Weaponizing WDAC: Killing the Dreams of EDR
Windows Defender Application Control (WDAC)
یک فناوری معرفی شده و به طور خودکار در Windows 10+ و Windows Server 2016+ معرفی شده و به طور خودکار فعال شده است که به سازمانها اجازه میدهد تا کنترل دقیقی بر روی کدهای اجرایی که مجاز به اجرا در دستگاههای ویندوزی خود هستند، داشته باشند...:
https://beierle.win/2024-12-20-Weaponizing-WDAC-Killing-the-Dreams-of-EDR/
@pfksecurity
Windows Defender Application Control (WDAC)
یک فناوری معرفی شده و به طور خودکار در Windows 10+ و Windows Server 2016+ معرفی شده و به طور خودکار فعال شده است که به سازمانها اجازه میدهد تا کنترل دقیقی بر روی کدهای اجرایی که مجاز به اجرا در دستگاههای ویندوزی خود هستند، داشته باشند...:
https://beierle.win/2024-12-20-Weaponizing-WDAC-Killing-the-Dreams-of-EDR/
@pfksecurity
Jonathan Beierle
Weaponizing WDAC: Killing the Dreams of EDR
باج افزار Funksec آدرس های Onion خود را به روز کرد.
funknqn44slwmgwgnewne6bintbooauwkaupik4yrlgtycew3ergraid.onion
funkxxkovrk7ctnggbjnthdajav4ggex53k6m2x3esjwlxrkb3qiztid.onion
funknqn44slwmgwgnewne6bintbooauwkaupik4yrlgtycew3ergraid.onion
funkxxkovrk7ctnggbjnthdajav4ggex53k6m2x3esjwlxrkb3qiztid.onion
New IDS Monitoring new challenges
https://rhebo.com/en/solutions/ot-iiot-condition-monitoring/
@PfkSecurity
https://rhebo.com/en/solutions/ot-iiot-condition-monitoring/
@PfkSecurity
Rhebo
Rhebo OT & IIoT Condition Monitoring | Overall Equipment Effectiveness
Rhebo OT & IIoT monitoring provides detection of security-related activities but also technical error states that commonly occur due to misconfigurations, inconsistencies or network degradation.
قوانین APT ها برای توسعه بدافزار چیه؟
یکی از دوستان داخل لینکدین پستی در خصوص سیمبول فایل ها گذاشته بود که به هنگام کامپایل یک قطعه کد توسط visual studio این symbol فایل ایجاد میشه و پیشنهاد کرده بودند که برای اینکه کار تحلیل گران بدافزار و ... رو سخت تر کنیم بهتره که این مورد رو پاک کنیم.
یادم اومد چند سال پیش که تماما تمرکزم روی بدافزار و سندباکس بود، چندتا الزام یا پیشنیاز برای توسعه بدافزار وجود داشت که هر توسعه دهنده ای باید رعایت میکرد ، از این جهت چندتاشون رو اینجا تیتر وار میگم که شما هم گوشه ذهنتون داشته باشید
موارد بسیاره، و من تنها به دو سه مورد ابتدایی ولی مهمش اشاره میکنم.
شما باید فارنزیک سیستم عاملی که روش کد می زنید رو کامل بدونید (ویندوز، لینوکس و ..) و براساس اون بدافزار تون رو توسعه بدید ... به طور کلی ویندوز کلی Artifact از شما در فایل های کامپایل شدتون به جا می زاره که در فاز ردیابی مهاجم استفاده خواهد شد.
مثلا هر زبانی روی سیستم تون نصب باشه، تو متادیتا های کامپایل کد بدافزار تون ی اثری ازش می افته. یک راه حلش این بود که روی سیستم clean تون زبان چینی یا ... نصب کنید.
کدهایی که توسعه می دید رو با کامنت های چینی یا هر زبانی غیر از فارسی بذارید.
اطلاعات مربوط به تایم زون سیستم تون روی تهران نباشه.
حساب کاربری تون یا اسامی که استفاده می کنید فارسی نباشه. مثلا mao Zedong (رهبر پیشین چین) گزینه خوبیه :)
و صد البته که روی ماشین اصلی تون که متصل به اینترنت هم هست کد توسعه نمی دید.
و از اون مهم تر تحت هیچ شرایطی ماشین رو به اینترنت وصل نمی کنید و محیط توسعه تون هم بایستی داخل یک vm باشه.
در مورد Best practice برای ماشین های توسعه دهنده بدافزار هم اینکه هیچ وقت به اینترنت وصل نشن و تمام اپدیت ها آفلاین صورت بگیره.
و از نوت پد یا vi برای توسعه استفاده کنید ، کلا از IDE ها دوری کنید!
به هر حال توسعه بدافزار در دنیای واقعی الزامات بسیاری رو داره که بایستی حتما رعایت کنید.
و خیلی هاش رو هم نمیشه گفت! مثل سرورهای فرماندهی و کنترل تون باید کجا باشن که اگر لیک شدن به شما نرسن، یا مدارک احراز هویتی تون برای آماده سازی محیط باید از کجا و به چه شکل تهیه بشه و....
✍ منبع : OS SECURITY
@PfkSecurity
یکی از دوستان داخل لینکدین پستی در خصوص سیمبول فایل ها گذاشته بود که به هنگام کامپایل یک قطعه کد توسط visual studio این symbol فایل ایجاد میشه و پیشنهاد کرده بودند که برای اینکه کار تحلیل گران بدافزار و ... رو سخت تر کنیم بهتره که این مورد رو پاک کنیم.
یادم اومد چند سال پیش که تماما تمرکزم روی بدافزار و سندباکس بود، چندتا الزام یا پیشنیاز برای توسعه بدافزار وجود داشت که هر توسعه دهنده ای باید رعایت میکرد ، از این جهت چندتاشون رو اینجا تیتر وار میگم که شما هم گوشه ذهنتون داشته باشید
موارد بسیاره، و من تنها به دو سه مورد ابتدایی ولی مهمش اشاره میکنم.
شما باید فارنزیک سیستم عاملی که روش کد می زنید رو کامل بدونید (ویندوز، لینوکس و ..) و براساس اون بدافزار تون رو توسعه بدید ... به طور کلی ویندوز کلی Artifact از شما در فایل های کامپایل شدتون به جا می زاره که در فاز ردیابی مهاجم استفاده خواهد شد.
مثلا هر زبانی روی سیستم تون نصب باشه، تو متادیتا های کامپایل کد بدافزار تون ی اثری ازش می افته. یک راه حلش این بود که روی سیستم clean تون زبان چینی یا ... نصب کنید.
کدهایی که توسعه می دید رو با کامنت های چینی یا هر زبانی غیر از فارسی بذارید.
اطلاعات مربوط به تایم زون سیستم تون روی تهران نباشه.
حساب کاربری تون یا اسامی که استفاده می کنید فارسی نباشه. مثلا mao Zedong (رهبر پیشین چین) گزینه خوبیه :)
و صد البته که روی ماشین اصلی تون که متصل به اینترنت هم هست کد توسعه نمی دید.
و از اون مهم تر تحت هیچ شرایطی ماشین رو به اینترنت وصل نمی کنید و محیط توسعه تون هم بایستی داخل یک vm باشه.
در مورد Best practice برای ماشین های توسعه دهنده بدافزار هم اینکه هیچ وقت به اینترنت وصل نشن و تمام اپدیت ها آفلاین صورت بگیره.
و از نوت پد یا vi برای توسعه استفاده کنید ، کلا از IDE ها دوری کنید!
به هر حال توسعه بدافزار در دنیای واقعی الزامات بسیاری رو داره که بایستی حتما رعایت کنید.
و خیلی هاش رو هم نمیشه گفت! مثل سرورهای فرماندهی و کنترل تون باید کجا باشن که اگر لیک شدن به شما نرسن، یا مدارک احراز هویتی تون برای آماده سازی محیط باید از کجا و به چه شکل تهیه بشه و....
✍ منبع : OS SECURITY
@PfkSecurity
https://medium.com/@marcel.rickcen/getting-started-with-industrial-control-system-penetration-testing-setting-up-conpot-9c79bb3be995
@PfkSecurity
@PfkSecurity
Medium
Learning OT Security with Conpot (1/3): A Beginners Guide to Setting Up Conpot
Learning OT Security with Conpot (1/3): A Beginners Guide to Setting Up Conpot Working in OT Security, understanding the vulnerabilities of Industrial Control Systems (ICS) is an important skill …
P.F.K Security
CVE-2025-0108 Palo Alto Networks PAN-OS @PfkSecurity
شرکت Palo Alto Networks بار دیگر با مشکلاتی در سیستم عامل PAN-OS مواجه شده است. این شرکت در روز چهارشنبه ۱۰ توصیه جدید امنیتی منتشر کرد و مشتریان خود را از وجود آسیبپذیریهای جدید و تأثیر آسیبپذیریهای قبلی بر محصولاتش، از جمله یک آسیبپذیری جدی احتمالی مربوط به دور زدن احراز هویت در فایروالها، مطلع کرد.
مهمترین این آسیبپذیریها با شناسه CVE-2025-0108 توصیف شده است. این مشکل در PAN-OS به مهاجمان غیرمجاز که دسترسی شبکهای به رابط مدیریت فایروال هدف دارند، اجازه میدهد تا احراز هویت را دور زده و اسکریپتهای PHP خاصی را فراخوانی کنند. Palo Alto Networks توضیح میدهد که فراخوانی این اسکریپتهای PHP منجر به اجرای کد از راه دور نمیشود، اما ممکن است بر یکپارچگی و محرمانگی سیستم عامل PAN-OS تأثیر منفی بگذارد.
این شرکت برای نسخههای آسیبپذیر PAN-OS پچ هایی منتشر کرده است و همچنین راهحلهای موقت و اقدامات کاهشدهندهای را ارائه داده است. آنها تأکید کردهاند که اگر دسترسی به رابط مدیریت فقط به آدرسهای IP داخلی مورد اعتماد محدود شود، شدت این آسیبپذیری به میزان قابل توجهی کاهش مییابد.
Palo Alto
به این مشکل سطح شدت بالایی (با امتیاز CVSS 7.8) اختصاص داده است، اما هیچ شواهدی از سوءاستفاده عملی از این آسیبپذیری گزارش نشده است. با این حال، محققان شرکت Assetnote که این آسیبپذیری را در حین بررسی دو آسیبپذیری دیگر فایروالهای Palo Alto کشف کردند، آن را به عنوان یک آسیبپذیری بحرانی طبقهبندی کردهاند. آنها معتقدند که این آسیبپذیری در ترکیب با یک مشکل دیگر در PAN-OS میتواند منجر به اجرای کد از راه دور (RCE) شود.
شرکت Searchlight Cyber که اخیراً Assetnote را خریداری کرده است، نیز در روز چهارشنبه جزئیات فنی این آسیبپذیری در PAN-OS را منتشر کرد.
علاوه بر این، Palo Alto Networks از رفع یک مشکل دیگر در PAN-OS با شناسه CVE-2025-0110 خبر داده است. این مشکل نیز سطح شدت بالایی دارد و مربوط به تزریق دستور است، اما برای سوءاستفاده از آن نیاز به دسترسی administrator است.
همچنین توصیههایی برای مشکلات با سطح شدت متوسط در عامل Cortex XDR (که امکان غیرفعال کردن عامل را میدهد) و Cortex XDR Broker (دسترسی غیرمجاز) و همچنین سایر مشکلات PAN-OS (خواندن و حذف فایلها) منتشر شده است.
بر اساس گزارش Palo Alto Networks، هیچ یک از آسیبپذیریهای ذکر شده در این بسته توصیههای امنیتی، از جمله مشکلات PAN-OS، در شرایط واقعی مورد سوءاستفاده قرار نگرفتهاند.
@PfkSecurity
مهمترین این آسیبپذیریها با شناسه CVE-2025-0108 توصیف شده است. این مشکل در PAN-OS به مهاجمان غیرمجاز که دسترسی شبکهای به رابط مدیریت فایروال هدف دارند، اجازه میدهد تا احراز هویت را دور زده و اسکریپتهای PHP خاصی را فراخوانی کنند. Palo Alto Networks توضیح میدهد که فراخوانی این اسکریپتهای PHP منجر به اجرای کد از راه دور نمیشود، اما ممکن است بر یکپارچگی و محرمانگی سیستم عامل PAN-OS تأثیر منفی بگذارد.
این شرکت برای نسخههای آسیبپذیر PAN-OS پچ هایی منتشر کرده است و همچنین راهحلهای موقت و اقدامات کاهشدهندهای را ارائه داده است. آنها تأکید کردهاند که اگر دسترسی به رابط مدیریت فقط به آدرسهای IP داخلی مورد اعتماد محدود شود، شدت این آسیبپذیری به میزان قابل توجهی کاهش مییابد.
Palo Alto
به این مشکل سطح شدت بالایی (با امتیاز CVSS 7.8) اختصاص داده است، اما هیچ شواهدی از سوءاستفاده عملی از این آسیبپذیری گزارش نشده است. با این حال، محققان شرکت Assetnote که این آسیبپذیری را در حین بررسی دو آسیبپذیری دیگر فایروالهای Palo Alto کشف کردند، آن را به عنوان یک آسیبپذیری بحرانی طبقهبندی کردهاند. آنها معتقدند که این آسیبپذیری در ترکیب با یک مشکل دیگر در PAN-OS میتواند منجر به اجرای کد از راه دور (RCE) شود.
شرکت Searchlight Cyber که اخیراً Assetnote را خریداری کرده است، نیز در روز چهارشنبه جزئیات فنی این آسیبپذیری در PAN-OS را منتشر کرد.
علاوه بر این، Palo Alto Networks از رفع یک مشکل دیگر در PAN-OS با شناسه CVE-2025-0110 خبر داده است. این مشکل نیز سطح شدت بالایی دارد و مربوط به تزریق دستور است، اما برای سوءاستفاده از آن نیاز به دسترسی administrator است.
همچنین توصیههایی برای مشکلات با سطح شدت متوسط در عامل Cortex XDR (که امکان غیرفعال کردن عامل را میدهد) و Cortex XDR Broker (دسترسی غیرمجاز) و همچنین سایر مشکلات PAN-OS (خواندن و حذف فایلها) منتشر شده است.
بر اساس گزارش Palo Alto Networks، هیچ یک از آسیبپذیریهای ذکر شده در این بسته توصیههای امنیتی، از جمله مشکلات PAN-OS، در شرایط واقعی مورد سوءاستفاده قرار نگرفتهاند.
@PfkSecurity
Palo Alto Networks Product Security Assurance
CVE-2025-0108 PAN-OS: Authentication Bypass in the Management Web Interface
An authentication bypass in the in the management web interface of Palo Alto Networks PAN-OS software enables an unauthenticated attacker with network access to the management web interface to bypass ...
Exploit Development: Investigating Kernel Mode Shadow Stacks on Windows
https://connormcgarr.github.io/km-shadow-stacks
https://connormcgarr.github.io/km-shadow-stacks
Connor McGarr’s Blog
Exploit Development: Investigating Kernel Mode Shadow Stacks on Windows
Using SourcePoint’s JTAG debugger to investigate the implementation of Intel CET Shadow Stacks in kernel-mode on Windows
CVE-2025-26506
یک آسیبپذیری امنیتی است که در پرینترهای HP LaserJet Pro با قابلیت PostScript شناسایی شده است. این آسیبپذیری به دلیل وجود یک stack-based buffer overflow در پردازش کارهای چاپی PostScript ایجاد میشود. این نوع آسیبپذیری میتواند به مهاجمان اجازه دهد کدهای مخرب را اجرا کنند، کنترل دستگاه را به دست بگیرند یا باعث اختلال در عملکرد سیستم شوند.
توضیح آسیبپذیری:
- Stack-based buffer overflow:
این نوع آسیبپذیری زمانی رخ میدهد که دادههای ورودی بیش از حد مجاز در بافر (ناحیهای از حافظه) نوشته میشوند و باعث سرریز شدن به بخشهای دیگر حافظه میگردند. در این حالت، مهاجم میتواند با ارسال دادههای خاص، کنترل برنامه را به دست بگیرد.
- محل وقوع: این آسیبپذیری در پردازش فایلهای PostScript در پرینترهای HP LaserJet Pro رخ میدهد.
راهکارهای امنیتی:
1. بهروزرسانی فریمور: HP معمولاً پس از شناسایی چنین آسیبپذیریهایی، بهروزرسانیهای امنیتی را منتشر میکند. کاربران باید آخرین نسخهی فریمور پرینتر خود را از وبسایت رسمی HP دانلود و نصب کنند.
2. محدود کردن دسترسی: دسترسی به پرینتر را تنها به کاربران و دستگاههای مورد اعتماد محدود کنید. از شبکههای امن و VLAN برای جداسازی پرینترها استفاده نمایید.
3. فیلتر کردن ترافیک شبکه: از فایروالها یا سیستمهای امنیتی شبکه برای فیلتر کردن ترافیک غیرضروری به سمت پرینتر استفاده کنید.
4. غیرفعال کردن قابلیتهای غیرضروری: اگر نیازی به قابلیت PostScript ندارید، آن را در تنظیمات پرینتر غیرفعال کنید.
مراحل بهرهبرداری از این آسیبپذیری (برای اهداف آموزشی):
1. شناسایی دستگاههای آسیبپذیر: مهاجم ابتدا پرینترهای HP LaserJet Pro با قابلیت PostScript را در شبکه شناسایی میکند.
2. ارسال کار چاپی مخرب: مهاجم یک فایل PostScript مخرب ایجاد میکند که حاوی کدهای خاص برای ایجاد سرریز بافر است.
3. اجرای کد مخرب: اگر پرینتر آسیبپذیر باشد، کد مخرب اجرا شده و مهاجم میتواند کنترل دستگاه را به دست بگیرد یا باعث اختلال در عملکرد آن شود.
نکته مهم:
اگر از پرینترهای HP LaserJet Pro استفاده میکنید، حتماً وضعیت بهروزرسانی فریمور دستگاه خود را بررسی کنید و در صورت وجود وصلههای امنیتی، آنها را نصب نمایید.
@Pfksecurity
یک آسیبپذیری امنیتی است که در پرینترهای HP LaserJet Pro با قابلیت PostScript شناسایی شده است. این آسیبپذیری به دلیل وجود یک stack-based buffer overflow در پردازش کارهای چاپی PostScript ایجاد میشود. این نوع آسیبپذیری میتواند به مهاجمان اجازه دهد کدهای مخرب را اجرا کنند، کنترل دستگاه را به دست بگیرند یا باعث اختلال در عملکرد سیستم شوند.
توضیح آسیبپذیری:
- Stack-based buffer overflow:
این نوع آسیبپذیری زمانی رخ میدهد که دادههای ورودی بیش از حد مجاز در بافر (ناحیهای از حافظه) نوشته میشوند و باعث سرریز شدن به بخشهای دیگر حافظه میگردند. در این حالت، مهاجم میتواند با ارسال دادههای خاص، کنترل برنامه را به دست بگیرد.
- محل وقوع: این آسیبپذیری در پردازش فایلهای PostScript در پرینترهای HP LaserJet Pro رخ میدهد.
راهکارهای امنیتی:
1. بهروزرسانی فریمور: HP معمولاً پس از شناسایی چنین آسیبپذیریهایی، بهروزرسانیهای امنیتی را منتشر میکند. کاربران باید آخرین نسخهی فریمور پرینتر خود را از وبسایت رسمی HP دانلود و نصب کنند.
2. محدود کردن دسترسی: دسترسی به پرینتر را تنها به کاربران و دستگاههای مورد اعتماد محدود کنید. از شبکههای امن و VLAN برای جداسازی پرینترها استفاده نمایید.
3. فیلتر کردن ترافیک شبکه: از فایروالها یا سیستمهای امنیتی شبکه برای فیلتر کردن ترافیک غیرضروری به سمت پرینتر استفاده کنید.
4. غیرفعال کردن قابلیتهای غیرضروری: اگر نیازی به قابلیت PostScript ندارید، آن را در تنظیمات پرینتر غیرفعال کنید.
مراحل بهرهبرداری از این آسیبپذیری (برای اهداف آموزشی):
1. شناسایی دستگاههای آسیبپذیر: مهاجم ابتدا پرینترهای HP LaserJet Pro با قابلیت PostScript را در شبکه شناسایی میکند.
2. ارسال کار چاپی مخرب: مهاجم یک فایل PostScript مخرب ایجاد میکند که حاوی کدهای خاص برای ایجاد سرریز بافر است.
3. اجرای کد مخرب: اگر پرینتر آسیبپذیر باشد، کد مخرب اجرا شده و مهاجم میتواند کنترل دستگاه را به دست بگیرد یا باعث اختلال در عملکرد آن شود.
نکته مهم:
اگر از پرینترهای HP LaserJet Pro استفاده میکنید، حتماً وضعیت بهروزرسانی فریمور دستگاه خود را بررسی کنید و در صورت وجود وصلههای امنیتی، آنها را نصب نمایید.
@Pfksecurity
🔍 کاوش NTDS.dit
این پست وبلاگ ساختار فایل NTDS.dit را بررسی می کند که داده ها را برای Active Directory ذخیره می کند. همچنین DIT Explorer را معرفی می کند، یک ابزار منبع باز جدید که برای تجزیه و تحلیل NTDS.dit طراحی شده است، و نشان می دهد که چگونه پایگاه داده را برای ارائه یک نمای ساختاریافته از دایرکتوری تفسیر می کند.
🔗 تحقیق:
https://trustedsec.com/blog/exploring-ntds-dit-part-1-cracking-the-surface-with-dit-explorer
🔗 منبع:
https://github.com/trustedsec/DitExplorer
#ad #windows #ntds #dnt
@PfkSecurity
این پست وبلاگ ساختار فایل NTDS.dit را بررسی می کند که داده ها را برای Active Directory ذخیره می کند. همچنین DIT Explorer را معرفی می کند، یک ابزار منبع باز جدید که برای تجزیه و تحلیل NTDS.dit طراحی شده است، و نشان می دهد که چگونه پایگاه داده را برای ارائه یک نمای ساختاریافته از دایرکتوری تفسیر می کند.
🔗 تحقیق:
https://trustedsec.com/blog/exploring-ntds-dit-part-1-cracking-the-surface-with-dit-explorer
🔗 منبع:
https://github.com/trustedsec/DitExplorer
#ad #windows #ntds #dnt
@PfkSecurity
مقدمه ای بر eBPF برای ویندوز
https://scorpiosoftware.net/2025/02/22/introduction-to-ebpf-for-windows/
@PfkSecurity
https://scorpiosoftware.net/2025/02/22/introduction-to-ebpf-for-windows/
@PfkSecurity
Pavel Yosifovich
Introduction to eBPF for Windows
In the Linux world, the eBPF technology has been around for years. Its purpose is to allow writing programs that run within the Linux kernel. However, contrary to standard kernel modules, eBPF runs…
Media is too big
VIEW IN TELEGRAM
در این جلسه، تمرکز بر روی تاکتیکهای تیم قرمز (Red Team) در زمینه اینترنت اشیاء (IoT) است. در ابتدا، اشاره میشود که دستگاههای روزمره مانند توسترها و توالتها که نباید به اینترنت متصل شوند، در این بحث گنجانده نمیشوند. سخنران که یک تحلیلگر امنیتی در Black Hills Information Security است، بر اهمیت یادگیری و آموزش تکنیکهای هک تأکید میکند.
توضیحات این ویدئو ادامه دارد در پایین بخوانید .
#RedTeam
@PfkSecurity
توضیحات این ویدئو ادامه دارد در پایین بخوانید .
#RedTeam
@PfkSecurity
P.F.K Security
در این جلسه، تمرکز بر روی تاکتیکهای تیم قرمز (Red Team) در زمینه اینترنت اشیاء (IoT) است. در ابتدا، اشاره میشود که دستگاههای روزمره مانند توسترها و توالتها که نباید به اینترنت متصل شوند، در این بحث گنجانده نمیشوند. سخنران که یک تحلیلگر امنیتی در Black…
ابزارهایی مانند USB rubber duckies و LAN turtles به عنوان وسایلی برای گسترش قابلیتهای تیم قرمز معرفی میشوند. Hack5 به عنوان یک سازمان کلیدی در تولید دستگاههای سختافزاری برای تست نفوذ و تیم قرمز ذکر میشود. دو نوع اصلی حمله با استفاده از این دستگاهها شناسایی میشود: حملات فرصتطلبانه و حملات دسترسی از راه دور.
سخنران به چالشهای جمعآوری داده و خروج اطلاعات در سازمانهای بزرگ با نظارت شبکهای سختگیرانه اشاره میکند. همچنین، تکنولوژیهای بیسیم مانند بلوتوث و Wi-Fi به عنوان روشهای ممکن برای خروج دادهها مورد بحث قرار میگیرند، اما در محیطهای امن ممکن است با چالشهایی مواجه شوند.
در ادامه، به تکنولوژی LoRa اشاره میشود که به دلیل مصرف کم انرژی و قابلیتهای برد بلند، برای دستگاههای IoT مناسب است. همچنین، محدودیتهایی مانند اندازه حداکثر بسته ۲۵۵ بایتی LoRa نیز مطرح میشود. سخنران تجربیات خود را در طراحی مدارهای چاپی برای کنترل یک ماهواره شبیهسازی شده با استفاده از تکنولوژی LoRa به اشتراک میگذارد.
در بخشهای بعدی، یک حمله USB rubber ducky به نمایش گذاشته میشود که شامل تزریق کلیدها برای باز کردن یک پست وبلاگ است. همچنین، استفاده از Raspberry Pi Zero با یک برد LoRaPi برای ارتباطات بیسیم و قابلیتهای مختلف مورد بحث قرار میگیرد.
در نهایت، توصیههایی برای جلوگیری از حملات فیزیکی و نظارت بر ترافیک شبکه ارائه میشود. تأکید بر اهمیت امنیت فیزیکی و انجام بازرسیهای منظم برای شناسایی دستگاههای غیرمجاز نیز مطرح میشود. در کل، این جلسه به بررسی چالشها و فرصتهای موجود در زمینه امنیت IoT و تاکتیکهای تیم قرمز میپردازد.
@Pfksecurity
سخنران به چالشهای جمعآوری داده و خروج اطلاعات در سازمانهای بزرگ با نظارت شبکهای سختگیرانه اشاره میکند. همچنین، تکنولوژیهای بیسیم مانند بلوتوث و Wi-Fi به عنوان روشهای ممکن برای خروج دادهها مورد بحث قرار میگیرند، اما در محیطهای امن ممکن است با چالشهایی مواجه شوند.
در ادامه، به تکنولوژی LoRa اشاره میشود که به دلیل مصرف کم انرژی و قابلیتهای برد بلند، برای دستگاههای IoT مناسب است. همچنین، محدودیتهایی مانند اندازه حداکثر بسته ۲۵۵ بایتی LoRa نیز مطرح میشود. سخنران تجربیات خود را در طراحی مدارهای چاپی برای کنترل یک ماهواره شبیهسازی شده با استفاده از تکنولوژی LoRa به اشتراک میگذارد.
در بخشهای بعدی، یک حمله USB rubber ducky به نمایش گذاشته میشود که شامل تزریق کلیدها برای باز کردن یک پست وبلاگ است. همچنین، استفاده از Raspberry Pi Zero با یک برد LoRaPi برای ارتباطات بیسیم و قابلیتهای مختلف مورد بحث قرار میگیرد.
در نهایت، توصیههایی برای جلوگیری از حملات فیزیکی و نظارت بر ترافیک شبکه ارائه میشود. تأکید بر اهمیت امنیت فیزیکی و انجام بازرسیهای منظم برای شناسایی دستگاههای غیرمجاز نیز مطرح میشود. در کل، این جلسه به بررسی چالشها و فرصتهای موجود در زمینه امنیت IoT و تاکتیکهای تیم قرمز میپردازد.
@Pfksecurity
بستههای Typosquatted Go Loader بدافزار را ارائه میکند که سیستمهای لینوکس و macOS را هدف قرار میدهد
https://socket.dev/blog/typosquatted-go-packages-deliver-malware-loader
https://socket.dev/blog/typosquatted-go-packages-deliver-malware-loader
Socket
Typosquatted Go Packages Deliver Malware Loader Targeting Li...
Malicious Go packages are impersonating popular libraries to install hidden loader malware on Linux and macOS, targeting developers with obfuscated pa...