#Signaling #Exploitation
به تازگی فصل موضوعی مورد توجه محققین قرار گرفته که بسیار محرک و قدرتمنده , اونم چیزی نیست جز اکسپلویت کردن پروتکل های Signaling و دیوایس های مورد استفاده,
برای اینکه کمی ذهنتون رو دقیقتر کنم اینطور این موضوع رو بیان میکنم که همواره یکی از بسترهای Binary Exploitation پروتکل های ارتباطی بوده مانند: RDP-SMB-DNS و دیگر پروتکل ها, اما به تازگی محققین شرکت P1 Security که فعال در حوزه امنیت زیرساخت های مخابراتی هستند آمدن و در ارائه ای موضوعی رو مطرح کردن که فصل تازه ای در حملات سایبری رو باز خواهد کرد,
فرض کنید دیوایس های فعال در زیرساخت های مخابراتی مورد نفوذ قرار بگیره, مانند پایگاه های VLR و HLR و غیره, بدین معنی که دسترسی سیستم عامل دیوایس های کنترلی حاصل بشه, از جمله سوءاستفاده هایی که از پس اکسپلویت کردن پروتکل های زیرساختی میشه کرد,
عملیات Erase کردن کامل دیوایس که منجر به Persistent DoS خواهد شد, دستکاری ترافیک های دریافتی سیگنالی, مثل بروز رسانی اشتباه موقعیت Location یک دیوایس و موارد دیگه که در اینجا گنجایش بیانش نیست...
Reference
@Unk9vvN
به تازگی فصل موضوعی مورد توجه محققین قرار گرفته که بسیار محرک و قدرتمنده , اونم چیزی نیست جز اکسپلویت کردن پروتکل های Signaling و دیوایس های مورد استفاده,
برای اینکه کمی ذهنتون رو دقیقتر کنم اینطور این موضوع رو بیان میکنم که همواره یکی از بسترهای Binary Exploitation پروتکل های ارتباطی بوده مانند: RDP-SMB-DNS و دیگر پروتکل ها, اما به تازگی محققین شرکت P1 Security که فعال در حوزه امنیت زیرساخت های مخابراتی هستند آمدن و در ارائه ای موضوعی رو مطرح کردن که فصل تازه ای در حملات سایبری رو باز خواهد کرد,
فرض کنید دیوایس های فعال در زیرساخت های مخابراتی مورد نفوذ قرار بگیره, مانند پایگاه های VLR و HLR و غیره, بدین معنی که دسترسی سیستم عامل دیوایس های کنترلی حاصل بشه, از جمله سوءاستفاده هایی که از پس اکسپلویت کردن پروتکل های زیرساختی میشه کرد,
عملیات Erase کردن کامل دیوایس که منجر به Persistent DoS خواهد شد, دستکاری ترافیک های دریافتی سیگنالی, مثل بروز رسانی اشتباه موقعیت Location یک دیوایس و موارد دیگه که در اینجا گنجایش بیانش نیست...
Reference
@Unk9vvN
#RCS_Hacking
به تازگی محققان شرکت گوگل در اقدامی بر روی فناوری کار کرده اند با نام RCS یا Rich Communication Services که جایگزینی برای تماس و پیام کوتاه باشه و امکاناتی مانند iMessage و WhatsApp در اونها بومی بشه,
این فناوری بر بستر پروتکل های اینترنتی مانند SIP و HTTP پیاده میشوند که امکان تماس های ویدیویی ,انتقال داده و چت کردن رو به همراه داره, حالا محققانی مانند سینا یزدانمهرتحقیقاتی رو در SRLabs شروع کرده و به نتیجه رسانده اند که نشان میدهد این فناوری از آسیب پذیری های حیاتی برخورداره,
در تصویر پست پیاده سازی RCS در کشورهارو مشاهده میکنید که ایران درش نیست, و در تصاویر بعدی شرح این آسیب پذیری هاست که توضیح نمیدم مشخص هستش,
اما در تصویر سمت راست پایین وضعیت سناریو های حمله بر بستر شبکه های رادیویی رو مشاهده میکنید که مکانیزم های Mitigations اون ها هم ذکر شده , حالا در لینک زیر وضعیت ایران رو در خصوص این نوع از آسیب پذیری های SS7 پایه مشاهده خواهید کرد,
https://gsmmap.org/assets/pdfs/gsmmap.org-country_report-Iran-2019-01.pdf
Demo_1
Demo_2
Demo_3
Demo_4
Reference
@Unk9vvN
به تازگی محققان شرکت گوگل در اقدامی بر روی فناوری کار کرده اند با نام RCS یا Rich Communication Services که جایگزینی برای تماس و پیام کوتاه باشه و امکاناتی مانند iMessage و WhatsApp در اونها بومی بشه,
این فناوری بر بستر پروتکل های اینترنتی مانند SIP و HTTP پیاده میشوند که امکان تماس های ویدیویی ,انتقال داده و چت کردن رو به همراه داره, حالا محققانی مانند سینا یزدانمهرتحقیقاتی رو در SRLabs شروع کرده و به نتیجه رسانده اند که نشان میدهد این فناوری از آسیب پذیری های حیاتی برخورداره,
در تصویر پست پیاده سازی RCS در کشورهارو مشاهده میکنید که ایران درش نیست, و در تصاویر بعدی شرح این آسیب پذیری هاست که توضیح نمیدم مشخص هستش,
اما در تصویر سمت راست پایین وضعیت سناریو های حمله بر بستر شبکه های رادیویی رو مشاهده میکنید که مکانیزم های Mitigations اون ها هم ذکر شده , حالا در لینک زیر وضعیت ایران رو در خصوص این نوع از آسیب پذیری های SS7 پایه مشاهده خواهید کرد,
https://gsmmap.org/assets/pdfs/gsmmap.org-country_report-Iran-2019-01.pdf
Demo_1
Demo_2
Demo_3
Demo_4
Reference
@Unk9vvN
#Ransomware Compiles itself at Runtime #Avoid AVs
یکی از چالش های باج افزارها روند فعال شدن اونها هستش که با وجود مکانیزم ها و EDR های مختلف بسیار چالش بزرگی به حساب خواهد آمد, از این روی روش هایی مبتکرانه بعضاً استفاده میشه که بتونه این چالش رو بصورت نا محسوس حل کنه,
همونطور که در تصویر شماره یک میبینید استفاده از روش یک namespace و یک کلاس HelloWorldClass تعریف شده, اینجا دقیقا جایی هست که کد منبع یک باج افزار یا بدافزار میبایست قرار بگیره و در ادامه میبینید که با استفاده از ویژگی CodeDom.Compiler یک فرایند Initial Compile شکل میگیره و در تصویر دو و خط ۴۷ و ۴۸ Object مربوطه ساخته و کد باج افزار بهش معرفی میشه,
حالا استفاده از csc.exe برای ما بسیار حیاتی میشه و با استفاده از csc.exe یک dll در پوشه %temp% خروجی داده میشه که به دلیل استفاده از Method ویژه ای که بصورت System.Reflection اجرا میشه یعنی Invoke در خط ۶۸ تعریف شده و کد در حافظه مستقیما اجرا خواهد شد...
https://www.bleepingcomputer.com/news/security/new-c-ransomware-compiles-itself-at-runtime/
@Unk9vvN
یکی از چالش های باج افزارها روند فعال شدن اونها هستش که با وجود مکانیزم ها و EDR های مختلف بسیار چالش بزرگی به حساب خواهد آمد, از این روی روش هایی مبتکرانه بعضاً استفاده میشه که بتونه این چالش رو بصورت نا محسوس حل کنه,
همونطور که در تصویر شماره یک میبینید استفاده از روش یک namespace و یک کلاس HelloWorldClass تعریف شده, اینجا دقیقا جایی هست که کد منبع یک باج افزار یا بدافزار میبایست قرار بگیره و در ادامه میبینید که با استفاده از ویژگی CodeDom.Compiler یک فرایند Initial Compile شکل میگیره و در تصویر دو و خط ۴۷ و ۴۸ Object مربوطه ساخته و کد باج افزار بهش معرفی میشه,
حالا استفاده از csc.exe برای ما بسیار حیاتی میشه و با استفاده از csc.exe یک dll در پوشه %temp% خروجی داده میشه که به دلیل استفاده از Method ویژه ای که بصورت System.Reflection اجرا میشه یعنی Invoke در خط ۶۸ تعریف شده و کد در حافظه مستقیما اجرا خواهد شد...
https://www.bleepingcomputer.com/news/security/new-c-ransomware-compiles-itself-at-runtime/
@Unk9vvN
#ZeroNighs Russia
کنفرانس سالانه ی ZeroNights که به نوعی اون رو میتوان Defcon روسیه نامید, هر ساله با استقبال و حمایت شرکت های فعال در حوزه امنیت سایبری برگزار میشه,
ایجاد فرهنگ تحقیقاتی در خصوص علوم های جدید و حیاتی یکی از الزامات پیشرفت کشورها در آن عرصه ها است, بنابراین همواره برای تشریح و تفهیم درست بسیاری از مباحث می بایست تشکل های اجتماعی برگزار نمود,
امیدواریم که شرکت های ایرانی هم از اینگونه فرهنگ سازی های علمی یاد گرفته و در راستای بالا بردن بهره وری خود حمایت های لازمه ای رو از فعالیت های اجتماعی به عمل بیاورند,
البته تا زمانی که مطالبه کیفی از این شرکت ها بوجود نیاد و عملکرد آنها زیر ذره بین نره اتفاقی نخواهد افتاد,
آینده عمومی علوم سایبری ایران دارای چالش های بسیاریست...
https://zeronights.ru/en/partners
@Unk9vvN
کنفرانس سالانه ی ZeroNights که به نوعی اون رو میتوان Defcon روسیه نامید, هر ساله با استقبال و حمایت شرکت های فعال در حوزه امنیت سایبری برگزار میشه,
ایجاد فرهنگ تحقیقاتی در خصوص علوم های جدید و حیاتی یکی از الزامات پیشرفت کشورها در آن عرصه ها است, بنابراین همواره برای تشریح و تفهیم درست بسیاری از مباحث می بایست تشکل های اجتماعی برگزار نمود,
امیدواریم که شرکت های ایرانی هم از اینگونه فرهنگ سازی های علمی یاد گرفته و در راستای بالا بردن بهره وری خود حمایت های لازمه ای رو از فعالیت های اجتماعی به عمل بیاورند,
البته تا زمانی که مطالبه کیفی از این شرکت ها بوجود نیاد و عملکرد آنها زیر ذره بین نره اتفاقی نخواهد افتاد,
آینده عمومی علوم سایبری ایران دارای چالش های بسیاریست...
https://zeronights.ru/en/partners
@Unk9vvN
#Mapping EDR to ATT&CKs
آیا با تکنیک Mapping به واسطه نتایج موتورهای تجزیه و تحلیلگر هدفمند آشنا هستید؟
یکی از راه های Threat hunting موفق استفاده از همین دست تکنیک ها است, که متخصص به واسطه نتایج گوناگونی که از EDR ها و Logger ها بدست آورده است سعی بر ترسیم سناریو حمله طبق استاندارد های تعریف شده در MITRE ATT&CK را میدهد،
در نتیجه هوش مصنوعی به تنهایی قادر به ترسیم کامل این نوع تحلیل نیست و اینجاست که یک متخصص مسلط بر تمامی استانداردهای MITRE بسیار نقش کلیدی را بازی خواهد کرد و با تحلیل داده های گرد آوری شده نقشه یک شکار Advanced Threat را به واسطه تجربیات خود انجام خواهد داد,
ماشین ها همواره در حال تکامل یافتن هستند و به تنهایی نمیتوانند فضای گسترده تکنیکی رو پوشش دهند پس الزام بر بکارگیری نیروی حرفه ای، یکی از ارکان اصلی خدمات تدافعی حملات پیشرفته خواهد بود.
https://en.wikipedia.org/wiki/Cyber_threat_hunting
@Unk9vvN
آیا با تکنیک Mapping به واسطه نتایج موتورهای تجزیه و تحلیلگر هدفمند آشنا هستید؟
یکی از راه های Threat hunting موفق استفاده از همین دست تکنیک ها است, که متخصص به واسطه نتایج گوناگونی که از EDR ها و Logger ها بدست آورده است سعی بر ترسیم سناریو حمله طبق استاندارد های تعریف شده در MITRE ATT&CK را میدهد،
در نتیجه هوش مصنوعی به تنهایی قادر به ترسیم کامل این نوع تحلیل نیست و اینجاست که یک متخصص مسلط بر تمامی استانداردهای MITRE بسیار نقش کلیدی را بازی خواهد کرد و با تحلیل داده های گرد آوری شده نقشه یک شکار Advanced Threat را به واسطه تجربیات خود انجام خواهد داد,
ماشین ها همواره در حال تکامل یافتن هستند و به تنهایی نمیتوانند فضای گسترده تکنیکی رو پوشش دهند پس الزام بر بکارگیری نیروی حرفه ای، یکی از ارکان اصلی خدمات تدافعی حملات پیشرفته خواهد بود.
https://en.wikipedia.org/wiki/Cyber_threat_hunting
@Unk9vvN
#Github Dorking Technique
شاید جالب باشه براتون که با استفاده از Dork های github به Source Code هایی میشه دست یافت که ایده ها و تکنیک های خوبی رو برای الگوریتم یا موضوع خاصی طراحی شده اند,
بسیاری از دوستان توجه به این بمب منبع ندارند, این در حالیه که github هر ساله بسیار رشد الگوریتمی داره و حتی در خصوص روش های نوین تیم قرمز و پیلود های پیشرفته و CnC های خوش ساخت بسیار غنی شده,
در همین خصوص شمارو با یک منبع Dork آشنا میکنم تا در این امر خلاقیت برای بدست آوردن source code های خوب داشته باشید...
https://gist.github.com/nullenc0de/fa23444ed574e7e978507178b50e1057
@Unk9vvN
شاید جالب باشه براتون که با استفاده از Dork های github به Source Code هایی میشه دست یافت که ایده ها و تکنیک های خوبی رو برای الگوریتم یا موضوع خاصی طراحی شده اند,
بسیاری از دوستان توجه به این بمب منبع ندارند, این در حالیه که github هر ساله بسیار رشد الگوریتمی داره و حتی در خصوص روش های نوین تیم قرمز و پیلود های پیشرفته و CnC های خوش ساخت بسیار غنی شده,
در همین خصوص شمارو با یک منبع Dork آشنا میکنم تا در این امر خلاقیت برای بدست آوردن source code های خوب داشته باشید...
https://gist.github.com/nullenc0de/fa23444ed574e7e978507178b50e1057
@Unk9vvN
#AIEngine is a Next Generation (NIDS)
اگر به دنبال کتابخانه ای برای زبان هایی مانند Python, Ruby, Java, Lua هستید در خصوص ایجاد یک Intrusion Detection System , میتونید با aiengine کار کنید,
پشتیبانی از Regex Graphs
پشتیبانی از PCRE JIT برای Regex
پشتیبانی از انواع Stack شبکه ها
پشتیبانی از امکان ایجاد فیلتر برای جستجو IP
پشتیبانی از بنرهای HTTP,DNS و SSL
پشتیبانی از ساخت امضای YARA
پشتیبانی از رهگیری حملات DDoS
پشتیبانی از امکان Forensic بصورت Real time
پشتیبانی از پروتکل های بسیار مثل ModBus و CoAP...
همونطور که در تصویر پست دو مثال طراحی بر بستر این کتابخانه رو میبینید امکان رهگیری فعالیت یک بدافزار و یا یک Shellcode یک اکسپلویت را فراهم نموده و کاملا بصورت شخصی سازی میتوان Rule طراحی کرد...
https://aiengine.readthedocs.io/en/latest/aiengine.html
@Unk9vvN
اگر به دنبال کتابخانه ای برای زبان هایی مانند Python, Ruby, Java, Lua هستید در خصوص ایجاد یک Intrusion Detection System , میتونید با aiengine کار کنید,
پشتیبانی از Regex Graphs
پشتیبانی از PCRE JIT برای Regex
پشتیبانی از انواع Stack شبکه ها
پشتیبانی از امکان ایجاد فیلتر برای جستجو IP
پشتیبانی از بنرهای HTTP,DNS و SSL
پشتیبانی از ساخت امضای YARA
پشتیبانی از رهگیری حملات DDoS
پشتیبانی از امکان Forensic بصورت Real time
پشتیبانی از پروتکل های بسیار مثل ModBus و CoAP...
همونطور که در تصویر پست دو مثال طراحی بر بستر این کتابخانه رو میبینید امکان رهگیری فعالیت یک بدافزار و یا یک Shellcode یک اکسپلویت را فراهم نموده و کاملا بصورت شخصی سازی میتوان Rule طراحی کرد...
https://aiengine.readthedocs.io/en/latest/aiengine.html
@Unk9vvN