از کدوم جامپ برای انتقال کنترل به جایی که ما بهش میگیم ، بدون توجه به شروط استفاده میشه .
Anonymous Quiz
5%
JS
21%
JE
74%
JMP
0%
JNZ
یکم حوصله ندارم چیزی بنویسم ولی
به نظرتون مثل قبل بیشتر از خبر هایی که دورمون داره اعتفاق میوفته بنویسم ؟
به نظرتون مثل قبل بیشتر از خبر هایی که دورمون داره اعتفاق میوفته بنویسم ؟
Anonymous Poll
87%
بنویس
13%
نه خودم پیگیرم
این چند روز رو سردرد شدید داشتم با مخلفاتشو بیمارستانو این داستانا ، ماجرای قسمت هفتم میمونه واسه وقتی یکم سرم اوکی بشه .
❤5👍2
قسمت های رکورد شده رو دیدین ؟
Anonymous Poll
27%
اره دیدم
58%
هنوز نه
15%
نمیخوام و علاقه ای هم ندارم
شیفتو گفتیم ، حالا چرخش هم بگیم و یه سری داستان های دیگه که توی قسمت بعدی جمع میشه بعدش سوال براتون میفرستم ....
زیمبرا که میتونیم بگیم یه پلتفرم ایمیله یه آپدیت امنیتی داده برای اصلاح یه آسیب پذیری خیلی شدید توی سرویس پست ژورنالش ، این نقص امنیتی رو به عنوان CVE-2024-45519 میشناسیم و اینطوره که به مهاجم احراز هویت نشده از راه دور اجازه میده دستورات مورد نظر خودشو توی اون سیستم دارای این ورژن خاص زیمبرا اجرا کنه که خب همین تا حد زیادی امنیتی برامون باقی نمیزاره ...
اخرین پچ امنیتی رو با Ghidra ریورس کردن و تابع حیاتی run_command رو برسی کردن ، توی نسخه پچ شده تابع execvp هست که ورودی کاربر رو به صورت آرایه ای تعریف کرده و این خودش میتونه از تزریق جلوگیری کنه ، از طرفی هم تابع جدید is_safe_input اضافه شده که از بعضی کاراکتر های خاص برای ورودی جلوگیری میکنه ، اما توی نسخه پچ نشده تابع read_maps از popen استفاده میکنه و باعث شده ورودی ها اصلا پاکسازی نشن ، و همین باعث اجرای هر کدی توسط مهاجم شده
اخرین پچ امنیتی رو با Ghidra ریورس کردن و تابع حیاتی run_command رو برسی کردن ، توی نسخه پچ شده تابع execvp هست که ورودی کاربر رو به صورت آرایه ای تعریف کرده و این خودش میتونه از تزریق جلوگیری کنه ، از طرفی هم تابع جدید is_safe_input اضافه شده که از بعضی کاراکتر های خاص برای ورودی جلوگیری میکنه ، اما توی نسخه پچ نشده تابع read_maps از popen استفاده میکنه و باعث شده ورودی ها اصلا پاکسازی نشن ، و همین باعث اجرای هر کدی توسط مهاجم شده
میخوام رکورد کنم همش صدای این جنگنده ها میاد که دارن دوردور میکنن واسه خودشون یه دیقه ساکت ، بزارید رکورد کنیم
😱7
GeekNotif
میخوام رکورد کنم همش صدای این جنگنده ها میاد که دارن دوردور میکنن واسه خودشون یه دیقه ساکت ، بزارید رکورد کنیم
وقتی فقط پنج کیلومتر با چیز پرتاب موشک اینجا فاصله داری :
🌚4
داشتم همینطور اخبار رو نگاه میکردم که رسیدم به یه خبر جالب ، خبری که داشت از بدافزاری حرف میزد که تونسته میلیون ها سرور لینوکسی رو در سراسر جهان مورد هدف خودش قرار بده ...
داستان از این قراره که محقق های Aqua Nautilus کشف کردن که یه بدافزار درطول 3 یا 4 سال گذشته اومده و از 20000 نوع پیکربندی اشتباه توی سرور های لینوکسی سو استفاده کرده ، داریم از بدافزار perfctl حرف میزنیم یه بدافزار که به خوبی بلده چطور مخفی بمونه و در عین حال کنترل سیستم رو کاملا به دست بگیره .
این بدافزار از یه روت کیت استفاده میکنه برای پاک کردن ردپای خودش و از طرفی هم هر وقت که کاربر وارد سرور میشه همه چیز عادی جلوه میکنه یعنی فعالیت پر سروصدایی از خودش نشون نمیده و به صورت اینترنال از سوکت های یونیکس و به صورت اکسترنال از طریق TOR ارتباط برقرار میکنه .
از تکنیک هایی که این بدافزار برای مخفی بودن استفاده میکنه میتونیم به این اشاره کنیم که بدافزار perfctl باینری خودشو بعد از اجرا شدن حذف میکنه و میره توی بک گراند خیلی بی سروصدا به عنوان یه سرویس به فعالیت خودش ادامه میده و از طرفی هم خودشو از حافظه به مکان های مختلفی از دیسک کپی میکنه و معمولا هم با تغییر اسم سرویسش به عنوان سرویس های سیستمی جلوه میکنه و یا خودشو با اونا ترکیب میکنه.
از طرفی هم این بدافزار میاد ~/.profile رو تغییر میده تا اطمینان پیدا کنه که بعد از هر بار ورود کاربر به سرور تمام داستان هاش انجام میشه و بالا میاد ... از سری اکسپلویت هایی که این بدافزار ازش بهره برداری میکنه میتونیم به CVE-2021-4043 اشاره کنیم ، یه آسیب پذیری که به بدافزارمون اجازه افزایش دسترسی میده و تا جایی هم میبینیم که اومده از cryptominer Monero (XMRIG) استفاده کرده که تونسته تمام منابع سرور رو استفاده کنه ...
اگه میخواید سرور لینوکسی خودتونو برسی کنید که آیا آلوده شده یا نه ، میتونین ببینید ایا افزایش یوزیج CPU دارین یا نه ، یا بیاید ببینید باینری های مشکوک توی دایرکتوری های /tmp , /root , /usr هست یا نه ، بچه ها حتما حواستونو جمع کنین توی سرور هاتون ابزار هایی رو بیارید بالا که نظارت داشته باشن به فعالیت ها و حداقل بتونین روت کیت رو تشخیص بدین ، بیاید حداقل سطح دسترسی هارو برسی کنید و محدودیت های خوندن و نوشتن رو اعمال کنین روی دایرکتوری های مخصوص ، یا ببینید به صورت عادی چه سرویس هایی درحال اجران و چه پورت های بازی دارید ، خلاصه یه سری اقدام های امنیتی رو در نظر بگیرید چونکه همین الان هم این بدافزار میلیون ها سرور لینوکسی که هنوز بالا هستن و به اینترنت وصلن رو تحت تاثیر قرار داده ....
داستان از این قراره که محقق های Aqua Nautilus کشف کردن که یه بدافزار درطول 3 یا 4 سال گذشته اومده و از 20000 نوع پیکربندی اشتباه توی سرور های لینوکسی سو استفاده کرده ، داریم از بدافزار perfctl حرف میزنیم یه بدافزار که به خوبی بلده چطور مخفی بمونه و در عین حال کنترل سیستم رو کاملا به دست بگیره .
این بدافزار از یه روت کیت استفاده میکنه برای پاک کردن ردپای خودش و از طرفی هم هر وقت که کاربر وارد سرور میشه همه چیز عادی جلوه میکنه یعنی فعالیت پر سروصدایی از خودش نشون نمیده و به صورت اینترنال از سوکت های یونیکس و به صورت اکسترنال از طریق TOR ارتباط برقرار میکنه .
از تکنیک هایی که این بدافزار برای مخفی بودن استفاده میکنه میتونیم به این اشاره کنیم که بدافزار perfctl باینری خودشو بعد از اجرا شدن حذف میکنه و میره توی بک گراند خیلی بی سروصدا به عنوان یه سرویس به فعالیت خودش ادامه میده و از طرفی هم خودشو از حافظه به مکان های مختلفی از دیسک کپی میکنه و معمولا هم با تغییر اسم سرویسش به عنوان سرویس های سیستمی جلوه میکنه و یا خودشو با اونا ترکیب میکنه.
از طرفی هم این بدافزار میاد ~/.profile رو تغییر میده تا اطمینان پیدا کنه که بعد از هر بار ورود کاربر به سرور تمام داستان هاش انجام میشه و بالا میاد ... از سری اکسپلویت هایی که این بدافزار ازش بهره برداری میکنه میتونیم به CVE-2021-4043 اشاره کنیم ، یه آسیب پذیری که به بدافزارمون اجازه افزایش دسترسی میده و تا جایی هم میبینیم که اومده از cryptominer Monero (XMRIG) استفاده کرده که تونسته تمام منابع سرور رو استفاده کنه ...
اگه میخواید سرور لینوکسی خودتونو برسی کنید که آیا آلوده شده یا نه ، میتونین ببینید ایا افزایش یوزیج CPU دارین یا نه ، یا بیاید ببینید باینری های مشکوک توی دایرکتوری های /tmp , /root , /usr هست یا نه ، بچه ها حتما حواستونو جمع کنین توی سرور هاتون ابزار هایی رو بیارید بالا که نظارت داشته باشن به فعالیت ها و حداقل بتونین روت کیت رو تشخیص بدین ، بیاید حداقل سطح دسترسی هارو برسی کنید و محدودیت های خوندن و نوشتن رو اعمال کنین روی دایرکتوری های مخصوص ، یا ببینید به صورت عادی چه سرویس هایی درحال اجران و چه پورت های بازی دارید ، خلاصه یه سری اقدام های امنیتی رو در نظر بگیرید چونکه همین الان هم این بدافزار میلیون ها سرور لینوکسی که هنوز بالا هستن و به اینترنت وصلن رو تحت تاثیر قرار داده ....
👍5🤯1
تقریبا هممون میدونیم ویژوال استدیو کد چیه و برای چیه ، قرار نیست بیایم توضیح بدیم که چیه درواقع داشتم یه خبر جالب دیگه رو میخوندم همین الان و دیدم که یه حمله جالب تر انجام شده که توی اون یه فرد مخرب اومده و از ویژوال استدیو کد بهره برداری کرده و باعث شده که فرد مخرب داستان ما ، بتونه ریموت اکسس خودشو برقرار کنه ...
همه چیز با یه فایل که پسوند .LNK داره شروع میشه و احتمال داده شده که از طریق ایمیل پخش میشه و بعد از اجرا شدن یه پیام "نصب موفقیت آمیز " نشون میده و به زبان چینی هم هست این پیام ، و میاد به طور مخفی یه پکیج پایتونی رو واسمون دانلود میکنه که اسمش (python-3.12.5-embed-amd64.zip) هست .
حالا وقتشه که بیاد یه دایرکتوری توی “%LOCALAPPDATA%\Microsoft\Python” بسازه و توی قدم بعدشم بیاد یه اسکریپت پایتونی مبهم سازی شده ( obfuscated ) رو اجرا کنه که توی این مورد اسمش update.py هست ، حالا کافیه اطمینان پیدا کنه که بدافرار هر ۴ ساعت یکبار وقتی سیستم روشنه اجرا میشه یا اینکه با هر بار ورود کاربر اجرا بشه ، و حواسمون هست که الان داره با دسترسی SYSTEM اجرا میشه و همین پایداری بدافزار رو تضمین میکنه ... برای این کار میاد یه Scheduled Task تعریف میکنه که توی این مورد اسمش “MicrosoftHealthcareMonitorNode” هست .
از طرفی هم میاد یه حرکت جالب میزنه ، میاد میبینه که اصلا آیا ویژوال استدیو کد داری یا نه ؟ اگه نداری خودش میاد یه Vscode CLI رو از سرور های مایکروسافت دانلود میکنه ( az764295.vo.msecnd.net ) و تمام حالا میتونه تونل خودشو به سیستم ناز نازیمون برقرار کنه و همونطور که میتونین حدس بزنین حالا وقتشه که اسکریپتمون بیاد اطلاعات حیاتی که باهاشون حال میکنه رو جمع کنه که میتونه هر اطلاعاتی باشه ، حالا کافیه که اطلاعات با base64 کد گذاری بشن و به یه سرور C&C (
گروه APT چینی Stately Taurus هم چند وقت پیش اینطور حمله ای رو پیاده سازی کرده بود
همه چیز با یه فایل که پسوند .LNK داره شروع میشه و احتمال داده شده که از طریق ایمیل پخش میشه و بعد از اجرا شدن یه پیام "نصب موفقیت آمیز " نشون میده و به زبان چینی هم هست این پیام ، و میاد به طور مخفی یه پکیج پایتونی رو واسمون دانلود میکنه که اسمش (python-3.12.5-embed-amd64.zip) هست .
حالا وقتشه که بیاد یه دایرکتوری توی “%LOCALAPPDATA%\Microsoft\Python” بسازه و توی قدم بعدشم بیاد یه اسکریپت پایتونی مبهم سازی شده ( obfuscated ) رو اجرا کنه که توی این مورد اسمش update.py هست ، حالا کافیه اطمینان پیدا کنه که بدافرار هر ۴ ساعت یکبار وقتی سیستم روشنه اجرا میشه یا اینکه با هر بار ورود کاربر اجرا بشه ، و حواسمون هست که الان داره با دسترسی SYSTEM اجرا میشه و همین پایداری بدافزار رو تضمین میکنه ... برای این کار میاد یه Scheduled Task تعریف میکنه که توی این مورد اسمش “MicrosoftHealthcareMonitorNode” هست .
از طرفی هم میاد یه حرکت جالب میزنه ، میاد میبینه که اصلا آیا ویژوال استدیو کد داری یا نه ؟ اگه نداری خودش میاد یه Vscode CLI رو از سرور های مایکروسافت دانلود میکنه ( az764295.vo.msecnd.net ) و تمام حالا میتونه تونل خودشو به سیستم ناز نازیمون برقرار کنه و همونطور که میتونین حدس بزنین حالا وقتشه که اسکریپتمون بیاد اطلاعات حیاتی که باهاشون حال میکنه رو جمع کنه که میتونه هر اطلاعاتی باشه ، حالا کافیه که اطلاعات با base64 کد گذاری بشن و به یه سرور C&C (
requestrepo[.]com/r/2yxp98b3) منتقل بشه .گروه APT چینی Stately Taurus هم چند وقت پیش اینطور حمله ای رو پیاده سازی کرده بود