The book MAoS, written by Uriel Kosayev, an Israeli author and researcher, was recently published. About this book, he wrote:
• It is the result of several years of practical and personal research, including long nights of reverse engineering and real-world incident response experiences.
• Its content is designed to be highly operational, going far beyond theory alone.

کتاب MAoS اثر اورئیل کوسایف، نویسنده و محقق اسرائیلی، به‌تازگی منتشر شده است. او درباره این کتاب نوشت:
• این کتاب حاصل چندین سال پژوهش عملی و شخصی است؛ شامل شب‌های طولانی مهندسی معکوس و تجربه‌های مستقیم از Incident Response‌های واقعی.
• محتوای آن کاملاً عملیاتی طراحی شده و تنها به مباحث تئوری محدود نمی‌شود.

https://www.amazon.com/MAoS-Analysis-Steroids-Real-World-Engineering/dp/B0FQF2Z176

How an Attacker’s Blunder Gave Us a Rare Look Inside Their Day-to-Day Operations

در این وبلاگ، تیم Huntress گزارشی از یک اشتباه مهاجم ارائه می‌دهد که منجر به دسترسی به فعالیت‌های روزانه او شد.

Tweet:
https://x.com/huntresslabs/status/1965450929987031484?s=46

Blog:
https://www.huntress.com/blog/rare-look-inside-attacker-operation

#malware #threat

LockBit is down again —XOXO from Prague
LockBit's 5.0 panel just got wrecked

lockbitfbinpwhbyomxkiqtwhwiyetrbkb4hnqmshaonqxmsrqwg7yad.onion

#LockBit #Ransomware

ARM-32 Bit Assembly Basics Cheatsheet

This is a research paper and it shows that some Linux kernel hardening tricks accidentally create TLB side-channel leaks that let an unprivileged attacker find where critical kernel objects live, for example heap objects, page tables and kernel stacks. The authors use allocator shaping plus Evict+Reload-style TLB measurements and show practical results on recent Intel CPUs and kernels.

این یه مقالهٔ تحقیقاتیه که نشون می‌ده چندتا از مکانیزم‌های سخت‌سازی کرنل لینوکس به صورت ناخواسته الگوهای نشتی توی TLB درست می‌کنن و با این کار می‌شه آدرس اشیای حساس کرنل مثل ساختارهای heap، جداول صفحه و استک کرنل رو لو داد. روش‌شون ترکیبیه از دستکاری تخصیص‌دهنده‌ها و اندازه‌گیری‌های شبیه Evict+Reload روی TLB و تو آزمایش‌ها روی پردازنده‌های جدید اینتل و کرنل‌های مدرن کار کرده.


#kernel #linux

Requirements list.
To understand the article, you must be familiar with the headings in the file.

برای درک کامل مقاله
“WHEN GOOD KERNEL DEFENSES GO BAD: Reliable and Stable Kernel Exploits via Defense-Amplified TLB Side-Channel Leaks”،
باید با مفاهیم پایه‌ای و مرتبط آشنا باشید.
برای همین لیستی از نیازمندی‌هارو در فایل بالا نوشتم و هرپارت رو تاجایی که بلد باشم در روز‌های بعدی راجبش مینویسم و توضیحش میدم.

#linux #kernel

اگر علاقمندید به مطالعه عمیق در لینوکس، کتاب بالارو حتما بخونید.
برای کسانی که میخوان LinuxPostExploit کار کنن بشدت مفید خواهد بود.

100 Linux think you need to know

#kernel #linux

x86 Protection Rings Model

CPU Security Layers for Privilege Separation
In x86 architecture, Protection Rings divide code execution into 4 levels (from Ring 0 with highest CPL to Ring 3 with lowest) to prevent unauthorized access to sensitive resources. This model operates via segment denoscriptors in the GDT and privilege checks (e.g., DPL).

Ring 0 (Kernel Mode):
Full access to CPU and memory; manages scheduler, paging, and interrupts. Only trusted code executes here.

Ring 1 (Driver Mode):
Medium privilege for device drivers; access to I/O ports and DMA, but limited to secure transitions.

Ring 2:
Legacy and rare; for specific execution domains.

Ring 3 (User Mode):
User applications; restricted to non-privileged instructions and system calls (via SYSCALL/INT).


@GoSecurity
#os #linux #cpu #ring_model #privilege