#WASM #Browser #Exploitation
در کنفرانس BlackHat 2024 آمریکا، ارائه ای در خصوص کشف آسیب پذیری باینری از موتور پیاده سازی Web Assembly ارائه شد که روش شناسی های جدیدی رو در این حوزه مطرح میکند.
محققین اعلام میکنند در مرورگرهای مدرن امروزی مانند Chrome و Safari، استفاده از ساختار Web Assembly در زبان Javascript این امکان رو خواهد داد تا مهاجمین در زمان Build Proccess اقدام به ایجاد یک سردرگمی نوع داده بکنند که ظرفیت اسپری Shellcode مخرب را داده و موجب اجرای کد در حافظه مرورگر میشود.
بطور خلاصه ماجرا از این قرار است که جریان اجرا در WASM به 3 حالت کلی برمیگرده، اول Runtime Build دوم ByteCode Execution سوم External Interaction که در حالت Runtime Build دو آسیب پذیری باینری کشف شده تا کنون، از Bytecode Exec نیز دو آسیب پذیری سردرگمی نوع داده و خواندن و نوشتن بیرون از باند رخ داده است.
در اثر استفاده WASM از Wrapper JS برای تغییر Context مثلا یک تابع، ظرفیت ایجاد یک آسیب پذیری سردرگمی نوع داده بوجود خواهد آمد.
بقیه ماجرا در مقاله...
@Unk9vvN
در کنفرانس BlackHat 2024 آمریکا، ارائه ای در خصوص کشف آسیب پذیری باینری از موتور پیاده سازی Web Assembly ارائه شد که روش شناسی های جدیدی رو در این حوزه مطرح میکند.
محققین اعلام میکنند در مرورگرهای مدرن امروزی مانند Chrome و Safari، استفاده از ساختار Web Assembly در زبان Javascript این امکان رو خواهد داد تا مهاجمین در زمان Build Proccess اقدام به ایجاد یک سردرگمی نوع داده بکنند که ظرفیت اسپری Shellcode مخرب را داده و موجب اجرای کد در حافظه مرورگر میشود.
بطور خلاصه ماجرا از این قرار است که جریان اجرا در WASM به 3 حالت کلی برمیگرده، اول Runtime Build دوم ByteCode Execution سوم External Interaction که در حالت Runtime Build دو آسیب پذیری باینری کشف شده تا کنون، از Bytecode Exec نیز دو آسیب پذیری سردرگمی نوع داده و خواندن و نوشتن بیرون از باند رخ داده است.
در اثر استفاده WASM از Wrapper JS برای تغییر Context مثلا یک تابع، ظرفیت ایجاد یک آسیب پذیری سردرگمی نوع داده بوجود خواهد آمد.
بقیه ماجرا در مقاله...
@Unk9vvN
#XSS and #CSRF to #RCE for #WordPress
اگر از افزونه های جانبی سیستم مدیریت محتوای WordPress آسیب پذیری XSS کشف شد، چطور میشه آسیب پذیری رو به RCE یا اجرای کد از راه دور، تبدیل کرد؟
مهاجم بواسطه ایجاد درخواست جعلی از سمت کاربر (CSRF) اقدام به ارسال Request بر روی مرورگر ادمین میکند بواسطه آسیب پذیری XSS که وجود دارد، یعنی آسیب پذیری XSS موجب میشود یک Exploit به زبان جاوا اسکریپت SRC شود.
لذا مهاجم میتواند بواسطه
و از آن CSRF-Token برای زدن درخواست معتبر بعدی مبنی بر بار گزاری یک افزونه جعلی استفاده خواهد کرد و با Endpoint مربوط به
اما نحوه صحبت با Backdoor روش جالبی است، که موجب صحبت با Endpoint درب عقبی شده و بواسطه ارسال دستورات در پارامتر های POST است که در تابع
@Unk9vvN
اگر از افزونه های جانبی سیستم مدیریت محتوای WordPress آسیب پذیری XSS کشف شد، چطور میشه آسیب پذیری رو به RCE یا اجرای کد از راه دور، تبدیل کرد؟
مهاجم بواسطه ایجاد درخواست جعلی از سمت کاربر (CSRF) اقدام به ارسال Request بر روی مرورگر ادمین میکند بواسطه آسیب پذیری XSS که وجود دارد، یعنی آسیب پذیری XSS موجب میشود یک Exploit به زبان جاوا اسکریپت SRC شود.
لذا مهاجم میتواند بواسطه
XMLHttpRequest شروع به درخواست با Cookie ادمین کند و بواسطه زدن اولین درخواست با روش GET، مقدار CSRF-Token که در وردپرس _wpnonce نام دارد را دریافت کند.و از آن CSRF-Token برای زدن درخواست معتبر بعدی مبنی بر بار گزاری یک افزونه جعلی استفاده خواهد کرد و با Endpoint مربوط به
plugin-install.php صحبت میکند، که نتیجه میشود بار گزاری یک افزونه Backdoor و در ادامه درخواست فعال سازی افزونه زده خواهد شد و تمام.اما نحوه صحبت با Backdoor روش جالبی است، که موجب صحبت با Endpoint درب عقبی شده و بواسطه ارسال دستورات در پارامتر های POST است که در تابع
()callback پارس خواهد شد.@Unk9vvN
#Cyberespionage #Gamaredon #APT on #Ukraine
اخیرا یک حمله از یک کمپین روسی شناسایی شده که هدفش سازمان های اکراینی و کشور های هم پیمان ناتو بوده است.
حمله به این صورت بوده یک فایل فرمت LNK به ایمیل های فیشینگ Attachment بوده که به محض دانلود و اجرا، Stage بعدی دانلود می شده است.
فایل LNK از بستر اینترنت یک فایل HTA رو بصورت از راه دور اجرا میکنه که اون فایل در حالت
فایل اجرایی HTA دارای یک ActiveX Object بوده که میاد
به
در فایل دریافتی یک کد JS وجود داره که میاد یک مقدار Base64 رو بصورت مبهم سازی هست رو دانلود میکنه که در اصل یک فایل rar هستش.
گزارش مفصل هست اما یک نکته جالب دیگه داره، اونم اینکه استفاده از تکنیک Fast Flux DNS که برای گم کردن رد C&C استفاده شده و مدام IP پشت دامنه ها در حال تغییر بوده.
@Unk9vvN
اخیرا یک حمله از یک کمپین روسی شناسایی شده که هدفش سازمان های اکراینی و کشور های هم پیمان ناتو بوده است.
حمله به این صورت بوده یک فایل فرمت LNK به ایمیل های فیشینگ Attachment بوده که به محض دانلود و اجرا، Stage بعدی دانلود می شده است.
فایل LNK از بستر اینترنت یک فایل HTA رو بصورت از راه دور اجرا میکنه که اون فایل در حالت
minimize بوده و پنجره ای نیز باز نخواهد کرد.فایل اجرایی HTA دارای یک ActiveX Object بوده که میاد
Wscript.Shell رو Object میکنه که اجازه دسترسی به خط فرمان رو خواهد داد.به
registered یک فرمان داده میشه برای اجرا که باز میاد mshta.exe رو بکار میگیره برای اجرای یک فایل دیگه با نام rejoined.jpeg که بظاهر فرمت jpeg دارد.در فایل دریافتی یک کد JS وجود داره که میاد یک مقدار Base64 رو بصورت مبهم سازی هست رو دانلود میکنه که در اصل یک فایل rar هستش.
گزارش مفصل هست اما یک نکته جالب دیگه داره، اونم اینکه استفاده از تکنیک Fast Flux DNS که برای گم کردن رد C&C استفاده شده و مدام IP پشت دامنه ها در حال تغییر بوده.
@Unk9vvN
#IOCONTROL #ICS #Trojan
در ماه فوریه امسال یک Trojan توسط Qianxin XLab شناسایی شد با نام IOCONTROL که بر پایه سیستم های لینوکسی بوده و در خصوص حمله به زیرساخت های صنعتی، دستگاه های HMI و PLC و IIoT فعالیت می کرده است.
که بواسطه پروتکل MQTT که در خصوص تجهیزات اینترنت اشیاء صنعتی است، با مرکز کنترل و فرمان مهاجمین ارتباط می گرفته است.
این بدافزار از DNS-over-HTTPS برای ارسال ترافیک اطلاعات پیکربندی ها استفاده می کرده است که مبتنی بر سرویس ابری Cloudflare عمل میکرده که همین موضوع باعث پنهان ماندن C2 بوده است.
همچنین از MQTT over TLS برای محافظت از ارسال و دریافت فرمان های C2 استفاده می کرده است که داده ها با رمزنگاری AES و Mode رمزنگاری CBC فعالیت داشته است.
خود بدافزار نیز یک فایل فرمت ELF 32 بیت بوده و با UPX یکدور پک شده و امضای UPX تغییر داده شده به ABC!.
اما تکنیک ماندگاری Trojan نیز یک اسکریپت Bash بوده است که اقدام به اجرای iocontrol بصورت پنهان کرده و 5 ثانیه به خواب میرود.
@Unk9vvN
در ماه فوریه امسال یک Trojan توسط Qianxin XLab شناسایی شد با نام IOCONTROL که بر پایه سیستم های لینوکسی بوده و در خصوص حمله به زیرساخت های صنعتی، دستگاه های HMI و PLC و IIoT فعالیت می کرده است.
که بواسطه پروتکل MQTT که در خصوص تجهیزات اینترنت اشیاء صنعتی است، با مرکز کنترل و فرمان مهاجمین ارتباط می گرفته است.
این بدافزار از DNS-over-HTTPS برای ارسال ترافیک اطلاعات پیکربندی ها استفاده می کرده است که مبتنی بر سرویس ابری Cloudflare عمل میکرده که همین موضوع باعث پنهان ماندن C2 بوده است.
همچنین از MQTT over TLS برای محافظت از ارسال و دریافت فرمان های C2 استفاده می کرده است که داده ها با رمزنگاری AES و Mode رمزنگاری CBC فعالیت داشته است.
خود بدافزار نیز یک فایل فرمت ELF 32 بیت بوده و با UPX یکدور پک شده و امضای UPX تغییر داده شده به ABC!.
اما تکنیک ماندگاری Trojan نیز یک اسکریپت Bash بوده است که اقدام به اجرای iocontrol بصورت پنهان کرده و 5 ثانیه به خواب میرود.
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#Google #Willow #Quantum #Chip
گوگل اخیرا تراشه کوانتومی جدیدی به نام (Willow) معرفی کرده است که با ۱۰۵ کیوبیت، پیشرفتی مهم در محاسبات کوانتومی محسوب میشود. این تراشه قادر است مسائلی را در عرض پنج دقیقه حل کند که سریع ترین ابر رایانههای کنونی برای حل آنها به زمانی بیش از عمر جهان نیاز دارند.
تراشه Willow با کاهش نرخ خطاها در مقیاس بزرگتر، به چالشی اساسی در این حوزه پاسخ میدهد و نشان میدهد که با افزایش تعداد کیوبیتها، دقت محاسبات نیز بهبود مییابد.
گوگل ادعا میکند که Willow میتواند مسائل دنیای واقعی، مانند شبیه سازی مولکول ها برای کشف دارو های جدید و طراحی باتری های قدرتمندتر، را حل کند. این پیشرفت به کاربردهای تجاری محاسبات کوانتومی بسیار نزدیکتر شده است.
سیستم های رمزنگاری مدرن (مانند RSA، AES و ECC) به قدرت محاسباتی کلاسیک وابسته اند و امنیت آنها بر پایه زمان مورد نیاز برای شکستن کلیدها است. تراشههای کوانتومی مانند Willow، با استفاده از الگوریتم (Shor)، میتوانند در زمان کوتاهی کلیدهای رمزنگاری سنتی را شکسته و دادهها را در معرض خطر قرار دهند.
@Unk9vvN
گوگل اخیرا تراشه کوانتومی جدیدی به نام (Willow) معرفی کرده است که با ۱۰۵ کیوبیت، پیشرفتی مهم در محاسبات کوانتومی محسوب میشود. این تراشه قادر است مسائلی را در عرض پنج دقیقه حل کند که سریع ترین ابر رایانههای کنونی برای حل آنها به زمانی بیش از عمر جهان نیاز دارند.
تراشه Willow با کاهش نرخ خطاها در مقیاس بزرگتر، به چالشی اساسی در این حوزه پاسخ میدهد و نشان میدهد که با افزایش تعداد کیوبیتها، دقت محاسبات نیز بهبود مییابد.
گوگل ادعا میکند که Willow میتواند مسائل دنیای واقعی، مانند شبیه سازی مولکول ها برای کشف دارو های جدید و طراحی باتری های قدرتمندتر، را حل کند. این پیشرفت به کاربردهای تجاری محاسبات کوانتومی بسیار نزدیکتر شده است.
سیستم های رمزنگاری مدرن (مانند RSA، AES و ECC) به قدرت محاسباتی کلاسیک وابسته اند و امنیت آنها بر پایه زمان مورد نیاز برای شکستن کلیدها است. تراشههای کوانتومی مانند Willow، با استفاده از الگوریتم (Shor)، میتوانند در زمان کوتاهی کلیدهای رمزنگاری سنتی را شکسته و دادهها را در معرض خطر قرار دهند.
@Unk9vvN
#puNK Lilith #RAT #Autolt
گروه تهدید آسیای شرقی با نام puNK اخیرا حملاتی رو انجام داده است که نکات فنی مفیدی را میتواند داشته باشد.
زنجیره حمله به این صورت بوده که یک فایل فرمت LNK به محض اجرا شدن، یک کد Powershell رو بر روی خط فرمان cmd بصورت مبهم سازی شده اجرا میکند.
این اجرا موجب میشود یک فایل با نام Decoy دانلود و اجرا شود، اما در ادامه اجرای کد Powershell، یک فایل
کد Powershell مرحله اول، بعد از دانلود و اجرای 2 فایل مرتبط با autolt3 بواسطه فایل
بعد از اجرای بدافزار، مهاجم اقدام به سرقت نشست های Cookie مرورگر قربانی خواهد کرد.
@Unk9vvN
گروه تهدید آسیای شرقی با نام puNK اخیرا حملاتی رو انجام داده است که نکات فنی مفیدی را میتواند داشته باشد.
زنجیره حمله به این صورت بوده که یک فایل فرمت LNK به محض اجرا شدن، یک کد Powershell رو بر روی خط فرمان cmd بصورت مبهم سازی شده اجرا میکند.
این اجرا موجب میشود یک فایل با نام Decoy دانلود و اجرا شود، اما در ادامه اجرای کد Powershell، یک فایل
curl.exe دانلود و اجرا میشود که البته با نام تصادفی ساخته شده است، همچنین ساخت پوشه C:\GSILzFnTov و ریختن فایل اجرایی Autolt3.exe و فایل اسکریپت آن که با نام QwbpjvdmTA.au3 است.کد Powershell مرحله اول، بعد از دانلود و اجرای 2 فایل مرتبط با autolt3 بواسطه فایل
curl.exe، یک Persistence نیز با schtasks.exe میسازد تا در یک بازه زمانی مشخص فایل بدافزار اجرا شود.بعد از اجرای بدافزار، مهاجم اقدام به سرقت نشست های Cookie مرورگر قربانی خواهد کرد.
@Unk9vvN