#Active_Directory #ACEs
یه mindmap در خصوص روش های بهره برداری سرویس Access Control Entries که سطح دسترسی هارو در Active Directory کنترل میکنه و روش های بهره برداری متعددی داره،
از Misconfiguration ها برای پیاده سازی Lateral Movement یا بالا بردن سطح دسترسی در سرویس ACE میتونه اتفاق بی افته، همچنین مجوز هایی که برای Object های داده میشه رو میتوان دستکاری کرد و از تنظیم غلط ACE بهره برداری کرد.
بحث Movement با Shadow Credentials همچنین Kerberos Delegations و GPO ها و نهایتا DCSync از مواردی هستند که در mindmap بهشون اشاره شده است.
https://github.com/S1ckB0y1337/Active-Directory-Exploitation-Cheat-Sheet
@Unk9vvN
یه mindmap در خصوص روش های بهره برداری سرویس Access Control Entries که سطح دسترسی هارو در Active Directory کنترل میکنه و روش های بهره برداری متعددی داره،
از Misconfiguration ها برای پیاده سازی Lateral Movement یا بالا بردن سطح دسترسی در سرویس ACE میتونه اتفاق بی افته، همچنین مجوز هایی که برای Object های داده میشه رو میتوان دستکاری کرد و از تنظیم غلط ACE بهره برداری کرد.
بحث Movement با Shadow Credentials همچنین Kerberos Delegations و GPO ها و نهایتا DCSync از مواردی هستند که در mindmap بهشون اشاره شده است.
https://github.com/S1ckB0y1337/Active-Directory-Exploitation-Cheat-Sheet
@Unk9vvN
#MITRE #ATLAS #ML
اینبار ماتریسی در خصوص استفاده از تکنیک هایی که بر بستر هوش مصنوعی طرح ریزی میشه و قابلیت رفتار هوشمند رو داره، استفاده از تکنیک های ML بسیار در امر حملات پیشرفته عامل موثری میتواند باشد چرا که بسیاری از مکانیزم های دفاعی امروزه رفتار شناسی رو مبنای شکار خود میکنند در نتیجه مهاجم هم میبایست پلن های رفتاری خود را در هر مرحله هوشمندانه کنترل نماید که این موضوع شکار تهدید رو بسیار سختر خواهد کرد،
حملات مبتنی بر یادگیری ماشین همواره از دو قسمت Training یا یادگیری و Inference استنباط تشکیل میشود که اولین قسمت پردازش های مبتنی بر یادگیری ماشین اتفاق می افتد و Data Set های وارده تبدیل به آموزش های رفتاری خواهد شد، قسمت دوم استنباط است که دارای یک API کلی خواهد بود و ورودی ها و خروجی ها بر اساس فاکتور های آموزش داده شده پردازش خواهد شد و تصدیق ها در این مرحله انجام خواهد شد.
https://atlas.mitre.org
@Unk9vvN
اینبار ماتریسی در خصوص استفاده از تکنیک هایی که بر بستر هوش مصنوعی طرح ریزی میشه و قابلیت رفتار هوشمند رو داره، استفاده از تکنیک های ML بسیار در امر حملات پیشرفته عامل موثری میتواند باشد چرا که بسیاری از مکانیزم های دفاعی امروزه رفتار شناسی رو مبنای شکار خود میکنند در نتیجه مهاجم هم میبایست پلن های رفتاری خود را در هر مرحله هوشمندانه کنترل نماید که این موضوع شکار تهدید رو بسیار سختر خواهد کرد،
حملات مبتنی بر یادگیری ماشین همواره از دو قسمت Training یا یادگیری و Inference استنباط تشکیل میشود که اولین قسمت پردازش های مبتنی بر یادگیری ماشین اتفاق می افتد و Data Set های وارده تبدیل به آموزش های رفتاری خواهد شد، قسمت دوم استنباط است که دارای یک API کلی خواهد بود و ورودی ها و خروجی ها بر اساس فاکتور های آموزش داده شده پردازش خواهد شد و تصدیق ها در این مرحله انجام خواهد شد.
https://atlas.mitre.org
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#Pwn2Own 2020 Miami
گزارشی از مسابقات Pwn2Own شرکت ZDI که جایزه در مقابل آسیب پذیری های باینری میده هستش و جالبه که برخی محققین ایرانی مانند Ali Abbasi هم در این مسابقه شرکت داشته و آسیب پذیری هایی رو هم کشف کرده بودند،
نکته جالب دیگه اینکه، بسیاری از آسیب پذیری هایی که منجر به اجرای کد در سیستم عامل قربانی شده، از نوع آسیب پذیری های تحت وب بوده و از سطح Critical برخوردار بوده، آسیب پذیری هایی مانند Server Side Request Forgery و Insecure Deserialization هستش،
نکته جالب بعد اینکه آسیب پذیری های فایل فرمت پایه هم زیاد دیده شده و باز هم نرم افزار های معروفی مانند Adobe Reader و Foxit Reader و محصولات Office باز هم اکسپلویت شدن و دارای آسیب پذیری هایی از نوع Use After Free بودند...
https://www.zerodayinitiative.com/blog/2020/3/17/welcome-to-pwn2own-2020-the-schedule-and-live-results
@Unk9vvN
گزارشی از مسابقات Pwn2Own شرکت ZDI که جایزه در مقابل آسیب پذیری های باینری میده هستش و جالبه که برخی محققین ایرانی مانند Ali Abbasi هم در این مسابقه شرکت داشته و آسیب پذیری هایی رو هم کشف کرده بودند،
نکته جالب دیگه اینکه، بسیاری از آسیب پذیری هایی که منجر به اجرای کد در سیستم عامل قربانی شده، از نوع آسیب پذیری های تحت وب بوده و از سطح Critical برخوردار بوده، آسیب پذیری هایی مانند Server Side Request Forgery و Insecure Deserialization هستش،
نکته جالب بعد اینکه آسیب پذیری های فایل فرمت پایه هم زیاد دیده شده و باز هم نرم افزار های معروفی مانند Adobe Reader و Foxit Reader و محصولات Office باز هم اکسپلویت شدن و دارای آسیب پذیری هایی از نوع Use After Free بودند...
https://www.zerodayinitiative.com/blog/2020/3/17/welcome-to-pwn2own-2020-the-schedule-and-live-results
@Unk9vvN
#PrintNightmare #Spooler #Vulnerability
ماجرای بهره برداری از درایور Spooler برمیگرده به ویروس Stuxnet که برای اولین بار از این آسیب پذیری منطقی در نحوه کارکرد و نصب درایور استفاده کرده است
کار این درایور اینه که دستگاه های سخت افزار پرینتر رو نصب میکنه، در تصویر شماره یک توابع API مختص به نصب درایور بصورت Remote بوده بواسطه RPC و یه Warning هم داده میشه به ادمین سمت سرور، همچنین در تصویر شماره 3 نحوه عملکرد سمت Client رو میتونید ببینید که هم بصورت CLI و GUI چطور میتواند اتفاق بی افتد
حالا مشکلی که وجود دارد اینه که ما با استفاده از توابع API سیستم عامل ویندوز میتوانیم هر درایوری رو به عنوان درایور یک پرینتر نصب بکنیم و هیچ گونه تصدیقی در خصوص Verify کردن درایور انجام نمیشه
تصویر شماره 4 توضیحاتی در خصوص ویژگی های سرویس Print Spooler هستش که میتونید ببینید بحث Auto-start بودن بحث استخراج API های Printing از این سرویس و غیره،
این درایور میتواند سطح دسترسی را بالا ببرد میتواند Lateral Movement انجام داد چرا که این سرویس بصورت RPC هم میتواند Parse شود، که در تصویر شماره 5 میتوانید مشاهده بفرماید.
@Unk9vvN
ماجرای بهره برداری از درایور Spooler برمیگرده به ویروس Stuxnet که برای اولین بار از این آسیب پذیری منطقی در نحوه کارکرد و نصب درایور استفاده کرده است
کار این درایور اینه که دستگاه های سخت افزار پرینتر رو نصب میکنه، در تصویر شماره یک توابع API مختص به نصب درایور بصورت Remote بوده بواسطه RPC و یه Warning هم داده میشه به ادمین سمت سرور، همچنین در تصویر شماره 3 نحوه عملکرد سمت Client رو میتونید ببینید که هم بصورت CLI و GUI چطور میتواند اتفاق بی افتد
حالا مشکلی که وجود دارد اینه که ما با استفاده از توابع API سیستم عامل ویندوز میتوانیم هر درایوری رو به عنوان درایور یک پرینتر نصب بکنیم و هیچ گونه تصدیقی در خصوص Verify کردن درایور انجام نمیشه
تصویر شماره 4 توضیحاتی در خصوص ویژگی های سرویس Print Spooler هستش که میتونید ببینید بحث Auto-start بودن بحث استخراج API های Printing از این سرویس و غیره،
این درایور میتواند سطح دسترسی را بالا ببرد میتواند Lateral Movement انجام داد چرا که این سرویس بصورت RPC هم میتواند Parse شود، که در تصویر شماره 5 میتوانید مشاهده بفرماید.
@Unk9vvN
#Logical Method for #Persistence (APTs)
یکی از دلایل منطقی موفقیت حملات پیشرفته همراه این بوده که بجای استفاده از روش های مستند شده، از روش های Verify شده استفاده شود،
یعنی مثلا برای Discovery بجای استفاده از مثلا اسکریپت های پاورشلی، از ابزار های خوده سیستم عامل مانند Ping استفاده شود، یا ابزارهای دیگری که در SysInternals موجود است،
هر چقدر این عامل تقویت شود قدرت حمله و نامحسوس بودنش بالاتر میرود، عوامل بسیاری در سیستم عامل وجود دارد که میتواند جایگزین بسیاری از اسکریپت های مورد استفاده در Red Teaming شود،
در کنار این عامل قدم های دیگری از حمله مانند Initial Access میبایست بسیار پیشرفته و حرفه ای طراحی شود چرا که پیشرفته بودن روش های Initial Access کار مهندسی اجتماعی مهاجم را آسان تر و مقبول تر خواهد کرد و این خود یک عامل دیگری از موفقیت حمله خواهد بود،
مورد آخر هم مرحله Impact خواهد بود که میتواند باز هم با پیشرفته ترین روش ها پیاده سازی شود چرا که مقابله با مکانیزم ها یا پوشش دادن حالت های مختلفی از سیستم عامل، عامل کلیدی برای قدرتمند شدن مرحله Impact خواهد بود.
@Unk9vvN
یکی از دلایل منطقی موفقیت حملات پیشرفته همراه این بوده که بجای استفاده از روش های مستند شده، از روش های Verify شده استفاده شود،
یعنی مثلا برای Discovery بجای استفاده از مثلا اسکریپت های پاورشلی، از ابزار های خوده سیستم عامل مانند Ping استفاده شود، یا ابزارهای دیگری که در SysInternals موجود است،
هر چقدر این عامل تقویت شود قدرت حمله و نامحسوس بودنش بالاتر میرود، عوامل بسیاری در سیستم عامل وجود دارد که میتواند جایگزین بسیاری از اسکریپت های مورد استفاده در Red Teaming شود،
در کنار این عامل قدم های دیگری از حمله مانند Initial Access میبایست بسیار پیشرفته و حرفه ای طراحی شود چرا که پیشرفته بودن روش های Initial Access کار مهندسی اجتماعی مهاجم را آسان تر و مقبول تر خواهد کرد و این خود یک عامل دیگری از موفقیت حمله خواهد بود،
مورد آخر هم مرحله Impact خواهد بود که میتواند باز هم با پیشرفته ترین روش ها پیاده سازی شود چرا که مقابله با مکانیزم ها یا پوشش دادن حالت های مختلفی از سیستم عامل، عامل کلیدی برای قدرتمند شدن مرحله Impact خواهد بود.
@Unk9vvN
#Cyber_Security #Business
شاید شما هم نام شرکت ripstech.com رو شنیده باشید که یکی از startup های موفق حوزه امنیت برنامه های تحت وب بوده است، این شرکت پس از فعالیت های موفق و خروجی های چشم گیر و دسته اول مانند: کشف آسیب پذیری روز صفر از انواع CMS های متن باز دنیا و همچنین ارائه تحقیقات بسیار خوب در حوزه تکنیک های ابتکاری در خصوص بهره برداری از آسیب پذیری های روز صفر مانند مقالات phar polyglot و غیره، بود.
که چندی پیش شرکت sonarsource.com استارت آپ ripstech.com رو خریداری کرده و جالبه که بدونید لیدر تحقیقاتی ripstech الان Head of R&D شرکت SonarSource است، همچنین نکته جالب توجه دیگر این است که این شرکت یکی از بهترین ارائه دهندگان محصولات کشف آسیب پذیری بصورت WhiteBox است و زبان های بسیاری را پوشش میدهد،
امیدواریم در کشور ما هم با ارزیابی محصولات و سرمایه گزاری روی بحث تحقیق و توسعه، شرکت های فعال بروند به سمت خدمات و محصولات با کیفیت بالا و بواسطه آن به عرصه های ارائه محصولات جهانی ورود داشته باشند...
https://www.sonarsource.com/company/team
@Unk9vvN
شاید شما هم نام شرکت ripstech.com رو شنیده باشید که یکی از startup های موفق حوزه امنیت برنامه های تحت وب بوده است، این شرکت پس از فعالیت های موفق و خروجی های چشم گیر و دسته اول مانند: کشف آسیب پذیری روز صفر از انواع CMS های متن باز دنیا و همچنین ارائه تحقیقات بسیار خوب در حوزه تکنیک های ابتکاری در خصوص بهره برداری از آسیب پذیری های روز صفر مانند مقالات phar polyglot و غیره، بود.
که چندی پیش شرکت sonarsource.com استارت آپ ripstech.com رو خریداری کرده و جالبه که بدونید لیدر تحقیقاتی ripstech الان Head of R&D شرکت SonarSource است، همچنین نکته جالب توجه دیگر این است که این شرکت یکی از بهترین ارائه دهندگان محصولات کشف آسیب پذیری بصورت WhiteBox است و زبان های بسیاری را پوشش میدهد،
امیدواریم در کشور ما هم با ارزیابی محصولات و سرمایه گزاری روی بحث تحقیق و توسعه، شرکت های فعال بروند به سمت خدمات و محصولات با کیفیت بالا و بواسطه آن به عرصه های ارائه محصولات جهانی ورود داشته باشند...
https://www.sonarsource.com/company/team
@Unk9vvN
#Bug #Hunting #Microsoft #WebServices
دو سه سالی هست که کشف آسیب پذیری از وبسرویس های مایکروسافتی شدت گرفته و شکارچیان باگ تمرکز خود را روی این سرویس ها گزاشته اند،
توی یکی از Present های BlackHat 2020 هم یکی از محققین معروف حوزه وب یعنی pwntester به این موضوع پرداخته و روش های Escaping و آسیب پذیری های رخ داده رو مطرح کرده،
از آسیب پذیری TOCTOU در خصوص Validate کردن Input ها و Regex های طراحی شده، مطرح شده تا امکان Markup کردن یک تزریق تابع Eval که منجر به دسترسی write خواهد شد،
جالبه که آسیب پذیری هایی مانند Server Side Include هم رخ داده و Endpoint مربوط به API وبسرویس Sharepoint دارای همچین آسیب پذیری بوده،
یک نکته جالب دیگه اینکه آسیب پذیری های این تیپی بعد از گزارش و Patch کردن آسیب پذیری بدست مایکروسافت، دیده شده که باز هم Patch دور زده شده و آسیب پذیری دوباره Trigger شده است...
Reference
@Unk9vvN
دو سه سالی هست که کشف آسیب پذیری از وبسرویس های مایکروسافتی شدت گرفته و شکارچیان باگ تمرکز خود را روی این سرویس ها گزاشته اند،
توی یکی از Present های BlackHat 2020 هم یکی از محققین معروف حوزه وب یعنی pwntester به این موضوع پرداخته و روش های Escaping و آسیب پذیری های رخ داده رو مطرح کرده،
از آسیب پذیری TOCTOU در خصوص Validate کردن Input ها و Regex های طراحی شده، مطرح شده تا امکان Markup کردن یک تزریق تابع Eval که منجر به دسترسی write خواهد شد،
جالبه که آسیب پذیری هایی مانند Server Side Include هم رخ داده و Endpoint مربوط به API وبسرویس Sharepoint دارای همچین آسیب پذیری بوده،
یک نکته جالب دیگه اینکه آسیب پذیری های این تیپی بعد از گزارش و Patch کردن آسیب پذیری بدست مایکروسافت، دیده شده که باز هم Patch دور زده شده و آسیب پذیری دوباره Trigger شده است...
Reference
@Unk9vvN
#Defense_Evasion with #Multi_Staging
یک ساله پیش یک دمو از فرایند های خیلی معمولی برای دور زدن مکانیزم های دفاعی ارائه دادیم که در آن یک نمونه از پیاده سازی پیلود ریزی چند مرحله ای رو نشون دادیم که میتونه مکانیزم های Signature Based Detection و Heuristic Detection رو دور بزنه، سالهاست این روش داره استفاده میشه،
در تصویر پست همونطور که مشاهده میکنید بواسطه یه اسکریپت Batch میتونیم یک اسکریپت VBS رو Echo کنیم که به عنوان Downloader عمل کند، تکنیک های دیگه هم استفاده شده در دمو که مراحل Execution در منطقه Whitelist و دور زدن مکانیزم UAC هم مطرح میشه...
لینک دمو:
https://www.aparat.com/v/HKk6Y
@Unk9vvN
یک ساله پیش یک دمو از فرایند های خیلی معمولی برای دور زدن مکانیزم های دفاعی ارائه دادیم که در آن یک نمونه از پیاده سازی پیلود ریزی چند مرحله ای رو نشون دادیم که میتونه مکانیزم های Signature Based Detection و Heuristic Detection رو دور بزنه، سالهاست این روش داره استفاده میشه،
در تصویر پست همونطور که مشاهده میکنید بواسطه یه اسکریپت Batch میتونیم یک اسکریپت VBS رو Echo کنیم که به عنوان Downloader عمل کند، تکنیک های دیگه هم استفاده شده در دمو که مراحل Execution در منطقه Whitelist و دور زدن مکانیزم UAC هم مطرح میشه...
لینک دمو:
https://www.aparat.com/v/HKk6Y
@Unk9vvN
#Xmind #Easily Attack #APTs
در تصویر این پست یک نمونه از پیاده سازی حملات سطح پیشرفته رو میبینید که از ساده ترین روش ها و تکنیک ها در پلن های مختلف مورد نیاز خود استفاده کرده است و یک زنجره حمله پیاده سازی کرده، این تصویر نشون میده که نسبت به سطح دفاعی که در اهداف وجود داره، سطح پیشرفتگی حملات هم میتونه متغیر باشه، بنظر بسیاری از مراکزی که در کشور خود ما هستند این تکنیک ها جوابگو خواهد بود،
بحث شبیه سازی عملیات های تیم قرمز یکی از عوامل و خدماتی است که میتواند ارزیابی کیفی این موضوع رو انجام دهد و با تست و پیاده سازی تکنیک و تاکتیک های مختلف سطح آمادگی مرکز کنترل امنیت رو محک بزند،
در قسمت Lateral Movement اگر دقت کنید اشاره به بهره برداری از آسیب پذیری های سطح پروتکل شده که یکی Zerologon که مختص پروتکل HTTP هستش و دیگری EternalBlue که مختص پروتکل SMB بوده، مطرح شده، این بدین معنی خواهد بود که سیستم عامل های ویندوز 7 که اخیرا در حملات به کشور هک شدند میتونند از این نوع آسیب پذیری ها را دارا بوده باشند،
ارزیابی های سطح تیم قرمز همواره میتواند زوایای پنهان ایرادات یک سازمان را آشکار سازد.
@Unk9vvN
در تصویر این پست یک نمونه از پیاده سازی حملات سطح پیشرفته رو میبینید که از ساده ترین روش ها و تکنیک ها در پلن های مختلف مورد نیاز خود استفاده کرده است و یک زنجره حمله پیاده سازی کرده، این تصویر نشون میده که نسبت به سطح دفاعی که در اهداف وجود داره، سطح پیشرفتگی حملات هم میتونه متغیر باشه، بنظر بسیاری از مراکزی که در کشور خود ما هستند این تکنیک ها جوابگو خواهد بود،
بحث شبیه سازی عملیات های تیم قرمز یکی از عوامل و خدماتی است که میتواند ارزیابی کیفی این موضوع رو انجام دهد و با تست و پیاده سازی تکنیک و تاکتیک های مختلف سطح آمادگی مرکز کنترل امنیت رو محک بزند،
در قسمت Lateral Movement اگر دقت کنید اشاره به بهره برداری از آسیب پذیری های سطح پروتکل شده که یکی Zerologon که مختص پروتکل HTTP هستش و دیگری EternalBlue که مختص پروتکل SMB بوده، مطرح شده، این بدین معنی خواهد بود که سیستم عامل های ویندوز 7 که اخیرا در حملات به کشور هک شدند میتونند از این نوع آسیب پذیری ها را دارا بوده باشند،
ارزیابی های سطح تیم قرمز همواره میتواند زوایای پنهان ایرادات یک سازمان را آشکار سازد.
@Unk9vvN
#Weaponizing #Middleboxes for #TCP #Reflected #Amplification
اخیرا یه تحقیقات صورت گرفته در دانشگاه مریلند و کلرادو که اثبات میکنه با استفاده از جعبه های میانی که منظور همون دیوایس های میانی مخصوص فیلترینگ ترافیک خارجی از Gateway کشور هست، میتوان حملات تکذیب سرویس یا DoS انجام داد
ماجرا به اونجا برمیگرده که زمانی که یک پکت درون شبکه درخواست دیدن یک سایت مستهجن رو مثلا داره میباست یک درخواست way-3 handshake رو برقرار کنه و خب از اونجا که در همان مرحله ابتدایی یعنی ارسال SYN Packet این جعبه های میانی متوجه آدرس سایت مستهجن میشوند، امکان برقراری ادامه روند handshake رو نخواهند داد،
حالا نکته ای که پیش میاد و بصورت بسیار خلاصه بیان میکنیم، اینه که اگر درخواست کننده handshake در Source IP پکت مقدار IP قربانی خودش رو بصورت IP Spoofing قرار بده پاسخ بلاک MiddleBox به قربانی ارسال خواهد شد
حالا اگر این درخواست ها با تعداد Thread بالا تکرار بشه و MiddleBox های مختلف رو تحت تاثیر قرار بده میشود گفت که MiddleBox ها که یک پتانسیل قدرتمند در ارسال داده دارند شروع به ارسال پیغام Filtering خواهند کرد
SRC
Tools
@Unk9vvN
اخیرا یه تحقیقات صورت گرفته در دانشگاه مریلند و کلرادو که اثبات میکنه با استفاده از جعبه های میانی که منظور همون دیوایس های میانی مخصوص فیلترینگ ترافیک خارجی از Gateway کشور هست، میتوان حملات تکذیب سرویس یا DoS انجام داد
ماجرا به اونجا برمیگرده که زمانی که یک پکت درون شبکه درخواست دیدن یک سایت مستهجن رو مثلا داره میباست یک درخواست way-3 handshake رو برقرار کنه و خب از اونجا که در همان مرحله ابتدایی یعنی ارسال SYN Packet این جعبه های میانی متوجه آدرس سایت مستهجن میشوند، امکان برقراری ادامه روند handshake رو نخواهند داد،
حالا نکته ای که پیش میاد و بصورت بسیار خلاصه بیان میکنیم، اینه که اگر درخواست کننده handshake در Source IP پکت مقدار IP قربانی خودش رو بصورت IP Spoofing قرار بده پاسخ بلاک MiddleBox به قربانی ارسال خواهد شد
حالا اگر این درخواست ها با تعداد Thread بالا تکرار بشه و MiddleBox های مختلف رو تحت تاثیر قرار بده میشود گفت که MiddleBox ها که یک پتانسیل قدرتمند در ارسال داده دارند شروع به ارسال پیغام Filtering خواهند کرد
SRC
Tools
@Unk9vvN