#Android Penetration Testing
در سالهای اخیر ابزارهای خوبی در خصوص تست آسیب پذیری های منتسب به یک برنامه اندرویدی طراحی شده است,
و تست اپلکیشن های اندرویدی از اهمیت زیادی برخوردار است, برای مثال در وبسرور های Customize طراحی شده میتوان API های آسیب پذیر را پیدا و به واسطه اپلکیشن اندرویدی یک سرویس دهنده آنلاین را مورد حمله و اخذ دسترسی به وبسرور مربوطه را حاصل نمود,
همچنین آسیب پذیری های دیگری که در طول سالهای اخیر Publish شده و میتواند در تمامی اپلکیشن های اندرویدی وجود داشته باشد, از این روی میتوانید نقشه ای از حملات و آسیب پذیری های Release شده برای این سیستم عامل را در تصویر پست مشاهده نمایید...
@Unk9vvN
در سالهای اخیر ابزارهای خوبی در خصوص تست آسیب پذیری های منتسب به یک برنامه اندرویدی طراحی شده است,
و تست اپلکیشن های اندرویدی از اهمیت زیادی برخوردار است, برای مثال در وبسرور های Customize طراحی شده میتوان API های آسیب پذیر را پیدا و به واسطه اپلکیشن اندرویدی یک سرویس دهنده آنلاین را مورد حمله و اخذ دسترسی به وبسرور مربوطه را حاصل نمود,
همچنین آسیب پذیری های دیگری که در طول سالهای اخیر Publish شده و میتواند در تمامی اپلکیشن های اندرویدی وجود داشته باشد, از این روی میتوانید نقشه ای از حملات و آسیب پذیری های Release شده برای این سیستم عامل را در تصویر پست مشاهده نمایید...
@Unk9vvN
#Reverse Engineering #Android #Tools
در بحث تحلیل بد افزار های Android یکی از عواملی که همواره میتونه در این بحث کمک کننده باشه، استفاده از ابزارهای مناسب خواهد بود،
ابزار
Dexcalibur -> Unpacking - De-obfuscate - Specific Hook
ابزار
House -> Network Monitoring - De-obfuscate - Specific Hook
مورد بعدی
MobSF -> General API Monitoring - Bypass Debugger / rooting detection - Static analysis
و مورد آخر ابزار
Quark -> Static analysis
@Unk9vvN
در بحث تحلیل بد افزار های Android یکی از عواملی که همواره میتونه در این بحث کمک کننده باشه، استفاده از ابزارهای مناسب خواهد بود،
ابزار
Dexcalibur که برای Unpacking و ساده سازی مبهم سازی ها و ایجاد Hook استفاده میشود.Dexcalibur -> Unpacking - De-obfuscate - Specific Hook
ابزار
Hourse که برای شناسایی ارتباطات و فایل ها و اشتراکات در شبکه میتواند استفاده شود و همچنین ساده سازی مبهم بازی های مورد استفاده بد افزارها.House -> Network Monitoring - De-obfuscate - Specific Hook
مورد بعدی
MobSF هستش که در امر شناسایی توابع General API Monitoring هستش و دور زدن مکانیزم های تشخیص Debug .و root بودن خواهد بود.MobSF -> General API Monitoring - Bypass Debugger / rooting detection - Static analysis
و مورد آخر ابزار
Quark هستش که بصورت اختصاصی میتونه Static analysis برای ما انجام بده.Quark -> Static analysis
@Unk9vvN
#Android Trojan Binder
اولین پروژه عمومی تیم تحقیقاتی Unk9 در سال 1397 آغاز شد که متمرکز بر حملات به سیستم عامل اندروید بود و در کنار استفاده از روش های مبهم سازی در خصوص Bind پیلود Metasploit عمل میکرد و از تکنیک های دیگری مانند Certificate Spoofing هم بهره میبرد.
از دیگر ویژگی های آن ابزار این بود که مکانیزم Request Permission سیستم عامل اندروید رو که از نسخه API 21 که در اندروید 6 به بعد استفاده شد رو دور میزد، از موارد دیگه میشه به پایدار نگهداشتن پل ارتباطی خط فرمان بود که مکانیزم SELinux قالبا اقدام به بستن دسترسی TCP میکرد، داشت
از موارد دیگه میشه به استفاده از دو روش Hook اشاره کرد که Activity پیلود مربوطه رو به دو طریق فعال میکرد و باعث برقراری ارتباط میشد، بحث ساخت PostEXP بصورت اتوماتیک بود که وقتی دسترسی برقرار میشد، فعال شده و جمع آوری اطلاعات رو انجام میداد، همچنین بحث Persistence هم پوشش داده شده بود.
موارد مربوط به مهندسی اجتماعی حذف شده است.
┌──(unk9vvn㉿avi)-[~]
└─$
@Unk9vvN
اولین پروژه عمومی تیم تحقیقاتی Unk9 در سال 1397 آغاز شد که متمرکز بر حملات به سیستم عامل اندروید بود و در کنار استفاده از روش های مبهم سازی در خصوص Bind پیلود Metasploit عمل میکرد و از تکنیک های دیگری مانند Certificate Spoofing هم بهره میبرد.
از دیگر ویژگی های آن ابزار این بود که مکانیزم Request Permission سیستم عامل اندروید رو که از نسخه API 21 که در اندروید 6 به بعد استفاده شد رو دور میزد، از موارد دیگه میشه به پایدار نگهداشتن پل ارتباطی خط فرمان بود که مکانیزم SELinux قالبا اقدام به بستن دسترسی TCP میکرد، داشت
از موارد دیگه میشه به استفاده از دو روش Hook اشاره کرد که Activity پیلود مربوطه رو به دو طریق فعال میکرد و باعث برقراری ارتباط میشد، بحث ساخت PostEXP بصورت اتوماتیک بود که وقتی دسترسی برقرار میشد، فعال شده و جمع آوری اطلاعات رو انجام میداد، همچنین بحث Persistence هم پوشش داده شده بود.
موارد مربوط به مهندسی اجتماعی حذف شده است.
┌──(unk9vvn㉿avi)-[~]
└─$
sudo chmod +x AndTroj.sh;sudo ./AndTroj.sh $NoIP $Original-APK $Phishing-URL
https://github.com/a9v8i/andtroj@Unk9vvN
#Pegasus #Spyware #Android #Technical_Analysis
در این مقاله قصد داریم که تحلیل تکنیکال جاسوس افزار پگاسوس (Pegasus) که منتصب به شرکت NSO Group است را با هم داشته باشیم و ببینیم این جاسوس افزار نحوه عملکردش به چه صورت بوده و آسیب پذیری های باینری مورد استفاده آن چه مواردی بوده اند، همچنین تشریح فنی رفتار تاکتیکی و تکنیکی ( Tactics, Techniques and Procedures ) جاسوس افزار هم قدم به قدم مورد بررسی قرار خواهیم داد.
معرفی شرکت NSO
شرکت NSO یک شرکت اسرائیلی بوده است که بنیانگذاران آن Omri Lavie و Shalev Hulio هستند، شرکت NSO واقع در Herzliya در مناطق شمالی تل...
⚠️ ادامه مطلب در لینک زیر
unk9vvn.com/2021/08/technical-analysis-of-pegasus-spyware-part-1/
@Unk9vvN
در این مقاله قصد داریم که تحلیل تکنیکال جاسوس افزار پگاسوس (Pegasus) که منتصب به شرکت NSO Group است را با هم داشته باشیم و ببینیم این جاسوس افزار نحوه عملکردش به چه صورت بوده و آسیب پذیری های باینری مورد استفاده آن چه مواردی بوده اند، همچنین تشریح فنی رفتار تاکتیکی و تکنیکی ( Tactics, Techniques and Procedures ) جاسوس افزار هم قدم به قدم مورد بررسی قرار خواهیم داد.
معرفی شرکت NSO
شرکت NSO یک شرکت اسرائیلی بوده است که بنیانگذاران آن Omri Lavie و Shalev Hulio هستند، شرکت NSO واقع در Herzliya در مناطق شمالی تل...
⚠️ ادامه مطلب در لینک زیر
unk9vvn.com/2021/08/technical-analysis-of-pegasus-spyware-part-1/
@Unk9vvN
#RatMilad #Android #Spyware
با شدت گرفتن بحث فیلترینگ، بخش جاسوس افزارهای اندرویدی در تلگرام شدت گرفته، که به گزارش Zimperium این بدافزارها در قالب سرویس دهنده VPN پخش شده است
این جاسوس افزار میتواند لیست مخاطبین، گزارش تماس، لیست SMS، موقعیت GPS و غیره رو دریافت میکنه. گفته میشه c طراحی و پخش این بدافزار از ایران بوده و اهداف ایرانی و افغانی رو مورد هدف قرار داده است
از ویژگی های فنی این جاسوس افزار میشود به امکان خواندن و نوشتن فایل اشاره کرد، همچنین امکان حذف فایل و همچنین نحوه عملکرد C&C که مبتنی بر نوع محتوای Json مقادیر مدنظر بواسطه تعریف jobID های مختلف ارسال میشده است
مورد بعد اینکه جاسوس افزار مبتنی بر یک randomUUID و مقدار Mac Address قربانی، یک Job در C&C خودش برای قربانی تعریف کرده و مبتنی بر اون دستگاها تفکیک میشدند، همچنین مجوزها یا Permissions های مورد نیاز نرم افزار، در accessibility services سیستم عامل تنظیم میشده و در صورت ارائه این سرویس از طرف قربانی، مهاجم میتونسته permissions granted های مد نظر خودش رو اعمال کنه.
https://blog.zimperium.com/we-smell-a-ratmilad-mobile-spyware/
@Unk9vvN
با شدت گرفتن بحث فیلترینگ، بخش جاسوس افزارهای اندرویدی در تلگرام شدت گرفته، که به گزارش Zimperium این بدافزارها در قالب سرویس دهنده VPN پخش شده است
این جاسوس افزار میتواند لیست مخاطبین، گزارش تماس، لیست SMS، موقعیت GPS و غیره رو دریافت میکنه. گفته میشه c طراحی و پخش این بدافزار از ایران بوده و اهداف ایرانی و افغانی رو مورد هدف قرار داده است
از ویژگی های فنی این جاسوس افزار میشود به امکان خواندن و نوشتن فایل اشاره کرد، همچنین امکان حذف فایل و همچنین نحوه عملکرد C&C که مبتنی بر نوع محتوای Json مقادیر مدنظر بواسطه تعریف jobID های مختلف ارسال میشده است
مورد بعد اینکه جاسوس افزار مبتنی بر یک randomUUID و مقدار Mac Address قربانی، یک Job در C&C خودش برای قربانی تعریف کرده و مبتنی بر اون دستگاها تفکیک میشدند، همچنین مجوزها یا Permissions های مورد نیاز نرم افزار، در accessibility services سیستم عامل تنظیم میشده و در صورت ارائه این سرویس از طرف قربانی، مهاجم میتونسته permissions granted های مد نظر خودش رو اعمال کنه.
https://blog.zimperium.com/we-smell-a-ratmilad-mobile-spyware/
@Unk9vvN
#Domestic #Kitten Targeting #Iranian on #Android #Malware App
اخیرا گزارشی از تیم تحقیقاتی ESET بیرون اومده در خصوص بدافزار اندرویدی که در قالب یک نرم افزار مقاله سرا و از طریق یک وبسایت فعال در عرصه مقالات و فروش کتاب انتشار یافته است. مدل پخش و ایجاد دسترسی اولیه، مبتنی بر لینک مستقیم و به ظاهر صفحه گوگل پلی انجام شده که در تصاویر پست مشاهده میکنید.
این بدافزار قبلا هم فعال بوده (APT-C-50) و به گفته ESET با وبسایتی جعلی جدیدی دوباره فعال شده است، بررسی های انجام شده نشون میده که این بدافزار قرار بوده که مامور بر جاسوسی از کاربران ایرانی باشه و دسترسی های مطرحه در AndroidManifest.xml شامل موقعیت مکانی، تاریخچه تماس ها، رکورد تماس ها، اجرای برنامه ها، اطلاعات گوشی، لیست مخاطبین و اطلاعیه های برنامه های دیگه هستش...
اما روش کار C&C یا خط فرمان این جاسوس افزار، مبتنی بر ارسال و دریافت درخواست های مبتنی بر Web Service طراحی شده بوده که دریافت اطلاعات و ارسال فرمان ها بصورت مبهم سازی شده انجام می شده است.
@Unk9vvN
اخیرا گزارشی از تیم تحقیقاتی ESET بیرون اومده در خصوص بدافزار اندرویدی که در قالب یک نرم افزار مقاله سرا و از طریق یک وبسایت فعال در عرصه مقالات و فروش کتاب انتشار یافته است. مدل پخش و ایجاد دسترسی اولیه، مبتنی بر لینک مستقیم و به ظاهر صفحه گوگل پلی انجام شده که در تصاویر پست مشاهده میکنید.
این بدافزار قبلا هم فعال بوده (APT-C-50) و به گفته ESET با وبسایتی جعلی جدیدی دوباره فعال شده است، بررسی های انجام شده نشون میده که این بدافزار قرار بوده که مامور بر جاسوسی از کاربران ایرانی باشه و دسترسی های مطرحه در AndroidManifest.xml شامل موقعیت مکانی، تاریخچه تماس ها، رکورد تماس ها، اجرای برنامه ها، اطلاعات گوشی، لیست مخاطبین و اطلاعیه های برنامه های دیگه هستش...
اما روش کار C&C یا خط فرمان این جاسوس افزار، مبتنی بر ارسال و دریافت درخواست های مبتنی بر Web Service طراحی شده بوده که دریافت اطلاعات و ارسال فرمان ها بصورت مبهم سازی شده انجام می شده است.
@Unk9vvN