Attacks on #ETW Blind #EDR Sensors
مکانیزم ETW در سیستم عامل ویندوز مامور جمع آوری و ثبت رویداد هاست، در تصویر شماره 0 ویژگی ها و مناطق مورد پوشش ثبت رویدادی اون رو میتونید مشاهده کنید.
از این روی داده های مورد نیاز سامانه های EDR برای تحلیل رفتار و کشف رفتارهای مخرب وابسته به ETW است، در تصویر شماره 1 میتونید مقالاتی که در خصوص شناسایی رفتارهای مخرب بدافزارها مبتنی بر ETW طراحی شده رو مشاهده کنید.
در تصویر شماره 2 مشاهده میکنید که چه حملات APT در TTP حمله خودشون اقدام به از کار انداختن یا نامحسوس کردن حمله خودشون در مقابل ETW کردند.
اما در تصویر 3 و 4 میتونید تکنیک های حمله به ETW در سطح User-Mode و Kernel-Mode رو مشاهده کنید که عموما مبتنی بر Patch کردن داده ها در سطح حافظه و Hook Functions و Call Functions اقدام به Disable کردن سرویس کرده.
در تصویر شماره 4 مدل تهدیدات قابل انجام به ETW، ترسیم شده که مهاجمان چگونه میتونن بواسطه یک Driver مخرب در سطح هسته اقدام به Patching و تغییر در فرایند دریافت Buffer از نشست های ایجاد شده ی ETW داشته باشند.
Reference
@Unk9vvN
مکانیزم ETW در سیستم عامل ویندوز مامور جمع آوری و ثبت رویداد هاست، در تصویر شماره 0 ویژگی ها و مناطق مورد پوشش ثبت رویدادی اون رو میتونید مشاهده کنید.
از این روی داده های مورد نیاز سامانه های EDR برای تحلیل رفتار و کشف رفتارهای مخرب وابسته به ETW است، در تصویر شماره 1 میتونید مقالاتی که در خصوص شناسایی رفتارهای مخرب بدافزارها مبتنی بر ETW طراحی شده رو مشاهده کنید.
در تصویر شماره 2 مشاهده میکنید که چه حملات APT در TTP حمله خودشون اقدام به از کار انداختن یا نامحسوس کردن حمله خودشون در مقابل ETW کردند.
اما در تصویر 3 و 4 میتونید تکنیک های حمله به ETW در سطح User-Mode و Kernel-Mode رو مشاهده کنید که عموما مبتنی بر Patch کردن داده ها در سطح حافظه و Hook Functions و Call Functions اقدام به Disable کردن سرویس کرده.
در تصویر شماره 4 مدل تهدیدات قابل انجام به ETW، ترسیم شده که مهاجمان چگونه میتونن بواسطه یک Driver مخرب در سطح هسته اقدام به Patching و تغییر در فرایند دریافت Buffer از نشست های ایجاد شده ی ETW داشته باشند.
Reference
@Unk9vvN
#StarLink #Internet #Freenet
اینترنت ماهواره ای برای ایران در حال فعال شدنه و با محقق شدن این رویداد، ما فصل جدیدی از اینترنت رو تجربه خواهیم کرد.
اثر این تحول محدود به رفع فیلترینگ نیست و میتونه بسیاری از ابعاد دیگه فضای فناوری اطلاعات رو تغییر بده، این تغییر هم جنبه های مثبتی داره مثل تسهیل خدمات در تمام نقاط یک کشور که بواسطه کیفیت خوب سرعت موجب میشه مردم بتونن از خدمات دنیای ارتباطات بهتر استفاده کنند و همچنین از بین رفتن تمام محدودیت ها در خصوص دسترسی به سرویس دهنده های خارجی مانند Youtube و غیره.
جنبه های منفی اون هم اینه که بدلیل محقق شدن یک ارتباط سراسری و یکپارچه بدون هرگونه محدودیت، تمامی سرویس دهنده های اینترنت در ایران و شرکت های وابسته آنها، همگی بازار خود را از دست خواهند داد. نکته ی دیگر اینکه اینترنت StarLink نیاز به یک دریافت کننده زمینی داره که بواسطه اونها میبایست دستگاه های خانگی، اینترنت رو دریافت کنند این ایستگاه ها تا شعاع 500 کیلومتر رو پوشش خواهند داد که قراره در خاورمیانه نصب بشه.
https://www.starlink.com
@Unk9vvN
اینترنت ماهواره ای برای ایران در حال فعال شدنه و با محقق شدن این رویداد، ما فصل جدیدی از اینترنت رو تجربه خواهیم کرد.
اثر این تحول محدود به رفع فیلترینگ نیست و میتونه بسیاری از ابعاد دیگه فضای فناوری اطلاعات رو تغییر بده، این تغییر هم جنبه های مثبتی داره مثل تسهیل خدمات در تمام نقاط یک کشور که بواسطه کیفیت خوب سرعت موجب میشه مردم بتونن از خدمات دنیای ارتباطات بهتر استفاده کنند و همچنین از بین رفتن تمام محدودیت ها در خصوص دسترسی به سرویس دهنده های خارجی مانند Youtube و غیره.
جنبه های منفی اون هم اینه که بدلیل محقق شدن یک ارتباط سراسری و یکپارچه بدون هرگونه محدودیت، تمامی سرویس دهنده های اینترنت در ایران و شرکت های وابسته آنها، همگی بازار خود را از دست خواهند داد. نکته ی دیگر اینکه اینترنت StarLink نیاز به یک دریافت کننده زمینی داره که بواسطه اونها میبایست دستگاه های خانگی، اینترنت رو دریافت کنند این ایستگاه ها تا شعاع 500 کیلومتر رو پوشش خواهند داد که قراره در خاورمیانه نصب بشه.
https://www.starlink.com
@Unk9vvN
#RatMilad #Android #Spyware
با شدت گرفتن بحث فیلترینگ، بخش جاسوس افزارهای اندرویدی در تلگرام شدت گرفته، که به گزارش Zimperium این بدافزارها در قالب سرویس دهنده VPN پخش شده است
این جاسوس افزار میتواند لیست مخاطبین، گزارش تماس، لیست SMS، موقعیت GPS و غیره رو دریافت میکنه. گفته میشه c طراحی و پخش این بدافزار از ایران بوده و اهداف ایرانی و افغانی رو مورد هدف قرار داده است
از ویژگی های فنی این جاسوس افزار میشود به امکان خواندن و نوشتن فایل اشاره کرد، همچنین امکان حذف فایل و همچنین نحوه عملکرد C&C که مبتنی بر نوع محتوای Json مقادیر مدنظر بواسطه تعریف jobID های مختلف ارسال میشده است
مورد بعد اینکه جاسوس افزار مبتنی بر یک randomUUID و مقدار Mac Address قربانی، یک Job در C&C خودش برای قربانی تعریف کرده و مبتنی بر اون دستگاها تفکیک میشدند، همچنین مجوزها یا Permissions های مورد نیاز نرم افزار، در accessibility services سیستم عامل تنظیم میشده و در صورت ارائه این سرویس از طرف قربانی، مهاجم میتونسته permissions granted های مد نظر خودش رو اعمال کنه.
https://blog.zimperium.com/we-smell-a-ratmilad-mobile-spyware/
@Unk9vvN
با شدت گرفتن بحث فیلترینگ، بخش جاسوس افزارهای اندرویدی در تلگرام شدت گرفته، که به گزارش Zimperium این بدافزارها در قالب سرویس دهنده VPN پخش شده است
این جاسوس افزار میتواند لیست مخاطبین، گزارش تماس، لیست SMS، موقعیت GPS و غیره رو دریافت میکنه. گفته میشه c طراحی و پخش این بدافزار از ایران بوده و اهداف ایرانی و افغانی رو مورد هدف قرار داده است
از ویژگی های فنی این جاسوس افزار میشود به امکان خواندن و نوشتن فایل اشاره کرد، همچنین امکان حذف فایل و همچنین نحوه عملکرد C&C که مبتنی بر نوع محتوای Json مقادیر مدنظر بواسطه تعریف jobID های مختلف ارسال میشده است
مورد بعد اینکه جاسوس افزار مبتنی بر یک randomUUID و مقدار Mac Address قربانی، یک Job در C&C خودش برای قربانی تعریف کرده و مبتنی بر اون دستگاها تفکیک میشدند، همچنین مجوزها یا Permissions های مورد نیاز نرم افزار، در accessibility services سیستم عامل تنظیم میشده و در صورت ارائه این سرویس از طرف قربانی، مهاجم میتونسته permissions granted های مد نظر خودش رو اعمال کنه.
https://blog.zimperium.com/we-smell-a-ratmilad-mobile-spyware/
@Unk9vvN
#ZeroTrust #Access Model
این روزها شاهد رخداد خرابکاری در #صداوسیما هستیم که گفته میشود این خرابکاری ها هک نیست
اولین نکته ای که میبایست در پاسخ به این موضوع مطرح کرد، این است که زمانی که هدف یک خرابکاری در نهایت یک سیستم دیجیتالی است که میتواند یک کامپیوتر باشد یا برای مثال یک دستگاه PLC در فضای صنعتی یا یک بیلبورد تبلیغاتی مبتنی بر Arduino، میتوان آنرا هک نامید
تیم های امنیت دفاعی سایبری علاوه بر اعمال سیاست های ضد بدافزاری و مقابله تکنیکی تاکتیکی مبتنی بر علوم کامپیوتر، میبایست سیاست های کنترل سطح دسترسی و همچنین دسترسی فیزیکی و احراز افراد در سازمان را هم بواسطه مدل هایی مانند Zero Trust Acess و محصولاتی همچون PAM تعیین کنند
برای مثال مایکروسافت در Workshop آموزش میدهد که چگونه مدل های پیاده سازی Zero Trust را مدیران امنیت اطلاعات انجام دهند.
اما نتیجه اینکه زمانی که در کنداکتور پخش یک شبکه تلویزیونی یک داده غیر نرمال از نظر سازمان قربانی بواسطه نیروی انسانی نفوذی وارد میشه به این معنی هست که تیم امنیتی پروسه تصدیق داده و کنترل سطح دسترسی به سیستم های کلیدی رو درست پیاده سازی نکرده است.
@Unk9vvN
این روزها شاهد رخداد خرابکاری در #صداوسیما هستیم که گفته میشود این خرابکاری ها هک نیست
اولین نکته ای که میبایست در پاسخ به این موضوع مطرح کرد، این است که زمانی که هدف یک خرابکاری در نهایت یک سیستم دیجیتالی است که میتواند یک کامپیوتر باشد یا برای مثال یک دستگاه PLC در فضای صنعتی یا یک بیلبورد تبلیغاتی مبتنی بر Arduino، میتوان آنرا هک نامید
تیم های امنیت دفاعی سایبری علاوه بر اعمال سیاست های ضد بدافزاری و مقابله تکنیکی تاکتیکی مبتنی بر علوم کامپیوتر، میبایست سیاست های کنترل سطح دسترسی و همچنین دسترسی فیزیکی و احراز افراد در سازمان را هم بواسطه مدل هایی مانند Zero Trust Acess و محصولاتی همچون PAM تعیین کنند
برای مثال مایکروسافت در Workshop آموزش میدهد که چگونه مدل های پیاده سازی Zero Trust را مدیران امنیت اطلاعات انجام دهند.
اما نتیجه اینکه زمانی که در کنداکتور پخش یک شبکه تلویزیونی یک داده غیر نرمال از نظر سازمان قربانی بواسطه نیروی انسانی نفوذی وارد میشه به این معنی هست که تیم امنیتی پروسه تصدیق داده و کنترل سطح دسترسی به سیستم های کلیدی رو درست پیاده سازی نکرده است.
@Unk9vvN
Top #Cybersecurity #Startups 2022
در مقاله ای از وبسایت esecurityplanet پرداخته شده به 10 شرکت استارت آپ در سال 2022 در حوزه امنیت سایبری که توانسته اند جذب سرمایه خوبی داشته و ایده های خودشون رو با موفقیت پیاده سازی کنند.
در توضیحات این مقاله عنوان شده که کمبود شدید متخصصان امنیت با تجربه، کار رو برای استارت آپ های نوآورانه سخت تر میکنه، به همین دلیل در سال 2021 سرمایه گذاری در امنیت سایبری بیش از دو برابر از سال های گذشته بوده که رقمی معادل 22 بیلیون دلار هستش.
اما علاوه بر رشد سرمایه گذاری خطر پذیر، ایده های مورد توجه بازار عبارت هستند از پلتفرم امنیت ایمیل مبتنی بر زیرساخت ابری، جرم شناسی دیجیتال بواسطه سامانه های هوشمند رفتار شناسی، تشخیص اشتباهات در پیکربندی زیرساخت های ابری، تداوم امنیت سازمانی بواسطه محصولات مبتنی بر Zero Trust و سامانه های XDR که بصورت چندکاره و متمرکز مامور رصد، تشخیص، پیشگیری، شکار تهدیدات است.
بیشترین سرمایه گزاری در حوزه استارت آپ های امنیتی مربوط به کشور آمریکا اسرائیل و انگلستان است...
Reference
@Unk9vvN
در مقاله ای از وبسایت esecurityplanet پرداخته شده به 10 شرکت استارت آپ در سال 2022 در حوزه امنیت سایبری که توانسته اند جذب سرمایه خوبی داشته و ایده های خودشون رو با موفقیت پیاده سازی کنند.
در توضیحات این مقاله عنوان شده که کمبود شدید متخصصان امنیت با تجربه، کار رو برای استارت آپ های نوآورانه سخت تر میکنه، به همین دلیل در سال 2021 سرمایه گذاری در امنیت سایبری بیش از دو برابر از سال های گذشته بوده که رقمی معادل 22 بیلیون دلار هستش.
اما علاوه بر رشد سرمایه گذاری خطر پذیر، ایده های مورد توجه بازار عبارت هستند از پلتفرم امنیت ایمیل مبتنی بر زیرساخت ابری، جرم شناسی دیجیتال بواسطه سامانه های هوشمند رفتار شناسی، تشخیص اشتباهات در پیکربندی زیرساخت های ابری، تداوم امنیت سازمانی بواسطه محصولات مبتنی بر Zero Trust و سامانه های XDR که بصورت چندکاره و متمرکز مامور رصد، تشخیص، پیشگیری، شکار تهدیدات است.
بیشترین سرمایه گزاری در حوزه استارت آپ های امنیتی مربوط به کشور آمریکا اسرائیل و انگلستان است...
Reference
@Unk9vvN
#Domestic #Kitten Targeting #Iranian on #Android #Malware App
اخیرا گزارشی از تیم تحقیقاتی ESET بیرون اومده در خصوص بدافزار اندرویدی که در قالب یک نرم افزار مقاله سرا و از طریق یک وبسایت فعال در عرصه مقالات و فروش کتاب انتشار یافته است. مدل پخش و ایجاد دسترسی اولیه، مبتنی بر لینک مستقیم و به ظاهر صفحه گوگل پلی انجام شده که در تصاویر پست مشاهده میکنید.
این بدافزار قبلا هم فعال بوده (APT-C-50) و به گفته ESET با وبسایتی جعلی جدیدی دوباره فعال شده است، بررسی های انجام شده نشون میده که این بدافزار قرار بوده که مامور بر جاسوسی از کاربران ایرانی باشه و دسترسی های مطرحه در AndroidManifest.xml شامل موقعیت مکانی، تاریخچه تماس ها، رکورد تماس ها، اجرای برنامه ها، اطلاعات گوشی، لیست مخاطبین و اطلاعیه های برنامه های دیگه هستش...
اما روش کار C&C یا خط فرمان این جاسوس افزار، مبتنی بر ارسال و دریافت درخواست های مبتنی بر Web Service طراحی شده بوده که دریافت اطلاعات و ارسال فرمان ها بصورت مبهم سازی شده انجام می شده است.
@Unk9vvN
اخیرا گزارشی از تیم تحقیقاتی ESET بیرون اومده در خصوص بدافزار اندرویدی که در قالب یک نرم افزار مقاله سرا و از طریق یک وبسایت فعال در عرصه مقالات و فروش کتاب انتشار یافته است. مدل پخش و ایجاد دسترسی اولیه، مبتنی بر لینک مستقیم و به ظاهر صفحه گوگل پلی انجام شده که در تصاویر پست مشاهده میکنید.
این بدافزار قبلا هم فعال بوده (APT-C-50) و به گفته ESET با وبسایتی جعلی جدیدی دوباره فعال شده است، بررسی های انجام شده نشون میده که این بدافزار قرار بوده که مامور بر جاسوسی از کاربران ایرانی باشه و دسترسی های مطرحه در AndroidManifest.xml شامل موقعیت مکانی، تاریخچه تماس ها، رکورد تماس ها، اجرای برنامه ها، اطلاعات گوشی، لیست مخاطبین و اطلاعیه های برنامه های دیگه هستش...
اما روش کار C&C یا خط فرمان این جاسوس افزار، مبتنی بر ارسال و دریافت درخواست های مبتنی بر Web Service طراحی شده بوده که دریافت اطلاعات و ارسال فرمان ها بصورت مبهم سازی شده انجام می شده است.
@Unk9vvN