#Hyperscan #Regex #Library
کتابخانه Hyperscan که تولید شده شرکت Intel است، یک تسهیل کننده در بحث پردازش Regex Matching است که در سطح پردازش بالا، مورد استفاده قرار میگیرید.
بطور مثال محصولاتی مانند Firewall - DPI - Snort - Suricata و دیگر محصولات امنیت دفاعی که مبتنی بر نظارت Stream بر روی ترافیک، اعمال تشخیص و عمل دفاع را انجام میدهند، از این کتابخانه برای تشخیص مبتنی بر امضا استفاده کرده اند.
این کتابخانه از PCRE و BSD پشتیبانی میکند، همچنین این کتابخانه از الگوریتم های Intel® Streaming SIMD نیز استفاده میکند که این موضوع کیفیت Matching رو در پردازش بالا، صورت میبخشد.
فرایند کارکرد این کتابخانه، به این صورت است که ورودی مبتنی بر Pattern ها استخراج و در پایگاه داده ای در حافظه ذخیره میشوند برای استفاده در زمان اجرا.
اما در زمان اجرا از قبل الگوها از پایگاه داده فراخوانی میشوند و مبتنی بر موتور NFA و DFA اقدام به اعمال Matching بر روی دستورالعمل خواهند نمود، از آنجا که الگوهای پایگاه داده فقط خواندنی است، میتوان عمل پردازش رو بر روی چند هسته از پردازنده و چند Threads اجرا نموند.
@Unk9vvN
کتابخانه Hyperscan که تولید شده شرکت Intel است، یک تسهیل کننده در بحث پردازش Regex Matching است که در سطح پردازش بالا، مورد استفاده قرار میگیرید.
بطور مثال محصولاتی مانند Firewall - DPI - Snort - Suricata و دیگر محصولات امنیت دفاعی که مبتنی بر نظارت Stream بر روی ترافیک، اعمال تشخیص و عمل دفاع را انجام میدهند، از این کتابخانه برای تشخیص مبتنی بر امضا استفاده کرده اند.
این کتابخانه از PCRE و BSD پشتیبانی میکند، همچنین این کتابخانه از الگوریتم های Intel® Streaming SIMD نیز استفاده میکند که این موضوع کیفیت Matching رو در پردازش بالا، صورت میبخشد.
فرایند کارکرد این کتابخانه، به این صورت است که ورودی مبتنی بر Pattern ها استخراج و در پایگاه داده ای در حافظه ذخیره میشوند برای استفاده در زمان اجرا.
اما در زمان اجرا از قبل الگوها از پایگاه داده فراخوانی میشوند و مبتنی بر موتور NFA و DFA اقدام به اعمال Matching بر روی دستورالعمل خواهند نمود، از آنجا که الگوهای پایگاه داده فقط خواندنی است، میتوان عمل پردازش رو بر روی چند هسته از پردازنده و چند Threads اجرا نموند.
@Unk9vvN
#TripleCross #eBPF #Rootkit #Linux
در بحث طراحی Rootkit تکنیک ها و مدل های مختلفی وجود دارد که میتواند موجب ماندگاری آن شود.
یکی از این روش ها استفاده از فناوری extended Berkeley Packet Filters است که از نسخه 3.18 هسته لینوکس اضافه شده است و اجازه میدهد تا اجرای کد در هسته سیستم عامل، بدون نیاز به Load ماژول در هسته انجام شود.
البته فناوری eBPF برای فیلترینگ Packet و نظارت بر شبکه طراحی شده است، اما بستر خیلی خوبی نیز برای اجرای کد میتواند باشد، چرا که منابع انحصاری هسته و امکان ردیابی فعالیت های سمت کاربر را میتواند انجام دهد.
برای مثال TripleCross یک Rootkit مبتنی بر eBPF است و قابلیت هایی مانند ماژول تزریق کتابخانه و اجرای کد در حافظه مجازی، اجرای کد در سطح هسته و به موجب آن ارتقاء سطح دسترسی برای یک Process سمت کاربر، امکان فعال سازی Backdoor در سطح root و غیره را دارد.
اما مهاجمین بواسطه Patch کردن و Overwrite مقادیر Tracepoints ها، بخشی از ساختمان های این فناوری بواسطه Rootkit های خود، موفق شدند از این فناوری بر علیه خود سیستم عامل استفاده کنند.
@Unk9vvN
در بحث طراحی Rootkit تکنیک ها و مدل های مختلفی وجود دارد که میتواند موجب ماندگاری آن شود.
یکی از این روش ها استفاده از فناوری extended Berkeley Packet Filters است که از نسخه 3.18 هسته لینوکس اضافه شده است و اجازه میدهد تا اجرای کد در هسته سیستم عامل، بدون نیاز به Load ماژول در هسته انجام شود.
البته فناوری eBPF برای فیلترینگ Packet و نظارت بر شبکه طراحی شده است، اما بستر خیلی خوبی نیز برای اجرای کد میتواند باشد، چرا که منابع انحصاری هسته و امکان ردیابی فعالیت های سمت کاربر را میتواند انجام دهد.
برای مثال TripleCross یک Rootkit مبتنی بر eBPF است و قابلیت هایی مانند ماژول تزریق کتابخانه و اجرای کد در حافظه مجازی، اجرای کد در سطح هسته و به موجب آن ارتقاء سطح دسترسی برای یک Process سمت کاربر، امکان فعال سازی Backdoor در سطح root و غیره را دارد.
اما مهاجمین بواسطه Patch کردن و Overwrite مقادیر Tracepoints ها، بخشی از ساختمان های این فناوری بواسطه Rootkit های خود، موفق شدند از این فناوری بر علیه خود سیستم عامل استفاده کنند.
@Unk9vvN
#Cybersecurity #Roadmaps
نقشه راه امنیت سایبری در دو بخش امنیت تهاجمی و امنیت تدافعی معرفی شد.
از ویژگی های این نقشه راه، اشاره مستقیم به خود تاکتیک ها و تکنیک ها است که مبتنی بر آنها محصولات امنیتی طراحی میشوند، همچنین دوره هایی که برای کار با آن محصولات امنیتی است.
در نتیجه برای ترسیم دقیق بازه توانمندی هر محصول و یا ارائه خدمات علوم امنیت، میتوان به این نقشه راه متکی بوده و مبتنی بر آن پیش رفت.
این نقشه راه در شش بخش عنوان شده است که دوره های مورد طراحی تیم تحقیقاتی Unk9vvN ، مبتنی بر آن خواهد بود.
لازم به ذکر است که این نقشه راه هر ساله اصلاح خواهد شد و مباحثی اضافه و کم میشود، در نتیجه برای مطلع شدن از تغییرات حاصله، میتوانید همواره از لینک زیر نقشه راه را مشاهده نماید.
# Roadmap
unk9vvn.github.io/cybersecurity-roadmaps
# Presentation Videos
youtube.com/playlist?list=PLptEYzkzqybeXTzHkR-ij3mlWDcgC50VH
@Unk9vvN
نقشه راه امنیت سایبری در دو بخش امنیت تهاجمی و امنیت تدافعی معرفی شد.
از ویژگی های این نقشه راه، اشاره مستقیم به خود تاکتیک ها و تکنیک ها است که مبتنی بر آنها محصولات امنیتی طراحی میشوند، همچنین دوره هایی که برای کار با آن محصولات امنیتی است.
در نتیجه برای ترسیم دقیق بازه توانمندی هر محصول و یا ارائه خدمات علوم امنیت، میتوان به این نقشه راه متکی بوده و مبتنی بر آن پیش رفت.
این نقشه راه در شش بخش عنوان شده است که دوره های مورد طراحی تیم تحقیقاتی Unk9vvN ، مبتنی بر آن خواهد بود.
لازم به ذکر است که این نقشه راه هر ساله اصلاح خواهد شد و مباحثی اضافه و کم میشود، در نتیجه برای مطلع شدن از تغییرات حاصله، میتوانید همواره از لینک زیر نقشه راه را مشاهده نماید.
# Roadmap
unk9vvn.github.io/cybersecurity-roadmaps
# Presentation Videos
youtube.com/playlist?list=PLptEYzkzqybeXTzHkR-ij3mlWDcgC50VH
@Unk9vvN
#SANS #Iranian #Threat #Actor
در جریان توییت آقای Bob Diachenko در خصوص افشای اطلاعات 46 میلیون حساب اینستاگرام، 1.2 میلیون حساب توییتر و 180 هزار حساب تلگرام ایرانی در دامنه ای با نام
خانوم Lina Lau ارائه ای رو در مجموعه SANS انجام میدهد که در آن اشاره میکند به گروه های فعال تهاجمی در ایران و در جریان افشاگری های مطرح شده در توییتر، مشخص شد یکی از تیم های سایبری منتصب به دستگاه اطلاعاتی ایرانی حریم خصوصی مردم را نقض و بر خلاف قوانین جمهوری اسلامی ایران، مبنی بر عدم جاسوسی از حریم خصوصی مردم، اقدام به شنود و ضبط اطلاعات حساب های شبکه های اجتماعی مردم کرده است.
اما در کنار این نقض قانون، در این مقاله مطرح میشود که حساب کاربری با نام
لازم دانستیم شفاف سازی کنیم که نام کاربری
@Unk9vvN
در جریان توییت آقای Bob Diachenko در خصوص افشای اطلاعات 46 میلیون حساب اینستاگرام، 1.2 میلیون حساب توییتر و 180 هزار حساب تلگرام ایرانی در دامنه ای با نام
secnerd.ir که بر روی آن پلتفرم Elasticsearch بصورت ناشیانه پیکربندی شده بود، لو رفته است.خانوم Lina Lau ارائه ای رو در مجموعه SANS انجام میدهد که در آن اشاره میکند به گروه های فعال تهاجمی در ایران و در جریان افشاگری های مطرح شده در توییتر، مشخص شد یکی از تیم های سایبری منتصب به دستگاه اطلاعاتی ایرانی حریم خصوصی مردم را نقض و بر خلاف قوانین جمهوری اسلامی ایران، مبنی بر عدم جاسوسی از حریم خصوصی مردم، اقدام به شنود و ضبط اطلاعات حساب های شبکه های اجتماعی مردم کرده است.
اما در کنار این نقض قانون، در این مقاله مطرح میشود که حساب کاربری با نام
Unkn19wn و ایمیل unk19wn@gmail.com در جریان یکی از عملیات های تهاجمی شرکتی با نام Najee و با مدیریت فردی با نام Mansour Ahmadi اقدام به فعالیت های سایبری کرده است.لازم دانستیم شفاف سازی کنیم که نام کاربری
Unkn19wn هیچ ربطی به این تیم تحقیقاتی ندارد.@Unk9vvN
#Ransomware #Moneybird Targeted #Israel
تیم پاسخ به حادثه شرکت Check Point مقاله ای انتشار داده است مبنی بر حمله مجدد باج افزاری با نام Moneybird به ارگان ها و شرکت های اسرائیلی برای اخاذی مالی.
رفتار تکنیکی تاکتیکی حمله طبق معمول بر پایه یک ایجاد دسترسی بر پایه یک آسیب پذیری، و زدن تونل RDP مبتنی بر Web Shell که منجر به دانلود و اجرای باج افزار میشود.
اما دو نکته قابل توجه این حمله، یک استفاده مکرر از ابزار های تجاری رایگان است که مکانیزم های دفاعی به آنها واکنشی نشان نمی دهند، دیگری توسعه باج افزار با رویکردی جدید به زبان ++C که به عنوان یک Encryptor عمل خواهد کرد.
باج افزار پارامتر های CLI دریافت میکند که این موضوع موجب میشود مهاجم بصورت شخصی سازی شده توابع باج افزار را پیکربندی نماید، این پیکربندی میلی ثانیه خواب بودن قبل از start باج افزار است.
تعداد Threads های چک و Ciphering که با بررسی تعداد هسته های پردازنده تعیین خواهد شد، تعیین بررسی لیست Extension ها، برای رمز کردن و دیگر موارد که در تصویر مهندسی معکوس فایل مشخص شده است.
@Unk9vvN
تیم پاسخ به حادثه شرکت Check Point مقاله ای انتشار داده است مبنی بر حمله مجدد باج افزاری با نام Moneybird به ارگان ها و شرکت های اسرائیلی برای اخاذی مالی.
رفتار تکنیکی تاکتیکی حمله طبق معمول بر پایه یک ایجاد دسترسی بر پایه یک آسیب پذیری، و زدن تونل RDP مبتنی بر Web Shell که منجر به دانلود و اجرای باج افزار میشود.
اما دو نکته قابل توجه این حمله، یک استفاده مکرر از ابزار های تجاری رایگان است که مکانیزم های دفاعی به آنها واکنشی نشان نمی دهند، دیگری توسعه باج افزار با رویکردی جدید به زبان ++C که به عنوان یک Encryptor عمل خواهد کرد.
باج افزار پارامتر های CLI دریافت میکند که این موضوع موجب میشود مهاجم بصورت شخصی سازی شده توابع باج افزار را پیکربندی نماید، این پیکربندی میلی ثانیه خواب بودن قبل از start باج افزار است.
تعداد Threads های چک و Ciphering که با بررسی تعداد هسته های پردازنده تعیین خواهد شد، تعیین بررسی لیست Extension ها، برای رمز کردن و دیگر موارد که در تصویر مهندسی معکوس فایل مشخص شده است.
@Unk9vvN
#Ransomware #LockBit 3.0
باج افزار LockBit تا کنون مبلغی بیش از 100 میلیون دلار توانسته باج گیری رایانه ای کنه که عموما از ارگان های دولتی آمریکا، چین، هند، فرانسه، آلمان، اوکراین و اندونزی رو درگیر کرده و جالب است که با سرور هایی که زبان های روسی، رومانی، عربی سوری تنظیم داشتند، کاری نداشته است.
رفتار های شاخص تکنیکی تاکتیکی این باج افزار چی مواردی است؟ نسخه 3 این باج افزار برای ایجاد دسترسی از تکنیک های Bruteforce پروتکل RDP ، تکنیک Drive-By Compromise و Spear Phishing و دسترسی به حساب های کاربری صحیح و همچنین بهره برداری از یک آسیب پذیری سرویس های fortinet بوده است.
اما برای Exfiltration عموما از وبسرویس های اشتراک گذاری فایل استفاده شده که فایل های مورد نیاز باج افزار رو به سیستم قربانی انتقال خواهد داد.
استفاده از Autostart Execution ها برای ارتقاء سطح دسترسی که معمولا با schtasks انجام میشه، استفاده از Obfuscation کد برای نامحسوس سازی PE باج افزار، خاموش کردن سرویس های امنیتی سیستم عامل، گرفتن Dump از LSASS بر بستر حافظه و مواردی دیگر، اطلاعات تکمیلی در این مقاله است.
@Unk9vvN
باج افزار LockBit تا کنون مبلغی بیش از 100 میلیون دلار توانسته باج گیری رایانه ای کنه که عموما از ارگان های دولتی آمریکا، چین، هند، فرانسه، آلمان، اوکراین و اندونزی رو درگیر کرده و جالب است که با سرور هایی که زبان های روسی، رومانی، عربی سوری تنظیم داشتند، کاری نداشته است.
رفتار های شاخص تکنیکی تاکتیکی این باج افزار چی مواردی است؟ نسخه 3 این باج افزار برای ایجاد دسترسی از تکنیک های Bruteforce پروتکل RDP ، تکنیک Drive-By Compromise و Spear Phishing و دسترسی به حساب های کاربری صحیح و همچنین بهره برداری از یک آسیب پذیری سرویس های fortinet بوده است.
اما برای Exfiltration عموما از وبسرویس های اشتراک گذاری فایل استفاده شده که فایل های مورد نیاز باج افزار رو به سیستم قربانی انتقال خواهد داد.
استفاده از Autostart Execution ها برای ارتقاء سطح دسترسی که معمولا با schtasks انجام میشه، استفاده از Obfuscation کد برای نامحسوس سازی PE باج افزار، خاموش کردن سرویس های امنیتی سیستم عامل، گرفتن Dump از LSASS بر بستر حافظه و مواردی دیگر، اطلاعات تکمیلی در این مقاله است.
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#MOVEit #Transfer #SQLi
اخیرا دو آسیب پذیری ثبت شده با شناسه های CVE-2023-34362 و CVE-2023-35036 که از نوع Unauthenticated SQLi بوده است که مبتنی بر سناریو زیر بوده:
اول: پیدا کردن CSRF Token، دریافت Cookie از نقطه انتهایی
دوم: ایجاد کاربر sysadmin در پایگاه داده و تنظیم رمز.
سوم: گرفتن API Token از Endpoint مربوطه.
چهارم: پیدا کردن
پنجم: آپلود فایل Webshell بواسطه دسترسی به API.
ششم: کلید رمزنگاری API رو بدست میاد.
هفتم: فاش کردن کلید رمزنگاری بخش
هشتم: ایجاد یک Deserialization Gadget که دارای پبلود ایجاد یک Process بر روی سیستم عامل است.
نهم: این Gadget در پایگاه داده و فایل آپلودی در فیلد
دهم: ارتباط با فایل از طریق API گرفته میشه و Gadget قرار داده شده در فایل اجرا میشه.
یازدهم: نشانه های IoC از روی پایگاه داده حذف میشود.
@Unk9vvN
اخیرا دو آسیب پذیری ثبت شده با شناسه های CVE-2023-34362 و CVE-2023-35036 که از نوع Unauthenticated SQLi بوده است که مبتنی بر سناریو زیر بوده:
اول: پیدا کردن CSRF Token، دریافت Cookie از نقطه انتهایی
guestaccess.aspx، تنظیم session قرار دادن پیلود SQL در پارامتر MyPkgSelfProvisionedRecips هدر Cookie، ساخت رمز با Salt منطبق با پایگاه داده.دوم: ایجاد کاربر sysadmin در پایگاه داده و تنظیم رمز.
سوم: گرفتن API Token از Endpoint مربوطه.
چهارم: پیدا کردن
ID پوشه هدف بارگزاری ها.پنجم: آپلود فایل Webshell بواسطه دسترسی به API.
ششم: کلید رمزنگاری API رو بدست میاد.
هفتم: فاش کردن کلید رمزنگاری بخش
Standard Networks\siLock\Institutions برای ارتباط یکی از پارامتر های APIهشتم: ایجاد یک Deserialization Gadget که دارای پبلود ایجاد یک Process بر روی سیستم عامل است.
نهم: این Gadget در پایگاه داده و فایل آپلودی در فیلد
file_jason بروز رسانی میشه.دهم: ارتباط با فایل از طریق API گرفته میشه و Gadget قرار داده شده در فایل اجرا میشه.
یازدهم: نشانه های IoC از روی پایگاه داده حذف میشود.
@Unk9vvN