#RedTeam #Assessments
در خصوص تیم قرمز بارها بصورت نکته ای صحبت کردیم اما در این پست کمی دقیقتر به ماهیت تخصصی این تیم میپردازیم, تیم قرمز از یک لایف استایل اشتراکی بهره میبره که در تمامی شرکت ها یک تعریف کلی داره, که آنهارا ذکر میکنم,
#0x1 Recon
#0x2 Inital Compromise
#0x3 Establish Persistence
#0x4 Escalate Privileges
#0x5 Internal Recon
#0x6 Lateral Movement
#0x7 Data Analysis
#0x8 Exfiltrate and Complete Mission
در خصوص تمامی این مراحل میتوان ساعت ها صحبت کرد اما نکته ای که بسیار مهم است ذکر شود این است که تیم های قرمز دقیقا به سبک تیم های #APTs عمل میکنند و تمام تلاش تیم قرمز بر آن است که تمامی پروسه ۰ تا ۱۰۰ نفوذ را با استفاده از روش های نوین خود پیاده سازی کند, میتوانید عملکرد تیم های #APTs رو با استایل تیم قرمز مقایسه کنید.
https://github.com/Cyb3rWard0g/Invoke-ATTACKAPI/raw/master/examples/ATTACK_Attribution.xlsx
https://github.com/Cyb3rWard0g/Invoke-ATTACKAPI/raw/master/examples/ATTACK_ALL.xlsx
@Unk9vvN
در خصوص تیم قرمز بارها بصورت نکته ای صحبت کردیم اما در این پست کمی دقیقتر به ماهیت تخصصی این تیم میپردازیم, تیم قرمز از یک لایف استایل اشتراکی بهره میبره که در تمامی شرکت ها یک تعریف کلی داره, که آنهارا ذکر میکنم,
#0x1 Recon
#0x2 Inital Compromise
#0x3 Establish Persistence
#0x4 Escalate Privileges
#0x5 Internal Recon
#0x6 Lateral Movement
#0x7 Data Analysis
#0x8 Exfiltrate and Complete Mission
در خصوص تمامی این مراحل میتوان ساعت ها صحبت کرد اما نکته ای که بسیار مهم است ذکر شود این است که تیم های قرمز دقیقا به سبک تیم های #APTs عمل میکنند و تمام تلاش تیم قرمز بر آن است که تمامی پروسه ۰ تا ۱۰۰ نفوذ را با استفاده از روش های نوین خود پیاده سازی کند, میتوانید عملکرد تیم های #APTs رو با استایل تیم قرمز مقایسه کنید.
https://github.com/Cyb3rWard0g/Invoke-ATTACKAPI/raw/master/examples/ATTACK_Attribution.xlsx
https://github.com/Cyb3rWard0g/Invoke-ATTACKAPI/raw/master/examples/ATTACK_ALL.xlsx
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Office_Macro #Spoof #Parent_Processes and #Command_line argv
اگر در خصوص حملات #APTs تحقیقاتی کرده باشید میدانید که بسیاری از آنها بر مبنای مهندسی اجتماعی فایل فرمت هایی مانند فرمت های محصولات #Office ماکروسافت هستند، از این روی بحث رهگیری #Macro های مخرب برای محصولات #EDR بسیار مهم و حیاتی هستش، و یکی از روش های رهگیری این #Macro ها بررسی Parent های پراسس برنامه هستش، و همچنین CommandLine که در Sysmon Event سیستم عامل ثبت میشه،
یک محقق با استفاده از زبان VBA که هم پشتیبانیش برای Macro نویسی در آفیس فراهمه هم میتوان با استفاده از آن با API Windows ارتباط برقرار کرد رو مورد استفاده قرار داده و با استفاده از تابع NtQueryInformationProcess آدرس ساختمان PEB رو بدست و با استفاده از تابع WriteProcessMemory اقدام و Overwrite کردن مقادیر CommandLine کرده،
همچنین با استفاده از OpenProcess که یک تابع خنثی برای #EDR ها محصوب میشه میشه، با این کار پراسس مثلا notepad ایجاد میشود اما با اجرای یک شلکد که بد از اجرا پارامترش Overwrite با یک کد خنثی خواهد شد.
https://github.com/christophetd/spoofing-office-macro
@Unk9vvN
اگر در خصوص حملات #APTs تحقیقاتی کرده باشید میدانید که بسیاری از آنها بر مبنای مهندسی اجتماعی فایل فرمت هایی مانند فرمت های محصولات #Office ماکروسافت هستند، از این روی بحث رهگیری #Macro های مخرب برای محصولات #EDR بسیار مهم و حیاتی هستش، و یکی از روش های رهگیری این #Macro ها بررسی Parent های پراسس برنامه هستش، و همچنین CommandLine که در Sysmon Event سیستم عامل ثبت میشه،
یک محقق با استفاده از زبان VBA که هم پشتیبانیش برای Macro نویسی در آفیس فراهمه هم میتوان با استفاده از آن با API Windows ارتباط برقرار کرد رو مورد استفاده قرار داده و با استفاده از تابع NtQueryInformationProcess آدرس ساختمان PEB رو بدست و با استفاده از تابع WriteProcessMemory اقدام و Overwrite کردن مقادیر CommandLine کرده،
همچنین با استفاده از OpenProcess که یک تابع خنثی برای #EDR ها محصوب میشه میشه، با این کار پراسس مثلا notepad ایجاد میشود اما با اجرای یک شلکد که بد از اجرا پارامترش Overwrite با یک کد خنثی خواهد شد.
https://github.com/christophetd/spoofing-office-macro
@Unk9vvN
#Javascript #Malware #Obfuscation
در بسیاری از حملات #APTs استفاده از Stage های مبهم شده بر بستر زبان هایی مانند Javascript بسیار میتونه در امر Evasion شدن پیلود مفید باشه,
در پیلود تصویر میبینید که چهار دامنه تعریف شده در متغیر x که یک حلقه for کام آبجکت WScript مامور ساخت یک آبجکت از روی MSXML2 میشه برای زدن Requset هایی به وبسایت های تعریف شده و دریافت Response از آنها و بعد از آماده سازی Response مقدار با مقدار متغیر m و نهایتا در تابع ()eval کد دریافتی اجرا شده و مرحله بعد Leteral Movement شرو ع خواهد شد,
دقت بفرمایید که حساسیت استفاده از COM Object ها در فرمت هایی مانند JS بسیار بالاست و این قبیل فرمت ها تحت نظر و برسی خواهند بود اما زمانی که بصورت مبهم سازی شده COM Object ساخته و عملیات مد نظر رو initialize کرده و جالب اینجاست که Stage اصلی از Response دریافت خواهد شد, این نکته بسیار در امر Evasion شدن پیلود موءثر بوده است...
https://medium.com/nodesimplified/obfuscation-what-is-obfuscation-in-javascript-why-obfuscation-is-used-f6a5f5bcf022
@Unk9vvN
در بسیاری از حملات #APTs استفاده از Stage های مبهم شده بر بستر زبان هایی مانند Javascript بسیار میتونه در امر Evasion شدن پیلود مفید باشه,
در پیلود تصویر میبینید که چهار دامنه تعریف شده در متغیر x که یک حلقه for کام آبجکت WScript مامور ساخت یک آبجکت از روی MSXML2 میشه برای زدن Requset هایی به وبسایت های تعریف شده و دریافت Response از آنها و بعد از آماده سازی Response مقدار با مقدار متغیر m و نهایتا در تابع ()eval کد دریافتی اجرا شده و مرحله بعد Leteral Movement شرو ع خواهد شد,
دقت بفرمایید که حساسیت استفاده از COM Object ها در فرمت هایی مانند JS بسیار بالاست و این قبیل فرمت ها تحت نظر و برسی خواهند بود اما زمانی که بصورت مبهم سازی شده COM Object ساخته و عملیات مد نظر رو initialize کرده و جالب اینجاست که Stage اصلی از Response دریافت خواهد شد, این نکته بسیار در امر Evasion شدن پیلود موءثر بوده است...
https://medium.com/nodesimplified/obfuscation-what-is-obfuscation-in-javascript-why-obfuscation-is-used-f6a5f5bcf022
@Unk9vvN
#Iranian #APTs
سوابق APT تیم های قرمز منتسب به دستگاه های ایرانی بسیار نکات تکنیکی رو با خودش به همراه داره که تراز فنی این دست تیم هارو در مقایسه با تیم های قرمز فعال در کشورهای دیگه مانند SpecterOps رو میتوان بدست آورد, از این روی کشور ما در عرصه تولیدات محتوا و ابزارها و مقالات دست اول کمبودهای بسیاری دارد و از این روی خلع خدمات تیم های قرمز حرفه ای در کشور احساس میشود,
عملکرد Red Teamer های ایران در پلن های مختلف زنجیره حمله مانند Internal Recon و Escalate Privileges تقریبا موارد یکسان و روش های در دسترسی استفاده کرده اند, از طرفی جامعیت اشراف اطلاعاتی از فضای تکنیکی تهاجمی و خلاقیت طراحی و کمی هنر در مبهم سازی و مهندسی اجتماعی تمیز عامل موقعیت این تیم ها بوده است,
مورد بعدی استفاده متعدد از الگوریتم DGA در خصوص Anti Forensic کردن ارتباط با CnC و البته در روش های دیگه استفاده از سرویس های DNS میانی بسیار قابل توجه هستش, استفاده از Exfiltration بر بستر DNS و RDP بسیار به چشم میخوره و همینطور Compress داده ها در Stage های مختلف...
https://github.com/RedDrip7/APT_Digital_Weapon/tree/master/APT34
@Unk9vvN
سوابق APT تیم های قرمز منتسب به دستگاه های ایرانی بسیار نکات تکنیکی رو با خودش به همراه داره که تراز فنی این دست تیم هارو در مقایسه با تیم های قرمز فعال در کشورهای دیگه مانند SpecterOps رو میتوان بدست آورد, از این روی کشور ما در عرصه تولیدات محتوا و ابزارها و مقالات دست اول کمبودهای بسیاری دارد و از این روی خلع خدمات تیم های قرمز حرفه ای در کشور احساس میشود,
عملکرد Red Teamer های ایران در پلن های مختلف زنجیره حمله مانند Internal Recon و Escalate Privileges تقریبا موارد یکسان و روش های در دسترسی استفاده کرده اند, از طرفی جامعیت اشراف اطلاعاتی از فضای تکنیکی تهاجمی و خلاقیت طراحی و کمی هنر در مبهم سازی و مهندسی اجتماعی تمیز عامل موقعیت این تیم ها بوده است,
مورد بعدی استفاده متعدد از الگوریتم DGA در خصوص Anti Forensic کردن ارتباط با CnC و البته در روش های دیگه استفاده از سرویس های DNS میانی بسیار قابل توجه هستش, استفاده از Exfiltration بر بستر DNS و RDP بسیار به چشم میخوره و همینطور Compress داده ها در Stage های مختلف...
https://github.com/RedDrip7/APT_Digital_Weapon/tree/master/APT34
@Unk9vvN
#Xmind #Easily Attack #APTs
در تصویر این پست یک نمونه از پیاده سازی حملات سطح پیشرفته رو میبینید که از ساده ترین روش ها و تکنیک ها در پلن های مختلف مورد نیاز خود استفاده کرده است و یک زنجره حمله پیاده سازی کرده، این تصویر نشون میده که نسبت به سطح دفاعی که در اهداف وجود داره، سطح پیشرفتگی حملات هم میتونه متغیر باشه، بنظر بسیاری از مراکزی که در کشور خود ما هستند این تکنیک ها جوابگو خواهد بود،
بحث شبیه سازی عملیات های تیم قرمز یکی از عوامل و خدماتی است که میتواند ارزیابی کیفی این موضوع رو انجام دهد و با تست و پیاده سازی تکنیک و تاکتیک های مختلف سطح آمادگی مرکز کنترل امنیت رو محک بزند،
در قسمت Lateral Movement اگر دقت کنید اشاره به بهره برداری از آسیب پذیری های سطح پروتکل شده که یکی Zerologon که مختص پروتکل HTTP هستش و دیگری EternalBlue که مختص پروتکل SMB بوده، مطرح شده، این بدین معنی خواهد بود که سیستم عامل های ویندوز 7 که اخیرا در حملات به کشور هک شدند میتونند از این نوع آسیب پذیری ها را دارا بوده باشند،
ارزیابی های سطح تیم قرمز همواره میتواند زوایای پنهان ایرادات یک سازمان را آشکار سازد.
@Unk9vvN
در تصویر این پست یک نمونه از پیاده سازی حملات سطح پیشرفته رو میبینید که از ساده ترین روش ها و تکنیک ها در پلن های مختلف مورد نیاز خود استفاده کرده است و یک زنجره حمله پیاده سازی کرده، این تصویر نشون میده که نسبت به سطح دفاعی که در اهداف وجود داره، سطح پیشرفتگی حملات هم میتونه متغیر باشه، بنظر بسیاری از مراکزی که در کشور خود ما هستند این تکنیک ها جوابگو خواهد بود،
بحث شبیه سازی عملیات های تیم قرمز یکی از عوامل و خدماتی است که میتواند ارزیابی کیفی این موضوع رو انجام دهد و با تست و پیاده سازی تکنیک و تاکتیک های مختلف سطح آمادگی مرکز کنترل امنیت رو محک بزند،
در قسمت Lateral Movement اگر دقت کنید اشاره به بهره برداری از آسیب پذیری های سطح پروتکل شده که یکی Zerologon که مختص پروتکل HTTP هستش و دیگری EternalBlue که مختص پروتکل SMB بوده، مطرح شده، این بدین معنی خواهد بود که سیستم عامل های ویندوز 7 که اخیرا در حملات به کشور هک شدند میتونند از این نوع آسیب پذیری ها را دارا بوده باشند،
ارزیابی های سطح تیم قرمز همواره میتواند زوایای پنهان ایرادات یک سازمان را آشکار سازد.
@Unk9vvN
#Social_Engineering #Iranian #APTs
تا الان صحبت از تکنیک های فنی تیم های ایرانی در حملات APT زیاد مطرح کردیم، اما راجب بخش اول این حملات یعنی مهندسی اجتماعی این حملات خیلی نپرداختیم.
در تصویر دوم اشاره شده که ایران دوبار حمله به برخی ارگان های اسرائیل کرده که شناسایی هم شده،
در تصویر سوم اشاره شده که اول قربانی که یک کارمند بوده در سازمان هدف، شناسایی شده و دپارتمان مربوطه مورد توجه قرار گرفته (شناسایی میدانی شده) و به همین منظور یک وبسایت Phishing برای دپارتمان این کارمند ساخته شده است.
اما تصویر ابزارهایی که استفاده شده هم دیده میشه که چون مهندسی اجتماعی مبتنی بر فایل فرمت Excel هستش و یک Macro مبهم سازی درش درج شده، به محض اجرای فایل اولین Stage حمله راه اندازی خواهد شد،
اما راجب تصاویر بعدی صحبتی نمیکنیم چون مشخصه و قبلا بهش پرداخته شده، اما به این نکته توجه کنید که اولا حمله مبتنی بر Excel بوده دوما بصورت هدفمند در معرض قربانی قرار گرفته، این نوع از شناسایی های میدانی برای تیم های دولتی امکان پذیره و نه هر تیم دیگری و این یک فاکتور تعیین کننده ای است.
Reference
@Unk9vvN
تا الان صحبت از تکنیک های فنی تیم های ایرانی در حملات APT زیاد مطرح کردیم، اما راجب بخش اول این حملات یعنی مهندسی اجتماعی این حملات خیلی نپرداختیم.
در تصویر دوم اشاره شده که ایران دوبار حمله به برخی ارگان های اسرائیل کرده که شناسایی هم شده،
در تصویر سوم اشاره شده که اول قربانی که یک کارمند بوده در سازمان هدف، شناسایی شده و دپارتمان مربوطه مورد توجه قرار گرفته (شناسایی میدانی شده) و به همین منظور یک وبسایت Phishing برای دپارتمان این کارمند ساخته شده است.
اما تصویر ابزارهایی که استفاده شده هم دیده میشه که چون مهندسی اجتماعی مبتنی بر فایل فرمت Excel هستش و یک Macro مبهم سازی درش درج شده، به محض اجرای فایل اولین Stage حمله راه اندازی خواهد شد،
اما راجب تصاویر بعدی صحبتی نمیکنیم چون مشخصه و قبلا بهش پرداخته شده، اما به این نکته توجه کنید که اولا حمله مبتنی بر Excel بوده دوما بصورت هدفمند در معرض قربانی قرار گرفته، این نوع از شناسایی های میدانی برای تیم های دولتی امکان پذیره و نه هر تیم دیگری و این یک فاکتور تعیین کننده ای است.
Reference
@Unk9vvN
#Office #Macro #Malware #APTs
بسیاری از حملات سطح پیشرفته رخداده مبتنی بر Macro هایی بوده است که بصورت یک Dropper یا به عنوان یک Downloader عمل کرده و Stage های مختلف یک بد افزار رو به سیستم قربانی انتقال داده است،
اما در سالهای اخیر از پتانسیل زبان VBA به جهت دستکاری یک Process یا تزریق یک Shellcode و یا خاموش کردن مکانیزم های شناسایی کننده استفاده شده، برای مثال در این پست یک نمونه از دستکاری سطح سیستم عامل رو شاهد هستیم که میتواند مکانیزم AMSI که یک مکانیزم AV هستش رو دور زده و کد مخرب خود رو بصورت مستقیم به اجرا در بیاره!
اما جدای از این سبک استفاده از توابع سیستم عامل ویندوز، روش های دیگری در بحث مبهم سازی استفاده میشه که میتونه بواسطه ActiveX Object ها پلن بعدی حمله رو بصورت ناشناس به اجرا در بیاره،
به هر روی استفاده از Macro های خانواده Office فرصت خوبیه که سناریو های مهندسی اجتماعی قوی ای رو پیاده و عملیات تیم قرمز رو با موفقیت به سر انجام رسوند...
@Unk9vvN
بسیاری از حملات سطح پیشرفته رخداده مبتنی بر Macro هایی بوده است که بصورت یک Dropper یا به عنوان یک Downloader عمل کرده و Stage های مختلف یک بد افزار رو به سیستم قربانی انتقال داده است،
اما در سالهای اخیر از پتانسیل زبان VBA به جهت دستکاری یک Process یا تزریق یک Shellcode و یا خاموش کردن مکانیزم های شناسایی کننده استفاده شده، برای مثال در این پست یک نمونه از دستکاری سطح سیستم عامل رو شاهد هستیم که میتواند مکانیزم AMSI که یک مکانیزم AV هستش رو دور زده و کد مخرب خود رو بصورت مستقیم به اجرا در بیاره!
اما جدای از این سبک استفاده از توابع سیستم عامل ویندوز، روش های دیگری در بحث مبهم سازی استفاده میشه که میتونه بواسطه ActiveX Object ها پلن بعدی حمله رو بصورت ناشناس به اجرا در بیاره،
به هر روی استفاده از Macro های خانواده Office فرصت خوبیه که سناریو های مهندسی اجتماعی قوی ای رو پیاده و عملیات تیم قرمز رو با موفقیت به سر انجام رسوند...
@Unk9vvN
#Microsoft #Threat #Intelligence #Iranian #APTs
مایکروسافت گزارشی از تحرکات یکی دو سال اخیر سایبری ایران منتشر کرده و در اونجا تیم های فعال منتسب به دستگاه های امنیتی ایران رو مشخص کرده است.
نکته قابل توجه در این گزارش، رفتار های تاکتیکی تکنیکی این تیم ها بوده که عموما بر پایه یک سطح مشخصی تعریف شده، به عنوان مثال استفاده گستره از Exploit Public-Facing یا کد های بهره برداری عمومی شده که برای ایجاد دسترسی استفاده شده است.
آسیب پذیری هایی مانند Log4Shell ، CVE-2022-47966 ، CVE-2022-47986 و چند مورد دیگر که در خصوص نرم افزار های خاص عموم شده بود. اما اهداف چه بوده است؟ عموم اهداف Data theft یا سرقت اطلاعات بوده، در مرحله بعد Defacement یا تخریب ظاهر وب سرویس های قربانی بوده است.
این تیم ها عموما در مراحل تخصصی تیم قرمز، طراحی و توسعه انجام میدهند و مراحلی مانند ایجاد دسترسی را بواسطه یک فرصت عمومی ایجاد شده اعمال میکنند، از این روی بعد از منتشر شدن یک آسیب پذیری سطح حساس، میتوانیم منتظر حملات گستره این تیم ها باشیم.
@Unk9vvN
مایکروسافت گزارشی از تحرکات یکی دو سال اخیر سایبری ایران منتشر کرده و در اونجا تیم های فعال منتسب به دستگاه های امنیتی ایران رو مشخص کرده است.
نکته قابل توجه در این گزارش، رفتار های تاکتیکی تکنیکی این تیم ها بوده که عموما بر پایه یک سطح مشخصی تعریف شده، به عنوان مثال استفاده گستره از Exploit Public-Facing یا کد های بهره برداری عمومی شده که برای ایجاد دسترسی استفاده شده است.
آسیب پذیری هایی مانند Log4Shell ، CVE-2022-47966 ، CVE-2022-47986 و چند مورد دیگر که در خصوص نرم افزار های خاص عموم شده بود. اما اهداف چه بوده است؟ عموم اهداف Data theft یا سرقت اطلاعات بوده، در مرحله بعد Defacement یا تخریب ظاهر وب سرویس های قربانی بوده است.
این تیم ها عموما در مراحل تخصصی تیم قرمز، طراحی و توسعه انجام میدهند و مراحلی مانند ایجاد دسترسی را بواسطه یک فرصت عمومی ایجاد شده اعمال میکنند، از این روی بعد از منتشر شدن یک آسیب پذیری سطح حساس، میتوانیم منتظر حملات گستره این تیم ها باشیم.
@Unk9vvN