#History #Security

👨‍👦‍👦تفاوت محقق و مجرم سایبری را جدی بگیرید.

جاناتان جیمز (Jonathan James) با نام مستعار c0mrade در ۱۵ سالگی توانست به سیستم‌های ناسا و حتی یک سیستم تسلیحاتی پنتاگون نفوذ کند (۱۹۹۹). این نفوذ باعث شد ناسا برای ۲۱ روز بخشی از سیستم‌های خود را از مدار خارج کند. او در نهایت، به‌عنوان یک نوجوان، به حبس خانگی و آزادی مشروط محکوم شد.

با اینکه نیت تخریب نداشت، اما از نظر قانونی عمل او جرم سایبری محسوب شد، نه تحقیق مجاز امنیتی. همین موضوع نشان می‌دهد که یک محقق امنیتی واقعی فقط در چارچوب‌های قانونی و با دریافت مجوز فعالیت می‌کند، در غیر این صورت، حتی بدون نیت آسیب زدن، وارد قلمرو جرم می‌شود.

جاناتان سال‌ها بعد، در حالی که دوباره درگیر تحقیقات جداگانه‌ای بود، در سال ۲۰۰۸ به شکلی غم‌انگیز جان خود را از دست داد.

روایت کامل فراز و فرود زندگی جاناتانو چالش‌هایی که با آن روبه‌رو شد، سوءظن‌هایی که به او وارد شد و اینکه در بسیاری از موارد بی‌گناه بود، به‌صورت فارسی و با ترجمه‌ی NotebookLM قابل شنیدن است.

🦅 کانال بایت امن | گروه بایت امن
_

#Tools #EDR

اخیرا ابزاری جدید که با زبان Rust توسعه داده شده، توجه زیادی جلب کرده چون یک رفتار کمتر‌ شناخته‌شده در Windows API را هدف قرار می‌دهد و نشان می‌دهد که چطور بعضی مکانیزم‌های EDR ممکن است از زاویه‌هایی دور زده شوند که کمتر به آن‌ها پرداخته شده است.

این ابزار که با نام Indirect-Shellcode-Executor معرفی شده، به جای استفاده از توابع رایج و قابل‌ردیابی، از قابلیت‌های ReadProcessMemory بهره می‌گیرد. تابعی که در ظاهر تنها برای خواندن حافظه یک پردازش طراحی شده، اما پارامترهای آن از جمله خروجی lpNumberOfBytesRead می‌تواند در سناریوهای پژوهشی مورد توجه قرار بگیرد.

🦅 کانال بایت امن | گروه بایت امن
_

#Tools #ReverseEngineering

ابزار DriversHunterWindowsCatalog برای پیدا کردن درایورها در Microsoft Update Catalog ساخته شده که به‌صورت خودکار جستجو می‌کنه، نتایج رو فیلتر می‌کنه، پکیج‌های درایور رو دانلود می‌کنه، CABها رو Extract می‌کنه و فایل‌های WDM (.sys) رو جمع‌آوری می‌کنه.

حالا اینکار چه فایده ایی داره ؟

می‌تونید اون‌ها رو داخل Ghidra یا IDA باز کنید و بخش‌های جالب مثل opcodeها یا IOCTLهای ناامن رو تحلیل کنید.

پلاگین های مرتبط رو هم از داخل توضیحات ریپو میتونید دریافت کنید

🦅 کانال بایت امن | گروه بایت امن
_

#Article #Kernel

اگر دنبال یک منبع سریع، قابل‌فهم و درست‌حسابی برای درک کرنل لینوکس هستید، این ریپو دقیقا همون چیزیه که باید سراغش برید.

این مجموعه قرار نیست به شما نوشتن کد کرنل رو یاد بده. تمرکزش روی اینه که کرنل لینوکس چطور فکر می‌کنه و پشت هر بخش چه منطقی جریان داره و این درک با نگاه مستقیم به سورس‌کد واقعی هر قسمت به‌دست میاد.

مسیر مطالعه از پایه‌ترین مفاهیم شروع می‌شه و قدم‌به‌قدم یک مدل ذهنی درست از معماری و رفتار کرنل می‌سازه:

بخش اول: درک ساختار و طرز فکر کرنل قبل از دیدن حتی یک خط کد
بخش دوم: پایه‌های سیستم و معماری زیرساخت
بخش سوم: حافظه، ایزولیشن، امنیت و enforce کردن قوانین
بخش چهارم: فرآیند بوت، init و نحوه ورود سیستم به کرنل
بخش پنجم: ورود واقعی به کرنل و مراحل اجرای اولیه
بخش ششم: مفهوم execution context و رفتارهای مختلف کرنل
بخش هفتم: نحوه ارتباط و همکاری اجزای داخلی کرنل
بخش هشتم: زمان‌بندی، I/O و اصول مجازی‌سازی
بخش نهم: جمع‌بندی و نکات کلیدی پایانی

ترکیب توضیحات مفهومی + سورس‌کد واقعی، این ریپو رو به یکی از بهترین منابع برای فهم عمیق کرنل لینوکس تبدیل کرده

🦅 کانال بایت امن | گروه بایت امن
_

#Article #Kernel

The Kernel in the Mind - Understanding Linux Kernel Before Code

این هم مقاله کامل پست قبلی به صورت PDF

🦅 کانال بایت امن | گروه بایت امن
_

#Video #MalwareAnalysis

❕Defeating ConfuserEx Anti-Analysis with Hooking

وقتی درباره پکرها یا پروتکتورها صحبت می‌کنیم، یک بخش ماجرا استفاده مشروع برای امن‌کردن نرم‌افزارهاست و بخش دیگر استفاده آن‌ها توسط بدافزارها برای مخفی‌سازی و جلوگیری از تحلیل است.

یکی از پروتکتورهای رایج در بدافزارهای مبتنی بر ‎.NET‎، ابزار ConfuserEx است. به‌خاطر متن‌باز بودن آن، نسخه‌های مختلفی از روی آن fork شده که هرکدام رفتار و تکنیک‌های متفاوتی دارند و همین باعث می‌شود روش‌های ثابت یا خودکار برای آنپک کردن همیشه کارآمد نباشد.

در این ویدیو، Karsten Hahn به‌خوبی نشان می‌دهد که چطور می‌توان با استفاده از نوشتن هوک، رفتار بدافزار را تحلیل کرد، مکانیزم‌های ضدتحلیل را دور زد و در نهایت یک Deobfuscator اختصاصی توسعه داد و اینکار رو با تغییر در Deobfuscator رسمی ConfuserEx انجام میده.

جهت دریافت نمونه بد افزار به این لینک برید و برای بررسی Deobfuscator به این لینک.

🦅 کانال بایت امن | گروه بایت امن
_

این هم میز الکترونیک مورد علاقه‌مه. تقریبا هر شب بهش فکر می‌کنم تا ببینم تو این فضای محدود اتاق کارم چطور می‌تونم ازش ایده بگیرم.

🦅 کانال بایت امن | گروه بایت امن
_

#Note #PE #MalwareAnalysis

گاهی وقت‌ها برای تحلیل یک باینری، اولین قدم پیدا کردن رشته‌هاست چه با Static Analysis، چه با Dynamic Analysis.

اگر با ساختار PE آشنا باشیم، این رشته‌ها معمولا کجا پیدا می‌شوند ؟ در سکشن ها و دایرکتوری ها.

سکشن rdata.
شامل رشته‌های ثابت و Read-Only مثل پیام‌های خطا، متن‌های ثابت، اسم توابع و… .

سکشن data.
محل ذخیره‌ی رشته‌هایی که برنامه می‌تواند در طول اجرا تغییرشان بدهد. (Writable)

دایرکتوری Import Table
اسامی DLLها و توابعی که باینری به آن‌ها وابسته است همین‌جا ذخیره می‌شود.

دایرکتوری Export Table
در مورد DLLها، نام توابع یا نمادهایی که Export شده‌اند از این قسمت قابل استخراج است.

سکشن Resource (.rsrc)
شامل متادیتا، دیالوگ‌ها، اطلاعات نسخه، آیکون‌ها و سایر منابعی که معمولا رشته‌های قابل مشاهده در آن‌ها قرار دارد.

سکشن Debug.
اگر Strip نشده باشند، ممکن است مسیر فایل‌های سورس، کامنت‌ها یا اطلاعات Build را در خود داشته باشند. برای همین هست که پروتکتوری مثل VMProtect یک گزینه جدا برای این مورد دارد.

و اما سکشن BSS., شامل متغیرهای مقداردهی‌نشده (Uninitialized Data) است یعنی متغیرهایی که فقط تعریف شده‌اند ولی هنگام کامپایل مقدار اولیه ندارند. فقط به اندازه‌ی طول متغیر حافظه رزرو می‌کند و محتوایش در فایل PE وجود ندارد.

حالا خودتون در مورد idata. و edata. جستجو کنید چون این بخش های غیر مستقیم به موضوع رشته ها مربوط هستند.

🦅 کانال بایت امن | گروه بایت امن
_

#CTF #ReverseEngineering #Exploiting

💠iOS Application Exploitation Challenges

اگر به دنیای آسیب‌پذیری‌های iOS علاقه دارید، یه مجموعه عالی وجود داره که مخصوص تمرین و چالش در زمینه اکسپلویت و مهندسی معکوس iOS ساخته شده.

این مجموعه مناسب کساییه که توی یکی از این حوزه‌ها فعالیت دارن:
متخصص‌های امنیت iOS
بچه‌های باگ‌بانتی
متخصصین امنیت
توسعه دهندگان iOS

چالش‌ها در سطح‌های مختلف طراحی شدن و در مجموع ۱۳ چالش جذاب رو شامل می‌شن. کاملا رایگانه و می‌تونید هر زمان بخواید وارد چالش‌ها بشین و مهارت‌هاتونو تقویت کنید.

🦅 کانال بایت امن | گروه بایت امن
_

#Tools #SecureByte

همه‌چیز از یک ایده شروع شد | ۲۰۱۶

از علاقه‌ام به ویژوال افکت و داینامیک، زمانی که با Maya کار می‌کردم، ایده‌ای به ذهنم رسید که مسیر جدیدی برام ساخت:

طراحی یک سیستم محافظت از اسکریپت‌ها و پلاگین‌های Autodesk.

✅ اولین تست‌ها روی این موارد انجام شد:

سازگاری با تمامی نسخه های Maya & 3ds Max
با پشتیبانی کامل از MEL و Python

چیزی که اون روز فقط یک تست ساده بود، سال هاست با یک نام تجاری جدید، به عنوان یکی از محصولات زیرمجموعه بایت امن، در کنار سایر نرم‌افزارهای امنیتی این مجموعه قرار گرفته.

🦅 کانال بایت امن | گروه بایت امن
_

#Podcast #EDR

قسمت ۲۰ مجموعه پادکست پشت صحنه باینری با حضور Pavel Yoaovich به عنوان مهمان

موضوع این پادکست :
به زبان ساده: درباره جزئیات فنی هسته ویندوز و پیشرفت‌های امنیتی مثل VBS و EDR است.

طراحی و معماری هسته (Kernel) ویندوز

نحوه عملکرد و طراحی EDR ها (Endpoint Detection and Response)

تغییرات امنیتی در ویندوز در جهت استفاده از Virtualization-Based Security (VBS)

اینکه چرا و چگونه مایکروسافت دارد به سمت استفاده بیشتر از VBS می‌رود تا امنیت سیستم بهتر شود


🦅 کانال بایت امن | گروه بایت امن
_

#Tools

پروژه‌ای که توسط یکی از دانشجوهای دوره برنامه‌نویسی تهاجمی توسعه داده شده

پلاگین PEB-Manipulator یک پلاگین برای x64dbg است که امکان بررسی (Inspect) و دست‌کاری (Manipulate) ساختار Process Environment Block (PEB) در پروسس را فراهم می‌کند.

قابلیت‌های PEB-Manipulator

خواندن فیلدهای کلیدی PEB:
BeingDebugged
NtGlobalFlag
ProcessParameters
CommandLine

پچ کردن چک‌های رایج Anti-Debug مبتنی بر PEB
نمایش آرگومان‌های خط فرمان پروسس به‌صورت argv-style
پشتیبانی از پروسس های هدف x86 (32-bit) و x64 (64-bit)
پیاده‌سازی تمیز و مینیمال مبتنی بر Win32 API
تشخیص خودکار معماری پروسس داخل x64dbg

🦅 کانال بایت امن | گروه بایت امن
_