#ZeroNighs Russia
کنفرانس سالانه ی ZeroNights که به نوعی اون رو میتوان Defcon روسیه نامید, هر ساله با استقبال و حمایت شرکت های فعال در حوزه امنیت سایبری برگزار میشه,
ایجاد فرهنگ تحقیقاتی در خصوص علوم های جدید و حیاتی یکی از الزامات پیشرفت کشورها در آن عرصه ها است, بنابراین همواره برای تشریح و تفهیم درست بسیاری از مباحث می بایست تشکل های اجتماعی برگزار نمود,
امیدواریم که شرکت های ایرانی هم از اینگونه فرهنگ سازی های علمی یاد گرفته و در راستای بالا بردن بهره وری خود حمایت های لازمه ای رو از فعالیت های اجتماعی به عمل بیاورند,
البته تا زمانی که مطالبه کیفی از این شرکت ها بوجود نیاد و عملکرد آنها زیر ذره بین نره اتفاقی نخواهد افتاد,
آینده عمومی علوم سایبری ایران دارای چالش های بسیاریست...
https://zeronights.ru/en/partners
@Unk9vvN
کنفرانس سالانه ی ZeroNights که به نوعی اون رو میتوان Defcon روسیه نامید, هر ساله با استقبال و حمایت شرکت های فعال در حوزه امنیت سایبری برگزار میشه,
ایجاد فرهنگ تحقیقاتی در خصوص علوم های جدید و حیاتی یکی از الزامات پیشرفت کشورها در آن عرصه ها است, بنابراین همواره برای تشریح و تفهیم درست بسیاری از مباحث می بایست تشکل های اجتماعی برگزار نمود,
امیدواریم که شرکت های ایرانی هم از اینگونه فرهنگ سازی های علمی یاد گرفته و در راستای بالا بردن بهره وری خود حمایت های لازمه ای رو از فعالیت های اجتماعی به عمل بیاورند,
البته تا زمانی که مطالبه کیفی از این شرکت ها بوجود نیاد و عملکرد آنها زیر ذره بین نره اتفاقی نخواهد افتاد,
آینده عمومی علوم سایبری ایران دارای چالش های بسیاریست...
https://zeronights.ru/en/partners
@Unk9vvN
#Mapping EDR to ATT&CKs
آیا با تکنیک Mapping به واسطه نتایج موتورهای تجزیه و تحلیلگر هدفمند آشنا هستید؟
یکی از راه های Threat hunting موفق استفاده از همین دست تکنیک ها است, که متخصص به واسطه نتایج گوناگونی که از EDR ها و Logger ها بدست آورده است سعی بر ترسیم سناریو حمله طبق استاندارد های تعریف شده در MITRE ATT&CK را میدهد،
در نتیجه هوش مصنوعی به تنهایی قادر به ترسیم کامل این نوع تحلیل نیست و اینجاست که یک متخصص مسلط بر تمامی استانداردهای MITRE بسیار نقش کلیدی را بازی خواهد کرد و با تحلیل داده های گرد آوری شده نقشه یک شکار Advanced Threat را به واسطه تجربیات خود انجام خواهد داد,
ماشین ها همواره در حال تکامل یافتن هستند و به تنهایی نمیتوانند فضای گسترده تکنیکی رو پوشش دهند پس الزام بر بکارگیری نیروی حرفه ای، یکی از ارکان اصلی خدمات تدافعی حملات پیشرفته خواهد بود.
https://en.wikipedia.org/wiki/Cyber_threat_hunting
@Unk9vvN
آیا با تکنیک Mapping به واسطه نتایج موتورهای تجزیه و تحلیلگر هدفمند آشنا هستید؟
یکی از راه های Threat hunting موفق استفاده از همین دست تکنیک ها است, که متخصص به واسطه نتایج گوناگونی که از EDR ها و Logger ها بدست آورده است سعی بر ترسیم سناریو حمله طبق استاندارد های تعریف شده در MITRE ATT&CK را میدهد،
در نتیجه هوش مصنوعی به تنهایی قادر به ترسیم کامل این نوع تحلیل نیست و اینجاست که یک متخصص مسلط بر تمامی استانداردهای MITRE بسیار نقش کلیدی را بازی خواهد کرد و با تحلیل داده های گرد آوری شده نقشه یک شکار Advanced Threat را به واسطه تجربیات خود انجام خواهد داد,
ماشین ها همواره در حال تکامل یافتن هستند و به تنهایی نمیتوانند فضای گسترده تکنیکی رو پوشش دهند پس الزام بر بکارگیری نیروی حرفه ای، یکی از ارکان اصلی خدمات تدافعی حملات پیشرفته خواهد بود.
https://en.wikipedia.org/wiki/Cyber_threat_hunting
@Unk9vvN
#Github Dorking Technique
شاید جالب باشه براتون که با استفاده از Dork های github به Source Code هایی میشه دست یافت که ایده ها و تکنیک های خوبی رو برای الگوریتم یا موضوع خاصی طراحی شده اند,
بسیاری از دوستان توجه به این بمب منبع ندارند, این در حالیه که github هر ساله بسیار رشد الگوریتمی داره و حتی در خصوص روش های نوین تیم قرمز و پیلود های پیشرفته و CnC های خوش ساخت بسیار غنی شده,
در همین خصوص شمارو با یک منبع Dork آشنا میکنم تا در این امر خلاقیت برای بدست آوردن source code های خوب داشته باشید...
https://gist.github.com/nullenc0de/fa23444ed574e7e978507178b50e1057
@Unk9vvN
شاید جالب باشه براتون که با استفاده از Dork های github به Source Code هایی میشه دست یافت که ایده ها و تکنیک های خوبی رو برای الگوریتم یا موضوع خاصی طراحی شده اند,
بسیاری از دوستان توجه به این بمب منبع ندارند, این در حالیه که github هر ساله بسیار رشد الگوریتمی داره و حتی در خصوص روش های نوین تیم قرمز و پیلود های پیشرفته و CnC های خوش ساخت بسیار غنی شده,
در همین خصوص شمارو با یک منبع Dork آشنا میکنم تا در این امر خلاقیت برای بدست آوردن source code های خوب داشته باشید...
https://gist.github.com/nullenc0de/fa23444ed574e7e978507178b50e1057
@Unk9vvN
#AIEngine is a Next Generation (NIDS)
اگر به دنبال کتابخانه ای برای زبان هایی مانند Python, Ruby, Java, Lua هستید در خصوص ایجاد یک Intrusion Detection System , میتونید با aiengine کار کنید,
پشتیبانی از Regex Graphs
پشتیبانی از PCRE JIT برای Regex
پشتیبانی از انواع Stack شبکه ها
پشتیبانی از امکان ایجاد فیلتر برای جستجو IP
پشتیبانی از بنرهای HTTP,DNS و SSL
پشتیبانی از ساخت امضای YARA
پشتیبانی از رهگیری حملات DDoS
پشتیبانی از امکان Forensic بصورت Real time
پشتیبانی از پروتکل های بسیار مثل ModBus و CoAP...
همونطور که در تصویر پست دو مثال طراحی بر بستر این کتابخانه رو میبینید امکان رهگیری فعالیت یک بدافزار و یا یک Shellcode یک اکسپلویت را فراهم نموده و کاملا بصورت شخصی سازی میتوان Rule طراحی کرد...
https://aiengine.readthedocs.io/en/latest/aiengine.html
@Unk9vvN
اگر به دنبال کتابخانه ای برای زبان هایی مانند Python, Ruby, Java, Lua هستید در خصوص ایجاد یک Intrusion Detection System , میتونید با aiengine کار کنید,
پشتیبانی از Regex Graphs
پشتیبانی از PCRE JIT برای Regex
پشتیبانی از انواع Stack شبکه ها
پشتیبانی از امکان ایجاد فیلتر برای جستجو IP
پشتیبانی از بنرهای HTTP,DNS و SSL
پشتیبانی از ساخت امضای YARA
پشتیبانی از رهگیری حملات DDoS
پشتیبانی از امکان Forensic بصورت Real time
پشتیبانی از پروتکل های بسیار مثل ModBus و CoAP...
همونطور که در تصویر پست دو مثال طراحی بر بستر این کتابخانه رو میبینید امکان رهگیری فعالیت یک بدافزار و یا یک Shellcode یک اکسپلویت را فراهم نموده و کاملا بصورت شخصی سازی میتوان Rule طراحی کرد...
https://aiengine.readthedocs.io/en/latest/aiengine.html
@Unk9vvN
#Nodejs #Deserialization Exploiting
تصویر شماره 1 حاوی یک کد سمت سرور است که دارای آسیب پذیری Deserialization در پارامتر دریافتی Cookie هستش,
اگر دقت کنید متغییر obj مستقیما مقدار Base64 شده پارامتر Cookie که در Object بالای یعنی str به عنوان یک ()toString ترجمه شده است را (str)unserialize کرده و اجرا میشود,
خب حالا بهره برداری از این آسیب پذیری مستلزم این است که یک پیلود RCE در خصوص پارسر زبان Nodejs طراحی بشود, خب در تصویر دوم من یک پیلود از Github پیدا کردم که به نظرم پیلود خوبی هست, همونطور که میبینید دو require به net و child_process زده شده که امکان ایجاد یک سوکت بر بستر یک پروسس زیرین رو فراهم میکنه,
نکته ای که در این پیلود مهمه اینه که هکر با استفاده از,تعریف یک () bracket در انتهای پیلود یک تماس بصورت invoked function ایجاد کرده که بعد از پارس شدن کد در سمت سرور بصورت اتوماتیک اجرا هم بشود,
مورد بعدی تصویر 3 هستش که پیلود ساخته شده میبایست یک بار به CharCode اینکودشده و سپس با اضافه کردن {} پیلود رو به فرمت Json تعریف کرده و نهایتا Base64 شده و آماده ارسال.
REF
@Unk9vvN
تصویر شماره 1 حاوی یک کد سمت سرور است که دارای آسیب پذیری Deserialization در پارامتر دریافتی Cookie هستش,
اگر دقت کنید متغییر obj مستقیما مقدار Base64 شده پارامتر Cookie که در Object بالای یعنی str به عنوان یک ()toString ترجمه شده است را (str)unserialize کرده و اجرا میشود,
خب حالا بهره برداری از این آسیب پذیری مستلزم این است که یک پیلود RCE در خصوص پارسر زبان Nodejs طراحی بشود, خب در تصویر دوم من یک پیلود از Github پیدا کردم که به نظرم پیلود خوبی هست, همونطور که میبینید دو require به net و child_process زده شده که امکان ایجاد یک سوکت بر بستر یک پروسس زیرین رو فراهم میکنه,
نکته ای که در این پیلود مهمه اینه که هکر با استفاده از,تعریف یک () bracket در انتهای پیلود یک تماس بصورت invoked function ایجاد کرده که بعد از پارس شدن کد در سمت سرور بصورت اتوماتیک اجرا هم بشود,
مورد بعدی تصویر 3 هستش که پیلود ساخته شده میبایست یک بار به CharCode اینکودشده و سپس با اضافه کردن {} پیلود رو به فرمت Json تعریف کرده و نهایتا Base64 شده و آماده ارسال.
REF
@Unk9vvN
#Red_Team & #Endpoint_Detection_Response Maps
اگر علاقمند هستید که دامنه و گستره بازرسی و روند شناسایی دیوایس های #EDR را بدانید میتواند تصویر نقشه EDR را مطالعه نمایید, مبحث کنترل Endpoint ها همه روزه با تقویت موتورهای Heuristic و Signature Based و رفتارشناسی در خصوص حملات Advanced Threat بیشتر شده و کار را برای استفاده از روش های عمومی سخت کرده است,
همچنین تصویر سمت چپ دارای نقشه عملکردی تیم قرمز هستش که از این روی تیم های قرمز هم بیکار نبوده اند و در فضاهای مختلف سعی بر ترکیب سازی روش های ابداعی خود دارند و با آزمون خطا نقاط ضعف #EDR ها را شناسایی میکنند, برای بررسی طیف گسترده ای از این تکنیک ها شمارو ارجاع میدم به gist زیر,
https://gist.github.com/RedTeams
با بررسی روش های بالا میتوانید با دامنه سناریو سازی ها و طراحی Stage های مختلف حمله آشنا شده و با کمی خلاقیت باز هم از همین روش های عمومی شده به جهت دور زدن مکانیزم های دفاعی استفاده کنید...
https://en.wikipedia.org/wiki/Red_team
https://en.wikipedia.org/wiki/Endpoint_detection_and_response
@Unk9vvN
اگر علاقمند هستید که دامنه و گستره بازرسی و روند شناسایی دیوایس های #EDR را بدانید میتواند تصویر نقشه EDR را مطالعه نمایید, مبحث کنترل Endpoint ها همه روزه با تقویت موتورهای Heuristic و Signature Based و رفتارشناسی در خصوص حملات Advanced Threat بیشتر شده و کار را برای استفاده از روش های عمومی سخت کرده است,
همچنین تصویر سمت چپ دارای نقشه عملکردی تیم قرمز هستش که از این روی تیم های قرمز هم بیکار نبوده اند و در فضاهای مختلف سعی بر ترکیب سازی روش های ابداعی خود دارند و با آزمون خطا نقاط ضعف #EDR ها را شناسایی میکنند, برای بررسی طیف گسترده ای از این تکنیک ها شمارو ارجاع میدم به gist زیر,
https://gist.github.com/RedTeams
با بررسی روش های بالا میتوانید با دامنه سناریو سازی ها و طراحی Stage های مختلف حمله آشنا شده و با کمی خلاقیت باز هم از همین روش های عمومی شده به جهت دور زدن مکانیزم های دفاعی استفاده کنید...
https://en.wikipedia.org/wiki/Red_team
https://en.wikipedia.org/wiki/Endpoint_detection_and_response
@Unk9vvN
#Whonix Gateway
سالهاس که سیستم عاملی با پتانسیل های بالاتری نسبت به سایر سیستم عامل های لینوکسی طراحی شده که به شما این امکان رو میده براحتی تمامی ترافیک یک شبکه با داشتن کلاینت های متعدد رو ناشناس کنید و ترافیک خروجی رو از شبکه Tor رد کنید, برای اینکار چون در ایران IP های شبکه Tor فیلتر هستش میبایست بصورت دستی طبق راهنمایی های تصاویر پست IP از لینک زیر گرفته
https://bridges.torproject.org/options
و در حالتی که گزینه Transport بصورت none هستش دریافت کرده و به Whonix Gateway معرفی کنید تا بتونه با شبکه Tor ارتباط بگیره, بعد از اتمام این فرایند کافیه Gateway کامپیوتر های داخل شبکه LAN رو Gateway ساخته شده این سیستم عامل که با نام Whonix بصورت پیشفرض ساخته میشه بدید تا کامپیوترها یا گوشی ها و دیگر موارد از DHCP Server این سیستم عامل IP دریافت کرده و اون رو به عنوان Router خودشون مد نظر قرار بدن و نهایتا ترافیک ارسالی و دریافتی خودشون رو از طریق این سیستم عامل انجام بدن و ترافیک ورودی رو Forward شده و از طریق شبکه Tor ارسال بشود بدون کوچک ترین دخالت و زحمتی برای کاربران شبکه.
@Unk9vvN
سالهاس که سیستم عاملی با پتانسیل های بالاتری نسبت به سایر سیستم عامل های لینوکسی طراحی شده که به شما این امکان رو میده براحتی تمامی ترافیک یک شبکه با داشتن کلاینت های متعدد رو ناشناس کنید و ترافیک خروجی رو از شبکه Tor رد کنید, برای اینکار چون در ایران IP های شبکه Tor فیلتر هستش میبایست بصورت دستی طبق راهنمایی های تصاویر پست IP از لینک زیر گرفته
https://bridges.torproject.org/options
و در حالتی که گزینه Transport بصورت none هستش دریافت کرده و به Whonix Gateway معرفی کنید تا بتونه با شبکه Tor ارتباط بگیره, بعد از اتمام این فرایند کافیه Gateway کامپیوتر های داخل شبکه LAN رو Gateway ساخته شده این سیستم عامل که با نام Whonix بصورت پیشفرض ساخته میشه بدید تا کامپیوترها یا گوشی ها و دیگر موارد از DHCP Server این سیستم عامل IP دریافت کرده و اون رو به عنوان Router خودشون مد نظر قرار بدن و نهایتا ترافیک ارسالی و دریافتی خودشون رو از طریق این سیستم عامل انجام بدن و ترافیک ورودی رو Forward شده و از طریق شبکه Tor ارسال بشود بدون کوچک ترین دخالت و زحمتی برای کاربران شبکه.
@Unk9vvN
#Adobe Experience Manager (AEM) Vulnerability
شاید شما هم در وبسایت های بسیار معروف با این پلتفرم شرکت Adobe که در خصوص مدیریت محتوای برنامه های تحت وب فعالیت داره آشنا شده باشید, در سال ۲۰۱۵ یک آسیب پذیری RCE در این پلتفرم موجب شد که دامنه signout.live.com شرکت ماکروسافت هک بشه که البته هکر صرفا به جهت دریافت جایزه آسیب پذیری رو گزارش کرده,
جالبه که بدونید فایل config مرتبط با CRX Content Repository بصورت Anonymous قابل دسترس بوده و هکر میتونسته این فایل config رو بصورت non-authenticated خونده و رمز اون رو که از رمزنگاری SHA-256 استفاده شده بوده رو براحتی با دستور زیر بشکنه
$
@Unk9vvN
شاید شما هم در وبسایت های بسیار معروف با این پلتفرم شرکت Adobe که در خصوص مدیریت محتوای برنامه های تحت وب فعالیت داره آشنا شده باشید, در سال ۲۰۱۵ یک آسیب پذیری RCE در این پلتفرم موجب شد که دامنه signout.live.com شرکت ماکروسافت هک بشه که البته هکر صرفا به جهت دریافت جایزه آسیب پذیری رو گزارش کرده,
جالبه که بدونید فایل config مرتبط با CRX Content Repository بصورت Anonymous قابل دسترس بوده و هکر میتونسته این فایل config رو بصورت non-authenticated خونده و رمز اون رو که از رمزنگاری SHA-256 استفاده شده بوده رو براحتی با دستور زیر بشکنه
$
h=$(echo "6J7An/QgzU+j5gr1G0CyEexJ9xkgiIyyUzTcmaCCV5g=" | base64 -d | xxd -p | tr -d '\n');echo $h > hash.txt;cd /usr/share/wordlists;sudo gzip -d rockyou.txt.gz;cd ;hashcat -a 0 -m 1400 hash.txt /usr/share/wordlists/rockyou.txt
و با نام کاربری که در تصویر شماره ۲ می بینید یعنی admin لاگین کنه در پلتفرم و در تصویر ۳ در قالب یک ماژول مربوطه برای AEM یک Webshell رو نصب و دسترسی ایجاد کنه...@Unk9vvN