#Cybersecurity #Training #Standards
در دنیا استاندارد های آموزشی حوزه امنیت سایبری، همواره در حال ارتقاء است، بطوری که شرکت های برتر این حوزه هر ساله ظرفیت های فنی و محتوای خود را بسیار رشد می دهند.
اما در عین حال در ایران این فرایند همواره به سبک سنتی و اغلب به دور از استاندارد های جهانی، ارائه میشود.
بطور مثال شرکت Offensive Security آمریکا در سایت خود اعلام میکند که ما بیش از 7 هزار ساعت محتوای نوشتاری (کتاب) تولید کرده و بیش از 1800 ویدیو آموزشی و بیش از 4200 آزمایشگاه عملیاتی توسعه داده شده است.
همچنین این آموزش ها با ظرفیت های زیرساختی بسیار با کیفیت و با مهندسی و معماری دقیقی طراحی میشود که برای این آموزش ها بیش از 300 متخصص بصورت از راه دور درگیر بوده اند.
اهمیت پرداختن به کیفیت آموزش آنجاست که زمان تولید نیروی انسانی با کیفیت بصورت تضمینی پایین خواهد آمد.
این مسئله موجب میشود تا شرکت های تجاری این حوزه قدرت و توانمندی تولید محصولات در عرصه های جهانی را پیدا کنند.
رویکردی که متاسفانه در ایران همچنان ضعیف و با فضا سازی ها و سو استفاده از عدم آگاهی مخاطبان، اتفاق می افتد.
@Unk9vvN
در دنیا استاندارد های آموزشی حوزه امنیت سایبری، همواره در حال ارتقاء است، بطوری که شرکت های برتر این حوزه هر ساله ظرفیت های فنی و محتوای خود را بسیار رشد می دهند.
اما در عین حال در ایران این فرایند همواره به سبک سنتی و اغلب به دور از استاندارد های جهانی، ارائه میشود.
بطور مثال شرکت Offensive Security آمریکا در سایت خود اعلام میکند که ما بیش از 7 هزار ساعت محتوای نوشتاری (کتاب) تولید کرده و بیش از 1800 ویدیو آموزشی و بیش از 4200 آزمایشگاه عملیاتی توسعه داده شده است.
همچنین این آموزش ها با ظرفیت های زیرساختی بسیار با کیفیت و با مهندسی و معماری دقیقی طراحی میشود که برای این آموزش ها بیش از 300 متخصص بصورت از راه دور درگیر بوده اند.
اهمیت پرداختن به کیفیت آموزش آنجاست که زمان تولید نیروی انسانی با کیفیت بصورت تضمینی پایین خواهد آمد.
این مسئله موجب میشود تا شرکت های تجاری این حوزه قدرت و توانمندی تولید محصولات در عرصه های جهانی را پیدا کنند.
رویکردی که متاسفانه در ایران همچنان ضعیف و با فضا سازی ها و سو استفاده از عدم آگاهی مخاطبان، اتفاق می افتد.
@Unk9vvN
#WASM #Browser #Exploitation
در کنفرانس BlackHat 2024 آمریکا، ارائه ای در خصوص کشف آسیب پذیری باینری از موتور پیاده سازی Web Assembly ارائه شد که روش شناسی های جدیدی رو در این حوزه مطرح میکند.
محققین اعلام میکنند در مرورگرهای مدرن امروزی مانند Chrome و Safari، استفاده از ساختار Web Assembly در زبان Javascript این امکان رو خواهد داد تا مهاجمین در زمان Build Proccess اقدام به ایجاد یک سردرگمی نوع داده بکنند که ظرفیت اسپری Shellcode مخرب را داده و موجب اجرای کد در حافظه مرورگر میشود.
بطور خلاصه ماجرا از این قرار است که جریان اجرا در WASM به 3 حالت کلی برمیگرده، اول Runtime Build دوم ByteCode Execution سوم External Interaction که در حالت Runtime Build دو آسیب پذیری باینری کشف شده تا کنون، از Bytecode Exec نیز دو آسیب پذیری سردرگمی نوع داده و خواندن و نوشتن بیرون از باند رخ داده است.
در اثر استفاده WASM از Wrapper JS برای تغییر Context مثلا یک تابع، ظرفیت ایجاد یک آسیب پذیری سردرگمی نوع داده بوجود خواهد آمد.
بقیه ماجرا در مقاله...
@Unk9vvN
در کنفرانس BlackHat 2024 آمریکا، ارائه ای در خصوص کشف آسیب پذیری باینری از موتور پیاده سازی Web Assembly ارائه شد که روش شناسی های جدیدی رو در این حوزه مطرح میکند.
محققین اعلام میکنند در مرورگرهای مدرن امروزی مانند Chrome و Safari، استفاده از ساختار Web Assembly در زبان Javascript این امکان رو خواهد داد تا مهاجمین در زمان Build Proccess اقدام به ایجاد یک سردرگمی نوع داده بکنند که ظرفیت اسپری Shellcode مخرب را داده و موجب اجرای کد در حافظه مرورگر میشود.
بطور خلاصه ماجرا از این قرار است که جریان اجرا در WASM به 3 حالت کلی برمیگرده، اول Runtime Build دوم ByteCode Execution سوم External Interaction که در حالت Runtime Build دو آسیب پذیری باینری کشف شده تا کنون، از Bytecode Exec نیز دو آسیب پذیری سردرگمی نوع داده و خواندن و نوشتن بیرون از باند رخ داده است.
در اثر استفاده WASM از Wrapper JS برای تغییر Context مثلا یک تابع، ظرفیت ایجاد یک آسیب پذیری سردرگمی نوع داده بوجود خواهد آمد.
بقیه ماجرا در مقاله...
@Unk9vvN
#XSS and #CSRF to #RCE for #WordPress
اگر از افزونه های جانبی سیستم مدیریت محتوای WordPress آسیب پذیری XSS کشف شد، چطور میشه آسیب پذیری رو به RCE یا اجرای کد از راه دور، تبدیل کرد؟
مهاجم بواسطه ایجاد درخواست جعلی از سمت کاربر (CSRF) اقدام به ارسال Request بر روی مرورگر ادمین میکند بواسطه آسیب پذیری XSS که وجود دارد، یعنی آسیب پذیری XSS موجب میشود یک Exploit به زبان جاوا اسکریپت SRC شود.
لذا مهاجم میتواند بواسطه
و از آن CSRF-Token برای زدن درخواست معتبر بعدی مبنی بر بار گزاری یک افزونه جعلی استفاده خواهد کرد و با Endpoint مربوط به
اما نحوه صحبت با Backdoor روش جالبی است، که موجب صحبت با Endpoint درب عقبی شده و بواسطه ارسال دستورات در پارامتر های POST است که در تابع
@Unk9vvN
اگر از افزونه های جانبی سیستم مدیریت محتوای WordPress آسیب پذیری XSS کشف شد، چطور میشه آسیب پذیری رو به RCE یا اجرای کد از راه دور، تبدیل کرد؟
مهاجم بواسطه ایجاد درخواست جعلی از سمت کاربر (CSRF) اقدام به ارسال Request بر روی مرورگر ادمین میکند بواسطه آسیب پذیری XSS که وجود دارد، یعنی آسیب پذیری XSS موجب میشود یک Exploit به زبان جاوا اسکریپت SRC شود.
لذا مهاجم میتواند بواسطه
XMLHttpRequest شروع به درخواست با Cookie ادمین کند و بواسطه زدن اولین درخواست با روش GET، مقدار CSRF-Token که در وردپرس _wpnonce نام دارد را دریافت کند.و از آن CSRF-Token برای زدن درخواست معتبر بعدی مبنی بر بار گزاری یک افزونه جعلی استفاده خواهد کرد و با Endpoint مربوط به
plugin-install.php صحبت میکند، که نتیجه میشود بار گزاری یک افزونه Backdoor و در ادامه درخواست فعال سازی افزونه زده خواهد شد و تمام.اما نحوه صحبت با Backdoor روش جالبی است، که موجب صحبت با Endpoint درب عقبی شده و بواسطه ارسال دستورات در پارامتر های POST است که در تابع
()callback پارس خواهد شد.@Unk9vvN
#Cyberespionage #Gamaredon #APT on #Ukraine
اخیرا یک حمله از یک کمپین روسی شناسایی شده که هدفش سازمان های اکراینی و کشور های هم پیمان ناتو بوده است.
حمله به این صورت بوده یک فایل فرمت LNK به ایمیل های فیشینگ Attachment بوده که به محض دانلود و اجرا، Stage بعدی دانلود می شده است.
فایل LNK از بستر اینترنت یک فایل HTA رو بصورت از راه دور اجرا میکنه که اون فایل در حالت
فایل اجرایی HTA دارای یک ActiveX Object بوده که میاد
به
در فایل دریافتی یک کد JS وجود داره که میاد یک مقدار Base64 رو بصورت مبهم سازی هست رو دانلود میکنه که در اصل یک فایل rar هستش.
گزارش مفصل هست اما یک نکته جالب دیگه داره، اونم اینکه استفاده از تکنیک Fast Flux DNS که برای گم کردن رد C&C استفاده شده و مدام IP پشت دامنه ها در حال تغییر بوده.
@Unk9vvN
اخیرا یک حمله از یک کمپین روسی شناسایی شده که هدفش سازمان های اکراینی و کشور های هم پیمان ناتو بوده است.
حمله به این صورت بوده یک فایل فرمت LNK به ایمیل های فیشینگ Attachment بوده که به محض دانلود و اجرا، Stage بعدی دانلود می شده است.
فایل LNK از بستر اینترنت یک فایل HTA رو بصورت از راه دور اجرا میکنه که اون فایل در حالت
minimize بوده و پنجره ای نیز باز نخواهد کرد.فایل اجرایی HTA دارای یک ActiveX Object بوده که میاد
Wscript.Shell رو Object میکنه که اجازه دسترسی به خط فرمان رو خواهد داد.به
registered یک فرمان داده میشه برای اجرا که باز میاد mshta.exe رو بکار میگیره برای اجرای یک فایل دیگه با نام rejoined.jpeg که بظاهر فرمت jpeg دارد.در فایل دریافتی یک کد JS وجود داره که میاد یک مقدار Base64 رو بصورت مبهم سازی هست رو دانلود میکنه که در اصل یک فایل rar هستش.
گزارش مفصل هست اما یک نکته جالب دیگه داره، اونم اینکه استفاده از تکنیک Fast Flux DNS که برای گم کردن رد C&C استفاده شده و مدام IP پشت دامنه ها در حال تغییر بوده.
@Unk9vvN
#IOCONTROL #ICS #Trojan
در ماه فوریه امسال یک Trojan توسط Qianxin XLab شناسایی شد با نام IOCONTROL که بر پایه سیستم های لینوکسی بوده و در خصوص حمله به زیرساخت های صنعتی، دستگاه های HMI و PLC و IIoT فعالیت می کرده است.
که بواسطه پروتکل MQTT که در خصوص تجهیزات اینترنت اشیاء صنعتی است، با مرکز کنترل و فرمان مهاجمین ارتباط می گرفته است.
این بدافزار از DNS-over-HTTPS برای ارسال ترافیک اطلاعات پیکربندی ها استفاده می کرده است که مبتنی بر سرویس ابری Cloudflare عمل میکرده که همین موضوع باعث پنهان ماندن C2 بوده است.
همچنین از MQTT over TLS برای محافظت از ارسال و دریافت فرمان های C2 استفاده می کرده است که داده ها با رمزنگاری AES و Mode رمزنگاری CBC فعالیت داشته است.
خود بدافزار نیز یک فایل فرمت ELF 32 بیت بوده و با UPX یکدور پک شده و امضای UPX تغییر داده شده به ABC!.
اما تکنیک ماندگاری Trojan نیز یک اسکریپت Bash بوده است که اقدام به اجرای iocontrol بصورت پنهان کرده و 5 ثانیه به خواب میرود.
@Unk9vvN
در ماه فوریه امسال یک Trojan توسط Qianxin XLab شناسایی شد با نام IOCONTROL که بر پایه سیستم های لینوکسی بوده و در خصوص حمله به زیرساخت های صنعتی، دستگاه های HMI و PLC و IIoT فعالیت می کرده است.
که بواسطه پروتکل MQTT که در خصوص تجهیزات اینترنت اشیاء صنعتی است، با مرکز کنترل و فرمان مهاجمین ارتباط می گرفته است.
این بدافزار از DNS-over-HTTPS برای ارسال ترافیک اطلاعات پیکربندی ها استفاده می کرده است که مبتنی بر سرویس ابری Cloudflare عمل میکرده که همین موضوع باعث پنهان ماندن C2 بوده است.
همچنین از MQTT over TLS برای محافظت از ارسال و دریافت فرمان های C2 استفاده می کرده است که داده ها با رمزنگاری AES و Mode رمزنگاری CBC فعالیت داشته است.
خود بدافزار نیز یک فایل فرمت ELF 32 بیت بوده و با UPX یکدور پک شده و امضای UPX تغییر داده شده به ABC!.
اما تکنیک ماندگاری Trojan نیز یک اسکریپت Bash بوده است که اقدام به اجرای iocontrol بصورت پنهان کرده و 5 ثانیه به خواب میرود.
@Unk9vvN