مانده است. یک مورد قابل توجه، مثلا ویژگی تعویض عکس پسزمینه است که در نسخه قبلی به این باجافزار افزوده شده بود، اکنون در نسخه جدید دیگر این ویژگی پیادهسازی نشده است.
همانطور که پیش از این ذکر شد، نسخه جدید این باجافزار اکنون از سایفر استریم Salsa20 «Salsa20 Stream Cipher» برای رمزنگاری فایلها به جای RSA-2048 استفاده میکند که اکنون برای هدف کاملا متفاوتی استفاده میشود.
همچنین قابل ذکر است که نسخههای قبلی این بدافزار نیاز داشتند به سرورهای کنترل و فرماندهی قبل رمزنگاری فایلها متصل شوند. در نسخه جدید، بدافزار نیاز به برقراری ارتباط با سرورهای کنترل و فرماندهی را ندارد.
این یعنی، بدافزار اکنون میتواند فایلها را رمزنگاری کند، حتی اگر به اینترنت متصل نباشد. به هر صورت، رمزنگاری کلید خصوصی RSA-2048 و پارامترهای Salsa به شکل زیر انجام میشوند:
1. ایجاد کلیدهای خصوصی و عمومی الگوریتم RSA-2048
2. ایجاد مقادیر تصادفی 32 بایتی و 8 بایتی به عنوان کلید و نانس «Nonce» Salsa20
3. رمزنگاری کلید خصوصی RSA-2048 با استفاده از Salsa20
4. کلید و نانس Salsa20 همچنین با کلید عمومی RSA-2048 تولید شده در مراحل قبل رمزنگاری میشوند.
کلیدهای رمزنگاری در قالب یک بلاک باینری در موقعیت HKCU\Software\keys_data\data\private و همچنین کلید عمومی RSA در موقعیت HKCU\Software\keys_data\data\public رجیستری ذخیره میشود.
برای مطالعه کامل گزارش تحلیل این باج افزار به وب سایت کی پاد رجوع کنید.
#malware_analysis
#ransomware
@pishgaman_kaipod
از زمانی که باجافزار GandCrab مورد یک بهروزرسانی بزرگی قرار گرفت، تقریبا 2 ماه میگذرد. در حالیکه نسخه اخیر از منظر ساختار کد شامل تغییرات اساسی شده است، اما هنوز اهداف عملیاتی بدافزار مشابه با نسخههای پیشین است.
در حالیکه برخی از ویژگیهای قبلی بدافزار حذف شده است، اغلب ویژگیهای استاندارد آن باقی مانده است. یک مورد قابل توجه، مثلا ویژگی تعویض عکس پسزمینه است که در نسخه قبلی به این باجافزار افزوده شده بود، اکنون در نسخه جدید دیگر این ویژگی پیادهسازی نشده است.
همانطور که پیش از این ذکر شد، نسخه جدید این باجافزار اکنون از سایفر استریم Salsa20 «Salsa20 Stream Cipher» برای رمزنگاری فایلها به جای RSA-2048 استفاده میکند که اکنون برای هدف کاملا متفاوتی استفاده میشود.
همچنین قابل ذکر است که نسخههای قبلی این بدافزار نیاز داشتند به سرورهای کنترل و فرماندهی قبل رمزنگاری فایلها متصل شوند. در نسخه جدید، بدافزار نیاز به برقراری ارتباط با سرورهای کنترل و فرماندهی را ندارد.
این یعنی، بدافزار اکنون میتواند فایلها را رمزنگاری کند، حتی اگر به اینترنت متصل نباشد. به هر صورت، رمزنگاری کلید خصوصی RSA-2048 و پارامترهای Salsa به شکل زیر انجام میشوند:
1. ایجاد کلیدهای خصوصی و عمومی الگوریتم RSA-2048
2. ایجاد مقادیر تصادفی 32 بایتی و 8 بایتی به عنوان کلید و نانس «Nonce» Salsa20
3. رمزنگاری کلید خصوصی RSA-2048 با استفاده از Salsa20
4. کلید و نانس Salsa20 همچنین با کلید عمومی RSA-2048 تولید شده در مراحل قبل رمزنگاری میشوند.
کلیدهای رمزنگاری در قالب یک بلاک باینری در موقعیت HKCU\Software\keys_data\data\private و همچنین کلید عمومی RSA در موقعیت HKCU\Software\keys_data\data\public رجیستری ذخیره میشود.
برای مطالعه کامل گزارش تحلیل این باج افزار به وب سایت کی پاد رجوع کنید.
#malware_analysis
#ransomware
@pishgaman_kaipod
این هشدار را جدی بگیرید: به تازگی یک آسیب پذیری اجرای کد از راه دور بر روی IP Phone WebUI سیسکو شناسایی شده است که به سادگی به دلیل اعمال نادرست مکانیزم ASLR قابل بهره برداری توسط مهاجمین است. به سرعت وصله های امنیتی را اعمال کنید.
#security_advisory
#analysis
@pishgaman_kaipod
#security_advisory
#analysis
@pishgaman_kaipod
KA_9804131_Cisco_IP_Phone_WebUI.pdf
459.9 KB
کد گزارش آسیب پذیری: KA-9804131
عنوان گزارش: آسیب پذیری اجرای کد از راه دور بر روی WebUI محصول IP Phone شرکت سیسکو
#security_advisory
#report
#threat_intelligence
@pishgaman_kaipod
عنوان گزارش: آسیب پذیری اجرای کد از راه دور بر روی WebUI محصول IP Phone شرکت سیسکو
#security_advisory
#report
#threat_intelligence
@pishgaman_kaipod
به تازگی آسیبپذیریهای متعددی در محصول ABB HMI شناسایی شده است. بهرهبرداری موفق از این آسیبپذیریها میتواند به مهاجم امکان دهد تا از دسترسی قانونی به یک گره سیستمی آسیبدیده جلوگیری کند، با دسترسی از راه دور وضعیت منع سرویس بهوجود آورد، یا کد دلخواهی را وارد و اجرا کند.
#security_advisory
#analysis
@pishgaman_kaipod
#security_advisory
#analysis
@pishgaman_kaipod
KA-9804121 - ABB HMI Hardcoded Credentials Vulnerability.pdf
436.6 KB
کد گزارش آسیب پذیری: KA-9804121
عنوان گزارش: آسیبپذیری اعتبارنامههای سخت کدگذاری شده رابط مدیریت انسانی «HMI» محصولات ABB
#security_advisory
#report
#threat_intelligence
@pishgaman_kaipod
عنوان گزارش: آسیبپذیری اعتبارنامههای سخت کدگذاری شده رابط مدیریت انسانی «HMI» محصولات ABB
#security_advisory
#report
#threat_intelligence
@pishgaman_kaipod
در طول پروسه تحلیل و بازبینی آخرین تغییرات صورت گرفته بر روی کدهای سرور ایمیل Exim، پژوهشگران امنیت Qualys یک آسیبپذیری اجرای کد از راه دور بر روی نسخه 4.87 تا 4.91 کشف و شناسایی کردند.
مهاجمین با بهره برداری از این آسیبپذیری میتوانند از راه دور دستورات دلخواه با استفاده از تابع سیستمی execv() با سطح دسترسی ریشه بر روی سامانه هدف اجرا کنند، بدون اینکه تخریب حافظهای رخ بدهد یا نیاز به استفاده از تکنیک برنامهنویسی بازگشتی «Return-Oriented Programming» باشد.
#security_advisory
#analysis
@pishgaman_kaipod
مهاجمین با بهره برداری از این آسیبپذیری میتوانند از راه دور دستورات دلخواه با استفاده از تابع سیستمی execv() با سطح دسترسی ریشه بر روی سامانه هدف اجرا کنند، بدون اینکه تخریب حافظهای رخ بدهد یا نیاز به استفاده از تکنیک برنامهنویسی بازگشتی «Return-Oriented Programming» باشد.
#security_advisory
#analysis
@pishgaman_kaipod
KA-9804132 - The Return of the WIZard - RCE in Exim.pdf
442.6 KB
کد گزارش آسیب پذیری: KA-9804132
عنوان گزارش: بازگشت جادوگر - آسیبپذیری اجرای کد از راه دور بر روی Exim
#security_advisory
#report
#threat_intelligence
@pishgaman_kaipod
عنوان گزارش: بازگشت جادوگر - آسیبپذیری اجرای کد از راه دور بر روی Exim
#security_advisory
#report
#threat_intelligence
@pishgaman_kaipod
باسلام خدمت اعضای محترم کانال
ضمن تبریک به مناسبت فرارسیدن سال جدید به اطلاع می رساند:
پیرو تغییر سیاست های هیات مدیره شرکت در سال ۹۹، انجام خدمات و سرویس های امنیتی پیشگامان کی پاد به شرکت امن افزار گستر آپادانا منتقل می گردد، لذا این شرکت مستقلاً فعالیت های این حوزه را با رویکردی جدید و مشتری محور، ادامه داده و از این پس با نام امن افزار گستر آپادانا در خدمت شما بزرگواران خواهیم بود.
سپاس از همراهی شما
ضمن تبریک به مناسبت فرارسیدن سال جدید به اطلاع می رساند:
پیرو تغییر سیاست های هیات مدیره شرکت در سال ۹۹، انجام خدمات و سرویس های امنیتی پیشگامان کی پاد به شرکت امن افزار گستر آپادانا منتقل می گردد، لذا این شرکت مستقلاً فعالیت های این حوزه را با رویکردی جدید و مشتری محور، ادامه داده و از این پس با نام امن افزار گستر آپادانا در خدمت شما بزرگواران خواهیم بود.
سپاس از همراهی شما
Routing & Tunneling Protocol Attacks.pdf
1.6 MB
شرح سناریوهای حمله در لایه های ۲ و ۳ شبکه
@amnafzar
@amnafzar
اگر علاقه دارید یک فیلد تخصصی را در حوزه امنیت انتخاب و به درستی در آن اطلاعات عمیقی به دست آورید میتوانید از لینک زیر شروع کنید :
https://t.co/8qN4ny0cjv?amp=1
باتشکر از آقای حمید کشفی
@amnafzar
https://t.co/8qN4ny0cjv?amp=1
باتشکر از آقای حمید کشفی
@amnafzar
Google Docs
Security & Hacking related books
Basic OS & Networking: The Linux Command Line 2nd ed. Linux Bible 10th Ed. (Must-read for beginners as a reference book) Network+ Study guide. (Must-read for beginners.) Security+ Study guide. Basic intro to security. MCSA Windows 10 Study Guide MCSA Networking…
آخرین نسخه ITIL 4، ITIL است اما شاید برای شما هم جالب باشد که علت نامگذاری آن اصلا ربطی به نسخه بعد از 3 بودن ITIL ندارد! بلکه علت نامگذاری این ویرایش از ITIL، همزمانی انتشار آن با دوره ای است که در آن زندگی می کنیم و آن هم «چهارمین انقلاب صنعتی» تاریخ بشر است. انقلاب صنعتی چهارم، دوره ای است که در آن ظهور فناوری های نوین در حوزه های رباتیک، هوش مصنوعی، نانوتکنولوژی، پردازش کوانتومی، زیست فناوری، اینترنت اشیا و خودروهای خودران صورت می گیرد و عصر حاضر تمامی موارد این انقلاب صنعتی را در بر گرفته است.
از این رو، با توجه به اینکه امروزه فناوری اطلاعات در هسته مرکزی همه کسب و کارها واقع شده است و متخصصان فناوری اطلاعات در سازمان ها و صنایع گوناگون، اهمیت فوق العاده ای پیدا کرده اند، نام گذاری آخرین نسخه ITIL به نام ITIL 4 اشاره ای بر همسویی نسخه جدید، با انقلاب صنعتی چهارم می باشد و منظور نسخه یا ورژن چهارم از این چارچوب، نیست.
@amnafzar
از این رو، با توجه به اینکه امروزه فناوری اطلاعات در هسته مرکزی همه کسب و کارها واقع شده است و متخصصان فناوری اطلاعات در سازمان ها و صنایع گوناگون، اهمیت فوق العاده ای پیدا کرده اند، نام گذاری آخرین نسخه ITIL به نام ITIL 4 اشاره ای بر همسویی نسخه جدید، با انقلاب صنعتی چهارم می باشد و منظور نسخه یا ورژن چهارم از این چارچوب، نیست.
@amnafzar
❇️در شرایطی که ممکن است به خاطر مقوله کرونا ویروس وقت فراقت بیشتری را در بیزینس و کسب و کار خود داشته باشید، زمان خوبی است تا به مقوله امنیت نرم افزارها، محصولات و سامانه های شرکت خود بپردازید تا پس از عبور از این مرحله رکود، قدرتمند تر به بازار برگردید.
تیم متخصص ما اماده است تا با در نظر گرفتن وضعیت اقتصادی فعلی شرکت ها سرویس های زیر را به صورت غیرحضوری به انجام برساند:
🔅تست نفوذ و ارزیابی امنیتی اپ های موبایلی (Mobile App Analysis)
🔅تست نفوذ و ارزیابی امنیتی نرم افزار ها سامانه ها (Web App Analysis)
🔅تست نفوذ و ارزیابی امنیتی نرم افزار و پروتکل (Software and Protocol Analysis)
🔅بررسی و تحلیل امنیتی کد (Source Code Auditing)
🔅تست کارایی (Load/Stress) سامانه های نرم افزاری (Performance Testing)
🔅مشاوره ISO-15408/CC در جهت اخذ مجوز امنیتی محصول از آزمایشگاه های افتا
🔅ارزیابی وضع موجود، مشاوره و دریافت راهکارها جهت بهبود امنیت و کیفیت خدمات
🔅ماشین مجازی امن (VPS) ۳ ماهه
📩کافی است درخواست خود حداکثر تا 31 فروردین ماه با ایمیل info@amnafzar.net در میان بگذارید تا از شرایط ویژه بهرمند شوید.
@amnafzar
تیم متخصص ما اماده است تا با در نظر گرفتن وضعیت اقتصادی فعلی شرکت ها سرویس های زیر را به صورت غیرحضوری به انجام برساند:
🔅تست نفوذ و ارزیابی امنیتی اپ های موبایلی (Mobile App Analysis)
🔅تست نفوذ و ارزیابی امنیتی نرم افزار ها سامانه ها (Web App Analysis)
🔅تست نفوذ و ارزیابی امنیتی نرم افزار و پروتکل (Software and Protocol Analysis)
🔅بررسی و تحلیل امنیتی کد (Source Code Auditing)
🔅تست کارایی (Load/Stress) سامانه های نرم افزاری (Performance Testing)
🔅مشاوره ISO-15408/CC در جهت اخذ مجوز امنیتی محصول از آزمایشگاه های افتا
🔅ارزیابی وضع موجود، مشاوره و دریافت راهکارها جهت بهبود امنیت و کیفیت خدمات
🔅ماشین مجازی امن (VPS) ۳ ماهه
📩کافی است درخواست خود حداکثر تا 31 فروردین ماه با ایمیل info@amnafzar.net در میان بگذارید تا از شرایط ویژه بهرمند شوید.
@amnafzar
اگر اکانت توییتر دارید حتما به این موتور جستجو سر بزنید
https://en.whotwi.com/
(واقعا هیچ جا امنیت نداریم).
@amnafzar
https://en.whotwi.com/
(واقعا هیچ جا امنیت نداریم).
@amnafzar
🔵محصول Fortify WebInspect نسخه 19.20
با قابلیت های جدید
✅API (Rest and SOAP) advanced pentest
✅Modern Web application Pentest
✅Support Compiliance PCI DSS, DISA STIG, NIST 800-53, ISO 27K, OWASP, and HIPPAA.
✅Intgration with Burp, Postman and Selenium WebDriver
لایسنس غیررسمی به فروش می رسد، جهت ثبت سفارش لطفا با ادرس ایمیل : info@amnafzar.net در ارتباط باشید.
با قابلیت های جدید
✅API (Rest and SOAP) advanced pentest
✅Modern Web application Pentest
✅Support Compiliance PCI DSS, DISA STIG, NIST 800-53, ISO 27K, OWASP, and HIPPAA.
✅Intgration with Burp, Postman and Selenium WebDriver
لایسنس غیررسمی به فروش می رسد، جهت ثبت سفارش لطفا با ادرس ایمیل : info@amnafzar.net در ارتباط باشید.
کشف چند آسیب پذیری از WhatsApp web:
Open Redirect + CSP Bypass + Persistent XSS + FS read permissions + potential for RCE
https://github.com/weizman/CVE-2019-18426
@amnafzar
Open Redirect + CSP Bypass + Persistent XSS + FS read permissions + potential for RCE
https://github.com/weizman/CVE-2019-18426
@amnafzar
GitHub
GitHub - weizman/CVE-2019-18426
Contribute to weizman/CVE-2019-18426 development by creating an account on GitHub.
با WAF شاید چند ثانیه دیرتر به نرم افزار شما حمله شود!
ترکیب packet filtering و یا بهره گیری از RASP محافظت بهتری را ارائه خواهد داد!
@amnafzar
ترکیب packet filtering و یا بهره گیری از RASP محافظت بهتری را ارائه خواهد داد!
@amnafzar