#Inceptor #AV and #EDR Bypasses
در ابزار Inceptor روش هایی در خصوص ویژگی های مورد استفاده مکانیزم های دفاعی مطرح شده که نگاه به عملکرد اونها خالی از لطف نیست

همچنین روش های دور زدن مکانیزم های شناسایی کننده هم مطرح شده که شاخص ترین اونها بحث استفاده از مبهم سازی، تکنیک Patching که در خصوص تغییر نتایج پایش AMSI بر روی حافظه بوده و یا تکنیک هایی که موجب دور زدن Sandbox میشه، مانند چک کردن ENV ها، نام ها هش Sections ها و مواردی از این دست

موضوعی که در این ابزار جالبه توضیح نحوه کارکرد EDR هاست که تکنیک هایی براش مطرح شده مثل استفاده یک پردازش از توابع سیستمی سمت کاربر، یک Hook به DLL مربوط به پردازش EDR زده شده و ورودی های مربوط به اون تابع سیستمی که مورد بررسی قرار میگیره

حالا محقق بیان میکنه که فرایند فراخوانی یک توابع API سیستم عامل تا ساختمان سطح هسته، یک زنجیره ی Native هستش که اگر مهاجم روال مرسوم این زنجیره رو بشکنه و مستقیما به ساختمان توابع مربوط دسترسی بگیره، امکان مانیتور شدن اون تابع سیستمی توسط EDR میتونه از بین هم بره.
@Unk9vvN
#MERCURY #Log4j Targeting #Israel Organizations
در جریان پیدا شدن آسیب پذیری log4j تیم های تهاجمی در سراسر دنیا شروع به پایش محصولاتی کردند که از کتابخونه Log 4 Java که محصول Apache هست، پیدا کنند...

یکی از موارد معروفی که در اثر استفاده از این کتابخانه مورد حمله قرار گرفت محصولات VMware بود، اما در تهاجمی که اخیرا بر روی ارگان های دولتی کشور جعلی اسرائیل رخ داد، محصولی مورد حمله قرار گرفت با نام SysAid که بر بستر های این کشور مورد استفاده قرار میگرفته و دارای کتابخونه آسیب پذیری Log4j بوده...

اما نکات جالبی راجب خود #APT اتفاق افتاده. اول اینکه بعد از ایجاد دسترسی بواسطه آسیب پذیری، مهاجمان اقدام به اجرای کد مبتنی بر Webshell کردند و بواسطه cmd.exe و net.exe فرمان هایی رو برای ایجاد یک کاربر در localgroup انجام دادند.

مورد بعدی که جالبه، استفاده از Mimikatz برای دزدیدن Credentials بوده برای Lateral Movement و دسترسی به DC و SQL Server، همچنین به وسیله سرویسی در خود سیستم عامل که با نام vpnui.exe موجوده، یک دسترسی Remote Desktop Management بواسطه محصولی تجاری زده شده با نام eHorus !

@Unk9vvN
What are #Chipkits ?
با گسترده شدن سطح حملات، امروزه سطوح جاسازی جاسوس افزارها همواره به لایه های دست نیافتنی تر و پایین تر پیش میرود

در گذشته ما با دو نوع معروف از جاسوس افزارها که به نام های Rootkit و Bootkit پیاده سازی میشد آشنا بودیم، اما اخیرا در گزارشاتی که در کنفرانس بلکهت 2022 ارائه شد، مفهوم جدید تری در خصوص جای گزاری جاسوس افزار و یا در پشتی مطرح شده است با نام Chipkit

در اصل Chipkit به گونه ای از بدافزارها گفته میشود که در لایه Silicon و بر روی خود تراشه تاثیر میگذارد، همچنین این سبک بدافزارها همواره از آسیب پذیری های سطح پردازنده هم بهره گرفته و در راستای انجام فرامین خود بکار میگیرند

یکی از این آسیب پذیری های شایع Fault Injection یا تزریق خطا است که محاسبات زمانبندی پردازنده را هدف قرار داده و موجب پرش اشتباه یا رفتار اشتباه در پردازنده میشود...

شرکت Intel در ابتدا برای کاهش حملات به پردازنده از ویژگی جدید خود با نام CSME رو نمایی کرد که متاسفانه در مقابل Chipkit ها نمیتواند میزان اثر بخشی بدافزار را کاهش دهد، از این روی اعتبار سنجی زمانبندی ها در مدار تراشه به درستی اعمال نمیشود.

@Unk9vvN
#Content #Strategy #Penetration_Testing #Courses
استراتژی محتوایی دوره های آموزش بخش تست نفوذ تیم تحقیقاتی Unk9vvN منتشر شد، قراره که در خصوص هریک از عناوینی که در Syllabus دوره ها مطرح میشه، از جنبه هایی بهش پرداخته بشه که در تصویر مطرح شده

امکان اینکه این استراتژی در خصوص تمامی آسیب پذیری ها مطرح باشه نیست، چرا که برخی آسیب پذیری ها دارای تمامی جنبه های مطرح شده نیستند، برای مثال مباحث Misconfiguration دارای ابعاد Obfuscation نیستند، اما در خصوص موضوعاتی دیگر مثل Insecure Deserialization نه تنها جنبه های مطرح شده در استراتژی محتوای وجود داره بلکه حجم مطالبش هم بسیار بالاست

این سیاست که به تمامی جنبه های آسیب پذیری ها، تکنیک ها و تاکتیک ها پرداخته بشه هم، به این دلیله که امروزه حجم اطلاعات در حوزه های تست نفوذ بسیار وسیع تر شده و توانمندی در گِروی اشراف کامل علمی دانشجو میتونه قرار داشته باشه

کلیت استراتژی شامل این چهار مورد است:

1.فهم چرایی رخداد آسیب پذیری
2.کشف آسیب پذیری بصورت Black Box
3.کشف آسیب پذیری بصورت White Box
4.پیاده سازی مبهم سازی ها
5.طراحی اتوماسیون و زنجیره کردن آسیب پذیری ها

@Unk9vvN
Attacks on #ETW Blind #EDR Sensors
مکانیزم ETW در سیستم عامل ویندوز مامور جمع آوری و ثبت رویداد هاست، در تصویر شماره 0 ویژگی ها و مناطق مورد پوشش ثبت رویدادی اون رو میتونید مشاهده کنید.

از این روی داده های مورد نیاز سامانه های EDR برای تحلیل رفتار و کشف رفتارهای مخرب وابسته به ETW است، در تصویر شماره 1 میتونید مقالاتی که در خصوص شناسایی رفتارهای مخرب بدافزارها مبتنی بر ETW طراحی شده رو مشاهده کنید.

در تصویر شماره 2 مشاهده میکنید که چه حملات APT در TTP حمله خودشون اقدام به از کار انداختن یا نامحسوس کردن حمله خودشون در مقابل ETW کردند.

اما در تصویر 3 و 4 میتونید تکنیک های حمله به ETW در سطح User-Mode و Kernel-Mode رو مشاهده کنید که عموما مبتنی بر Patch کردن داده ها در سطح حافظه و Hook Functions و Call Functions اقدام به Disable کردن سرویس کرده.

در تصویر شماره 4 مدل تهدیدات قابل انجام به ETW، ترسیم شده که مهاجمان چگونه میتونن بواسطه یک Driver مخرب در سطح هسته اقدام به Patching و تغییر در فرایند دریافت Buffer از نشست های ایجاد شده ی ETW داشته باشند.

Reference
@Unk9vvN
#StarLink #Internet
اینترنت ماهواره ای برای ایران در حال فعال شدنه و با محقق شدن این رویداد، ما فصل جدیدی از اینترنت رو تجربه خواهیم کرد.

اثر این تحول محدود به رفع فیلترینگ نیست و میتونه بسیاری از ابعاد دیگه فضای فناوری اطلاعات رو تغییر بده، این تغییر هم جنبه های مثبتی داره مثل تسهیل خدمات در تمام نقاط یک کشور که بواسطه کیفیت خوب سرعت موجب میشه مردم بتونن از خدمات دنیای ارتباطات بهتر استفاده کنند و همچنین از بین رفتن تمام محدودیت ها در خصوص دسترسی به سرویس دهنده های خارجی مانند Youtube و غیره.

جنبه های منفی اون هم اینه که بدلیل محقق شدن یک ارتباط سراسری و یکپارچه بدون هرگونه محدودیت، حملات سایبری بسیار اثر بخشتر و موثر تر اتفاق خواهد افتاد اما نکته کلیدی اینه که اینترنت StarLink نیاز به یک دریافت کننده زمینی داره که بواسطه اونها میبایست دستگاه های خانگی، اینترنت رو دریافت کنند این ایستگاه ها تا شعاع 500 کیلومتر رو پوشش خواهند داد که قراره در خاورمیانه نصب بشه.

https://www.starlink.com
@Unk9vvN