#COM #CnC #Koadic
چند سال پیش، یک خط فرمان و کنترلی در Github ثبت شد که در نوع خودش، یک CnC بسیار جالب بوده.
این CnC مبتنی بر Component Object Model های سیستم عامل کار میکرده و از ظرفیت سیستم عامل بر علیه خود آن استفاده می نمود.
دلیل جذابیت این CnC نیز همین است، که بواسطه COM ها اقدام به انجام فرامین مد نظر یک تیم قرمز میکرده است، ویژگی اصلی آن استفاده از تکنیک HTML Smuggling بوده که توسط ActiveXObject ها اعمال میشده است.
حالا بعد از گذشت چندین سال، هنوز این CnC که با نام Koadic شناخته میشود، قابلیت استفاده دارد، البته با کمی تغییر منابع آن.
نوع پیلود های ایجادی این CnC برپایه زبان JavaScript و VBScript بوده است، که بواسطه
اما در کنار آن دو، در مرحله ایجاد دسترسی نیز میتوان نوع پیلود های ایجادی را بواسطه
این روش ها اساسا، برای دور زدن محصولاتی مانند آنتی ویروس بسیار کارا هستند چرا که میتوان یک بدافزار را به چند Stage مختلف تقسیم نموده و به فرمت های مشروع سیستم عامل اجرا کرد.
@Unk9vvN
چند سال پیش، یک خط فرمان و کنترلی در Github ثبت شد که در نوع خودش، یک CnC بسیار جالب بوده.
این CnC مبتنی بر Component Object Model های سیستم عامل کار میکرده و از ظرفیت سیستم عامل بر علیه خود آن استفاده می نمود.
دلیل جذابیت این CnC نیز همین است، که بواسطه COM ها اقدام به انجام فرامین مد نظر یک تیم قرمز میکرده است، ویژگی اصلی آن استفاده از تکنیک HTML Smuggling بوده که توسط ActiveXObject ها اعمال میشده است.
حالا بعد از گذشت چندین سال، هنوز این CnC که با نام Koadic شناخته میشود، قابلیت استفاده دارد، البته با کمی تغییر منابع آن.
نوع پیلود های ایجادی این CnC برپایه زبان JavaScript و VBScript بوده است، که بواسطه
cscript.exe و wscript.exe قابلیت اجرایی پیدا میکند.اما در کنار آن دو، در مرحله ایجاد دسترسی نیز میتوان نوع پیلود های ایجادی را بواسطه
MSHTA.exe که اجراگر فایل فرمت HTA است، نیز ایجاد نمود.این روش ها اساسا، برای دور زدن محصولاتی مانند آنتی ویروس بسیار کارا هستند چرا که میتوان یک بدافزار را به چند Stage مختلف تقسیم نموده و به فرمت های مشروع سیستم عامل اجرا کرد.
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Unpatched #Powerful #SSRF in #Exchange
اخیرا یک آسیب پذیری از مایکروسافت Exchange مطرح شده که محقق اعلام میکنه، مایکروسافت آسیب پذیری SSRF کشف شده رو در سطح حساسیت بالا نمیدونه و اصلاح نمیکند.
آسیب پذیری در Attachment ایجاد ایمیل است که با تابع
در تابع
در این تابع یک تماس با
نهایتا در asynchronous task یک پیاده سازی از کلاس
@Unk9vvN
اخیرا یک آسیب پذیری از مایکروسافت Exchange مطرح شده که محقق اعلام میکنه، مایکروسافت آسیب پذیری SSRF کشف شده رو در سطح حساسیت بالا نمیدونه و اصلاح نمیکند.
آسیب پذیری در Attachment ایجاد ایمیل است که با تابع
CreateAttachmentFromUri فعال شده و از Methods های Exchange OWAService استفاده میکند.در تابع
CreateAttachmentFromUri یک Initialize برای تماس با Execute method پیاده سازی میشود که تماسی با تابع InternalExecute گرفته خواهد شد.در این تابع یک تماس با
CreateAttachmentFromUri.DownloadAndAttachFileFromUri گرفته میشود و پارامتر های uri ، name ، subscriptionId و غیره به آن پاس داده میشود که ورودی uri برای مهاجم مهم است.نهایتا در asynchronous task یک پیاده سازی از کلاس
HttpClient ساخته میشود، بعد uri پاس داده شده مهاجم در httpResponseMessage ریخته شده و در نهایت در تابع CreateAttachmentAndSendPendingGetNotification داده دریافتی از Get HTTP به عنوان یک Pending Notification ایجاد خواهد شد.@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#VMware #Escape CVE-2017-4905
نمونه ای از فرار بدافزار بواسطه بهره برداری از آسیب پذیری باینری پروتکل RPC و درایور رابط Host با ماشین Guest که منجر به اجرای کد در حافظه Host خواهد شد.
مکانیزمی با نام Backdoor وجود دارد که برای ارتباطات guest-host است، که این Backdoor دو Port دارد 5658 و 5659، اولی برای ارتباطات کوتاه، دومی برای ارتباطات پهنای باند بالا است.
ماشین مهمان درخواست in/out را بواسطه instructions های خود به دو Port ارسال کرده و Hypervisor درخواستی را به سرویس میدهد.
پروتکل GuestRPC ویژگی های Drag، Drop و غیره را بین Guest-Host برقرار میکند که مبتنی بر xHCI Host Controller بر روی Ring 0 فعالیت دارد.
اما باگ، از ساختار XHCI یک Device Context گزارش میشود که در ثبات DCBAAP در RAM فیزیکی ذخیره میشوند، اما XHCI یک کش داخلی از Device Context را نگه میدارد و تنها زمانی که تغییراتی رخ میدهد آنرا بروز میکند.
ماشین مجازی Map موقعیت Device Context را بدست آورده و یک بروز رسانی DCBAAP انجام میدهد، این بروز رسانی چک نمیشود و مهاجم میتواند مقدار آدرس را تغییر دهد.
@Unk9vvN
نمونه ای از فرار بدافزار بواسطه بهره برداری از آسیب پذیری باینری پروتکل RPC و درایور رابط Host با ماشین Guest که منجر به اجرای کد در حافظه Host خواهد شد.
مکانیزمی با نام Backdoor وجود دارد که برای ارتباطات guest-host است، که این Backdoor دو Port دارد 5658 و 5659، اولی برای ارتباطات کوتاه، دومی برای ارتباطات پهنای باند بالا است.
ماشین مهمان درخواست in/out را بواسطه instructions های خود به دو Port ارسال کرده و Hypervisor درخواستی را به سرویس میدهد.
پروتکل GuestRPC ویژگی های Drag، Drop و غیره را بین Guest-Host برقرار میکند که مبتنی بر xHCI Host Controller بر روی Ring 0 فعالیت دارد.
اما باگ، از ساختار XHCI یک Device Context گزارش میشود که در ثبات DCBAAP در RAM فیزیکی ذخیره میشوند، اما XHCI یک کش داخلی از Device Context را نگه میدارد و تنها زمانی که تغییراتی رخ میدهد آنرا بروز میکند.
ماشین مجازی Map موقعیت Device Context را بدست آورده و یک بروز رسانی DCBAAP انجام میدهد، این بروز رسانی چک نمیشود و مهاجم میتواند مقدار آدرس را تغییر دهد.
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#Cybereason #RedTeam VS #BlueTeam
دموی معرفی خدمات شرکت Cybereason تولید کننده سامانه های XDR و غیره است که در نوع خودش جالب بود، ولی خب شما بهترین سامانه های دنیا رو هم داشته باشید باز امکان دور زدن تمامی مکانیزم های شما بواسطه طراحی بدافزارهای پیشرفته با تکنیک های نو آورانه خواهد بود.
لذا بهترین سیاست در خصوص برنده بودن در بازی موش و گربه تیم های امنیت دفاعی و تهاجمی، وجود مراکز به معنی واقعی کلمه تحقیقاتی با ظرفیت ملی است که میتواند جامعیت علمی و اطلاعاتی را در بر داشته باشد.
متاسفانه حاکمیت همچنان در حلقه فساد برخی آقایان مسئول گیر افتاده و این لایه مدیریتی اجازه شنیده شدن نظرات کارشناسان در میدان، به رده های بالاتر را نمیدهند.
از طرفی شرکت های دلال که همواره با محصولات نا کار آمد خارجی بازار را تسخیر کرده اند نیز مجال سرمایه گذاری بر روی فعالیت های تحقیق و توسعه نداده و خود یکی از عاملین اصلی مهاجرت محققین این حوزه هستند.
امنیت سایبری بسیار وابسته به تحقیق و توسعه است، لذا کار آمدی در آن منوط بر توانمندی علمی داخلی است، البته این به معنی تولید محصولات بی کیفیت یا ظاهری به هیچ وجه نیست.
@Unk9vvN
دموی معرفی خدمات شرکت Cybereason تولید کننده سامانه های XDR و غیره است که در نوع خودش جالب بود، ولی خب شما بهترین سامانه های دنیا رو هم داشته باشید باز امکان دور زدن تمامی مکانیزم های شما بواسطه طراحی بدافزارهای پیشرفته با تکنیک های نو آورانه خواهد بود.
لذا بهترین سیاست در خصوص برنده بودن در بازی موش و گربه تیم های امنیت دفاعی و تهاجمی، وجود مراکز به معنی واقعی کلمه تحقیقاتی با ظرفیت ملی است که میتواند جامعیت علمی و اطلاعاتی را در بر داشته باشد.
متاسفانه حاکمیت همچنان در حلقه فساد برخی آقایان مسئول گیر افتاده و این لایه مدیریتی اجازه شنیده شدن نظرات کارشناسان در میدان، به رده های بالاتر را نمیدهند.
از طرفی شرکت های دلال که همواره با محصولات نا کار آمد خارجی بازار را تسخیر کرده اند نیز مجال سرمایه گذاری بر روی فعالیت های تحقیق و توسعه نداده و خود یکی از عاملین اصلی مهاجرت محققین این حوزه هستند.
امنیت سایبری بسیار وابسته به تحقیق و توسعه است، لذا کار آمدی در آن منوط بر توانمندی علمی داخلی است، البته این به معنی تولید محصولات بی کیفیت یا ظاهری به هیچ وجه نیست.
@Unk9vvN
#Adversary in the #Middle #Attacks
در چند سال اخیر گروه تهدید روسیه که با نام Turla شناخته میشود، از یک تکنیکی با نام AiTM استفاده کرده است با همکاری کشور بلاروس، در راستای ایجاد دسترسی از اهدافی در اوکراین.
از این تکنیک میتوان در زیرساخت مخابراتی در راستای شنود داده ها، حملات مجدد (Replay Attacks) در بهره برداری از دسترسی به داده های احرازی، استفاده نمود.
همچنین مانیتور کردن یا تغییر ترافیک از دیگر ویژگی های این تکنیک است که میتواند از دستکاری DNS برای هدایت کاربر مد نظر خود به سایت مهاجم استفاده نمود یا با حملات Downgrade پروتکل های SSL/TLS به نسخه های آسیب پذیر، ترافیک رمزنگاری را بازگشایی کرد.
اما تیم مهاجم روسی از این تکنیک در راستای بازتاب دادن یک بدافزار MoustachedBouncer در زیر دامنه
کد جاوا اسکریپتی در سمت Front-End سایت تزریق شده است که اقدام به دانلود یک فایل ZIP میکند، این فایل یک بروز رسانی Fake است که در درون خود بدافزار بصورت Trojan نهفته است.
@Unk9vvN
در چند سال اخیر گروه تهدید روسیه که با نام Turla شناخته میشود، از یک تکنیکی با نام AiTM استفاده کرده است با همکاری کشور بلاروس، در راستای ایجاد دسترسی از اهدافی در اوکراین.
از این تکنیک میتوان در زیرساخت مخابراتی در راستای شنود داده ها، حملات مجدد (Replay Attacks) در بهره برداری از دسترسی به داده های احرازی، استفاده نمود.
همچنین مانیتور کردن یا تغییر ترافیک از دیگر ویژگی های این تکنیک است که میتواند از دستکاری DNS برای هدایت کاربر مد نظر خود به سایت مهاجم استفاده نمود یا با حملات Downgrade پروتکل های SSL/TLS به نسخه های آسیب پذیر، ترافیک رمزنگاری را بازگشایی کرد.
اما تیم مهاجم روسی از این تکنیک در راستای بازتاب دادن یک بدافزار MoustachedBouncer در زیر دامنه
updates.microsoft.com استفاده کرده و اقدام به آلوده سازی قربانیان خود میکند.کد جاوا اسکریپتی در سمت Front-End سایت تزریق شده است که اقدام به دانلود یک فایل ZIP میکند، این فایل یک بروز رسانی Fake است که در درون خود بدافزار بصورت Trojan نهفته است.
@Unk9vvN
#Indie #Hackers #Silicon_Valley
در دنیا یکی از مدل های تجاری سازی تخصص های حوزه فناوری اطلاعات این است که شما به سمت STARTUP کردن حرکت کنید و محصولاتی با مزیت رقابت مناسب ساخته و بازار دلخواه خود را بدست آورید.
اما در کنار این نوع تجاری سازی و مدل درآمد زایی از علوم فناوری اطلاعات، مفهومی یک سالی هست شکل گرفته است با نام Indie Hackers که نوعی از روش شناسی تجاری سازی تخصص است.
چیزی میان یک استارت آپ نو پا تا یک شرکت بزرگ، Indie Hackers ها کسانی هستند که علاقمند هستند محصول (MVP) تولید کنند اما نه بواسطه دریافت سرمایه از VC ها یا سرمایه گذار های خطر پذیر که به نوعی شریک کسب و کار میشوند، بلکه بواسطه کوچک سازی تیم توسعه و حذف بسیاری از هزینه های روتین یک شرکت، اقدام به تولید محصولی میکنند که میتواند درآمد متوسطی را محقق کند با کمترین امکانات.
تیم های Indie Hackers اغلب چند عضو مشخص و کوچیکی دارند که متخصص هستند و توانمندی تولید یک محصول را داشته و بصورت از راه دور با هم کار میکنند و بواسطه انجام Task های منظم و تقسیم شده میان گروه، نهایتا محصولی را ساخته و به مشتری نهایی عرضه میکنند.
@Unk9vvN
در دنیا یکی از مدل های تجاری سازی تخصص های حوزه فناوری اطلاعات این است که شما به سمت STARTUP کردن حرکت کنید و محصولاتی با مزیت رقابت مناسب ساخته و بازار دلخواه خود را بدست آورید.
اما در کنار این نوع تجاری سازی و مدل درآمد زایی از علوم فناوری اطلاعات، مفهومی یک سالی هست شکل گرفته است با نام Indie Hackers که نوعی از روش شناسی تجاری سازی تخصص است.
چیزی میان یک استارت آپ نو پا تا یک شرکت بزرگ، Indie Hackers ها کسانی هستند که علاقمند هستند محصول (MVP) تولید کنند اما نه بواسطه دریافت سرمایه از VC ها یا سرمایه گذار های خطر پذیر که به نوعی شریک کسب و کار میشوند، بلکه بواسطه کوچک سازی تیم توسعه و حذف بسیاری از هزینه های روتین یک شرکت، اقدام به تولید محصولی میکنند که میتواند درآمد متوسطی را محقق کند با کمترین امکانات.
تیم های Indie Hackers اغلب چند عضو مشخص و کوچیکی دارند که متخصص هستند و توانمندی تولید یک محصول را داشته و بصورت از راه دور با هم کار میکنند و بواسطه انجام Task های منظم و تقسیم شده میان گروه، نهایتا محصولی را ساخته و به مشتری نهایی عرضه میکنند.
@Unk9vvN
#Elite #Tools #Installer
یک نصب کننده ابزار ها با نام Linux Elite طراحی شده است تا تمامی کاستی های آزمایشگاهی در حوزه های مختلف امنیت سایبری را پوشش داده و یک سیستم عامل لینوکس پایه را تبدیل به یک آزمایشگاه تیم بنفش نماید، این ابزار فعلا از دو سیستم عامل Kali Linux و Ubuntu در شرایط آخرین نسخه، پشتیبانی میکند.
همچنین در آینده یک نصب کننده ابزار ها با نام Windows Elite نیز در همین راستا بر پایه زبان Powershell طراحی شده تا فرایند های ایجاد یک آزمایشگاه تیم بنقش را ساده و آسان نماید.
# Linux Elite
Install Script
Run Script
@Unk9vvN
یک نصب کننده ابزار ها با نام Linux Elite طراحی شده است تا تمامی کاستی های آزمایشگاهی در حوزه های مختلف امنیت سایبری را پوشش داده و یک سیستم عامل لینوکس پایه را تبدیل به یک آزمایشگاه تیم بنفش نماید، این ابزار فعلا از دو سیستم عامل Kali Linux و Ubuntu در شرایط آخرین نسخه، پشتیبانی میکند.
همچنین در آینده یک نصب کننده ابزار ها با نام Windows Elite نیز در همین راستا بر پایه زبان Powershell طراحی شده تا فرایند های ایجاد یک آزمایشگاه تیم بنقش را ساده و آسان نماید.
# Linux Elite
Install Script
curl -s https://raw.githubusercontent.com/unk9vvn/unk9vvn.github.io/main/linux-elite.sh | sudo bash
Run Script
sudo linux-lite
@Unk9vvN
#HTML #Smuggling Attack for #Bypass #SOC
در مرکز عملیات امنیت، کارشناسان در تلاش هستند که بواسطه بررسی رویداد های مبتنی بر سیستم عامل و ارتباطات مبتنی بر شبکه، تهدیدات را شکار نمایند.
همچنین بواسطه تکنولوژی DPI یا نظارت عمیق بر پکت ها، تیم امنیت دفاعی سعی خواهد کرد تا نوع ترافیک در جریان را تشخیص بدهد.
ویژگی تکنیک HTML Smuggling این است که بر بستر ترافیک Legitimate یا مشروع، Stage های بد افزار را میتوان بصورت نا محسوس انتقال داد.
مانند تصویر پست که Stage بدافزار را که مبتنی بر فایل فرمت PE است، اول Compress و Encrypt با رمز مشخص میکند و در ادامه بواسطه تکنیک Polyglot با یک فرمت غیر حساس مانند PNG ادغام میکند.
این ادغام به این صورت است که امضای اول فایل PNG دست نخورده و در ادامه داده های Chunk که XOR شده مقادیر فرمت ZIP هستند را باز نویسی میکند.
نهایتا فایل PNG در یک دامنه ای قرار گرفته و در یک صفحه HTML بواسطه جاوا اسکریت src شده و بر روی سیستم قربانی بارگزاری میشود.
فایل HTML پایه میتواند بر روی CDN نیز قرار گرفته شده و IP خط کنترل و فرمان مهاجم نیز پنهان شود.
@Unk9vvN
در مرکز عملیات امنیت، کارشناسان در تلاش هستند که بواسطه بررسی رویداد های مبتنی بر سیستم عامل و ارتباطات مبتنی بر شبکه، تهدیدات را شکار نمایند.
همچنین بواسطه تکنولوژی DPI یا نظارت عمیق بر پکت ها، تیم امنیت دفاعی سعی خواهد کرد تا نوع ترافیک در جریان را تشخیص بدهد.
ویژگی تکنیک HTML Smuggling این است که بر بستر ترافیک Legitimate یا مشروع، Stage های بد افزار را میتوان بصورت نا محسوس انتقال داد.
مانند تصویر پست که Stage بدافزار را که مبتنی بر فایل فرمت PE است، اول Compress و Encrypt با رمز مشخص میکند و در ادامه بواسطه تکنیک Polyglot با یک فرمت غیر حساس مانند PNG ادغام میکند.
این ادغام به این صورت است که امضای اول فایل PNG دست نخورده و در ادامه داده های Chunk که XOR شده مقادیر فرمت ZIP هستند را باز نویسی میکند.
نهایتا فایل PNG در یک دامنه ای قرار گرفته و در یک صفحه HTML بواسطه جاوا اسکریت src شده و بر روی سیستم قربانی بارگزاری میشود.
فایل HTML پایه میتواند بر روی CDN نیز قرار گرفته شده و IP خط کنترل و فرمان مهاجم نیز پنهان شود.
@Unk9vvN