𝗥 ‌ ‌ ‌ ‌𝗬 ‌ ‌‌ ‌ 𝗦 ‌‌ ‌ ‌ 𝗢 ‌ ‌‌ ‌ 𝗡

IN THE NAME OF DARK JUSTICE

سامانه‌های امنیت شبکه و میزبان:

امنیت EDR دقیقا مخفف Endpoint Detection & Response میتونم بگم یه راهکار امنیتیه که تو سطح میزبان همون endpoint هست و اینکه علاوه بر اینکه میتونه لاگ ها و رفتارای سیستم رو جمع اوری کنه ، قابلیت تحلیل پیشرفته و واکنش خودکار داره ، یکم اگر دقیق باشیم EDR معمولا حاوی behavioral analysis و threat hunting و incident response هست و تفاوتش با انتی‌ ویروس سنتی لوکال اینه که اقا فقط به امضا ها متکی نیستش و رفتار مشکوک رو هم بررسی میکنه
توی شل کد این پردازش های مشکوک و دسترسی به حافظه یا شبکه رو شناسایی و بلاک میکنه

رسیدیم به IDS که همون مخفف Intrusion Detection System هست و ببین میتونم بگم که یه نوع سامانه‌ ایه که نفوذ به ترافیک شبکه رو تشخیص میده و یا فعالیتای میزبان رو مانیتور میکنه و وقتی الگو های حمله مثل signature-based یا anomaly-based رو ببینه هشدار میده ، IDS یع حالت passive هم داره که و جلوی حمله را نمیگیره حالا بعدا میگم که تو کجا استفاده میشه
اگر شل کد از طریق شبکه با یه اکسپلویت تزریق بشه با الگو های شناخته شده ای که داره میتونه تشخیص بده ولی فقط هشدار میده نمیتونه جلوشو بگیره

ای پی اس IPS که مخففIntrusion Prevention System هست و بیین خیلی شبیه IDS هست ولی با قابلیت active prevention یعنی چی ؟ یعنی اقا به جز تشخیص نفوذ ، میتونه بسته‌ های مخرب رو هم drop بکنه یا ارتباط رو قطع بکنه یا rule جدید اعمال بکنه IPS معمولا inline تو مسیر ترافیک قرار میگیره ، ببین یکم از IDS میتونیم بگیم قوی تره
شل کد اگر زده بشه این بسته های حاوی شل کد رو حذف میکنه و نمیزاره که به endpoint برسه

𝗟 𝗲 𝗮 𝗿 𝗻 ‌ ‌ 𝗘 𝘅 𝗽 𝗹 𝗼 𝗶 𝘁
𝗥 ‌ ‌ ‌𝗬 ‌ ‌‌ 𝗦 ‌‌ ‌ 𝗢 ‌ ‌‌ 𝗡

امنیت نرم‌افزار و کد :

دفاع Code Signing ببین کد سیگنینگ از امضای دیجیتال برای تضمین authenticity و integrity نرم‌افزار استفاده میکنه و دولوپر با کلید پراویت خودش کد رو امضا میکنه و یوزر با کلید پاب خودش اون رو اعتبارسنجی میکنه و این کار نمیزاره کد مخرب اجرا بشه

نوع CFI که مخفف Control Flow Integrity هست که میتونیم بگیم نوعی تکنیکیه که توی سطح کامپایلر و زمان اجرا هست که جریان کنترل برنامه یا همون control flow graph رو چک میکنه حالا اگه ما بخوایم با حمله‌هایی مثل ROP مسیر اجرای برنامه را تغییر بدیم CFI جلوی اون‌ رو میگیره ولی بازم راه برای اجرا هست که میگم

مکانیزم‌ های دفاعی تو حافظه :

آقا رسیدیم به ASLR که به قاتل شل کد کلاسیک معروفه حالا مخفف همون Address Space Layout Randomization هست که بر میداره ادرس‌ های حافظه مثل stack, heap, libraries رو تو هر اجرای برنامه به صورت تصادفی تغییر میده که این کار حملاتی مثل buffer overflow و return-to-libc رو سخت میکنه اما غیرممکنه نه، داستانش هم اینه که ما نمیتونیم ادرس دقیق پیلود رو بزنیم

بریم سراغ Stack Canary
ببین استک کنری یه مقدار تصادفی که canary value بهش میگن رو قبل از return address توی stack قرار میده و اگه حمله stack buffer overflow بزنیم این مقدار تغییر میکنه و سیستم میفهمه که داستان چیه و جلوی اجرای مخرب رو میگیره

دپ ان ایکس بیت DEP / NX bit که اصلاح کاملش میشه Data Execution Prevention یه مکانیزمی تو سطح سخت‌افزار و سیستم‌عامله که بخش‌ هایی از حافظه مثل stack و heap رو غیرقابل اجرا میکنه ، NX bit تو CPU مشخص میکنه که یه صفحه حافظه فقط داده هستش و نمیتونه کد رو اجرا کنه ، و جلوی اجرای شل‌ کد گرفته میشه

𝗥 ‌‌ ‌ ‌ ‌𝗬 ‌ ‌ 𝗦 ‌‌ ‌‌ ‌ 𝗢 ‌ ‌‌ ‌ ‌ 𝗡

@LearnExploit

@MR_RYSON

𝗟 𝗲 𝗮 𝗿 𝗻 ‌ ‌ 𝗘 𝘅 𝗽 𝗹 𝗼 𝗶 𝘁
𝗥 ‌ ‌ ‌𝗬 ‌ ‌‌ 𝗦 ‌‌ ‌ 𝗢 ‌ ‌‌ 𝗡

حملات ROP
مخفف Return-Oriented Programming هست و حمله‌ایه که با سواستفاده از buffer overflow و تغییر آدرس بازگشت return address که قبلا صحبت کردبم انجام میشه حالا اینجا ما به‌ جای تزریق مستقیم شل‌کد، از قطعات کوچیک کد موجود تو باینری یا کتابخونه‌ ها استفاده میکنیم ، اسم این قطعات gadgets هست و معمولا با دستور ret تموم میشن ، و قشنگی کار اینه که این مخصوص دور زدن مکانیزم‌ هایی مثل DEP/NX bit که جلوی اجرای کد تزریق‌شده رو میگیرن هست و با کنار هم گذاشتن gadgets میتونیم عملیات پیچیده و حتی محاسبات کامل Turing-complete رو انجام بدیم

حمله یBROP همون Blind Return-Oriented Programming
ببین این حمله نسخه‌ی پیشرفته تره حمله ی ROP هست و از اون قوی تره ما حتی بدون داشتن باینری هدف میتونیم exploit بسازیم حالا چطوری ؟ از طریق stack reading مقدار stack canary و ادرس‌ ها رو راحت میشه حدس زد و با استفاده از crash یا ادامه اجرای سرویس مقدار درست رو پیدا میکنیم بعدش هم با پیدا کردن stop gadgets و write syscall، باینری رو از حافظه به سمت خودمون dump می کنیم بعد از اون میتونیم مثل ROP معمولی زنجیره بسازیم و کنترل کامل سیستم را بگیریم ، و بیشتر مخصوص سرویس‌های شبکه‌ ای هست که بعد از crash دوباره اجرا می‌شوند مثل nginx یا MySQL

حمله ی Jump-Oriented Programming که به JOP معروفه ، این حمله یه کلاس جدید از حملات code-reuse هست که برای دور زدن دفاع‌ های ضد ROP ساخته شده حالا فرقش با ROP چیه ؟ ROP هر gadget با دستور ret تموم میکنه ولی تو JOP به‌ جای ret از پرش‌های غیرمستقیم نثل jmp [reg] یا مشابه استفاده میشه ، روش هم به این صورته که یه dispatcher gadget وجود داره که وظیفه داره که اجرای برنامه را بین gadgets مختلف هدایت بکنه ، هر gadget یه عملیات ساده انجام میده مثل اپلود مقدار تو رجیستر و با زنجیره‌ سازی این پرش‌ها، ما میتونیم مثل ROP عملیات پیچیده انجام بدیم‌ و خوبیش اینه که چون به ret وابسته نیست، بسیاری از دفاع‌ های مبتنی بر تشخیص الگوهای return رو دور میزنه

و رسما میتونم بگم BROP الان از همشون قوی تره ،چه از لحاظ مخفی سازی چه قدرت اجرا و چه جدید بودن کلا الان بهترین روش برای اجرای کد همین حمله هستش

𝗟 𝗲 𝗮 𝗿 𝗻 ‌ ‌ 𝗘 𝘅 𝗽 𝗹 𝗼 𝗶 𝘁
𝗥 ‌ ‌ ‌𝗬 ‌ ‌‌ 𝗦 ‌‌ ‌ 𝗢 ‌ ‌‌ 𝗡

از حمله ی COP شروع میکنم که مخفف شده ی Call-Oriented Programming هست و
این حمله شبیه ROP هست ولی به‌ جای استفاده از دستور ret، از توابع موجود توی باینری یا کتابخونه ها به‌ صورت مستقیم استفاده میکنه ، ببین به صورت کلی زنجیره ای از فراخونی توابع ساخته میشه که می‌تونه عملیات پیچیده انجام بده و محدودیت‌های ROP رو دور بزنه

حمله ی COOP مخفف شده ی Counterfeit Object-Oriented Programming هست و این حمله مخصوص برنامه‌ های شی‌ گراست یعنی چی ؟ یعنی ما میتونیم با سواستفاده از اشیاعه جعلی همون counterfeit objects و متدهای مجازی virtual methods، جریان اجرای برنامه رو کنترل کنیم و در اصل به‌ جای gadgets که مبتنی بر ret هست ، از جدول‌های vtable و متد های کلاس‌ ها برای اجرای کد دلخواه استفاده کنیم

حمله ی SROP مخفف Sigreturn-Oriented Programming
این حمله از مکانیزم سیگنال توی سیستم‌ عامل سواستفاده میکنه حالا ما میتونیم یه فریم جعلی سیگنال روی استک قرار بدیم و با اجرای sigreturn میتونیم رجیستر ها رو به مقادیر دلخواهمون تغییر بدیم این روشم اجازه میده که بدون نیاز به gadgets زیاد، کنترل کامل روی رجیسترها داشته باشیم

حمله ی DOP مخفف Data-Oriented Programming
برخلاف ROP یا JOP که جریان کنترل رو تغییر میدن، این حمله روی داده‌ها تمرکز داره. مهاجم با تغییر داده‌های حساس در حافظه و استفاده از توابع قانونی برنامه، می‌تونه عملیات مخرب انجام بده بدون اینکه جریان کنترل تغییر کنه. این حمله شناسایی رو سخت‌تر می‌کنه

حمله ی DROP که مخفف Dynamic Return-Oriented Programming هست و میتونیم بگیم که این همون نسخه‌ی پیشرفته‌ تر ROP هست که زنجیره ی gadgets به‌ صورت پویا تو زمان اجرا ساخته میشه و حالا این باعث میشه دفاع‌ هایی مثل ASLR سخت‌ تر بتونن جلوی حمله رو بگیرن چون زنجیره ثابت نیست و تو هر بار اجرا شدن تغییر می‌کنه🤣

حمله یJIT-ROP مخفف Just-In-Time ROP هست که این حمله با ترکیب تکنیک‌ های JIT compilation و ROP انجام میشه ما میتونیم تو زمان اجرا gadgets رو کشف کنیم و زنجیره رو بسازیم و این روش مخصوص دور زدن دفاع‌ هایی مثل CFI هست چون زنجیره به‌ صورت لحظه‌ای ساخته میشه و قابل پیش‌بینی نیست

حمله ی Return-to-libc که یکی از قدیمی‌ترین حملات code-reuse هستش و به‌ جای تزریق کد میتونیم ادرس توابع کتابخونه‌ ی استاندارد مثل system() رو روی استک قرار بدیم و با پارامتر مناسب مثلا /bin/sh، اجرای شل رو به دست بیاریم و این روش برای دور زدن DEP/NX خیلی استفاده میشه

حملات Heap Spraying همون HS این تکنیک بیشتر توی مرورگر ها و محیط‌های جاوااسکریپت دیده میشه که ما میتونیم حجم زیادی از داده ی مخرب رو توی heap پخش کنیم تا احتمال اینکه ادرس پرش به داده‌ ی مخرب بخوره بالا بره 😂این روش رو خیلی برای آماده سازی اکسپلویت به کار میبرن

و در اخر حمله ی Heap Feng Shui که میتونیم بگیک ی تکنیک پیشرفته برای مدیریت و چینش حافظه heap هست و میتونیم با تخصیص و ازاد سازی دقیق بلوک‌های حافظه، ساختار heap رو به شکلی تنظیم کنیم که داده‌ های مخرب تو جای مناسب قرار بگیرن و این کار موفقیتش توی حمله‌ های مبتنی بر heap خیلی زیاده

برای PC :
بهترین حملاتی که تو 2026 کار بکنه و مخفی سازی بالایی داشته باشه و بیشترین بای پس از مکانیزم های دفاعی داشته باشه و بیشترین احتمال اجرا رو داشته باشه حملاته:
حملات COOP و JIT-ROP هست

و برای اندروید :
حملات ROP و JOP و Heap feng Shui هست

یا رب مباد انکه گدا معتبر شود

گدایی که یکساله از صفر ، صد پله مرتفع شود !