Media is too big
VIEW IN TELEGRAM
#HX #Exploit #Detection for #Endpoints
در سال ۲۰۱۶ شرکت #FireEye از محصولی با نام Helix Security که علاوه بر EndPoint Detection بودنش یک ویژگی منحصر به فردی دیگری هم داشت که در این دمو در آن خصوص توضیحاتی را بیان میکند,
اگر بطور خلاصه بخواهیم به آن بپردازیم, میتوان اینطور شرح داد که این شرکت نه تنها بر Stage های طراحی شده در زبان های سطح بالا بر روی فایل فرمت های Portable Execution بلکه بر روی Shellcode هایی که بر بستر یک Vulnerability میتونه به قربانی ارسال بشه هم رهگیری خواهد شد, یعنی اگر یک هکر بر روی مثلا یک پروتکل یک آسیب پذیری 0day کشف کرده باشه و یک Gadget در خصوص دور زدن مکانیزم های Mitigation در مقابل آسیب پذیری رو بخواد پیاده کنه از همین تکنیک ها میتوان او را ردیابی کرد,
پس با این شرایط بظر میاد یک چالشی دیگر در خصوص پایلود کردن یک آسیب پذیری به تمامی چالش های این موضوع هم اضافه خواهد شد, نظریه اولیه در خصوص دور زدن این Exploit Guard میتونه این باشه که روش هایی که برای دور زدن Mitigation ها استفاده میشه هم میبایست Publish نباشه و ...
Helix
@Unk9vvN
در سال ۲۰۱۶ شرکت #FireEye از محصولی با نام Helix Security که علاوه بر EndPoint Detection بودنش یک ویژگی منحصر به فردی دیگری هم داشت که در این دمو در آن خصوص توضیحاتی را بیان میکند,
اگر بطور خلاصه بخواهیم به آن بپردازیم, میتوان اینطور شرح داد که این شرکت نه تنها بر Stage های طراحی شده در زبان های سطح بالا بر روی فایل فرمت های Portable Execution بلکه بر روی Shellcode هایی که بر بستر یک Vulnerability میتونه به قربانی ارسال بشه هم رهگیری خواهد شد, یعنی اگر یک هکر بر روی مثلا یک پروتکل یک آسیب پذیری 0day کشف کرده باشه و یک Gadget در خصوص دور زدن مکانیزم های Mitigation در مقابل آسیب پذیری رو بخواد پیاده کنه از همین تکنیک ها میتوان او را ردیابی کرد,
پس با این شرایط بظر میاد یک چالشی دیگر در خصوص پایلود کردن یک آسیب پذیری به تمامی چالش های این موضوع هم اضافه خواهد شد, نظریه اولیه در خصوص دور زدن این Exploit Guard میتونه این باشه که روش هایی که برای دور زدن Mitigation ها استفاده میشه هم میبایست Publish نباشه و ...
Helix
@Unk9vvN
#Exploit Public-Facing Application
به لطف تحقیقات عمومی شده محقق معروف یعنی Orange Tsai کشور ما در عرصه حملات سایبری توانسته خودنمایی خوبی از خود نشان بدهد
موضوعی که دلیل وجودی کنفرانس ها و حمایت های تحقیقاتی که در همه جای دنیا شرکت های خصوصی و دستگاه های حاکمیتی در بحث علوم امنیت سایبر انجام میدهند، منظور دقیق تر این است که زمانی که شما پتانسیل تحقیقاتی کشور رو فعال نکنید همواره نیروی انسانی رو راهی کشور های خارجی کرده و یک قدم حتی در حوزه حملات سایبری از دنیا عقب خواهید بود
اما در خصوص حملات اخیر ایران: گفته شده از ابزار SharpWMI که مبتنی بر زبان #C و با استفاده از Functionality های WMI کار میکند مورد استفاده بوده و در بحث ایجاد Persistence از تکنیک T1053.005 که مبتنی بر XML است بهره گرفته شده
از دیگر موارد میتوان به اهداف حمله در پلن Impact اشاره کرد که رویکرد ایران نصب باج افزاری با نام BlackMatter بوده که قرار به رمز کردن فایل های حساس رو داشته
مورد بعد استفاده از پروتکل FTP بصورت Over Alternative Protocol بر روی درگاه 443 بوده که سعی بر شناسایی نشدن بوده.
https://t.me/Unk9vvN/1997
@Unk9vvN
به لطف تحقیقات عمومی شده محقق معروف یعنی Orange Tsai کشور ما در عرصه حملات سایبری توانسته خودنمایی خوبی از خود نشان بدهد
موضوعی که دلیل وجودی کنفرانس ها و حمایت های تحقیقاتی که در همه جای دنیا شرکت های خصوصی و دستگاه های حاکمیتی در بحث علوم امنیت سایبر انجام میدهند، منظور دقیق تر این است که زمانی که شما پتانسیل تحقیقاتی کشور رو فعال نکنید همواره نیروی انسانی رو راهی کشور های خارجی کرده و یک قدم حتی در حوزه حملات سایبری از دنیا عقب خواهید بود
اما در خصوص حملات اخیر ایران: گفته شده از ابزار SharpWMI که مبتنی بر زبان #C و با استفاده از Functionality های WMI کار میکند مورد استفاده بوده و در بحث ایجاد Persistence از تکنیک T1053.005 که مبتنی بر XML است بهره گرفته شده
از دیگر موارد میتوان به اهداف حمله در پلن Impact اشاره کرد که رویکرد ایران نصب باج افزاری با نام BlackMatter بوده که قرار به رمز کردن فایل های حساس رو داشته
مورد بعد استفاده از پروتکل FTP بصورت Over Alternative Protocol بر روی درگاه 443 بوده که سعی بر شناسایی نشدن بوده.
https://t.me/Unk9vvN/1997
@Unk9vvN
#LLM #Agents #Exploit #Zero-Day #Vulnerabilities
اخیرا تحقیقاتی در دانشگاه ایلینویز انجام شد در خصوص نحوه کشف آسیب پذیری های روز صفر بواسطه Agent های مدل های زبانی بزرگ، که در فاز های اولیه توانسته است در محیط هایی مانند CTF و یا پلتفرم های Bug Bounty عمل کرد مناسبی را از خود نشان دهد.
در این مقاله مشخصا به نحوه پیاده سازی Hierarchical Planning and Task-Specific Agents پرداخته میشود به معنی آنکه، تاریخچه عملیات های قبلی همواره مبنای تعریف Task های پیش رو خواهد بود و نسبت به اتفاقاتی که در پایش های گذشته اتفاق افتاده است، رفتار LLM بهینه تر خواهد شد.
در این مقاله به مباحثی از جمله تشکیل Dataset های مورد نیاز در خصوص کشف آسیب پذیری های روز صفر که منظور، Payload های موفق است، پرداخته شده و عمل کرد HPTSA را در این خصوص بسیار موفق دانسته است.
رویکرد مورد تست هم جعبه سیاه بوده است هم جعبه سفید، که در کنار هم بواسطه کشف اولیه پترن آسیب پذیر در حالت جعبه سفید، تست های جعبه سیاه نیز آغاز میشود تا از وجود آسیب پذیری اطمینان حاصل شود.
https://arxiv.org/pdf/2406.01637
@Unk9vvN
اخیرا تحقیقاتی در دانشگاه ایلینویز انجام شد در خصوص نحوه کشف آسیب پذیری های روز صفر بواسطه Agent های مدل های زبانی بزرگ، که در فاز های اولیه توانسته است در محیط هایی مانند CTF و یا پلتفرم های Bug Bounty عمل کرد مناسبی را از خود نشان دهد.
در این مقاله مشخصا به نحوه پیاده سازی Hierarchical Planning and Task-Specific Agents پرداخته میشود به معنی آنکه، تاریخچه عملیات های قبلی همواره مبنای تعریف Task های پیش رو خواهد بود و نسبت به اتفاقاتی که در پایش های گذشته اتفاق افتاده است، رفتار LLM بهینه تر خواهد شد.
در این مقاله به مباحثی از جمله تشکیل Dataset های مورد نیاز در خصوص کشف آسیب پذیری های روز صفر که منظور، Payload های موفق است، پرداخته شده و عمل کرد HPTSA را در این خصوص بسیار موفق دانسته است.
رویکرد مورد تست هم جعبه سیاه بوده است هم جعبه سفید، که در کنار هم بواسطه کشف اولیه پترن آسیب پذیر در حالت جعبه سفید، تست های جعبه سیاه نیز آغاز میشود تا از وجود آسیب پذیری اطمینان حاصل شود.
https://arxiv.org/pdf/2406.01637
@Unk9vvN