Media is too big
VIEW IN TELEGRAM
#HX #Exploit #Detection for #Endpoints
در سال ۲۰۱۶ شرکت #FireEye از محصولی با نام Helix Security که علاوه بر EndPoint Detection بودنش یک ویژگی منحصر به فردی دیگری هم داشت که در این دمو در آن خصوص توضیحاتی را بیان میکند,
اگر بطور خلاصه بخواهیم به آن بپردازیم, میتوان اینطور شرح داد که این شرکت نه تنها بر Stage های طراحی شده در زبان های سطح بالا بر روی فایل فرمت های Portable Execution بلکه بر روی Shellcode هایی که بر بستر یک Vulnerability میتونه به قربانی ارسال بشه هم رهگیری خواهد شد, یعنی اگر یک هکر بر روی مثلا یک پروتکل یک آسیب پذیری 0day کشف کرده باشه و یک Gadget در خصوص دور زدن مکانیزم های Mitigation در مقابل آسیب پذیری رو بخواد پیاده کنه از همین تکنیک ها میتوان او را ردیابی کرد,
پس با این شرایط بظر میاد یک چالشی دیگر در خصوص پایلود کردن یک آسیب پذیری به تمامی چالش های این موضوع هم اضافه خواهد شد, نظریه اولیه در خصوص دور زدن این Exploit Guard میتونه این باشه که روش هایی که برای دور زدن Mitigation ها استفاده میشه هم میبایست Publish نباشه و ...
Helix
@Unk9vvN
در سال ۲۰۱۶ شرکت #FireEye از محصولی با نام Helix Security که علاوه بر EndPoint Detection بودنش یک ویژگی منحصر به فردی دیگری هم داشت که در این دمو در آن خصوص توضیحاتی را بیان میکند,
اگر بطور خلاصه بخواهیم به آن بپردازیم, میتوان اینطور شرح داد که این شرکت نه تنها بر Stage های طراحی شده در زبان های سطح بالا بر روی فایل فرمت های Portable Execution بلکه بر روی Shellcode هایی که بر بستر یک Vulnerability میتونه به قربانی ارسال بشه هم رهگیری خواهد شد, یعنی اگر یک هکر بر روی مثلا یک پروتکل یک آسیب پذیری 0day کشف کرده باشه و یک Gadget در خصوص دور زدن مکانیزم های Mitigation در مقابل آسیب پذیری رو بخواد پیاده کنه از همین تکنیک ها میتوان او را ردیابی کرد,
پس با این شرایط بظر میاد یک چالشی دیگر در خصوص پایلود کردن یک آسیب پذیری به تمامی چالش های این موضوع هم اضافه خواهد شد, نظریه اولیه در خصوص دور زدن این Exploit Guard میتونه این باشه که روش هایی که برای دور زدن Mitigation ها استفاده میشه هم میبایست Publish نباشه و ...
Helix
@Unk9vvN
#Detection Categories Leadership
در سال ۲۰۱۹ یک Emulation از حمله APT29 روسیه ترسیم شد برای رتبه بندی Endpoint Security های بنام دنیا, که این ارزیابی دارای ۵ بخش بود که من به ترتیب اسم برده و Summary میکنم,
Telemetry
نحوه عملکرد دیوایس ها بر روی دستوراتی که اجرا و لاگ شده است...
MSSP
بررسی مکانیزم Managed Security Service Provider که در نحوه مانیتورینگ و آنالیز چقدر احاطه بر فضاها دارا است و با چه کیفیتی دیتا از آنالیز خود در اختیار نمایش میدهد
General
بررسی همواره پروسه ها برای رهگیری رفتار های مشکوک و مخرب,
Tactic
بررسی احاطه محصول در خصوص تکنیک های ارائه شده از سوی ATT&CK که مستند و عمومی شده است
Technique
رهگیری تکنیک هایی که مامور جمع آوری اطلاعات حساس هستند با استفاده از تکنیک های نوین که #EDR ها میبایست به دقت تشخیص دهند,
اما در تمامی این پلن ها همونطور که میبینید #FireEye جایگاه نخستین را دارد, این در حالیست که شرکت های ایرانی آنقدر از فضای روز دنیا عقب هستند که هنوز جایگاه تیم های قرمز و آبی رو هم درک نکرده اند, شرکت های ایرانی ۱۰ سال از دنیا عقب هستند معمولا...
Results
@Unk9vvN
در سال ۲۰۱۹ یک Emulation از حمله APT29 روسیه ترسیم شد برای رتبه بندی Endpoint Security های بنام دنیا, که این ارزیابی دارای ۵ بخش بود که من به ترتیب اسم برده و Summary میکنم,
Telemetry
نحوه عملکرد دیوایس ها بر روی دستوراتی که اجرا و لاگ شده است...
MSSP
بررسی مکانیزم Managed Security Service Provider که در نحوه مانیتورینگ و آنالیز چقدر احاطه بر فضاها دارا است و با چه کیفیتی دیتا از آنالیز خود در اختیار نمایش میدهد
General
بررسی همواره پروسه ها برای رهگیری رفتار های مشکوک و مخرب,
Tactic
بررسی احاطه محصول در خصوص تکنیک های ارائه شده از سوی ATT&CK که مستند و عمومی شده است
Technique
رهگیری تکنیک هایی که مامور جمع آوری اطلاعات حساس هستند با استفاده از تکنیک های نوین که #EDR ها میبایست به دقت تشخیص دهند,
اما در تمامی این پلن ها همونطور که میبینید #FireEye جایگاه نخستین را دارد, این در حالیست که شرکت های ایرانی آنقدر از فضای روز دنیا عقب هستند که هنوز جایگاه تیم های قرمز و آبی رو هم درک نکرده اند, شرکت های ایرانی ۱۰ سال از دنیا عقب هستند معمولا...
Results
@Unk9vvN
#FireEye Got Hacked
شرکت FireEye که خود لیدر جریانات استراتژیک در امر تولید محصولات تدافعی است, مورد نفوذ قرار گرفته شده و ابزارهای تیم قرمز آن به سرقت رفته!
گفته میشه تیم روسی که در جریان APT29 شناخته شده بود, این حمله رو انجام داده و از آنجایی که این هکرها از طرف سرویس اطلاعاتی روسیه پشتیبانی میشوند بسیار تحقیر آمیز با شرکت ها و سازمان های فعال برخورد سایبری میکنند,
در این حمله نه آسیب پذیری روز صفری سرقت رفته شده و نه تکنیک های مورد استفاده در حمله ناشناخته بوده, و اتفاقا حمله بر پایه روشهایی بوده که تا به امروز مورد استفاده قرار گرفته شده,
این تیم جالبه که بدونید قبلا شرکت های دیگه رو هم هک کرده مانند KasperSky-Avast-Bit9-RSA Security که از این روی شباهت زیادی به تیم Shadow Brokers که در حمله به NSA نقش داشته, داره...
https://thehackernews.com/2020/12/cybersecurity-firm-fireeye-got-hacked.html
https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html
@Unk9vvN
شرکت FireEye که خود لیدر جریانات استراتژیک در امر تولید محصولات تدافعی است, مورد نفوذ قرار گرفته شده و ابزارهای تیم قرمز آن به سرقت رفته!
گفته میشه تیم روسی که در جریان APT29 شناخته شده بود, این حمله رو انجام داده و از آنجایی که این هکرها از طرف سرویس اطلاعاتی روسیه پشتیبانی میشوند بسیار تحقیر آمیز با شرکت ها و سازمان های فعال برخورد سایبری میکنند,
در این حمله نه آسیب پذیری روز صفری سرقت رفته شده و نه تکنیک های مورد استفاده در حمله ناشناخته بوده, و اتفاقا حمله بر پایه روشهایی بوده که تا به امروز مورد استفاده قرار گرفته شده,
این تیم جالبه که بدونید قبلا شرکت های دیگه رو هم هک کرده مانند KasperSky-Avast-Bit9-RSA Security که از این روی شباهت زیادی به تیم Shadow Brokers که در حمله به NSA نقش داشته, داره...
https://thehackernews.com/2020/12/cybersecurity-firm-fireeye-got-hacked.html
https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html
@Unk9vvN
#APT38 #DYEPACK #FireEye
حمله مدام پیشرفته APT38 منتصب است به تیم دولتی از کشور کره شمالی، که هدفش بانک ها و زیرساخت های تجاری و موسسه های مالی است.
بدافزار طراحی شده این تیم با نام DYEPACK توسعه داده شده که متمرکز بر هدف قرار دادن سیستم های SWIFT است. بعد از جمع آوری اطلاعات در سطح سه، تیم اقدام به بهره برداری از یک آسیب پذیری در خصوص Apache Struts2 کرده که منجر به ایجاد دسترسی اولیه شده است.
این آسیب پذیری با شناسه CVE-2019-0230 ثبت شده که از نوع Double OGNL Evaluation بوده، که ورودی خام رو مبتنی بر
اما مرحله جالب توجه، بحث جمع آوری اطلاعات داخلی بواسطه Backdoor نصب شده که به مدت دو سال به طول انجامیده و با استفاده از Sysmon تمام تراکنش های سیستم SWIFT بانک رو نظارت میکرده است.
تیم بواسطه DYEPACK به Transaction های سیستم SWIFT دسترسی پیدا کرده و با Collection بدافزاری خود، بواسطه ارسال درخواست های SQL به پایگاه داده، اقدام به دستکاری Record های SWIFT کرده است که حاصل آن دو بیلیون دلار بوده.
@Unk9vvN
حمله مدام پیشرفته APT38 منتصب است به تیم دولتی از کشور کره شمالی، که هدفش بانک ها و زیرساخت های تجاری و موسسه های مالی است.
بدافزار طراحی شده این تیم با نام DYEPACK توسعه داده شده که متمرکز بر هدف قرار دادن سیستم های SWIFT است. بعد از جمع آوری اطلاعات در سطح سه، تیم اقدام به بهره برداری از یک آسیب پذیری در خصوص Apache Struts2 کرده که منجر به ایجاد دسترسی اولیه شده است.
این آسیب پذیری با شناسه CVE-2019-0230 ثبت شده که از نوع Double OGNL Evaluation بوده، که ورودی خام رو مبتنی بر
tag attributes دریافت کرده و مهاجم امکان ارسال کد مخرب مبتنی بر ساختار OGNL رو پیدا میکند.اما مرحله جالب توجه، بحث جمع آوری اطلاعات داخلی بواسطه Backdoor نصب شده که به مدت دو سال به طول انجامیده و با استفاده از Sysmon تمام تراکنش های سیستم SWIFT بانک رو نظارت میکرده است.
تیم بواسطه DYEPACK به Transaction های سیستم SWIFT دسترسی پیدا کرده و با Collection بدافزاری خود، بواسطه ارسال درخواست های SQL به پایگاه داده، اقدام به دستکاری Record های SWIFT کرده است که حاصل آن دو بیلیون دلار بوده.
@Unk9vvN