#PSGumshoe #Powershell #Forensics #Collections
یک مجموعه اسکریپت هایی با زبان پاورشل نوشته شده است که تا حد امکان از API سیستم عامل ویندوز برای کمک به امر شکار تهدید بهره گرفته شده.
از ویژگی های جالب این اسکریپت ها میشه به سر شماری کاربرها در موقعیت های مختلف اشاره داشت، یا ماژول هایی که در خصوص تسهیل استفاده از ابزار Sysmon وجود داره که از دریافت Event برای ایجاد یک پردازش گرفته تا بررسی دسترسی های خام بر روی حافظه یک پردازش.
از موارد دیگهه میشه به دریافت Event از COM های مختلف سیستم عامل مثل ScheduleTask و BitsAdmin اشاره داشت که بسیار در بحث شکار یک APT میتواند مفید واقع شود، همچنین شکار تکنیک هایی مثل Process Injection هم در ماژول ها دیده میشه و حتی نشست های سیستم عامل هم براحتی قابلیت دریافت دارد.
یکی از جالب ترین مجموعه ابزار های است که در خصوص مباحث جرم شناسی و شکار تهدید طراحی و عمومی شده است.
https://github.com/PSGumshoe/PSGumshoe
@Unk9vvN
یک مجموعه اسکریپت هایی با زبان پاورشل نوشته شده است که تا حد امکان از API سیستم عامل ویندوز برای کمک به امر شکار تهدید بهره گرفته شده.
از ویژگی های جالب این اسکریپت ها میشه به سر شماری کاربرها در موقعیت های مختلف اشاره داشت، یا ماژول هایی که در خصوص تسهیل استفاده از ابزار Sysmon وجود داره که از دریافت Event برای ایجاد یک پردازش گرفته تا بررسی دسترسی های خام بر روی حافظه یک پردازش.
از موارد دیگهه میشه به دریافت Event از COM های مختلف سیستم عامل مثل ScheduleTask و BitsAdmin اشاره داشت که بسیار در بحث شکار یک APT میتواند مفید واقع شود، همچنین شکار تکنیک هایی مثل Process Injection هم در ماژول ها دیده میشه و حتی نشست های سیستم عامل هم براحتی قابلیت دریافت دارد.
یکی از جالب ترین مجموعه ابزار های است که در خصوص مباحث جرم شناسی و شکار تهدید طراحی و عمومی شده است.
https://github.com/PSGumshoe/PSGumshoe
@Unk9vvN
#NSA #emissary #Vulnerabilities
سازمان NSA یه ابزاری رو در GitHub خودش توسعه داده بوده که امکان ارتباط P2P رو فراهم میکرده.
جالبه که این ابزار که تا نسخه 5.9.0 هم توسعه داده شده، دارای 5 آسیب پذیری بوده که در تصویر پست شناسه ها و نوع اونها رو مشاهده میکند، شرایط بهره برداری از آسیب پذیری اینه که بعد از احراز مبتنی بر HTTP Digest Authentication قربانی میبایست در معرض حمله CSRF یا ارسال درخواست جعلی مهاجم قرار بگیره.
یعنی بواسطه آسیب پذیری XSS از نوع واکنشی، قربانی در معرض اسکریپت درخواست جعلی قرار بگیره و درخواست CSRF زده شده و بواسطه آسیب پذیری Code Injection بر روی وبسرویس مربوط به NSA یک کد سیستمی اجرا و دسترسی به خط فرمان قربانی حاصل بشه!
خلاصه NSA هم که باشی جلوی تنوع آسیب پذیری های وب کم میاری...
https://blog.sonarsource.com/code-vulnerabilities-in-nsa-application-revealed
@Unk9vvN
سازمان NSA یه ابزاری رو در GitHub خودش توسعه داده بوده که امکان ارتباط P2P رو فراهم میکرده.
جالبه که این ابزار که تا نسخه 5.9.0 هم توسعه داده شده، دارای 5 آسیب پذیری بوده که در تصویر پست شناسه ها و نوع اونها رو مشاهده میکند، شرایط بهره برداری از آسیب پذیری اینه که بعد از احراز مبتنی بر HTTP Digest Authentication قربانی میبایست در معرض حمله CSRF یا ارسال درخواست جعلی مهاجم قرار بگیره.
یعنی بواسطه آسیب پذیری XSS از نوع واکنشی، قربانی در معرض اسکریپت درخواست جعلی قرار بگیره و درخواست CSRF زده شده و بواسطه آسیب پذیری Code Injection بر روی وبسرویس مربوط به NSA یک کد سیستمی اجرا و دسترسی به خط فرمان قربانی حاصل بشه!
خلاصه NSA هم که باشی جلوی تنوع آسیب پذیری های وب کم میاری...
https://blog.sonarsource.com/code-vulnerabilities-in-nsa-application-revealed
@Unk9vvN
#Resource #Development APTs - PART 1 (#VBA)
یکی از نیاز های اولیه طراحی یک حمله مداوم پیشرفته، وجود منابع اطلاعاتی کامل در خصوص، نحوه برخورد با COM های مختلف و دیگر امکانات سیستم عامل است،
هر چه آگاهی نسبت به تکنیک های استفاده شده و نحوه پیاده سازی آنها جامع باشه میتونه مهاجم رو در طراحی یک APT کمک کنه، چرا که بسیاری از حملات رخداد بواسطه Modify همین تکنیک های عمومی شده است.
البته زنجیره حمله عوامل بسیاری رو نیاز داره برای یک حمله موفق، مانند بحث ارتقاء سطح دسترسی یا فیلتر سازی کانال ارتباطی با خط کنترل فرمان، اما چیزی که بیشتر مورد توجه است بحث نحوه ایجاد دسترسی و طریقه مناسب آن در خصوص شناسایی نشدن تکنیک بواسطه مکانیزم های دفاعی است.
در این خصوص اولین بخش معرفی، ما متمرکز بر فایل فرمت VBA شدیم که میتونه در بحث ایجاد دسترسی ناشناس بواسطه Macro های محصولات خانواده Office مورد استفاده قرار بگیره، فایل فرمت VBA بدلیل داشتن این امکان که از کتابخونه های WinAPI میتونه استفاده کنه، مورد خوبی برای مانور دادن و دور زدن مکانیزم های دفاعی میتونه باشه
در پست های بعدی به دیگر فایل فرمت ها اشاره خواهیم داشت.
@Unk9vvN
یکی از نیاز های اولیه طراحی یک حمله مداوم پیشرفته، وجود منابع اطلاعاتی کامل در خصوص، نحوه برخورد با COM های مختلف و دیگر امکانات سیستم عامل است،
هر چه آگاهی نسبت به تکنیک های استفاده شده و نحوه پیاده سازی آنها جامع باشه میتونه مهاجم رو در طراحی یک APT کمک کنه، چرا که بسیاری از حملات رخداد بواسطه Modify همین تکنیک های عمومی شده است.
البته زنجیره حمله عوامل بسیاری رو نیاز داره برای یک حمله موفق، مانند بحث ارتقاء سطح دسترسی یا فیلتر سازی کانال ارتباطی با خط کنترل فرمان، اما چیزی که بیشتر مورد توجه است بحث نحوه ایجاد دسترسی و طریقه مناسب آن در خصوص شناسایی نشدن تکنیک بواسطه مکانیزم های دفاعی است.
در این خصوص اولین بخش معرفی، ما متمرکز بر فایل فرمت VBA شدیم که میتونه در بحث ایجاد دسترسی ناشناس بواسطه Macro های محصولات خانواده Office مورد استفاده قرار بگیره، فایل فرمت VBA بدلیل داشتن این امکان که از کتابخونه های WinAPI میتونه استفاده کنه، مورد خوبی برای مانور دادن و دور زدن مکانیزم های دفاعی میتونه باشه
در پست های بعدی به دیگر فایل فرمت ها اشاره خواهیم داشت.
@Unk9vvN
#RTLO for #Initial_Access
بلخره ابزاری هم در خصوص تکنیک Right to Left Override ساخته شد...
https://t.me/Unk9vvN/2124
https://github.com/ExAndroidDev/rtlo-attack
@Unk9vvN
بلخره ابزاری هم در خصوص تکنیک Right to Left Override ساخته شد...
https://t.me/Unk9vvN/2124
https://github.com/ExAndroidDev/rtlo-attack
@Unk9vvN
#Spring4Shell #CVE-2022-22963
چند وقتی هستش که یک آسیب پذیری از Spring Framework منتشر شده که مبتنی بر Java 8 و بر بستر Tomcat میتوانه مورد بهره برداری قرار بگیره،
این آسیب پذیری مبتنی بر deserialization نا امن مقادیر String بوده و این عملکرد نا امن بر بستر
حال اگر مقدار پارامتر دریافتی که بصورت POJO پارس شده، فراخوان یک کلاس باشه، اینجا امکان پیاده سازی یک زنجیره فراخوانی و تنظیم میتونه اتفاق بی افته و مقادیر فراخوانی موجبات write یک payload در یک فایل jsp رو فراهم بکنه، برای مثال:
POC
@Unk9vvN
چند وقتی هستش که یک آسیب پذیری از Spring Framework منتشر شده که مبتنی بر Java 8 و بر بستر Tomcat میتوانه مورد بهره برداری قرار بگیره،
این آسیب پذیری مبتنی بر deserialization نا امن مقادیر String بوده و این عملکرد نا امن بر بستر
PostMappning@ رخ خواهد داد و چون مقادیر دریافتی Request بصورت POJO یا Plain Old Java Object پارس میشه و با استفاده از Setter تنظیم میشه، میتوانه خطر آفرین باشه.حال اگر مقدار پارامتر دریافتی که بصورت POJO پارس شده، فراخوان یک کلاس باشه، اینجا امکان پیاده سازی یک زنجیره فراخوانی و تنظیم میتونه اتفاق بی افته و مقادیر فراخوانی موجبات write یک payload در یک فایل jsp رو فراهم بکنه، برای مثال:
http://localhost/spring4shell?class.module.classLoader.resources.context.parent.pipeline.first.pattern=test
حالا در جریان ترسیم یک زنجیره حمله، اول میتونه یه پیلود RCE تنظیم بشه و در ادامه فایل فرمت jsp به عنوان suffix و همینطور یه directory و prefix که میبایست shell قرار بگیره و نهایتا مقدار fileDateFormat که میبایست خالی قرار بگیره...POC
@Unk9vvN
#Unserialize #Use_After_Free #PHP_Internal
یکی از مواردی که در دوره تست نفوذ وب تیم تحقیقاتی Unk9vvN بهش بصورت ویژه پرداخت میشه، مبحث کشف آسیب پذیری های Binary مبتنی بر کامپایلر زبان PHP خواهد بود که بر بستر مقادیر Serialize امکان رخدادش وجود داره،
برای مثال در مقادیر Serialize شدن یک آرایه، امکان رزرو حافظه Heap بوجود خواهد آمد و از طرفی در مقادیر Serialize شده یک سمبل معادل اشاره گر Reference وجود داره که در تصویر ، در متغیر
بصورت خلاصه امکان رزور یک حافظه مبتنی بر تعریف ArrayObject وجود داره و امکان اینکه اون رو آزادش کنیم و بعد با استفاده از R بزرگ که نشان Reference هستش، به Element مورد تعریف حافظه Heap اشاره کرده و بنوعی آسیب پذیری Use After Free رو در حافظه بوجود بیاریم، این عملکرد اشتباه Garbage Collector هستش.
البته تا به امروز روش و تکنیک های متعددی در این مبحث مطرح شده که پیشنیاز فهمشون ، کتاب PHP Internals هستش، که ما بصورت مفصل در دوره تست نفوذ وب بخش Insecure Deserialization به این موضوع خواهیم پرداخت.
@Unk9vvN
یکی از مواردی که در دوره تست نفوذ وب تیم تحقیقاتی Unk9vvN بهش بصورت ویژه پرداخت میشه، مبحث کشف آسیب پذیری های Binary مبتنی بر کامپایلر زبان PHP خواهد بود که بر بستر مقادیر Serialize امکان رخدادش وجود داره،
برای مثال در مقادیر Serialize شدن یک آرایه، امکان رزرو حافظه Heap بوجود خواهد آمد و از طرفی در مقادیر Serialize شده یک سمبل معادل اشاره گر Reference وجود داره که در تصویر ، در متغیر
exploit$ اون انتهای مقادیر Serialize شده بصورت یک R بزرگ میبینیدشبصورت خلاصه امکان رزور یک حافظه مبتنی بر تعریف ArrayObject وجود داره و امکان اینکه اون رو آزادش کنیم و بعد با استفاده از R بزرگ که نشان Reference هستش، به Element مورد تعریف حافظه Heap اشاره کرده و بنوعی آسیب پذیری Use After Free رو در حافظه بوجود بیاریم، این عملکرد اشتباه Garbage Collector هستش.
البته تا به امروز روش و تکنیک های متعددی در این مبحث مطرح شده که پیشنیاز فهمشون ، کتاب PHP Internals هستش، که ما بصورت مفصل در دوره تست نفوذ وب بخش Insecure Deserialization به این موضوع خواهیم پرداخت.
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#Attack on #Windows Defender #ETW #Sessions
همانطور که میدونید بسیاری از EDR ها از Event Tracing for Windows استفاده میکنند برای دریافت رویداد های سیستم عامل و با تحلیل شاخصه های رفتاری یا Indicator of Behavior ، امکان شناسایی و پاسخ به حادثه مهیا خواهد شد.
اما نکته که میتونه جالب توجه باشه اینه که این ویژگی در سطح هسته، آسیب پذیر هم میتونه باشه و اگر مهاجم بتونه اون رو از کار بندازه، عملا دیگه محصولاتی از جمله EDR نخواهند توانست به ماهیت عملکردی خودشون ادامه بدهند، در نظر داشته باشید که EDR ها در طراحی خودشون بسیار از API های ETW در سطح هسته بهره میبرند.
در کنفرانس BlackHat 2021 ارائه ای انجام شد، راجب بدافزار های که امکان خاموش کردن ETW یا پاک کردن نشست اقدام کنند و بی آنکه مکانیزم های دفاعی سطح هسته مثل KPP بتونند رهگیری ای و مقاومت از خودشون نشون بدن.
فرایند های حمله به NT Kernel Logger Session مطرح شده است بطوری که مانیتور کردن یک Process رو کاملا مختل خواهد کرد. حمله دوم متمرکز بر ETW Logger Session خواهد بود که مبتنی بر Windows Defender فعال میشه.
@Unk9vvN
همانطور که میدونید بسیاری از EDR ها از Event Tracing for Windows استفاده میکنند برای دریافت رویداد های سیستم عامل و با تحلیل شاخصه های رفتاری یا Indicator of Behavior ، امکان شناسایی و پاسخ به حادثه مهیا خواهد شد.
اما نکته که میتونه جالب توجه باشه اینه که این ویژگی در سطح هسته، آسیب پذیر هم میتونه باشه و اگر مهاجم بتونه اون رو از کار بندازه، عملا دیگه محصولاتی از جمله EDR نخواهند توانست به ماهیت عملکردی خودشون ادامه بدهند، در نظر داشته باشید که EDR ها در طراحی خودشون بسیار از API های ETW در سطح هسته بهره میبرند.
در کنفرانس BlackHat 2021 ارائه ای انجام شد، راجب بدافزار های که امکان خاموش کردن ETW یا پاک کردن نشست اقدام کنند و بی آنکه مکانیزم های دفاعی سطح هسته مثل KPP بتونند رهگیری ای و مقاومت از خودشون نشون بدن.
فرایند های حمله به NT Kernel Logger Session مطرح شده است بطوری که مانیتور کردن یک Process رو کاملا مختل خواهد کرد. حمله دوم متمرکز بر ETW Logger Session خواهد بود که مبتنی بر Windows Defender فعال میشه.
@Unk9vvN
#IoB #APT #Iranian
شاخه رفتاری چیست؟ شاخصه رفتاری یا Indicator of Behavior به معنی رصد و شناسایی ای است که، مبتنی بر رفتار تاکتیکی و تکنیکی کد مندرج در فایل های مخرب (IoC) قرار دارد.
گاه مهاجمان #APT اقدام به رفتار غیر حرفه ای میکنند و کد های مورد استفاده در حملات خود را در فضاهای عمومی مثل gist یا pastebin و غیره، که با نام مستعار یا حساب کاربری اصلی خود فعال است، منتشر میسازند.
همین موضوع موجب شناسایی اونها بدست شرکت های فعال در حوزه جرم شناسی دیجیتال میشود، برای مثال در گزارش شرکت cybereason یکی از نام هاي کاربری مورد استفاده مهاجم را بررسی کرده و نمونه کد منتشر شده بدست وی را با معادل آن در فایل های مخرب استفاده شده در حمله تطبیق داده و از این روی منشع حمله و کشور آنرا شناسایی کرده است.
https://www.cybereason.com/blog/research/powerless-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage
@Unk9vvN
شاخه رفتاری چیست؟ شاخصه رفتاری یا Indicator of Behavior به معنی رصد و شناسایی ای است که، مبتنی بر رفتار تاکتیکی و تکنیکی کد مندرج در فایل های مخرب (IoC) قرار دارد.
گاه مهاجمان #APT اقدام به رفتار غیر حرفه ای میکنند و کد های مورد استفاده در حملات خود را در فضاهای عمومی مثل gist یا pastebin و غیره، که با نام مستعار یا حساب کاربری اصلی خود فعال است، منتشر میسازند.
همین موضوع موجب شناسایی اونها بدست شرکت های فعال در حوزه جرم شناسی دیجیتال میشود، برای مثال در گزارش شرکت cybereason یکی از نام هاي کاربری مورد استفاده مهاجم را بررسی کرده و نمونه کد منتشر شده بدست وی را با معادل آن در فایل های مخرب استفاده شده در حمله تطبیق داده و از این روی منشع حمله و کشور آنرا شناسایی کرده است.
https://www.cybereason.com/blog/research/powerless-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage
@Unk9vvN