#Attacking_SSL_VPN_1 with #APT_39
در این پست بصورت متخصر در خصوص آسیب پذیری های سرویس دهنده های VPNs صحبت خواهیم کرد و چگونگی بستر شدن این آسیب پذیری ها برای پیاده سازی حمله سایبری منتسب به گروه ایرانی Fox Kitten که به دست کمپانی ClearSky گزارش شد,
در سال ۲۰۱۹ محققی با نام مستعار Orange Tsai در وبلاگ خودش اعلام کرد که بر روی سرویس دهنده های VPN در قسمت پردازش SSL آسیب پذیری های متعددی وجود داره که برخی از این آسیب پذیری ها منجر به #RCE و یا خواند فایل خواهد شد, اما چندی بعد در کنفرانس سالانه BlackHat 2019 مقاله ای رو ارائه داد که در این ارائه بصورت کاملتری پروسه Exploit کردن این سرویس هارو ارائه داد,
به گفته ایشون Fortinet و Pluse Secure و Palo Alto دارای آسیب پذیری هستند که خارج از پروسه Auth اکسپلویت شدن, بالای 50.000 در سرویس Pulse Secure و بالای 480.000 دیوایس در سرویس دهنده Fortigate دارای این آسیب پذیری ها هستند, سه کانسپت هم از این آسیب پذیرند Release شده که با ذکر CVE اونها لینک میکنم براتون,
CVE-2018-13379
CVE-2019-11510
CVE-2019-1579
Reference Blog Part 1
Reference Blog Part 2
@Unk9vvN
در این پست بصورت متخصر در خصوص آسیب پذیری های سرویس دهنده های VPNs صحبت خواهیم کرد و چگونگی بستر شدن این آسیب پذیری ها برای پیاده سازی حمله سایبری منتسب به گروه ایرانی Fox Kitten که به دست کمپانی ClearSky گزارش شد,
در سال ۲۰۱۹ محققی با نام مستعار Orange Tsai در وبلاگ خودش اعلام کرد که بر روی سرویس دهنده های VPN در قسمت پردازش SSL آسیب پذیری های متعددی وجود داره که برخی از این آسیب پذیری ها منجر به #RCE و یا خواند فایل خواهد شد, اما چندی بعد در کنفرانس سالانه BlackHat 2019 مقاله ای رو ارائه داد که در این ارائه بصورت کاملتری پروسه Exploit کردن این سرویس هارو ارائه داد,
به گفته ایشون Fortinet و Pluse Secure و Palo Alto دارای آسیب پذیری هستند که خارج از پروسه Auth اکسپلویت شدن, بالای 50.000 در سرویس Pulse Secure و بالای 480.000 دیوایس در سرویس دهنده Fortigate دارای این آسیب پذیری ها هستند, سه کانسپت هم از این آسیب پذیرند Release شده که با ذکر CVE اونها لینک میکنم براتون,
CVE-2018-13379
CVE-2019-11510
CVE-2019-1579
Reference Blog Part 1
Reference Blog Part 2
@Unk9vvN
#Signaling #Exploitation
به تازگی فصل موضوعی مورد توجه محققین قرار گرفته که بسیار محرک و قدرتمنده , اونم چیزی نیست جز اکسپلویت کردن پروتکل های Signaling و دیوایس های مورد استفاده,
برای اینکه کمی ذهنتون رو دقیقتر کنم اینطور این موضوع رو بیان میکنم که همواره یکی از بسترهای Binary Exploitation پروتکل های ارتباطی بوده مانند: RDP-SMB-DNS و دیگر پروتکل ها, اما به تازگی محققین شرکت P1 Security که فعال در حوزه امنیت زیرساخت های مخابراتی هستند آمدن و در ارائه ای موضوعی رو مطرح کردن که فصل تازه ای در حملات سایبری رو باز خواهد کرد,
فرض کنید دیوایس های فعال در زیرساخت های مخابراتی مورد نفوذ قرار بگیره, مانند پایگاه های VLR و HLR و غیره, بدین معنی که دسترسی سیستم عامل دیوایس های کنترلی حاصل بشه, از جمله سوءاستفاده هایی که از پس اکسپلویت کردن پروتکل های زیرساختی میشه کرد,
عملیات Erase کردن کامل دیوایس که منجر به Persistent DoS خواهد شد, دستکاری ترافیک های دریافتی سیگنالی, مثل بروز رسانی اشتباه موقعیت Location یک دیوایس و موارد دیگه که در اینجا گنجایش بیانش نیست...
Reference
@Unk9vvN
به تازگی فصل موضوعی مورد توجه محققین قرار گرفته که بسیار محرک و قدرتمنده , اونم چیزی نیست جز اکسپلویت کردن پروتکل های Signaling و دیوایس های مورد استفاده,
برای اینکه کمی ذهنتون رو دقیقتر کنم اینطور این موضوع رو بیان میکنم که همواره یکی از بسترهای Binary Exploitation پروتکل های ارتباطی بوده مانند: RDP-SMB-DNS و دیگر پروتکل ها, اما به تازگی محققین شرکت P1 Security که فعال در حوزه امنیت زیرساخت های مخابراتی هستند آمدن و در ارائه ای موضوعی رو مطرح کردن که فصل تازه ای در حملات سایبری رو باز خواهد کرد,
فرض کنید دیوایس های فعال در زیرساخت های مخابراتی مورد نفوذ قرار بگیره, مانند پایگاه های VLR و HLR و غیره, بدین معنی که دسترسی سیستم عامل دیوایس های کنترلی حاصل بشه, از جمله سوءاستفاده هایی که از پس اکسپلویت کردن پروتکل های زیرساختی میشه کرد,
عملیات Erase کردن کامل دیوایس که منجر به Persistent DoS خواهد شد, دستکاری ترافیک های دریافتی سیگنالی, مثل بروز رسانی اشتباه موقعیت Location یک دیوایس و موارد دیگه که در اینجا گنجایش بیانش نیست...
Reference
@Unk9vvN
#RCS_Hacking
به تازگی محققان شرکت گوگل در اقدامی بر روی فناوری کار کرده اند با نام RCS یا Rich Communication Services که جایگزینی برای تماس و پیام کوتاه باشه و امکاناتی مانند iMessage و WhatsApp در اونها بومی بشه,
این فناوری بر بستر پروتکل های اینترنتی مانند SIP و HTTP پیاده میشوند که امکان تماس های ویدیویی ,انتقال داده و چت کردن رو به همراه داره, حالا محققانی مانند سینا یزدانمهرتحقیقاتی رو در SRLabs شروع کرده و به نتیجه رسانده اند که نشان میدهد این فناوری از آسیب پذیری های حیاتی برخورداره,
در تصویر پست پیاده سازی RCS در کشورهارو مشاهده میکنید که ایران درش نیست, و در تصاویر بعدی شرح این آسیب پذیری هاست که توضیح نمیدم مشخص هستش,
اما در تصویر سمت راست پایین وضعیت سناریو های حمله بر بستر شبکه های رادیویی رو مشاهده میکنید که مکانیزم های Mitigations اون ها هم ذکر شده , حالا در لینک زیر وضعیت ایران رو در خصوص این نوع از آسیب پذیری های SS7 پایه مشاهده خواهید کرد,
https://gsmmap.org/assets/pdfs/gsmmap.org-country_report-Iran-2019-01.pdf
Demo_1
Demo_2
Demo_3
Demo_4
Reference
@Unk9vvN
به تازگی محققان شرکت گوگل در اقدامی بر روی فناوری کار کرده اند با نام RCS یا Rich Communication Services که جایگزینی برای تماس و پیام کوتاه باشه و امکاناتی مانند iMessage و WhatsApp در اونها بومی بشه,
این فناوری بر بستر پروتکل های اینترنتی مانند SIP و HTTP پیاده میشوند که امکان تماس های ویدیویی ,انتقال داده و چت کردن رو به همراه داره, حالا محققانی مانند سینا یزدانمهرتحقیقاتی رو در SRLabs شروع کرده و به نتیجه رسانده اند که نشان میدهد این فناوری از آسیب پذیری های حیاتی برخورداره,
در تصویر پست پیاده سازی RCS در کشورهارو مشاهده میکنید که ایران درش نیست, و در تصاویر بعدی شرح این آسیب پذیری هاست که توضیح نمیدم مشخص هستش,
اما در تصویر سمت راست پایین وضعیت سناریو های حمله بر بستر شبکه های رادیویی رو مشاهده میکنید که مکانیزم های Mitigations اون ها هم ذکر شده , حالا در لینک زیر وضعیت ایران رو در خصوص این نوع از آسیب پذیری های SS7 پایه مشاهده خواهید کرد,
https://gsmmap.org/assets/pdfs/gsmmap.org-country_report-Iran-2019-01.pdf
Demo_1
Demo_2
Demo_3
Demo_4
Reference
@Unk9vvN
#Ransomware Compiles itself at Runtime #Avoid AVs
یکی از چالش های باج افزارها روند فعال شدن اونها هستش که با وجود مکانیزم ها و EDR های مختلف بسیار چالش بزرگی به حساب خواهد آمد, از این روی روش هایی مبتکرانه بعضاً استفاده میشه که بتونه این چالش رو بصورت نا محسوس حل کنه,
همونطور که در تصویر شماره یک میبینید استفاده از روش یک namespace و یک کلاس HelloWorldClass تعریف شده, اینجا دقیقا جایی هست که کد منبع یک باج افزار یا بدافزار میبایست قرار بگیره و در ادامه میبینید که با استفاده از ویژگی CodeDom.Compiler یک فرایند Initial Compile شکل میگیره و در تصویر دو و خط ۴۷ و ۴۸ Object مربوطه ساخته و کد باج افزار بهش معرفی میشه,
حالا استفاده از csc.exe برای ما بسیار حیاتی میشه و با استفاده از csc.exe یک dll در پوشه %temp% خروجی داده میشه که به دلیل استفاده از Method ویژه ای که بصورت System.Reflection اجرا میشه یعنی Invoke در خط ۶۸ تعریف شده و کد در حافظه مستقیما اجرا خواهد شد...
https://www.bleepingcomputer.com/news/security/new-c-ransomware-compiles-itself-at-runtime/
@Unk9vvN
یکی از چالش های باج افزارها روند فعال شدن اونها هستش که با وجود مکانیزم ها و EDR های مختلف بسیار چالش بزرگی به حساب خواهد آمد, از این روی روش هایی مبتکرانه بعضاً استفاده میشه که بتونه این چالش رو بصورت نا محسوس حل کنه,
همونطور که در تصویر شماره یک میبینید استفاده از روش یک namespace و یک کلاس HelloWorldClass تعریف شده, اینجا دقیقا جایی هست که کد منبع یک باج افزار یا بدافزار میبایست قرار بگیره و در ادامه میبینید که با استفاده از ویژگی CodeDom.Compiler یک فرایند Initial Compile شکل میگیره و در تصویر دو و خط ۴۷ و ۴۸ Object مربوطه ساخته و کد باج افزار بهش معرفی میشه,
حالا استفاده از csc.exe برای ما بسیار حیاتی میشه و با استفاده از csc.exe یک dll در پوشه %temp% خروجی داده میشه که به دلیل استفاده از Method ویژه ای که بصورت System.Reflection اجرا میشه یعنی Invoke در خط ۶۸ تعریف شده و کد در حافظه مستقیما اجرا خواهد شد...
https://www.bleepingcomputer.com/news/security/new-c-ransomware-compiles-itself-at-runtime/
@Unk9vvN
#ZeroNighs Russia
کنفرانس سالانه ی ZeroNights که به نوعی اون رو میتوان Defcon روسیه نامید, هر ساله با استقبال و حمایت شرکت های فعال در حوزه امنیت سایبری برگزار میشه,
ایجاد فرهنگ تحقیقاتی در خصوص علوم های جدید و حیاتی یکی از الزامات پیشرفت کشورها در آن عرصه ها است, بنابراین همواره برای تشریح و تفهیم درست بسیاری از مباحث می بایست تشکل های اجتماعی برگزار نمود,
امیدواریم که شرکت های ایرانی هم از اینگونه فرهنگ سازی های علمی یاد گرفته و در راستای بالا بردن بهره وری خود حمایت های لازمه ای رو از فعالیت های اجتماعی به عمل بیاورند,
البته تا زمانی که مطالبه کیفی از این شرکت ها بوجود نیاد و عملکرد آنها زیر ذره بین نره اتفاقی نخواهد افتاد,
آینده عمومی علوم سایبری ایران دارای چالش های بسیاریست...
https://zeronights.ru/en/partners
@Unk9vvN
کنفرانس سالانه ی ZeroNights که به نوعی اون رو میتوان Defcon روسیه نامید, هر ساله با استقبال و حمایت شرکت های فعال در حوزه امنیت سایبری برگزار میشه,
ایجاد فرهنگ تحقیقاتی در خصوص علوم های جدید و حیاتی یکی از الزامات پیشرفت کشورها در آن عرصه ها است, بنابراین همواره برای تشریح و تفهیم درست بسیاری از مباحث می بایست تشکل های اجتماعی برگزار نمود,
امیدواریم که شرکت های ایرانی هم از اینگونه فرهنگ سازی های علمی یاد گرفته و در راستای بالا بردن بهره وری خود حمایت های لازمه ای رو از فعالیت های اجتماعی به عمل بیاورند,
البته تا زمانی که مطالبه کیفی از این شرکت ها بوجود نیاد و عملکرد آنها زیر ذره بین نره اتفاقی نخواهد افتاد,
آینده عمومی علوم سایبری ایران دارای چالش های بسیاریست...
https://zeronights.ru/en/partners
@Unk9vvN
#Mapping EDR to ATT&CKs
آیا با تکنیک Mapping به واسطه نتایج موتورهای تجزیه و تحلیلگر هدفمند آشنا هستید؟
یکی از راه های Threat hunting موفق استفاده از همین دست تکنیک ها است, که متخصص به واسطه نتایج گوناگونی که از EDR ها و Logger ها بدست آورده است سعی بر ترسیم سناریو حمله طبق استاندارد های تعریف شده در MITRE ATT&CK را میدهد،
در نتیجه هوش مصنوعی به تنهایی قادر به ترسیم کامل این نوع تحلیل نیست و اینجاست که یک متخصص مسلط بر تمامی استانداردهای MITRE بسیار نقش کلیدی را بازی خواهد کرد و با تحلیل داده های گرد آوری شده نقشه یک شکار Advanced Threat را به واسطه تجربیات خود انجام خواهد داد,
ماشین ها همواره در حال تکامل یافتن هستند و به تنهایی نمیتوانند فضای گسترده تکنیکی رو پوشش دهند پس الزام بر بکارگیری نیروی حرفه ای، یکی از ارکان اصلی خدمات تدافعی حملات پیشرفته خواهد بود.
https://en.wikipedia.org/wiki/Cyber_threat_hunting
@Unk9vvN
آیا با تکنیک Mapping به واسطه نتایج موتورهای تجزیه و تحلیلگر هدفمند آشنا هستید؟
یکی از راه های Threat hunting موفق استفاده از همین دست تکنیک ها است, که متخصص به واسطه نتایج گوناگونی که از EDR ها و Logger ها بدست آورده است سعی بر ترسیم سناریو حمله طبق استاندارد های تعریف شده در MITRE ATT&CK را میدهد،
در نتیجه هوش مصنوعی به تنهایی قادر به ترسیم کامل این نوع تحلیل نیست و اینجاست که یک متخصص مسلط بر تمامی استانداردهای MITRE بسیار نقش کلیدی را بازی خواهد کرد و با تحلیل داده های گرد آوری شده نقشه یک شکار Advanced Threat را به واسطه تجربیات خود انجام خواهد داد,
ماشین ها همواره در حال تکامل یافتن هستند و به تنهایی نمیتوانند فضای گسترده تکنیکی رو پوشش دهند پس الزام بر بکارگیری نیروی حرفه ای، یکی از ارکان اصلی خدمات تدافعی حملات پیشرفته خواهد بود.
https://en.wikipedia.org/wiki/Cyber_threat_hunting
@Unk9vvN
#Github Dorking Technique
شاید جالب باشه براتون که با استفاده از Dork های github به Source Code هایی میشه دست یافت که ایده ها و تکنیک های خوبی رو برای الگوریتم یا موضوع خاصی طراحی شده اند,
بسیاری از دوستان توجه به این بمب منبع ندارند, این در حالیه که github هر ساله بسیار رشد الگوریتمی داره و حتی در خصوص روش های نوین تیم قرمز و پیلود های پیشرفته و CnC های خوش ساخت بسیار غنی شده,
در همین خصوص شمارو با یک منبع Dork آشنا میکنم تا در این امر خلاقیت برای بدست آوردن source code های خوب داشته باشید...
https://gist.github.com/nullenc0de/fa23444ed574e7e978507178b50e1057
@Unk9vvN
شاید جالب باشه براتون که با استفاده از Dork های github به Source Code هایی میشه دست یافت که ایده ها و تکنیک های خوبی رو برای الگوریتم یا موضوع خاصی طراحی شده اند,
بسیاری از دوستان توجه به این بمب منبع ندارند, این در حالیه که github هر ساله بسیار رشد الگوریتمی داره و حتی در خصوص روش های نوین تیم قرمز و پیلود های پیشرفته و CnC های خوش ساخت بسیار غنی شده,
در همین خصوص شمارو با یک منبع Dork آشنا میکنم تا در این امر خلاقیت برای بدست آوردن source code های خوب داشته باشید...
https://gist.github.com/nullenc0de/fa23444ed574e7e978507178b50e1057
@Unk9vvN