#Cybersecurity #Knowledge Based Teams
یکی از تیم های موفق در شرق آسیا، تیم theori.io است که تمرکز خود را بر کشف آسیب پذیری از هسته سیستم عامل ها و همچنین مرورگرها گذاشته است.
بد نیست به بهانه بررسی نوع عملکرد این قبیل تیم ها که به معنی واقعی کلمه دانش بنیان هستند و نوع خدمات دهی منحصر به فردی را داشته که بسیار کار آمد و نتیجه بخش تر از دلالی محصولات خارجی است، بررسی کنیم.
نوع سرویس دهی این قبیل تیم ها که در دنیا کم هم نیستند، به این صورت است که متمرکز بر یک بخش یا چند بخش مرتبط با حوزه امنیت تهاجمی، سعی بر پوشش علمی نقاط نفوذ سطح پیشرفته میکنند،
همانطور که میدانید محصولات دفاعی هنوز در مقابل روش شناسی های روز دنیا مانند ایجاد دسترسی مبتنی بر آسیب پذیری مرورگر یا فایل فرمت، دفاع موثری جز رفتار شناسی (IoB) ندیده اند، که قالبا با مبهم سازی سطح باینری یا زبان های سطح بالا مانند Javascript دوره خورده است.
اینکه یک سازمان بصورت خاص خدمات شبیه سازی حملات سطح پیشرفته (تیم قرمز) را پیاده سازی نماید یک عامل موثر همانند خدمات تست نفوذ بوده است، که در کنار خدمات امنیت دفاعی مورد بهره برداری قرار میگیرید.
@Unk9vvN
یکی از تیم های موفق در شرق آسیا، تیم theori.io است که تمرکز خود را بر کشف آسیب پذیری از هسته سیستم عامل ها و همچنین مرورگرها گذاشته است.
بد نیست به بهانه بررسی نوع عملکرد این قبیل تیم ها که به معنی واقعی کلمه دانش بنیان هستند و نوع خدمات دهی منحصر به فردی را داشته که بسیار کار آمد و نتیجه بخش تر از دلالی محصولات خارجی است، بررسی کنیم.
نوع سرویس دهی این قبیل تیم ها که در دنیا کم هم نیستند، به این صورت است که متمرکز بر یک بخش یا چند بخش مرتبط با حوزه امنیت تهاجمی، سعی بر پوشش علمی نقاط نفوذ سطح پیشرفته میکنند،
همانطور که میدانید محصولات دفاعی هنوز در مقابل روش شناسی های روز دنیا مانند ایجاد دسترسی مبتنی بر آسیب پذیری مرورگر یا فایل فرمت، دفاع موثری جز رفتار شناسی (IoB) ندیده اند، که قالبا با مبهم سازی سطح باینری یا زبان های سطح بالا مانند Javascript دوره خورده است.
اینکه یک سازمان بصورت خاص خدمات شبیه سازی حملات سطح پیشرفته (تیم قرمز) را پیاده سازی نماید یک عامل موثر همانند خدمات تست نفوذ بوده است، که در کنار خدمات امنیت دفاعی مورد بهره برداری قرار میگیرید.
@Unk9vvN
#Obfuscation #PHP
یکی از روش های مبهم سازی کد PHP که کمتر مورد توجه قرار گرفته است صدا زدن توابع به صورت String می باشد. در عکس اول یک کد با همین روش مبهم سازی شده، در این کد
@Unk9vvN
یکی از روش های مبهم سازی کد PHP که کمتر مورد توجه قرار گرفته است صدا زدن توابع به صورت String می باشد. در عکس اول یک کد با همین روش مبهم سازی شده، در این کد
shell_exec اول base64 شده و در سه متغیر a، b، c تعریف شده است، در متغیر z این موارد کنار هم قرار گرفته اند و درون متغیر z مقدار c2hlbGxfZXhlYw را دریافت می کنیم که base64 شده تابع shell_exec می باشد. در متغیر f مقدار base64_decode که ما بین آن چندین بار As- تکرار شده، در خط آخر با استفاده از str_replace مقدار As- را از متغیر f حذف می کنیم و نتیجه این کار کد زیر می شودecho base64_decode($z)("dir");
با decode کردن مقدار z کد تبدیل به شکل زیر می شودecho "shell_exec"("dir");
این تنها دو نمونه ساده از این نوع مبهم سازی است.@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Critical #Bug in #Instagram
یه محقق هندی تونسته یک آسیب پذیری Broken Authorization پیدا کنه و بدلیل عدم تصدیق صحیح API اینستاگرام که از نوع GraphQL است، مهاجم میتواند با استفاده از جایگزینی ID مربوط به پارامتر
این آسیب پذیری 49500 دلار جایزه در بر داشته که شرکت Facebook به شکارچی پرداخت کرده است، این نکته لازم به ذکر که بدونیم غالبا فرایند های Authentication و Authorization در API ها دارای چالش و آسیب پذیری بوده است، از این روی توجه به تکنیک های تست نفوذ در این منطقه، موردی مناسب برای کشف آسیب پذیری است.
https://medium.com/@root.n33r4j/how-i-found-a-critical-bug-in-instagram-and-got-49500-bounty-from-facebook-626ff2c6a853
@Unk9vvN
یه محقق هندی تونسته یک آسیب پذیری Broken Authorization پیدا کنه و بدلیل عدم تصدیق صحیح API اینستاگرام که از نوع GraphQL است، مهاجم میتواند با استفاده از جایگزینی ID مربوط به پارامتر
clips_media_id با media_id یک پست دیگر، یک ویدیو را در صفحه قربانی بارگزاری کند و حتی تصویر thumbnail رو هم در پست هدف قرار بدهد.این آسیب پذیری 49500 دلار جایزه در بر داشته که شرکت Facebook به شکارچی پرداخت کرده است، این نکته لازم به ذکر که بدونیم غالبا فرایند های Authentication و Authorization در API ها دارای چالش و آسیب پذیری بوده است، از این روی توجه به تکنیک های تست نفوذ در این منطقه، موردی مناسب برای کشف آسیب پذیری است.
https://medium.com/@root.n33r4j/how-i-found-a-critical-bug-in-instagram-and-got-49500-bounty-from-facebook-626ff2c6a853
@Unk9vvN
#C3 #Breaking #Network #Segregation
یکی از دغدغه تیم های قرمز بحث برقراری ارتباط با CnC است که بصورت ناشناس انجام بشه و همین ناشناسی موجب عدم شکار حمله توسط تیم های شکارچی باشه
در همین راستا محققین شرکت F-Secure یک ارائه دادن در BlackHat 2021 تحت عنوان نحوه Breaking شبکه در خط فرمان تولیدی خودشون با نام C3، این خط فرمان قراره از DCOM های خود سیستم عامل استفاده کنه در خصوص انجام فرامین خط فرمان C3 در پوشش یک DCOM صحیح سیستم مانند سرویس Printer و درایور Print Spooler
همونطور که در تصاویر میتونید ببینید، خط فرمان بواسطه یک ارتباط مبتنی بر Slack اقدام به برقراری ارتباط کرده و بواسطه کانالی که خط فرمان طراحی کرده اقدام به ارتباط با RPC میکنه، در نتیجه دستورات اول به RPC پرینتر داده شده و بعد به C3
اتفاقی که اینجا می افته اینه که چون پردازش مستقیمی برای برقراری ارتباط از طرف C3 انجام نشده و این ارتباط بواسطه یک واسط صحیح در سیستم بوده، تیم SOC دیگه رویدادی که جلب توجه کنه براش، نخواهد دید و بنوعی دور میخوره...
سناریو های بعدی مطرح شده در مقاله رو خودتون میتوید در اینجا مطالعه بفرماید.
@Unk9vvN
یکی از دغدغه تیم های قرمز بحث برقراری ارتباط با CnC است که بصورت ناشناس انجام بشه و همین ناشناسی موجب عدم شکار حمله توسط تیم های شکارچی باشه
در همین راستا محققین شرکت F-Secure یک ارائه دادن در BlackHat 2021 تحت عنوان نحوه Breaking شبکه در خط فرمان تولیدی خودشون با نام C3، این خط فرمان قراره از DCOM های خود سیستم عامل استفاده کنه در خصوص انجام فرامین خط فرمان C3 در پوشش یک DCOM صحیح سیستم مانند سرویس Printer و درایور Print Spooler
همونطور که در تصاویر میتونید ببینید، خط فرمان بواسطه یک ارتباط مبتنی بر Slack اقدام به برقراری ارتباط کرده و بواسطه کانالی که خط فرمان طراحی کرده اقدام به ارتباط با RPC میکنه، در نتیجه دستورات اول به RPC پرینتر داده شده و بعد به C3
اتفاقی که اینجا می افته اینه که چون پردازش مستقیمی برای برقراری ارتباط از طرف C3 انجام نشده و این ارتباط بواسطه یک واسط صحیح در سیستم بوده، تیم SOC دیگه رویدادی که جلب توجه کنه براش، نخواهد دید و بنوعی دور میخوره...
سناریو های بعدی مطرح شده در مقاله رو خودتون میتوید در اینجا مطالعه بفرماید.
@Unk9vvN
#Real_World #Cybersecurity #Training
مقوله آموزش در کشور ما شده یکسری روش های مرسوم که عموما همه ما باهاش آشنا هستیم و نقاط ضعفش رو میشناسیم...
اما در آمریکا و در بخش های مختلفی که نیاز دارند علوم سایبری رو بصورت جامع و اصطلاحا Real World تدریس کنند، زیرساخت تحصیلی جامع و کاملی رو پی ریزی کرده و اگر مطالعه کنید در وبسایت مربوطه، ذکر شده که با تکنولوژی های نوین بحث آموزش (آموزش آنلاین مبتنی بر هدایت دقیق کاربر) دارند پیش میبرند
دستگاه های متولی مانند افتا ریاست جمهوری و پلیس فتا میبایست در خصوص ارتقاء کیفیت سر فصل های آموزشی و همچنین مدل آموزش، یک تنظیم گیری قوانین طبق روندی که در دنیا پیش گرفته شده داشته باشند
تا ما در امر تولید محتوا و دوره های آموزشی، کیفیت خوبی رو شاهد باشیم و به تبع اون نیروی انسانی با کیفیت رو در سریع ترین زمان وارد شرکت های دانش بنیان و همچنین تیم های استارت آپی فعال در حوزه امنیت سایبری کنیم.
https://www.dcita.edu/
@Unk9vvN
مقوله آموزش در کشور ما شده یکسری روش های مرسوم که عموما همه ما باهاش آشنا هستیم و نقاط ضعفش رو میشناسیم...
اما در آمریکا و در بخش های مختلفی که نیاز دارند علوم سایبری رو بصورت جامع و اصطلاحا Real World تدریس کنند، زیرساخت تحصیلی جامع و کاملی رو پی ریزی کرده و اگر مطالعه کنید در وبسایت مربوطه، ذکر شده که با تکنولوژی های نوین بحث آموزش (آموزش آنلاین مبتنی بر هدایت دقیق کاربر) دارند پیش میبرند
دستگاه های متولی مانند افتا ریاست جمهوری و پلیس فتا میبایست در خصوص ارتقاء کیفیت سر فصل های آموزشی و همچنین مدل آموزش، یک تنظیم گیری قوانین طبق روندی که در دنیا پیش گرفته شده داشته باشند
تا ما در امر تولید محتوا و دوره های آموزشی، کیفیت خوبی رو شاهد باشیم و به تبع اون نیروی انسانی با کیفیت رو در سریع ترین زمان وارد شرکت های دانش بنیان و همچنین تیم های استارت آپی فعال در حوزه امنیت سایبری کنیم.
https://www.dcita.edu/
@Unk9vvN
#Semgrep #Static_Analysis #Binary #Vulnerability
یک پویشگر کد که بصورت آنالیز ایستا کار میکند، در خصوص کشف آسیب پذیری های Binary طراحی شده که بیش از 20 زبان رو پشتیبانی میکنه و به گفته خودش بالای 2000 rule پایش برای کشف آسیب پذیری داره.
این ابزار امکان نصب بصورت یک افزونه برای VSCode و Ghidra رو داشته و میتونه در زمان Disassemble کد، شروع به پایش آسیب پذیری کنه، برخی از این Rule هارو میتونید اینجا ببینید.
از ویژگی های جالب این ابزار میشود، به داشتن Syntax مخصوص در بحث ساخت Rule اشاره داشت که همانند امضاهای Yara امکان ساخت نوع Pattern مد نظر خودتون رو خواهد داشت و بصورت هوشمند شروع به پایش در کد کند..
یک ارائه هم در این خصوص انجام شده که اینجا میتونید مشاهده بفرماید.
https://semgrep.dev/
@Unk9vvN
یک پویشگر کد که بصورت آنالیز ایستا کار میکند، در خصوص کشف آسیب پذیری های Binary طراحی شده که بیش از 20 زبان رو پشتیبانی میکنه و به گفته خودش بالای 2000 rule پایش برای کشف آسیب پذیری داره.
این ابزار امکان نصب بصورت یک افزونه برای VSCode و Ghidra رو داشته و میتونه در زمان Disassemble کد، شروع به پایش آسیب پذیری کنه، برخی از این Rule هارو میتونید اینجا ببینید.
از ویژگی های جالب این ابزار میشود، به داشتن Syntax مخصوص در بحث ساخت Rule اشاره داشت که همانند امضاهای Yara امکان ساخت نوع Pattern مد نظر خودتون رو خواهد داشت و بصورت هوشمند شروع به پایش در کد کند..
یک ارائه هم در این خصوص انجام شده که اینجا میتونید مشاهده بفرماید.
https://semgrep.dev/
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#BypassAVs #Hardcoding C++
ایجاد یک رفتار جدید در فرایند های Coding مرسوم یک موضوع، میتونه موجب دور زدن مکانیزم های دفاعی بشه...
چرا که تابع رفتاری عموم آنها مبتنی بر مدل رفتار الگویی است که تا به آن روز استفاده میشده، در نتیجه در مواجه با روش های نوین امکان تشخیص مخرب بودن یک کد رو سخت خواهد نمود...
در تصویر روش بکار گرفته شده در خصوص پیچیده کردن فرایند استفاده از توابع سیستم عامل و پاس دادن مقادیر ورودی برنامه بوده، که به روش غیر معمول انجام شده و نتیجتا موجب دور زدن 97 درصدی تمامی محصولات ضدبدافزار شده است...
پیچیده کردن الگوی رفتاری توابع یک بدافزار میتواند در نحوه تشخیص ترسیم الگوی امضای کد مخرب، ایمن باشد.
https://www.virustotal.com/gui/file/8b73a148a27479ae55e00d9f95fcd3ae5efd960d4a83c69605a7f899292e011d
@Unk9vvN
ایجاد یک رفتار جدید در فرایند های Coding مرسوم یک موضوع، میتونه موجب دور زدن مکانیزم های دفاعی بشه...
چرا که تابع رفتاری عموم آنها مبتنی بر مدل رفتار الگویی است که تا به آن روز استفاده میشده، در نتیجه در مواجه با روش های نوین امکان تشخیص مخرب بودن یک کد رو سخت خواهد نمود...
در تصویر روش بکار گرفته شده در خصوص پیچیده کردن فرایند استفاده از توابع سیستم عامل و پاس دادن مقادیر ورودی برنامه بوده، که به روش غیر معمول انجام شده و نتیجتا موجب دور زدن 97 درصدی تمامی محصولات ضدبدافزار شده است...
پیچیده کردن الگوی رفتاری توابع یک بدافزار میتواند در نحوه تشخیص ترسیم الگوی امضای کد مخرب، ایمن باشد.
https://www.virustotal.com/gui/file/8b73a148a27479ae55e00d9f95fcd3ae5efd960d4a83c69605a7f899292e011d
@Unk9vvN
#Wordpress #Object_Injection (CVE-2022-21663)
استفاده نا صحیح از
موضوعی که میتونه جالب باشه اینه که عملکرد تابع
حالا برای دور زدن میبایست توجه به این نکته کنیم که در PHP نسخه 7.4 به قبل نشانگر
همچنین در switch های تابع
@Unk9vvN
استفاده نا صحیح از
()unserialize@ بجای ()maybe_unserialize در نقطه انتهایی wp-admin/options.php و در پارامتر active_plugins که مقدارش بصورت Serialize در پایگاه داده ذخیره میشه، موجب شده تا آسیب پذیری Object Injection رخ بده..موضوعی که میتونه جالب باشه اینه که عملکرد تابع
()maybe_unserialize اینطوره که اگر مقدار ورودی Object یا Array و یا Serialize باشه، میاد اون رو Double Serialize میکنه که به نوعی اثر تخریبی مقادیر داخلش رو دفع کنه،حالا برای دور زدن میبایست توجه به این نکته کنیم که در PHP نسخه 7.4 به قبل نشانگر
C در مقادیر Serialize معرف Class بوده که در تابع ()unserialize پشتیبانی میشه، همچنین در switch های تابع
()maybe_unserialize ذکر نشده که اگر نوع داده Object و نشانگر اون C بود بیا و عملیات Double Serialize رو انجام بده، همین موضوع باعث میشه که مهاجم در طراحی POP Chain Gadget خودش، نوع Object رو با نشانگر C قرار بده و تابع ()maybe_unserialize رو دور بزنه.@Unk9vvN