تقریبا هممون میدونیم ویژوال استدیو کد چیه و برای چیه ، قرار نیست بیایم توضیح بدیم که چیه درواقع داشتم یه خبر جالب دیگه رو میخوندم همین الان و دیدم که یه حمله جالب تر انجام شده که توی اون یه فرد مخرب اومده و از ویژوال استدیو کد بهره برداری کرده و باعث شده که فرد مخرب داستان ما ، بتونه ریموت اکسس خودشو برقرار کنه ...
همه چیز با یه فایل که پسوند .LNK داره شروع میشه و احتمال داده شده که از طریق ایمیل پخش میشه و بعد از اجرا شدن یه پیام "نصب موفقیت آمیز " نشون میده و به زبان چینی هم هست این پیام ، و میاد به طور مخفی یه پکیج پایتونی رو واسمون دانلود میکنه که اسمش (python-3.12.5-embed-amd64.zip) هست .
حالا وقتشه که بیاد یه دایرکتوری توی “%LOCALAPPDATA%\Microsoft\Python” بسازه و توی قدم بعدشم بیاد یه اسکریپت پایتونی مبهم سازی شده ( obfuscated ) رو اجرا کنه که توی این مورد اسمش update.py هست ، حالا کافیه اطمینان پیدا کنه که بدافرار هر ۴ ساعت یکبار وقتی سیستم روشنه اجرا میشه یا اینکه با هر بار ورود کاربر اجرا بشه ، و حواسمون هست که الان داره با دسترسی SYSTEM اجرا میشه و همین پایداری بدافزار رو تضمین میکنه ... برای این کار میاد یه Scheduled Task تعریف میکنه که توی این مورد اسمش “MicrosoftHealthcareMonitorNode” هست .
از طرفی هم میاد یه حرکت جالب میزنه ، میاد میبینه که اصلا آیا ویژوال استدیو کد داری یا نه ؟ اگه نداری خودش میاد یه Vscode CLI رو از سرور های مایکروسافت دانلود میکنه ( az764295.vo.msecnd.net ) و تمام حالا میتونه تونل خودشو به سیستم ناز نازیمون برقرار کنه و همونطور که میتونین حدس بزنین حالا وقتشه که اسکریپتمون بیاد اطلاعات حیاتی که باهاشون حال میکنه رو جمع کنه که میتونه هر اطلاعاتی باشه ، حالا کافیه که اطلاعات با base64 کد گذاری بشن و به یه سرور C&C (
گروه APT چینی Stately Taurus هم چند وقت پیش اینطور حمله ای رو پیاده سازی کرده بود
همه چیز با یه فایل که پسوند .LNK داره شروع میشه و احتمال داده شده که از طریق ایمیل پخش میشه و بعد از اجرا شدن یه پیام "نصب موفقیت آمیز " نشون میده و به زبان چینی هم هست این پیام ، و میاد به طور مخفی یه پکیج پایتونی رو واسمون دانلود میکنه که اسمش (python-3.12.5-embed-amd64.zip) هست .
حالا وقتشه که بیاد یه دایرکتوری توی “%LOCALAPPDATA%\Microsoft\Python” بسازه و توی قدم بعدشم بیاد یه اسکریپت پایتونی مبهم سازی شده ( obfuscated ) رو اجرا کنه که توی این مورد اسمش update.py هست ، حالا کافیه اطمینان پیدا کنه که بدافرار هر ۴ ساعت یکبار وقتی سیستم روشنه اجرا میشه یا اینکه با هر بار ورود کاربر اجرا بشه ، و حواسمون هست که الان داره با دسترسی SYSTEM اجرا میشه و همین پایداری بدافزار رو تضمین میکنه ... برای این کار میاد یه Scheduled Task تعریف میکنه که توی این مورد اسمش “MicrosoftHealthcareMonitorNode” هست .
از طرفی هم میاد یه حرکت جالب میزنه ، میاد میبینه که اصلا آیا ویژوال استدیو کد داری یا نه ؟ اگه نداری خودش میاد یه Vscode CLI رو از سرور های مایکروسافت دانلود میکنه ( az764295.vo.msecnd.net ) و تمام حالا میتونه تونل خودشو به سیستم ناز نازیمون برقرار کنه و همونطور که میتونین حدس بزنین حالا وقتشه که اسکریپتمون بیاد اطلاعات حیاتی که باهاشون حال میکنه رو جمع کنه که میتونه هر اطلاعاتی باشه ، حالا کافیه که اطلاعات با base64 کد گذاری بشن و به یه سرور C&C (
requestrepo[.]com/r/2yxp98b3) منتقل بشه .گروه APT چینی Stately Taurus هم چند وقت پیش اینطور حمله ای رو پیاده سازی کرده بود
GeekNotif
یه گروه مخرب چینی که با اسم موستانگ پاندا شناخته میشه اومده از یه آسیب پذیری توی نرم افزار Visual Studio Code برای انجام یه عملیات جاسوسی گسترده که مربوط به دولت چین هست استفاده کرده و این حمله بیشتر روی جنوب شرق آسیا متمرکز بوده . محقق واحد 42 شبکه پالو…
این پست رو هم بخونید که مرتبط با همین ویژوال استدیو کد بوده و از طرفی هم دیگه بیاید با vim کد بزنید اینقد هم مارو اذیت نکنین
😁3
آژانس امنیت سایبری و امنیت زیرساخت (CISA) یه هشدار داده درباره دو آسیب پذیری که افراد مخرب زیادی دارن از آسیب پذیری های موجود توی Zimbra که گفته بودیم سو استفاده میکنن و یه اسیب پذیری هم هست توی ivanti endpoint mamager (EMP) که داره ازش بهره برداری میشه .
هدف این پست گفتن یک موضوع دیگه بود چشمم خورد به این هشدار CISA و گفتمش ، اما اینجا قراره به یه داستان جدید رو بگیم ... جریان از این قراره که محقق های Gen Treath Labs تونستن یه روت کیت جدید و پیجیده ای رو کشف کنن که آرچ لینوکس رو هدف خودش قرار داده ، داریم درمورد روت کیت Snapekit حرف میزنیم و به طور بخصوص میاد ورژن 6.10.2-arch1-1 رو که روی معماری x86_64 اجرا میشن رو هدف قرار میده .
این بدافزار سیستم رو با Hooking کردن 21 سیستم کال مختلف رو که ارتباط اساسی بین برنامه ها و کرنل هستن رو دستکاری میکنه ، و برای اینکه ناشناس بمونه از user-space dropper استفاده میشه و خودش ابزار های تجزیه و تحلیل امنیتی موجود رو اسکن میکنه و هر وقت ابزاری دید رفتار خودشو کاملا تغییر میده تا از شناسایی شدن جلوگیری بشه از طرفی هم خب از چندین تکنیک evation استفاده میکنه که خودش باعث شده بدافزار حتی دربرابر ریورس شدن هم مقاومتی نشون بده و کار سخت تر بشه و گفته میشه توسط
هدف این پست گفتن یک موضوع دیگه بود چشمم خورد به این هشدار CISA و گفتمش ، اما اینجا قراره به یه داستان جدید رو بگیم ... جریان از این قراره که محقق های Gen Treath Labs تونستن یه روت کیت جدید و پیجیده ای رو کشف کنن که آرچ لینوکس رو هدف خودش قرار داده ، داریم درمورد روت کیت Snapekit حرف میزنیم و به طور بخصوص میاد ورژن 6.10.2-arch1-1 رو که روی معماری x86_64 اجرا میشن رو هدف قرار میده .
این بدافزار سیستم رو با Hooking کردن 21 سیستم کال مختلف رو که ارتباط اساسی بین برنامه ها و کرنل هستن رو دستکاری میکنه ، و برای اینکه ناشناس بمونه از user-space dropper استفاده میشه و خودش ابزار های تجزیه و تحلیل امنیتی موجود رو اسکن میکنه و هر وقت ابزاری دید رفتار خودشو کاملا تغییر میده تا از شناسایی شدن جلوگیری بشه از طرفی هم خب از چندین تکنیک evation استفاده میکنه که خودش باعث شده بدافزار حتی دربرابر ریورس شدن هم مقاومتی نشون بده و کار سخت تر بشه و گفته میشه توسط
Humzak711 نوشته شدهدرواقع از این تایم به بعد خبری از کوئیز نیست باید قطعه کد بنویسیم یا اینکه من مینویسم و شما میگید مقادیر چند هستن الان بعد از اجرای کد
مقدار فلگ CF و ثبات BL بعد از اجرای قطعه کد چنده ؟
MOV CL,4
MOV BL,0BBH
CLC
SAL BL,CL
XOR BL,CL
SAR BL,CL
MOV CL,4
MOV BL,0BBH
CLC
SAL BL,CL
XOR BL,CL
SAR BL,CL
مقدار CF و BX بعد از اجرای دستورات زیر چنده ؟
MOV CL,3
MOV BX,2ACH
STC
ROL BX,CL
INC CL
RCL BX,CL
MOV CL,3
MOV BX,2ACH
STC
ROL BX,CL
INC CL
RCL BX,CL
یه سوال دیگه
این دستورا روی چه فلگ هایی اثر دارن ؟
RCR , SHL , MOV , TEST , AND ,XOR
این دستورا روی چه فلگ هایی اثر دارن ؟
RCR , SHL , MOV , TEST , AND ,XOR
سعی کنید یه برنامه بنویسین بیاد بیت های ثبات AX رو اونقد به سمت چپ شیفت بده که MSB اون برابر با 1 بشه و اگه MSB از اول برابر با یک بود کنترل به EXIT منتقل بشه
و سوال اخر هم اینه که
بعد از اجرای دستورالعمل های زیر مقدار هرکدوم ثبات هارو بگید ؟
MOV AX,4BCH
MOV DX,0F2BCH
XOR AX,DX
SUB DX,8
NOT DX
ADD AX,16
AND DX,AX
بعد از اجرای دستورالعمل های زیر مقدار هرکدوم ثبات هارو بگید ؟
MOV AX,4BCH
MOV DX,0F2BCH
XOR AX,DX
SUB DX,8
NOT DX
ADD AX,16
AND DX,AX
دنیای صوفی .pdf
4.9 MB
❤3👍2🍓1
GeekNotif
قسمت های رکورد شده رو دیدین ؟
حداقل اون دوازده نفری که میبینن بگن اشتباه بود هم تصحیح میشه چه اشکالی داره
325383-sdm-vol-2abcd.pdf
10.7 MB
بهترین کتابی که میتونین بهش رجوع کنین
فقط میتونم بگم به تعداد صفحات نگاه نکنین
فقط میتونم بگم به تعداد صفحات نگاه نکنین
🆒3👍2🗿1
بچه ها داشتم رکورد میکردم قسمت نهم رو و بحثش یکم گیج کننده میتونه باشه اگه تئوری باشه همش ، خلاصه دیدم که دیگه خیلی داریم تئوری پیش میریم حداقل از نظر خودم :)
با خودم گفتم بیایم توی دنیای واقعی برسی کنیم یه سری چیزارو و در نتیجه قرار شد یه تغییری بدم توی جلسه 9 و قراره یکم متفاوت بشه ، که یادگیری رو براتون آسون تر کرده باشم و قسمت 9 فردا شب رکورد میشه و آپلود میکنم واستون ...
با خودم گفتم بیایم توی دنیای واقعی برسی کنیم یه سری چیزارو و در نتیجه قرار شد یه تغییری بدم توی جلسه 9 و قراره یکم متفاوت بشه ، که یادگیری رو براتون آسون تر کرده باشم و قسمت 9 فردا شب رکورد میشه و آپلود میکنم واستون ...
❤7