Network Security Channel

#APT34 #Tesla #Agent #Phishing #Trojan اخیرا تحرکاتی از تیم #APT34 منتصب به ایران، رخ داده است که مبتنی بر آسیب پذیری قدیمی CVE-2017-11882 و CVE-2018-0802 اقدام به پخش ایمیل فیشینگ هایی با محتوای فایل xls و یک دانلودر بدافزار بوده است. اما در مرحله اجرا یک OLE اجرا میشود که دارای equation data است که در EQNEDT32.EXE به اجرا در آمده و از آسیب پذیری استفاده کرده و شلدکی را به اجرا در میاورد. شلکد اجرایی در اصل یک دانلودر و اجراگر بدافزار است که بواسطه تابع URLDownloadToFileW که یک تابع API است تماس گرفته شده و بدافزاری با نام chromium.exe دانلود شده و در %TEMP% با نام desHost.exe ذخیره میشود. اما فایل دانلودی یک بدافزار طراحی شده با DotNet است که کاملا مبهم سازی شده بواسطه IntelliLock و Net Reactor. بوده و مهاجم تمامی اسامی ها را مبهم ساخته است. اما درون این بدافزار مقادیر Encode شده ای قرار دارد که دارای پیلود برای Agent Tesla بوده که بصورت Encode و Compress در Resource Section قرار داده شده است. پیلود Agent Tesla با تکنیک Process Hollowing که یک تکنیک برای محافظت از پردازش بدافزار است. @Engineer_Computer

Why is .US Being Used to Phish So Many of Us? .US is overseen by the National Telecommunications and Information Administration (NTIA), an executive branch agency of the U.S. Department of Commerce. However, NTIA currently contracts out the management of the .US domain to GoDaddy, by far the world’s largest domain registrar. Under NTIA regulations, the administrator of the .US registry must take certain steps to verify that their customers actually reside in the United States, or own organizations based in the U.S. But Interisle found that whatever GoDaddy was doing to manage that vetting process wasn’t working. @Engineer_Computer

UK’s NCSC Warns Against Cybersecurity Attacks on AI But prompt injection attacks may also target the inner working of the AI and trigger vulnerabilities in its infrastructure itself. One example of such an attack has been reported by Rich Harang, principal security architect at NVIDIA. Harang discovered that plug-ins included in the LangChain library used by many AIs were prone to prompt injection attacks that could execute code inside the system. As a proof of concept, he produced a prompt that made the system reveal the content of its /etc/shadow file, which is critical to Linux systems and might allow an attacker to know all user names of the system and possibly access more parts of it. Harang also showed how to introduce SQL queries via the prompt. @Engineer_Computer

Key Group Ransomware Foiled by New Decryptor "Key Group ransomware uses CBC-mode Advanced Encryption Standard (AES) to encrypt files and sends personally identifiable information (PII) of victim devices to threat actors," the EclecticIQ team explained in a new report. "The ransomware uses the same static AES key and initialization vector (IV) to recursively encrypt victim data and change the name of encrypted files with the keygroup777tg extension". @Engineer_Computer

#Ransomware #Detection Using #Machine_Learning در مقاله ای از MDPI به موضوع نحوه تشخیص باج افزار مبتنی بر روش های تشخیص رفتار تهدید آمیز، مبتنی هوش مصنوعی پرداخته است. در روش های قدیمی مرسوم، عموما مکانیزم های EPP اقدام به تشخیص مبتنی بر امضا، تشخیص مبتنی بر ترسیم رفتار مخرب یا Behavioral-Patterns و روش های Heuristic-Based Scanning پرداخته شده است. حالا موضوعی به آن مبتنی بر هوش مصنوعی توجه شده است، بحث یاد گیری ماشین و ایجاد Dataset های بزرگ برای الگوریتم های یادگیری ماشین است. با توجه به اینکه منابع Dataset در اینجا نقش خوراک الگوریتم را میبایست بازی کند، وجود Dataset های با کیفیت و جامع بسیار در امر یادگیری ماشین، کمک خواهد کرد. این Dataset ها میبایست مدل های تشخیص آموزش دیده ای را به ماشین بدهند تا ماشین با تحلیل رفتار پردازش ها بتواند بهترین و دقیقا Pattern ای تشخیصی رو پایش کند. که در این صورت ماشین میتواند هر بار بسیار سریع تر متوجه یک رفتار غیر طبیعی از یک برنامه توجیه یا Legitimate را تشخیص داده و واکنش مطلوب را سریعا نشان دهد. https://www.mdpi.com/2504-2289/7/3/143 @Engineer_Computer

#Cybersecurity #US #Jobs #Offsec دو نکته از دو مقاله شرکت Offensive Security آمریکا در باب وضعیت مشاغل امنیت سایبری. تصویر بالا: بیش از 700.000 شغل امنیت سایبری در آمریکا نیاز است و سه میلیون نیروی متخصص در کل دنیا. تصویر پایین: حقوق متخصصین امنیت سایبری برابر است با حقوق معاون رئیس جمهور ایالات متحده، و حتی بیشتر از آن و تا سقف 330 هزار دلار در سال. 40.000 موقعیت شغلی امنیت سایبری هم در بخش دولتی نیاز است. @Engineer_Computer

پشتیبانی از Windows 11 تمام شد ‼️ ✍🏻 بله تیتر رو درست خوندید!! مایکروسافت طی اطلاعیه ای اعلام کرد Support از Windows 11 به پایان رسیده، البته برای نسخه اولیه یعنی 21H2 😳 کاربران نسخه های Home و Pro باید هرچه سریعتر به نسخه 22H2 آپدیت کنند،🗣 در غیر این صورت آخرین اپدیت امنیتی در تاریخ 21 مهر ماه همزمان با پایان پشتیبانی را دریافت خواهید کرد⚠️ پ ن: ولی هنوز تو شرکت هایی که میشناسم دستگاه های صنعتی شون چون قدیمی هست و گران ، با ویندوز XP و 7 کار میکنه فقط و برای کار با ویندوز جدید به دلیل مخاطرات امنیتی و ... باید دستگاه رو از 2000 به 2022 آپدیت کنند که آپدیت نمیکنن @Engineer_Computer

🖍چرخه مهم چارچوب امنیت 1⃣ شناسایی 2⃣ محافظت 3⃣تشخیص 4⃣ واکنش 5⃣ بازیابی @Engineer_Computer

⭕️ در پست های گذشته اشاره ای به مکانیزم PPL و جلوگیری از استخراج LSASS و البته ابزار و تکنیک PPLBLADE کرده شد.،به شرح آن میپردازم. در ابتدا باید بپرسیم که PPL چیست ؟ ‏Protected Process Light مکانیزمی است که از ویندوز 8.1 به بعد به ویندوز اضافه شده و وظیفه آن اجرا شدن سرویس ها و پروسه های معتبر با signature های داخلی و خارجی معتبر است. برای دور زدن آن ما با استفاده از درایور ابزار process explorer به نام PROCEXP152.sys ‏با استفاده از object، ‏PROCESS_ALL_ACCESS میتوانیم PPL را دور بزنیم. به طوری که با فراخوانی PROCEXP152.sys و استفاده از API هایی اعم از DeviceIoControl و MiniDumpWriteDump و استفاده از مبهم سازی فایل خروجی گرفته شده با الگوریتم XOR و یا انتقال آن به محلی دیگر تحت RAW و SMB اقدام به انجام این کار میکنیم. https://tastypepperoni.medium.com/bypassing-defenders-lsass-dump-detection-and-ppl-protection-in-go-7dd85d9a32e6 https://github.com/tastypepperoni/PPLBlade #RedTeam @Engineer_Computer

⭕️ یک محقق امنیتی اومده با تکنیک های #osint روی گروه آشیانه و dark coders کار کرده و عکسهای شخصی و تیمی این گروه ها و دامنه ها و لیست ایمیل و ایدی هاشون و اسمهایی که باهاشون دیفیس میزدند و لیست اعضایی که توی روزنامه ها و خبرهای مختلف منتشر میشده و کلی مبحث دیگه رو تحلیل و بصورت عمومی منتشر کرده یادش بخیر این گروه ها چقد باحالن عکسهاشون😁 https://ddanchev.blogspot.com/search?q=Ashiyane+&x=41&y=7 #osint @Engineer_Computer

⭕️ متاسفانه دیتای #تپسی در دارک وب هم درحال فروش است. https://twitter.com/FalconFeedsio/status/1698651954967097622?t=L2Dzg6DiOsIAxVQYdA77ew&s=19 @Engineer_Computer

اطلاعات 27 میلیون نفر از کاربران شرکت تپسی و شرکتهای بیمه البرز با ۱۹.۵ میلیون رکورد بیمه دانا با ۱۵.۵ میلیون رکورد بیمه معلم با ۱۰ میلیون رکورد بیمه سامان با ۹.۸ میلیون رکورد بیمه آتیه با ۱۱ میلیون رکورد بیمه نوین با ۷.۴ میلیون رکورد بیمه کارآفرین با ۸ میلیون رکورد بیمه دی با ۸.۷ میلیون رکورد بیمه میهن با ۵ میلیون رکورد بیمه ما با ۲.۸ میلیون رکورد بیمه آرمان با ۳ میلیون رکورد بیمه پارسیان با ۲.۷ میلیون رکورد بیمه سرمد با ۱.۸ میلیون رکورد بیمه تجارت با ۱.۵ میلیون رکورد بیمه تعاون با ۱.۶ میلیون رکورد بیمه معین با ۶.۱ میلیون رکورد بیمه امید با ۵۰۰ هزار رکورد بیمه حافظ با ۴۰۰ هزار رکورد بیمه کاریزما با ۳ هزار رکورد مجموعا بیش از ۱۱۵ میلیون رکورد اطلاعات شامل: نام، نام خانوادگی، تاریخ تولد، نام پدر، شماره تلفن/موبایل، شماره شناسنامه، کد ملی، کد ملی شرکت و ... هک شد! بیاید از مشکلاتی که برای بقیه پیش میاد درس بگیریم. پول خوب به امنیت کارا بدین تا امنیت شما در امان باشد !!

سامانه تپسی هک و اطلاعات ۲۷ میلیون مسافر و ۶ میلیون راننده درز پیدا کرده. اطلاعات شامل موارد زیر هستش نام و نام خانوادگی شماره تلفن کد ملی ایمیل آدرس مبدا و مقصد موقعیت جغرافیایی کد شهر آیدی مسافر ❌❌در آینده باید آمادگی لازم برای شنیدن خبر‌ کلاهبرداری‌های میلیون دلاری با این اطلاعات باشیم! ‌@Engineer_Computer

‏⭕️برای ذخیره پسورد های حساب ها از برنامه های متفاوتی استفاده میشه بعضی بر روی کلود هستند و بعضی لوکال. از ابزار هایی که به صورت لوکال نگهداری میکند ابزار Keepass هست که مدتی پیش آسیب پذیری هایی بر روی آن پیدا شد.در این پست یک سری نکاتی رو عنوان میکنم که ترجیحا رعایت کنیم بهتره. در ابتدا توصیه ای که میشود فایل دیتابیس پسورد ها را در درایور bitlocker قرار بدید و بعد از باز کردن برنامه درایور را قفل کنید و به هیچ عنوان از قابلیت auto unlock که از TMP برای باز گشایی درایور رمز شده، استفاده نکنید ( چند هفته گذشته گزارشی مبنی بر شکستن Bitlocker در لپتاپ لنوو اتفاق افتاد که خب بعید نیست در سیستم های دیگر هم امکان این باشه بالاخره همیشه پای side-channel ها وسط هست). مورد دوم سعی کنید از قابلیت کپی برنامه استفاده نکنید حتی با اینکه بعد از کپی از کلیپ بورد حذف میشود و تایپ کنید پسورد هاتون رو. مورد سوم بعد از اتمام کار حتما برنامه را قفل و یا ببندید در پس زمینه باز نباشد. مورد چهارم به ورژن 2.54 و یا جدید تر اپدیت کنید پسورد master را تغییر دهید ‏crash dump رو در C:\Windows\memory.dmp از بین ببرید فایل hibernation را از بین ببرید ‏pagefile/swapfile را از بین ببرید و البته فراموش نکنید که دوباره فعالش کنید البته میتونید هارد را overwrite کنید و ویندوز جدید نصب کنید جای همه این کار ها. https://github.com/vdohney/keepass-password-dumper #keepass #hardening @Engineer_Computer