#Threat #Detection Solutions
چندی پیش با مدیر عامل شرکت امن پردازان کویر #APK جلسه ای داشتم, منباب همکاری که در نهایت توافقات مدنظر شکل نگرفت و موضوع کنسل شد,
موضوع مورد بحث این بود که ما نظر بر تولید محصول #Detection_Offensive داشتیم که بشه براش #Rule هایی نوشت و بصورت متن باز Signature سازی کرد از تحلیل ها و رصدهایی که خود محصول یا نیروی انسانی انجام میده,
این عزیزان فکر میکردن ما داریم حرف های قشنگ قشنگ میزنیم که بگیم خیلی خوبیم:) , تصویری که در پست میبینید دقیقا همین محصولی هست که ما بصورت تجربی به ایدش رسیده بودیم که میبینید Stage های ایرانی رو هم شناسایی کرده و #Rule اون هم نصب شده برای Solution به نام #THOR که یک #APT_SCANNER هستش,
در هر صورت یکی از استانداردهای اصلی مرکز کنترل امنیت اینه که محصول طراحی شده برای شرکت پای قرارداد باشه نه محصولاتی مثل SIEM->Splunk و غیره که بومی نیستند, مورد بعدی همین محصولات هم کفایت بحث #Detect یا #Hunting حملات نخواهد بود.
https://valhalla.nextron-systems.com/
@Unk9vvN
چندی پیش با مدیر عامل شرکت امن پردازان کویر #APK جلسه ای داشتم, منباب همکاری که در نهایت توافقات مدنظر شکل نگرفت و موضوع کنسل شد,
موضوع مورد بحث این بود که ما نظر بر تولید محصول #Detection_Offensive داشتیم که بشه براش #Rule هایی نوشت و بصورت متن باز Signature سازی کرد از تحلیل ها و رصدهایی که خود محصول یا نیروی انسانی انجام میده,
این عزیزان فکر میکردن ما داریم حرف های قشنگ قشنگ میزنیم که بگیم خیلی خوبیم:) , تصویری که در پست میبینید دقیقا همین محصولی هست که ما بصورت تجربی به ایدش رسیده بودیم که میبینید Stage های ایرانی رو هم شناسایی کرده و #Rule اون هم نصب شده برای Solution به نام #THOR که یک #APT_SCANNER هستش,
در هر صورت یکی از استانداردهای اصلی مرکز کنترل امنیت اینه که محصول طراحی شده برای شرکت پای قرارداد باشه نه محصولاتی مثل SIEM->Splunk و غیره که بومی نیستند, مورد بعدی همین محصولات هم کفایت بحث #Detect یا #Hunting حملات نخواهد بود.
https://valhalla.nextron-systems.com/
@Unk9vvN
#Bug #Hunting #Microsoft #WebServices
دو سه سالی هست که کشف آسیب پذیری از وبسرویس های مایکروسافتی شدت گرفته و شکارچیان باگ تمرکز خود را روی این سرویس ها گزاشته اند،
توی یکی از Present های BlackHat 2020 هم یکی از محققین معروف حوزه وب یعنی pwntester به این موضوع پرداخته و روش های Escaping و آسیب پذیری های رخ داده رو مطرح کرده،
از آسیب پذیری TOCTOU در خصوص Validate کردن Input ها و Regex های طراحی شده، مطرح شده تا امکان Markup کردن یک تزریق تابع Eval که منجر به دسترسی write خواهد شد،
جالبه که آسیب پذیری هایی مانند Server Side Include هم رخ داده و Endpoint مربوط به API وبسرویس Sharepoint دارای همچین آسیب پذیری بوده،
یک نکته جالب دیگه اینکه آسیب پذیری های این تیپی بعد از گزارش و Patch کردن آسیب پذیری بدست مایکروسافت، دیده شده که باز هم Patch دور زده شده و آسیب پذیری دوباره Trigger شده است...
Reference
@Unk9vvN
دو سه سالی هست که کشف آسیب پذیری از وبسرویس های مایکروسافتی شدت گرفته و شکارچیان باگ تمرکز خود را روی این سرویس ها گزاشته اند،
توی یکی از Present های BlackHat 2020 هم یکی از محققین معروف حوزه وب یعنی pwntester به این موضوع پرداخته و روش های Escaping و آسیب پذیری های رخ داده رو مطرح کرده،
از آسیب پذیری TOCTOU در خصوص Validate کردن Input ها و Regex های طراحی شده، مطرح شده تا امکان Markup کردن یک تزریق تابع Eval که منجر به دسترسی write خواهد شد،
جالبه که آسیب پذیری هایی مانند Server Side Include هم رخ داده و Endpoint مربوط به API وبسرویس Sharepoint دارای همچین آسیب پذیری بوده،
یک نکته جالب دیگه اینکه آسیب پذیری های این تیپی بعد از گزارش و Patch کردن آسیب پذیری بدست مایکروسافت، دیده شده که باز هم Patch دور زده شده و آسیب پذیری دوباره Trigger شده است...
Reference
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#Unk9vvN #Bug #Hunting samad.app
یک آسیب پذیری بحرانی از سامانه #سماد توسط تیم تحقیقاتی آنون کشف شده و به مرکز #ماهر گزارش شد.
نکاتی هم در خصوص دمویی که منباب اثبات مسئله قرار داده شده، اولا اطلاعات 6 میلیون دانشجو استخراج نشده و صرفا یک بخش کوچکی برای اثبات عنوان شده بوده است.
مورد بعد هم اینکه از این سامانه فقط دانشگاه های فنی نیستند که استفاده میکنند و دانشگاه های دیگر هم هستند که ما نیت استخراج تمامی اطلاعات دانشگاه ها را نداشته ایم.
اطلاعاتی که در معرض خطر قرار داشت، 6 میلیون رکورد پایگاه داده بود که شامل موارد زیر میشده است:
نام و نام خانوادگی
شماره دانشجویی
شماره ملی
شماره تماس
اطلاعات تحصیلی
آدرس منزل
جنسیت
نام پدر
@Unk9vvN
یک آسیب پذیری بحرانی از سامانه #سماد توسط تیم تحقیقاتی آنون کشف شده و به مرکز #ماهر گزارش شد.
نکاتی هم در خصوص دمویی که منباب اثبات مسئله قرار داده شده، اولا اطلاعات 6 میلیون دانشجو استخراج نشده و صرفا یک بخش کوچکی برای اثبات عنوان شده بوده است.
مورد بعد هم اینکه از این سامانه فقط دانشگاه های فنی نیستند که استفاده میکنند و دانشگاه های دیگر هم هستند که ما نیت استخراج تمامی اطلاعات دانشگاه ها را نداشته ایم.
اطلاعاتی که در معرض خطر قرار داشت، 6 میلیون رکورد پایگاه داده بود که شامل موارد زیر میشده است:
نام و نام خانوادگی
شماره دانشجویی
شماره ملی
شماره تماس
اطلاعات تحصیلی
آدرس منزل
جنسیت
نام پدر
@Unk9vvN
#Unk9vvN #Bug #Hunting #Zero-Day
یک سال پیش بهطور اتفاقی و در جریان بررسی یک آسیب پذیری مورد کشف تیم آنون، متوجه شدیم چند مورد از سرور های آسیب پذیر در زیرساخت های ایران، مربوط به یک شبکه اجتماعی ایرانی هستند.
کنجکاو شدیم ببینیم آیا آسیب پذیری واقعا بر روی سرویس مد نظر وجود دارد یا خیر؟ بعد از اجرای اکسپلویت مشخص شد بله آسیب پذیر است، اما چیزی که برای ما جالب بود وجود یک Shell که یک نشست TCP به یک CDN چینی برقرار کرده است.
یعنی از قبل چینی ها بر روی این سرور سوار بوده اند حالا چطور مشخص نبود، اما چیزی که موضوعیت داشت این بود که از سرور شبکه اجتماعی ایرانی بهطور واضح جاسوسی انجام میشد.
ما دسترسی آنها را قطع کردیم و با بررسی های بیشتر متوجه شدیم که بر روی همان سرور Agent Forwarder مربوط به Splunk که برای SIEM است، نصب بود و پنل Splunk نیز کشف شد که البته کاری با آن نداشتیم اما جالب بود که همه میروند و می آیند و این عزیزان نظاره گر هستند.
این پست رو عمدا زدم تا بگم خیلی اتفاقات می افته که ما نمیگیم، فکر نکنید خاموشیم!
@Unk9vvN
یک سال پیش بهطور اتفاقی و در جریان بررسی یک آسیب پذیری مورد کشف تیم آنون، متوجه شدیم چند مورد از سرور های آسیب پذیر در زیرساخت های ایران، مربوط به یک شبکه اجتماعی ایرانی هستند.
کنجکاو شدیم ببینیم آیا آسیب پذیری واقعا بر روی سرویس مد نظر وجود دارد یا خیر؟ بعد از اجرای اکسپلویت مشخص شد بله آسیب پذیر است، اما چیزی که برای ما جالب بود وجود یک Shell که یک نشست TCP به یک CDN چینی برقرار کرده است.
یعنی از قبل چینی ها بر روی این سرور سوار بوده اند حالا چطور مشخص نبود، اما چیزی که موضوعیت داشت این بود که از سرور شبکه اجتماعی ایرانی بهطور واضح جاسوسی انجام میشد.
ما دسترسی آنها را قطع کردیم و با بررسی های بیشتر متوجه شدیم که بر روی همان سرور Agent Forwarder مربوط به Splunk که برای SIEM است، نصب بود و پنل Splunk نیز کشف شد که البته کاری با آن نداشتیم اما جالب بود که همه میروند و می آیند و این عزیزان نظاره گر هستند.
این پست رو عمدا زدم تا بگم خیلی اتفاقات می افته که ما نمیگیم، فکر نکنید خاموشیم!
@Unk9vvN