#Adobe Reader 2018 #Zeroday Exploit Analysis
در تصویر شماره 0 در فایل فرمت PDF و در زبان ActionScript مهاجم اقدام به صدا زدن مفسر JavaScript میکنه، و بواسطه یک دکمه میاد و تابع
قبل از به اجرا در اومدن تابع، یک دکمه ساخته میشه که از نوع
در تصویر 3 مهاجم میاد تکنیک Heap Spray رو اجرا میکنه که موجب میشه در حافظه Heap طول بافر 10 هزار رزرو بشه، بعد میاد همون حافظه Alloc شده رو آزاد میکنه، بعد میاد بواسطه Object که
هک بواسطه یک PDF !
@Unk9vvN
در تصویر شماره 0 در فایل فرمت PDF و در زبان ActionScript مهاجم اقدام به صدا زدن مفسر JavaScript میکنه، و بواسطه یک دکمه میاد و تابع
trigger رو به اجرا در میاره.قبل از به اجرا در اومدن تابع، یک دکمه ساخته میشه که از نوع
display.visible هستش که اینکار باعث میشه JIT Compiler برنامه Adobe Reader بیاد و پردازشگر JPEG2000 رو صدا کنه و به طبع اون کتابخونه (JP2KLib.dll) پردازشگر این Object رو فراخوانی خواهد کرد.در تصویر 3 مهاجم میاد تکنیک Heap Spray رو اجرا میکنه که موجب میشه در حافظه Heap طول بافر 10 هزار رزرو بشه، بعد میاد همون حافظه Alloc شده رو آزاد میکنه، بعد میاد بواسطه Object که
f.display ساخته بود (JP2KLib) به رو از همون منطقه اشاره میکنه بعد میاد index رو بدست میاره و طول بافر 250 رو آزاد میکنه، بعد محاسبه میکنه از از 10 هزار 249 تا بره بالا چه آدرسی خواهد بود، بعد میاد بواسطه یه sprayarr دقیقا به همون اندازه که آزاد کرده بود به بالا، یعنی 0x400 اشاره میکنه که اینجا OOB Read اتفاق می افته...هک بواسطه یک PDF !
@Unk9vvN
#CrowdStrike #Kernel Mode #Binary #Vulnerabilities
آسیب پذیری NULL Pointer Dereference در Driver سنسور Falcon که در خصوص پیاده سازی مدل های هوش مصنوعی تشخیص رفتار های مخرب در سیستم عامل را انجام داده و فرایند پاسخ به حادثه در لحظه رو اعمال خواهد کرد، آسیب پذیر بوده و با نام
اما جزئیات آسیب پذیری: اول اینکه یک Driver سطح هسته سیستم عامل در زمان Boot سیستم عامل نصب و راه اندازی میشوند. دوم Driver امکان ارتباط مستقیم با سخت افزار داشته و میتواند منابع سیستم عامل و دسترسی به حافظه محافظ شده را نیز دارا باشد. سوم یک Driver سطح هسته میتواند بر رفتار اصلی سیستم عامل تاثیر بگذارد.
این Driver ها در Windows Hardware Lab Kit امضای دیجیتالی مایکروسافت رو برای فعالیت در سیستم عامل دریافت میکنند که Driver نرم افزار Falcon نیز از آن جمله است.
فرایند بررسی و اعطای مجوز به Driver ها توسط مایکروسافت، یک فرایند زمانبر است لذا CS رویکردی با نام RRC ایجاد کرده تا سریعا محتواهای واکنش سریع خود را در قالب یک بروز رسانی پیکربندی محتوا انجام داده و Driver را بصورت پویا Load نماید.
@Unk9vvN
آسیب پذیری NULL Pointer Dereference در Driver سنسور Falcon که در خصوص پیاده سازی مدل های هوش مصنوعی تشخیص رفتار های مخرب در سیستم عامل را انجام داده و فرایند پاسخ به حادثه در لحظه رو اعمال خواهد کرد، آسیب پذیر بوده و با نام
CSAgent.sys فعالیت میکرده است.اما جزئیات آسیب پذیری: اول اینکه یک Driver سطح هسته سیستم عامل در زمان Boot سیستم عامل نصب و راه اندازی میشوند. دوم Driver امکان ارتباط مستقیم با سخت افزار داشته و میتواند منابع سیستم عامل و دسترسی به حافظه محافظ شده را نیز دارا باشد. سوم یک Driver سطح هسته میتواند بر رفتار اصلی سیستم عامل تاثیر بگذارد.
این Driver ها در Windows Hardware Lab Kit امضای دیجیتالی مایکروسافت رو برای فعالیت در سیستم عامل دریافت میکنند که Driver نرم افزار Falcon نیز از آن جمله است.
فرایند بررسی و اعطای مجوز به Driver ها توسط مایکروسافت، یک فرایند زمانبر است لذا CS رویکردی با نام RRC ایجاد کرده تا سریعا محتواهای واکنش سریع خود را در قالب یک بروز رسانی پیکربندی محتوا انجام داده و Driver را بصورت پویا Load نماید.
@Unk9vvN
#Reinforcement_Learning for #Automonous_Resilient #Cyber_Defence
سازمان #GCHQ و #MOD و #DARPA پارتنرشیپ تحقیقاتی در خصوص یک اکوسیستمی با نام #ARCD شدند تا فرایند های دفاع سایبری رو بواسطه Machine Learning بتونن اتوماسیون کنند و کیفیت دفاع رو بالا ببرند.
تمرکز این تحقیقات بر روی بالا بردن سرعت پاسخ و فرایند های بازیابی بوده که مبتنی بر چهارچوب NIST آمریکا شکل گرفته است.
ایجاد یک واکنش پاسخ به حادثه در لحظه، بواسطه ACO موجبات آموزش دیدن هر چه بیشتر هوش مصنوعی خواهد شد، که با ظرفیت های الگوریتمی که هوش مصنوعی داره، فرایند یادگیری اتفاق خواهد افتاد.
الگوریتم هایی مانند PPO - DQN - DDQN - GA - GNN - MARL که بر روی شبیه سازی هایی با نام PrimAITE - Yawing Titan - Cyborg عملیاتی شده است.
این یادگیری در ابعاد نظامی و تکنولوژی های عملیاتی آن نیز پیاده سازی شده است که میتواند موجبات دفع حملاتی که مبتنی بر فضای سایبر رخ میدهد، شود.
https://i.blackhat.com/BH-US-24/Presentations/US24-MilesFarmer-ReinforcementLearningForAutonomousResilientCyberDefence-Thursday.pdf
@Unk9vvN
سازمان #GCHQ و #MOD و #DARPA پارتنرشیپ تحقیقاتی در خصوص یک اکوسیستمی با نام #ARCD شدند تا فرایند های دفاع سایبری رو بواسطه Machine Learning بتونن اتوماسیون کنند و کیفیت دفاع رو بالا ببرند.
تمرکز این تحقیقات بر روی بالا بردن سرعت پاسخ و فرایند های بازیابی بوده که مبتنی بر چهارچوب NIST آمریکا شکل گرفته است.
ایجاد یک واکنش پاسخ به حادثه در لحظه، بواسطه ACO موجبات آموزش دیدن هر چه بیشتر هوش مصنوعی خواهد شد، که با ظرفیت های الگوریتمی که هوش مصنوعی داره، فرایند یادگیری اتفاق خواهد افتاد.
الگوریتم هایی مانند PPO - DQN - DDQN - GA - GNN - MARL که بر روی شبیه سازی هایی با نام PrimAITE - Yawing Titan - Cyborg عملیاتی شده است.
این یادگیری در ابعاد نظامی و تکنولوژی های عملیاتی آن نیز پیاده سازی شده است که میتواند موجبات دفع حملاتی که مبتنی بر فضای سایبر رخ میدهد، شود.
https://i.blackhat.com/BH-US-24/Presentations/US24-MilesFarmer-ReinforcementLearningForAutonomousResilientCyberDefence-Thursday.pdf
@Unk9vvN
#LLMs for #Offensive #Cyber Capabilities
بواسطه LLM یا Large Language Model اقدام به اجرای حملات و شبیه سازی بهره برداری از آسیب پذیری ها، انجام شده است.
در روش شناسی مورد استفاده، در مرحله اول پوشش آسیب پذیری و فرایند های شناسایی انجام شده است و در مرحله بعد ایجاد دسترسی و طراحی کد بهره برداری (Exploit) بواسطه هوش مصنوعی بوده است.
همچنین فرایند ایجاد بدافزار نیست کاملا مبتنی بر Test Case های LLM OCO انجام شده و فرایند های ارتقاء سطح دسترسی و نامحسوس سازی در مقابل، شناسایی، عملیاتی شده است.
در این Benchmark که با نام Ground2Crown انجام شده، بطور میانگین 70% تکنیک های ATT&CK به درستی انجام شده است.
در تست دیگری با نام CyberLayer سناریو های حمله بواسطه ظرفیت های ارزیابی شده قربانی انتخاب شده است.
از این ارائه میتوان این برداشت را کرد که از این پس شاهد اجرا صفر تا صد حملات تیم قرمز بطور هوشمند خواهیم بود.
@Unk9vvN
بواسطه LLM یا Large Language Model اقدام به اجرای حملات و شبیه سازی بهره برداری از آسیب پذیری ها، انجام شده است.
در روش شناسی مورد استفاده، در مرحله اول پوشش آسیب پذیری و فرایند های شناسایی انجام شده است و در مرحله بعد ایجاد دسترسی و طراحی کد بهره برداری (Exploit) بواسطه هوش مصنوعی بوده است.
همچنین فرایند ایجاد بدافزار نیست کاملا مبتنی بر Test Case های LLM OCO انجام شده و فرایند های ارتقاء سطح دسترسی و نامحسوس سازی در مقابل، شناسایی، عملیاتی شده است.
در این Benchmark که با نام Ground2Crown انجام شده، بطور میانگین 70% تکنیک های ATT&CK به درستی انجام شده است.
در تست دیگری با نام CyberLayer سناریو های حمله بواسطه ظرفیت های ارزیابی شده قربانی انتخاب شده است.
از این ارائه میتوان این برداشت را کرد که از این پس شاهد اجرا صفر تا صد حملات تیم قرمز بطور هوشمند خواهیم بود.
@Unk9vvN