GraphQL
🔹 فناوری GraphQL یک جایگزین عالی برای API های REST است و باید به درستی پیاده سازی شود. این فناوری به غیر از عدم احراز هویت در نقاط پایانی پیش فرض می تواند در برابر سایر اشکالات مانند IDOR آسیب پذیر باشد. بنابراین در طراحی خود پس از مشخص شدن نقطه پایانی GraphQL ، مطمئن شوید که آیا آنها احراز هویت را انجام داده اید یا خیر.
ادامه مطلب : API Hacking GraphQL
#GraphQL
#REST_API
#Vulnerability
#query
🇮🇷 @SpadSec
🔹 فناوری GraphQL یک جایگزین عالی برای API های REST است و باید به درستی پیاده سازی شود. این فناوری به غیر از عدم احراز هویت در نقاط پایانی پیش فرض می تواند در برابر سایر اشکالات مانند IDOR آسیب پذیر باشد. بنابراین در طراحی خود پس از مشخص شدن نقطه پایانی GraphQL ، مطمئن شوید که آیا آنها احراز هویت را انجام داده اید یا خیر.
ادامه مطلب : API Hacking GraphQL
#GraphQL
#REST_API
#Vulnerability
#query
🇮🇷 @SpadSec
✨ Automate WAF Bypass with Burp
در اوایل این هفته مقاله ای از یک محقق امنیتی Fortify را خواندم که روشی بسیار ساده و مؤثر برای دور زدن برخی فایروال های برنامه وب (WAF) ارائه کرده بود. "این مقاله را می توان در اینجا یافت". بعد از خواندن این مقاله، پیکربندی Burp را به روز رسانی کردم تا به طور خودکار از این نقص در طراحی استفاده کنم و فکر کردم که این روش کارآمد را با خوانندگانم به اشتراک بگذارم (اگر مدتی از Burp استفاده کرده اید ، احتمالاً می دانید که چگونه این کار را انجام دهید)
ادامه مطلب : Automate WAF Bypass with Burp
#WAF_Bypass
#burp_suite
🇮🇷 @SpadSec
در اوایل این هفته مقاله ای از یک محقق امنیتی Fortify را خواندم که روشی بسیار ساده و مؤثر برای دور زدن برخی فایروال های برنامه وب (WAF) ارائه کرده بود. "این مقاله را می توان در اینجا یافت". بعد از خواندن این مقاله، پیکربندی Burp را به روز رسانی کردم تا به طور خودکار از این نقص در طراحی استفاده کنم و فکر کردم که این روش کارآمد را با خوانندگانم به اشتراک بگذارم (اگر مدتی از Burp استفاده کرده اید ، احتمالاً می دانید که چگونه این کار را انجام دهید)
ادامه مطلب : Automate WAF Bypass with Burp
#WAF_Bypass
#burp_suite
🇮🇷 @SpadSec
✨ دور زدن فایروال های وب اپلیکیشن با استفاده از هدرهای HTTP
(Bypassing web application firewalls using HTTP headers)
🔹 فایروال های وب اپلیکیشن (WAF’s) بخشی از متدولوژی های دفاع در عمق برای برنامه های وب هستند در حالی که می دانیم ایمنی کدها را تضمین نمی کنند با این حال گزینه های بسیار خوبی برای فیلتر ورودی های مخرب ارائه می دهند. در ادامه مطالب، یک ارزیابی واقعی وجود دارد که استقرار سازمانی چنین دستگاهی در برابر دور زدن آسیب پذیری را آنالیز می کند. آسیب پذیری می تواند از یک طراحی بد و یا پیکربندی نادرست نشات بگیرد و برای مهاجمان بسیار مفید واقع شود.
ادامه مطلب : Bypassing web application firewalls
#Bypassing_web
#Bypass
#firewall
🇮🇷 @SpadSec
(Bypassing web application firewalls using HTTP headers)
🔹 فایروال های وب اپلیکیشن (WAF’s) بخشی از متدولوژی های دفاع در عمق برای برنامه های وب هستند در حالی که می دانیم ایمنی کدها را تضمین نمی کنند با این حال گزینه های بسیار خوبی برای فیلتر ورودی های مخرب ارائه می دهند. در ادامه مطالب، یک ارزیابی واقعی وجود دارد که استقرار سازمانی چنین دستگاهی در برابر دور زدن آسیب پذیری را آنالیز می کند. آسیب پذیری می تواند از یک طراحی بد و یا پیکربندی نادرست نشات بگیرد و برای مهاجمان بسیار مفید واقع شود.
ادامه مطلب : Bypassing web application firewalls
#Bypassing_web
#Bypass
#firewall
🇮🇷 @SpadSec
✨ پست اینستاگرامی وزیر ارتباطات
وزیر ارتباطات امشب در پست اینستاگرامی خود از استعلام مبالغی که شرکت های ارزش افزورده از کاربران دریافت کرده اند خبر داد. با شماره گیری #6*800* می توانید از میزان مبالغی که در طی این چند سال از شما اخذ گردیده مطلع شوید و شکایات خود را از طریق پیامک به 8007 ارسال کنید.
پ ن پ : جناب ...! چی رو درست کردید که این اولیش باشه 🤦♂️
🇮🇷 @SpadSec
وزیر ارتباطات امشب در پست اینستاگرامی خود از استعلام مبالغی که شرکت های ارزش افزورده از کاربران دریافت کرده اند خبر داد. با شماره گیری #6*800* می توانید از میزان مبالغی که در طی این چند سال از شما اخذ گردیده مطلع شوید و شکایات خود را از طریق پیامک به 8007 ارسال کنید.
پ ن پ : جناب ...! چی رو درست کردید که این اولیش باشه 🤦♂️
🇮🇷 @SpadSec
✨ UAC bypass using EditionUpgradeManager COM interface
Windows 10 (RS1-19H2+) UAC bypass using EditionUpgradeManager undocumented autoelevated COM interface.
Works together with environment variables spoofing,
لینک ورود به گیت هاب
#bypass
#uac
🇮🇷 @SpadSec
Windows 10 (RS1-19H2+) UAC bypass using EditionUpgradeManager undocumented autoelevated COM interface.
Works together with environment variables spoofing,
لینک ورود به گیت هاب
#bypass
#uac
🇮🇷 @SpadSec
This media is not supported in your browser
VIEW IN TELEGRAM
✨ ابزار تست میزان آسیب پذیری تزریقSQL در حملات مبتنی بر UNION
این ابزار پیکربندی های امنیتی waf را دور زده و به مهاجمان اجازه می دهد تا با گسترش نتایج برگشت داده شده توسط پرس و جو اصلی، اطلاعات ”final query” را از بانک اطلاعاتی استخراج کنند.
لینک ورود به گیت هاب برنامه
#Sql_Injection
#WAF
#bypass
🇮🇷 @SpadSec
این ابزار پیکربندی های امنیتی waf را دور زده و به مهاجمان اجازه می دهد تا با گسترش نتایج برگشت داده شده توسط پرس و جو اصلی، اطلاعات ”final query” را از بانک اطلاعاتی استخراج کنند.
لینک ورود به گیت هاب برنامه
#Sql_Injection
#WAF
#bypass
🇮🇷 @SpadSec
⚡️Exploiting prototype pollution – RCE in Kibana (CVE-2019-7609)
آلودگی مدل پیش الگو یا prototype pollution یک نمونه آسیب پذیری مخصوص زبان های برنامه نویسی با ارث بری مبتنی بر prototype است که رایج ترین آن در جاوا اسکریپت می باشد.
قبل از بررسی آسیب پذیری RCE در Kibana، ابتدا باید بدانید که دقیقا چه چیزی باعث آلودگی مدل پیش الگو یا prototype می شود.
در جاوا اسکریپت ، مدل های پیش الگو یا نمونه های اولیه معمولا ساختار و ویژگی های object ها را تعریف می کنند به طوری که برنامه بداند چگونه با داده ها سرو کار داشته باشد. اگر مدل پیش الگو یا prototype را در یک مکان تغییر دهید، بر نحوه عملکرد object ها در برنامه تاثیر خواهد گذاشت.
در این پست من نحوه بهره برداری از آن برای دستیابی به اجرای Remote Code در Kibana را نشان می دهم.
ادامه مطلب : Exploiting prototype pollution – RCE in Kibana
#Exploit
#RCE
#prototype_pollution
#Kibana
🇮🇷 @SpadSec
آلودگی مدل پیش الگو یا prototype pollution یک نمونه آسیب پذیری مخصوص زبان های برنامه نویسی با ارث بری مبتنی بر prototype است که رایج ترین آن در جاوا اسکریپت می باشد.
قبل از بررسی آسیب پذیری RCE در Kibana، ابتدا باید بدانید که دقیقا چه چیزی باعث آلودگی مدل پیش الگو یا prototype می شود.
در جاوا اسکریپت ، مدل های پیش الگو یا نمونه های اولیه معمولا ساختار و ویژگی های object ها را تعریف می کنند به طوری که برنامه بداند چگونه با داده ها سرو کار داشته باشد. اگر مدل پیش الگو یا prototype را در یک مکان تغییر دهید، بر نحوه عملکرد object ها در برنامه تاثیر خواهد گذاشت.
در این پست من نحوه بهره برداری از آن برای دستیابی به اجرای Remote Code در Kibana را نشان می دهم.
ادامه مطلب : Exploiting prototype pollution – RCE in Kibana
#Exploit
#RCE
#prototype_pollution
#Kibana
🇮🇷 @SpadSec
Securitum
Securitum - Security penetration testing.
Securitum is a pure pentesting company specialising in the security of IT systems. We have experience in performing security audits (including penetration tests) - mainly for
financial/e-commerce/industrial sectors. We have performed penetration tests and…
financial/e-commerce/industrial sectors. We have performed penetration tests and…
⚡️بهره برداری از Crossdomain.xml در نتیجه پیکربندی اشتباه
فلش ها مانند مرورگرها از پالیسی same-origin یا SOP برای جلوگیری از درخواست صفحات خارجی " منابع محدود " استفاده می کنند. با این حال همانند توسعه دهندگان مرورگرها، به روشی برای relax کردن این پالیسی نیاز دارند.
یک فایل پالیسی cross-domain همانند یک سند XML است که به یک مشتری وب مانند Adobe Flash Player یا Adobe Acrobat (هرچند که لزوماً محدود به این موارد نیست) اجازه می دهد داده های مربوط به دامنه ها را کنترل کند.
برای مشاهده چگونگی آسیب پذیر بودن یک crossdomain.xml مجاز ، بر روی لینک زیر کلیک کنید
ادامه مطلب : Exploiting Crossdomain.xml
#Exploit
#Missconfiguration
#Crossdomain
🇮🇷 @SpadSec
فلش ها مانند مرورگرها از پالیسی same-origin یا SOP برای جلوگیری از درخواست صفحات خارجی " منابع محدود " استفاده می کنند. با این حال همانند توسعه دهندگان مرورگرها، به روشی برای relax کردن این پالیسی نیاز دارند.
یک فایل پالیسی cross-domain همانند یک سند XML است که به یک مشتری وب مانند Adobe Flash Player یا Adobe Acrobat (هرچند که لزوماً محدود به این موارد نیست) اجازه می دهد داده های مربوط به دامنه ها را کنترل کند.
برای مشاهده چگونگی آسیب پذیر بودن یک crossdomain.xml مجاز ، بر روی لینک زیر کلیک کنید
ادامه مطلب : Exploiting Crossdomain.xml
#Exploit
#Missconfiguration
#Crossdomain
🇮🇷 @SpadSec
Medium
Exploiting Crossdomain.xml Missconfigurations
Bypassing same-origin policy with Flash
⚡️ شیوه های جدید کلاهبرداری و خالی کردن حساب مردم
♨️ در سال های اخیر رشد حملات فیشینگ موجب مخاطرات زیادی برای عموم مردم بوده و سرقت های حساب بانکی رشد چشمگیری داشته است بنابراین این نکته حائز اهمیت است که با فراگیری انواع روش های حملات فیشینگ و مرور اخبار روزانه بتوانید از دارایی های خود محافظت کنید. نفوذگران سایبری می توانند متداولترین و به روز ترین کلاهبرداری های فیشینگ را شناسایی و آن را اجرا کنند. به همین منظور، سعی ما بر این است که روش های متداول از حملات فیشینگ، اخبار به روز حملات هکرها و همچنین در مورد چگونگی دفاع از وقوع این گونه جرایم را به اشتراک بگذاریم.
عکس های ارسال شده توسط یکی از کاربران ما نشانه وقوع گونه ایی از حملات فیشنگ با متد فریب کاربر است که از سمت هکر ها ارسال می گردد. هکرها با استفاده از این ترفندها شروع به فریب کاربر کرده و او را ترغیب به باز کردن لینک و دادن اطلاعات شخصی میکنند. بدین ترتیب شخص نفوذگر موفق به دریافت اطلاعات کار بر شده و از همان اطلاعات برای بهره برداری از قربانی استفاده میکند.
⛔️ در صورت دریافت پیامک های متنی مبتنی بر ارائه دادن اطلاعات شخصی یا ورود به یک لینک مشکوک، سریعا پیامک مورد نظر را پاک کنید.
#Phishing
#phishing_ttack
#فیشینگ
🇮🇷 @SpadSec
♨️ در سال های اخیر رشد حملات فیشینگ موجب مخاطرات زیادی برای عموم مردم بوده و سرقت های حساب بانکی رشد چشمگیری داشته است بنابراین این نکته حائز اهمیت است که با فراگیری انواع روش های حملات فیشینگ و مرور اخبار روزانه بتوانید از دارایی های خود محافظت کنید. نفوذگران سایبری می توانند متداولترین و به روز ترین کلاهبرداری های فیشینگ را شناسایی و آن را اجرا کنند. به همین منظور، سعی ما بر این است که روش های متداول از حملات فیشینگ، اخبار به روز حملات هکرها و همچنین در مورد چگونگی دفاع از وقوع این گونه جرایم را به اشتراک بگذاریم.
عکس های ارسال شده توسط یکی از کاربران ما نشانه وقوع گونه ایی از حملات فیشنگ با متد فریب کاربر است که از سمت هکر ها ارسال می گردد. هکرها با استفاده از این ترفندها شروع به فریب کاربر کرده و او را ترغیب به باز کردن لینک و دادن اطلاعات شخصی میکنند. بدین ترتیب شخص نفوذگر موفق به دریافت اطلاعات کار بر شده و از همان اطلاعات برای بهره برداری از قربانی استفاده میکند.
⛔️ در صورت دریافت پیامک های متنی مبتنی بر ارائه دادن اطلاعات شخصی یا ورود به یک لینک مشکوک، سریعا پیامک مورد نظر را پاک کنید.
#Phishing
#phishing_ttack
#فیشینگ
🇮🇷 @SpadSec
⚡️ نقض امنیتی Adobe در Magento Marketplace موجب بهره بردای هکرها شده است
▪️شرکت Adobe از نقض امنیتی در پرتال Magento Marketplace خود پرده برداشت و عنوان کرد که مهاجمان به اطلاعات حساس ثبت شده مشتریان دسترسی پیدا کردند.
▪️این آسیب پذیری به مهاجمان اجازه می دهد تا به برخی از اطلاعات حساس مانند موارد زیر دست پیدا کنند:
Name
Email
MageID
Billing & shipping address
Phone number
other commercial pieces of information
▪️شرکت Adobe طی گزارش رسمی عنوان کرد که داده های مالی کاربران (مانند کارت اعتباری) در نقض داده ها دخیل نیست و هیچ رمزعبوری به خطر نمی افتد و این موضوع بر عملکرد هیچ یک از محصولات یا خدمات اصلی Magento تأثیر نمی گذارد.
▪️ شرکت Adobe جزئیات آسیب پذیری و روش هایی که مهاجمان برای سوءاستفاده از پورتال فروشگاه Magento استفاده کرده اند را فاش نکرد.
#Adobe_Hacked
#Magento_Marketplace
#Exploit
🇮🇷 @SpadSec
▪️شرکت Adobe از نقض امنیتی در پرتال Magento Marketplace خود پرده برداشت و عنوان کرد که مهاجمان به اطلاعات حساس ثبت شده مشتریان دسترسی پیدا کردند.
▪️این آسیب پذیری به مهاجمان اجازه می دهد تا به برخی از اطلاعات حساس مانند موارد زیر دست پیدا کنند:
Name
MageID
Billing & shipping address
Phone number
other commercial pieces of information
▪️شرکت Adobe طی گزارش رسمی عنوان کرد که داده های مالی کاربران (مانند کارت اعتباری) در نقض داده ها دخیل نیست و هیچ رمزعبوری به خطر نمی افتد و این موضوع بر عملکرد هیچ یک از محصولات یا خدمات اصلی Magento تأثیر نمی گذارد.
▪️ شرکت Adobe جزئیات آسیب پذیری و روش هایی که مهاجمان برای سوءاستفاده از پورتال فروشگاه Magento استفاده کرده اند را فاش نکرد.
#Adobe_Hacked
#Magento_Marketplace
#Exploit
🇮🇷 @SpadSec
⚡️ حمله بدافزار RevengeHotels از طریق ترکیب شدن با اسناد آفیس برای سرقت اطلاعات کارت های اعتباری کاربران
▪️ یک کمپین مخرب جدید با نام "RevengeHotels" کشف شده که هدف آن سرقت اطلاعات کارت های اعتباری کاربران و مسافران در هتل ها، خوابگاه ها، مهمان سراها و شرکت های جهانگردی در سراسر جهان می باشد.
▪️این کمپین از ایمیل به عنوان وکتور اصلی حمله برای تهیه بدافزار از طریق ترکیب شدن با فایل های سندی مانند Word ، Excel یا PDF استفاده می کند. در بعضی موارد از وصله Remote Code Exactions Vulnerability CVE-2017-0199 در Microsoft Office یا WordPad نیز استفاده می کند.
🔹 تاکتیک های مورد استفاده - RevengeHotels
نفوذگران برای ثبت دامنه های خود نام شرکت های معتبر را جعل می کنند تا کاربران به راحتی فریب خورده و اطمینان حاصل کنند که ایمیل از منبع قانونی ارسال شده است.
ارسال ایمیل با جزئیات برای رزرو هتل ها و نامه الکترونیکی فیشینگ با پرونده مخرب به نام
Reserva Advogados Associados (.) Docx
(Attorneys Associates Reservation(.)Docx)
پیوست شده اند.
وقتی کاربر پیوست سند Word مخرب را باز کرد، با استفاده از تکنیک تزریق تمپلیت (template injection)، یک OLE (اObject Linking and Embedding) از طریق ریموت، ماکرو را که درون OLE ارائه می شود را اجرا می کند.
ماکرو موجود حاوی یک کد PowerShell است که پیلود نهایی را دانلود می کند. پیلود نهایی در اصل یک RevengeRAT است و تهدیدات آن شامل یک ماژول اضافی به نام ScreenBooking برای سرقت جزئیات کارت اعتباری می باشد.
▪️در مقایسه با کمپین های RevengeHotels، بدافزارهای بکار رفته در کمپین های ProCC بسیار سفارشی سازی شده اند
▪️بدافزار مورد استفاده قادر به جمع آوری جزئیات از کلیپ بورد و spooler چاپگر و گرفتن تصاویر است.
در نهایت مجرمان سایبری جزئیات کارت اعتباری مشتری مسروقه را در شبکه های دارک و همچنین به برخی از هتل ها به فروش می رسانند.
#RevengeHotels
#Malware_Attack
#Weaponized_office
🇮🇷 @SpadSec
▪️ یک کمپین مخرب جدید با نام "RevengeHotels" کشف شده که هدف آن سرقت اطلاعات کارت های اعتباری کاربران و مسافران در هتل ها، خوابگاه ها، مهمان سراها و شرکت های جهانگردی در سراسر جهان می باشد.
▪️این کمپین از ایمیل به عنوان وکتور اصلی حمله برای تهیه بدافزار از طریق ترکیب شدن با فایل های سندی مانند Word ، Excel یا PDF استفاده می کند. در بعضی موارد از وصله Remote Code Exactions Vulnerability CVE-2017-0199 در Microsoft Office یا WordPad نیز استفاده می کند.
🔹 تاکتیک های مورد استفاده - RevengeHotels
نفوذگران برای ثبت دامنه های خود نام شرکت های معتبر را جعل می کنند تا کاربران به راحتی فریب خورده و اطمینان حاصل کنند که ایمیل از منبع قانونی ارسال شده است.
ارسال ایمیل با جزئیات برای رزرو هتل ها و نامه الکترونیکی فیشینگ با پرونده مخرب به نام
Reserva Advogados Associados (.) Docx
(Attorneys Associates Reservation(.)Docx)
پیوست شده اند.
وقتی کاربر پیوست سند Word مخرب را باز کرد، با استفاده از تکنیک تزریق تمپلیت (template injection)، یک OLE (اObject Linking and Embedding) از طریق ریموت، ماکرو را که درون OLE ارائه می شود را اجرا می کند.
ماکرو موجود حاوی یک کد PowerShell است که پیلود نهایی را دانلود می کند. پیلود نهایی در اصل یک RevengeRAT است و تهدیدات آن شامل یک ماژول اضافی به نام ScreenBooking برای سرقت جزئیات کارت اعتباری می باشد.
▪️در مقایسه با کمپین های RevengeHotels، بدافزارهای بکار رفته در کمپین های ProCC بسیار سفارشی سازی شده اند
▪️بدافزار مورد استفاده قادر به جمع آوری جزئیات از کلیپ بورد و spooler چاپگر و گرفتن تصاویر است.
در نهایت مجرمان سایبری جزئیات کارت اعتباری مشتری مسروقه را در شبکه های دارک و همچنین به برخی از هتل ها به فروش می رسانند.
#RevengeHotels
#Malware_Attack
#Weaponized_office
🇮🇷 @SpadSec
✨ لیست پیلود های SQL Injection - آپدیت 2019
در این مقاله موارد زیر ارائه خواهد شد :
▪️ تزریق SQL چیست
▪️ شرح نمونه های متداول SQL injection
▪️ چگونگی یافتن و بهره برداری از انواع مختلف آسیب پذیری های تزریق SQL
▪️ راه های جلوگیری از تزریق SQL
لینک ورود به صفحه SQL Injection Payload List
#Sql_Injection
#Payload_List
#Vulnerability
🇮🇷 @SpadSec
در این مقاله موارد زیر ارائه خواهد شد :
▪️ تزریق SQL چیست
▪️ شرح نمونه های متداول SQL injection
▪️ چگونگی یافتن و بهره برداری از انواع مختلف آسیب پذیری های تزریق SQL
▪️ راه های جلوگیری از تزریق SQL
لینک ورود به صفحه SQL Injection Payload List
#Sql_Injection
#Payload_List
#Vulnerability
🇮🇷 @SpadSec
KitPloit - PenTest & Hacking Tools
SQL Injection Payload List
⚡️ نشت اطلاعات مشتریان بانک های تجارت، سرمایه و ملت
▪️طبق بررسی های به عمل آمده مبنی بر خبر نشت اطلاعات کاربران بانکی و رصد برخی رسانه های اجتماعی بر اساس ادعای شخص مهاجم، مشخصات میلیونها کارت بانکی مشتریان بانک تجارت، ملت و سرمایه به سرقت رفته و مهاجمان تعدادی از آنها را نیز منتشر کرده یا برای صاحبان اطلاعات بانکی ایمیل کرده اند. تعدادی از کاربران بانکی هم اعلام کرده اند ایمیلی حاوی محتویات اطلاعات کارت های بانکی خود را دریافت کرده اند.
▪️در برخی از ایمیل های ارسالی، مهاجمان مدعی شده اند اطلاعات 10 میلیون کارت بانکی در پایگاه داده های به سرقت رفته وجود دارد که همه آنها دسترسی پیدا کرده اند.
▪️تیم فنی ما پس از دریافت این خبر سریعا موضوع را مورد تحلیل قرارداده و به نظر می رسد که این نشت اطلاعات تازه نیست و این اطلاعات مدت زمان زیادی در دست مهاجمان بوده است. از آنجایی که متدولوژی طراحی این سامانه ها در بحث سرور و cms و موارد دیگر مشترک نیستند به نظر می رسد از یک سامانه مشترک این فرآیند صورت گرفته باشد. در ادامه تحقیقات به شرکت رابط ارائه دهنده سرویس ussd رسیدیم. این سرویس تمامی اطلاعات کارت بانکی کاربران را ذخیره می کند که انتقالات این اطلاعات به صورت متن ساده و بدون رمزگذاری یا plain text است.
▪️ممکن است این سوال در ذهن شما ایجاد شود که چرا و به چه دلیل مهاجمان اقدام به نگهداری این اطلاعات کرده اند و چه بهره برداری هایی از این پایگاه داده ها کرده اند.
🇮🇷 @SpadSec
▪️طبق بررسی های به عمل آمده مبنی بر خبر نشت اطلاعات کاربران بانکی و رصد برخی رسانه های اجتماعی بر اساس ادعای شخص مهاجم، مشخصات میلیونها کارت بانکی مشتریان بانک تجارت، ملت و سرمایه به سرقت رفته و مهاجمان تعدادی از آنها را نیز منتشر کرده یا برای صاحبان اطلاعات بانکی ایمیل کرده اند. تعدادی از کاربران بانکی هم اعلام کرده اند ایمیلی حاوی محتویات اطلاعات کارت های بانکی خود را دریافت کرده اند.
▪️در برخی از ایمیل های ارسالی، مهاجمان مدعی شده اند اطلاعات 10 میلیون کارت بانکی در پایگاه داده های به سرقت رفته وجود دارد که همه آنها دسترسی پیدا کرده اند.
▪️تیم فنی ما پس از دریافت این خبر سریعا موضوع را مورد تحلیل قرارداده و به نظر می رسد که این نشت اطلاعات تازه نیست و این اطلاعات مدت زمان زیادی در دست مهاجمان بوده است. از آنجایی که متدولوژی طراحی این سامانه ها در بحث سرور و cms و موارد دیگر مشترک نیستند به نظر می رسد از یک سامانه مشترک این فرآیند صورت گرفته باشد. در ادامه تحقیقات به شرکت رابط ارائه دهنده سرویس ussd رسیدیم. این سرویس تمامی اطلاعات کارت بانکی کاربران را ذخیره می کند که انتقالات این اطلاعات به صورت متن ساده و بدون رمزگذاری یا plain text است.
▪️ممکن است این سوال در ذهن شما ایجاد شود که چرا و به چه دلیل مهاجمان اقدام به نگهداری این اطلاعات کرده اند و چه بهره برداری هایی از این پایگاه داده ها کرده اند.
🇮🇷 @SpadSec
⚡️ آسیب پذیر بودن سرویس پیام کوتاه جدید آندروید " RCS"
▪️با ظهور برنامه های پیام رسانی فوری مانند واتساپ، سیگنال، تلگرام و ... تعداد زیادی از برنامه های مشابه شروع به سرقت و کسب درآمد از خدمات سرویس های پیام کوتاه می کنند برای همین اندروید جهت حل این مشکل راه حل جدیدی را ارائه کرده است. به تازگی آندروید یک سرویس ارتباطات همگرا (RCS) را راه اندازی کرده که این سرویس با پلتفرم iMessage هیبریدی اپل نیز سازگار است.
▪️محققان آلمانی شرکت امنیت سایبری SRLabs گفتند که RCS فاقد رمزگذاری نهایی است (end-to-end encryption) بنابراین با راه اندازی این فناوری، کاربران در معرض خطر از سوی نفوذگران قرار می گیرند. علاوه بر این، انجمن جهانی موبایل GSMA مخالف معرفی RCS است زیرا ممکن است تا حدودی بر درآمد اپراتور ارتباطات از راه دور تأثیر بگذارد.
▪️محققان SRLabs همچنین اظهار داشتند كه مشتری RCS سرویس پیام رسانی اندرویدی فاقد تأیید دامنه و مجوز كافی است، بنابراین این مسئله می تواند به هكرها اجازه دهد تا به جریانات ارتباطی از طریق حملات جعل هویت DNS یا جعل شناسه تماس گیرنده نفوذ كرده و دستکاری كنند.
▪️به طور خلاصه، مسلم است که فناوری جدید پیام کوتاه RCS در برابر حملات MITM آسیب پذیر است.
کارشناسان می گویند اگرچه استقرار RCS با در نظر گرفتن کاهش ریسک قابل حل است اما اجرای و پیکربندی آن چندان آسان نیست.
#Android
#RCS_vulnerable
#RCS
🇮🇷 @SpadSec
▪️با ظهور برنامه های پیام رسانی فوری مانند واتساپ، سیگنال، تلگرام و ... تعداد زیادی از برنامه های مشابه شروع به سرقت و کسب درآمد از خدمات سرویس های پیام کوتاه می کنند برای همین اندروید جهت حل این مشکل راه حل جدیدی را ارائه کرده است. به تازگی آندروید یک سرویس ارتباطات همگرا (RCS) را راه اندازی کرده که این سرویس با پلتفرم iMessage هیبریدی اپل نیز سازگار است.
▪️محققان آلمانی شرکت امنیت سایبری SRLabs گفتند که RCS فاقد رمزگذاری نهایی است (end-to-end encryption) بنابراین با راه اندازی این فناوری، کاربران در معرض خطر از سوی نفوذگران قرار می گیرند. علاوه بر این، انجمن جهانی موبایل GSMA مخالف معرفی RCS است زیرا ممکن است تا حدودی بر درآمد اپراتور ارتباطات از راه دور تأثیر بگذارد.
▪️محققان SRLabs همچنین اظهار داشتند كه مشتری RCS سرویس پیام رسانی اندرویدی فاقد تأیید دامنه و مجوز كافی است، بنابراین این مسئله می تواند به هكرها اجازه دهد تا به جریانات ارتباطی از طریق حملات جعل هویت DNS یا جعل شناسه تماس گیرنده نفوذ كرده و دستکاری كنند.
▪️به طور خلاصه، مسلم است که فناوری جدید پیام کوتاه RCS در برابر حملات MITM آسیب پذیر است.
کارشناسان می گویند اگرچه استقرار RCS با در نظر گرفتن کاهش ریسک قابل حل است اما اجرای و پیکربندی آن چندان آسان نیست.
#Android
#RCS_vulnerable
#RCS
🇮🇷 @SpadSec
⚡️ کتابخانه مخرب پایتون کلیدهای SSH و GPG را سرقت می کند
▪️تیم امنیتی پایتون دو کتابخانه مخرب را از PyPI کشف کردند که برای سرقت کلیدهای SSH و GPG مورد استفاده قرار می گرفتند. هر دو كتابخانه توسط همان توسعه دهنده ایجاد شده است.
▪️ اولین کتابحانه "python3-dateutil" است که از کتابخانه محبوب "dateutil" تقلید کرده و دوم "jeIlyfish" است که از کتابخانه "jellyfish" تقلید می کند.
▪️لوکاس مارتینی، توسعه دهنده آلمانی مدعی شده که کد مخرب فقط در jeIlyfish وجود دارد و python3-dateutil حاوی کد مخرب به خودی خود نیست و فقط کتابخانه jeIlyfish را import می کند.
▪️ طبق تحلیل های صورت گرفته، کد مخرب سعی میکند کلیدهای SSH و GPG از رایانه کاربر را به سرقت برده و سپس آن به یک آدرس IP ارسال کند. "به نظر می رسد که [این پرونده] سعی دارد کلیدهای SSH و GPG را از رایانه ی کاربر جدا کند و آنها را به این آدرس IP ارسال کند: https://68.183.212.246:32258 که شامل مجموعه ای از فهرست ها، دایرکتوری home، دایرکتوری پروژه های PyCharm می باشد.
#Python
#Malicious
#Python_library
🇮🇷 @SpadSec
▪️تیم امنیتی پایتون دو کتابخانه مخرب را از PyPI کشف کردند که برای سرقت کلیدهای SSH و GPG مورد استفاده قرار می گرفتند. هر دو كتابخانه توسط همان توسعه دهنده ایجاد شده است.
▪️ اولین کتابحانه "python3-dateutil" است که از کتابخانه محبوب "dateutil" تقلید کرده و دوم "jeIlyfish" است که از کتابخانه "jellyfish" تقلید می کند.
▪️لوکاس مارتینی، توسعه دهنده آلمانی مدعی شده که کد مخرب فقط در jeIlyfish وجود دارد و python3-dateutil حاوی کد مخرب به خودی خود نیست و فقط کتابخانه jeIlyfish را import می کند.
▪️ طبق تحلیل های صورت گرفته، کد مخرب سعی میکند کلیدهای SSH و GPG از رایانه کاربر را به سرقت برده و سپس آن به یک آدرس IP ارسال کند. "به نظر می رسد که [این پرونده] سعی دارد کلیدهای SSH و GPG را از رایانه ی کاربر جدا کند و آنها را به این آدرس IP ارسال کند: https://68.183.212.246:32258 که شامل مجموعه ای از فهرست ها، دایرکتوری home، دایرکتوری پروژه های PyCharm می باشد.
#Python
#Malicious
#Python_library
🇮🇷 @SpadSec
⚡️ کشف یک بدافزار جدید ایرانی به نام ZeroCleare
▪️ محققان فضای مجازی از کشف یک بدافزار مخرب پاک کننده Data خبر دادند که به تازگی ظهور کرده و آن را مرتبط با هکرهای ایرانی می دانند. این بدافزار برای هدف قرار دادن سازمان های انرژی و صنعتی در خاورمیانه استفاده می شود. بدافزار پاک کننده داده ها با نام ZeroCleare به دو گروه هکر ایرانی نسبت داده شده که با عنوان های APT34 ، ITG13 ، Oilrig و Hive0081 نیز شناخته می شوند .
▪️تیمی از محققان IBM بدافزار ZeroCleare را کشف کرده و در این رابطه توضیحاتی را ارائه داده اند:
این بدافزار جدید شباهت های سطح بالایی با Shamoon دارد. بدافزار Shamoon یکی از مخرب ترین خانواده های بدافزار است که به 30،000 رایانه در بزرگترین تولید کننده نفت عربستان سعودی در سال 2012 آسیب رسانده است.
▪️کارکرد این بدفزار همانند شامون از یک درایور دیسک سخت به نام 'RawDisk by ElDos' برای بازنویسی رکورد اصلی بوت (MBR) و پارتیشن های دیسک رایانه های هدفمند که سیستم عامل ویندوز را اجرا می کنند، استفاده می کند. اگرچه درایور EldoS امضا نشده است اما با این حال این بدافزار می تواند با بارگیری یک درایور VirtualBox Oracle آسیب پذیر اما امضا شده ، از آن برای دور زدن مکانیسم بررسی امضا و بارگذاری درایور EldoS امضا نشده سوء استفاده کند.
▪️ محققین بر این عقیده هستند "بدافزار ZeroCleare برای دستیابی به هسته اصلی دستگاه، از یک درایور عمدا آسیب پذیر [VBoxDrv امضاء شده] و اسکریپت های مخرب PowerShell / Batch برای دور زدن کنترل های ویندوز استفاده می کند."
#ZeroCleare
#Malware
🇮🇷 @SpadSec
▪️ محققان فضای مجازی از کشف یک بدافزار مخرب پاک کننده Data خبر دادند که به تازگی ظهور کرده و آن را مرتبط با هکرهای ایرانی می دانند. این بدافزار برای هدف قرار دادن سازمان های انرژی و صنعتی در خاورمیانه استفاده می شود. بدافزار پاک کننده داده ها با نام ZeroCleare به دو گروه هکر ایرانی نسبت داده شده که با عنوان های APT34 ، ITG13 ، Oilrig و Hive0081 نیز شناخته می شوند .
▪️تیمی از محققان IBM بدافزار ZeroCleare را کشف کرده و در این رابطه توضیحاتی را ارائه داده اند:
این بدافزار جدید شباهت های سطح بالایی با Shamoon دارد. بدافزار Shamoon یکی از مخرب ترین خانواده های بدافزار است که به 30،000 رایانه در بزرگترین تولید کننده نفت عربستان سعودی در سال 2012 آسیب رسانده است.
▪️کارکرد این بدفزار همانند شامون از یک درایور دیسک سخت به نام 'RawDisk by ElDos' برای بازنویسی رکورد اصلی بوت (MBR) و پارتیشن های دیسک رایانه های هدفمند که سیستم عامل ویندوز را اجرا می کنند، استفاده می کند. اگرچه درایور EldoS امضا نشده است اما با این حال این بدافزار می تواند با بارگیری یک درایور VirtualBox Oracle آسیب پذیر اما امضا شده ، از آن برای دور زدن مکانیسم بررسی امضا و بارگذاری درایور EldoS امضا نشده سوء استفاده کند.
▪️ محققین بر این عقیده هستند "بدافزار ZeroCleare برای دستیابی به هسته اصلی دستگاه، از یک درایور عمدا آسیب پذیر [VBoxDrv امضاء شده] و اسکریپت های مخرب PowerShell / Batch برای دور زدن کنترل های ویندوز استفاده می کند."
#ZeroCleare
#Malware
🇮🇷 @SpadSec
⚡️ آسیب پذیری بحرانی در Microsoft Azure
🔹محققان امنیتی آسیب پذیری مهمی را در Microsoft Azure به نام "BlackDirect" کشف کردند که به مهاجمان این امکان را می دهد تا حساب کاربری Azure را در دست گرفته و Token هایی را با مجوز قربانی ایجاد کنند.
🔹به طور ویژه این آسیب پذیری روی اپلیکیشن های OAuth 2.0 مایکروسافت تأثیر گذاشته و به مهاجمان مخرب اجازه کنترل و دسترسی روی حساب کاربری قربانی را می دهد.
🔹در نسل بعدی ، OAuth2 به برنامه های شخص ثالث اجازه دسترسی محدود به سرویس HTTP را می دهد و دسترسی به مشتری ممکن است یک وب سایت یا برنامه تلفن همراه باشد.
🔹استفاده از آسیب پذیری BlackDirect
محققان در ابتدا برای سوء استفاده از این آسیب پذیری، از دستور " Get AzureADServicePrincipal" استفاده کرده و کلیه سرویس های خدمات را در حساب خود لیست کرده اند. سپس URL هایی را که توسط برنامه Microsoft مجاز است را پیدا می کنند، URL هایی که با لینک های زیر خاتمه می یابند
▪️.cloudapp.net
▪️.azurewebsites.net
▪️.{vm_region}.cloudapp.azure.com
تمامی این URL ها از طریق درگاه Microsoft Azure ثبت می شوند.
🔹برنامه های زیر برای انجام این حمله آسیب پذیر هستند:
▪️Portfolios
▪️O365 Secure Score
▪️Microsoft Service Trust
"تجزیه و تحلیل کامل آسیب پذیری را در اینجا بخوانید"
🔹مراحل کاهش آسیب پذیری
▪️اطمینان حاصل کنید که تمام URI های هدایت شونده در برنامه تحت مالکیت شما هستند
▪️لینک های تغییر مسیر غیر ضروری را حذف کنید
▪️اطمینان حاصل کنید مجوزهایی که برنامه OAuth از شما درخواست می کند کمترین امتیاز مورد نیاز شماست
▪️غیرفعال کردن برنامه های کاربردی
#Microsoft_Azure
#BlackDirect
#Vulnerability
🇮🇷 @SpadSec
🔹محققان امنیتی آسیب پذیری مهمی را در Microsoft Azure به نام "BlackDirect" کشف کردند که به مهاجمان این امکان را می دهد تا حساب کاربری Azure را در دست گرفته و Token هایی را با مجوز قربانی ایجاد کنند.
🔹به طور ویژه این آسیب پذیری روی اپلیکیشن های OAuth 2.0 مایکروسافت تأثیر گذاشته و به مهاجمان مخرب اجازه کنترل و دسترسی روی حساب کاربری قربانی را می دهد.
🔹در نسل بعدی ، OAuth2 به برنامه های شخص ثالث اجازه دسترسی محدود به سرویس HTTP را می دهد و دسترسی به مشتری ممکن است یک وب سایت یا برنامه تلفن همراه باشد.
🔹استفاده از آسیب پذیری BlackDirect
محققان در ابتدا برای سوء استفاده از این آسیب پذیری، از دستور " Get AzureADServicePrincipal" استفاده کرده و کلیه سرویس های خدمات را در حساب خود لیست کرده اند. سپس URL هایی را که توسط برنامه Microsoft مجاز است را پیدا می کنند، URL هایی که با لینک های زیر خاتمه می یابند
▪️.cloudapp.net
▪️.azurewebsites.net
▪️.{vm_region}.cloudapp.azure.com
تمامی این URL ها از طریق درگاه Microsoft Azure ثبت می شوند.
🔹برنامه های زیر برای انجام این حمله آسیب پذیر هستند:
▪️Portfolios
▪️O365 Secure Score
▪️Microsoft Service Trust
"تجزیه و تحلیل کامل آسیب پذیری را در اینجا بخوانید"
🔹مراحل کاهش آسیب پذیری
▪️اطمینان حاصل کنید که تمام URI های هدایت شونده در برنامه تحت مالکیت شما هستند
▪️لینک های تغییر مسیر غیر ضروری را حذف کنید
▪️اطمینان حاصل کنید مجوزهایی که برنامه OAuth از شما درخواست می کند کمترین امتیاز مورد نیاز شماست
▪️غیرفعال کردن برنامه های کاربردی
#Microsoft_Azure
#BlackDirect
#Vulnerability
🇮🇷 @SpadSec
Cyberark
BlackDirect: Microsoft Azure Account Takeover
While working on research associated with Microsoft Azure and Microsoft OAuth 2.0, we found a vulnerability that allows for the takeover of Microsoft Azure Accounts.