آفسک - هکرهای ایران
9.88K members
640 photos
61 videos
89 files
496 links
آفسک، تحقیقات پیشرفته نفوذ و امنیت سایبری در ایران
میزبان هکرهای برگزیده‌ی ایران در کنفرانس سالانه‌ی آفسکانف

وبسایت: www.offsec.ir
توییتر: twitter.com/offsecmag
اینستاگرام: instagram.com/offsecmag

ایمیل: we @ offsec . ir
انتقاد و پیشنهاد: @offseque
Download Telegram
to view and join the conversation
اگر «هویج» رو یادتون باشه (ابزار خودکار تشخیص و اکسپلویت باگ‌های SQLi) یه زمانی خیلی محبوب بود و حتی فروش گسترده‌ی خارجی هم داشت. مالکیت این ابزار با شرکتی ایرانی با برند ITSecTeam وابسته به نهادی نظامی در ایران بود. ظاهرا این ابزار نتایج مثبت از هدف‌ها رو بی اطلاع از کاربر به سرور این شرکت ارسال می‌کرده.
@offsecmag
میشه از اینستاگرام، باگ تزریق دستور مخرب از راه دور گرفت؟!

وقتی می‌خواید روی اینستاگرام عکسی آپلود کنید، ابزاری برای کاهش سایز تصاویر در اپ‌های موبایلی‌ش (اندروید و iOS) وجود داره که عکس‌تون به لحاظ اندازه برای آپلود و نمایش بهینه‌تر بشه و اون ابزار اسمش هست Mozjpeg (محصول متن‌باز شرکت موزیلا). حالا شما اگر بتونید از این ابزار باگ دربیارید چی میشه؟‌ به بیان دقیق‌تر، چه وقتی اون باگی که دراوردید trigger میشه و بدرد شما می‌خوره؟ اگر این ابزار روی سرور اینستاگرام استفاده می‌شد، شما با آپلود یک پیلود (تصویر) مخرب می‌تونستید اون‌هایی که عکس‌تون رو در اینستاگرام می‌بینن رو مورد حمله قرار بدید؛ اما در این مورد، روی دستگاه کاربر این اتفاق می‌افته. پس شما بعد از اینکه از این ابزار باگ دراوردید، می‌تونید تصویر مخرب خودتون رو به هر طریقی برای قربانی بفرستید و کاربر بعد از باز کردن اینستاگرام و دیدن اون تصویر با اپ (بهش بگیم این تصویر رو در اینستاگرام آپلود کن؟) می‌تونه مورد حمله قرار بگیره. این یه روش زیبا برای کشف باگ از ابزارها و متعلقات مهم اپ‌هایی مثل اینستاگرامه. این عمل رو یه نفر به زیبایی و با تلاش فراوان انجام داده. یه باگ سرریز بافر از نوع عدد صحیح به کمک فازر AFL در یک روز ازش دراورده و خواسته به حمله تزریق دستور از راه دور تبدیلش کنه اما بدشانسی اورده. بهرحال تونسته کرش بگیره و از همین طریق از فیسبوک پول هم دریافت کرده. شما هم حتما امتحان کنید!
@offsecmag
دولت ترامپ بودجه‌ی سازمان OTF که تکنولوژی‌های آزادی اینترنتی رو پشتیبانی و حمایت می‌کرده رو قطع کرده. بخشی از فیلترشکن‌های رایگانی مثل Tor، سایفون و.. که ما ایرانی‌ها معمولا ازش بهره می‌بریم رو همین سازمان تامین مالی می‌کنه.
@offsecmag
مدیریت رخدادها و تهدیدات یکی از حوصله‌سربرترین امورات در زمینه‌ی امنیت سایبری هست. اما پلتفرم‌ها و واسطهای تحلیلی جذابی در این زمینه بوجود اومده‌ن. یکی از اونا پلتفرم متن‌باز YETI ئه. این ابزار با شناخت الگوهای رایج تهدیدات (TTPs)، یک هوش قابل‌اتکای بدافزاری فراهم کرده تا بتونیم در مقیاس‌های سازمانی و شرکتی و با منابع و دارایی‌های زیاد اونارو به شکل خوبی دنبال کنیم و بطور سیستماتیک روشون مدیریت داشته باشیم.
@offsecmag
This media is not supported in your browser
VIEW IN TELEGRAM
چطور روی شرکت بزرگی مثل Airbnb باگ XSS کشف می‌شه (روی APIای که خروجی JSON می‌ده!) و چطور فیلترها و مکانیزم‌های امنیتی روی این پلتفرم دور زده می‌شه و نهایتا ۱۵ هزار دلار جایزه می‌بره. توی این ویدئو ببینید.
@offsecmag
This media is not supported in your browser
VIEW IN TELEGRAM
سه سال پیش اینجا در مورد حمله‌ی PasteJacking گفتیم. توی حمله‌ی جدیدی که معرفی شده، این حمله به طور خاص روی ویرایشگرهای معروف متنی در سطح مرورگرها (WYSIWYG) اتفاق می‌افته. کارکرد این حمله مدیون رفتاری در مرورگرهاست که به اصطلاح mutation روی محتوای پویای HTML انجام میدن. یعنی در حالاتی که محتوا دارای خطا باشه، مرورگرها خودشون یه سری دستکاری روش انجام میدن تا بتونن جلوی خطا رو بگیرن و کارکرد محتوا رو بهینه کنن.
@offsecmag
ایران ۲۵٪ حملات سازمان‌یافته‌ی حکومتی به دنیا رو در سال گذشته به خودش اختصاص داده.

گزارش جدید مایکروسافت که امروز منتشر شد در مورد جایگاه امنیت ساییری و تهدیدات مختلف امنیتی که از زاویه‌های مختلفی ممکنه بروز بده صحبت می‌کنه. یکی از فصل‌های این گزارش در مورد تهدیدات امنیتی حکومت‌هاست. ایران بعد از روسیه، یک چهارم حملات سازمان‌یافته رو در حوزه‌های انرژی، دریایی، صنعت دفاعی، سازمان‌های مردم‌نهاد و حقوق بشری، ایمیل‌های شخصی و روزنامه‌نگارها رو در سال گذشته به خودش اختصاص داده. بهرحال، در این گزارش می‌تونید شیوه‌های مختلف حملات سازمان‌یافته رو بطور جامع درک کنید و در سازمان یا شرکتی که هستید سیاست و برنامه متناسب با اون رو پی بگیرید. یکی از نکته‌های کلیدی گزارش این بود که وقتی بدافزارها و مهاجمین وارد یکی از اجزای شبکه‌تون می‌شن می‌تونن بطور متوسط در کمتر از ۴۵ دقیقه کل شبکه‌تون رو درگیر یک باج‌افزار بکنن.
@offsecmag
گرنت ۵۰ هزار دلاری پژوهش در کشف باگ‌های موتور جاواسکریپت

گروه پروژه‌ی صفر گوگل، ساعتی پیش اعلام کرد که برنامه‌ای برای حمایت از محققین در زمینه‌ی کشف و تشخیص باگ‌های انجین‌های جاواسکریپت مثل v8 (برای کروم و اج)، JavaScriptCore (برای سافاری) یا Spidermonkey (برای فایرفاکس) به دلخواه محققین راه انداخته. اگر پروپزالی که می‌فرستید مورد قبول هیئت بازبینی قرار بگیره ۵ هزار دلار نصیب‌تون می‌شه و به ازای هرکدوم از فعالیت‌ها و حتی گزارش باگ‌هایی که می‌فرستید گرنت و پول جدا می‌گیرید. تنها خواسته‌ی این برنامه این بوده که مستقیما باگ‌ها رو به شرکت‌هایی که صاحب اون محصول هستن گزارش کنید! این هم بهترین فرصت برای محققین امنیت ایرانیه.
@offsecmag
مهندسی معکوس اپ قرعه‌کشی و بردن آیفون

شاید دیده باشید بعضی استارتاپ‌ها و شرکت‌های ایرانی یه سری اپ می‌سازن واسه قرعه‌کشی (مثل اینکه گوشیتو باید تکون بدی تا یه امتیاز بگیری یا یه سری ایده‌های دیگه). الگوی همه‌ی این ایده‌ها توسط مهندسی معکوس قابل کشفه (ارائه‌ی بابک امین‌آزاد در آفسکانف ۲۰۱۶ یادتونه؟) و می‌شه به اون نقطه‌ی دلخواه (برنده‌شدن) رسید. توی این کیس، یه نفر توی بازی اپی مک‌دانلد شرکت کرده که بر مبنای یه سری امتیاز وفاداری (به‌ازای هر خرید) می‌شه جون‌های بیشتری در بازی گرفت و نتیجتا امتیاز بیشتری کسب کرد و احتمال برنده‌شدن رو بالاتر برد. این بابا اومده درخواستی که به سمت سرور مک‌دانلد از اپ ارسال می‌شه رو کپچر کرده و دیده مقادیر ارسالی، راحت base64 دیکود می‌شه و با کنار هم قرار دادن چند تا مقدار ارسالی برای افزایش امتیاز، الگوش رو درک کرده و همین روند رو اومده به شکل خودکار با یه تیکه کد انجام داده.
@offsecmag
گیتهاب برای مخازن عمومی کدها قابلیتی گذاشته که می‌شه کدها رو به لحاظ امنیتی پویش کرد.
این امکان برای مخازن خصوصی و امکانات پیشرفته رایگان نیست.
@offsecmag
چیزی که باید با ظهور مدل‌های یادگیری ماشین، گستردگی بیشتری پیدا کنه، جمع‌آوری یا انتشار داده‌های مختلف در بازه‌های زمانی و خوشه‌بندی‌های مختلفه. با تحلیل اینجور داده‌ها می‌تونیم نتایج مختلفی ازش برداشت کنیم و پیش‌بینی‌های گوناگونی بسته به نیاز انجام بدیم. توی این کیس، تیم flaws.cloud همین کارو کرده و داده‌های حملات ابری تحت AWS رو از سه سال قبل انتشار داده و نتایج جالبی هم گرفته.
@offsecmag
اپ‌های موبایلی اپل (iOS) عموما بخاطر تحریم‌ها در ایران بهشون کم توجه می‌شه. متاسفانه بخاطر همین مسائل، امنیت این اپ‌ها هم اغلب با بی‌توجهی روبرو می‌شه. شاید دقت کرده باشید که اپ‌ها در حالاتی، فایل‌هایی تولید می‌کنن که ازشون شاید در وهله‌ی اول سر در نیاریم. حالا یا بعلت نوع خاص رمزنگاری‌شون یا Enconding. در اینجور موارد مهاجم می‌تونه با عملیاتی نسبتا ساده مثل تحلیل ایستا، یا اگر چنانچه از این مسیر به نتیجه‌ش نرسه، با انجام تحلیلی پویا می‌تونه تقریبا به مقصودش برسه. توی این مورد، تحلیلگر به زیبایی اپ Kindle آمازون برای کتاب‌های مجازی رو با روش‌هایی که گفتیم بررسی کرده و نهایتا با تحلیل پویا و استفاده از یک متد آبجکتی که پیدا می‌کنه (که در اصل برای ترجمه‌ی خودکار متون بوده) تونسته از مطالب کتاب‌ها دامپ بگیره و به محتوای اونا دسترسی داشته باشه.
@offsecmag
🔺مهم: گمانه‌زنی‌های حملات سایبری دیروز و امروز بر زیرساخت ایران

وقتی آسیب‌پذیری جدیدی خصوصا روی سرورهای ویندوزی میاد، لزوما مایکروسافت بطور آنی یا حتی در طی ماه‌ها به‌روزرسانی نمیده و بعضا راه حل دم‌دستی پیشنهاد می‌کنه. دیروز و دو-ماه پیش آسیب‌پذیری‌هایی حیاتی از پروتکل NetLogon و پشته‌ی TCP/IPویندوز سرورها گزارش شده که حالا ظاهرا اثراتش رو در حملات وسیع باج‌افزاری در شبکه‌های زیرساختی ایران داره نشون میده. اگر احیانا در سازمان شما اختلالی ایجاد شده و یا نگرانید که اختلالی ایجاد نشه، می‌تونید به رایگان از کارشناسان آفسک مشاوره بگیرید:
cert -at- offsec -dot- ir

@offsecmag
تعداد رمزارزها و استارتاپ‌های حول رمزارز داره از تعداد آدم‌ها بیشتر میشه و این موضوع جای سوء استفاده رو به شکل بدی باز می‌کنه. خوبه که فعالین و علاقمندان به امنیت سایبری در این زمینه هم بتونن توانمند شن و دستی بر قضا داشته باشن. اپی طراحی شده که مختص رمزارز و مکانیزم‌های اونه. منتها به‌قصد آسیب‌پذیر! هدف این نوع اپ‌ها اینه که آدم بتونه با تهدیدات و آسیب‌پذیری‌های اون حوزه آشنا بشه و عملا درشون تجربه کسب کنه. این اپ حاوی چالش‌هاییه که از رمزنگاری پایه، مکانیزم‌های ناقص و آسیب‌پذیر تولید مقادیر تصادفی، هش‌سازی سست، عملیات منطقی نادرست، مدل‌های ناقص رمز کردن داده‌ها، تشخیص بردار مقداردهی مدل‌های رمزنگاری و.. رو برای حل و یادگیری شامل می‌شه.
@offsecmag
توی تست و نفوذ به اپ‌های اندرویدی، ما دو شیوه داریم: تحلیل ایستا و پویا

تحلیل ایستا رو فعلا نادیده بگیرید. یکی از ساده‌ترین، سرراست‌ترین و سریع‌ترین روش‌های تحلیل و عملیات پویا، استفاده از ابزار Frida هست. قبلا یک مورد از هک اپ بانکی رو با استفاده از این ابزار معرفی کردیم. حالا در این ویدئو می‌تونید کامل‌تر در مورد این ابزار و روش‌های عملی استفاده از اون در موارد مختلف کشف باگ بدونید. اول مثال از دور زدن یه نوع Root Detection می‌زنه، بعدش به مثال‌های کاربردی می‌رسه که فهم الگوی تولید مقادیر تصادفیه که با آی‌دی مشتری مطابقت داده می‌شه، و بعد می‌رسه به یه اپی که باید الگوی رمزنگاری‌ش رو بفهمیم.
@offsecmag
This media is not supported in your browser
VIEW IN TELEGRAM
حاج دونالد: «هیچکس هک نمی‌شه. واسه هک شدن به یه آدم با آی‌کیو ۱۹۷ نیاز دارین و اون ۱۵٪ رمزتون رو لازم داره»
@offsecmag
کشف خودکار باگ‌ها و آسیب‌پذیری‌ها از پروتکل‌های شبکه‌ها (فازر AFLNet)

در ابتدا، اگر به این موضوعات علاقه دارید پیشنهاد می‌کنیم این رشته مطلب از آفسک رو بخونید.
ابزارهای خودکار کشف باگ (فازرها) معمولا یک ورودی (مثل یک فایل، فرضا word.exe) رو از ما می‌خوان. در مورد پروتکل‌های شبکه این قضیه صدق نمی‌کنه. چرا که برخلاف پروتکل HTTP که بی‌حالته (Stateless)، بیشتر پروتکل‌های شبکه، حالت‌دار (Stateful) هستن. حالت‌دار بودن به معنای ساده یعنی اطلاعات فرستنده و وضعیت یه جایی ذخیره می‌شه. از اونجایی که در پروتکل‌های حالت‌دار، سرور «زنجیره‌ای» از پیام‌ها رو دریافت می‌کنه و برمبنای «ورودی جاری» و «حالت فعلی برنامه» رفتار می‌کنه، فازرهای کلاسیک برای هندل کردن این زنجیره، ناقصن. بنابراین به یه فازری نیازه که بجای یک ورودی، چندین ورودی بگیره و طبق قاعده‌ی پروتکل‌های شبکه، ترتیب ورودی‌ها (پیام‌ها) و حالت جاری سرور براش مهم باشه. خاصیت فازر AFLNet اینه که نیاز به مشخص کردن نوع پروتکل نیست و گرامری برای پیام‌هام نمی‌خواد. بعنوان یک Client رفتار می‌کنه که داره به سرورها پیام‌هایی رو ارسال می‌کنه.
@offsecmag
اگر آفسک را دوست دارید، این فراخوان را به هرکسی که می‌شناسید و در او استعدادی می‌بینید ارسال کنید.
@offsecmag
🔺متاسفانه یکی از سازمان‌هایی که در حملات زیرساختی هفته پیش درگیر شده بود، حالا تمامی اطلاعات حساس مالی و هویتی آن در اینترنت منتشر شده. برای کمینه‌سازی اینگونه حملات می‌توانید مشاوره رایگان را از کارشناسان آفسک جویا شوید:
cert -at- offsec -dot- ir

@offsecmag
🔺 فردا منتظر یک خبر خوب از آفسک باشید!