اگر «هویج» رو یادتون باشه (ابزار خودکار تشخیص و اکسپلویت باگهای SQLi) یه زمانی خیلی محبوب بود و حتی فروش گستردهی خارجی هم داشت. مالکیت این ابزار با شرکتی ایرانی با برند ITSecTeam وابسته به نهادی نظامی در ایران بود. ظاهرا این ابزار نتایج مثبت از هدفها رو بی اطلاع از کاربر به سرور این شرکت ارسال میکرده.
@offsecmag
@offsecmag
میشه از اینستاگرام، باگ تزریق دستور مخرب از راه دور گرفت؟!
وقتی میخواید روی اینستاگرام عکسی آپلود کنید، ابزاری برای کاهش سایز تصاویر در اپهای موبایلیش (اندروید و iOS) وجود داره که عکستون به لحاظ اندازه برای آپلود و نمایش بهینهتر بشه و اون ابزار اسمش هست Mozjpeg (محصول متنباز شرکت موزیلا). حالا شما اگر بتونید از این ابزار باگ دربیارید چی میشه؟ به بیان دقیقتر، چه وقتی اون باگی که دراوردید trigger میشه و بدرد شما میخوره؟ اگر این ابزار روی سرور اینستاگرام استفاده میشد، شما با آپلود یک پیلود (تصویر) مخرب میتونستید اونهایی که عکستون رو در اینستاگرام میبینن رو مورد حمله قرار بدید؛ اما در این مورد، روی دستگاه کاربر این اتفاق میافته. پس شما بعد از اینکه از این ابزار باگ دراوردید، میتونید تصویر مخرب خودتون رو به هر طریقی برای قربانی بفرستید و کاربر بعد از باز کردن اینستاگرام و دیدن اون تصویر با اپ (بهش بگیم این تصویر رو در اینستاگرام آپلود کن؟) میتونه مورد حمله قرار بگیره. این یه روش زیبا برای کشف باگ از ابزارها و متعلقات مهم اپهایی مثل اینستاگرامه. این عمل رو یه نفر به زیبایی و با تلاش فراوان انجام داده. یه باگ سرریز بافر از نوع عدد صحیح به کمک فازر AFL در یک روز ازش دراورده و خواسته به حمله تزریق دستور از راه دور تبدیلش کنه اما بدشانسی اورده. بهرحال تونسته کرش بگیره و از همین طریق از فیسبوک پول هم دریافت کرده. شما هم حتما امتحان کنید!
@offsecmag
وقتی میخواید روی اینستاگرام عکسی آپلود کنید، ابزاری برای کاهش سایز تصاویر در اپهای موبایلیش (اندروید و iOS) وجود داره که عکستون به لحاظ اندازه برای آپلود و نمایش بهینهتر بشه و اون ابزار اسمش هست Mozjpeg (محصول متنباز شرکت موزیلا). حالا شما اگر بتونید از این ابزار باگ دربیارید چی میشه؟ به بیان دقیقتر، چه وقتی اون باگی که دراوردید trigger میشه و بدرد شما میخوره؟ اگر این ابزار روی سرور اینستاگرام استفاده میشد، شما با آپلود یک پیلود (تصویر) مخرب میتونستید اونهایی که عکستون رو در اینستاگرام میبینن رو مورد حمله قرار بدید؛ اما در این مورد، روی دستگاه کاربر این اتفاق میافته. پس شما بعد از اینکه از این ابزار باگ دراوردید، میتونید تصویر مخرب خودتون رو به هر طریقی برای قربانی بفرستید و کاربر بعد از باز کردن اینستاگرام و دیدن اون تصویر با اپ (بهش بگیم این تصویر رو در اینستاگرام آپلود کن؟) میتونه مورد حمله قرار بگیره. این یه روش زیبا برای کشف باگ از ابزارها و متعلقات مهم اپهایی مثل اینستاگرامه. این عمل رو یه نفر به زیبایی و با تلاش فراوان انجام داده. یه باگ سرریز بافر از نوع عدد صحیح به کمک فازر AFL در یک روز ازش دراورده و خواسته به حمله تزریق دستور از راه دور تبدیلش کنه اما بدشانسی اورده. بهرحال تونسته کرش بگیره و از همین طریق از فیسبوک پول هم دریافت کرده. شما هم حتما امتحان کنید!
@offsecmag
دولت ترامپ بودجهی سازمان OTF که تکنولوژیهای آزادی اینترنتی رو پشتیبانی و حمایت میکرده رو قطع کرده. بخشی از فیلترشکنهای رایگانی مثل Tor، سایفون و.. که ما ایرانیها معمولا ازش بهره میبریم رو همین سازمان تامین مالی میکنه.
@offsecmag
@offsecmag
the Guardian
Trump cuts aid for pro-democracy groups in Belarus, Hong Kong and Iran
Open Technology Fund, which helped activists evade state surveillance and sidestep web censorship, sees $20m grant pulled
مدیریت رخدادها و تهدیدات یکی از حوصلهسربرترین امورات در زمینهی امنیت سایبری هست. اما پلتفرمها و واسطهای تحلیلی جذابی در این زمینه بوجود اومدهن. یکی از اونا پلتفرم متنباز YETI ئه. این ابزار با شناخت الگوهای رایج تهدیدات (TTPs)، یک هوش قابلاتکای بدافزاری فراهم کرده تا بتونیم در مقیاسهای سازمانی و شرکتی و با منابع و داراییهای زیاد اونارو به شکل خوبی دنبال کنیم و بطور سیستماتیک روشون مدیریت داشته باشیم.
@offsecmag
@offsecmag
This media is not supported in your browser
VIEW IN TELEGRAM
چطور روی شرکت بزرگی مثل Airbnb باگ XSS کشف میشه (روی APIای که خروجی JSON میده!) و چطور فیلترها و مکانیزمهای امنیتی روی این پلتفرم دور زده میشه و نهایتا ۱۵ هزار دلار جایزه میبره. توی این ویدئو ببینید.
@offsecmag
@offsecmag
This media is not supported in your browser
VIEW IN TELEGRAM
سه سال پیش اینجا در مورد حملهی PasteJacking گفتیم. توی حملهی جدیدی که معرفی شده، این حمله به طور خاص روی ویرایشگرهای معروف متنی در سطح مرورگرها (WYSIWYG) اتفاق میافته. کارکرد این حمله مدیون رفتاری در مرورگرهاست که به اصطلاح mutation روی محتوای پویای HTML انجام میدن. یعنی در حالاتی که محتوا دارای خطا باشه، مرورگرها خودشون یه سری دستکاری روش انجام میدن تا بتونن جلوی خطا رو بگیرن و کارکرد محتوا رو بهینه کنن.
@offsecmag
@offsecmag
ایران ۲۵٪ حملات سازمانیافتهی حکومتی به دنیا رو در سال گذشته به خودش اختصاص داده.
گزارش جدید مایکروسافت که امروز منتشر شد در مورد جایگاه امنیت ساییری و تهدیدات مختلف امنیتی که از زاویههای مختلفی ممکنه بروز بده صحبت میکنه. یکی از فصلهای این گزارش در مورد تهدیدات امنیتی حکومتهاست. ایران بعد از روسیه، یک چهارم حملات سازمانیافته رو در حوزههای انرژی، دریایی، صنعت دفاعی، سازمانهای مردمنهاد و حقوق بشری، ایمیلهای شخصی و روزنامهنگارها رو در سال گذشته به خودش اختصاص داده. بهرحال، در این گزارش میتونید شیوههای مختلف حملات سازمانیافته رو بطور جامع درک کنید و در سازمان یا شرکتی که هستید سیاست و برنامه متناسب با اون رو پی بگیرید. یکی از نکتههای کلیدی گزارش این بود که وقتی بدافزارها و مهاجمین وارد یکی از اجزای شبکهتون میشن میتونن بطور متوسط در کمتر از ۴۵ دقیقه کل شبکهتون رو درگیر یک باجافزار بکنن.
@offsecmag
گزارش جدید مایکروسافت که امروز منتشر شد در مورد جایگاه امنیت ساییری و تهدیدات مختلف امنیتی که از زاویههای مختلفی ممکنه بروز بده صحبت میکنه. یکی از فصلهای این گزارش در مورد تهدیدات امنیتی حکومتهاست. ایران بعد از روسیه، یک چهارم حملات سازمانیافته رو در حوزههای انرژی، دریایی، صنعت دفاعی، سازمانهای مردمنهاد و حقوق بشری، ایمیلهای شخصی و روزنامهنگارها رو در سال گذشته به خودش اختصاص داده. بهرحال، در این گزارش میتونید شیوههای مختلف حملات سازمانیافته رو بطور جامع درک کنید و در سازمان یا شرکتی که هستید سیاست و برنامه متناسب با اون رو پی بگیرید. یکی از نکتههای کلیدی گزارش این بود که وقتی بدافزارها و مهاجمین وارد یکی از اجزای شبکهتون میشن میتونن بطور متوسط در کمتر از ۴۵ دقیقه کل شبکهتون رو درگیر یک باجافزار بکنن.
@offsecmag
گرنت ۵۰ هزار دلاری پژوهش در کشف باگهای موتور جاواسکریپت
گروه پروژهی صفر گوگل، ساعتی پیش اعلام کرد که برنامهای برای حمایت از محققین در زمینهی کشف و تشخیص باگهای انجینهای جاواسکریپت مثل v8 (برای کروم و اج)، JavaScriptCore (برای سافاری) یا Spidermonkey (برای فایرفاکس) به دلخواه محققین راه انداخته. اگر پروپزالی که میفرستید مورد قبول هیئت بازبینی قرار بگیره ۵ هزار دلار نصیبتون میشه و به ازای هرکدوم از فعالیتها و حتی گزارش باگهایی که میفرستید گرنت و پول جدا میگیرید. تنها خواستهی این برنامه این بوده که مستقیما باگها رو به شرکتهایی که صاحب اون محصول هستن گزارش کنید! این هم بهترین فرصت برای محققین امنیت ایرانیه.
@offsecmag
گروه پروژهی صفر گوگل، ساعتی پیش اعلام کرد که برنامهای برای حمایت از محققین در زمینهی کشف و تشخیص باگهای انجینهای جاواسکریپت مثل v8 (برای کروم و اج)، JavaScriptCore (برای سافاری) یا Spidermonkey (برای فایرفاکس) به دلخواه محققین راه انداخته. اگر پروپزالی که میفرستید مورد قبول هیئت بازبینی قرار بگیره ۵ هزار دلار نصیبتون میشه و به ازای هرکدوم از فعالیتها و حتی گزارش باگهایی که میفرستید گرنت و پول جدا میگیرید. تنها خواستهی این برنامه این بوده که مستقیما باگها رو به شرکتهایی که صاحب اون محصول هستن گزارش کنید! این هم بهترین فرصت برای محققین امنیت ایرانیه.
@offsecmag
مهندسی معکوس اپ قرعهکشی و بردن آیفون
شاید دیده باشید بعضی استارتاپها و شرکتهای ایرانی یه سری اپ میسازن واسه قرعهکشی (مثل اینکه گوشیتو باید تکون بدی تا یه امتیاز بگیری یا یه سری ایدههای دیگه). الگوی همهی این ایدهها توسط مهندسی معکوس قابل کشفه (ارائهی بابک امینآزاد در آفسکانف ۲۰۱۶ یادتونه؟) و میشه به اون نقطهی دلخواه (برندهشدن) رسید. توی این کیس، یه نفر توی بازی اپی مکدانلد شرکت کرده که بر مبنای یه سری امتیاز وفاداری (بهازای هر خرید) میشه جونهای بیشتری در بازی گرفت و نتیجتا امتیاز بیشتری کسب کرد و احتمال برندهشدن رو بالاتر برد. این بابا اومده درخواستی که به سمت سرور مکدانلد از اپ ارسال میشه رو کپچر کرده و دیده مقادیر ارسالی، راحت base64 دیکود میشه و با کنار هم قرار دادن چند تا مقدار ارسالی برای افزایش امتیاز، الگوش رو درک کرده و همین روند رو اومده به شکل خودکار با یه تیکه کد انجام داده.
@offsecmag
شاید دیده باشید بعضی استارتاپها و شرکتهای ایرانی یه سری اپ میسازن واسه قرعهکشی (مثل اینکه گوشیتو باید تکون بدی تا یه امتیاز بگیری یا یه سری ایدههای دیگه). الگوی همهی این ایدهها توسط مهندسی معکوس قابل کشفه (ارائهی بابک امینآزاد در آفسکانف ۲۰۱۶ یادتونه؟) و میشه به اون نقطهی دلخواه (برندهشدن) رسید. توی این کیس، یه نفر توی بازی اپی مکدانلد شرکت کرده که بر مبنای یه سری امتیاز وفاداری (بهازای هر خرید) میشه جونهای بیشتری در بازی گرفت و نتیجتا امتیاز بیشتری کسب کرد و احتمال برندهشدن رو بالاتر برد. این بابا اومده درخواستی که به سمت سرور مکدانلد از اپ ارسال میشه رو کپچر کرده و دیده مقادیر ارسالی، راحت base64 دیکود میشه و با کنار هم قرار دادن چند تا مقدار ارسالی برای افزایش امتیاز، الگوش رو درک کرده و همین روند رو اومده به شکل خودکار با یه تیکه کد انجام داده.
@offsecmag
گیتهاب برای مخازن عمومی کدها قابلیتی گذاشته که میشه کدها رو به لحاظ امنیتی پویش کرد.
این امکان برای مخازن خصوصی و امکانات پیشرفته رایگان نیست.
@offsecmag
این امکان برای مخازن خصوصی و امکانات پیشرفته رایگان نیست.
@offsecmag
چیزی که باید با ظهور مدلهای یادگیری ماشین، گستردگی بیشتری پیدا کنه، جمعآوری یا انتشار دادههای مختلف در بازههای زمانی و خوشهبندیهای مختلفه. با تحلیل اینجور دادهها میتونیم نتایج مختلفی ازش برداشت کنیم و پیشبینیهای گوناگونی بسته به نیاز انجام بدیم. توی این کیس، تیم flaws.cloud همین کارو کرده و دادههای حملات ابری تحت AWS رو از سه سال قبل انتشار داده و نتایج جالبی هم گرفته.
@offsecmag
@offsecmag
اپهای موبایلی اپل (iOS) عموما بخاطر تحریمها در ایران بهشون کم توجه میشه. متاسفانه بخاطر همین مسائل، امنیت این اپها هم اغلب با بیتوجهی روبرو میشه. شاید دقت کرده باشید که اپها در حالاتی، فایلهایی تولید میکنن که ازشون شاید در وهلهی اول سر در نیاریم. حالا یا بعلت نوع خاص رمزنگاریشون یا Enconding. در اینجور موارد مهاجم میتونه با عملیاتی نسبتا ساده مثل تحلیل ایستا، یا اگر چنانچه از این مسیر به نتیجهش نرسه، با انجام تحلیلی پویا میتونه تقریبا به مقصودش برسه. توی این مورد، تحلیلگر به زیبایی اپ Kindle آمازون برای کتابهای مجازی رو با روشهایی که گفتیم بررسی کرده و نهایتا با تحلیل پویا و استفاده از یک متد آبجکتی که پیدا میکنه (که در اصل برای ترجمهی خودکار متون بوده) تونسته از مطالب کتابها دامپ بگیره و به محتوای اونا دسترسی داشته باشه.
@offsecmag
@offsecmag
🔺مهم: گمانهزنیهای حملات سایبری دیروز و امروز بر زیرساخت ایران
وقتی آسیبپذیری جدیدی خصوصا روی سرورهای ویندوزی میاد، لزوما مایکروسافت بطور آنی یا حتی در طی ماهها بهروزرسانی نمیده و بعضا راه حل دمدستی پیشنهاد میکنه. دیروز و دو-ماه پیش آسیبپذیریهایی حیاتی از پروتکل NetLogon و پشتهی TCP/IPویندوز سرورها گزارش شده که حالا ظاهرا اثراتش رو در حملات وسیع باجافزاری در شبکههای زیرساختی ایران داره نشون میده. اگر احیانا در سازمان شما اختلالی ایجاد شده و یا نگرانید که اختلالی ایجاد نشه، میتونید به رایگان از کارشناسان آفسک مشاوره بگیرید:
cert -at- offsec -dot- ir
@offsecmag
وقتی آسیبپذیری جدیدی خصوصا روی سرورهای ویندوزی میاد، لزوما مایکروسافت بطور آنی یا حتی در طی ماهها بهروزرسانی نمیده و بعضا راه حل دمدستی پیشنهاد میکنه. دیروز و دو-ماه پیش آسیبپذیریهایی حیاتی از پروتکل NetLogon و پشتهی TCP/IPویندوز سرورها گزارش شده که حالا ظاهرا اثراتش رو در حملات وسیع باجافزاری در شبکههای زیرساختی ایران داره نشون میده. اگر احیانا در سازمان شما اختلالی ایجاد شده و یا نگرانید که اختلالی ایجاد نشه، میتونید به رایگان از کارشناسان آفسک مشاوره بگیرید:
cert -at- offsec -dot- ir
@offsecmag
تعداد رمزارزها و استارتاپهای حول رمزارز داره از تعداد آدمها بیشتر میشه و این موضوع جای سوء استفاده رو به شکل بدی باز میکنه. خوبه که فعالین و علاقمندان به امنیت سایبری در این زمینه هم بتونن توانمند شن و دستی بر قضا داشته باشن. اپی طراحی شده که مختص رمزارز و مکانیزمهای اونه. منتها بهقصد آسیبپذیر! هدف این نوع اپها اینه که آدم بتونه با تهدیدات و آسیبپذیریهای اون حوزه آشنا بشه و عملا درشون تجربه کسب کنه. این اپ حاوی چالشهاییه که از رمزنگاری پایه، مکانیزمهای ناقص و آسیبپذیر تولید مقادیر تصادفی، هشسازی سست، عملیات منطقی نادرست، مدلهای ناقص رمز کردن دادهها، تشخیص بردار مقداردهی مدلهای رمزنگاری و.. رو برای حل و یادگیری شامل میشه.
@offsecmag
@offsecmag
توی تست و نفوذ به اپهای اندرویدی، ما دو شیوه داریم: تحلیل ایستا و پویا
تحلیل ایستا رو فعلا نادیده بگیرید. یکی از سادهترین، سرراستترین و سریعترین روشهای تحلیل و عملیات پویا، استفاده از ابزار Frida هست. قبلا یک مورد از هک اپ بانکی رو با استفاده از این ابزار معرفی کردیم. حالا در این ویدئو میتونید کاملتر در مورد این ابزار و روشهای عملی استفاده از اون در موارد مختلف کشف باگ بدونید. اول مثال از دور زدن یه نوع Root Detection میزنه، بعدش به مثالهای کاربردی میرسه که فهم الگوی تولید مقادیر تصادفیه که با آیدی مشتری مطابقت داده میشه، و بعد میرسه به یه اپی که باید الگوی رمزنگاریش رو بفهمیم.
@offsecmag
تحلیل ایستا رو فعلا نادیده بگیرید. یکی از سادهترین، سرراستترین و سریعترین روشهای تحلیل و عملیات پویا، استفاده از ابزار Frida هست. قبلا یک مورد از هک اپ بانکی رو با استفاده از این ابزار معرفی کردیم. حالا در این ویدئو میتونید کاملتر در مورد این ابزار و روشهای عملی استفاده از اون در موارد مختلف کشف باگ بدونید. اول مثال از دور زدن یه نوع Root Detection میزنه، بعدش به مثالهای کاربردی میرسه که فهم الگوی تولید مقادیر تصادفیه که با آیدی مشتری مطابقت داده میشه، و بعد میرسه به یه اپی که باید الگوی رمزنگاریش رو بفهمیم.
@offsecmag
This media is not supported in your browser
VIEW IN TELEGRAM
حاج دونالد: «هیچکس هک نمیشه. واسه هک شدن به یه آدم با آیکیو ۱۹۷ نیاز دارین و اون ۱۵٪ رمزتون رو لازم داره»
@offsecmag
@offsecmag
کشف خودکار باگها و آسیبپذیریها از پروتکلهای شبکهها (فازر AFLNet)
در ابتدا، اگر به این موضوعات علاقه دارید پیشنهاد میکنیم این رشته مطلب از آفسک رو بخونید.
ابزارهای خودکار کشف باگ (فازرها) معمولا یک ورودی (مثل یک فایل، فرضا word.exe) رو از ما میخوان. در مورد پروتکلهای شبکه این قضیه صدق نمیکنه. چرا که برخلاف پروتکل HTTP که بیحالته (Stateless)، بیشتر پروتکلهای شبکه، حالتدار (Stateful) هستن. حالتدار بودن به معنای ساده یعنی اطلاعات فرستنده و وضعیت یه جایی ذخیره میشه. از اونجایی که در پروتکلهای حالتدار، سرور «زنجیرهای» از پیامها رو دریافت میکنه و برمبنای «ورودی جاری» و «حالت فعلی برنامه» رفتار میکنه، فازرهای کلاسیک برای هندل کردن این زنجیره، ناقصن. بنابراین به یه فازری نیازه که بجای یک ورودی، چندین ورودی بگیره و طبق قاعدهی پروتکلهای شبکه، ترتیب ورودیها (پیامها) و حالت جاری سرور براش مهم باشه. خاصیت فازر AFLNet اینه که نیاز به مشخص کردن نوع پروتکل نیست و گرامری برای پیامهام نمیخواد. بعنوان یک Client رفتار میکنه که داره به سرورها پیامهایی رو ارسال میکنه.
@offsecmag
در ابتدا، اگر به این موضوعات علاقه دارید پیشنهاد میکنیم این رشته مطلب از آفسک رو بخونید.
ابزارهای خودکار کشف باگ (فازرها) معمولا یک ورودی (مثل یک فایل، فرضا word.exe) رو از ما میخوان. در مورد پروتکلهای شبکه این قضیه صدق نمیکنه. چرا که برخلاف پروتکل HTTP که بیحالته (Stateless)، بیشتر پروتکلهای شبکه، حالتدار (Stateful) هستن. حالتدار بودن به معنای ساده یعنی اطلاعات فرستنده و وضعیت یه جایی ذخیره میشه. از اونجایی که در پروتکلهای حالتدار، سرور «زنجیرهای» از پیامها رو دریافت میکنه و برمبنای «ورودی جاری» و «حالت فعلی برنامه» رفتار میکنه، فازرهای کلاسیک برای هندل کردن این زنجیره، ناقصن. بنابراین به یه فازری نیازه که بجای یک ورودی، چندین ورودی بگیره و طبق قاعدهی پروتکلهای شبکه، ترتیب ورودیها (پیامها) و حالت جاری سرور براش مهم باشه. خاصیت فازر AFLNet اینه که نیاز به مشخص کردن نوع پروتکل نیست و گرامری برای پیامهام نمیخواد. بعنوان یک Client رفتار میکنه که داره به سرورها پیامهایی رو ارسال میکنه.
@offsecmag
اگر آفسک را دوست دارید، این فراخوان را به هرکسی که میشناسید و در او استعدادی میبینید ارسال کنید.
@offsecmag
@offsecmag
🔺متاسفانه یکی از سازمانهایی که در حملات زیرساختی هفته پیش درگیر شده بود، حالا تمامی اطلاعات حساس مالی و هویتی آن در اینترنت منتشر شده. برای کمینهسازی اینگونه حملات میتوانید مشاوره رایگان را از کارشناسان آفسک جویا شوید:
cert -at- offsec -dot- ir
@offsecmag
cert -at- offsec -dot- ir
@offsecmag