#WASM #Browser #Exploitation
در کنفرانس BlackHat 2024 آمریکا، ارائه ای در خصوص کشف آسیب پذیری باینری از موتور پیاده سازی Web Assembly ارائه شد که روش شناسی های جدیدی رو در این حوزه مطرح میکند.
محققین اعلام میکنند در مرورگرهای مدرن امروزی مانند Chrome و Safari، استفاده از ساختار Web Assembly در زبان Javascript این امکان رو خواهد داد تا مهاجمین در زمان Build Proccess اقدام به ایجاد یک سردرگمی نوع داده بکنند که ظرفیت اسپری Shellcode مخرب را داده و موجب اجرای کد در حافظه مرورگر میشود.
بطور خلاصه ماجرا از این قرار است که جریان اجرا در WASM به 3 حالت کلی برمیگرده، اول Runtime Build دوم ByteCode Execution سوم External Interaction که در حالت Runtime Build دو آسیب پذیری باینری کشف شده تا کنون، از Bytecode Exec نیز دو آسیب پذیری سردرگمی نوع داده و خواندن و نوشتن بیرون از باند رخ داده است.
در اثر استفاده WASM از Wrapper JS برای تغییر Context مثلا یک تابع، ظرفیت ایجاد یک آسیب پذیری سردرگمی نوع داده بوجود خواهد آمد.
بقیه ماجرا در مقاله...
@Engineer_Computer
در کنفرانس BlackHat 2024 آمریکا، ارائه ای در خصوص کشف آسیب پذیری باینری از موتور پیاده سازی Web Assembly ارائه شد که روش شناسی های جدیدی رو در این حوزه مطرح میکند.
محققین اعلام میکنند در مرورگرهای مدرن امروزی مانند Chrome و Safari، استفاده از ساختار Web Assembly در زبان Javascript این امکان رو خواهد داد تا مهاجمین در زمان Build Proccess اقدام به ایجاد یک سردرگمی نوع داده بکنند که ظرفیت اسپری Shellcode مخرب را داده و موجب اجرای کد در حافظه مرورگر میشود.
بطور خلاصه ماجرا از این قرار است که جریان اجرا در WASM به 3 حالت کلی برمیگرده، اول Runtime Build دوم ByteCode Execution سوم External Interaction که در حالت Runtime Build دو آسیب پذیری باینری کشف شده تا کنون، از Bytecode Exec نیز دو آسیب پذیری سردرگمی نوع داده و خواندن و نوشتن بیرون از باند رخ داده است.
در اثر استفاده WASM از Wrapper JS برای تغییر Context مثلا یک تابع، ظرفیت ایجاد یک آسیب پذیری سردرگمی نوع داده بوجود خواهد آمد.
بقیه ماجرا در مقاله...
@Engineer_Computer
تحلیل بد افزار
گزارش اسپلانک
https://www.splunk.com/en_us/blog/security/cracking-braodo-stealer-analyzing-python-malware-and-its-obfuscated-loader.html
@Engineer_Computer
گزارش اسپلانک
https://www.splunk.com/en_us/blog/security/cracking-braodo-stealer-analyzing-python-malware-and-its-obfuscated-loader.html
@Engineer_Computer
Splunk
Cracking Braodo Stealer: Analyzing Python Malware and Its Obfuscated Loader | Splunk
The Splunk Threat Research Team break down Braodo Stealer's loader mechanisms, obfuscation strategies, and payload behavior.
https://www.sentinelone.com/cybersecurity-101/cybersecurity/bootkit/
@Engineer_Computer
Please open Telegram to view this post
VIEW IN TELEGRAM
SentinelOne
What is a Bootkit? Detection and Prevention Guide
Learn what a bootkit is, how it compares to rootkits, and explore detection, prevention, and removal techniques to safeguard your system.
https://github.com/An0nUD4Y/AV-EDR-Lab-Environment-Setup
@Engineer_Computer
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - An0nUD4Y/AV-EDR-Lab-Environment-Setup: AV/EDR Lab environment setup references to help in Malware development
AV/EDR Lab environment setup references to help in Malware development - An0nUD4Y/AV-EDR-Lab-Environment-Setup
حالا که خیلی ها درحال دور زدن EDR هستند قبل از خواب این را بخوانید
https://labs.withsecure.com/publications/spoofing-call-stacks-to-confuse-edrs
@Engineer_Computer
https://labs.withsecure.com/publications/spoofing-call-stacks-to-confuse-edrs
@Engineer_Computer
Withsecure
Spoofing Call Stacks To Confuse EDRs
Call stacks are an understated yet often important source of telemetry for EDR products.
استراتژی مهم
برای بار چندم :
🟥 انتخاب نوع سیستم عامل( ویندوز ، لینوکس و مک) حتی نسخه ی آن ؛ بایستی در خط مشی سازمان مشخص و طبق نظر واحد امنیت باشد. لذا نباید از هر سیستم عاملی در سازمان استفاده شود!!
✅️ دلیل :
بسیاری از خط مشی ها ، ابزار ها و کنترل های امنیتی وابسته به نسخه و نوع سیستم عامل هستند و شاید باید نوع و نسخه سیستم عامل با توجه به نوع استفاده و فناوری موجود در سازمان مشخص و تایید شده باشد. وگرنه ریسک های متنوعی بر سازمان اعمال خواهد شد.
🎯 برای مثال : برای برخی نسخه های سیستم عامل ویندوز هنوز بطور کامل امکان فارنزیک حافظه وجود ندارد یا برخی نسخه ها و انواع سیستم عامل لینوکس امکان نصب agent لاگ گیری را ندارند
همچنین در محیط لینوکس قابلیت های آنتی ویروس ها و DLP ها بشدت کاهش میابد
لذا
🔴 بدلیل ریسکهای امنیتی؛ با هرگونه تنوع و بی ضابطگی در حوزه سیستم عامل بشدت مقابله کنید و فضا را با تعامل با ذینفعان، مدیریت نمایید.
پی نوشت : همین دیشب درگیر IR موضوعی بودیم که با توجه به اینکه موارد فوق رعایت نشده بود، مساله قابل حل نشد.
@Engineer_Computer
برای بار چندم :
🟥 انتخاب نوع سیستم عامل( ویندوز ، لینوکس و مک) حتی نسخه ی آن ؛ بایستی در خط مشی سازمان مشخص و طبق نظر واحد امنیت باشد. لذا نباید از هر سیستم عاملی در سازمان استفاده شود!!
✅️ دلیل :
بسیاری از خط مشی ها ، ابزار ها و کنترل های امنیتی وابسته به نسخه و نوع سیستم عامل هستند و شاید باید نوع و نسخه سیستم عامل با توجه به نوع استفاده و فناوری موجود در سازمان مشخص و تایید شده باشد. وگرنه ریسک های متنوعی بر سازمان اعمال خواهد شد.
🎯 برای مثال : برای برخی نسخه های سیستم عامل ویندوز هنوز بطور کامل امکان فارنزیک حافظه وجود ندارد یا برخی نسخه ها و انواع سیستم عامل لینوکس امکان نصب agent لاگ گیری را ندارند
همچنین در محیط لینوکس قابلیت های آنتی ویروس ها و DLP ها بشدت کاهش میابد
لذا
🔴 بدلیل ریسکهای امنیتی؛ با هرگونه تنوع و بی ضابطگی در حوزه سیستم عامل بشدت مقابله کنید و فضا را با تعامل با ذینفعان، مدیریت نمایید.
پی نوشت : همین دیشب درگیر IR موضوعی بودیم که با توجه به اینکه موارد فوق رعایت نشده بود، مساله قابل حل نشد.
@Engineer_Computer
👍1
یک شروع خوب برای درگیر شدن با اتمیک تست
https://detect.fyi/atomic-test-creation-easiest-with-atomicgen-io-a4a4ec8cd9a9
@Engineer_Computer
https://detect.fyi/atomic-test-creation-easiest-with-atomicgen-io-a4a4ec8cd9a9
@Engineer_Computer
Medium
Atomic Test Creation: Easiest with AtomicGen.io
If you’re in cybersecurity, you’ve probably come across Atomic Red Team. It’s a popular tool for simulating adversary techniques. Whether…
Practical LLM Security.pdf
3 MB
پاور پوینت های امنیت LLM
@Engineer_Computer
@Engineer_Computer
نیاز به مهندسی جریان داده در سازمان قبل از راه اندازی SIEM
https://detect.fyi/why-you-need-data-engineering-pipelines-before-an-enterprise-siem-0be553584aa9
@Engineer_Computer
https://detect.fyi/why-you-need-data-engineering-pipelines-before-an-enterprise-siem-0be553584aa9
@Engineer_Computer
Medium
Why you need Data Engineering Pipelines before an enterprise SIEM
By this time you've probably heard "Data is the new oil," right? So why are still so many detection engineers dealing with log data in its…
توصیه میکنم بخوانید
https://posts.specterops.io/code-signing-certificate-cloning-attacks-and-defenses-6f98657fc6ec
@Engineer_Computer
https://posts.specterops.io/code-signing-certificate-cloning-attacks-and-defenses-6f98657fc6ec
@Engineer_Computer
Medium
Code Signing Certificate Cloning Attacks and Defenses
Before reading this post, ponder the following question: “What does it actually mean to you for something to be signed by Microsoft (or any…