#APT-C-50 #Domestic #Kitten
شرکت 360 که یک شرکت امنیتی در کشور چین است فاش کرده که گروه های ضد دولتی در خاورمیانه هستند که قصد آشوب مسلحانه دارند, که البته مستقیما به اسم ایران اشاره نداشته اند اما از شواهدی که پیداست مربوط به گروه های خاصی در کشور هستند, نام Kitten یکی از نام های مستعار مورد استفاده تیم های تهاجمی در ایران است،

این تیم که با نام Domestic Kitten در گزارش معرفی شده, اقداماتی رو در خصوص شناسایی نهادهای زیر مجموعه سپاه پاسداران, نیروی انتظامی و صدا و سیما های استانی انجام داده و در همین راستا از دو برنامه اندرویدی با نام های کوروش کبیر و رستوران محسن استفاده میکرده,

که البته هسته بدافزار استفاده شده از محصولی تجاری وام گرفته شده با نام kidlogger که یک C&C همه جانبه است, این شرکت چینی اعلام کرده که با مهندسی معکوس به منبع ارسالی اطلاعات دست پیدا کرده و همونطور که مشاهده میکنید بسیاری از شناسایی های انجام شده رو بدست آورده,

رستوران محسن طرف قرارداد بسیاری از نهادهاست و از این روی کیس مناسبی برای پخش جاسوس افزار برای افرادی خاص و پیرو اون اطلاعاتی خاص تر بوده است,

REF
@Unk9vvN

#Attacking_SSL_VPN_2 with #APT_39
ادامه پست قبلی, تشریح آسیب پذیری ها, اپلی آسیب پذیری Format String هستش که در سرویس GlobalProtect بوده که در URI و پارامتر زیر آسیب پذیری رخ داده

POST /sslmgr HTTP/1.1
Host: global-protect
Content-Length: 36

scep-profile-name=%n%n%n%n%n...

که در تابع ‍‍‍‍snprintf که یک تابع لینوکس بیس هستش به صورت سفارشی استفاده شده بوده, که با CVE-2019-1579 ثبت شده, اما آسیب پذیری دوم Heap Overflow هستش که در قسمت پارسر کدهای جاوا اسکریپت رخ داده که تابع memcpy محدود نشده و پارامتر js_buf مستقیم مقادیر خودش رو به تابع ارسال میکرده و از اونجا که اندازه بافر 0x2000 ثابت هستش و رشته ورودی نامحدود موجب سرریز شده است,

memcpy(buffer, js_buf, js_buf_len);

محقق توضیح میده که از این آسیب پذیری به ۵ دلیل تکنیکی نمیتونه استفاده کنه و بصورت خلاصه عرض کنم که با بررسی ساختار یکی از توابع داخلی برنامه با نام ()SSL_do_handshake متوجه میشه که یک آسیب پذیری در allocator متغییر داخلی وجود داره که با استفاده از سر ریز کردن پردازش جاوا اسکریپت میتونه در حافظه هیپ اون رو باز نویسی کنه.

@Unk9vvN

#APT_Hunter
یه محقق به اسم ahmedkhalief یه کار زیبا کرده به نظرم در عین سادگی بسیار کارآمده, شکار تهدیدات یک وظیفه در خصوص سرپرست های مرکز کنترل امنیت حساب میشه که عامل تعیین کننده ای در خصوص کشف حملات رخدادی هستش,

از طرف دیگه نرم افزارهایی که در این خصوص فعال میشوند گاه بسیار عمل مانیتوریگ رو پیچیده و پر زحمت میکنند, از این روی ابزار این محقق بسیار گزینه ساده و در عین حال کار آمدی حساب میشه, تصاویری که مشاهده میکنید نشان دهنده بخشی از عملکرد یک ابزاره که در قدم اول تمامی COM Object ها و مخازن Log آنهارو بدست آوردی و در کد بعدی تعریف شده که در آنها جستجو و Pattern های خاصی که مدنظر هستش نمایان بشه,

اینجا محقق نیومده مستقیما خودش با استفاده از هوش مصنوعی عمل رهگیری رو انجام بده, و صرفا خواسته مواردی و دستوراتی که بعضا بر بستر COM Object که از حساسیت بالایی برخورداره رو برای ما به نمایش دربیاره, حالا اینکه Hunter باید تشخیص بده که استفاده ای از اون COM Object بصورت خطرناک بوده یا نه یک رفتار عادی بوده است...

https://github.com/ahmedkhlief/APT-Hunter
@Unk9vvN

#Maher IR vs #Cyber_Defense US
بد نیست کمی اطلاعات آماری سازمان های متولی بحث امنیت دفاعی رو ببینیم و ببینیم که بازه عملکردی اونها تا کجاس،

قبل از این موضوع، جالبه که بدونید 67 گواهی محصول داخلی در حوزه محصولات امنیت داده شده که در نوع خودش جالبه چرا که نماوای این محصولات بعضا در دسترس نیست و نمیشود ارزیابی کیفی و عمکردی کرد تا نقاط ضعف و قوت آنها را شناخت،

اما در خصوص عملکرد مرکز ماهر هم اطلاعاتی به چشم میخوره که بازه عملکردی رو میتونید مشاهده کنید آیا مرکز ماهر در خصوص 303873 هزار نقطه آلوده، IOCs هایی هم منتشر کرده؟ تا در رویکرد های تکنیکی #CTI هم بشود از آنها استفاده کرد؟

یا در خصوص حملات سطح پیشرفته یعنی #APT چه TTPs هایی رو منتشر داشته این مرکز؟ همونطور که میدونید بزرگترین دغدغه های حملات سایبری حملات پیشرفته میباشد نه صرفا بات و RAT و دیگر موارد سطح معمول

آیا ما در خصوص شکار حملات سایبری سطح کشوری که بعضا کشورهای دیگر گزارشات Forensic و مفصلی رو منتشر میکنند ما هم اینگونه گزارشات رو از شرکت های داخلی یا مراکز حاکمیتی میبینیم؟

امیدوارم رویکردهای سایبری کشور بروز شود.

@Unk9vvN

#APT_39 #Fox_Kitten
در جریان حمله APT 39 که منتسب به یک تیم ایرانی است نکات جالبی نهفته است که به برخی از آنها اشاره میکنم،

تصویر اول نشان دهنده مراجع مورد حمله قرار گرفته شدست که توضیح راجبش نمیدم مشخصه، اما در تصویر دوم زنجیره ارتباطات و Exfiltrate های مورد استفاده کاملا مشخصه که درش سه وبسرویس مورد استفاده قرار گرفته،

در تصویر سوم مشاهده میشه که فرایند ایجاد Tunnel برای بعد از مرحله Lateral Movement زده شده که از پروتکل RDP بر بستر SSH استفاده شده تا به نوعی از نظارت ها یا محدودیت های پروتکل RDP فرار صورت بگیره، یک تکنیک هوشمدانس در این خصوص،

اما در تصویر چهارم سه آسیب پذیری مورد استفاده دیده میشه که از تحقیقات Orange Tsai بصورت One Day بهره برداری شده، نوع آسیب پذیری ها اینطوره که سرویس دهنده های VPN نسبت به مقادیر ارسال بر مبنای وبسرویس آسیب پذیری هایی داشته اند مانند Path Traversal یا Format String که موجب اجرای کد بصورت Unauthenticated میشود،

در تصویر پنجم میبینیم که استفاده از سرویس Serveo که یک Forward پروتکل SSH و Ngrok برای RDP استفاده شده در تصویر شش ابزارهای مورد استفاده دیده میشه.

@Unk9vvN

#Threat_Hunting #BLUESPAWN
در سالهای اخیر فعالیت های زیادی در خصوص رهگیری و شکار حملات سطح پیشرفته یا #APT انجام شده که پاشنه آشیل تمامی آنها رفتارشناسی حمله هستش که به اختصار به آن #TTPs گفته میشه،

یکی از روش هایی که تیم های آبی برای نا کارآمد کردن تکنیک ها و تاکتیک های مورد استفاده قرار گرفته شده ای تیم های APT این هستش که آن تکنیک مستند شده و الگو رفتاری اون بر مبنای حالا اگر COM Object یا بر مبنای Memory ، شناسایی و اصطلاحا شکار بشه،

در این خصوص ابزار هایی طراحی میشه که این TTP ها را بواسطه مستندات MITRE ATT&CK دریافت کرده و مخازن لاگ و پروسس های فعال و وضعیت پیکربندی سیستم عامل ، اسکن کرده و وضعیت سیستم عامل رو به شما اعلام خواهد کرد،

این روش در خصوص ایجاد TTP های اختصاصی از حملات رخداده شده در یک سازمان میتواند بسیار کار آمد باشد چرا که سریعا بدون نیاز به نرم افزار های حجیم و پر درد سر، حمله رو در سیستم ها و شبکه های دیگر سازمان پیدا و مشخص نمود.

در تصویر اول پالایش اتفاق افتاده در تصویر دوم ایرادات پیکربندی که وجود داره رو Audit کرده...

https://github.com/ION28/BLUESPAWN
@Unk9vvN

#Iranian #APT #MuddyWater Target #Turkish
اخیرا تیم MuddyWater که منتصب به دستگاه نظارتی ایران است، اقدام به هدف قرار دادن کاربران ترکیه کرده است، این نفوذ مبتنی بر فایل فرمت PDF بوده که قربانیان رو مجاب به کلیک بر پیام مهندسی اجتماعی خود میکنه، و اینطور اولین مرحله زنجیره حمله رخ میده،

در اولین قدم بعد از کلیک بر گزینه دانلود، ارتباط با یک سرور اشتراک گذاری فایل، فایل هایی با فرمت XLS که از خانواده Excel هستند دریافت میشه این فایل ها دارای محتواهایی به زبان ترکی است که شبیه سازی اسناد مشروع وزارتخانه بهداشت است.

در قدم بعدی مایکروهایی که در XLS قرار داده شده به اجرا در آمده و کلید Reg برای ماندگاری در سیستم تنظیم میگردد و بعد از آن یک درخواست به canarytokens.com زده میشود بواسطه توکن از قبل تعریف شده ای Stage های بعدی زنجیره حمله دانلود میشود که فایل های مبهم سازی شده پاورشل پایه هستند.

اما در ادامه فایل VBS دانلود شده مامور اجرای فایل PS1 شده که خود فایل PS1 اقدام به دانلود دیگری که پیلود اصلی است خواهد کرد و بعد از دانلود آنرا اجرا میکند.

Reference
@Unk9vvN

#IoB #APT #Iranian
شاخه رفتاری چیست؟ شاخصه رفتاری یا Indicator of Behavior به معنی رصد و شناسایی ای است که، مبتنی بر رفتار تاکتیکی و تکنیکی کد مندرج در فایل های مخرب (IoC) قرار دارد.

گاه مهاجمان #APT اقدام به رفتار غیر حرفه ای می‌کنند و کد های مورد استفاده در حملات خود را در فضاهای عمومی مثل gist یا pastebin و غیره، که با نام مستعار یا حساب کاربری اصلی خود فعال است، منتشر می‌سازند.

همین موضوع موجب شناسایی اونها بدست شرکت های فعال در حوزه جرم شناسی دیجیتال میشود، برای مثال در گزارش شرکت cybereason یکی از نام هاي کاربری مورد استفاده مهاجم را بررسی کرده و نمونه کد منتشر شده بدست وی را با معادل آن در فایل های مخرب استفاده شده در حمله تطبیق داده و از این روی منشع حمله و کشور آنرا شناسایی کرده است.

https://www.cybereason.com/blog/research/powerless-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage
@Unk9vvN

#VECTR #PurpleTeam #Simulation
همونطور که میدونید، تیم های بنفش، به تیم هایی گفته میشه که در اصل مختصص تیم قرمز هستند و همچنین تخصص های تیم آبی رو هم فرا گرفته اند برای عملیات شکار تهدید، بازبینی مکانیزم های دفاعی و تحلیل رفتار های تکنیکی تاکتیکی مهاجمان.

در این خصوص یه پلتفرمی وجود داره با نام VECTR که میتونه با استفاده از پتانسیل شبیه سازانی همچون Atomic-RedTeam ، این امکان رو فراهم کنه که متخصصین امنیت دفاعی سعی در شبیه سازی رفتار تکنیکی تاکتیکی مهاجمین #APT کنند، البته طبق مستندات MITRE ATT&CK و با استفاده از این شبیه سازی، بیان ببینن مکانیزم های دفاعی سیستم عامل میتونه نواقصی رو در فرایند تشخیص و محافظت داشته باشه یا نه.

همچنین در کنار این شبیه سازی شما میتونید پایش شاخصه های حمله رو هم در سیستم عامل داشته و چارت آماری دقیق و کاملی رو از این پلتفرم دریافت نمایید.

https://docs.vectr.io/Installation/
https://github.com/SecurityRiskAdvisors/VECTR
@Unk9vvN

#Mosesstaff #Iranian #APT #Ransomware
دو گزارش از شرکت های CheckPoint و Cybereason در خصوص TTP حملات تیم ایرانی عصای موسی به قربانیان خود منتشر شده که دارای نکات جالبی هستش، در گزارش مطرح شده که این تیم برای ایجاد دسترسی، از آسیب پذیری ناشناخته ای که در خصوص سرورهای ME Exchange استفاده کرده.

اما رفتار تکنیکی تاکتیکی دیگری که در تیم عصای موسی مطرح بوده، استفاده از ابزارهای PsExec، WMIC و Powershell در خصوص جا به جایی در سیستم ها بوده، همچنین در مرحله Impact حمله این تیم از ابزار عمومی DiskCryptor استفاده کرده در راستای رمزنگاری فایل ها و قفل گذاری بر روی Bootloader سیستم قربانی. مورد بعد استفاده از Webshell مبهم سازی شده که با رمزی Hash شده محافظت می شده و مهاجم میبایست رمز رو بصورت MD5 وارد میکرده تا وارد Webshell بشه.

اما نکته مهم استفاده از درایور DCSrv.sys به عنوان یک Rootkit و PyDCrypt به عنوان بستر ساز کل عملیات و تعامل با C2 که به زبان Python و با PyInstaller اون رو Compile و با سوئیچ key— براش رمزی قرار داده میشه و نهایتا اون رو اجرا میکنه...

@Unk9vvN