#AIEngine is a Next Generation (NIDS)
اگر به دنبال کتابخانه ای برای زبان هایی مانند Python, Ruby, Java, Lua هستید در خصوص ایجاد یک Intrusion Detection System , میتونید با aiengine کار کنید,
پشتیبانی از Regex Graphs
پشتیبانی از PCRE JIT برای Regex
پشتیبانی از انواع Stack شبکه ها
پشتیبانی از امکان ایجاد فیلتر برای جستجو IP
پشتیبانی از بنرهای HTTP,DNS و SSL
پشتیبانی از ساخت امضای YARA
پشتیبانی از رهگیری حملات DDoS
پشتیبانی از امکان Forensic بصورت Real time
پشتیبانی از پروتکل های بسیار مثل ModBus و CoAP...
همونطور که در تصویر پست دو مثال طراحی بر بستر این کتابخانه رو میبینید امکان رهگیری فعالیت یک بدافزار و یا یک Shellcode یک اکسپلویت را فراهم نموده و کاملا بصورت شخصی سازی میتوان Rule طراحی کرد...
https://aiengine.readthedocs.io/en/latest/aiengine.html
@Unk9vvN
اگر به دنبال کتابخانه ای برای زبان هایی مانند Python, Ruby, Java, Lua هستید در خصوص ایجاد یک Intrusion Detection System , میتونید با aiengine کار کنید,
پشتیبانی از Regex Graphs
پشتیبانی از PCRE JIT برای Regex
پشتیبانی از انواع Stack شبکه ها
پشتیبانی از امکان ایجاد فیلتر برای جستجو IP
پشتیبانی از بنرهای HTTP,DNS و SSL
پشتیبانی از ساخت امضای YARA
پشتیبانی از رهگیری حملات DDoS
پشتیبانی از امکان Forensic بصورت Real time
پشتیبانی از پروتکل های بسیار مثل ModBus و CoAP...
همونطور که در تصویر پست دو مثال طراحی بر بستر این کتابخانه رو میبینید امکان رهگیری فعالیت یک بدافزار و یا یک Shellcode یک اکسپلویت را فراهم نموده و کاملا بصورت شخصی سازی میتوان Rule طراحی کرد...
https://aiengine.readthedocs.io/en/latest/aiengine.html
@Unk9vvN
#Nodejs #Deserialization Exploiting
تصویر شماره 1 حاوی یک کد سمت سرور است که دارای آسیب پذیری Deserialization در پارامتر دریافتی Cookie هستش,
اگر دقت کنید متغییر obj مستقیما مقدار Base64 شده پارامتر Cookie که در Object بالای یعنی str به عنوان یک ()toString ترجمه شده است را (str)unserialize کرده و اجرا میشود,
خب حالا بهره برداری از این آسیب پذیری مستلزم این است که یک پیلود RCE در خصوص پارسر زبان Nodejs طراحی بشود, خب در تصویر دوم من یک پیلود از Github پیدا کردم که به نظرم پیلود خوبی هست, همونطور که میبینید دو require به net و child_process زده شده که امکان ایجاد یک سوکت بر بستر یک پروسس زیرین رو فراهم میکنه,
نکته ای که در این پیلود مهمه اینه که هکر با استفاده از,تعریف یک () bracket در انتهای پیلود یک تماس بصورت invoked function ایجاد کرده که بعد از پارس شدن کد در سمت سرور بصورت اتوماتیک اجرا هم بشود,
مورد بعدی تصویر 3 هستش که پیلود ساخته شده میبایست یک بار به CharCode اینکودشده و سپس با اضافه کردن {} پیلود رو به فرمت Json تعریف کرده و نهایتا Base64 شده و آماده ارسال.
REF
@Unk9vvN
تصویر شماره 1 حاوی یک کد سمت سرور است که دارای آسیب پذیری Deserialization در پارامتر دریافتی Cookie هستش,
اگر دقت کنید متغییر obj مستقیما مقدار Base64 شده پارامتر Cookie که در Object بالای یعنی str به عنوان یک ()toString ترجمه شده است را (str)unserialize کرده و اجرا میشود,
خب حالا بهره برداری از این آسیب پذیری مستلزم این است که یک پیلود RCE در خصوص پارسر زبان Nodejs طراحی بشود, خب در تصویر دوم من یک پیلود از Github پیدا کردم که به نظرم پیلود خوبی هست, همونطور که میبینید دو require به net و child_process زده شده که امکان ایجاد یک سوکت بر بستر یک پروسس زیرین رو فراهم میکنه,
نکته ای که در این پیلود مهمه اینه که هکر با استفاده از,تعریف یک () bracket در انتهای پیلود یک تماس بصورت invoked function ایجاد کرده که بعد از پارس شدن کد در سمت سرور بصورت اتوماتیک اجرا هم بشود,
مورد بعدی تصویر 3 هستش که پیلود ساخته شده میبایست یک بار به CharCode اینکودشده و سپس با اضافه کردن {} پیلود رو به فرمت Json تعریف کرده و نهایتا Base64 شده و آماده ارسال.
REF
@Unk9vvN
#Red_Team & #Endpoint_Detection_Response Maps
اگر علاقمند هستید که دامنه و گستره بازرسی و روند شناسایی دیوایس های #EDR را بدانید میتواند تصویر نقشه EDR را مطالعه نمایید, مبحث کنترل Endpoint ها همه روزه با تقویت موتورهای Heuristic و Signature Based و رفتارشناسی در خصوص حملات Advanced Threat بیشتر شده و کار را برای استفاده از روش های عمومی سخت کرده است,
همچنین تصویر سمت چپ دارای نقشه عملکردی تیم قرمز هستش که از این روی تیم های قرمز هم بیکار نبوده اند و در فضاهای مختلف سعی بر ترکیب سازی روش های ابداعی خود دارند و با آزمون خطا نقاط ضعف #EDR ها را شناسایی میکنند, برای بررسی طیف گسترده ای از این تکنیک ها شمارو ارجاع میدم به gist زیر,
https://gist.github.com/RedTeams
با بررسی روش های بالا میتوانید با دامنه سناریو سازی ها و طراحی Stage های مختلف حمله آشنا شده و با کمی خلاقیت باز هم از همین روش های عمومی شده به جهت دور زدن مکانیزم های دفاعی استفاده کنید...
https://en.wikipedia.org/wiki/Red_team
https://en.wikipedia.org/wiki/Endpoint_detection_and_response
@Unk9vvN
اگر علاقمند هستید که دامنه و گستره بازرسی و روند شناسایی دیوایس های #EDR را بدانید میتواند تصویر نقشه EDR را مطالعه نمایید, مبحث کنترل Endpoint ها همه روزه با تقویت موتورهای Heuristic و Signature Based و رفتارشناسی در خصوص حملات Advanced Threat بیشتر شده و کار را برای استفاده از روش های عمومی سخت کرده است,
همچنین تصویر سمت چپ دارای نقشه عملکردی تیم قرمز هستش که از این روی تیم های قرمز هم بیکار نبوده اند و در فضاهای مختلف سعی بر ترکیب سازی روش های ابداعی خود دارند و با آزمون خطا نقاط ضعف #EDR ها را شناسایی میکنند, برای بررسی طیف گسترده ای از این تکنیک ها شمارو ارجاع میدم به gist زیر,
https://gist.github.com/RedTeams
با بررسی روش های بالا میتوانید با دامنه سناریو سازی ها و طراحی Stage های مختلف حمله آشنا شده و با کمی خلاقیت باز هم از همین روش های عمومی شده به جهت دور زدن مکانیزم های دفاعی استفاده کنید...
https://en.wikipedia.org/wiki/Red_team
https://en.wikipedia.org/wiki/Endpoint_detection_and_response
@Unk9vvN
#Whonix Gateway
سالهاس که سیستم عاملی با پتانسیل های بالاتری نسبت به سایر سیستم عامل های لینوکسی طراحی شده که به شما این امکان رو میده براحتی تمامی ترافیک یک شبکه با داشتن کلاینت های متعدد رو ناشناس کنید و ترافیک خروجی رو از شبکه Tor رد کنید, برای اینکار چون در ایران IP های شبکه Tor فیلتر هستش میبایست بصورت دستی طبق راهنمایی های تصاویر پست IP از لینک زیر گرفته
https://bridges.torproject.org/options
و در حالتی که گزینه Transport بصورت none هستش دریافت کرده و به Whonix Gateway معرفی کنید تا بتونه با شبکه Tor ارتباط بگیره, بعد از اتمام این فرایند کافیه Gateway کامپیوتر های داخل شبکه LAN رو Gateway ساخته شده این سیستم عامل که با نام Whonix بصورت پیشفرض ساخته میشه بدید تا کامپیوترها یا گوشی ها و دیگر موارد از DHCP Server این سیستم عامل IP دریافت کرده و اون رو به عنوان Router خودشون مد نظر قرار بدن و نهایتا ترافیک ارسالی و دریافتی خودشون رو از طریق این سیستم عامل انجام بدن و ترافیک ورودی رو Forward شده و از طریق شبکه Tor ارسال بشود بدون کوچک ترین دخالت و زحمتی برای کاربران شبکه.
@Unk9vvN
سالهاس که سیستم عاملی با پتانسیل های بالاتری نسبت به سایر سیستم عامل های لینوکسی طراحی شده که به شما این امکان رو میده براحتی تمامی ترافیک یک شبکه با داشتن کلاینت های متعدد رو ناشناس کنید و ترافیک خروجی رو از شبکه Tor رد کنید, برای اینکار چون در ایران IP های شبکه Tor فیلتر هستش میبایست بصورت دستی طبق راهنمایی های تصاویر پست IP از لینک زیر گرفته
https://bridges.torproject.org/options
و در حالتی که گزینه Transport بصورت none هستش دریافت کرده و به Whonix Gateway معرفی کنید تا بتونه با شبکه Tor ارتباط بگیره, بعد از اتمام این فرایند کافیه Gateway کامپیوتر های داخل شبکه LAN رو Gateway ساخته شده این سیستم عامل که با نام Whonix بصورت پیشفرض ساخته میشه بدید تا کامپیوترها یا گوشی ها و دیگر موارد از DHCP Server این سیستم عامل IP دریافت کرده و اون رو به عنوان Router خودشون مد نظر قرار بدن و نهایتا ترافیک ارسالی و دریافتی خودشون رو از طریق این سیستم عامل انجام بدن و ترافیک ورودی رو Forward شده و از طریق شبکه Tor ارسال بشود بدون کوچک ترین دخالت و زحمتی برای کاربران شبکه.
@Unk9vvN
#Adobe Experience Manager (AEM) Vulnerability
شاید شما هم در وبسایت های بسیار معروف با این پلتفرم شرکت Adobe که در خصوص مدیریت محتوای برنامه های تحت وب فعالیت داره آشنا شده باشید, در سال ۲۰۱۵ یک آسیب پذیری RCE در این پلتفرم موجب شد که دامنه signout.live.com شرکت ماکروسافت هک بشه که البته هکر صرفا به جهت دریافت جایزه آسیب پذیری رو گزارش کرده,
جالبه که بدونید فایل config مرتبط با CRX Content Repository بصورت Anonymous قابل دسترس بوده و هکر میتونسته این فایل config رو بصورت non-authenticated خونده و رمز اون رو که از رمزنگاری SHA-256 استفاده شده بوده رو براحتی با دستور زیر بشکنه
$
@Unk9vvN
شاید شما هم در وبسایت های بسیار معروف با این پلتفرم شرکت Adobe که در خصوص مدیریت محتوای برنامه های تحت وب فعالیت داره آشنا شده باشید, در سال ۲۰۱۵ یک آسیب پذیری RCE در این پلتفرم موجب شد که دامنه signout.live.com شرکت ماکروسافت هک بشه که البته هکر صرفا به جهت دریافت جایزه آسیب پذیری رو گزارش کرده,
جالبه که بدونید فایل config مرتبط با CRX Content Repository بصورت Anonymous قابل دسترس بوده و هکر میتونسته این فایل config رو بصورت non-authenticated خونده و رمز اون رو که از رمزنگاری SHA-256 استفاده شده بوده رو براحتی با دستور زیر بشکنه
$
h=$(echo "6J7An/QgzU+j5gr1G0CyEexJ9xkgiIyyUzTcmaCCV5g=" | base64 -d | xxd -p | tr -d '\n');echo $h > hash.txt;cd /usr/share/wordlists;sudo gzip -d rockyou.txt.gz;cd ;hashcat -a 0 -m 1400 hash.txt /usr/share/wordlists/rockyou.txt
و با نام کاربری که در تصویر شماره ۲ می بینید یعنی admin لاگین کنه در پلتفرم و در تصویر ۳ در قالب یک ماژول مربوطه برای AEM یک Webshell رو نصب و دسترسی ایجاد کنه...@Unk9vvN
#APT_Hunter
یه محقق به اسم ahmedkhalief یه کار زیبا کرده به نظرم در عین سادگی بسیار کارآمده, شکار تهدیدات یک وظیفه در خصوص سرپرست های مرکز کنترل امنیت حساب میشه که عامل تعیین کننده ای در خصوص کشف حملات رخدادی هستش,
از طرف دیگه نرم افزارهایی که در این خصوص فعال میشوند گاه بسیار عمل مانیتوریگ رو پیچیده و پر زحمت میکنند, از این روی ابزار این محقق بسیار گزینه ساده و در عین حال کار آمدی حساب میشه, تصاویری که مشاهده میکنید نشان دهنده بخشی از عملکرد یک ابزاره که در قدم اول تمامی COM Object ها و مخازن Log آنهارو بدست آوردی و در کد بعدی تعریف شده که در آنها جستجو و Pattern های خاصی که مدنظر هستش نمایان بشه,
اینجا محقق نیومده مستقیما خودش با استفاده از هوش مصنوعی عمل رهگیری رو انجام بده, و صرفا خواسته مواردی و دستوراتی که بعضا بر بستر COM Object که از حساسیت بالایی برخورداره رو برای ما به نمایش دربیاره, حالا اینکه Hunter باید تشخیص بده که استفاده ای از اون COM Object بصورت خطرناک بوده یا نه یک رفتار عادی بوده است...
https://github.com/ahmedkhlief/APT-Hunter
@Unk9vvN
یه محقق به اسم ahmedkhalief یه کار زیبا کرده به نظرم در عین سادگی بسیار کارآمده, شکار تهدیدات یک وظیفه در خصوص سرپرست های مرکز کنترل امنیت حساب میشه که عامل تعیین کننده ای در خصوص کشف حملات رخدادی هستش,
از طرف دیگه نرم افزارهایی که در این خصوص فعال میشوند گاه بسیار عمل مانیتوریگ رو پیچیده و پر زحمت میکنند, از این روی ابزار این محقق بسیار گزینه ساده و در عین حال کار آمدی حساب میشه, تصاویری که مشاهده میکنید نشان دهنده بخشی از عملکرد یک ابزاره که در قدم اول تمامی COM Object ها و مخازن Log آنهارو بدست آوردی و در کد بعدی تعریف شده که در آنها جستجو و Pattern های خاصی که مدنظر هستش نمایان بشه,
اینجا محقق نیومده مستقیما خودش با استفاده از هوش مصنوعی عمل رهگیری رو انجام بده, و صرفا خواسته مواردی و دستوراتی که بعضا بر بستر COM Object که از حساسیت بالایی برخورداره رو برای ما به نمایش دربیاره, حالا اینکه Hunter باید تشخیص بده که استفاده ای از اون COM Object بصورت خطرناک بوده یا نه یک رفتار عادی بوده است...
https://github.com/ahmedkhlief/APT-Hunter
@Unk9vvN
#Microsoft Defender for Endpoint
ماکروسافت هم وارد عرصه محصولات Endpoint Security شده و بسیاری از آسیب پذیری های عمومی و تکنیک های مورد استفاده تیم های APT رو پوشش میده, میشه گفت ویژگی های این محصول رفتار شناسی دقیقش هستش که بر پایه مستندات MITRE ATT&CK کار میکنه, از این روی از این پس پیاده سازی بسیاری از تکنیک ها بر روی سیستم عامل های ویندوز سختر خواهد شد,
این محصول متمایز تر از محصولات دیگس چرا که طراحش خود ماکروسافت هستش, ویژگی های دیگه این محصول:
راه حل امنیتی نهایی و جامع ارائه شده توسط ابره که شامل مدیریت و ارزیابی آسیب پذیری مبتنی بر ریسک، کاهش سطح حمله، حفاظت نسل بعدی مبتنی بر رفتار و ابر، تشخیص و پاسخ به نقطه پایان (EDR)، تحقیق و اصلاح خودکار، خدمات شکار مدیریت شده، API های غنی و مدیریت امنیت یکپارچه خواهد بود...
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-advanced-threat-protection
@Unk9vvN
ماکروسافت هم وارد عرصه محصولات Endpoint Security شده و بسیاری از آسیب پذیری های عمومی و تکنیک های مورد استفاده تیم های APT رو پوشش میده, میشه گفت ویژگی های این محصول رفتار شناسی دقیقش هستش که بر پایه مستندات MITRE ATT&CK کار میکنه, از این روی از این پس پیاده سازی بسیاری از تکنیک ها بر روی سیستم عامل های ویندوز سختر خواهد شد,
این محصول متمایز تر از محصولات دیگس چرا که طراحش خود ماکروسافت هستش, ویژگی های دیگه این محصول:
راه حل امنیتی نهایی و جامع ارائه شده توسط ابره که شامل مدیریت و ارزیابی آسیب پذیری مبتنی بر ریسک، کاهش سطح حمله، حفاظت نسل بعدی مبتنی بر رفتار و ابر، تشخیص و پاسخ به نقطه پایان (EDR)، تحقیق و اصلاح خودکار، خدمات شکار مدیریت شده، API های غنی و مدیریت امنیت یکپارچه خواهد بود...
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-advanced-threat-protection
@Unk9vvN
#ICMP Deliver Shellcode ( #Exfiltration )
یکی از روش های Exfiltration یا مخفی سازی کانال ارتباطی با CnC اینه که Shellcode اصلی خودمون رو در مکانی قرار بدیم که وقتی مثلا قراره به واسطه یک دانلودر Stage اول دریافت بشه, در معرض دید مکانیزم های شناسایی کننده تحت شبکه و Endpoint Security نباشه,
یعنی فیلد یا مناطقی قرار نداشته باشه که مکانیزم ها یا متخصصین BlueTeam بتوانند رصدش بکنند, خب یکی از سناریو های طرح شده این بوده که Shellcode رو در قالب ICMP Request به سیستم عامل قربانی ارسال کنیم, چرا که 65,000 بایت داده میتونه بگیره که برای ارسال Shellcode مناسبه,
همونطور که در تصویر شماره یک پست میبینید پیلودی از MSF دریافت شده بر مبنای زبان #C که در Initial آبجک ساخته شده از کلاس Ping ریخته شده و در قالب یک ICMP Request به سمت قربانی ارسال میشه,
در تصویر دوم Stage مختص به دریافت Shellcode تعریف شده که بعد از Import API سیستم عامل برای دریافت Shellcode از Sockettype.Raw و رایت کردن اون در یک پراسس برنامه ای مشخص مثل Notepad استفاده شده و با استفاده از توابع سیستمی یک Thread برای Shellcode ایجاد میشه...
SRC
@Unk9vvN
یکی از روش های Exfiltration یا مخفی سازی کانال ارتباطی با CnC اینه که Shellcode اصلی خودمون رو در مکانی قرار بدیم که وقتی مثلا قراره به واسطه یک دانلودر Stage اول دریافت بشه, در معرض دید مکانیزم های شناسایی کننده تحت شبکه و Endpoint Security نباشه,
یعنی فیلد یا مناطقی قرار نداشته باشه که مکانیزم ها یا متخصصین BlueTeam بتوانند رصدش بکنند, خب یکی از سناریو های طرح شده این بوده که Shellcode رو در قالب ICMP Request به سیستم عامل قربانی ارسال کنیم, چرا که 65,000 بایت داده میتونه بگیره که برای ارسال Shellcode مناسبه,
همونطور که در تصویر شماره یک پست میبینید پیلودی از MSF دریافت شده بر مبنای زبان #C که در Initial آبجک ساخته شده از کلاس Ping ریخته شده و در قالب یک ICMP Request به سمت قربانی ارسال میشه,
در تصویر دوم Stage مختص به دریافت Shellcode تعریف شده که بعد از Import API سیستم عامل برای دریافت Shellcode از Sockettype.Raw و رایت کردن اون در یک پراسس برنامه ای مشخص مثل Notepad استفاده شده و با استفاده از توابع سیستمی یک Thread برای Shellcode ایجاد میشه...
SRC
@Unk9vvN