#Endpoint Detection and Response (EDR) Solutions
سلوشن های EDR از این حیص که در جبهه مقابل RedTeamer ها هستند برای ما اهمیت ویژه ای دارند,یکی از ویژگی های #EDR ها اینه که با استفاده از هوش مصنوعی عمل و رهگیری میکنند,و بعد ReAction پایلود هارا Response گرفته و در نهایت دسترسی را شکار میکنند,
این پروسه ذکر شده رو در دمو های پست مشاهده میکنید, حال جنگی میان RedTeamer با کمپانی های فعال در حوزه #EDR ها همواره وجود داره که اتفاقا تیم های دولتی ایرانی هم هنرمندی خواصی در دور زدن این سلوشن ها دارند, نکته دیگری که میتوان به آن اشاره کرد این است که شما با استفاده از #EDR ها قدرت #Forensic هم خواهید داشت و به گونه ای شبه به SIEM ها عمل خواهند کرد,
شرکت های خارجی بسیار در این حوزه فعال هستند و نتایج خوبی رو هم از حیص درآمدی کسب کرده اند, این موضوع در حالی اتفاق می افتد که شرکت های ایرانی اکثرا درگیر با دایره خدماتی iSMS بوده و نیت جدی برای تولید محصولات این چنینی ندارند, البته مبانی اطلاعاتی اولیه این چنین تولیدات نرم افزاری مستلزم آن است که ماتریکس هایی مانند MITRE ATT&CK را بصورت کامل و جامعه درک شود.
@Unk9vvN
سلوشن های EDR از این حیص که در جبهه مقابل RedTeamer ها هستند برای ما اهمیت ویژه ای دارند,یکی از ویژگی های #EDR ها اینه که با استفاده از هوش مصنوعی عمل و رهگیری میکنند,و بعد ReAction پایلود هارا Response گرفته و در نهایت دسترسی را شکار میکنند,
این پروسه ذکر شده رو در دمو های پست مشاهده میکنید, حال جنگی میان RedTeamer با کمپانی های فعال در حوزه #EDR ها همواره وجود داره که اتفاقا تیم های دولتی ایرانی هم هنرمندی خواصی در دور زدن این سلوشن ها دارند, نکته دیگری که میتوان به آن اشاره کرد این است که شما با استفاده از #EDR ها قدرت #Forensic هم خواهید داشت و به گونه ای شبه به SIEM ها عمل خواهند کرد,
شرکت های خارجی بسیار در این حوزه فعال هستند و نتایج خوبی رو هم از حیص درآمدی کسب کرده اند, این موضوع در حالی اتفاق می افتد که شرکت های ایرانی اکثرا درگیر با دایره خدماتی iSMS بوده و نیت جدی برای تولید محصولات این چنینی ندارند, البته مبانی اطلاعاتی اولیه این چنین تولیدات نرم افزاری مستلزم آن است که ماتریکس هایی مانند MITRE ATT&CK را بصورت کامل و جامعه درک شود.
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Office_Macro #Spoof #Parent_Processes and #Command_line argv
اگر در خصوص حملات #APTs تحقیقاتی کرده باشید میدانید که بسیاری از آنها بر مبنای مهندسی اجتماعی فایل فرمت هایی مانند فرمت های محصولات #Office ماکروسافت هستند، از این روی بحث رهگیری #Macro های مخرب برای محصولات #EDR بسیار مهم و حیاتی هستش، و یکی از روش های رهگیری این #Macro ها بررسی Parent های پراسس برنامه هستش، و همچنین CommandLine که در Sysmon Event سیستم عامل ثبت میشه،
یک محقق با استفاده از زبان VBA که هم پشتیبانیش برای Macro نویسی در آفیس فراهمه هم میتوان با استفاده از آن با API Windows ارتباط برقرار کرد رو مورد استفاده قرار داده و با استفاده از تابع NtQueryInformationProcess آدرس ساختمان PEB رو بدست و با استفاده از تابع WriteProcessMemory اقدام و Overwrite کردن مقادیر CommandLine کرده،
همچنین با استفاده از OpenProcess که یک تابع خنثی برای #EDR ها محصوب میشه میشه، با این کار پراسس مثلا notepad ایجاد میشود اما با اجرای یک شلکد که بد از اجرا پارامترش Overwrite با یک کد خنثی خواهد شد.
https://github.com/christophetd/spoofing-office-macro
@Unk9vvN
اگر در خصوص حملات #APTs تحقیقاتی کرده باشید میدانید که بسیاری از آنها بر مبنای مهندسی اجتماعی فایل فرمت هایی مانند فرمت های محصولات #Office ماکروسافت هستند، از این روی بحث رهگیری #Macro های مخرب برای محصولات #EDR بسیار مهم و حیاتی هستش، و یکی از روش های رهگیری این #Macro ها بررسی Parent های پراسس برنامه هستش، و همچنین CommandLine که در Sysmon Event سیستم عامل ثبت میشه،
یک محقق با استفاده از زبان VBA که هم پشتیبانیش برای Macro نویسی در آفیس فراهمه هم میتوان با استفاده از آن با API Windows ارتباط برقرار کرد رو مورد استفاده قرار داده و با استفاده از تابع NtQueryInformationProcess آدرس ساختمان PEB رو بدست و با استفاده از تابع WriteProcessMemory اقدام و Overwrite کردن مقادیر CommandLine کرده،
همچنین با استفاده از OpenProcess که یک تابع خنثی برای #EDR ها محصوب میشه میشه، با این کار پراسس مثلا notepad ایجاد میشود اما با اجرای یک شلکد که بد از اجرا پارامترش Overwrite با یک کد خنثی خواهد شد.
https://github.com/christophetd/spoofing-office-macro
@Unk9vvN
#Detection Categories Leadership
در سال ۲۰۱۹ یک Emulation از حمله APT29 روسیه ترسیم شد برای رتبه بندی Endpoint Security های بنام دنیا, که این ارزیابی دارای ۵ بخش بود که من به ترتیب اسم برده و Summary میکنم,
Telemetry
نحوه عملکرد دیوایس ها بر روی دستوراتی که اجرا و لاگ شده است...
MSSP
بررسی مکانیزم Managed Security Service Provider که در نحوه مانیتورینگ و آنالیز چقدر احاطه بر فضاها دارا است و با چه کیفیتی دیتا از آنالیز خود در اختیار نمایش میدهد
General
بررسی همواره پروسه ها برای رهگیری رفتار های مشکوک و مخرب,
Tactic
بررسی احاطه محصول در خصوص تکنیک های ارائه شده از سوی ATT&CK که مستند و عمومی شده است
Technique
رهگیری تکنیک هایی که مامور جمع آوری اطلاعات حساس هستند با استفاده از تکنیک های نوین که #EDR ها میبایست به دقت تشخیص دهند,
اما در تمامی این پلن ها همونطور که میبینید #FireEye جایگاه نخستین را دارد, این در حالیست که شرکت های ایرانی آنقدر از فضای روز دنیا عقب هستند که هنوز جایگاه تیم های قرمز و آبی رو هم درک نکرده اند, شرکت های ایرانی ۱۰ سال از دنیا عقب هستند معمولا...
Results
@Unk9vvN
در سال ۲۰۱۹ یک Emulation از حمله APT29 روسیه ترسیم شد برای رتبه بندی Endpoint Security های بنام دنیا, که این ارزیابی دارای ۵ بخش بود که من به ترتیب اسم برده و Summary میکنم,
Telemetry
نحوه عملکرد دیوایس ها بر روی دستوراتی که اجرا و لاگ شده است...
MSSP
بررسی مکانیزم Managed Security Service Provider که در نحوه مانیتورینگ و آنالیز چقدر احاطه بر فضاها دارا است و با چه کیفیتی دیتا از آنالیز خود در اختیار نمایش میدهد
General
بررسی همواره پروسه ها برای رهگیری رفتار های مشکوک و مخرب,
Tactic
بررسی احاطه محصول در خصوص تکنیک های ارائه شده از سوی ATT&CK که مستند و عمومی شده است
Technique
رهگیری تکنیک هایی که مامور جمع آوری اطلاعات حساس هستند با استفاده از تکنیک های نوین که #EDR ها میبایست به دقت تشخیص دهند,
اما در تمامی این پلن ها همونطور که میبینید #FireEye جایگاه نخستین را دارد, این در حالیست که شرکت های ایرانی آنقدر از فضای روز دنیا عقب هستند که هنوز جایگاه تیم های قرمز و آبی رو هم درک نکرده اند, شرکت های ایرانی ۱۰ سال از دنیا عقب هستند معمولا...
Results
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Enumerating Vulnerable #DCOM Applications #DCOMrade
با استفاده از DCOMrade شما میتونید از راه دور به دیوایس ویندوزی خود وصل شده و یک سرشماری بر روی AppID ها انجام داده تا CLSID هایی که پرمیژن LaunchPermission باز دارند رو پیدا کنید, تا از آن که البته بصورت پیشفرض وجود داره و این موضوع دو امکان رو به هکر میتونه بده,
یک اینکه شما میتونید برای Lateral Movement انجام دادن استفاده کنید که میتونه باعث دور زدن رفتار شناسی پایلودها به وسیله #EDR ها و غیره است, دوم اینکه میتوان با استفاده از این پرمیژن مکانیزم هایی مانند #UAC و برای #Privilege_Escalation انجام داد, حتی در مواقعی میتوان از این Security Misconfiguration در سرورهای آسیب پذیر میتوان برای Pivot زدن در شبکه هم استفاده کرد,روش استخراج اطلاعات
unk9vvn@avi:~$
https://github.com/sud0woodo/DCOMrade
@Unk9vvN
با استفاده از DCOMrade شما میتونید از راه دور به دیوایس ویندوزی خود وصل شده و یک سرشماری بر روی AppID ها انجام داده تا CLSID هایی که پرمیژن LaunchPermission باز دارند رو پیدا کنید, تا از آن که البته بصورت پیشفرض وجود داره و این موضوع دو امکان رو به هکر میتونه بده,
یک اینکه شما میتونید برای Lateral Movement انجام دادن استفاده کنید که میتونه باعث دور زدن رفتار شناسی پایلودها به وسیله #EDR ها و غیره است, دوم اینکه میتوان با استفاده از این پرمیژن مکانیزم هایی مانند #UAC و برای #Privilege_Escalation انجام داد, حتی در مواقعی میتوان از این Security Misconfiguration در سرورهای آسیب پذیر میتوان برای Pivot زدن در شبکه هم استفاده کرد,روش استخراج اطلاعات
unk9vvn@avi:~$
pwsh
PS /home/unk9vvn> $com = [Type]::GetTypeFromCLSID('9BA05972-F6A8-11CF-A442-00A0C90A8F39', "192.168.99.13")
PS /home/unk9vvn> $obj = [System.Activator]::CreateInstance($com)
PS /home/unk9vvn> $item = $obj.Item()
PS /home/unk9vvn> $item
... ...https://github.com/sud0woodo/DCOMrade
@Unk9vvN
#Red_Team & #Endpoint_Detection_Response Maps
اگر علاقمند هستید که دامنه و گستره بازرسی و روند شناسایی دیوایس های #EDR را بدانید میتواند تصویر نقشه EDR را مطالعه نمایید, مبحث کنترل Endpoint ها همه روزه با تقویت موتورهای Heuristic و Signature Based و رفتارشناسی در خصوص حملات Advanced Threat بیشتر شده و کار را برای استفاده از روش های عمومی سخت کرده است,
همچنین تصویر سمت چپ دارای نقشه عملکردی تیم قرمز هستش که از این روی تیم های قرمز هم بیکار نبوده اند و در فضاهای مختلف سعی بر ترکیب سازی روش های ابداعی خود دارند و با آزمون خطا نقاط ضعف #EDR ها را شناسایی میکنند, برای بررسی طیف گسترده ای از این تکنیک ها شمارو ارجاع میدم به gist زیر,
https://gist.github.com/RedTeams
با بررسی روش های بالا میتوانید با دامنه سناریو سازی ها و طراحی Stage های مختلف حمله آشنا شده و با کمی خلاقیت باز هم از همین روش های عمومی شده به جهت دور زدن مکانیزم های دفاعی استفاده کنید...
https://en.wikipedia.org/wiki/Red_team
https://en.wikipedia.org/wiki/Endpoint_detection_and_response
@Unk9vvN
اگر علاقمند هستید که دامنه و گستره بازرسی و روند شناسایی دیوایس های #EDR را بدانید میتواند تصویر نقشه EDR را مطالعه نمایید, مبحث کنترل Endpoint ها همه روزه با تقویت موتورهای Heuristic و Signature Based و رفتارشناسی در خصوص حملات Advanced Threat بیشتر شده و کار را برای استفاده از روش های عمومی سخت کرده است,
همچنین تصویر سمت چپ دارای نقشه عملکردی تیم قرمز هستش که از این روی تیم های قرمز هم بیکار نبوده اند و در فضاهای مختلف سعی بر ترکیب سازی روش های ابداعی خود دارند و با آزمون خطا نقاط ضعف #EDR ها را شناسایی میکنند, برای بررسی طیف گسترده ای از این تکنیک ها شمارو ارجاع میدم به gist زیر,
https://gist.github.com/RedTeams
با بررسی روش های بالا میتوانید با دامنه سناریو سازی ها و طراحی Stage های مختلف حمله آشنا شده و با کمی خلاقیت باز هم از همین روش های عمومی شده به جهت دور زدن مکانیزم های دفاعی استفاده کنید...
https://en.wikipedia.org/wiki/Red_team
https://en.wikipedia.org/wiki/Endpoint_detection_and_response
@Unk9vvN
#Inceptor #AV and #EDR Bypasses
در ابزار Inceptor روش هایی در خصوص ویژگی های مورد استفاده مکانیزم های دفاعی مطرح شده که نگاه به عملکرد اونها خالی از لطف نیست
همچنین روش های دور زدن مکانیزم های شناسایی کننده هم مطرح شده که شاخص ترین اونها بحث استفاده از مبهم سازی، تکنیک Patching که در خصوص تغییر نتایج پایش AMSI بر روی حافظه بوده و یا تکنیک هایی که موجب دور زدن Sandbox میشه، مانند چک کردن ENV ها، نام ها هش Sections ها و مواردی از این دست
موضوعی که در این ابزار جالبه توضیح نحوه کارکرد EDR هاست که تکنیک هایی براش مطرح شده مثل استفاده یک پردازش از توابع سیستمی سمت کاربر، یک Hook به DLL مربوط به پردازش EDR زده شده و ورودی های مربوط به اون تابع سیستمی که مورد بررسی قرار میگیره
حالا محقق بیان میکنه که فرایند فراخوانی یک توابع API سیستم عامل تا ساختمان سطح هسته، یک زنجیره ی Native هستش که اگر مهاجم روال مرسوم این زنجیره رو بشکنه و مستقیما به ساختمان توابع مربوط دسترسی بگیره، امکان مانیتور شدن اون تابع سیستمی توسط EDR میتونه از بین هم بره.
@Unk9vvN
در ابزار Inceptor روش هایی در خصوص ویژگی های مورد استفاده مکانیزم های دفاعی مطرح شده که نگاه به عملکرد اونها خالی از لطف نیست
همچنین روش های دور زدن مکانیزم های شناسایی کننده هم مطرح شده که شاخص ترین اونها بحث استفاده از مبهم سازی، تکنیک Patching که در خصوص تغییر نتایج پایش AMSI بر روی حافظه بوده و یا تکنیک هایی که موجب دور زدن Sandbox میشه، مانند چک کردن ENV ها، نام ها هش Sections ها و مواردی از این دست
موضوعی که در این ابزار جالبه توضیح نحوه کارکرد EDR هاست که تکنیک هایی براش مطرح شده مثل استفاده یک پردازش از توابع سیستمی سمت کاربر، یک Hook به DLL مربوط به پردازش EDR زده شده و ورودی های مربوط به اون تابع سیستمی که مورد بررسی قرار میگیره
حالا محقق بیان میکنه که فرایند فراخوانی یک توابع API سیستم عامل تا ساختمان سطح هسته، یک زنجیره ی Native هستش که اگر مهاجم روال مرسوم این زنجیره رو بشکنه و مستقیما به ساختمان توابع مربوط دسترسی بگیره، امکان مانیتور شدن اون تابع سیستمی توسط EDR میتونه از بین هم بره.
@Unk9vvN
Attacks on #ETW Blind #EDR Sensors
مکانیزم ETW در سیستم عامل ویندوز مامور جمع آوری و ثبت رویداد هاست، در تصویر شماره 0 ویژگی ها و مناطق مورد پوشش ثبت رویدادی اون رو میتونید مشاهده کنید.
از این روی داده های مورد نیاز سامانه های EDR برای تحلیل رفتار و کشف رفتارهای مخرب وابسته به ETW است، در تصویر شماره 1 میتونید مقالاتی که در خصوص شناسایی رفتارهای مخرب بدافزارها مبتنی بر ETW طراحی شده رو مشاهده کنید.
در تصویر شماره 2 مشاهده میکنید که چه حملات APT در TTP حمله خودشون اقدام به از کار انداختن یا نامحسوس کردن حمله خودشون در مقابل ETW کردند.
اما در تصویر 3 و 4 میتونید تکنیک های حمله به ETW در سطح User-Mode و Kernel-Mode رو مشاهده کنید که عموما مبتنی بر Patch کردن داده ها در سطح حافظه و Hook Functions و Call Functions اقدام به Disable کردن سرویس کرده.
در تصویر شماره 4 مدل تهدیدات قابل انجام به ETW، ترسیم شده که مهاجمان چگونه میتونن بواسطه یک Driver مخرب در سطح هسته اقدام به Patching و تغییر در فرایند دریافت Buffer از نشست های ایجاد شده ی ETW داشته باشند.
Reference
@Unk9vvN
مکانیزم ETW در سیستم عامل ویندوز مامور جمع آوری و ثبت رویداد هاست، در تصویر شماره 0 ویژگی ها و مناطق مورد پوشش ثبت رویدادی اون رو میتونید مشاهده کنید.
از این روی داده های مورد نیاز سامانه های EDR برای تحلیل رفتار و کشف رفتارهای مخرب وابسته به ETW است، در تصویر شماره 1 میتونید مقالاتی که در خصوص شناسایی رفتارهای مخرب بدافزارها مبتنی بر ETW طراحی شده رو مشاهده کنید.
در تصویر شماره 2 مشاهده میکنید که چه حملات APT در TTP حمله خودشون اقدام به از کار انداختن یا نامحسوس کردن حمله خودشون در مقابل ETW کردند.
اما در تصویر 3 و 4 میتونید تکنیک های حمله به ETW در سطح User-Mode و Kernel-Mode رو مشاهده کنید که عموما مبتنی بر Patch کردن داده ها در سطح حافظه و Hook Functions و Call Functions اقدام به Disable کردن سرویس کرده.
در تصویر شماره 4 مدل تهدیدات قابل انجام به ETW، ترسیم شده که مهاجمان چگونه میتونن بواسطه یک Driver مخرب در سطح هسته اقدام به Patching و تغییر در فرایند دریافت Buffer از نشست های ایجاد شده ی ETW داشته باشند.
Reference
@Unk9vvN