#Kali_Linux #Purple_Team
یکی از نیازمندی های متخصصین امنیت تهاجمی، داشتن یک آزمایشگاه امنیت تدافعی است تا در طراحی مدلسازی های حملات و بهره برداری از آسیب پذیری ها، مبتنی بر یک فضای امنیت دفاعی پیشرفته باشه تا بتونه در بهترین حالت عملیاتی خود قرار گرفته و آماده هر شرایطی باشه.
این آزمایشگاه که به عنوان یک SOC کامل طراحی شده و دارای سامانه های زیر میباشد:
Arkime -> Indexed Packet Capture
Zeek -> Network Monitoring
CyberChef -> Cryptography
OpenSearch -> Search and Analytics
Suricata -> IDS
OpenCTI -> Cyber Threat Intelligence
ElasticStack -> SIEM
OPNsense -> Firewall
NAXSI -> WAF for NGINX
هر یک از این محصولات در لایه های مختلف عمل محافظت تشخیص و پاسخ به حادثه رو بر روی سیستم عامل Kali Linux مهیا میکنند که این ویژگی ها میتواند آزمایشگاه را از ابعاد امنیت دفاعی کامل گرداند.
https://www.kali.org/blog/kali-linux-2023-1-release/
@Unk9vvN
یکی از نیازمندی های متخصصین امنیت تهاجمی، داشتن یک آزمایشگاه امنیت تدافعی است تا در طراحی مدلسازی های حملات و بهره برداری از آسیب پذیری ها، مبتنی بر یک فضای امنیت دفاعی پیشرفته باشه تا بتونه در بهترین حالت عملیاتی خود قرار گرفته و آماده هر شرایطی باشه.
این آزمایشگاه که به عنوان یک SOC کامل طراحی شده و دارای سامانه های زیر میباشد:
Arkime -> Indexed Packet Capture
Zeek -> Network Monitoring
CyberChef -> Cryptography
OpenSearch -> Search and Analytics
Suricata -> IDS
OpenCTI -> Cyber Threat Intelligence
ElasticStack -> SIEM
OPNsense -> Firewall
NAXSI -> WAF for NGINX
هر یک از این محصولات در لایه های مختلف عمل محافظت تشخیص و پاسخ به حادثه رو بر روی سیستم عامل Kali Linux مهیا میکنند که این ویژگی ها میتواند آزمایشگاه را از ابعاد امنیت دفاعی کامل گرداند.
https://www.kali.org/blog/kali-linux-2023-1-release/
@Unk9vvN
#Geneva #Censorship #Bypass
پروژه ای با نام Geneva فعال شده در دانشگاه Maryland میپردازد به استراتژی هایی که میتواند مکانیزم های عملکردی دستگاه سانسور رو خنثی و ناکار آمد کنه.
اما راهکار Geneva چیست؟ یکی از راهکار های مطرح، پیاده سازی الگوریتم DNA Syntax هست که مبتنی بر الگوهای یادگیری اقدام به دستکاری جریان پکت ها میکنه که البته نیازی نیست از طرف کاربر و سمت سرور باشه و یکی از طرفین میتونند این عمل رو پیاده سازی کنند، این دستکاری موجب گیج کردن دستگاه سانسور خواهد شد و دستگاه سانسور قابلیت درک ساختار پکت ها رو نخواهد داشت.
استراتژی DNA به این صورت است که نحوه مدیریت پکت های خروجی و ورودی رو تقسیم میکنه و بواسطه 4 روش زیر:
1.
2.
3.
4.
این قطعه بندی بواسطه تعریف در یک ساختار درختی اعمال میشود، در نتیجه چندین درخت action تشکیل شده و بسته ها مبتنی بر این ساختار درختی متغییر، بصورت استراتژیک مدیریت شده و در ارسال ورودی و خروجی ها مبتنی بر استراتژی DNA عمل خواهد کرد.
@Unk9vvN
پروژه ای با نام Geneva فعال شده در دانشگاه Maryland میپردازد به استراتژی هایی که میتواند مکانیزم های عملکردی دستگاه سانسور رو خنثی و ناکار آمد کنه.
اما راهکار Geneva چیست؟ یکی از راهکار های مطرح، پیاده سازی الگوریتم DNA Syntax هست که مبتنی بر الگوهای یادگیری اقدام به دستکاری جریان پکت ها میکنه که البته نیازی نیست از طرف کاربر و سمت سرور باشه و یکی از طرفین میتونند این عمل رو پیاده سازی کنند، این دستکاری موجب گیج کردن دستگاه سانسور خواهد شد و دستگاه سانسور قابلیت درک ساختار پکت ها رو نخواهد داشت.
استراتژی DNA به این صورت است که نحوه مدیریت پکت های خروجی و ورودی رو تقسیم میکنه و بواسطه 4 روش زیر:
1.
duplicate: کپی پکت ها به دو2.
drop: عدم پاسخ به پکت3.
tamper: تغییر پکت بواسطه مدل از پیش تعیین شده4.
fragment: دریافت یک پکت و دو قطعه کردن آناین قطعه بندی بواسطه تعریف در یک ساختار درختی اعمال میشود، در نتیجه چندین درخت action تشکیل شده و بسته ها مبتنی بر این ساختار درختی متغییر، بصورت استراتژیک مدیریت شده و در ارسال ورودی و خروجی ها مبتنی بر استراتژی DNA عمل خواهد کرد.
@Unk9vvN
#Mobile #Legal #Intercept #System
به گزارش CitizenLab سازمان تنظیم مقررات رادیویی (CRA) تمامی اپراتور های مخابراتی در ایران را ملزم به ارائه دسترسی مستقیم سیستم خود را برای بازیابی اطلاعات کاربران و تغییر خدمات خود، به CRA ارائه دهند. این دسترسی در خصوص ذخیره اطلاعات کاربران، صلب دسترسی یا اجازه دسترسی استفاده میشود.
سیستم رهگیری CRA از API با نام (#SIAM) برای اعمال خدمات و هرگونه درخواست مورد نیاز حاکمیت را انجام میدهد، که تحت حمایت دولتی برقرار میشود و برای مدیریت مستقیم شبکه تلفن همراه در کشور خواهد بود.
این سیستم یکپارچه بواسطه محصولات شرکت PROTEI که یک فروشنده بین المللی سیستم های مخابراتی در روسیه است حاصل میشود که توسط شرکت آریانتل و شرکت Telinsol در انگلیس تهیه شده و محصولات Deep Packet Inspection برای اعمال فیلترینگ و User Authentication و SMS Delivery و Mobile Network Signaling را خدمات دهی میکند.
شرکت آریانتل یک اپراتور شبکه مجازی تلفن همراه مستقر در ایران است و CitizenLab با مکاتباتی که داشتند عنوان کردن که این شرکت با شرکت PortaOne مستقر در کانادا تعاملات تجاری تلفن همراه نیز دارد.
@Unk9vvN
به گزارش CitizenLab سازمان تنظیم مقررات رادیویی (CRA) تمامی اپراتور های مخابراتی در ایران را ملزم به ارائه دسترسی مستقیم سیستم خود را برای بازیابی اطلاعات کاربران و تغییر خدمات خود، به CRA ارائه دهند. این دسترسی در خصوص ذخیره اطلاعات کاربران، صلب دسترسی یا اجازه دسترسی استفاده میشود.
سیستم رهگیری CRA از API با نام (#SIAM) برای اعمال خدمات و هرگونه درخواست مورد نیاز حاکمیت را انجام میدهد، که تحت حمایت دولتی برقرار میشود و برای مدیریت مستقیم شبکه تلفن همراه در کشور خواهد بود.
این سیستم یکپارچه بواسطه محصولات شرکت PROTEI که یک فروشنده بین المللی سیستم های مخابراتی در روسیه است حاصل میشود که توسط شرکت آریانتل و شرکت Telinsol در انگلیس تهیه شده و محصولات Deep Packet Inspection برای اعمال فیلترینگ و User Authentication و SMS Delivery و Mobile Network Signaling را خدمات دهی میکند.
شرکت آریانتل یک اپراتور شبکه مجازی تلفن همراه مستقر در ایران است و CitizenLab با مکاتباتی که داشتند عنوان کردن که این شرکت با شرکت PortaOne مستقر در کانادا تعاملات تجاری تلفن همراه نیز دارد.
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Airgap #Exfiltration #Malware
سالها پیش پستی در خصوص فعالیت های آزمایشگاه امنیت سایبری دانشگاه Ben Gurion کشور جعلی اسرائیل مطرح کردیم که مدل سازی حملات به شبکه های Air-Gap که از محدود ترین مدل های شبکه ای بوده و معمولا در مجموعه های صنعتی استفاده میشود، ارائه شده است.
حالا محققین این دانشگاه یک مقاله جدید با نام COVID-bit ارائه دادند که بواسطه تولید جریان الکترو مغناطیسی با فرکانس پایین بین 0 تا 60 کیلوهرتز توسط یک بدافزار از قبل نشسته در سیستم قربانی، منتشر شده تا مهاجم از فاصله دو متری و بیشتر امکان دریافت اطلاعات حساسی رو داشته باشه.
این دریافت عنوان شده که بواسطه یک آنتن کوچیک یک دلاری هم امکان پذیره که بواسطه یک جاسوس میتونه اتفاق بی افته و اطلاعات حساسی رو به یک گوشی هوشمند تا حداکثر سرعت 1000 بیت در ثانیه، منتقل کنه.
این تولید جریان الکترو مغناطیسی بواسطه دستکاری جریان اجرایی هسته های پردازنده اتفاق می افته، یعنی با کنترل نحوه عمل پردازنده ها مبتنی بر بار پردازشی وارده، امکان تولید فرکانس های ضعیفی خواهد بود که بصورت دو دویی و معنادار، اقدام به ارسال اطلاعات کنند.
@Unk9vvN
سالها پیش پستی در خصوص فعالیت های آزمایشگاه امنیت سایبری دانشگاه Ben Gurion کشور جعلی اسرائیل مطرح کردیم که مدل سازی حملات به شبکه های Air-Gap که از محدود ترین مدل های شبکه ای بوده و معمولا در مجموعه های صنعتی استفاده میشود، ارائه شده است.
حالا محققین این دانشگاه یک مقاله جدید با نام COVID-bit ارائه دادند که بواسطه تولید جریان الکترو مغناطیسی با فرکانس پایین بین 0 تا 60 کیلوهرتز توسط یک بدافزار از قبل نشسته در سیستم قربانی، منتشر شده تا مهاجم از فاصله دو متری و بیشتر امکان دریافت اطلاعات حساسی رو داشته باشه.
این دریافت عنوان شده که بواسطه یک آنتن کوچیک یک دلاری هم امکان پذیره که بواسطه یک جاسوس میتونه اتفاق بی افته و اطلاعات حساسی رو به یک گوشی هوشمند تا حداکثر سرعت 1000 بیت در ثانیه، منتقل کنه.
این تولید جریان الکترو مغناطیسی بواسطه دستکاری جریان اجرایی هسته های پردازنده اتفاق می افته، یعنی با کنترل نحوه عمل پردازنده ها مبتنی بر بار پردازشی وارده، امکان تولید فرکانس های ضعیفی خواهد بود که بصورت دو دویی و معنادار، اقدام به ارسال اطلاعات کنند.
@Unk9vvN
#Saitama #Malware #APT34
به گزارش Malwrebytes تیم APT34 ایرانی، اقدام به عملیات APT کرده بر روی یک مقام وزارت خارجه اردن، که بواسطه یک ایمیل و فایل XLS که Attach شده در ایمیل بوده اقدام به ایجاد دسترسی کرده است.
زمانی که قربانی فایل XLS رو باز کرده و گزینه Enable Content رو فعال نماید، یک Macro مخرب فعال شده و فایل مخربی با نام
اما نکته جالب توجه این Macro، استفاده از تکنیکی به نام Saitama است که ظاهرا ابداع خود تیم APT34 بوده و تاکتیکی برای ایجاد DNS Tunneling و ارسال فرمان مبتنی بر DNS بوده که در قسمت FQDN و بر روی زیر دامنه انجام کد گذاری میکند.
@Unk9vvN
به گزارش Malwrebytes تیم APT34 ایرانی، اقدام به عملیات APT کرده بر روی یک مقام وزارت خارجه اردن، که بواسطه یک ایمیل و فایل XLS که Attach شده در ایمیل بوده اقدام به ایجاد دسترسی کرده است.
زمانی که قربانی فایل XLS رو باز کرده و گزینه Enable Content رو فعال نماید، یک Macro مخرب فعال شده و فایل مخربی با نام
update.exe رو Drop خواهد کرد.اما نکته جالب توجه این Macro، استفاده از تکنیکی به نام Saitama است که ظاهرا ابداع خود تیم APT34 بوده و تاکتیکی برای ایجاد DNS Tunneling و ارسال فرمان مبتنی بر DNS بوده که در قسمت FQDN و بر روی زیر دامنه انجام کد گذاری میکند.
oxn009lc7n5887k96c4zfckes6uif.rootdomain.com
زمانی که Backdoor فعال میشود، به FQDN یک درخواست DNS ارسال کرده و مقدار IP رو دریافت میکند، این IPv4 مبتنی بر Octet مفهومی رو برای C2 معنا میکند، برای مثال آدرس زیر70.119.104.111 - 97.109.105.49اعداد کد Octet است که به کاراکترهای ASCII ترجمه میشوند، برای مثال
w=119 ، h=104 ، o=111 و i=105 است که نهایتا کلمه whoami رو از خط فرمان (C2) به Backdoor ارسال میکند.@Unk9vvN
#Electromagnetic #Signal #Injection #Attacks
در تحقیقات اخیر دانشگاه Oxford مقاله ای تحت عنوان تزریق سیگنال های الکترو مغناطیسی به سیگنال های دیفرانسیلی، ارائه شده که در آن محققین مدعی میشوند که بر جریان های ارتباطات رادیوی میتوانند از راه دور تزریق بیت انجام داده و پیام مخربی رو ارسال کنند.
این روش انتقال داده مبتنی بر دو سیگنال الکتریکی مکمل رمزگذاری کار میکنه و این نوع رمزگذاری باعث میشه که گیرنده بتونه سیگنال های نویز رو با دریافت کردن و عدم تطبیق اون با مدل رمزنگاری، تشخیص داده و رد کنه.
حالا محققین اعلام کردند که در تحقیقات خودشون تونستند این روش تشخیص Noise Rejection رو دور زده و بیت های دلخواه یک مهاجم رو بواسطه تزریق به هر دو سیگنال در مدل دیفرانسیل و همسانی بوجود آمده، دور بزنند.
نکته جالب توجه این مقاله اینه که طبق گفته های محققین، بسیاری از پروتکل های رایج و پرکاربرد رو توانستند تزریق و بهره برداری کنند، از جمله CAN، سیستم خودرو، Ethernet، USB، HDMI و حتی سیستم های هوانوردی مانند هواپیما.
@Unk9vvN
در تحقیقات اخیر دانشگاه Oxford مقاله ای تحت عنوان تزریق سیگنال های الکترو مغناطیسی به سیگنال های دیفرانسیلی، ارائه شده که در آن محققین مدعی میشوند که بر جریان های ارتباطات رادیوی میتوانند از راه دور تزریق بیت انجام داده و پیام مخربی رو ارسال کنند.
این روش انتقال داده مبتنی بر دو سیگنال الکتریکی مکمل رمزگذاری کار میکنه و این نوع رمزگذاری باعث میشه که گیرنده بتونه سیگنال های نویز رو با دریافت کردن و عدم تطبیق اون با مدل رمزنگاری، تشخیص داده و رد کنه.
حالا محققین اعلام کردند که در تحقیقات خودشون تونستند این روش تشخیص Noise Rejection رو دور زده و بیت های دلخواه یک مهاجم رو بواسطه تزریق به هر دو سیگنال در مدل دیفرانسیل و همسانی بوجود آمده، دور بزنند.
نکته جالب توجه این مقاله اینه که طبق گفته های محققین، بسیاری از پروتکل های رایج و پرکاربرد رو توانستند تزریق و بهره برداری کنند، از جمله CAN، سیستم خودرو، Ethernet، USB، HDMI و حتی سیستم های هوانوردی مانند هواپیما.
@Unk9vvN
#National #Cyber #Strategy #UK
در سند استراتژی امنیت ملی فضای سایبر انگستان دو بخش جالبی وجود داشت که بد نیست برای متولیان حکمرانی فضای سایبر کشور، باز خوانی بشه.
در بخش قرمز، عنوان میکنه امنیت سایبری بریتانیا به سرعت در حال رشد بوده و بیش از 1400 کسب و کار در سال گذشته (2021) گردش مالی 8.9 بیلیون یورو رو داشته اند، که منجر به ایجاد 46700 شغل شده است.
با وجود این رشد مالی، اعلام میشه این کشور هنوز در عرصه های بین المللی جای رشد داشته و بریتانیا به عنوان یک رهبر جهانی در تحقیقات امنیت سایبری با داشتن 19 دانشگاه عالی و 4 موسسه تحقیقاتی، خودش رو تثبیت کرده است.
در بخش سبز رنگ اعلام شده نیروی کار در بخش امنیت سایبری در 4 سال گذشته 50% رشد کرده، و بعضا تقاضا از عرضه بیشتر بوده.
در ادامه مطرح میکنه که برای الهام بخشیدن به جوانان برای دنبال کردن تخصص های امنیت سایبری، اقداماتی صورت گرفته و از سال 2019 تا 2020 نزدیک به 57000 جوان رو در برنامه یادگیری CyberFirst و Cyber Discovery پرورش داده شده و این روند تا مقطع دانش آموزی رو هم وارد فعالیت های دوره ها امنیت سایبری کرده است.
@Unk9vvN
در سند استراتژی امنیت ملی فضای سایبر انگستان دو بخش جالبی وجود داشت که بد نیست برای متولیان حکمرانی فضای سایبر کشور، باز خوانی بشه.
در بخش قرمز، عنوان میکنه امنیت سایبری بریتانیا به سرعت در حال رشد بوده و بیش از 1400 کسب و کار در سال گذشته (2021) گردش مالی 8.9 بیلیون یورو رو داشته اند، که منجر به ایجاد 46700 شغل شده است.
با وجود این رشد مالی، اعلام میشه این کشور هنوز در عرصه های بین المللی جای رشد داشته و بریتانیا به عنوان یک رهبر جهانی در تحقیقات امنیت سایبری با داشتن 19 دانشگاه عالی و 4 موسسه تحقیقاتی، خودش رو تثبیت کرده است.
در بخش سبز رنگ اعلام شده نیروی کار در بخش امنیت سایبری در 4 سال گذشته 50% رشد کرده، و بعضا تقاضا از عرضه بیشتر بوده.
در ادامه مطرح میکنه که برای الهام بخشیدن به جوانان برای دنبال کردن تخصص های امنیت سایبری، اقداماتی صورت گرفته و از سال 2019 تا 2020 نزدیک به 57000 جوان رو در برنامه یادگیری CyberFirst و Cyber Discovery پرورش داده شده و این روند تا مقطع دانش آموزی رو هم وارد فعالیت های دوره ها امنیت سایبری کرده است.
@Unk9vvN