#IOCONTROL #ICS #Trojan
در ماه فوریه امسال یک Trojan توسط Qianxin XLab شناسایی شد با نام IOCONTROL که بر پایه سیستم های لینوکسی بوده و در خصوص حمله به زیرساخت های صنعتی، دستگاه های HMI و PLC و IIoT فعالیت می کرده است.
که بواسطه پروتکل MQTT که در خصوص تجهیزات اینترنت اشیاء صنعتی است، با مرکز کنترل و فرمان مهاجمین ارتباط می گرفته است.
این بدافزار از DNS-over-HTTPS برای ارسال ترافیک اطلاعات پیکربندی ها استفاده می کرده است که مبتنی بر سرویس ابری Cloudflare عمل میکرده که همین موضوع باعث پنهان ماندن C2 بوده است.
همچنین از MQTT over TLS برای محافظت از ارسال و دریافت فرمان های C2 استفاده می کرده است که داده ها با رمزنگاری AES و Mode رمزنگاری CBC فعالیت داشته است.
خود بدافزار نیز یک فایل فرمت ELF 32 بیت بوده و با UPX یکدور پک شده و امضای UPX تغییر داده شده به ABC!.
اما تکنیک ماندگاری Trojan نیز یک اسکریپت Bash بوده است که اقدام به اجرای iocontrol بصورت پنهان کرده و 5 ثانیه به خواب میرود.
@Unk9vvN
در ماه فوریه امسال یک Trojan توسط Qianxin XLab شناسایی شد با نام IOCONTROL که بر پایه سیستم های لینوکسی بوده و در خصوص حمله به زیرساخت های صنعتی، دستگاه های HMI و PLC و IIoT فعالیت می کرده است.
که بواسطه پروتکل MQTT که در خصوص تجهیزات اینترنت اشیاء صنعتی است، با مرکز کنترل و فرمان مهاجمین ارتباط می گرفته است.
این بدافزار از DNS-over-HTTPS برای ارسال ترافیک اطلاعات پیکربندی ها استفاده می کرده است که مبتنی بر سرویس ابری Cloudflare عمل میکرده که همین موضوع باعث پنهان ماندن C2 بوده است.
همچنین از MQTT over TLS برای محافظت از ارسال و دریافت فرمان های C2 استفاده می کرده است که داده ها با رمزنگاری AES و Mode رمزنگاری CBC فعالیت داشته است.
خود بدافزار نیز یک فایل فرمت ELF 32 بیت بوده و با UPX یکدور پک شده و امضای UPX تغییر داده شده به ABC!.
اما تکنیک ماندگاری Trojan نیز یک اسکریپت Bash بوده است که اقدام به اجرای iocontrol بصورت پنهان کرده و 5 ثانیه به خواب میرود.
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#Google #Willow #Quantum #Chip
گوگل اخیرا تراشه کوانتومی جدیدی به نام (Willow) معرفی کرده است که با ۱۰۵ کیوبیت، پیشرفتی مهم در محاسبات کوانتومی محسوب میشود. این تراشه قادر است مسائلی را در عرض پنج دقیقه حل کند که سریع ترین ابر رایانههای کنونی برای حل آنها به زمانی بیش از عمر جهان نیاز دارند.
تراشه Willow با کاهش نرخ خطاها در مقیاس بزرگتر، به چالشی اساسی در این حوزه پاسخ میدهد و نشان میدهد که با افزایش تعداد کیوبیتها، دقت محاسبات نیز بهبود مییابد.
گوگل ادعا میکند که Willow میتواند مسائل دنیای واقعی، مانند شبیه سازی مولکول ها برای کشف دارو های جدید و طراحی باتری های قدرتمندتر، را حل کند. این پیشرفت به کاربردهای تجاری محاسبات کوانتومی بسیار نزدیکتر شده است.
سیستم های رمزنگاری مدرن (مانند RSA، AES و ECC) به قدرت محاسباتی کلاسیک وابسته اند و امنیت آنها بر پایه زمان مورد نیاز برای شکستن کلیدها است. تراشههای کوانتومی مانند Willow، با استفاده از الگوریتم (Shor)، میتوانند در زمان کوتاهی کلیدهای رمزنگاری سنتی را شکسته و دادهها را در معرض خطر قرار دهند.
@Unk9vvN
گوگل اخیرا تراشه کوانتومی جدیدی به نام (Willow) معرفی کرده است که با ۱۰۵ کیوبیت، پیشرفتی مهم در محاسبات کوانتومی محسوب میشود. این تراشه قادر است مسائلی را در عرض پنج دقیقه حل کند که سریع ترین ابر رایانههای کنونی برای حل آنها به زمانی بیش از عمر جهان نیاز دارند.
تراشه Willow با کاهش نرخ خطاها در مقیاس بزرگتر، به چالشی اساسی در این حوزه پاسخ میدهد و نشان میدهد که با افزایش تعداد کیوبیتها، دقت محاسبات نیز بهبود مییابد.
گوگل ادعا میکند که Willow میتواند مسائل دنیای واقعی، مانند شبیه سازی مولکول ها برای کشف دارو های جدید و طراحی باتری های قدرتمندتر، را حل کند. این پیشرفت به کاربردهای تجاری محاسبات کوانتومی بسیار نزدیکتر شده است.
سیستم های رمزنگاری مدرن (مانند RSA، AES و ECC) به قدرت محاسباتی کلاسیک وابسته اند و امنیت آنها بر پایه زمان مورد نیاز برای شکستن کلیدها است. تراشههای کوانتومی مانند Willow، با استفاده از الگوریتم (Shor)، میتوانند در زمان کوتاهی کلیدهای رمزنگاری سنتی را شکسته و دادهها را در معرض خطر قرار دهند.
@Unk9vvN
#puNK Lilith #RAT #Autolt
گروه تهدید آسیای شرقی با نام puNK اخیرا حملاتی رو انجام داده است که نکات فنی مفیدی را میتواند داشته باشد.
زنجیره حمله به این صورت بوده که یک فایل فرمت LNK به محض اجرا شدن، یک کد Powershell رو بر روی خط فرمان cmd بصورت مبهم سازی شده اجرا میکند.
این اجرا موجب میشود یک فایل با نام Decoy دانلود و اجرا شود، اما در ادامه اجرای کد Powershell، یک فایل
کد Powershell مرحله اول، بعد از دانلود و اجرای 2 فایل مرتبط با autolt3 بواسطه فایل
بعد از اجرای بدافزار، مهاجم اقدام به سرقت نشست های Cookie مرورگر قربانی خواهد کرد.
@Unk9vvN
گروه تهدید آسیای شرقی با نام puNK اخیرا حملاتی رو انجام داده است که نکات فنی مفیدی را میتواند داشته باشد.
زنجیره حمله به این صورت بوده که یک فایل فرمت LNK به محض اجرا شدن، یک کد Powershell رو بر روی خط فرمان cmd بصورت مبهم سازی شده اجرا میکند.
این اجرا موجب میشود یک فایل با نام Decoy دانلود و اجرا شود، اما در ادامه اجرای کد Powershell، یک فایل
curl.exe دانلود و اجرا میشود که البته با نام تصادفی ساخته شده است، همچنین ساخت پوشه C:\GSILzFnTov و ریختن فایل اجرایی Autolt3.exe و فایل اسکریپت آن که با نام QwbpjvdmTA.au3 است.کد Powershell مرحله اول، بعد از دانلود و اجرای 2 فایل مرتبط با autolt3 بواسطه فایل
curl.exe، یک Persistence نیز با schtasks.exe میسازد تا در یک بازه زمانی مشخص فایل بدافزار اجرا شود.بعد از اجرای بدافزار، مهاجم اقدام به سرقت نشست های Cookie مرورگر قربانی خواهد کرد.
@Unk9vvN
#Automatic #CTF #Framework with #LLMs
در مقاله ای از دانشگاه Cornell منتشر شده است که در خصوص استفاده از LLMs یا مدل های بزرگ زبانی تمرکز دارد در راستای استفاده از ابزار های منبع باز برای انجام یک مسابقه CTF واقعی.
این فرایند به این صورت است که یک Agent در مقابل چالش های مسابقه قرار گرفته و سعی در شناسایی نوع چالش و اطلاعات محیطی آن دارد.
بعد از این شناسایی بواسطه ظرفیت های منبع بازی که برای Agent مشخص شده، اقدام به صحبت با API یک LLM میکند و نسبت به اطلاعاتی که Agent دارد، اقدام به طرح موضوع میکند.
اینجا LLM سعی در ارسال پاسخ چالش کرده و فرمان های لازم را به Agent میدهد، او نیز بواسطه ان پیام دریافتی از ظرفیت های منبع باز از پیش تعریف شده استفاده میکند و چالش را عملیاتی میکند.
نکته ای که اینجا مورد توجه است این است که LLM مورد صحبت Agent، فرایند حل مسئله و کد اکسپلویت را نیز بعضا طراحی میکند.
محققین بر روی ظرفیت های LLM های مشهور کار کرده مانند GPT-3.5 و Claude AI تا نگاه تهاجمی LLM را بالا برده و نرخ False Positive را کم کنند.
@Unk9vvN
در مقاله ای از دانشگاه Cornell منتشر شده است که در خصوص استفاده از LLMs یا مدل های بزرگ زبانی تمرکز دارد در راستای استفاده از ابزار های منبع باز برای انجام یک مسابقه CTF واقعی.
این فرایند به این صورت است که یک Agent در مقابل چالش های مسابقه قرار گرفته و سعی در شناسایی نوع چالش و اطلاعات محیطی آن دارد.
بعد از این شناسایی بواسطه ظرفیت های منبع بازی که برای Agent مشخص شده، اقدام به صحبت با API یک LLM میکند و نسبت به اطلاعاتی که Agent دارد، اقدام به طرح موضوع میکند.
اینجا LLM سعی در ارسال پاسخ چالش کرده و فرمان های لازم را به Agent میدهد، او نیز بواسطه ان پیام دریافتی از ظرفیت های منبع باز از پیش تعریف شده استفاده میکند و چالش را عملیاتی میکند.
نکته ای که اینجا مورد توجه است این است که LLM مورد صحبت Agent، فرایند حل مسئله و کد اکسپلویت را نیز بعضا طراحی میکند.
محققین بر روی ظرفیت های LLM های مشهور کار کرده مانند GPT-3.5 و Claude AI تا نگاه تهاجمی LLM را بالا برده و نرخ False Positive را کم کنند.
@Unk9vvN
تحلیل آسیب پذیری insecure deserialization
Unk9TmW
#Podcast #Insecure #Deserialization (PHP)
جلسه هفتگی دانشجویان دوره تست نفوذ وب.
موضوعات:
1.رویکردهای کشف آسیب پذیری روز صفر تحت وب.
2.مفهوم Serialize و Unserialize.
3.نحوه و علت رخداد باگ.
4.نحوه بهره برداری با سناریو واقعی.
منابع:
https://notsosecure.com/remote-code-execution-php-unserialize
https://www.ambionics.io/blog/drupal8-rce
@Unk9vvN
جلسه هفتگی دانشجویان دوره تست نفوذ وب.
موضوعات:
1.رویکردهای کشف آسیب پذیری روز صفر تحت وب.
2.مفهوم Serialize و Unserialize.
3.نحوه و علت رخداد باگ.
4.نحوه بهره برداری با سناریو واقعی.
منابع:
https://notsosecure.com/remote-code-execution-php-unserialize
https://www.ambionics.io/blog/drupal8-rce
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#Help for #Web #Penetration #Testing #Course
ویدیویی مختصر از نحوه کار با سامانه مدیریت آموزش و آزمایشگاه عملیاتی آنون در خصوص دوره تست نفوذ وب برای دانشجویان محترمی که شرکت کردند و بعضا آشنایی با مکانیزم کار کرد دوره ندارند.
نکته:
1.برای ورود به بخش آزمایشگاه عملیاتی حتما میبایست آزمون تئوری را با نمره ای بیش از 70 پاس کرده تا آزمایشگاه عملیاتی برای کاربران باز شود.
2.تکمیل کردن تمامی چالش های عملی الزامی است و نهایتا آخرین چالش عملی بدون Hint خواهد بود و یک چالش CTF واقعی خواهد بود که هر نمره ای دانشجو در این چالش آخر دریافت کند در مدرک او همان نمره درج خواهد شد.
3.در این دوره رویکرد جعبه سفید و جعبه سیاه هر دو دیده شده است و نحوه طراحی اکسپلویت نیز مطرح میشود.
https://unk9vvn.com/courses/web-penetration-testing/
@Unk9vvN
ویدیویی مختصر از نحوه کار با سامانه مدیریت آموزش و آزمایشگاه عملیاتی آنون در خصوص دوره تست نفوذ وب برای دانشجویان محترمی که شرکت کردند و بعضا آشنایی با مکانیزم کار کرد دوره ندارند.
نکته:
1.برای ورود به بخش آزمایشگاه عملیاتی حتما میبایست آزمون تئوری را با نمره ای بیش از 70 پاس کرده تا آزمایشگاه عملیاتی برای کاربران باز شود.
2.تکمیل کردن تمامی چالش های عملی الزامی است و نهایتا آخرین چالش عملی بدون Hint خواهد بود و یک چالش CTF واقعی خواهد بود که هر نمره ای دانشجو در این چالش آخر دریافت کند در مدرک او همان نمره درج خواهد شد.
3.در این دوره رویکرد جعبه سفید و جعبه سیاه هر دو دیده شده است و نحوه طراحی اکسپلویت نیز مطرح میشود.
https://unk9vvn.com/courses/web-penetration-testing/
@Unk9vvN