https://medium.com/@marcel.rickcen/getting-started-with-industrial-control-system-penetration-testing-setting-up-conpot-9c79bb3be995
@PfkSecurity
@PfkSecurity
Medium
Learning OT Security with Conpot (1/3): A Beginners Guide to Setting Up Conpot
Learning OT Security with Conpot (1/3): A Beginners Guide to Setting Up Conpot Working in OT Security, understanding the vulnerabilities of Industrial Control Systems (ICS) is an important skill …
P.F.K Security
CVE-2025-0108 Palo Alto Networks PAN-OS @PfkSecurity
شرکت Palo Alto Networks بار دیگر با مشکلاتی در سیستم عامل PAN-OS مواجه شده است. این شرکت در روز چهارشنبه ۱۰ توصیه جدید امنیتی منتشر کرد و مشتریان خود را از وجود آسیبپذیریهای جدید و تأثیر آسیبپذیریهای قبلی بر محصولاتش، از جمله یک آسیبپذیری جدی احتمالی مربوط به دور زدن احراز هویت در فایروالها، مطلع کرد.
مهمترین این آسیبپذیریها با شناسه CVE-2025-0108 توصیف شده است. این مشکل در PAN-OS به مهاجمان غیرمجاز که دسترسی شبکهای به رابط مدیریت فایروال هدف دارند، اجازه میدهد تا احراز هویت را دور زده و اسکریپتهای PHP خاصی را فراخوانی کنند. Palo Alto Networks توضیح میدهد که فراخوانی این اسکریپتهای PHP منجر به اجرای کد از راه دور نمیشود، اما ممکن است بر یکپارچگی و محرمانگی سیستم عامل PAN-OS تأثیر منفی بگذارد.
این شرکت برای نسخههای آسیبپذیر PAN-OS پچ هایی منتشر کرده است و همچنین راهحلهای موقت و اقدامات کاهشدهندهای را ارائه داده است. آنها تأکید کردهاند که اگر دسترسی به رابط مدیریت فقط به آدرسهای IP داخلی مورد اعتماد محدود شود، شدت این آسیبپذیری به میزان قابل توجهی کاهش مییابد.
Palo Alto
به این مشکل سطح شدت بالایی (با امتیاز CVSS 7.8) اختصاص داده است، اما هیچ شواهدی از سوءاستفاده عملی از این آسیبپذیری گزارش نشده است. با این حال، محققان شرکت Assetnote که این آسیبپذیری را در حین بررسی دو آسیبپذیری دیگر فایروالهای Palo Alto کشف کردند، آن را به عنوان یک آسیبپذیری بحرانی طبقهبندی کردهاند. آنها معتقدند که این آسیبپذیری در ترکیب با یک مشکل دیگر در PAN-OS میتواند منجر به اجرای کد از راه دور (RCE) شود.
شرکت Searchlight Cyber که اخیراً Assetnote را خریداری کرده است، نیز در روز چهارشنبه جزئیات فنی این آسیبپذیری در PAN-OS را منتشر کرد.
علاوه بر این، Palo Alto Networks از رفع یک مشکل دیگر در PAN-OS با شناسه CVE-2025-0110 خبر داده است. این مشکل نیز سطح شدت بالایی دارد و مربوط به تزریق دستور است، اما برای سوءاستفاده از آن نیاز به دسترسی administrator است.
همچنین توصیههایی برای مشکلات با سطح شدت متوسط در عامل Cortex XDR (که امکان غیرفعال کردن عامل را میدهد) و Cortex XDR Broker (دسترسی غیرمجاز) و همچنین سایر مشکلات PAN-OS (خواندن و حذف فایلها) منتشر شده است.
بر اساس گزارش Palo Alto Networks، هیچ یک از آسیبپذیریهای ذکر شده در این بسته توصیههای امنیتی، از جمله مشکلات PAN-OS، در شرایط واقعی مورد سوءاستفاده قرار نگرفتهاند.
@PfkSecurity
مهمترین این آسیبپذیریها با شناسه CVE-2025-0108 توصیف شده است. این مشکل در PAN-OS به مهاجمان غیرمجاز که دسترسی شبکهای به رابط مدیریت فایروال هدف دارند، اجازه میدهد تا احراز هویت را دور زده و اسکریپتهای PHP خاصی را فراخوانی کنند. Palo Alto Networks توضیح میدهد که فراخوانی این اسکریپتهای PHP منجر به اجرای کد از راه دور نمیشود، اما ممکن است بر یکپارچگی و محرمانگی سیستم عامل PAN-OS تأثیر منفی بگذارد.
این شرکت برای نسخههای آسیبپذیر PAN-OS پچ هایی منتشر کرده است و همچنین راهحلهای موقت و اقدامات کاهشدهندهای را ارائه داده است. آنها تأکید کردهاند که اگر دسترسی به رابط مدیریت فقط به آدرسهای IP داخلی مورد اعتماد محدود شود، شدت این آسیبپذیری به میزان قابل توجهی کاهش مییابد.
Palo Alto
به این مشکل سطح شدت بالایی (با امتیاز CVSS 7.8) اختصاص داده است، اما هیچ شواهدی از سوءاستفاده عملی از این آسیبپذیری گزارش نشده است. با این حال، محققان شرکت Assetnote که این آسیبپذیری را در حین بررسی دو آسیبپذیری دیگر فایروالهای Palo Alto کشف کردند، آن را به عنوان یک آسیبپذیری بحرانی طبقهبندی کردهاند. آنها معتقدند که این آسیبپذیری در ترکیب با یک مشکل دیگر در PAN-OS میتواند منجر به اجرای کد از راه دور (RCE) شود.
شرکت Searchlight Cyber که اخیراً Assetnote را خریداری کرده است، نیز در روز چهارشنبه جزئیات فنی این آسیبپذیری در PAN-OS را منتشر کرد.
علاوه بر این، Palo Alto Networks از رفع یک مشکل دیگر در PAN-OS با شناسه CVE-2025-0110 خبر داده است. این مشکل نیز سطح شدت بالایی دارد و مربوط به تزریق دستور است، اما برای سوءاستفاده از آن نیاز به دسترسی administrator است.
همچنین توصیههایی برای مشکلات با سطح شدت متوسط در عامل Cortex XDR (که امکان غیرفعال کردن عامل را میدهد) و Cortex XDR Broker (دسترسی غیرمجاز) و همچنین سایر مشکلات PAN-OS (خواندن و حذف فایلها) منتشر شده است.
بر اساس گزارش Palo Alto Networks، هیچ یک از آسیبپذیریهای ذکر شده در این بسته توصیههای امنیتی، از جمله مشکلات PAN-OS، در شرایط واقعی مورد سوءاستفاده قرار نگرفتهاند.
@PfkSecurity
Palo Alto Networks Product Security Assurance
CVE-2025-0108 PAN-OS: Authentication Bypass in the Management Web Interface
An authentication bypass in the in the management web interface of Palo Alto Networks PAN-OS software enables an unauthenticated attacker with network access to the management web interface to bypass ...
Exploit Development: Investigating Kernel Mode Shadow Stacks on Windows
https://connormcgarr.github.io/km-shadow-stacks
https://connormcgarr.github.io/km-shadow-stacks
Connor McGarr’s Blog
Exploit Development: Investigating Kernel Mode Shadow Stacks on Windows
Using SourcePoint’s JTAG debugger to investigate the implementation of Intel CET Shadow Stacks in kernel-mode on Windows
CVE-2025-26506
یک آسیبپذیری امنیتی است که در پرینترهای HP LaserJet Pro با قابلیت PostScript شناسایی شده است. این آسیبپذیری به دلیل وجود یک stack-based buffer overflow در پردازش کارهای چاپی PostScript ایجاد میشود. این نوع آسیبپذیری میتواند به مهاجمان اجازه دهد کدهای مخرب را اجرا کنند، کنترل دستگاه را به دست بگیرند یا باعث اختلال در عملکرد سیستم شوند.
توضیح آسیبپذیری:
- Stack-based buffer overflow:
این نوع آسیبپذیری زمانی رخ میدهد که دادههای ورودی بیش از حد مجاز در بافر (ناحیهای از حافظه) نوشته میشوند و باعث سرریز شدن به بخشهای دیگر حافظه میگردند. در این حالت، مهاجم میتواند با ارسال دادههای خاص، کنترل برنامه را به دست بگیرد.
- محل وقوع: این آسیبپذیری در پردازش فایلهای PostScript در پرینترهای HP LaserJet Pro رخ میدهد.
راهکارهای امنیتی:
1. بهروزرسانی فریمور: HP معمولاً پس از شناسایی چنین آسیبپذیریهایی، بهروزرسانیهای امنیتی را منتشر میکند. کاربران باید آخرین نسخهی فریمور پرینتر خود را از وبسایت رسمی HP دانلود و نصب کنند.
2. محدود کردن دسترسی: دسترسی به پرینتر را تنها به کاربران و دستگاههای مورد اعتماد محدود کنید. از شبکههای امن و VLAN برای جداسازی پرینترها استفاده نمایید.
3. فیلتر کردن ترافیک شبکه: از فایروالها یا سیستمهای امنیتی شبکه برای فیلتر کردن ترافیک غیرضروری به سمت پرینتر استفاده کنید.
4. غیرفعال کردن قابلیتهای غیرضروری: اگر نیازی به قابلیت PostScript ندارید، آن را در تنظیمات پرینتر غیرفعال کنید.
مراحل بهرهبرداری از این آسیبپذیری (برای اهداف آموزشی):
1. شناسایی دستگاههای آسیبپذیر: مهاجم ابتدا پرینترهای HP LaserJet Pro با قابلیت PostScript را در شبکه شناسایی میکند.
2. ارسال کار چاپی مخرب: مهاجم یک فایل PostScript مخرب ایجاد میکند که حاوی کدهای خاص برای ایجاد سرریز بافر است.
3. اجرای کد مخرب: اگر پرینتر آسیبپذیر باشد، کد مخرب اجرا شده و مهاجم میتواند کنترل دستگاه را به دست بگیرد یا باعث اختلال در عملکرد آن شود.
نکته مهم:
اگر از پرینترهای HP LaserJet Pro استفاده میکنید، حتماً وضعیت بهروزرسانی فریمور دستگاه خود را بررسی کنید و در صورت وجود وصلههای امنیتی، آنها را نصب نمایید.
@Pfksecurity
یک آسیبپذیری امنیتی است که در پرینترهای HP LaserJet Pro با قابلیت PostScript شناسایی شده است. این آسیبپذیری به دلیل وجود یک stack-based buffer overflow در پردازش کارهای چاپی PostScript ایجاد میشود. این نوع آسیبپذیری میتواند به مهاجمان اجازه دهد کدهای مخرب را اجرا کنند، کنترل دستگاه را به دست بگیرند یا باعث اختلال در عملکرد سیستم شوند.
توضیح آسیبپذیری:
- Stack-based buffer overflow:
این نوع آسیبپذیری زمانی رخ میدهد که دادههای ورودی بیش از حد مجاز در بافر (ناحیهای از حافظه) نوشته میشوند و باعث سرریز شدن به بخشهای دیگر حافظه میگردند. در این حالت، مهاجم میتواند با ارسال دادههای خاص، کنترل برنامه را به دست بگیرد.
- محل وقوع: این آسیبپذیری در پردازش فایلهای PostScript در پرینترهای HP LaserJet Pro رخ میدهد.
راهکارهای امنیتی:
1. بهروزرسانی فریمور: HP معمولاً پس از شناسایی چنین آسیبپذیریهایی، بهروزرسانیهای امنیتی را منتشر میکند. کاربران باید آخرین نسخهی فریمور پرینتر خود را از وبسایت رسمی HP دانلود و نصب کنند.
2. محدود کردن دسترسی: دسترسی به پرینتر را تنها به کاربران و دستگاههای مورد اعتماد محدود کنید. از شبکههای امن و VLAN برای جداسازی پرینترها استفاده نمایید.
3. فیلتر کردن ترافیک شبکه: از فایروالها یا سیستمهای امنیتی شبکه برای فیلتر کردن ترافیک غیرضروری به سمت پرینتر استفاده کنید.
4. غیرفعال کردن قابلیتهای غیرضروری: اگر نیازی به قابلیت PostScript ندارید، آن را در تنظیمات پرینتر غیرفعال کنید.
مراحل بهرهبرداری از این آسیبپذیری (برای اهداف آموزشی):
1. شناسایی دستگاههای آسیبپذیر: مهاجم ابتدا پرینترهای HP LaserJet Pro با قابلیت PostScript را در شبکه شناسایی میکند.
2. ارسال کار چاپی مخرب: مهاجم یک فایل PostScript مخرب ایجاد میکند که حاوی کدهای خاص برای ایجاد سرریز بافر است.
3. اجرای کد مخرب: اگر پرینتر آسیبپذیر باشد، کد مخرب اجرا شده و مهاجم میتواند کنترل دستگاه را به دست بگیرد یا باعث اختلال در عملکرد آن شود.
نکته مهم:
اگر از پرینترهای HP LaserJet Pro استفاده میکنید، حتماً وضعیت بهروزرسانی فریمور دستگاه خود را بررسی کنید و در صورت وجود وصلههای امنیتی، آنها را نصب نمایید.
@Pfksecurity
🔍 کاوش NTDS.dit
این پست وبلاگ ساختار فایل NTDS.dit را بررسی می کند که داده ها را برای Active Directory ذخیره می کند. همچنین DIT Explorer را معرفی می کند، یک ابزار منبع باز جدید که برای تجزیه و تحلیل NTDS.dit طراحی شده است، و نشان می دهد که چگونه پایگاه داده را برای ارائه یک نمای ساختاریافته از دایرکتوری تفسیر می کند.
🔗 تحقیق:
https://trustedsec.com/blog/exploring-ntds-dit-part-1-cracking-the-surface-with-dit-explorer
🔗 منبع:
https://github.com/trustedsec/DitExplorer
#ad #windows #ntds #dnt
@PfkSecurity
این پست وبلاگ ساختار فایل NTDS.dit را بررسی می کند که داده ها را برای Active Directory ذخیره می کند. همچنین DIT Explorer را معرفی می کند، یک ابزار منبع باز جدید که برای تجزیه و تحلیل NTDS.dit طراحی شده است، و نشان می دهد که چگونه پایگاه داده را برای ارائه یک نمای ساختاریافته از دایرکتوری تفسیر می کند.
🔗 تحقیق:
https://trustedsec.com/blog/exploring-ntds-dit-part-1-cracking-the-surface-with-dit-explorer
🔗 منبع:
https://github.com/trustedsec/DitExplorer
#ad #windows #ntds #dnt
@PfkSecurity
مقدمه ای بر eBPF برای ویندوز
https://scorpiosoftware.net/2025/02/22/introduction-to-ebpf-for-windows/
@PfkSecurity
https://scorpiosoftware.net/2025/02/22/introduction-to-ebpf-for-windows/
@PfkSecurity
Pavel Yosifovich
Introduction to eBPF for Windows
In the Linux world, the eBPF technology has been around for years. Its purpose is to allow writing programs that run within the Linux kernel. However, contrary to standard kernel modules, eBPF runs…
Media is too big
VIEW IN TELEGRAM
در این جلسه، تمرکز بر روی تاکتیکهای تیم قرمز (Red Team) در زمینه اینترنت اشیاء (IoT) است. در ابتدا، اشاره میشود که دستگاههای روزمره مانند توسترها و توالتها که نباید به اینترنت متصل شوند، در این بحث گنجانده نمیشوند. سخنران که یک تحلیلگر امنیتی در Black Hills Information Security است، بر اهمیت یادگیری و آموزش تکنیکهای هک تأکید میکند.
توضیحات این ویدئو ادامه دارد در پایین بخوانید .
#RedTeam
@PfkSecurity
توضیحات این ویدئو ادامه دارد در پایین بخوانید .
#RedTeam
@PfkSecurity
P.F.K Security
در این جلسه، تمرکز بر روی تاکتیکهای تیم قرمز (Red Team) در زمینه اینترنت اشیاء (IoT) است. در ابتدا، اشاره میشود که دستگاههای روزمره مانند توسترها و توالتها که نباید به اینترنت متصل شوند، در این بحث گنجانده نمیشوند. سخنران که یک تحلیلگر امنیتی در Black…
ابزارهایی مانند USB rubber duckies و LAN turtles به عنوان وسایلی برای گسترش قابلیتهای تیم قرمز معرفی میشوند. Hack5 به عنوان یک سازمان کلیدی در تولید دستگاههای سختافزاری برای تست نفوذ و تیم قرمز ذکر میشود. دو نوع اصلی حمله با استفاده از این دستگاهها شناسایی میشود: حملات فرصتطلبانه و حملات دسترسی از راه دور.
سخنران به چالشهای جمعآوری داده و خروج اطلاعات در سازمانهای بزرگ با نظارت شبکهای سختگیرانه اشاره میکند. همچنین، تکنولوژیهای بیسیم مانند بلوتوث و Wi-Fi به عنوان روشهای ممکن برای خروج دادهها مورد بحث قرار میگیرند، اما در محیطهای امن ممکن است با چالشهایی مواجه شوند.
در ادامه، به تکنولوژی LoRa اشاره میشود که به دلیل مصرف کم انرژی و قابلیتهای برد بلند، برای دستگاههای IoT مناسب است. همچنین، محدودیتهایی مانند اندازه حداکثر بسته ۲۵۵ بایتی LoRa نیز مطرح میشود. سخنران تجربیات خود را در طراحی مدارهای چاپی برای کنترل یک ماهواره شبیهسازی شده با استفاده از تکنولوژی LoRa به اشتراک میگذارد.
در بخشهای بعدی، یک حمله USB rubber ducky به نمایش گذاشته میشود که شامل تزریق کلیدها برای باز کردن یک پست وبلاگ است. همچنین، استفاده از Raspberry Pi Zero با یک برد LoRaPi برای ارتباطات بیسیم و قابلیتهای مختلف مورد بحث قرار میگیرد.
در نهایت، توصیههایی برای جلوگیری از حملات فیزیکی و نظارت بر ترافیک شبکه ارائه میشود. تأکید بر اهمیت امنیت فیزیکی و انجام بازرسیهای منظم برای شناسایی دستگاههای غیرمجاز نیز مطرح میشود. در کل، این جلسه به بررسی چالشها و فرصتهای موجود در زمینه امنیت IoT و تاکتیکهای تیم قرمز میپردازد.
@Pfksecurity
سخنران به چالشهای جمعآوری داده و خروج اطلاعات در سازمانهای بزرگ با نظارت شبکهای سختگیرانه اشاره میکند. همچنین، تکنولوژیهای بیسیم مانند بلوتوث و Wi-Fi به عنوان روشهای ممکن برای خروج دادهها مورد بحث قرار میگیرند، اما در محیطهای امن ممکن است با چالشهایی مواجه شوند.
در ادامه، به تکنولوژی LoRa اشاره میشود که به دلیل مصرف کم انرژی و قابلیتهای برد بلند، برای دستگاههای IoT مناسب است. همچنین، محدودیتهایی مانند اندازه حداکثر بسته ۲۵۵ بایتی LoRa نیز مطرح میشود. سخنران تجربیات خود را در طراحی مدارهای چاپی برای کنترل یک ماهواره شبیهسازی شده با استفاده از تکنولوژی LoRa به اشتراک میگذارد.
در بخشهای بعدی، یک حمله USB rubber ducky به نمایش گذاشته میشود که شامل تزریق کلیدها برای باز کردن یک پست وبلاگ است. همچنین، استفاده از Raspberry Pi Zero با یک برد LoRaPi برای ارتباطات بیسیم و قابلیتهای مختلف مورد بحث قرار میگیرد.
در نهایت، توصیههایی برای جلوگیری از حملات فیزیکی و نظارت بر ترافیک شبکه ارائه میشود. تأکید بر اهمیت امنیت فیزیکی و انجام بازرسیهای منظم برای شناسایی دستگاههای غیرمجاز نیز مطرح میشود. در کل، این جلسه به بررسی چالشها و فرصتهای موجود در زمینه امنیت IoT و تاکتیکهای تیم قرمز میپردازد.
@Pfksecurity
بستههای Typosquatted Go Loader بدافزار را ارائه میکند که سیستمهای لینوکس و macOS را هدف قرار میدهد
https://socket.dev/blog/typosquatted-go-packages-deliver-malware-loader
https://socket.dev/blog/typosquatted-go-packages-deliver-malware-loader
Socket
Typosquatted Go Packages Deliver Malware Loader Targeting Li...
Malicious Go packages are impersonating popular libraries to install hidden loader malware on Linux and macOS, targeting developers with obfuscated pa...
تجزیه و تحلیل بدافزار Stealc با باینری نینجا (جریان - 2025/02/25)
https://www.youtube.com/watch?v=zqVOhIK1cM8
https://www.youtube.com/watch?v=zqVOhIK1cM8
YouTube
Stealer Malware Analysis with Binary Ninja (Stream - 25/02/2025)
In this stream analyze a stealer malware variant with Binary Ninja and x64dbg. We wrote automation to decrypt all strings throughout the binary and looked at dumping resolved APIs automatically.
Learn how to reverse engineer malware: https://training.in…
Learn how to reverse engineer malware: https://training.in…
مراقب باش و هیچ نمونهای را روی دستگاه اصلی خود اجرا نکن. آخرین چیزی که میخواهم این است که آسیبی به هیچ کامپیوتری وارد نشود. این موضوع ارتباطی با باجافزار Cryakl ندارد.
https://github.com/Cryakl
@PfkSecurity
https://github.com/Cryakl
@PfkSecurity
GitHub
Cryakl - Overview
Take care and don't execute any samples on your main machine. The last thing I want is any lasting damage done to any PC. Not associated with Cryakl ransomware. - Cryakl
Jasmin Ransomware - SQL Injection Login Bypass
https://www.exploit-db.com/exploits/52091
توضیحات :
این مربوط به یک حفره امنیتی خطرناک در سیستمهایی است که از Jasmin Ransomware استفاده میکنند. این اکسپلویت به هکرها اجازه میدهد با دستکاری لاگین (SQL Injection)، بدون پسورد وارد سیستم قربانی شوند .
#exploit #poc #sql
@PfkSecurity
https://www.exploit-db.com/exploits/52091
توضیحات :
این مربوط به یک حفره امنیتی خطرناک در سیستمهایی است که از Jasmin Ransomware استفاده میکنند. این اکسپلویت به هکرها اجازه میدهد با دستکاری لاگین (SQL Injection)، بدون پسورد وارد سیستم قربانی شوند .
#exploit #poc #sql
@PfkSecurity
Exploit Database
Jasmin Ransomware - SQL Injection Login Bypass
Jasmin Ransomware - SQL Injection Login Bypass.. webapps exploit for PHP platform
Totolink Router RCE
https://github.com/imnotaracistguys/Totolink-Router
این مربوط به یک حفره امنیتی خطرناک (RCE) در روترهای Totolink است که اجازه میدهد هکرها از راه دور کدهای مخرب اجرا کنند و کنترل کامل دستگاه را بگیرند
#github #exploit #IoT
@Pfksecurity
https://github.com/imnotaracistguys/Totolink-Router
این مربوط به یک حفره امنیتی خطرناک (RCE) در روترهای Totolink است که اجازه میدهد هکرها از راه دور کدهای مخرب اجرا کنند و کنترل کامل دستگاه را بگیرند
#github #exploit #IoT
@Pfksecurity
CVE-2025-1974 exploit
https://github.com/sandumjacob/IngressNightmare-POCs
یک حفره امنیتی خطرناک (CVE-2025-1974) با نام Ingress Nightmare است که اجازه میدهد هکرها از طریق یک آسیبپذیری در سیستمهای هدف، دسترسی غیرمجاز بگیرند یا کنترل سیستم را در دست بگیرند!
@PfkSecurity
https://github.com/sandumjacob/IngressNightmare-POCs
یک حفره امنیتی خطرناک (CVE-2025-1974) با نام Ingress Nightmare است که اجازه میدهد هکرها از طریق یک آسیبپذیری در سیستمهای هدف، دسترسی غیرمجاز بگیرند یا کنترل سیستم را در دست بگیرند!
@PfkSecurity
GitHub
GitHub - sandumjacob/IngressNightmare-POCs: CVE-2025-1974
CVE-2025-1974. Contribute to sandumjacob/IngressNightmare-POCs development by creating an account on GitHub.
چینی APT گروه Weaver Ant بیش از چهار سال در شبکه یک ارائه دهنده خدمات ارتباطی فعالیت میکرد و با استفاده از روترهای Zyxel CPE که به خطر افتاده بودند، ترافیک و زیرساخت خود را پنهان میکرد.
محققان شرکت Sygnia توانستند رد این هکرها را پیدا کنند و چندین نسخه از بکدور China Chopper و یک شل وب سفارشی قبلاً ناشناخته به نام INMemory را کشف کردند که پیلودهای مفید را در حافظه میزبان اجرا میکند.
به گفته محققان، پس از آنکه مهاجم یک اپراتور بزرگ مخابراتی آسیایی را هدف قرار داد، ریشه کن کردن حضور آن به رغم تلاشهای متعدد برای خنثی سازی فعالیتهایش، کار بسیار دشواری بود.
Weaver Ant
برای نفوذ خود از شبکهای از بلوک های رله عملیاتی (ORB) استفاده کرد که عمدتاً شامل روترهای Zyxel CPE بودند و این امکان را فراهم میکرد تا ترافیک را پروکسی کرده و زیرساخت خود را پنهان نگه دارد.
مهاجم با استفاده از یک نسخه رمزگذاری شده با AES از شل وب China Chopper در شبکه مستقر شد که امکان مدیریت از راه دور سرور ها را فراهم میکرد و محدودیت های فایروال را دور میزد.
با پیشرفت عملیات، Weaver Ant به یک شل وب پیشرفته تر و سفارشی به نام INMemory روی آورد که از یک فایل DLL (eval.dll) برای اجرای پنهانی کد «Just-in-Time» (JIT) استفاده میکرد.
همانطور که Sygnia اشاره کرده، روشهای استخراج داده ها نیز توسط این APT به گونه ای انتخاب شده بود که کمترین شک را برانگیزد، از جمله ضبط غیرفعال ترافیک شبکه با استفاده از mirroring پورت.
به جای استقرار جداگانه وب شل ها، گروه Weaver Ant آنها را از طریق تکنیک "تونل زنی وب شل ها" به هم مرتبط کرد - روشی که پیشتر در حملات گروه مالی Elephant Beetle مشاهده شده بود.
این روش شامل انتقال ترافیک HTTP از یک سرور به سرور دیگر از طریق بخش های مختلف شبکه است که در واقع یک شبکه C2 پنهان درون زیرساخت قربانی ایجاد میکند.
هر وب شل به عنوان یک پروکسی عمل کرده و پیلود های تو در تو و رمزنگاری شده را به وب شل های دیگر منتقل میکند تا به صورت مرحله ای درون شبکه اجرا شوند.
این رویکرد به Weaver Ant اجازه میداد روی سرورهای بخش های مختلف شبکه فعالیت کند.
بیشتر این سرورها، سیستم های داخلی بدون اتصال به اینترنت بودند که از طریق سرورهای دارای دسترسی اینترنتی (به عنوان دروازههای عملیاتی) قابل دسترسی میشدند.
یافته های Sygnia نشان میدهد Weaver Ant به صورت افقی در شبکه حرکت میکرد و از منابع اشتراکی SMB و حساب های دارای دسترسی بالا استفاده میکرد که سالها با یک رمز عبور ثابت (اغلب با هش NTLM) کار میکردند.
در طول چهار سال جاسوسی سایبری، هکرها فایل های پیکربندی، لاگ های دسترسی و اعتبارنامه ها را سرقت کردند تا محیط را نقشه برداری و سیستمهای ارزشمند را شناسایی کنند.
آنها مکانیسم های ثبت رویداد را غیرفعال میکردند، از جمله اصلاح ETW (ردیابی رویدادهای ویندوز) و دور زدن AMSI (با بازنویسی تابع AmsiScanBuffer در ماژول amsi.dll) تا حجم بدافزار را کاهش داده و مدت طولانی تری بدون شناسایی بمانند.
محققان Weaver Ant را یک APT حرفه ای و باتجربه میدانند که قادر به حفظ دسترسی بلندمدت به شبکه قربانی برای عملیات جاسوسی سایبری است.
این انتساب بر اساس استفاده از روترهای Zyxel (که در برخی مناطق جغرافیایی محبوب هستند)، بکدورهای مرتبط با گروههای چینی و ساعات فعالیت گروه (مطابق با ساعت گرینویچ +8) انجام شده است.
به نظر میرسد تمرکز مهاجمان بیشتر بر شناسایی شبکه، جمعآوری اعتبارنامه ها و حفظ دسترسی پایدار به زیرساختهای مخابراتی بوده تا سرقت دادههای کاربری یا مالی.
@PfkSecurity
محققان شرکت Sygnia توانستند رد این هکرها را پیدا کنند و چندین نسخه از بکدور China Chopper و یک شل وب سفارشی قبلاً ناشناخته به نام INMemory را کشف کردند که پیلودهای مفید را در حافظه میزبان اجرا میکند.
به گفته محققان، پس از آنکه مهاجم یک اپراتور بزرگ مخابراتی آسیایی را هدف قرار داد، ریشه کن کردن حضور آن به رغم تلاشهای متعدد برای خنثی سازی فعالیتهایش، کار بسیار دشواری بود.
Weaver Ant
برای نفوذ خود از شبکهای از بلوک های رله عملیاتی (ORB) استفاده کرد که عمدتاً شامل روترهای Zyxel CPE بودند و این امکان را فراهم میکرد تا ترافیک را پروکسی کرده و زیرساخت خود را پنهان نگه دارد.
مهاجم با استفاده از یک نسخه رمزگذاری شده با AES از شل وب China Chopper در شبکه مستقر شد که امکان مدیریت از راه دور سرور ها را فراهم میکرد و محدودیت های فایروال را دور میزد.
با پیشرفت عملیات، Weaver Ant به یک شل وب پیشرفته تر و سفارشی به نام INMemory روی آورد که از یک فایل DLL (eval.dll) برای اجرای پنهانی کد «Just-in-Time» (JIT) استفاده میکرد.
همانطور که Sygnia اشاره کرده، روشهای استخراج داده ها نیز توسط این APT به گونه ای انتخاب شده بود که کمترین شک را برانگیزد، از جمله ضبط غیرفعال ترافیک شبکه با استفاده از mirroring پورت.
به جای استقرار جداگانه وب شل ها، گروه Weaver Ant آنها را از طریق تکنیک "تونل زنی وب شل ها" به هم مرتبط کرد - روشی که پیشتر در حملات گروه مالی Elephant Beetle مشاهده شده بود.
این روش شامل انتقال ترافیک HTTP از یک سرور به سرور دیگر از طریق بخش های مختلف شبکه است که در واقع یک شبکه C2 پنهان درون زیرساخت قربانی ایجاد میکند.
هر وب شل به عنوان یک پروکسی عمل کرده و پیلود های تو در تو و رمزنگاری شده را به وب شل های دیگر منتقل میکند تا به صورت مرحله ای درون شبکه اجرا شوند.
این رویکرد به Weaver Ant اجازه میداد روی سرورهای بخش های مختلف شبکه فعالیت کند.
بیشتر این سرورها، سیستم های داخلی بدون اتصال به اینترنت بودند که از طریق سرورهای دارای دسترسی اینترنتی (به عنوان دروازههای عملیاتی) قابل دسترسی میشدند.
یافته های Sygnia نشان میدهد Weaver Ant به صورت افقی در شبکه حرکت میکرد و از منابع اشتراکی SMB و حساب های دارای دسترسی بالا استفاده میکرد که سالها با یک رمز عبور ثابت (اغلب با هش NTLM) کار میکردند.
در طول چهار سال جاسوسی سایبری، هکرها فایل های پیکربندی، لاگ های دسترسی و اعتبارنامه ها را سرقت کردند تا محیط را نقشه برداری و سیستمهای ارزشمند را شناسایی کنند.
آنها مکانیسم های ثبت رویداد را غیرفعال میکردند، از جمله اصلاح ETW (ردیابی رویدادهای ویندوز) و دور زدن AMSI (با بازنویسی تابع AmsiScanBuffer در ماژول amsi.dll) تا حجم بدافزار را کاهش داده و مدت طولانی تری بدون شناسایی بمانند.
محققان Weaver Ant را یک APT حرفه ای و باتجربه میدانند که قادر به حفظ دسترسی بلندمدت به شبکه قربانی برای عملیات جاسوسی سایبری است.
این انتساب بر اساس استفاده از روترهای Zyxel (که در برخی مناطق جغرافیایی محبوب هستند)، بکدورهای مرتبط با گروههای چینی و ساعات فعالیت گروه (مطابق با ساعت گرینویچ +8) انجام شده است.
به نظر میرسد تمرکز مهاجمان بیشتر بر شناسایی شبکه، جمعآوری اعتبارنامه ها و حفظ دسترسی پایدار به زیرساختهای مخابراتی بوده تا سرقت دادههای کاربری یا مالی.
@PfkSecurity