#AFTA #Zimbra #Email_Servers
با توجه به حملاتی که در طی چند ماه اخیر به سازمان انرژی اتمی ایران و همچنین وبسایت internet.ir و برخی مجموع های دیگر از سوی تیم #Black_Reward انجام شد، بنظر میرسد نهاد حاکمیتی مرتبط با سیاست گذاری فضای سایبر کشور یعنی #افتا ، هنوز واکنش های مدیریتی صحیحی نسبت به این موضوع انجام نداده است.
بطور مثال، نصب بودن این ایمیل سرور بر روی وبسایت های مهم کشور میتواند موجب رخداد دوباره حملات سایبری، به این نهاد های حساس کشور شود و هنوز این ایمیل سرور خارجی مورد استفاده قرار میگیرد.
شرکت #فارسی_ساز کننده این ایمیل سرور، اعلام میدارد که ما پایداری و امنیت این ایمیل سرور را تامین میکنیم، اما از آنجا که موضوع امن سازی کد و تست نفوذ سرویس های تحت وب یک امر تخصصی است و میبایست تیم های تخصصی به این موضوع بپردازند، بنظر نمیرسد که ادعای این شرکت قابل اعتماد باشد.
با توجه به مقاله تحلیلی منتشر شده از سوی تیم تحقیقاتی #Unk9vvN ، این ایمیل سرور بطور استاندارد امن سازی و ارزیابی نشده است و همین موضوع میتواند تهدید دوباره امنیتی برای کشور به همراه داشته باشد.
@Unk9vvN
با توجه به حملاتی که در طی چند ماه اخیر به سازمان انرژی اتمی ایران و همچنین وبسایت internet.ir و برخی مجموع های دیگر از سوی تیم #Black_Reward انجام شد، بنظر میرسد نهاد حاکمیتی مرتبط با سیاست گذاری فضای سایبر کشور یعنی #افتا ، هنوز واکنش های مدیریتی صحیحی نسبت به این موضوع انجام نداده است.
بطور مثال، نصب بودن این ایمیل سرور بر روی وبسایت های مهم کشور میتواند موجب رخداد دوباره حملات سایبری، به این نهاد های حساس کشور شود و هنوز این ایمیل سرور خارجی مورد استفاده قرار میگیرد.
شرکت #فارسی_ساز کننده این ایمیل سرور، اعلام میدارد که ما پایداری و امنیت این ایمیل سرور را تامین میکنیم، اما از آنجا که موضوع امن سازی کد و تست نفوذ سرویس های تحت وب یک امر تخصصی است و میبایست تیم های تخصصی به این موضوع بپردازند، بنظر نمیرسد که ادعای این شرکت قابل اعتماد باشد.
با توجه به مقاله تحلیلی منتشر شده از سوی تیم تحقیقاتی #Unk9vvN ، این ایمیل سرور بطور استاندارد امن سازی و ارزیابی نشده است و همین موضوع میتواند تهدید دوباره امنیتی برای کشور به همراه داشته باشد.
@Unk9vvN
#Cybersecurity #US #Jobs #Offsec
دو نکته از دو مقاله شرکت Offensive Security آمریکا در باب وضعیت مشاغل امنیت سایبری.
تصویر بالا: بیش از 700.000 شغل امنیت سایبری در آمریکا نیاز است و سه میلیون نیروی متخصص در کل دنیا.
تصویر پایین: حقوق متخصصین امنیت سایبری برابر است با حقوق معاون رئیس جمهور ایالات متحده، و حتی بیشتر از آن و تا سقف 330 هزار دلار در سال.
40.000 موقعیت شغلی امنیت سایبری هم در بخش دولتی نیاز است.
@Unk9vvN
دو نکته از دو مقاله شرکت Offensive Security آمریکا در باب وضعیت مشاغل امنیت سایبری.
تصویر بالا: بیش از 700.000 شغل امنیت سایبری در آمریکا نیاز است و سه میلیون نیروی متخصص در کل دنیا.
تصویر پایین: حقوق متخصصین امنیت سایبری برابر است با حقوق معاون رئیس جمهور ایالات متحده، و حتی بیشتر از آن و تا سقف 330 هزار دلار در سال.
40.000 موقعیت شغلی امنیت سایبری هم در بخش دولتی نیاز است.
@Unk9vvN
#APT34 #Tesla #Agent #Phishing #Trojan
اخیرا تحرکاتی از تیم #APT34 منتصب به ایران، رخ داده است که مبتنی بر آسیب پذیری قدیمی CVE-2017-11882 و CVE-2018-0802 اقدام به پخش ایمیل فیشینگ هایی با محتوای فایل xls و یک دانلودر بدافزار بوده است.
اما در مرحله اجرا یک OLE اجرا میشود که دارای equation data است که در
شلکد اجرایی در اصل یک دانلودر و اجراگر بدافزار است که بواسطه تابع
اما فایل دانلودی یک بدافزار طراحی شده با dotNet است که کاملا مبهم سازی شده بواسطه IntelliLock و Net Reactor. بوده و مهاجم تمامی اسامی ها را مبهم ساخته است.
اما درون این بدافزار مقادیر Encode شده ای قرار دارد که دارای پیلود برای Agent Tesla بوده که بصورت Encode و Compress در Resource Section قرار کرده شده است.
پیلود Agent Tesla با تکنیک Process Hollowing که یک تکنیک برای محافظت از پردازش بدافزار است.
@Unk9vvN
اخیرا تحرکاتی از تیم #APT34 منتصب به ایران، رخ داده است که مبتنی بر آسیب پذیری قدیمی CVE-2017-11882 و CVE-2018-0802 اقدام به پخش ایمیل فیشینگ هایی با محتوای فایل xls و یک دانلودر بدافزار بوده است.
اما در مرحله اجرا یک OLE اجرا میشود که دارای equation data است که در
EQNEDT32.EXE به اجرا در آمده و از آسیب پذیری استفاده کرده و شلدکی را به اجرا در میاورد.شلکد اجرایی در اصل یک دانلودر و اجراگر بدافزار است که بواسطه تابع
URLDownloadToFileW که یک تابع API است تماس گرفته شده و بدافزاری با نام chromium.exe دانلود شده و در %TEMP% با نام desHost.exe ذخیره میشود.اما فایل دانلودی یک بدافزار طراحی شده با dotNet است که کاملا مبهم سازی شده بواسطه IntelliLock و Net Reactor. بوده و مهاجم تمامی اسامی ها را مبهم ساخته است.
اما درون این بدافزار مقادیر Encode شده ای قرار دارد که دارای پیلود برای Agent Tesla بوده که بصورت Encode و Compress در Resource Section قرار کرده شده است.
پیلود Agent Tesla با تکنیک Process Hollowing که یک تکنیک برای محافظت از پردازش بدافزار است.
@Unk9vvN
#TSSHOCK #MPC #Wallets
ارائه ای در کنفرانس Blackhat USA 2023 انجام شد که میپرداخت به طیف آسیب پذیری های کشف شده از هسته کیف پول مبتنی بر MPC یا Multi-Party Computation که محاسبات چند جانبه را بر پروتکل رمزنگاری TSS یا Threshold Signature Scheme فعالیت دارد که راهکاری بر بستر شبکه Blockchains برای کیف پول های رمزارز بوده است.
اما TSS یک طرح رمزنگاری است که به چندین طرف اجازه میدهد بطور مشترک کلید تولید کنند و زمان ارسال پیام TSS میبایست طرفین پیام را همگی امضا نمایند تا پیام TSS تصدیق شود.
برای امضا و تراکنش میبایست از الگوریتم ECDSA در Blockchain استفاده نمود، این الگوریتم مبتنی بر رمزگذاری Homomorphic است که در GG18 معرفی و در GG20 بروز رسانی شده است.
اولین آسیب پذیری یک طرح رمزگذاری مبهم بوده که ورودی بصورت دو
دومین آسیب پذیری، کاهش تکرار
@Unk9vvN
ارائه ای در کنفرانس Blackhat USA 2023 انجام شد که میپرداخت به طیف آسیب پذیری های کشف شده از هسته کیف پول مبتنی بر MPC یا Multi-Party Computation که محاسبات چند جانبه را بر پروتکل رمزنگاری TSS یا Threshold Signature Scheme فعالیت دارد که راهکاری بر بستر شبکه Blockchains برای کیف پول های رمزارز بوده است.
اما TSS یک طرح رمزنگاری است که به چندین طرف اجازه میدهد بطور مشترک کلید تولید کنند و زمان ارسال پیام TSS میبایست طرفین پیام را همگی امضا نمایند تا پیام TSS تصدیق شود.
برای امضا و تراکنش میبایست از الگوریتم ECDSA در Blockchain استفاده نمود، این الگوریتم مبتنی بر رمزگذاری Homomorphic است که در GG18 معرفی و در GG20 بروز رسانی شده است.
اولین آسیب پذیری یک طرح رمزگذاری مبهم بوده که ورودی بصورت دو
byte array این چنینی ["a$", "b"] و ["a", "$b"] را دریافت میکرده است که این ورودی های Tuples امکان برخورد مقادیر هش را میداده است.دومین آسیب پذیری، کاهش تکرار
dlnproof بوده که به مهاجم امکان حدس زدن تعدادی از بیت های MPC را میدهد و بازیابی کلید خصوصی توسط یک node مخرب.@Unk9vvN