#APT34 #Tesla #Agent #Phishing #Trojan
اخیرا تحرکاتی از تیم #APT34 منتصب به ایران، رخ داده است که مبتنی بر آسیب پذیری قدیمی CVE-2017-11882 و CVE-2018-0802 اقدام به پخش ایمیل فیشینگ هایی با محتوای فایل xls و یک دانلودر بدافزار بوده است.
اما در مرحله اجرا یک OLE اجرا میشود که دارای equation data است که در
شلکد اجرایی در اصل یک دانلودر و اجراگر بدافزار است که بواسطه تابع
اما فایل دانلودی یک بدافزار طراحی شده با dotNet است که کاملا مبهم سازی شده بواسطه IntelliLock و Net Reactor. بوده و مهاجم تمامی اسامی ها را مبهم ساخته است.
اما درون این بدافزار مقادیر Encode شده ای قرار دارد که دارای پیلود برای Agent Tesla بوده که بصورت Encode و Compress در Resource Section قرار کرده شده است.
پیلود Agent Tesla با تکنیک Process Hollowing که یک تکنیک برای محافظت از پردازش بدافزار است.
@Unk9vvN
اخیرا تحرکاتی از تیم #APT34 منتصب به ایران، رخ داده است که مبتنی بر آسیب پذیری قدیمی CVE-2017-11882 و CVE-2018-0802 اقدام به پخش ایمیل فیشینگ هایی با محتوای فایل xls و یک دانلودر بدافزار بوده است.
اما در مرحله اجرا یک OLE اجرا میشود که دارای equation data است که در
EQNEDT32.EXE به اجرا در آمده و از آسیب پذیری استفاده کرده و شلدکی را به اجرا در میاورد.شلکد اجرایی در اصل یک دانلودر و اجراگر بدافزار است که بواسطه تابع
URLDownloadToFileW که یک تابع API است تماس گرفته شده و بدافزاری با نام chromium.exe دانلود شده و در %TEMP% با نام desHost.exe ذخیره میشود.اما فایل دانلودی یک بدافزار طراحی شده با dotNet است که کاملا مبهم سازی شده بواسطه IntelliLock و Net Reactor. بوده و مهاجم تمامی اسامی ها را مبهم ساخته است.
اما درون این بدافزار مقادیر Encode شده ای قرار دارد که دارای پیلود برای Agent Tesla بوده که بصورت Encode و Compress در Resource Section قرار کرده شده است.
پیلود Agent Tesla با تکنیک Process Hollowing که یک تکنیک برای محافظت از پردازش بدافزار است.
@Unk9vvN
#TSSHOCK #MPC #Wallets
ارائه ای در کنفرانس Blackhat USA 2023 انجام شد که میپرداخت به طیف آسیب پذیری های کشف شده از هسته کیف پول مبتنی بر MPC یا Multi-Party Computation که محاسبات چند جانبه را بر پروتکل رمزنگاری TSS یا Threshold Signature Scheme فعالیت دارد که راهکاری بر بستر شبکه Blockchains برای کیف پول های رمزارز بوده است.
اما TSS یک طرح رمزنگاری است که به چندین طرف اجازه میدهد بطور مشترک کلید تولید کنند و زمان ارسال پیام TSS میبایست طرفین پیام را همگی امضا نمایند تا پیام TSS تصدیق شود.
برای امضا و تراکنش میبایست از الگوریتم ECDSA در Blockchain استفاده نمود، این الگوریتم مبتنی بر رمزگذاری Homomorphic است که در GG18 معرفی و در GG20 بروز رسانی شده است.
اولین آسیب پذیری یک طرح رمزگذاری مبهم بوده که ورودی بصورت دو
دومین آسیب پذیری، کاهش تکرار
@Unk9vvN
ارائه ای در کنفرانس Blackhat USA 2023 انجام شد که میپرداخت به طیف آسیب پذیری های کشف شده از هسته کیف پول مبتنی بر MPC یا Multi-Party Computation که محاسبات چند جانبه را بر پروتکل رمزنگاری TSS یا Threshold Signature Scheme فعالیت دارد که راهکاری بر بستر شبکه Blockchains برای کیف پول های رمزارز بوده است.
اما TSS یک طرح رمزنگاری است که به چندین طرف اجازه میدهد بطور مشترک کلید تولید کنند و زمان ارسال پیام TSS میبایست طرفین پیام را همگی امضا نمایند تا پیام TSS تصدیق شود.
برای امضا و تراکنش میبایست از الگوریتم ECDSA در Blockchain استفاده نمود، این الگوریتم مبتنی بر رمزگذاری Homomorphic است که در GG18 معرفی و در GG20 بروز رسانی شده است.
اولین آسیب پذیری یک طرح رمزگذاری مبهم بوده که ورودی بصورت دو
byte array این چنینی ["a$", "b"] و ["a", "$b"] را دریافت میکرده است که این ورودی های Tuples امکان برخورد مقادیر هش را میداده است.دومین آسیب پذیری، کاهش تکرار
dlnproof بوده که به مهاجم امکان حدس زدن تعدادی از بیت های MPC را میدهد و بازیابی کلید خصوصی توسط یک node مخرب.@Unk9vvN
#Iranian #Cybersecurity #Research #Government
از سال 98 به اینور یک مقاله در پژوهشگاه ارتباطات و فناوری اطلاعات ثبت نشده است و همان مقالاتی هم که ثبت شده، به ندرت میتوان موضوعی در خصوص اقیانوس علوم امنیت فضای سایبر پیدا کرد.
این در حالی است که معاون پژوهش و توسعه ارتباطات علمی پژوهشگاه ارتباطات و فناوری اطلاعات که هم اکنون در مسئولیت معاون امنیت فضای تولید و تبادل اطلاعات (#افتا) است، خبر از صرف بودجه 90 میلیارد تومانی در عرصه تحقیق و پژوهش داده بود.
کشور ایران در طول این سالها بارها مورد حملات سایبری مداوم پیشرفته قرار گرفته است و بسیاری از اطلاعات حساس کشور افشا شده است.
این در حالی است که مرکز پژوهشی مرتبط با حوزه امنیت فضای سایبر، وظیفه داشته است که ظرفیت های نیروی انسانی نیازمندی های افتا را محقق کرده و کمک به ارتقاء سطح علمی کشور در امر تولید دانش و فناوری های افتا کند.
در حال حاظر مشخص نیست حاصل این پژوهشگاه در حوزه علوم امنیت فضای سایبر چه بوده و بودجه های دریافتی کجا صرف شده است.
@Unk9vvN
از سال 98 به اینور یک مقاله در پژوهشگاه ارتباطات و فناوری اطلاعات ثبت نشده است و همان مقالاتی هم که ثبت شده، به ندرت میتوان موضوعی در خصوص اقیانوس علوم امنیت فضای سایبر پیدا کرد.
این در حالی است که معاون پژوهش و توسعه ارتباطات علمی پژوهشگاه ارتباطات و فناوری اطلاعات که هم اکنون در مسئولیت معاون امنیت فضای تولید و تبادل اطلاعات (#افتا) است، خبر از صرف بودجه 90 میلیارد تومانی در عرصه تحقیق و پژوهش داده بود.
کشور ایران در طول این سالها بارها مورد حملات سایبری مداوم پیشرفته قرار گرفته است و بسیاری از اطلاعات حساس کشور افشا شده است.
این در حالی است که مرکز پژوهشی مرتبط با حوزه امنیت فضای سایبر، وظیفه داشته است که ظرفیت های نیروی انسانی نیازمندی های افتا را محقق کرده و کمک به ارتقاء سطح علمی کشور در امر تولید دانش و فناوری های افتا کند.
در حال حاظر مشخص نیست حاصل این پژوهشگاه در حوزه علوم امنیت فضای سایبر چه بوده و بودجه های دریافتی کجا صرف شده است.
@Unk9vvN
#Web #Developer VS #Web #Security #Expert
تفاوت نگاه یک برنامه نویس وب به موضوع امنیت سرویس های تحت وب، با یک متخصص پیشرفته امنیت وب در این است که برنامه نویس وب، آسیب پذیری های عمومی را مورد بررسی و ایمن سازی قرار میدهد اما متخصص امنیت وب بیش از 100 آسیب پذیری حساس در حوزه وب رو مورد بررسی و وا کاوی قرار میدهد.
نمونه ای از تحقیقات برتر متخصصین امنیت وب:
Abusing HTTP hop-by-hop request headers by Nathan Davison
Web Cache Deception Attack by Omer Gil
HTTP Desync Attacks: Request Smuggling Reborn by James Kettle
File Operation Induced Unserialization via the “phar://” Stream Wrapper by Sam Thomas
Remote Code Execution in CouchDB by Max Justicz
Prototype pollution attack in NodeJS application by Olivier Arteau
A New Era of SSRF - Exploiting URL Parser in Trending Programming Languages! by Orange Tsai
Timeless Timing Attacks by Tom Van Goethem & Mathy Vanhoef
How I Hacked Microsoft Teams and got $150,000 in Pwn2Own by Masato Kinugawa
@Unk9vvN
تفاوت نگاه یک برنامه نویس وب به موضوع امنیت سرویس های تحت وب، با یک متخصص پیشرفته امنیت وب در این است که برنامه نویس وب، آسیب پذیری های عمومی را مورد بررسی و ایمن سازی قرار میدهد اما متخصص امنیت وب بیش از 100 آسیب پذیری حساس در حوزه وب رو مورد بررسی و وا کاوی قرار میدهد.
نمونه ای از تحقیقات برتر متخصصین امنیت وب:
Abusing HTTP hop-by-hop request headers by Nathan Davison
Web Cache Deception Attack by Omer Gil
HTTP Desync Attacks: Request Smuggling Reborn by James Kettle
File Operation Induced Unserialization via the “phar://” Stream Wrapper by Sam Thomas
Remote Code Execution in CouchDB by Max Justicz
Prototype pollution attack in NodeJS application by Olivier Arteau
A New Era of SSRF - Exploiting URL Parser in Trending Programming Languages! by Orange Tsai
Timeless Timing Attacks by Tom Van Goethem & Mathy Vanhoef
How I Hacked Microsoft Teams and got $150,000 in Pwn2Own by Masato Kinugawa
@Unk9vvN