Forwarded from یادگیری ماشین - دانشگاه شریف - پاییز ۱۴۰۳
از همراهی شما صمیمانه سپاسگزاریم.
Please open Telegram to view this post
VIEW IN TELEGRAM
به روز رسانی شرایط حریم شخصی تلگرام
آیا دادگاه فرانسه باعث و بانی آن شده است ؟
دروف در کانال خود اطلاعیه ای منتشر کرده که گفته با اصلاح خط مشی حریم شخصی خود؛ شماره تلفن و IP افرادی که از خط مشی تلگرام تخطی کنند به مسوولان دولت ها و امور قضایی ( با درخواست معتبر ) ارائه خواهد شد
🚫 To further deter criminals from abusing Telegram Search, we have updated our Terms of Service and Privacy Policy, ensuring they are consistent across the world. We’ve made it clear that the IP addresses and phone numbers of those who violate our rules can be disclosed to relevant authorities in response to valid legal requests.
#خط_مشی #پالیسی
#privacy #ethics
@Engineer_Computer
آیا دادگاه فرانسه باعث و بانی آن شده است ؟
دروف در کانال خود اطلاعیه ای منتشر کرده که گفته با اصلاح خط مشی حریم شخصی خود؛ شماره تلفن و IP افرادی که از خط مشی تلگرام تخطی کنند به مسوولان دولت ها و امور قضایی ( با درخواست معتبر ) ارائه خواهد شد
🚫 To further deter criminals from abusing Telegram Search, we have updated our Terms of Service and Privacy Policy, ensuring they are consistent across the world. We’ve made it clear that the IP addresses and phone numbers of those who violate our rules can be disclosed to relevant authorities in response to valid legal requests.
#خط_مشی #پالیسی
#privacy #ethics
@Engineer_Computer
آیا پایان عمر WSUS شروع شد ؟
کار میکند اما فیچر جدیدی نخواهد داشت
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-server-update-services-wsus-deprecation/ba-p/4250436
@Engineer_Computer
کار میکند اما فیچر جدیدی نخواهد داشت
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-server-update-services-wsus-deprecation/ba-p/4250436
@Engineer_Computer
TECHCOMMUNITY.MICROSOFT.COM
Windows Server Update Services (WSUS) deprecation - Windows IT Pro Blog
Remember: WSUS remains operational but is no longer investing in new features.
#CVE-2024-38063 #Integer_Overflow on tcpip.sys
اخیرا آسیب پذیری ای ثبت شد در پروتکل TCP/IP که از نوع Integer Overflow و Integer Underflow بود به معنی سر ریز عددی یک ورودی عددی.
این آسیب پذیری در فرایند Fragmentation و Reassemble کردن تکه های بسته پروتکل IPv6 قرار داشت که محققین با بررسی این فرایند متوجه شدند در زمانی که ساختار بسته IPv6 تکه تکه میشوند، آخرین بسته با تاخیر 60 ثانیه ای تحویل Parser گیرنده داده میشود.
این تاخیر 60 ثانیه ای تابعی با نام Ipv6pReassemblyTimeout را فراخوانی کرده که این تابع بسته ها را drop میکند، همچنین به فیلد More میبایست مقدار 0 بگیرد تا اعلام کند آخرین بسته است.
اینجا در تصویر Disassemble شده کد سی پلاس، اگر دقت کنید ثبات edx که یک اشاره گر به rdi+68h داخلش انتقال داده شده، در ادامه در نوع داده dx خودش که میشود 16 بیتی، مقادیر 8 و r15+8 اضافه میشود.
اینجا اگر مقدار packet_length برابر با 0xFFD0 باشد و بعد مقدار 8 بایت بهش اضافه شود، مقدار 0xFFD8 میشود، حالا اگر مقدار net_buffer_length بیشتر از 0x27 باشد، مثلا 39 بایت، اینجا ثبات DX سر ریز عددی خواهد کرد.
@Engineer_Computer
اخیرا آسیب پذیری ای ثبت شد در پروتکل TCP/IP که از نوع Integer Overflow و Integer Underflow بود به معنی سر ریز عددی یک ورودی عددی.
این آسیب پذیری در فرایند Fragmentation و Reassemble کردن تکه های بسته پروتکل IPv6 قرار داشت که محققین با بررسی این فرایند متوجه شدند در زمانی که ساختار بسته IPv6 تکه تکه میشوند، آخرین بسته با تاخیر 60 ثانیه ای تحویل Parser گیرنده داده میشود.
این تاخیر 60 ثانیه ای تابعی با نام Ipv6pReassemblyTimeout را فراخوانی کرده که این تابع بسته ها را drop میکند، همچنین به فیلد More میبایست مقدار 0 بگیرد تا اعلام کند آخرین بسته است.
اینجا در تصویر Disassemble شده کد سی پلاس، اگر دقت کنید ثبات edx که یک اشاره گر به rdi+68h داخلش انتقال داده شده، در ادامه در نوع داده dx خودش که میشود 16 بیتی، مقادیر 8 و r15+8 اضافه میشود.
اینجا اگر مقدار packet_length برابر با 0xFFD0 باشد و بعد مقدار 8 بایت بهش اضافه شود، مقدار 0xFFD8 میشود، حالا اگر مقدار net_buffer_length بیشتر از 0x27 باشد، مثلا 39 بایت، اینجا ثبات DX سر ریز عددی خواهد کرد.
@Engineer_Computer
#Iran #Cyberattack #Ransom #Banks
طی خبری که پایگاه POLITICO اعلام داشته، بیش از 20 موسسه بانکی و چندین بانک خصوصی و دولتی ایران هک شده است.
این هک بواسطه نفوذ به نرم افزار Core Banking شرکت توسن رخ داده است که بواسطه احتمالا یک آسیب پذیری، مهاجمین امکان سرقت اطلاعات را پیدا کرده و با گروگان گرفتن این اطلاعات، درخواست 10 میلیون دلار باج کرده اند که نهایتا 3 میلیون دلار دریافت کرده اند.
سیستم جامع مدیریت بانکی شرکت توسن به عنوان یک اسب تروجان عمل کرده و موجب آلوده سازی بسیاری از بانک ها و موسسات مالی کرده که از این نرم افزار استفاده می کرده است،
لذا مهاجمین امکان اجرای بدافزار بر روی سرور های تمامی بانک ها نام برده شده را پیدا کرده و دسترسی غیر مجازی را ایجاد کرده اند.
نهایتا با سرقت اطلاعات اقدام به باج خواهی در فضای Darkweb صورت گرفته است.
@Engineer_Computer
طی خبری که پایگاه POLITICO اعلام داشته، بیش از 20 موسسه بانکی و چندین بانک خصوصی و دولتی ایران هک شده است.
این هک بواسطه نفوذ به نرم افزار Core Banking شرکت توسن رخ داده است که بواسطه احتمالا یک آسیب پذیری، مهاجمین امکان سرقت اطلاعات را پیدا کرده و با گروگان گرفتن این اطلاعات، درخواست 10 میلیون دلار باج کرده اند که نهایتا 3 میلیون دلار دریافت کرده اند.
سیستم جامع مدیریت بانکی شرکت توسن به عنوان یک اسب تروجان عمل کرده و موجب آلوده سازی بسیاری از بانک ها و موسسات مالی کرده که از این نرم افزار استفاده می کرده است،
لذا مهاجمین امکان اجرای بدافزار بر روی سرور های تمامی بانک ها نام برده شده را پیدا کرده و دسترسی غیر مجازی را ایجاد کرده اند.
نهایتا با سرقت اطلاعات اقدام به باج خواهی در فضای Darkweb صورت گرفته است.
@Engineer_Computer
2FA Bypass Techniques
1. Response manipulation
2. Status code manipulation
3. 2FA code reusability
4. 2FA code leakage
5. Lack of brute-force protection
6. Bypassing 2FA with null or 000000
8. Missing 2FA code integrity validation
9.Handling of Previous Sessions
@Engineer_Computer
1. Response manipulation
2. Status code manipulation
3. 2FA code reusability
4. 2FA code leakage
5. Lack of brute-force protection
6. Bypassing 2FA with null or 000000
8. Missing 2FA code integrity validation
9.Handling of Previous Sessions
@Engineer_Computer
Forwarded from W3sec
💥 در مارس ۲۰۲۳، یکی از بزرگترین حملات دیفای روی پروتکل وامدهی Euler رخ داد و هکرها تونستن حدود ۱۹۷ میلیون دلار رو به سرقت ببرن! 😱💸
🔍 این حمله با استفاده از یک ضعف در منطق قراردادهای هوشمند و بهرهبرداری از تکنیک Flash Loan انجام شد. هکر از مکانیزمی استفاده کرد که بهش اجازه میداد بدون بازپرداخت وام، مقدار بیشتری دارایی از سیستم خارج کنه! 🏦💻
📖 برای جزئیات بیشتر، میتونید این تحلیل جامع از Zellic رو ببینید.
👮♂️ بعد از این اتفاق، تیمهای بلاکچین فارنزیک وارد عمل شدن و مهاجم رو شناسایی کردن. 😎 با وجود اینکه از روشهای پیچیدهای مثل CoinJoin و Tornado Cash استفاده کرده بود، باز هم نتونست رد خودش رو کاملاً مخفی کنه! 👁🗨🔗
🔍 مسیر دقیق هکر و تکنیکهایی که استفاده کرد در این گزارش تحلیلی از Aleno.ai بهطور کامل توضیح داده شده.
😨 مهاجم بعد از شناسایی، تحت فشار قرار گرفت و مجبور شد کل پول دزدیدهشده رو برگردونه! 💼💰
🤝 ما رو به دوستان خود معرفی کنید
🆔️ @w3sec_info
🆔️ @w3sec_info_group
🔍 این حمله با استفاده از یک ضعف در منطق قراردادهای هوشمند و بهرهبرداری از تکنیک Flash Loan انجام شد. هکر از مکانیزمی استفاده کرد که بهش اجازه میداد بدون بازپرداخت وام، مقدار بیشتری دارایی از سیستم خارج کنه! 🏦💻
📖 برای جزئیات بیشتر، میتونید این تحلیل جامع از Zellic رو ببینید.
👮♂️ بعد از این اتفاق، تیمهای بلاکچین فارنزیک وارد عمل شدن و مهاجم رو شناسایی کردن. 😎 با وجود اینکه از روشهای پیچیدهای مثل CoinJoin و Tornado Cash استفاده کرده بود، باز هم نتونست رد خودش رو کاملاً مخفی کنه! 👁🗨🔗
🔍 مسیر دقیق هکر و تکنیکهایی که استفاده کرد در این گزارش تحلیلی از Aleno.ai بهطور کامل توضیح داده شده.
😨 مهاجم بعد از شناسایی، تحت فشار قرار گرفت و مجبور شد کل پول دزدیدهشده رو برگردونه! 💼💰
🤝 ما رو به دوستان خود معرفی کنید
🆔️ @w3sec_info
🆔️ @w3sec_info_group
www.zellic.io
Euler Finance Exploit Analysis | Zellic — Research
How a single exploit transaction generated 110 million USD
👍1👏1🎉1
پاسخ به یک سوال مهم :
پیرو حادثه crowdstrike و مشکل درایور این محصول که منجر به بلو اسکرین در سراسر جهان شد سوالی به میان میاید :
ویندوز با Patchguard که از انتهای ویندوز xp ارائه کرد دیگر اجازه نمیدهد هر کسی در کرنل دستکاری کند ، اما EDR و XDR ها ادعا میکنند توسط درایور ها در تعامل با کرنل هستند . حد این تعامل چیست که حادثه ای چون CrowdStrike رخ میدهد؟ و اینکه چرا مایکروسافت اخیرا جلسه ای بدون حضور خبرنگاران با اصحاب تولید کننده محصولاتی چون XDR و EDR گذاشته تا ایشان را از کرنل بیرون کند؟!!
من تعاملی با ChatGPT داشتم به جواب زیر رسیدم
Windows PatchGuard (also known as Kernel Patch Protection or KPP) is a security feature introduced by Microsoft to prevent unauthorized code from patching or modifying the Windows kernel on 64-bit systems. Its main goal is to maintain kernel integrity by ensuring that only trusted and signed code operates within the kernel space, protecting against malicious attacks, rootkits, or unauthorized kernel modifications.
### Relation Between Windows PatchGuard and EDR Drivers
#### 1. Kernel-Level Drivers and PatchGuard
- EDR Driver Requirements: Many EDR (Endpoint Detection and Response) solutions require kernel-level drivers to monitor system events, processes, and behavior in real time. These drivers operate in kernel mode, where they have higher privileges to access and monitor sensitive operations (file access, memory usage, etc.). However, PatchGuard enforces strict rules on what can and cannot interact with or modify the kernel.
- PatchGuard Restrictions: PatchGuard specifically blocks unauthorized drivers or software from modifying critical parts of the Windows kernel, such as:
- System Service Denoscriptor Table (SSDT) hooks
- Interrupt Denoscriptor Table (IDT) hooks
- Kernel Object Manipulation
- Modification of the Kernel Debugger
This ensures that the kernel remains in a known, stable state, preventing malware or poorly written drivers from tampering with it. Thus, any legitimate EDR driver must respect PatchGuard's restrictions, meaning that it cannot perform kernel patching or directly modify protected kernel structures.
#### 2. Signed Drivers and PatchGuard Compliance
- Driver Signing: For EDR drivers to function within the constraints of PatchGuard, they must be properly signed with a valid digital signature. Microsoft enforces driver signing to ensure that only trusted drivers are loaded into kernel space. Drivers that attempt to bypass or disable PatchGuard violate this trust model and are blocked by the system.
- Windows Hardware Quality Labs (WHQL) Certification: Most reputable EDR vendors will seek WHQL certification for their drivers, ensuring that they operate within Microsoft's guidelines for kernel interaction. This certification process ensures that the driver respects PatchGuard’s policies and doesn’t introduce instability or security vulnerabilities.
#### 3. Driver Operation Without Violating PatchGuard
- Non-Patching Approach: EDR drivers must monitor and respond to system events without directly modifying kernel structures or patching kernel code, which would violate PatchGuard. Instead, they:
- Hook into legitimate, documented APIs that provide system monitoring capabilities.
- Rely on Windows Filtering Platform (WFP), ETW (Event Tracing for Windows), or Hypervisor-protected Code Integrity (HVCI) for monitoring low-level events.
- Use legitimate kernel interfaces to gather data about processes, network activity, and file operations without modifying protected kernel data structures.
- User Mode and Kernel Mode Balance: Some EDR solutions split their functionality between user-mode agents and kernel-mode drivers. The driver performs low-level monitoring, while the user-mode components handle less sensitive tasks, ensuring that EDR solutions work effectively within the boundaries set by PatchGuard.
ادامه در پست بعد
@Engineer_Computer
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr
پیرو حادثه crowdstrike و مشکل درایور این محصول که منجر به بلو اسکرین در سراسر جهان شد سوالی به میان میاید :
ویندوز با Patchguard که از انتهای ویندوز xp ارائه کرد دیگر اجازه نمیدهد هر کسی در کرنل دستکاری کند ، اما EDR و XDR ها ادعا میکنند توسط درایور ها در تعامل با کرنل هستند . حد این تعامل چیست که حادثه ای چون CrowdStrike رخ میدهد؟ و اینکه چرا مایکروسافت اخیرا جلسه ای بدون حضور خبرنگاران با اصحاب تولید کننده محصولاتی چون XDR و EDR گذاشته تا ایشان را از کرنل بیرون کند؟!!
من تعاملی با ChatGPT داشتم به جواب زیر رسیدم
Windows PatchGuard (also known as Kernel Patch Protection or KPP) is a security feature introduced by Microsoft to prevent unauthorized code from patching or modifying the Windows kernel on 64-bit systems. Its main goal is to maintain kernel integrity by ensuring that only trusted and signed code operates within the kernel space, protecting against malicious attacks, rootkits, or unauthorized kernel modifications.
### Relation Between Windows PatchGuard and EDR Drivers
#### 1. Kernel-Level Drivers and PatchGuard
- EDR Driver Requirements: Many EDR (Endpoint Detection and Response) solutions require kernel-level drivers to monitor system events, processes, and behavior in real time. These drivers operate in kernel mode, where they have higher privileges to access and monitor sensitive operations (file access, memory usage, etc.). However, PatchGuard enforces strict rules on what can and cannot interact with or modify the kernel.
- PatchGuard Restrictions: PatchGuard specifically blocks unauthorized drivers or software from modifying critical parts of the Windows kernel, such as:
- System Service Denoscriptor Table (SSDT) hooks
- Interrupt Denoscriptor Table (IDT) hooks
- Kernel Object Manipulation
- Modification of the Kernel Debugger
This ensures that the kernel remains in a known, stable state, preventing malware or poorly written drivers from tampering with it. Thus, any legitimate EDR driver must respect PatchGuard's restrictions, meaning that it cannot perform kernel patching or directly modify protected kernel structures.
#### 2. Signed Drivers and PatchGuard Compliance
- Driver Signing: For EDR drivers to function within the constraints of PatchGuard, they must be properly signed with a valid digital signature. Microsoft enforces driver signing to ensure that only trusted drivers are loaded into kernel space. Drivers that attempt to bypass or disable PatchGuard violate this trust model and are blocked by the system.
- Windows Hardware Quality Labs (WHQL) Certification: Most reputable EDR vendors will seek WHQL certification for their drivers, ensuring that they operate within Microsoft's guidelines for kernel interaction. This certification process ensures that the driver respects PatchGuard’s policies and doesn’t introduce instability or security vulnerabilities.
#### 3. Driver Operation Without Violating PatchGuard
- Non-Patching Approach: EDR drivers must monitor and respond to system events without directly modifying kernel structures or patching kernel code, which would violate PatchGuard. Instead, they:
- Hook into legitimate, documented APIs that provide system monitoring capabilities.
- Rely on Windows Filtering Platform (WFP), ETW (Event Tracing for Windows), or Hypervisor-protected Code Integrity (HVCI) for monitoring low-level events.
- Use legitimate kernel interfaces to gather data about processes, network activity, and file operations without modifying protected kernel data structures.
- User Mode and Kernel Mode Balance: Some EDR solutions split their functionality between user-mode agents and kernel-mode drivers. The driver performs low-level monitoring, while the user-mode components handle less sensitive tasks, ensuring that EDR solutions work effectively within the boundaries set by PatchGuard.
ادامه در پست بعد
@Engineer_Computer
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr
ادامه از پست قبل 👆👆
#### 4. Is Using a Driver a Violation?
- No, It’s Not a Violation (When Done Correctly): Using a kernel driver in EDR solutions is not inherently a violation of PatchGuard. It’s only a violation if the driver attempts to patch or modify the kernel in ways that violate Windows security policies. Well-designed EDR solutions comply with PatchGuard by using standard APIs and legitimate kernel interfaces to achieve monitoring and protection goals.
- Working Within Kernel Mode: The EDR driver operates *within* the kernel, but it doesn’t modify or patch critical parts of the kernel itself. Instead, it monitors and reports events while respecting PatchGuard's restrictions. This allows it to maintain visibility into the system without breaching the kernel's integrity or violating Windows security rules.
### Summary
- Windows PatchGuard prevents unauthorized modifications to the Windows kernel, ensuring that the system's core remains intact and protected.
- EDR drivers operate within kernel mode but must comply with PatchGuard rules, meaning they cannot modify or patch the kernel directly.
- No violation occurs if the EDR driver is properly signed, respects PatchGuard’s limitations, and uses legitimate kernel monitoring techniques rather than trying to alter or bypass kernel protections.
@Engineer_Computer
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr
#### 4. Is Using a Driver a Violation?
- No, It’s Not a Violation (When Done Correctly): Using a kernel driver in EDR solutions is not inherently a violation of PatchGuard. It’s only a violation if the driver attempts to patch or modify the kernel in ways that violate Windows security policies. Well-designed EDR solutions comply with PatchGuard by using standard APIs and legitimate kernel interfaces to achieve monitoring and protection goals.
- Working Within Kernel Mode: The EDR driver operates *within* the kernel, but it doesn’t modify or patch critical parts of the kernel itself. Instead, it monitors and reports events while respecting PatchGuard's restrictions. This allows it to maintain visibility into the system without breaching the kernel's integrity or violating Windows security rules.
### Summary
- Windows PatchGuard prevents unauthorized modifications to the Windows kernel, ensuring that the system's core remains intact and protected.
- EDR drivers operate within kernel mode but must comply with PatchGuard rules, meaning they cannot modify or patch the kernel directly.
- No violation occurs if the EDR driver is properly signed, respects PatchGuard’s limitations, and uses legitimate kernel monitoring techniques rather than trying to alter or bypass kernel protections.
@Engineer_Computer
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr
فرصت های کوچک را اندوخته کنید و چون زمانهای مترو و از گزارش هایی چون مندینت غافل نشوید.
https://cloud.google.com/blog/topics/threat-intelligence/unc2970-backdoor-trojanized-pdf-reader/
@Engineer_Computer
https://cloud.google.com/blog/topics/threat-intelligence/unc2970-backdoor-trojanized-pdf-reader/
@Engineer_Computer
Google Cloud Blog
An Offer You Can Refuse: UNC2970 Backdoor Deployment Using Trojanized PDF Reader | Google Cloud Blog
UNC2970 is a cyber espionage group suspected to have a North Korea nexus.
Relying on a single vulnerability scanner? New research shows leading scanners can miss thousands of vulnerabilities.
Use multiple scanning engines for a comprehensive view of your attack surface.
Learn more:
https://thehackernews.com/2024/05/when-is-one-vulnerability-scanner-not.html
@Engineer_Computer
Use multiple scanning engines for a comprehensive view of your attack surface.
Learn more:
https://thehackernews.com/2024/05/when-is-one-vulnerability-scanner-not.html
@Engineer_Computer
How can organizations ensure their sensitive data is secure?
Data Security Posture Management (DSPM)
Check out Sentra_security's DSPM guide to learn:
🔸Why cloud-first enterprises are adopting DSPM
🔸What to look for in DSPM tools
🔸Key features of DSPM
👉 Read: https://thn.news/sentra-dspm-guide
Microsoft’s latest Patch Tuesday addresses 90 security vulnerabilities, including 6 zero-days actively exploited in the wild. 🙀🤯
Read: https://thehackernews.com/2024/08/microsoft-issues-patches-for-90-flaws.html
@Engineer_Computer
Data Security Posture Management (DSPM)
Check out Sentra_security's DSPM guide to learn:
🔸Why cloud-first enterprises are adopting DSPM
🔸What to look for in DSPM tools
🔸Key features of DSPM
👉 Read: https://thn.news/sentra-dspm-guide
Microsoft’s latest Patch Tuesday addresses 90 security vulnerabilities, including 6 zero-days actively exploited in the wild. 🙀🤯
Read: https://thehackernews.com/2024/08/microsoft-issues-patches-for-90-flaws.html
@Engineer_Computer
www.sentra.io
What is DSPM (Data Security Posture Management)? | Sentra
DSPM secures cloud data by ensuring that sensitive data has always the correct security posture, no matter where it’s been moved. Learn more in our guide.
70% of IT pros have faced security incidents due to incomplete offboarding. Incomplete IT offboarding isn’t just a technical hiccup—it’s a direct threat to your organization’s security and budget. Learn how to streamline offboarding process:
https://thehackernews.com/2023/11/how-to-automate-hardest-parts-of.html
@Engineer_Computer
https://thehackernews.com/2023/11/how-to-automate-hardest-parts-of.html
@Engineer_Computer