#Python #Input #Vulnerability
در سال ۲۰۱۷ یک محقق آسیب پذیری رو در تابع ()input زبان پایتون ۲ کشف کرد که نکات جالبی رو به همراه خودش داره, اول اینکه منشاء این آسیب پذیری این است که تابع ()input از ماژول builtin استفاده میکند برای اجرای خود و همچنین مقادیر تابع ()input درون تابع ()eval قرار میگیرد در نتیجه مقادیر ورودی اگر بصورت کد پایتون باشند اجرا خواهند شد,
اما نکته ای که این آسیب پذیری داره که در خصوص اون این پست رو زدیم اینه که این آسیب پذیری میتونه در حالاتی پازل تکمیل کننده ای از یک حمله سایبری عظیم بشه, تصور کنید این اسکریپت در یک سیستم هدف Echo بشه و بعد با ماژول هایی مانند pyinstaller تبدیل به یک فایل فرمت PE بشه و یک argv برایش تعریف شده باشه, اینجاس که میتونه برای ما مثل یک Persistence مخفی در سیستم عامل قربانی عمل کنه و جزئی از پازل Lateral Movement حمله #APT ما باشه...
https://medium.com/@abdelazimmohmmed/python-input-vulnerability-30b0bfea22c9
https://docs.python.org/2/library/functions.html
@Unk9vvN
در سال ۲۰۱۷ یک محقق آسیب پذیری رو در تابع ()input زبان پایتون ۲ کشف کرد که نکات جالبی رو به همراه خودش داره, اول اینکه منشاء این آسیب پذیری این است که تابع ()input از ماژول builtin استفاده میکند برای اجرای خود و همچنین مقادیر تابع ()input درون تابع ()eval قرار میگیرد در نتیجه مقادیر ورودی اگر بصورت کد پایتون باشند اجرا خواهند شد,
اما نکته ای که این آسیب پذیری داره که در خصوص اون این پست رو زدیم اینه که این آسیب پذیری میتونه در حالاتی پازل تکمیل کننده ای از یک حمله سایبری عظیم بشه, تصور کنید این اسکریپت در یک سیستم هدف Echo بشه و بعد با ماژول هایی مانند pyinstaller تبدیل به یک فایل فرمت PE بشه و یک argv برایش تعریف شده باشه, اینجاس که میتونه برای ما مثل یک Persistence مخفی در سیستم عامل قربانی عمل کنه و جزئی از پازل Lateral Movement حمله #APT ما باشه...
https://medium.com/@abdelazimmohmmed/python-input-vulnerability-30b0bfea22c9
https://docs.python.org/2/library/functions.html
@Unk9vvN
#APT #Lazarus #Python
در سال گذشته تیم Lazarus منتسب به کره شمالی، اقدام به پیاده سازی یک حمله مبتنی بر یک مهندسی اجتماعی جالب کرده و قربانیانی را مورد حمله قرار داده است.
ماجرا از این قرار که یک برنامه کنفرانس ویدیویی تقلبی متفاوت با نام FCCCall که یک برنامه کنفرانس قانونی رو تقلیب میکنه به عنوان بخشی از زنجیره حمله استفاده شده.
تیم مهاجم بواسطه شبکه های اجتماعی و آگهی های کاریابی که مشخصا متخصصان بلاک چین هستند، با قربانیان تماس گرفته و ادامه گفتگو را در تلگرام ادامه داده اند.
در تلگرام پروژه ای Node.js داده شده تا ارزیابی فنی انجام شود و همچنین از یک نرم افزار کنفرانس تقلبی نیز استفاده کرده و قربانی را سعی در دانلود و نصب نرم افزار کنفرانس تقلبی از دامنه به ظاهر مشروع لازاروس میکند.
قربانیان ویندوزی و مک بواسطه BeaverTail که Trojan شده است، قربانی را بواسطه یک نصب کننده MSI یا DMG آلوده میکند، در کنار این دو یک پروژه مخرب Node.js نیز که بصورت مبهم سازی شده است نیز به قربانی داده میشود.
در صورت اجرای پروژه یک کد مخرب پایتونی را دانلود کرده و آن نیز نرم افزار anydesk را نامحسوس اجرا میکند.
@Unk9vvN
در سال گذشته تیم Lazarus منتسب به کره شمالی، اقدام به پیاده سازی یک حمله مبتنی بر یک مهندسی اجتماعی جالب کرده و قربانیانی را مورد حمله قرار داده است.
ماجرا از این قرار که یک برنامه کنفرانس ویدیویی تقلبی متفاوت با نام FCCCall که یک برنامه کنفرانس قانونی رو تقلیب میکنه به عنوان بخشی از زنجیره حمله استفاده شده.
تیم مهاجم بواسطه شبکه های اجتماعی و آگهی های کاریابی که مشخصا متخصصان بلاک چین هستند، با قربانیان تماس گرفته و ادامه گفتگو را در تلگرام ادامه داده اند.
در تلگرام پروژه ای Node.js داده شده تا ارزیابی فنی انجام شود و همچنین از یک نرم افزار کنفرانس تقلبی نیز استفاده کرده و قربانی را سعی در دانلود و نصب نرم افزار کنفرانس تقلبی از دامنه به ظاهر مشروع لازاروس میکند.
قربانیان ویندوزی و مک بواسطه BeaverTail که Trojan شده است، قربانی را بواسطه یک نصب کننده MSI یا DMG آلوده میکند، در کنار این دو یک پروژه مخرب Node.js نیز که بصورت مبهم سازی شده است نیز به قربانی داده میشود.
در صورت اجرای پروژه یک کد مخرب پایتونی را دانلود کرده و آن نیز نرم افزار anydesk را نامحسوس اجرا میکند.
@Unk9vvN