#VECTR #PurpleTeam #Simulation
همونطور که میدونید، تیم های بنفش، به تیم هایی گفته میشه که در اصل مختصص تیم قرمز هستند و همچنین تخصص های تیم آبی رو هم فرا گرفته اند برای عملیات شکار تهدید، بازبینی مکانیزم های دفاعی و تحلیل رفتار های تکنیکی تاکتیکی مهاجمان.

در این خصوص یه پلتفرمی وجود داره با نام VECTR که میتونه با استفاده از پتانسیل شبیه سازانی همچون Atomic-RedTeam ، این امکان رو فراهم کنه که متخصصین امنیت دفاعی سعی در شبیه سازی رفتار تکنیکی تاکتیکی مهاجمین #APT کنند، البته طبق مستندات MITRE ATT&CK و با استفاده از این شبیه سازی، بیان ببینن مکانیزم های دفاعی سیستم عامل میتونه نواقصی رو در فرایند تشخیص و محافظت داشته باشه یا نه.

همچنین در کنار این شبیه سازی شما میتونید پایش شاخصه های حمله رو هم در سیستم عامل داشته و چارت آماری دقیق و کاملی رو از این پلتفرم دریافت نمایید.

https://docs.vectr.io/Installation/
https://github.com/SecurityRiskAdvisors/VECTR
@Unk9vvN

#Cybersecurity #Knowledge Based Teams
یکی از تیم های موفق در شرق آسیا، تیم theori.io است که تمرکز خود را بر کشف آسیب پذیری از هسته سیستم عامل ها و همچنین مرورگرها گذاشته است.

بد نیست به بهانه بررسی نوع عملکرد این قبیل تیم ها که به معنی واقعی کلمه دانش بنیان هستند و نوع خدمات دهی منحصر به فردی را داشته که بسیار کار آمد و نتیجه بخش تر از دلالی محصولات خارجی است، بررسی کنیم.

نوع سرویس دهی این قبیل تیم ها که در دنیا کم هم نیستند، به این صورت است که متمرکز بر یک بخش یا چند بخش مرتبط با حوزه امنیت تهاجمی، سعی بر پوشش علمی نقاط نفوذ سطح پیشرفته میکنند،

همانطور که میدانید محصولات دفاعی هنوز در مقابل روش شناسی های روز دنیا مانند ایجاد دسترسی مبتنی بر آسیب پذیری مرورگر یا فایل فرمت، دفاع موثری جز رفتار شناسی (IoB) ندیده اند، که قالبا با مبهم سازی سطح باینری یا زبان های سطح بالا مانند Javascript دوره خورده است.

اینکه یک سازمان بصورت خاص خدمات شبیه سازی حملات سطح پیشرفته (تیم قرمز) را پیاده سازی نماید یک عامل موثر همانند خدمات تست نفوذ بوده است، که در کنار خدمات امنیت دفاعی مورد بهره برداری قرار میگیرید.

@Unk9vvN

#Obfuscation #PHP
یکی از روش های مبهم سازی کد PHP که کمتر مورد توجه قرار گرفته است صدا زدن توابع به صورت String می باشد. در عکس اول یک کد با همین روش مبهم سازی شده، در این کد shell_exec اول base64 شده و در سه متغیر a، b، c تعریف شده است، در متغیر z این موارد کنار هم قرار گرفته اند و درون متغیر z مقدار c2hlbGxfZXhlYw را دریافت می کنیم که base64 شده تابع shell_exec‌ می باشد. در متغیر f مقدار base64_decode که ما بین آن چندین بار As- تکرار شده، در خط آخر با استفاده از str_replace مقدار As- را از متغیر f‌ حذف می کنیم و نتیجه این کار کد زیر می شود

echo base64_decode($z)("dir");

با decode کردن مقدار z کد تبدیل به شکل زیر می شود

echo "shell_exec"("dir");

این تنها دو نمونه ساده از این نوع مبهم سازی است.

@Unk9vvN

#C3 #Breaking #Network #Segregation
یکی از دغدغه تیم های قرمز بحث برقراری ارتباط با CnC است که بصورت ناشناس انجام بشه و همین ناشناسی موجب عدم شکار حمله توسط تیم های شکارچی باشه

در همین راستا محققین شرکت F-Secure یک ارائه دادن در BlackHat 2021 تحت عنوان نحوه Breaking شبکه در خط فرمان تولیدی خودشون با نام C3، این خط فرمان قراره از DCOM های خود سیستم عامل استفاده کنه در خصوص انجام فرامین خط فرمان C3 در پوشش یک DCOM صحیح سیستم مانند سرویس Printer و درایور Print Spooler

همونطور که در تصاویر میتونید ببینید، خط فرمان بواسطه یک ارتباط مبتنی بر Slack اقدام به برقراری ارتباط کرده و بواسطه کانالی که خط فرمان طراحی کرده اقدام به ارتباط با RPC میکنه، در نتیجه دستورات اول به RPC پرینتر داده شده و بعد به C3

اتفاقی که اینجا می افته اینه که چون پردازش مستقیمی برای برقراری ارتباط از طرف C3 انجام نشده و این ارتباط بواسطه یک واسط صحیح در سیستم بوده، تیم SOC دیگه رویدادی که جلب توجه کنه براش، نخواهد دید و بنوعی دور میخوره...

سناریو های بعدی مطرح شده در مقاله رو خودتون میتوید در اینجا مطالعه بفرماید.

@Unk9vvN