این چند روز رو سردرد شدید داشتم با مخلفاتشو بیمارستانو این داستانا ، ماجرای قسمت هفتم میمونه واسه وقتی یکم سرم اوکی بشه .
❤5👍2
قسمت های رکورد شده رو دیدین ؟
Anonymous Poll
27%
اره دیدم
58%
هنوز نه
15%
نمیخوام و علاقه ای هم ندارم
شیفتو گفتیم ، حالا چرخش هم بگیم و یه سری داستان های دیگه که توی قسمت بعدی جمع میشه بعدش سوال براتون میفرستم ....
زیمبرا که میتونیم بگیم یه پلتفرم ایمیله یه آپدیت امنیتی داده برای اصلاح یه آسیب پذیری خیلی شدید توی سرویس پست ژورنالش ، این نقص امنیتی رو به عنوان CVE-2024-45519 میشناسیم و اینطوره که به مهاجم احراز هویت نشده از راه دور اجازه میده دستورات مورد نظر خودشو توی اون سیستم دارای این ورژن خاص زیمبرا اجرا کنه که خب همین تا حد زیادی امنیتی برامون باقی نمیزاره ...
اخرین پچ امنیتی رو با Ghidra ریورس کردن و تابع حیاتی run_command رو برسی کردن ، توی نسخه پچ شده تابع execvp هست که ورودی کاربر رو به صورت آرایه ای تعریف کرده و این خودش میتونه از تزریق جلوگیری کنه ، از طرفی هم تابع جدید is_safe_input اضافه شده که از بعضی کاراکتر های خاص برای ورودی جلوگیری میکنه ، اما توی نسخه پچ نشده تابع read_maps از popen استفاده میکنه و باعث شده ورودی ها اصلا پاکسازی نشن ، و همین باعث اجرای هر کدی توسط مهاجم شده
اخرین پچ امنیتی رو با Ghidra ریورس کردن و تابع حیاتی run_command رو برسی کردن ، توی نسخه پچ شده تابع execvp هست که ورودی کاربر رو به صورت آرایه ای تعریف کرده و این خودش میتونه از تزریق جلوگیری کنه ، از طرفی هم تابع جدید is_safe_input اضافه شده که از بعضی کاراکتر های خاص برای ورودی جلوگیری میکنه ، اما توی نسخه پچ نشده تابع read_maps از popen استفاده میکنه و باعث شده ورودی ها اصلا پاکسازی نشن ، و همین باعث اجرای هر کدی توسط مهاجم شده
میخوام رکورد کنم همش صدای این جنگنده ها میاد که دارن دوردور میکنن واسه خودشون یه دیقه ساکت ، بزارید رکورد کنیم
😱7
GeekNotif
میخوام رکورد کنم همش صدای این جنگنده ها میاد که دارن دوردور میکنن واسه خودشون یه دیقه ساکت ، بزارید رکورد کنیم
وقتی فقط پنج کیلومتر با چیز پرتاب موشک اینجا فاصله داری :
🌚4
داشتم همینطور اخبار رو نگاه میکردم که رسیدم به یه خبر جالب ، خبری که داشت از بدافزاری حرف میزد که تونسته میلیون ها سرور لینوکسی رو در سراسر جهان مورد هدف خودش قرار بده ...
داستان از این قراره که محقق های Aqua Nautilus کشف کردن که یه بدافزار درطول 3 یا 4 سال گذشته اومده و از 20000 نوع پیکربندی اشتباه توی سرور های لینوکسی سو استفاده کرده ، داریم از بدافزار perfctl حرف میزنیم یه بدافزار که به خوبی بلده چطور مخفی بمونه و در عین حال کنترل سیستم رو کاملا به دست بگیره .
این بدافزار از یه روت کیت استفاده میکنه برای پاک کردن ردپای خودش و از طرفی هم هر وقت که کاربر وارد سرور میشه همه چیز عادی جلوه میکنه یعنی فعالیت پر سروصدایی از خودش نشون نمیده و به صورت اینترنال از سوکت های یونیکس و به صورت اکسترنال از طریق TOR ارتباط برقرار میکنه .
از تکنیک هایی که این بدافزار برای مخفی بودن استفاده میکنه میتونیم به این اشاره کنیم که بدافزار perfctl باینری خودشو بعد از اجرا شدن حذف میکنه و میره توی بک گراند خیلی بی سروصدا به عنوان یه سرویس به فعالیت خودش ادامه میده و از طرفی هم خودشو از حافظه به مکان های مختلفی از دیسک کپی میکنه و معمولا هم با تغییر اسم سرویسش به عنوان سرویس های سیستمی جلوه میکنه و یا خودشو با اونا ترکیب میکنه.
از طرفی هم این بدافزار میاد ~/.profile رو تغییر میده تا اطمینان پیدا کنه که بعد از هر بار ورود کاربر به سرور تمام داستان هاش انجام میشه و بالا میاد ... از سری اکسپلویت هایی که این بدافزار ازش بهره برداری میکنه میتونیم به CVE-2021-4043 اشاره کنیم ، یه آسیب پذیری که به بدافزارمون اجازه افزایش دسترسی میده و تا جایی هم میبینیم که اومده از cryptominer Monero (XMRIG) استفاده کرده که تونسته تمام منابع سرور رو استفاده کنه ...
اگه میخواید سرور لینوکسی خودتونو برسی کنید که آیا آلوده شده یا نه ، میتونین ببینید ایا افزایش یوزیج CPU دارین یا نه ، یا بیاید ببینید باینری های مشکوک توی دایرکتوری های /tmp , /root , /usr هست یا نه ، بچه ها حتما حواستونو جمع کنین توی سرور هاتون ابزار هایی رو بیارید بالا که نظارت داشته باشن به فعالیت ها و حداقل بتونین روت کیت رو تشخیص بدین ، بیاید حداقل سطح دسترسی هارو برسی کنید و محدودیت های خوندن و نوشتن رو اعمال کنین روی دایرکتوری های مخصوص ، یا ببینید به صورت عادی چه سرویس هایی درحال اجران و چه پورت های بازی دارید ، خلاصه یه سری اقدام های امنیتی رو در نظر بگیرید چونکه همین الان هم این بدافزار میلیون ها سرور لینوکسی که هنوز بالا هستن و به اینترنت وصلن رو تحت تاثیر قرار داده ....
داستان از این قراره که محقق های Aqua Nautilus کشف کردن که یه بدافزار درطول 3 یا 4 سال گذشته اومده و از 20000 نوع پیکربندی اشتباه توی سرور های لینوکسی سو استفاده کرده ، داریم از بدافزار perfctl حرف میزنیم یه بدافزار که به خوبی بلده چطور مخفی بمونه و در عین حال کنترل سیستم رو کاملا به دست بگیره .
این بدافزار از یه روت کیت استفاده میکنه برای پاک کردن ردپای خودش و از طرفی هم هر وقت که کاربر وارد سرور میشه همه چیز عادی جلوه میکنه یعنی فعالیت پر سروصدایی از خودش نشون نمیده و به صورت اینترنال از سوکت های یونیکس و به صورت اکسترنال از طریق TOR ارتباط برقرار میکنه .
از تکنیک هایی که این بدافزار برای مخفی بودن استفاده میکنه میتونیم به این اشاره کنیم که بدافزار perfctl باینری خودشو بعد از اجرا شدن حذف میکنه و میره توی بک گراند خیلی بی سروصدا به عنوان یه سرویس به فعالیت خودش ادامه میده و از طرفی هم خودشو از حافظه به مکان های مختلفی از دیسک کپی میکنه و معمولا هم با تغییر اسم سرویسش به عنوان سرویس های سیستمی جلوه میکنه و یا خودشو با اونا ترکیب میکنه.
از طرفی هم این بدافزار میاد ~/.profile رو تغییر میده تا اطمینان پیدا کنه که بعد از هر بار ورود کاربر به سرور تمام داستان هاش انجام میشه و بالا میاد ... از سری اکسپلویت هایی که این بدافزار ازش بهره برداری میکنه میتونیم به CVE-2021-4043 اشاره کنیم ، یه آسیب پذیری که به بدافزارمون اجازه افزایش دسترسی میده و تا جایی هم میبینیم که اومده از cryptominer Monero (XMRIG) استفاده کرده که تونسته تمام منابع سرور رو استفاده کنه ...
اگه میخواید سرور لینوکسی خودتونو برسی کنید که آیا آلوده شده یا نه ، میتونین ببینید ایا افزایش یوزیج CPU دارین یا نه ، یا بیاید ببینید باینری های مشکوک توی دایرکتوری های /tmp , /root , /usr هست یا نه ، بچه ها حتما حواستونو جمع کنین توی سرور هاتون ابزار هایی رو بیارید بالا که نظارت داشته باشن به فعالیت ها و حداقل بتونین روت کیت رو تشخیص بدین ، بیاید حداقل سطح دسترسی هارو برسی کنید و محدودیت های خوندن و نوشتن رو اعمال کنین روی دایرکتوری های مخصوص ، یا ببینید به صورت عادی چه سرویس هایی درحال اجران و چه پورت های بازی دارید ، خلاصه یه سری اقدام های امنیتی رو در نظر بگیرید چونکه همین الان هم این بدافزار میلیون ها سرور لینوکسی که هنوز بالا هستن و به اینترنت وصلن رو تحت تاثیر قرار داده ....
👍5🤯1
تقریبا هممون میدونیم ویژوال استدیو کد چیه و برای چیه ، قرار نیست بیایم توضیح بدیم که چیه درواقع داشتم یه خبر جالب دیگه رو میخوندم همین الان و دیدم که یه حمله جالب تر انجام شده که توی اون یه فرد مخرب اومده و از ویژوال استدیو کد بهره برداری کرده و باعث شده که فرد مخرب داستان ما ، بتونه ریموت اکسس خودشو برقرار کنه ...
همه چیز با یه فایل که پسوند .LNK داره شروع میشه و احتمال داده شده که از طریق ایمیل پخش میشه و بعد از اجرا شدن یه پیام "نصب موفقیت آمیز " نشون میده و به زبان چینی هم هست این پیام ، و میاد به طور مخفی یه پکیج پایتونی رو واسمون دانلود میکنه که اسمش (python-3.12.5-embed-amd64.zip) هست .
حالا وقتشه که بیاد یه دایرکتوری توی “%LOCALAPPDATA%\Microsoft\Python” بسازه و توی قدم بعدشم بیاد یه اسکریپت پایتونی مبهم سازی شده ( obfuscated ) رو اجرا کنه که توی این مورد اسمش update.py هست ، حالا کافیه اطمینان پیدا کنه که بدافرار هر ۴ ساعت یکبار وقتی سیستم روشنه اجرا میشه یا اینکه با هر بار ورود کاربر اجرا بشه ، و حواسمون هست که الان داره با دسترسی SYSTEM اجرا میشه و همین پایداری بدافزار رو تضمین میکنه ... برای این کار میاد یه Scheduled Task تعریف میکنه که توی این مورد اسمش “MicrosoftHealthcareMonitorNode” هست .
از طرفی هم میاد یه حرکت جالب میزنه ، میاد میبینه که اصلا آیا ویژوال استدیو کد داری یا نه ؟ اگه نداری خودش میاد یه Vscode CLI رو از سرور های مایکروسافت دانلود میکنه ( az764295.vo.msecnd.net ) و تمام حالا میتونه تونل خودشو به سیستم ناز نازیمون برقرار کنه و همونطور که میتونین حدس بزنین حالا وقتشه که اسکریپتمون بیاد اطلاعات حیاتی که باهاشون حال میکنه رو جمع کنه که میتونه هر اطلاعاتی باشه ، حالا کافیه که اطلاعات با base64 کد گذاری بشن و به یه سرور C&C (
گروه APT چینی Stately Taurus هم چند وقت پیش اینطور حمله ای رو پیاده سازی کرده بود
همه چیز با یه فایل که پسوند .LNK داره شروع میشه و احتمال داده شده که از طریق ایمیل پخش میشه و بعد از اجرا شدن یه پیام "نصب موفقیت آمیز " نشون میده و به زبان چینی هم هست این پیام ، و میاد به طور مخفی یه پکیج پایتونی رو واسمون دانلود میکنه که اسمش (python-3.12.5-embed-amd64.zip) هست .
حالا وقتشه که بیاد یه دایرکتوری توی “%LOCALAPPDATA%\Microsoft\Python” بسازه و توی قدم بعدشم بیاد یه اسکریپت پایتونی مبهم سازی شده ( obfuscated ) رو اجرا کنه که توی این مورد اسمش update.py هست ، حالا کافیه اطمینان پیدا کنه که بدافرار هر ۴ ساعت یکبار وقتی سیستم روشنه اجرا میشه یا اینکه با هر بار ورود کاربر اجرا بشه ، و حواسمون هست که الان داره با دسترسی SYSTEM اجرا میشه و همین پایداری بدافزار رو تضمین میکنه ... برای این کار میاد یه Scheduled Task تعریف میکنه که توی این مورد اسمش “MicrosoftHealthcareMonitorNode” هست .
از طرفی هم میاد یه حرکت جالب میزنه ، میاد میبینه که اصلا آیا ویژوال استدیو کد داری یا نه ؟ اگه نداری خودش میاد یه Vscode CLI رو از سرور های مایکروسافت دانلود میکنه ( az764295.vo.msecnd.net ) و تمام حالا میتونه تونل خودشو به سیستم ناز نازیمون برقرار کنه و همونطور که میتونین حدس بزنین حالا وقتشه که اسکریپتمون بیاد اطلاعات حیاتی که باهاشون حال میکنه رو جمع کنه که میتونه هر اطلاعاتی باشه ، حالا کافیه که اطلاعات با base64 کد گذاری بشن و به یه سرور C&C (
requestrepo[.]com/r/2yxp98b3) منتقل بشه .گروه APT چینی Stately Taurus هم چند وقت پیش اینطور حمله ای رو پیاده سازی کرده بود
GeekNotif
یه گروه مخرب چینی که با اسم موستانگ پاندا شناخته میشه اومده از یه آسیب پذیری توی نرم افزار Visual Studio Code برای انجام یه عملیات جاسوسی گسترده که مربوط به دولت چین هست استفاده کرده و این حمله بیشتر روی جنوب شرق آسیا متمرکز بوده . محقق واحد 42 شبکه پالو…
این پست رو هم بخونید که مرتبط با همین ویژوال استدیو کد بوده و از طرفی هم دیگه بیاید با vim کد بزنید اینقد هم مارو اذیت نکنین
😁3
آژانس امنیت سایبری و امنیت زیرساخت (CISA) یه هشدار داده درباره دو آسیب پذیری که افراد مخرب زیادی دارن از آسیب پذیری های موجود توی Zimbra که گفته بودیم سو استفاده میکنن و یه اسیب پذیری هم هست توی ivanti endpoint mamager (EMP) که داره ازش بهره برداری میشه .
هدف این پست گفتن یک موضوع دیگه بود چشمم خورد به این هشدار CISA و گفتمش ، اما اینجا قراره به یه داستان جدید رو بگیم ... جریان از این قراره که محقق های Gen Treath Labs تونستن یه روت کیت جدید و پیجیده ای رو کشف کنن که آرچ لینوکس رو هدف خودش قرار داده ، داریم درمورد روت کیت Snapekit حرف میزنیم و به طور بخصوص میاد ورژن 6.10.2-arch1-1 رو که روی معماری x86_64 اجرا میشن رو هدف قرار میده .
این بدافزار سیستم رو با Hooking کردن 21 سیستم کال مختلف رو که ارتباط اساسی بین برنامه ها و کرنل هستن رو دستکاری میکنه ، و برای اینکه ناشناس بمونه از user-space dropper استفاده میشه و خودش ابزار های تجزیه و تحلیل امنیتی موجود رو اسکن میکنه و هر وقت ابزاری دید رفتار خودشو کاملا تغییر میده تا از شناسایی شدن جلوگیری بشه از طرفی هم خب از چندین تکنیک evation استفاده میکنه که خودش باعث شده بدافزار حتی دربرابر ریورس شدن هم مقاومتی نشون بده و کار سخت تر بشه و گفته میشه توسط
هدف این پست گفتن یک موضوع دیگه بود چشمم خورد به این هشدار CISA و گفتمش ، اما اینجا قراره به یه داستان جدید رو بگیم ... جریان از این قراره که محقق های Gen Treath Labs تونستن یه روت کیت جدید و پیجیده ای رو کشف کنن که آرچ لینوکس رو هدف خودش قرار داده ، داریم درمورد روت کیت Snapekit حرف میزنیم و به طور بخصوص میاد ورژن 6.10.2-arch1-1 رو که روی معماری x86_64 اجرا میشن رو هدف قرار میده .
این بدافزار سیستم رو با Hooking کردن 21 سیستم کال مختلف رو که ارتباط اساسی بین برنامه ها و کرنل هستن رو دستکاری میکنه ، و برای اینکه ناشناس بمونه از user-space dropper استفاده میشه و خودش ابزار های تجزیه و تحلیل امنیتی موجود رو اسکن میکنه و هر وقت ابزاری دید رفتار خودشو کاملا تغییر میده تا از شناسایی شدن جلوگیری بشه از طرفی هم خب از چندین تکنیک evation استفاده میکنه که خودش باعث شده بدافزار حتی دربرابر ریورس شدن هم مقاومتی نشون بده و کار سخت تر بشه و گفته میشه توسط
Humzak711 نوشته شدهدرواقع از این تایم به بعد خبری از کوئیز نیست باید قطعه کد بنویسیم یا اینکه من مینویسم و شما میگید مقادیر چند هستن الان بعد از اجرای کد