Ai000 Cybernetics QLab

چند ماه پیش یک بنده خدایی در لینکدین یک متنی نوشته بود که خیلی هم جنجالی شد و بعدها آن را پاک کرد مبنی بر اینکه SOC و XDR و ... کلا این موارد در مقابل حملات هدفمند و Targeted هیچ اثر مثبتی ندارند و اساسا این رویکردهای دفاعی خروجی ندارد مگر شناسایی هکرهای دون پایه و ... حقیقت راست می‌گوید. تجربه هم در این سال ها نشان دهنده همین است. به قول معروف، یک سیستم یا از اساس ایمن است، یا نیست. اگر ایمن است که هیچ هکری نمی تواند به آن رخنه کند مانند ساختار شبکه بندی IDF و NSA و ... که از پایه ای ترین حالت ممکن همه چیز ایمن و با پروتکل ها و استانداردهای غیر پابلیک طرح ریزی شده اند، اگر هم ایمن نیست که جایی به هر صورت مورد نفوذ قرار خواهد گرفت. در نتیجه اگر یک هکر وارد شبکه شما شود، و پشتیبانی قوی داشته باشد که کل اکوسیستم تهاجمی خود را بر پایه Zerodayها پی ریزی کند، با توجه به معماری که ویندوز و لینوکس دارد، هیچ سیستم امنیتی و هیچ چشم متخصصی نمی تواند متوجه حضور او و حتی Data Exfiltration او شود. از همین روی، جواب بله هست. واقعا ساختارهای نظارتی در مقابل حملات هدفمند کاری نمی توانند کنند. یک سیستم یا ایمن است و غیرقابل نفوذ، یا نفوذپذیر است و هر کاری هم که کنید نمی توانید تاثیری بر روی عدم نفوذپذیری آن شوید.

@aioooir | #system_thinking

در خصوص تجربیات ویکی تجربه باید بگویم، حقیقت ماجرا این است که 90 درصد شرکت های موجود در ایران فضایی مشابه فضای اول انیمیشن کارخونه هیولاها دارند. یعنی عموم مدیران عامل با خواندن دو سه تا کتاب و چندتا پادکست از یک مشت عقب مونده فکر میکنند هر چقدر فضای کار ترسناک‌تر باشد و نیروی کار تحت فشار روانی و ترس کار کند، بهره‌وری افزایش پیدا می‌کند. اصلا اینطور نیست.

عموم که حق نیروی کار را می خورند در این حد پست و کثیف هستند، کلی هم فشار روانی به افراد می آورند که موجب افسردگی و خشم آنها می شود، برخی که از این هم فراتر می روند و نیروی کار را تحقیر و تمسخر و ... می کنند. خلاصه کار کردن در این فضای مسموم نه برای شما نتیجه مالی دارد و نه سلامتی. بعد یک مدتی میشی یک آدم فقیر و بدبخت با هزاران مشکل روانی.

ولی در آیو کلا فضا را من به شکل دیگری مهندسی کردم. در حقیقت هدفم این بود فضایی مشابه فضای فاز دوم انیمیشن کارخونه هیولاها ساخته شود. فضایی شاد، آزاد، و پر از خاطره خوب و انسان هایی که عاری از هرگونه ایگو و خودخواهی هستند. چرا؟ چون خودم آرزوی کار در چنین محیطی را داشتم و دارم. در آیو همه چیز شفاف است. یعنی بچه های تیم در جریان هستند هر ماه چقدر نقدینگی وارد تیم می‌شود، چقدر سهم آن ها است (شیوه محاسبه را هم میدانند). نتایج زحمت آن ها هم چقدر روی پیشرفت تیم تاثیر دارد بدون جبران نخواهد بود.

اینقدر در این محیط های سمی و مدیران تازه به دوران رسیده کار کردیم، خسته شدیم. برای همین وقتی آیو را راه اندازی کردم، از آن حالت Central خارج کردم. به هر کسی یک فضا دادم و از او خواستم توسعه اش بدهد. سخت گیری و تحقیر و اذیت کردن و گیر دادن های بیجا و ... هم نداریم. خیلی مواقع پروژه ها دچار بهم ریختگی از نظر زمان بندی می شوند، من می توانم جریمه کنم و هزاران مسخره بازی دیگر. ولی چه فایده دارد؟ شخصی بخواهد کار کند، شرایط کار را داشته باشد، حالش خوب باشد، خب کار را انجام می دهد. اگر هم نه، حوصله و انرژی و اعصاب و ... نداشته باشد تو او را صد میلیون جریمه کن، نهایت این است که کار با هزار مسخره بازی تحویل میدهد بدون اینکه کوالیتی داشته باشد.

خلاصه در آیو بساط ما فرق میکند. این هم نتیجه مدت ها حمالی خودم و بقیه همکارانم بوده است. روز اول گفتم یک سفره پهن می شود، هر کسی می تواند آن را توسعه بدهد. هر چقدر هم توسعه پیدا کند، حقش را تا آخر بگیرد (چون ذات انسان اینطور است که اگر به خود او واگذار کنیم، همه چیز را برای خودش میخواهد این از من هم به دور نیست، پس حقتان را از من هم بگیرید و تعارف نکنید).

در اینجا، نه نیاز است سفته بدهید. نه نیاز هست چک بدهید. نه نیاز هست بترسید. هیچ فرقی هم بین نیروی X با Y وجود ندارد مگر اینکه متوجه باشید مسئولیت ها تفاوت دارد. امیدوارم روزی آیو بزرگ و بزرگتر شود و بتوانیم کنار هم کارهای بزرگتری کنیم. فعلا که درگیر تحقیق و توسعه و آموزش هستیم. در آینده ولی امیدوارم خداوند کمک کند بتوانیم کارهای بهتری کنیم. اگرچه میدانم سخت است و بدون حمایت و ... نمی توانیم به جایی برسیم ولی خب حداقل تلاش خود را میکنیم. نشد هم مهم نیست، خوش گذشت.

میلاد کهساری الهادی 1 اسفند 1403 این را نوشتم، 1 اسفند 1404 متن دیگری خواهم نوشت و با این نوشته آن را مقایسه میکنم. این متن را هم با نوشته ای از اپیکور به پایان می رسانم: سپاس بر طبیعت، این نگهبان مدیر و مدبر که ضرورت‌های زندگی را سهل‌الوصول، و آن‌چه را صعب‌الحصول است، غیرضروری آفرید.

@aioooir | #work #aiooo

بیچاره هوش مصنوعی من. اینقدر از این بچه کار کشیدم دیگه داره رد میده. 🤣🤣

@aioooir | #shit

قسمت وحشتناک داستان جایی هست که می‌گه امیرعلی هستم با یک آپشن دیگر. یعنی این بنده خدا تعداد زیادی تا الان چنین چیزایی خلق کرده که فقط یک نمونه وایرال شده. موشک زمین به هوا روی پراید؟ موشک زابل 1 مجهز به کلاهک هسته ای؟ موقع نوشتن اسکریپت این ویدیو فکر کنم مردن از خنده. همین ویدیو برسه دست نتانیاهو دستور حمله رو صادر میکنه. یشیشسیشبشس 😂

@aioooir | #genius

📌 آیا می‌توان یک فایل باینری (.exe) در حال اجرا را حذف یا به صورت «self delete» پیاده‌سازی کرد؟

در ادامه سری مقالات CISO و CFC، این بار به مبحثی با محوریت توسعه بدافزار یا ابزارهای ردتیم خواهیم پرداخت که یک مدیر امنیت باید با آن آشنا باشد. در این مقاله ابتدا به بررسی نحوه عملکرد سیستم فایل در لینوکس و ویندوز می‌پردازیم و سپس به راهکارهای جایگزین، به ویژه استفاده از Alternate Data Streams (ADS) در ویندوز خواهیم پرداخت.

🔺 مقدمه‌ای بر فایل سیستم و اجرای باینری‌ها

یکی از مسائل مهمی که همیشه مطرح می شود، این مسئله است که آیا می‌توان یک فایل باینری (مانند یک برنامه اجرایی با پسوند .exe) در حال اجرا را حذف کرد؟ در نگاه اول به دلیل قفل‌گذاری فایل‌های در حال استفاده در سیستم‌عامل ویندوز، این امر به نظر غیرممکن می‌آید؛ اما با بررسی دقیق‌تر و آشنایی با مکانیزم‌های مدیریت فایل در ویندوز و لینوکس، متوجه می‌شویم که تفاوت‌های اساسی بین این دو سیستم عامل وجود دارد. در این مقاله به توضیح مفصل این تفاوت‌ها و ارائه راه‌حل‌های عملی برای حذف فایل‌های اجرایی در ویندوز خواهیم پرداخت.

🔺مدیریت فایل در لینوکس: مکانیزم Reference Counting

سیستم‌های مبتنی بر لینوکس از یک مکانیزم شمارش مرجع (Reference Counting) برای مدیریت فایل‌ها استفاده می‌کنند. به عبارت دیگر زمانی که یک فایل باز می‌شود (مثلاً توسط یک پروسه یا یک کاربر)، شمارنده مرجع آن افزایش می‌یابد. این عدد به خودی خود نشان دهنده مورد نیاز بودن آن در سیستم است، چون نشان می دهد یک موجودیتی در حال استفاده از آن است. فایل مذکور تنها زمانی به‌طور کامل از سیستم حذف (unlink) می‌شود که هیچ پروسه‌ای به آن دسترسی نداشته باشد.

این ویژگی به شما اجازه می‌دهد که حتی اگر فایل اجرایی در حال اجرا باشد، بتوانید آن را حذف کنید؛ زیرا فایل پس از حذف از دیسک، همچنان در حافظه نگه داشته می‌شود تا زمانی که آخرین پروسه که به آن دسترسی داشته، خاتمه یابد. این روش باعث می‌شود که حتی اگر یک فایل حذف شود، پروسه در حال اجرای آن بتوانند به نسخه کپی شده در حافظه دسترسی داشته باشند و در نهایت زمانی که تمام پروسه‌ها خاتمه یابند، فایل به‌طور کامل پاک شود.

🔺مدیریت فایل در ویندوز: مکانیزم File Locking

بر خلاف لینوکس، سیستم‌عامل ویندوز از مکانیزم قفل‌گذاری فایل (File Locking) استفاده می‌کند. هنگامی که یک فایل اجرایی (.exe) در حال اجرا است، ویندوز آن را قفل می‌کند. این بدان معناست که فایل به دلیل ترسیم شدن درون حافظه پروسه در حال اجرا، قابل حذف شدن نیست. تلاش برای حذف فایل اجرایی در حالی که برنامه در حال اجراست، منجر به خطا می‌شود، زیرا سیستم فایل ویندوز اجازه دسترسی تغییر دهنده به فایل‌های قفل‌شده را نمی‌دهد. بنابراین، روش‌های سنتی حذف فایل که در لینوکس کار می‌کنند، در ویندوز به دلیل وجود قفل‌های فایل قابل اجرا نیستند.

🔹راه‌حل جایگزین: استفاده از Alternate Data Streams (ADS)

برای حذف فایل‌های اجرایی در حال اجرا در ویندوز، می‌توان از ویژگی ADS بهره برد. ADS یک ویژگی در سیستم‌عامل ویندوز است که به شما اجازه می‌دهد تا داده‌های اضافی یا متادیتا را بدون تغییر در محتوای اصلی فایل، به آن متصل کنید. زمانی که 16 سالم بود، حدود 14 سال پیش یک مقاله درباره این ویژگی نوشته بودم که چطور با آن بدافزار خود را اجرا کنید که آنتی ویروس آن را شناسایی نکند. به هر صورت، این ویژگی بسیار مهم است. زیرا شما می‌توانید اطلاعاتی مانند توضیحات، تنظیمات یا حتی کدهای اضافی را در یک جریان داده (Data Stream) جدا از فایل اصلی ذخیره کنید. همچنین با استفاده از ADS، داده‌ها در یک بخش مجزا ذخیره می‌شوند و تغییرات مستقیم روی فایل اصلی اعمال نمی‌شوند.

@aioooir | #ciso #story #cfc

🔹استفاده از ADS برای حذف خودکار فایل

ایده اصلی این روش این است که با تغییر نام یا مدیریت جریان داده‌ای فرعی (Alternate Data Stream) فایل اجرایی، فرآیند حذف فایل به گونه‌ای تنظیم شود که بعد از بستن آخرین هندل، فایل حذف شود. فرآیند کلی به شرح زیر است که در هنگام پیاده سازی باید دنبال کنید:

➖علامت‌گذاری فایل برای حذف: با استفاده از ADS، فایل به گونه‌ای آماده حذف می‌شود که نیازی به مجوزهای بالا (Admin) برای حذف آن نباشد.

➖بستن هندل‌ها: در سیستم‌عامل ویندوز، زمانی که فایل علامت‌گذاری شده برای حذف است و آخرین هندل به آن بسته می‌شود، سیستم فایل به‌طور خودکار فایل را حذف می‌کند.

➖اجرای کد عملیاتی: کدهایی که این فرآیند را پیاده‌سازی می‌کنند، معمولاً در یک اسکریپت یا به عنوان بخشی از بدافزار استفاده می‌شوند تا فایل اجرایی پس از اجرای خود، پاک شود.

‼️ مزایا و دلایل استفاده از روش ADS

➖پنهان‌سازی عملیات: استفاده از ADS به شما این امکان را می‌دهد که عملیات حذف فایل اجرایی به صورت پنهانی و بدون نیاز به مجوزهای مدیریتی انجام شود.

➖حذف پس از پایان کار: با علامت‌گذاری فایل برای حذف و بستن هندل‌ها، اطمینان حاصل می‌شود که فایل فقط پس از پایان کار پردازه‌های در حال اجرا حذف می‌شود.

➖کاهش احتمال تجزیه و تحلیل: در شرایطی که نگرانی از آنالیز توسط متخصصان تهدید یا تحلیلگران بدافزار وجود داشته باشد، حذف خودکار فایل اجرایی می‌تواند مانع از دستیابی به آن شود.

در این مقاله به بررسی امکان حذف یا self-delete کردن یک فایل باینری (.exe) در حال اجرا در ویندوز پرداختیم. در ابتدا به تفاوت‌های اساسی میان سیستم‌های فایل لینوکس (با استفاده از Reference Counting) و ویندوز (با استفاده از File Locking) اشاره کردیم.

سپس به معرفی Alternate Data Streams (ADS) در ویندوز و نحوه استفاده از آن به عنوان راهکاری جایگزین پرداختیم. در نهایت، با ارائه یک راهنمای پیاده‌سازی عملی، فرآیند علامت‌گذاری و حذف فایل اجرایی پس از بستن آخرین هندل توضیح داده شد.

نویسنده میلاد کهساری الهادی
راهبر فنی و تحقیقات آزمایشگاه امنیت سایبرنتیک آیو
سه شنبه - ۲۳ بهمن ۱۴۰۳

@aioooir | #ciso #story #cfc

📌 تصویربرداری مسیر حمله: رویکردی نوین در شناسایی و مقابله با تهدیدات سایبری

در ادامه سری مقالات CISO و CFC، این بار به مبحث Attack Path Visualization خواهیم پرداخت که انتظار می رود بعد از هر بار انجام Redteaming یا Purple Teaming یا حتی Penetration Test این APV ارائه شود. در هر صورت، در دنیای امنیت سایبری، مهاجمان همواره به دنبال مسیرهای نفوذی برای دسترسی به دارایی‌های ارزشمند سازمان‌ها هستند.

تصویربرداری مسیر حمله (APV)، یکی از تکنیک‌های نوین در زمینه امنیت اطلاعات است که به تحلیل و نمایش مسیرهای بالقوه حمله کمک می‌کند. این روش به تیم‌های امنیتی امکان می‌دهد تا نقاط ضعف و گلوگاه‌های مهم را شناسایی کرده و اقدامات پیشگیرانه‌ای برای کاهش خطرات انجام دهند.

🔺 تصویربرداری مسیر حمله یا Attack Path Visualization چیست؟

تصویربرداری مسیر حمله، نمایشی گرافیکی از مسیرهای احتمالی است که یک مهاجم می‌تواند از نقطه ورود به سیستم تا دسترسی به دارایی‌های ارزشمند طی کند. این روش به تیم‌های امنیتی امکان می‌دهد تا با دیدی جامع، نقاط ضعف و مسیرهای بالقوه نفوذ را شناسایی کنند.

اهمیت تصویربرداری مسیر حمله در امنیت سایبری

با افزایش تعداد دارایی‌ها و پیچیدگی شبکه‌ها، تعداد مسیرهای حمله نیز افزایش می‌یابد. اما همه این مسیرها به یک اندازه خطرناک نیستند و همه دارایی‌ها نیز اهمیت یکسانی ندارند. تصویربرداری مسیر حمله با ارائه نقشه‌ای از مسیرهای احتمالی مهاجمان، به تیم‌های امنیتی کمک می‌کند تا مسیرهایی که به دارایی‌های حیاتی منتهی می‌شوند را شناسایی و اولویت‌بندی کنند.

🔹چگونه تصویربرداری مسیر حمله به تیم‌های امنیتی کمک می‌کند؟

مبحث Attack Path Visualization با ارائه نمایشی از مسیرهای احتمالی حمله، به تیم‌های امنیتی امکان می‌دهد تا:

➖ نقاط ضعف و آسیب‌پذیری‌های قابل بهره‌برداری را شناسایی کنند.

➖ مسیرهای حمله به دارایی‌های حیاتی را اولویت‌بندی کنند.

➖ اقدامات پیشگیرانه برای مسدود کردن این مسیرها را برنامه‌ریزی و اجرا کنند.

🔹 نمونه‌ای از یک مسیر حمله

➖ یک مهاجم از طریق ایمیل فیشینگ، اطلاعات ورود یکی از کارکنان را به دست می‌آورد.

➖ از این اطلاعات برای دسترسی به شبکه داخلی استفاده می‌کند.

➖ با بهره‌گیری از آسیب‌پذیری‌های شناخته‌شده در سیستم‌های داخلی، به سطح دسترسی بالاتر دست می‌یابد.

➖ در نهایت، مهاجم می‌تواند به پایگاه‌های داده حیاتی یا سرویس‌های مالی سازمان دسترسی پیدا کند.

در این مثال، هر یک از این مراحل یک "گره" در مسیر حمله محسوب می‌شود که در تصویربرداری مسیر حمله قابل نمایش است. مزایای تصویربرداری مسیر حمله به شرح زیر است:

➖ شناسایی نقاط ضعف کلیدی: به تیم‌های امنیتی کمک می‌کند تا نقاطی را که بیشترین ریسک را دارند، شناسایی کنند.

➖ اولویت‌بندی تهدیدات: تمرکز روی مسیرهایی که به دارایی‌های حیاتی منتهی می‌شوند.

➖ افزایش کارایی تیم‌های امنیتی: امکان بهینه‌سازی منابع و اجرای اقدامات پیشگیرانه مؤثرتر.

➖ آگاهی بیشتر نسبت به حملات پیچیده: شناسایی حملاتی که از ترکیب چندین آسیب‌پذیری استفاده می‌کنند.

‼️چالش‌ها و راهکارها

یکی از چالش‌های اصلی، شناسایی و اولویت‌بندی مسیرهای حمله در میان تعداد زیادی از دارایی‌ها و آسیب‌پذیری‌ها است. ابزارهای تصویربرداری مسیر حمله با ارائه نمایشی گرافیکی و تعاملی، این فرآیند را تسهیل می‌کنند و به تیم‌های امنیتی کمک می‌کنند تا با تمرکز بر مسیرهای بحرانی، منابع خود را بهینه‌سازی کنند.

در نهایت، تصویربرداری مسیر حمله به عنوان یک ابزار استراتژیک، به سازمان‌ها کمک می‌کند تا با درک بهتر از مسیرهای احتمالی نفوذ، اقدامات مؤثرتری برای حفاظت از دارایی‌های خود انجام دهند.

نویسنده میلاد کهساری الهادی
راهبر فنی و تحقیقات آزمایشگاه امنیت سایبرنتیک آیو
جمعه - ۱۹ بهمن ۱۴۰۳

@aioooir | #ciso #story #cfc

در این پروسه کدام گروه ها نقش مهمی ایفا خواهند کرد؟ بله، صاحبان فناوری. شما تصور کنید فردا مایکروسافت، آی بی ام، آمازون، تسلا، و ... به صورت نوبتی اعلام کنند اکنون از بیت کوین حمایت خواهند کرد. برای همین است که در روز معارفه ترامپ همه این افراد دیده شدند و نقش پررنگی اکنون در دولت و نظام سیاسی جدید ایالات متحده آمریکا دارند. این افراد دیر یا زود این مسئله را عمومیت خواهند داد و دیگر برای بسیاری از کشورها و حتی شخص نمی صرفد که پول بومی داشته باشد. بله دوستان، خودتان را برای آینده آماده کنید. آینده ای که بانک های مرکزی هم سرنوشتی مانند مخابرات های محلی در مقابل استارلینک خواهند داشت.

@aioooir | #cryptocurrenct #networld

بعد از اینکه مستند چهار سوار انتشار پیدا کرد و بسیاری از متخصصان و بزرگان علم اقتصاد در آن به مسائل و مشکلات اقتصادی آتی ایالات متحده آمریکا اشاره کردند، خیلی از مسائل عمومیت پیدا کرد از جمله مهم ترین مسئله که حذف دلار از چرخه اقتصادی جهان بود و البته اگر این اتفاق رخ دهد چه بلایی سر آمریکا خواهد آمد. خود آمریکایی ها این مسئله را پیش از اینکه ابزار دست کشورهای دیگر برای ضربه زدن به آن ها شود، ریشه یابی کرده بودند. از همین روی، وقتی مسئله ای را شناسایی کنید، حتما برای آن هم راه حلی ارائه خواهید داد.

در هر صورت، آن ها از دهه 80 به اینور روی این مسئله کار می کردند که چطور می شود با این پدیده کنار آمد ولی نه آمریکا آسیب ببیند و نه کشور دیگری بتواند برنده حذف دلار از اقتصاد جهان شود (از جمله چین). بیت کوین پاسخی برای این مسئله بود. درست است که دیر یا زود بسیاری از کشورها رو به سمت پیمان های پولی دوجانبه و چند جانبه می روند، آمریکایی ها هم هر کاری کنند جلوی این مسئله را نمی توانند بگیرند. برای همین از سال 2010 مسئله عمومیت بخشیدن به بیت کوین را شروع کردند.

بیشترین مقدار بیت کوین هم اکنون دست خود امریکایی هاست. شخصیت ساتوشی ناکاماتو هم جزئی از یک بازی سیاسی و اقتصادی بزرگ به حساب میاد؛ اما در نهایت بیت‌کوین به عنوان یک دارایی نوین ظاهر شد که کشورها برای حفظ نفوذ اقتصادی، باید به سمت ایجاد صندوق‌های ذخیره بیت‌کوین حرکت کنن. این ها بیت کوین را ایجاد کردند تا اقتصاد جهانی را در آینده شیفت بدهند به سمت دارایی های نوین.

در این شرایط چه کسی نبض اقتصاد جهان را در آینده در دست خواهد داشت؟ کشوری که بیشترین دارایی بیت کوین یا دارایی های نوین را داشته باشد. خلاصه الان که بحث این مسئله مجدد شکل گرفت، خواستم اشاره کنم بیت کوین آینده اقتصاد است. هر کشوری دیرتر به سمت ایجاد صندوق ذخیره بیت کوین برود، آن کشور بالاترین ضرر را در آینده خواهد کرد. تا حد ممکن از شرایط استقاده کنید و دارایی های رمزارزی خودتان را افزایش بدهید.

آینده متعلق به بیت کوین است. هم به این دلیل که ماهیت ضدتورومی دارد. هم به این دلیل که بزرگان جهان اجازه نخواهند داد که به سادگی دلار از چرخه جهان حذف شود. راستی یادتان نرود، چیزی مانند TETHER هم از روی هوا نیامده است. همه این ها پلن های کلان اقتصادی بوده است. دلار از چرخه اقتصاد جهان حذف نخواهد شد که هیچ، بلکه در قالب تتر خود را ریبرند می کند و جهان را مجدد به زیر سلطه خود در می آورد.

شایان ذکر است، نظرات و مطالعات علمی مانند مقالات منتشر شده توسط بانک جهانی، IMF و دانشگاه‌های معتبر (مانند تحقیقات دانشگاه MIT در حوزه اقتصاد دیجیتال) نیز بر این باورند که تغییر الگوی ارزها و ورود ارزهای دیجیتال به چرخه اقتصادی جهانی یک روند اجتناب‌ناپذیر است. به عبارت ساده، آینده اقتصاد جهان متعلق به بیت‌کوین و ارزهای دیجیتال خواهد بود؛ پس بهتر است از زمان بهره ببرید و دارایی‌های رمزارزی خود را بهبود بخشید.

نویسنده میلاد کهساری الهادی
راهبر فنی و تحقیقات آزمایشگاه امنیت سایبرنتیک آیو
سه شنبه - ۱۶ بهمن ۱۴۰۳

@aioooir | #cryptocurrency

🔹راهکارها و توصیه‌های مقابله‌ای

➖به‌کارگیری سیاست‌های سختگیرانه CSP: با استفاده از Content Security Policy (CSP) می‌توان بارگذاری اسکریپت‌های ناشناخته را محدود کرد و از اجرای کدهای ماینر جلوگیری نمود.

➖نصب افزونه‌های مرورگر: افزونه‌هایی مانند NoCoin می‌توانند از بارگذاری و اجرای کدهای استخراج جلوگیری کنند و به عنوان یک خط دفاعی در مقابل ماینرهای مبتنی بر جاوااسکریپت عمل نمایند.

➖نظارت دقیق بر منابع: علاوه بر نظارت بر CPU، نظارت بر GPU، حافظه، و حتی درخواست‌های شبکه (مانند ترافیک WebSocket) ضروری است تا فعالیت‌های مشکوک استخراج را شناسایی کرد.

➖تحلیل ترافیک شبکه و استفاده از SIEM: استفاده از سیستم‌های SIEM مانند Splunk یا Elastic Stack می‌تواند کمک کند تا الگوهای غیرمعمول ترافیکی ناشی از ماینرهای پنهان شناسایی و به سرعت واکنش نشان داده شوند.

نتیجه‌گیری

با توجه به پیشرفت‌های فناوری، ماینرهای مبتنی بر مرورگر از زمان آغاز در سایت Pirate Bay به یکی از چالش‌های جدی در امنیت سایبری تبدیل شده‌اند. از استفاده از تگ‌های سنتی <script> به تگ‌های پیشرفته‌تر مانند <canvas> و بهره‌گیری از WebAssembly و GPU استخراج، مسیر این تهدید به گونه‌ای تغییر یافته که تنها نظارت ساده بر مصرف CPU کافی نیست. متخصصان امنیتی باید از ترکیب روش‌های چندگانه برای تشخیص (CPU، GPU، ترافیک شبکه) استفاده کنند.

سیاست‌های امنیتی مانند CSP و نصب افزونه‌های مرورگر می‌توانند به کاهش این تهدید کمک کنند. همچنین، آموزش و به‌روز‌رسانی مداوم قوانین SOC در کنار استفاده از SIEM، نقش مهمی در شناسایی سریع و واکنش به این تهدیدات دارند. در نهایت، ماینرهای مرورگر نه تنها یک تهدید قدیمی نیستند، بلکه با بهره‌گیری از فناوری‌های نوین به شکلی پنهان‌تر و کارآمدتر عمل می‌کنند. به همین دلیل، نیاز به روش‌های تشخیص و مقابله پیشرفته، شامل نظارت بر GPU، تحلیل دقیق ترافیک شبکه و به کارگیری افزونه‌های محافظتی بسیار ضروری است.

نویسنده میلاد کهساری الهادی
راهبر فنی و تحقیقات آزمایشگاه امنیت سایبرنتیک آیو
شنبه - ۱۳ بهمن ۱۴۰۳

@aioooir | #ciso #story

📌تکامل ماینرهای مرورگر از دوران Pirate Bay تا امروز

در مقاله گذشته آیو، درباره ماینرهای تحت مرورگر و بدافزارهایی که دارای این ویژگی هستند، صحبت شد. در این مقاله و در ادامه سری مقالات CISO و CSIRT، به آخرین تغییرات در این حوزه اشاره خواهیم کرد. در هر صورت، از آنجا که اولین بار سایت Pirate Bay با استفاده از کدهای مبتنی بر جاوااسکریپت برای استخراج ارزهای دیجیتالی شناخته شد، ماینرهای مرورگر به یکی از تهدیدات رایج در دنیای امنیت سایبری تبدیل شدند. در ابتدا، ماینرهای ساده مبتنی بر <script> استفاده می‌شدند که به راحتی از طریق افزایش مصرف CPU قابل تشخیص بودند. اما به تدریج، ابزارها و تکنیک‌های استخراج پیشرفته‌تری ظهور کردند که تشخیص آن‌ها را دشوارتر ساخت. در ادامه، به بررسی روند تکامل این تهدید، چالش‌های عملی و نمونه‌های واقعی پرداخته می‌شود.

ماینرهای ساده مبتنی بر <script>: در اوایل، کدهای استخراج در قالب تگ <script> به صفحات وب اضافه می‌شدند که مصرف CPU بالایی داشتند. در نتیجه، با نظارت ساده بر مصرف CPU (مثلاً بیش از ۵۰ درصد)، به راحتی قابل شناسایی بودند.

ظهور Coinhive و ابزارهای مشابه: بدافزار Coinhive به عنوان اولین ابزار استخراج ارز دیجیتالی مانند Monero در مرورگر معرفی شد. این ابزار به دلیل طراحی ساده و قابلیت استفاده آسان، بسیار محبوب گردید، اما به زودی با انتشار افزونه‌هایی مانند NoCoin توسط جامعه امنیتی، تلاش‌های مقابله‌ای صورت گرفت و عملا رویکرد Coinhive بی اثر شد.

🔺تکنیک‌های پیشرفته و تغییرات در روند استخراج:

ماینرهای نسل جدید به جای استفاده از <script>، از تگ <canvas> بهره می‌برند. این تکنیک باعث می‌شود کدهای استخراج در میان کدهای گرافیکی پنهان شوند و از ابزارهای تشخیص سنتی عبور کنند. همچنین در گام بعد، بدافزارهای ماینر اقدام به استفاده از فناوری WebAssembly کردند. این فناوری امکان اجرای کدهای سطح پایین با کارایی بالا در مرورگر را فراهم کرده و ماینرها از آن برای افزایش کارایی و کاهش مصرف منابع بهره می‌برند. استخراج مبتنی بر WASM به دلیل سرعت بالا و کارایی بهینه، توانسته است جایگزین مناسبی برای اسکریپت‌های ساده شود. برخی ماینرهای جدید قادر به استفاده از GPU مرورگر هستند. این روش باعث کاهش بار روی CPU و افزایش پنهان‌سازی فعالیت‌های استخراج می‌شود. از این رو، تشخیص این نوع ماینرها تنها از طریق مانیتورینگ CPU کافی نیست و نیاز به نظارت بر مصرف GPU نیز وجود دارد.

🔺موارد عملی و تجربیات واقعی

برخی از ماینرهای پیشرفته با تغییر تنظیمات پردازشگر (Processor Affinity) تنها از یک هسته از چند هسته‌ای بودن سیستم استفاده می‌کنند. برای مثال، در سیستم‌های چهار هسته‌ای، با انتخاب تنها هسته شماره 0، مصرف نشان داده شده در مانیتورینگ به حدود ۲۵ درصد کاهش می‌یابد. این کار باعث می‌شود حتی در صورت وجود یک ماینر فعال، سیستم به نظر بی‌اثر و بدون افزایش شدید مصرف منابع برسد.

در زمان ظهور Coinhive، بسیاری از وبسایت‌های بزرگ از جمله سایت‌های اشتراک فایل و حتی برخی از سایت‌های خبری از این ابزار استفاده کردند. اما به زودی ابزارهایی برای شناسایی و مسدودسازی این کدها توسط افزونه‌های مرورگر مانند NoCoin توسعه یافت. از سوی دیگر، تجربه‌های عملی نشان داده‌اند که برخی وبسایت‌ها به دلیل بهینه‌سازی‌های داخلی و تغییرات در تنظیمات سیستم‌عامل، قادر به پنهان‌سازی فعالیت استخراج بوده‌اند.

در سال‌های اخیر، تحقیقات عملی نشان داده‌اند که استفاده از WebAssembly و GPU برای استخراج ارز دیجیتال باعث شده تا عملیات استخراج به طور کامل در پشت پرده و به صورت پنهان انجام شود. از آنجا که این تکنیک‌ها به سختی از طریق مانیتورینگ منابع سنتی (CPU) تشخیص داده می‌شوند، سازمان‌های امنیتی مجبور به استفاده از ابزارهای دقیق‌تری مانند تحلیل رفتار GPU و بررسی درخواست‌های شبکه شده‌اند.

🔹چالش‌های تشخیص ماینرهای مرورگر

➖ تکیه بر مصرف CPU به تنهایی ناکافی است: همانطور که گفته شد، تنظیمات بهینه‌سازی و استفاده از GPU باعث می‌شود صرفاً بررسی مصرف CPU برای تشخیص ماینر کافی نباشد.

➖ پنهان‌سازی کدهای استخراج: استفاده از تکنیک‌های Obfuscation، تغییر دینامیکی کد (مانند WebAssembly) و بهره‌گیری از تگ‌های پنهان مانند <canvas> باعث شده تا تشخیص کدهای استخراج بسیار دشوارتر شود.

➖ ابزارهای تشخیصی: افزونه‌هایی مانند NoCoin در مرورگرها و سیستم‌های تشخیص نفوذ مبتنی بر تحلیل الگوهای HTTP و WebSocket به کار گرفته می‌شوند تا این فعالیت‌ها را شناسایی کنند. همچنین، نظارت بر مصرف GPU و بررسی درخواست‌های غیرمعمول به عنوان راهکارهای تکمیلی به کار گرفته می‌شود.

@aioooir | #ciso #story

📌 آشنایی با BGP و حملات BGP Hijacking

پروتکل BGP (Border Gateway Protocol) به‌عنوان یکی از حیاتی‌ترین پروتکل‌های مسیریابی در اینترنت، نقش کلیدی در تبادل اطلاعات مسیریابی بین سیستم‌های خودمختار (Autonomous Systems یا AS) دارد. در ادامه به تشریح ساختار کلی این پروتکل و مفهوم BGP Hijacking (ربودن مسیرهای BGP) پرداخته می‌شود.

🔺پروتکل BGP چیست؟

وظیفهٔ اصلی BGP، انتخاب بهینه‌ترین مسیر جهت انتقال ترافیک از مبدا به مقصد در سطح اینترنت است. این بهینه‌بودن می‌تواند از منظر معیارهایی نظیر کمترین هزینه، کوتاه‌ترین مسیر ASها (بسته به سیاست‌ها و پیکربندی‌های شبکه) تعریف شود. لازم به ذکر است که پروتکل BGP خود داده‌ها (Packet) را منتقل نمی‌کند؛ بلکه اطلاعات مربوط به مسیرهای مسیریابی بین روترها (به عنوان BGP peers) مبادله می‌شود تا تصمیم‌گیری برای هدایت بسته‌های داده بر اساس مسیرهای اعلام‌شده صورت گیرد.

🔺سیستم‌های خودمختار (AS)

هر موجودیت شبکه‌ای بزرگ، مانند یک ISP یا سازمان‌های بزرگ، به عنوان یک Autonomous System (AS) شناخته می‌شود. هر AS دارای یک شماره شناسایی (ASN) یکتا است که توسط IANA (Internet Assigned Numbers Authority) یا RIRهای منطقه‌ای تخصیص می‌یابد. همچنین، Prefix به مجموعه‌ای از آدرس‌های IP تعلق‌دار به یک AS گفته می‌شود که به صورت پیشوند (Prefix) اعلام می‌شود. برای مثال، اگر یک AS مالک بازه 70.177.0.0/20 باشد، این AS آن بازه را در اعلان‌های BGP به عنوان مالک اعلام می‌کند.

روترهای لبه (Edge Routers) که بین ASها قرار دارند، از طریق ایجاد جلسات BGP (BGP sessions) اطلاعات مربوط به Prefixها و مسیرهای مربوطه را مبادله می‌کنند. این اطلاعات به تدریج در کل اینترنت پخش شده و در نهایت در Routing Information Base (RIB) جهانی جمع‌آوری می‌شوند. روترها با توجه به معیارهایی نظیر هزینه، تعداد ASهای میانی، سیاست‌ها و سایر عوامل، بهترین مسیر را برای عبور بسته‌های داده انتخاب می‌کنند. برای درک بهتر این مسائل، می توانید منابع پیشنهادی از جمله RFC 4271 - A Border Gateway Protocol 4 (BGP-4) و Huitema, C. (2000). Routing in the Internet. Prentice Hall را مطالعه کنید.

🔺حمله BGP Hijacking چیست؟

در حمله BGP Hijacking یا به عبارتی BGP Route Hijacking، مهاجم با اعلام پیشوندهای جعلی یا دستکاری‌شده، سعی در متقاعد کردن روترها دارد تا مسیر ترافیک مقصد به سمت AS مهاجم هدایت شود، در حالی که مالکیت واقعی آن Prefix به AS دیگری تعلق دارد. اهداف حمله:

➖ شنود و بازرسی ترافیک: مهاجم می‌تواند ترافیک عبوری را دریافت، تحلیل یا حتی تغییر دهد.
➖انحراف ترافیک: از طریق هدایت ترافیک به مسیرهایی با سرعت پایین‌تر یا مسیرهایی که باعث اختلال در سرویس می‌شوند.
➖فیشینگ و جعل دامنه: با هدایت ترافیک سرویس‌های خاص به سرورهای تحت کنترل خود، حملات MITM (Man-In-The-Middle) یا سرقت اطلاعات انجام می‌شود.

لازم به ذکر است که در برخی موارد، دولت‌ها یا سازمان‌ها نیز از تکنیک‌های مشابه برای نظارت یا سانسور ترافیک اینترنتی بهره می‌برند. فرض کنید IP یک سرویس پیام‌رسان (مانند تلگرام) متعلق به AS XYZ باشد. مهاجم در روتر خود اعلام می‌کند که «برای دسترسی به بازه 149.154.175.0/24 مسیر من بهینه‌ترین است». اگر همسایه‌های BGP این اعلان را بپذیرند، بسته‌های مربوط به آن بازه از طریق AS مهاجم هدایت می‌شود. در این حالت، مهاجم می‌تواند بسته‌ها را شنود کرده یا تغییرات لازم را اعمال کند، سپس ترافیک را به مقصد واقعی منتقل کند یا مسدود نماید. یکی از مقالات جامع در این زمینه، مقاله Detecting and Defending Against BGP Hijacking Attacks است.

🔺عواقب و گستره حملات BGP Hijacking

حتی یک اعلان اشتباه یا نادرست می‌تواند باعث هدایت بخش عظیمی از ترافیک اینترنت به مسیرهای نادرست شود و منجر به اختلال در سرویس‌های حیاتی گردد. از جمله عواقب مهم می‌توان به موارد زیر اشاره کرد:

➖ اختلال در دسترسی به سرویس‌ها: ممکن است خدمات آنلاین به‌طور کامل یا جزئی دچار قطعی یا کاهش سرعت شوند.
➖ هشدارهای امنیتی: سازمان‌ها یا کشورهایی که به صورت غیرمجاز اقدام به Advertise Prefixهای دیگران می‌کنند، در صورت شناسایی با پیگرد قانونی و جریمه‌های سنگین روبرو خواهند شد.
➖مسائل بین‌المللی: توافقات و سیاست‌های بین‌المللی از ASها خواسته‌اند که مالکیت Prefixهای مربوط به سازمان‌های دیگر را به هیچ عنوان ادعا نکنند.

@aioooir | #bgp #network #hacking

🔹 روش‌های جلوگیری از حملات BGP Hijacking

برای مقابله با حملات BGP Hijacking، چندین روش امنیتی و فنی وجود دارد که در ادامه به مهم‌ترین آن‌ها اشاره می‌شود:

➖ استفاده از RPKI (Resource Public Key Infrastructure): این سازوکار با استفاده از امضای دیجیتالی، صحت مالکیت AS نسبت به Prefixها را تأیید می‌کند. در صورت اجرای صحیح، اعلان‌های نادرست رد خواهند شد.

➖استفاده از Prefix (Prefix Filtering): ارائه دهندگان اینترنت یعنی ISPها و اپراتورهای بزرگ از لیست‌های معتبر AS و بازه‌های IP (مانند فیلترهای Bogon یا IRR-based filtering) برای جلوگیری از پذیرش اعلان‌های نادرست استفاده می‌کنند.

➖ افزایش ایمنی در پیکربندی روترها: تنظیم صحیح دسترسی‌های مدیریتی، استفاده از احراز هویت قوی برای BGP Session (مانند MD5 یا الگوریتم‌های بهبود یافته) و محدود کردن اعلان‌های ورودی از همتایان نامعتبر از جمله اقدامات پیشنهادی است.

➖سیستم‌های نظارتی: سرویس‌هایی مانند BGPMon یا سیستم‌های نظارتی RIPE NCC (مانند RIS) به رصد وضعیت اینترنت و شناسایی اعلان‌های غیرمعمول کمک می‌کنند.


نتیجه‌گیری

پروتکل BGP به‌عنوان ستون فقرات تبادل اطلاعات مسیریابی در اینترنت، از اهمیت ویژه‌ای برخوردار است. اما به دلیل عدم وجود احراز هویت قوی در اعلان‌های مسیریابی، امکان بهره‌برداری توسط مهاجمان و انجام حملات BGP Hijacking فراهم شده است. این حملات می‌تواند منجر به شنود، سانسور یا تغییر داده‌ها شود. در نتیجه، پیاده‌سازی روش‌های امنیتی نظیر RPKI، فیلتر Prefix و بهبود پیکربندی روترها از اهمیت بالایی برخوردار است؛ گرچه اجرای کامل این تدابیر در سراسر جهان همچنان با چالش‌هایی مواجه است.

@aioooir | #bgp #network #hacking

@aioooir | #chinese

📌بررسی تاریخی: تحول در تعریف سوسیالیسم و سرمایه‌داری

در این مقاله می‌خواهم با توجه به اتفاقات اخیر، نگاهی مجدد به سرمایه‌داری و سوسیالیسم (یا کمونیسم) داشته باشم. هدف این مقاله تحلیل دلایل موفقیت چین در حوزه‌هایی مانند خودروهای برقی (EV) و هوش مصنوعی (AI) و بیان ناکارآمدی سرمایه‌داری آمریکا در این زمینه‌هاست.

🔺🔺بررسی تاریخی: تحول در تعریف سوسیالیسم و سرمایه‌داری

در دهه ۱۹۸۰، دنگ شیائوپینگ، رهبر اصلاح‌طلب چین، اعلام کرد که تنها در اواسط قرن بیست و یکم چین می‌تواند به جایگاهی برسد که برتری سوسیالیسم بر سرمایه‌داری را اثبات کند. اما واقعیت این است که چین این هدف را زودتر از موعد مقرر محقق کرد. اصلاحات اقتصادی چین و ایجاد «اقتصاد بازار سوسیالیستی» نه تنها رشد اقتصادی این کشور را تسریع کرد، بلکه تعریفی جدید از مفهوم سوسیالیسم ارائه داد.

به گفته دنگ: «توسعه اقتصاد بازار به معنای پذیرش سرمایه‌داری نیست. ما می‌توانیم در چارچوب یک سیستم برنامه‌ریزی شده، بازار را نیز به کار گیریم.» این نگرش باعث شد که چین بتواند رقابتی‌ترین صنایع جهانی را در چارچوب سوسیالیسم مدیریت کند.

🔺مقایسه رقابت در صنایع: تسلا در برابر BYD

در زمینه صنعت خودروسازی، آمریکا با شرکت‌هایی مانند تسلا، که در ابتدا نوآورانه بود، تنها به تولید چند مدل محدود از خودرو ادامه می‌دهد. در حالی که چین، با صدها شرکت فعال در حوزه وسایل نقلیه الکتریکی (NEV)، رقابتی بی‌رحمانه را هدایت می‌کند. شرکت BYD به تنهایی بیش از ۴۰ مدل خودرو عرضه می‌کند که تنوع آن به نیازهای مختلف مصرف‌کنندگان پاسخ می‌دهد. این رقابت شدید در چین نشان می‌دهد که:

➖ چین از یک سیستم بازار محور در چارچوب سوسیالیسم استفاده می‌کند.
➖ سرمایه در چین با هدفی مشخص‌تر و کارآمدتر تخصیص داده می‌شود.
➖ آمریکا در مقابل، سرمایه‌گذاری‌های غیرمنطقی و حتی ناکارآمدی دارد که تنها به سود سهامداران و افزایش خطوط نمودارهای مالی ختم می‌شود.

🔺هوش مصنوعی: سوسیالیسم با کارآیی بیشتر

حوزه هوش مصنوعی نیز تصویر واضحی از تفاوت این دو سیستم اقتصادی ارائه می‌دهد. چین توانسته است با هزینه‌ای معقول (۵.۵ میلیون دلار) به دستاوردهای بزرگی دست یابد، در حالی که در آمریکا، سرمایه‌گذاری‌های عظیم (۵۰۰ میلیارد دلار) اغلب با اهدافی نظیر جلب نظر سرمایه‌گذاران و کسب سود کوتاه‌مدت انجام می‌شود.

هوش مصنوعی چینی مانند DeepSeek، کاربردی و مقرون‌به‌صرفه است، در حالی که هوش مصنوعی در سیستم سرمایه‌داری غرب بیشتر به عنوان ابزاری برای "نمایش" یا "نشانه‌گذاری اجتماعی" (Luxury Signaling) عمل می‌کند. در این زمینه، چین به دنبال ارائه محصولاتی ارزان و کاربردی است، در حالی که آمریکا به دنبال رشد غیرمنطقی و سرمایه‌گذاری‌های پرهزینه است که غالباً تأثیر واقعی در زندگی مردم ندارد.

🔺چرا سرمایه‌داری ناکارآمدی نشان می‌دهد؟

سرمایه‌داری در دهه‌های اخیر، به‌ویژه پس از دوره‌ی مقررات‌زدایی (Deregulation) دهه ۱۹۸۰، به تدریج از اهداف اصلی خود فاصله گرفته است. دلایل این ناکارآمدی عبارت‌اند از:

➖ تمرکز بر سود کوتاه‌مدت: هدف سرمایه‌گذاری‌ها تنها افزایش قیمت سهام یا سود کوتاه‌مدت است، نه خلق ارزش پایدار.

➖ضعف در تخصیص سرمایه: سرمایه‌داری نتوانسته سرمایه را به طور کارآمد برای نوآوری‌های اساسی یا حل مشکلات اجتماعی تخصیص دهد.

➖رشد بی‌هدف: رشد در سرمایه‌داری صرفاً برای "رشد" و افزایش بازدهی سرمایه است، حتی اگر به زیان محیط زیست یا رفاه عمومی باشد.

🔸سوسیالیسم به‌عنوان سیستم برتر در قرن بیست و یکم

چین نشان داده است که سوسیالیسم می‌تواند با حفظ روحیه رقابت‌طلبی، از ابزارهای بازار برای پیشبرد اهداف اجتماعی استفاده کند. این کشور با تولید خودروهای برقی ارزان‌قیمت و هوش مصنوعی مقرون‌به‌صرفه، نشان می‌دهد که تمرکز بر انسان و نیازهای واقعی، نه سرمایه، می‌تواند مؤثرتر باشد.

🔹نتیجه‌گیری: آیا زمان بازنگری در سرمایه‌داری فرا رسیده است؟

موفقیت چین در حوزه‌هایی مانند خودروهای برقی و هوش مصنوعی نشان می‌دهد که شاید زمان آن رسیده است که جهان درک خود از سرمایه‌داری و سوسیالیسم را بازنگری کند. آیا می‌توان سیستمی ایجاد کرد که از نوآوری و رقابت سرمایه‌داری بهره‌مند شود، اما در عین حال اهداف انسانی و زیست‌محیطی را نیز در اولویت قرار دهد؟

نویسنده میلاد کهساری الهادی
راهبر فنی و تحقیقات آزمایشگاه امنیت سایبرنتیک آیو
سه شنبه - ۹ بهمن ۱۴۰۳

@aioooir | #ciso #story

📌مکانیزم KVAS در مقابله با آسیب‌پذیری‌های مرتبط با Speculative Execution

در سال‌های اخیر، با کشف و انتشار آسیب‌پذیری‌های متعدد در مکانیزم Speculative Execution پردازنده‌های مدرن (نظیر Meltdown، Spectre، Foreshadow، ZombieLoad و …)، شرکت‌های نرم‌افزاری و سازندگان CPU مجبور شدند راهکارهای فوری (موقتی و بلندمدت) را برای کاستن از تهدید ناشی از این ضعف‌ها عرضه کنند. یکی از این راهکارها در مایکروسافت، مکانیزمی موسوم به Kernel Virtual Address Shadow یا به اختصار KVAS بود. این مکانیزم به‌ویژه برای کاهش آسیب‌پذیری Meltdown در ویندوز معرفی شد.

🔺مکانیزم Speculative Execution به زبان ساده

اغلب پردازنده‌های مدرن (Intel، AMD، ARM، و …) برای بهبود کارایی، از روشی به نام Speculative Execution استفاده می‌کنند. ایدهٔ کلیدی آن است که CPU، پیش‌بینی می‌کند کدام دستور بعدی اجرا خواهد شد و داده‌های موردنیاز آن را زودتر واکشی و آماده می‌کند. سپس اگر پیش‌بینی اشتباه باشد، اثرات را باطل (Rollback) می‌کند، اما اگر درست باشد، پردازنده از این فرصت برای افزایش سرعت اجرای دستورات بهره می‌برد.

➖مثال ساده: اگر کد برنامه در نقطه‌ای یک دستور پرش شرطی داشته باشد، پردازنده با توجه به الگوهای قبلی، تلاش می‌کند دستورات شاخه‌ای خاص را پیش‌اجرا کند تا زمان هدر نرود. این فرآیند در سطح ریزمعماری بسیار پیچیده است و جزئیات آن در مقاله‌های آکادمیک و مستندات سازندگان CPU تشریح شده است.

با وجود مزیت‌هایی که Speculative Execution برای کارایی دارد، با این حال بعدها در تحقیقاتی که افرادی مانند کاوه رضوی و ... انجام دادند، مشخص شد که در سناریوهای خاص، اطلاعات حساس پردازنده (رجیسترها، حافظه کرنل، کش و غیره) ممکن است از طریق کانال‌های جانبی (Side Channel Attacks) برای مهاجم آشکار شود.

🔺مشکل اصلی در Meltdown و حملات مشابه

در سناریوی Meltdown، یک فرآیند کاربری (User Mode) می‌توانست از طریق بهره‌برداری از Speculative Execution به بخش‌هایی از حافظه کرنل دسترسی خواندنی پیدا کند که در حالت عادی مجاز نیست. علت اصلی هم این بود که بخشی از فضای آدرس کرنل (Kernel Space) به صورت پیش‌فرض در فضای آدرس کاربر (User Space) مپ می‌شد (هرچند پرمیشن دسترسی منع می‌شد، اما Speculative Execution و برخی ضعف‌های ریزمعماری باعث افشای داده می‌شد).

Spectre و حملات دیگر هم با بهره‌گیری از حدس‌های اشتباه در ساختارهای پیش‌بینی شاخه (Branch Predictor) یا روال Speculative Execution، داده‌های حساس را نشت می‌دادند.

➖نکته: تفاوت Meltdown و Spectre در جزئیات نحوه بهره‌برداری از Speculative Execution است، اما ریشه هر دو در استفاده ناامن از داده‌های موقت CPU هنگام اجرای پیش‌فرض (Speculative) دستورهاست.

🔺راهکار مایکروسافت: Kernel Virtual Address Shadow (KVAS)

برای کاهش تهدید Meltdown، مایکروسافت در ویندوز، مکانیزمی را معرفی کرد با نام‌های مختلفی همچون Kernel Virtual Address Shadow (KVAS) یا KVA Shadowing اکنون معروف است. ایدهٔ اصلی این بود که فضای آدرس کرنل تا جای ممکن از دسترس فرآیندهای کاربر مخفی/جدا شود. به این معنی که:

@aioooir | #SpeculativeExecution #Meltdown #KVAS

🔹عدم مپ کردن حافظه کرنل در فضای کاربر (تا جای ممکن): پیش از این، جهت افزایش سرعت و تسهیل فراخوانی سیستم (Syscall)، بخشی از حافظه کرنل در فضای آدرس کاربر وجود داشت ولی پرمیشن آن طوری بود که کاربر نمی‌توانست مستقیماً به آن دسترسی بگیرد. با این حال، حمله Meltdown نشان داد که Speculative Execution می‌تواند این مانع را دور بزند.

🔹ساخت دو کپی متفاوت از جدول صفحه (Page Table): یک کپی مخصوص حالت کاربر (User-Mode Page Table)، حاوی صفحات لازم برای اجرای برنامه کاربر، یک کپی مخصوص حالت کرنل (Kernel-Mode Page Table)، حاوی صفحات فضای هسته سیستم‌عامل. بدین ترتیب، وقتی کد در بافت (Context) کاربر اجرا می‌شود، دیگر آدرس‌های مربوط به حافظه هسته در Page Table دیده نمی‌شوند تا Speculative Execution نتواند به آن‌ها دسترسی داشته باشد.

‼️مسئله Context Switch گران‌: واضح است که این جداسازی نیاز دارد هنگام سوییچ بین حالت کرنل و کاربر، تا حدی Page Table عوض شود. این باعث افزایش سربار (Overhead) و کاهش کارایی (Performance) در برخی سناریوها شده است. طبق تحقیقات مایکروسافت و اینتل، این کاهش سرعت گاهی محسوس بود، به‌خصوص در عملیات‌های I/O سنگین یا فراخوانی زیاد کرنل. با این حال، برخی محققان امنیتی نشان دادند که حتی با فعال بودن KVAS در ویندوز، راه‌های دور زدن باقی مانده بود یا همچنان سناریوهایی وجود داشت که داده‌ها را می‌شد لو داد. به‌عبارت دیگر، چون ریشه مشکل در معماری ریزپردازنده بود، یک پچ نرم‌افزاری نمی‌تواند آن را به‌طور کامل حل کند.

🔺چرا تغییر معماری ضروری است؟

همان‌طور که اشاره شد، این مسائل در طراحی بنیادی پردازنده نهفته است. حمله‌های Speculative Execution صرفاً از روشی که CPU برای اجرای پیش‌دستانه دستورات استفاده می‌کند، سوءاستفاده می‌کنند. برای رفع کامل نیاز است که سازندگان CPU (Intel, AMD, ARM) اصلاحات ریزمعماری انجام دهند تا اجرای پیش‌فرض یا دسترسی به داده‌ها در سناریوهای حدس اشتباه (Misprediction) موجب نشت اطلاعات نشود.

سیستم‌عامل‌ها و هایپروایزرها هم‌زمان برای پشتیبانی از این ویژگی‌های جدید به‌روز شوند و پچ‌های لازم را اعمال کنند.
درنتیجه وقتی معماری تغییر می‌کند، ممکن است ساختار Page Table یا مدیریت کش (Cache) و ترجمه آدرس (TLB) هم متحول شود که نیازمند آپدیت‌های گسترده در سیستم‌عامل‌ها، بایوس (Firmware)، درایورها و غیره است.

در نهایت، باید به یاد داشت که Speculative Execution همچنان قلب بهبود کارایی در پردازنده‌های مدرن است و بعید است حذف شود. رویکردهای مقطعی نظیر KVAS تنها راهی برای کند کردن یا دشوار کردن روند اکسپلویت هستند تا زمانی که معماری پردازنده‌ها fundamentally (به شکل ریشه‌ای) بازطراحی شود.

@aioooir | #SpeculativeExecution #Meltdown #KVAS

Join the Ai000 Cybernetics QLab

Are you passionate about Vulnerability Research (VR) and Exploit Development (ED)? Do you thrive on tackling complex binary challenges and pushing the boundaries of cybersecurity innovation? Ai000 Cybernetics QLab is expanding and seeking talented engineers—at all experience levels, from interns to senior professionals—to join our VR/ER Work Group in the following roles:

Open Positions

- Windows Kernel VR/ED Engineer / Intern
- Linux Kernel VR/ED Engineer / Intern
- Browser VR/ED Engineer / Intern
- Android VR/ED Engineer / Intern
- iOS VR/ED Engineer / Intern
- Embedded VR/ED Engineer / Intern
- Fuzzing (R&D) Engineer / Intern
- AI/ML Engineer (Analysis & Models)

What We Look For (Technical Skills)

- Solid background in Assembly, C, and C++
- In-depth knowledge of OS internals - At least one platform
- Experience with x64 and arm64 reverse engineering and debugging

What We Look For (Soft Skills)

- Proven problem-solving skills and keen attention to detail
- Strong team spirit and a desire to learn and innovate
- Excellent documentation and reporting skills
- Genuine passion for vulnerability hunting and exploit development

We welcome applicants of all skill levels. For internships, we prefer candidates aged 16 to 20 with C/Assembly programming abilities and a strong mathematics background.

How to Apply

If you’re ready to embrace new challenges and be part of a team reshaping the cybersecurity landscape, send your CV via Telegram to @clightning. We look forward to hearing from you!

@aioooir | #recruit

📌تشریح آسیب‌پذیری CVE-2024-49138 در درایور CLFS.sys و شیوه پیاده‌سازی اکسپلویت

درایور CLFS.sys یا Common Log File System در ویندوز برای مدیریت ساختارهای مربوط به لاگ‌های سیستمی استفاده می‌شود. آسیب‌پذیری CVE-2024-49138 نشان می‌دهد که این درایور، در شرایط خاص، می‌تواند برای دسترسی خواندن/نوشتن دلخواه در کرنل (Arbitrary Read/Write) مورد سوءاستفاده قرار بگیرد و منجر به Privilege Escalation شود. در این مقاله، ابتدا به تشریح مفهوم آسیب‌پذیری می‌پردازیم، سپس تحلیل کد منبع یک اکسپلویت را ارائه می‌دهیم تا ببینیم چگونه مهاجم می‌تواند از این نقص استفاده کرده و در نهایت سطح دسترسی بالایی در سیستم کسب کند.

🔺پیشینه و اهمیت CLFS.sys

مکانیزم CLFS (Common Log File System) برای نگهداری و بازیابی داده‌های لاگ در ویندوز است. این درایور با توابعی نظیر CreateLogFile و AddLogContainer کار می‌کند. هر فرایند می‌تواند Log File مخصوص به خود ایجاد کرده و از ساختارهای داخلی (Container) برای مدیریت تراکنش‌ها بهره ببرد. طبق بررسی‌ها، نسخه‌های خاصی از این درایور در مواجهه با فایل‌ها یا مخازن (Container) دستکاری‌شده، دچار رفتار نادرست در مدیریت حافظه می‌شوند. این رفتار می‌تواند منجر به Arbitrary Write در فضای کرنل گردد. در نتیجه، مهاجم قادر است ساختارهای کرنل را بازنویسی کرده و سطح دسترسی خود را از یک فرایند عادی به SYSTEM افزایش دهد.

🔺معماری و اهداف اکسپلویت

در ابتدا باید برای Arbitrary Write در فضای کرنل اقدام کرد که در نتیجه نوشتن بر روی آدرس‌های دلخواه (به‌خصوص _KTHREAD.PreviousMode یا ساختارهای EPROCESS) سپس Swap Token انجام داد و با جایگزینی توکن فرایند جاری با توکن سیستمی (برای گرفتن دسترسی Administrator یا System) کار را به پایان رساند.

🔺 ابزارها و توابع کلیدی

- استفاده از CreateLogFile: جهت ساخت یک فایل BLF (Backed Log File)

- استفاده از AddLogContainer: افزودن Container جدید به Log موجود و اعمال دستکاری روی ساختار حافظه داخلی.

- سپس NtReadVirtualMemory / NtWriteVirtualMemory: توابعی از ntdll برای خواندن/نوشتن در فضای آدرس کرنل (با استفاده از نقص CLFS).

اکسپلویت نیازمند دانستن ساختارهای دقیق کرنل (KTHREAD, EPROCESS, TOKEN offsets) است. همچنین باید نسخه ویندوز با آفست‌های ثابت منطبق باشد. مهاجم با ساخت فایل BLF، و سپس افزودن کانتینر آلوده، منطق CLFS.sys را وادار به فراخوانی تابعی می‌کند که دادهٔ مهاجم را در کرنل تفسیر می‌کند.

🔹راهکارهای دفاع در SOC:

- به‌روزرسانی سیستم: حتماً پچ رسمی را (درصورت انتشار) نصب کنید.

- مانیتورینگ رفتار مشکوک: ساختارهای CLFS معمولاً برای فعالیت‌های عادی کاربر کمتر استفاده می‌شوند؛ لاگ فعالیت فرایندهایی که BLF ایجاد می‌کنند یا AddLogContainer را صدا می‌زنند باید زیر نظر باشد.

- نظارت Exploit Guard/Hyper-V: فعال‌سازی مکانیزم‌های امنیتی پیشرفته ویندوز مانند HVCI ممکن است برخی از گام‌های Arbitrary Write را دشوارتر کند.

می‌توان انتظار داشت مهاجمان از روش‌های مشابه برای یافتن توابع دیگر (نظیر DbgkpTriageDumpRestoreState) جهت دسترسی نوشتن دلخواه استفاده کنند. احتمالات دیگری نیز برای Chain این نقص با آسیب‌پذیری‌های دیگر جهت تولید حملات پیچیده مطرح است.

در هر صورت، آسیب‌پذیری CVE-2024-49138 در CLFS.sys نمونه‌ای از ضعف‌های سطح کرنل است که امکان نوشتن دلخواه در حافظه را فراهم می‌کند و منجر به گرفتن Privilege Escalation می‌شود. اکسپلویت ارائه‌شده نشان داد چگونه با ساخت یک فایل BLF و افزودن کانتینر دستکاری‌شده می‌توان درایور CLFS را فریب داد و در نهایت توکن جاری را به توکن سیستمی تغییر داد. این آسیب‌پذیری اهمیت Patch کردن به‌موقع و نظارت بر سرویس‌های غیرمعمول (نظیر CreateLogFile) را برجسته می‌کند.

@aioooir | #exploitation #windows #clfs

CVE-2024-49138: vulnerability in CLFS.sys.

@aioooir | #clfs #exploitation

بختمون سیاه است.

@aioooir | #pain #meme

You can swap two variables without using a temp variable just by doing XOR 3 times.

@aioooir | #tips

Happy Father’s Day to the one who sacrifices so much so we can safely chase our dreams. Thank you, Dad, for everything. ❤️

@aioooir | #dad

📌معماری امنیت سایبری: پنج اصل حیاتی و یک اشتباه رایج

در ادامهٔ سلسله مقالات مرتبط با CSIRT و نقش CISO در سازمان، این بار به بررسی مباحث و چالش‌های مدرن در حوزهٔ امنیت سامانه‌های سایبرنتیک می‌پردازیم. هدف اصلی ما، معرفی پنج اصل حیاتی در معماری امنیت سایبری است که رعایت آن‌ها در پروژه‌ها و زیرساخت‌های سازمانی - به‌ویژه در صنعت بانکداری - نقشی حیاتی دارد. در انتهای این مقاله، یک اشتباه متداول را نیز بررسی خواهیم کرد که ممکن است سازمان‌ها به دام آن بیفتند.

🔺اصل اول: قلعه‌ای با دیوارهای چندلایه (دفاع در عمق - Defense in Depth)

دفاع در عمق به این معناست که مجموعه‌ای از لایه‌های امنیتی را به‌صورت هماهنگ و هم‌پوشان در سازمان پیاده‌سازی کنید تا اگر مهاجم توانست از یک لایه عبور کند، لایه‌های بعدی او را شناسایی یا متوقف کنند. در صنعت بانکداری، که اطلاعات حساس مالی و شخصی کاربران هدف اصلی حملات است، دفاع در عمق ستون فقرات معماری امنیتی محسوب می‌شود.

🔹سیاست اول و آماده‎سازی برای دفاع در عمق:

همیشه در تمامی جلساتی که داشته‌ام، این مسئله را ذکر کردم و مجدد هم در این مقاله ذکر خواهم کرد. استفاده کردن از سیستم‌عامل‌های کرک شده و همچنین دانلود شده از منبع غیراصلی (غیر وب‌سایت مایکروسافت)، دانلود نرم‌افزارهای کرک شده از هر نوعی، نصب محصولات آفیس کرک شده که به‌روزرسانی دریافت نمی‌کنند، استفاده از وب‌سایت‌های Soft98 و P30Download و ... را جد در تمامی واحدها و دپارتمان‌ها و ... ممنوع کنید.

در ساختاری که اولین و مهم‌ترین اصل امنیتی رعایت نمی‌شود، دیگر شما هزار تا فناوری قرار بده، چه نتیجه‌ای می‌خواهید دریافت کنید؟ اگر پول ندارید که سیستم‌عامل‌ها و محصولات اداری و نرم افزارهای کاربردی را خریداری کنید، خب بیخیال شوید و بروید روی لینوکس محیط را ستاپ کنید. در این مملکت کافی است یک APT سایت Soft98 را هک کند، چندتا پکیج را دستکاری کند، کلا مملکت برای آن ها متن باز خواهد شد. خجالت آور است که در جاهایی مانند بانک ها و صنایع فولادی و ... این مسائل مشاهده می‌شود.

حال ما اگر فرض کنیم، همه چیز از بیس درست است. سیستم عامل ها قانونی نصب شده اند. محصولات اداری لایسنس دارند و تمامی محصولات کاربردی هم قانونی نصب و راه اندازی شده اند، تازه می توانیم وارد مرحله دفاع در عمق شویم. والا از بیخ داستان مشکل دارد.

🔸لایهٔ اولیه دفاعی

➖فایروال نسل بعدی (NGFW): اولین مسئله ای که باید به آن پرداخته شود، موضوع فایروال روی اج شبکه است. استفاده از محصولات Fortinet FortiGate، Cisco Firepower، Juniper SRX Series با قابلیت‌های هوش تهدید (Threat Intelligence) و بررسی عمیق بسته (DPI) برای این مسئله پیشنهاد می‌شود.

➖سیستم تشخیص و پیشگیری نفوذ (IDS/IPS): سپس باید زیرلایه بعدی را پیکربندی کرد که مسئله تشخیص و پیشگیری از نفوذ است. برای این زیرلایه می توان به‌کمک Snort، Suricata یا محصولات اختصاصی از سیسکو و فورتی‌نت، ترافیک ورودی و خروجی را به شکل صحیح پایش کرد.

➖ کنترل دسترسی به شبکه (NAC): زیرلایه بعدی مسئله کنترل دسترسی به شبکه است. برای این مورد می توان با Cisco ISE یا Juniper ClearPass، هویت و سلامت دستگاه قبل از ورود به شبکه بانک یا هر صنعتی به دقت بررسی شود.

➖ احراز هویت چندعاملی (MFA): یکی از موضوعات خیلی مهم، زیرلایه MFA است. خود همین زیرلایه تاثیر بسیاری بر امنیت دارد. پیاده‌سازی Microsoft Authenticator، Cisco Duo، FortiToken برای کاهش ریسک سرقت حساب کاربری می تواند نقش مهمی ایفا کند.

🔸 لایهٔ دوم دفاعی

➖امنیت نقاط پایانی (Endpoint Security): راهکارهایی مثل سوفوس، کسپرسکی، ترندمیکرو یا حتی خود مایکروسافت دفندر برای شناسایی حملات و بدافزارها می‌توانند موردهای مناسبی باشند.

➖مدیریت وصله‌ها (Patch Management): یکی از مسائل بسیار مهم، وصله‌پذیری سیستم‌ها به سرعت است. برای این کار باید استفاده از Microsoft Intune / WSUS یا ابزارهای مشابه جهت به‌روزرسانی منظم سیستم‌ها و کاهش ریسک آسیب‌پذیری‌ها در الویت باشد.

➖رمزنگاری و حفاظت از داده‌ها: رمزنگاری دیسک با Microsoft BitLocker و احراز هویت رمزنگاری‌شده با FortiToken برای محافظت از اطلاعات حساس در صورت سرقت فیزیکی دستگاه مسئله مهم بعدی است.

🔸لایهٔ سوم دفاعی

➖سیستم مدیریت رویداد و اطلاعات امنیتی (SIEM): Splunk یا Elastic Stack (ELK) برای جمع‌آوری لاگ‌ها از فایروال، IDS/IPS، سرورها و دیتابیس‌ها و تحلیل همبستهٔ آن‌ها یکی از مسائل مهم امنیت در یک سازمان است. معماری و استقرار این زیرلایه بسیار اهمیت دارد. هر چقدر لاگیری و ایجاد همبستگی به درستی و با دقت انجام شود، مراحل بعدی می توانند در تشخیص و جلوگیری تهدیدات بهتر عمل کنند.

@aioooir | #ciso #story

➖خودکارسازی واکنش به رخدادها (SOAR): استفاده از Splunk SOAR (Phantom) یا ابزارهای متن‌باز (نظیر Shuffle یا StackStorm) برای تعریف پلی‌بوک‌های Incident Response و واکنش سریع به تهدیدات می توانند تا حدممکن فرآیند شناسایی و پاسخ به تهدیدات را سریع‌تر و دقیق‌تر کنند.

➖هوش تهدید (Threat Intelligence): یکپارچه‌سازی ماژول‌های TI در Splunk یا Elastic و بهره‌گیری از سرویس‌های متن‌باز نظیر MISP برای به‌روز نگه‌داشتن قواعد تشخیص بر اساس الگوهای جدید حملات یکی دیگر از مسائل مهم است. اگر این مورد به درستی انجام شود، امنیت سازمان می تواند به صورت جدی روی لبه حرکت کند.

🔹لایهٔ نهایی دفاعی

➖نظارت بر دیتابیس (Database Activity Monitoring - DAM): قابلیت همبستگی با Splunk یا Elastic و یا Microsoft SQL Auditing برای رصد مداوم تغییرات و دسترسی‌های مشکوک در جداول حیاتی بانکی یک رویکرد حیاتی است.

➖محافظت در برابر نشت داده (DLP): استفاده از ابزارهای تجاری DLP یا ابزارهای متن‌باز و پلاگین‌های Elastic برای نظارت بر محتوای ارسالی و جلوگیری از خروج اطلاعات حساس در سازمان هایی که داده محور هستند، باید جزوء الویت های جدی باشد تا در صورت نشت داده از داخل سازمان، امکان دسترسی به محتوای آن به سادگی نباشد.

➖آمادگی پاسخ به رخداد (IR) و بازیابی (Disaster Recovery): راهکارهایی نظیر Microsoft Sentinel یا محصولات سیسکو/فورتی‌نت برای مانیتورینگ مستمر و تهیهٔ پشتیبان منظم؛ مستندسازی سناریوهای IR برای کاهش زمان ازکارافتادگی سیستم در رویدادهای بحرانی هم مسئله جدی بعدی است. این رویکرد باید با توجه به BCP/DRP تمرین شود، تا در صورت رخداد یک سیستم حیاتی به مدت زمان طولانی از مدار عملیات خارج نشود.

🔺اصل دوم: حداقل سطح دسترسی (Least Privilege) – «هر کسی به اندازهٔ لیاقتش!»

اصل Least Privilege بیان می‌کند هر کاربر یا سرویس تنها به میزانی دسترسی داشته باشد که برای انجام وظایفش نیاز دارد. در محیط بانکی، یک حساب کاربری با دسترسی بی‌مورد به سرورهای حساس می‌تواند به‌راحتی هکرها را به اهداف حیاتی برساند.

➖ رویکرد Role-Based Access Control (RBAC): پیاده‌سازی کنترل دسترسی مبتنی بر نقش (مثلاً در Microsoft Active Directory) تا برای هر نقش، سطح دسترسی مجزا تعریف شود.

➖رویکرد Privileged Access Management (PAM): استفاده از ابزارهایی نظیر CyberArk یا BeyondTrust برای کنترل، نظارت و ثبت رفتار حساب‌های ادمین و دارای دسترسی ویژه (Privileged Accounts).

🔺اصل سوم: تفکیک وظایف (Separation of Duties) – «هیچ‌کس همه‌کاره نیست!»

در پروژه‌های بزرگ بانکی، ترکیب بی‌رویهٔ وظایف در دست یک شخص یا یک واحد سازمانی، خطر بروز تقلب و سوءاستفاده را افزایش می‌دهد. همچنین مشکلات مربوط به بازرسی و رسیدگی به حوادث امنیتی را دوچندان می‌کند.

➖ استاندارد ISO 27001: توصیه می‌کند نقش‌ها، مسئولیت‌ها و اختیارات به‌وضوح تفکیک شود.
➖ استاندارد NIST SP 800-53: راهنمایی برای ساختاردهی سیاست‌های تفکیک وظایف و مدیریت ریسک‌های مرتبط.

@aioooir | #ciso #story

🔺اصل چهارم: امنیت از طراحی (Secure by Design) – «از همون اول!»

در بسیاری از بانک‌ها، محصولات نرم‌افزاری یا سامانه‌های خاصی به‌کار می‌رود که توسط شرکت‌های دیگر توسعه یافته است. اگر امنیت از همان مراحل اولیه (طراحی تا پیاده‌سازی) در نظر گرفته نشود، پیاده‌سازی هرچقدر هم قوی باشد، ممکن است باگ‌ها و نقاط ضعف ریشه‌ای باقی بمانند.

➖ چارچوب SSDLC: تکیه بر به‌روش‌هایی مانند OWASP ASVS برای ارزیابی امنیتی نرم‌افزار از ابتدا.
➖ رویکرد DevSecOps: ابزارهایی نظیر Snyk و SonarQube برای شناسایی حفره‌های امنیتی در چرخه توسعهٔ نرم‌افزار.

🔺اصل پنجم: ساده نگه‌داشتن (KISS) – «امنیت پیچیده نباشه!»

هرقدر زیرساخت امنیتی پیچیده‌تر باشد، احتمال رخداد خطای پیکربندی یا سهل‌انگاری هم بیشتر می‌شود. سیستم‌های پیچیده اغلب نقاط کوری دارند که مهاجم می‌تواند از آن‌ها بهره‌برداری کند. از همین روی، تا حد ممکن امنیت یک سازمان باید شفاف و ساده باشد و در هیچ نقطه ای درهم تنیدگی رخ ندهد.

🔺اشتباه رایج: امنیت از طریق ابهام (Security by Obscurity)

یک تفکر نادرست این است که اگر مسیرها، URLها یا نام سرویس‌ها را مخفی کنیم، حمله‌گران به آن‌ها دسترسی نخواهند داشت. تجربه نشان می‌دهد مهاجمان ماهر از لایه‌های پنهان سازگاری عبور کرده و در نهایت، آسیب‌پذیری‌های واقعی را هدف می‌گیرند.

🔺نتیجه‌گیری: امنیت، هنر ترکیب استانداردها و فناوری‌ها

برای ساخت معماری امنیتی مقاوم، ابتدا باید دفاع در عمق را پیاده‌سازی کرد تا تهدیدات در لایه‌های مختلف شناسایی یا خنثی شوند. سپس با رعایت اصول حداقل سطح دسترسی و تفکیک وظایف، امکان سوءاستفاده از حساب‌های کاربری و بازرسی فرایندها تسهیل می‌شود. در گام بعدی، امنیت از طراحی تضمین می‌کند که محصولات و سرویس‌ها اساساً ایمن توسعه یابند. در نهایت، اصل ساده نگه‌داشتن (KISS) فرایند مدیریت و نگهداری را ساده کرده و احتمال خطا را کاهش می‌دهد. مراقب باشید تا به دام امنیت از طریق ابهام نیفتید. امنیت واقعی نیازمند پیاده‌سازی استانداردهای معتبر، استفاده از ابزارها و محصولات شناخته‌شده، و البته پایش و بازبینی مداوم است. تنها در این صورت است که یک سازمان، به‌ویژه یک بانک یا مؤسسهٔ مالی، می‌تواند در برابر حملات پیچیدهٔ سایبری ایمن بماند و اعتماد مشتریان خود را حفظ کند.

نویسنده میلاد کهساری الهادی
راهبر فنی و تحقیقات آزمایشگاه امنیت سایبرنتیک آیو
سه شنبه - ۲۵ دی ۱۴۰۳

@aioooir | #ciso #story

What to do and what not to do manual for agents.

@aioooir | #kgb

📌مدل جدید در معماری CSIRT با رویکرد Fusion Center و پایه‌گذاری اولین CFC در ایران

همانطور که پیش از این ذکر شد، در سلسله مقالات CSIRT و CISO، به بررسی مباحث و چالش‌های مدرن در پروژه‌های راه‌اندازی تیم CSIRT و مقابله با بحران‌های امنیتی خواهیم پرداخت.

در این مقاله، به بررسی مرکز همگرایی سایبری (Cyber Fusion) یک نسخه پیشرفته از مرکز عملیات امنیتی سنتی (SOC) خواهیم پرداخت که با هدف بهبود همکاری، ارتباط و پاسخگویی در عملیات امنیت سایبری طراحی شده است.

در پروژه اخیر خود برای یکی از بانک‌های خصوصی کشور، این رویکرد را برای مهندسی CSIRT دنبال کرده‌ام که هدف از آن ایجاد مرکز CFC به جای SOC سنتی با رویکرد یکپارچه‌سازی چندین عملکرد امنیتی مانند هوش تهدید، پاسخ به حوادث، مدیریت آسیب‌پذیری‌ها و تحلیل ریسک، یک چارچوب جامع و متمرکز است.

🔺مفهوم مرکز همگرایی (Fusion Center) و کاربرد آن

مفهوم Fusion Center یا مرکز همگرایی مفهومی است که ابتدا در حوزه امنیت ملی و مبارزه با تروریسم مطرح شد و بعدها به سایر حوزه‌های امنیتی از جمله امنیت سایبری گسترش یافت. پس از حملات 11 سپتامبر 2001 در ایالات متحده، نیاز به بهبود هماهنگی و اشتراک‌گذاری اطلاعات بین سازمان‌های امنیتی و اطلاعاتی به شدت احساس شد. در پاسخ به این نیاز، اولین Fusion Centers با هدف جمع‌آوری، تجزیه و تحلیل و اشتراک‌گذاری اطلاعات تهدیدات تأسیس شدند.

این مراکز توسط وزارت امنیت داخلی آمریکا (DHS) برای مقابله با تروریسم، جنایت‌های سازمان‌یافته و تهدیدات داخلی راه‌اندازی شدند. حال هدف ما این است که از این ایده برای ایجاد اولین مرکز CFC در ایران استفاده کنیم، زیرا با گسترش تهدیدات سایبری و پیچیده‌تر شدن حملات، مفهوم Fusion Center در امنیت سایبری به صورت جدی در کشور ما نیاز است. در هر صورت، Cyber Fusion Center (CFC) با هدف بهبود شناسایی و پاسخ به تهدیدات سایبری تأسیس شد که ویژگی‌های آن عبارتند از:

- ادغام تیم‌های امنیتی: تیم‌های قرمز (شبیه‌سازی حمله)، تیم‌های آبی (دفاع) و تیم‌های هوش تهدید در یک محیط مشترک کار می‌کنند.

- تحلیل داده‌های بزرگ: استفاده از هوش مصنوعی و تحلیل داده‌ها برای پیش‌بینی تهدیدات سایبری صورت می‌گیرد.

- واکنش سریع: کاهش زمان پاسخگویی به تهدیدات از طریق خودکارسازی و هماهنگی بین تیم‌ها انجام می‌شود.

🔺ویژگی‌های کلیدی مرکز همگرایی سایبری:

- یکپارچه‌سازی تیم‌ها: تیم‌های قرمز (شبیه‌سازی حملات)، تیم‌های آبی (دفاع) و تیم‌های هوش تهدید برای حذف شکاف‌ها با هم ادغام می‌شوند. این مسئله موجب تشویق همکاری فعالانه جهت شناسایی و پاسخ سریع‌تر و مؤثرتر به تهدیدات خواهد شد.

- مبتنی بر هوش تهدید: در این رویکرد به صورت لحظه‌ای اطلاعات تهدیدات جهانی و سازمانی با هم ادغام می‌شوند. سپس به صورت گسترده از تحلیل داده‌ها و یادگیری ماشین برای پیش‌بینی و کاهش تهدیدات استفاده خواهد شد.

- خودکارسازی و هماهنگی: در رویکرد بعدی Cyber Fusion از ابزارهای SOAR (هماهنگی، خودکارسازی و پاسخ به تهدیدات) برای مهار سریع تهدیدات استفاده می‌شود. در این رویکرد، تلاش بر این است که فرآیندهای دستی حذف شود و کارایی افزایش یابد.

- دفاع پیشگیرانه: در رویکرد بعدی، تمرکز بر شکار تهدیدات و ارزیابی ریسک برای جلوگیری از حملات پیش از وقوع است. این رویکرد بر نظارت مستمر و بهبود مداوم تمرکز دارد.

- ارتباطات پیشرفته: مسئله بعدی، تسهیل اشتراک‌گذاری اطلاعات میان تیم‌های امنیتی و سایر واحدهای تجاری است. این کار با هدف بهبود تصمیم‌گیری با ارائه دیدگاهی جامع از وضعیت امنیت سایبری انجام می‌شود.

🔹مزایای مرکز همگرایی سایبری:

- شناسایی و پاسخ سریع‌تر به تهدیدات: تیم‌های یکپارچه و فرآیندهای خودکار منجر به پاسخگویی سریع‌تر می‌شوند.

- بهبود همکاری: همکاری مؤثر بین تیم‌های چندوظیفه‌ای با حذف موانع ارتباطی شکل می‌گیرد.

- رویکرد امنیتی پیشگیرانه: پیش‌بینی و کاهش تهدیدات قبل از بروز آن‌ها رخ خواهد داد.

- استفاده بهینه از منابع: کاهش هزینه‌های عملیاتی و بار کاری از طریق خودکارسازی و بهینه‌سازی فرآیندها انجام می‌شود.

📺 نتیجه‌گیری:

مرکز همگرایی سایبری با ادغام نیروی انسانی، فرآیندها و فناوری، زیرساخت امنیتی تطبیق‌پذیرتر و مقاوم‌تری ایجاد می‌کند. این مرکز به سازمان‌ها کمک می‌کند تا با بهره‌گیری از همکاری، خودکارسازی و عملیات مبتنی بر هوش تهدید، به‌طور پیشگیرانه در برابر تهدیدات سایبری در حال تکامل دفاع کنند. در هر صورت، با توجه به سطح تهدیداتی که کشور اکنون با آن ها رو به رو است، باید از SOC به سمت CFC مهاجرت کرد. در زمینه راه اندازی CFC اگر نیاز به مشاوره دارید، به من @clightning پیام خصوصی بدهید.

نویسنده میلاد کهساری الهادی
راهبر فنی و تحقیقات آزمایشگاه امنیت سایبرنتیک آیو
شنبه - ۲۲ دی ۱۴۰۳

@aioooir | #ciso #story

@aioooir | #correct

🔺 آمادگی برای بدترین سناریوها: مقابله با تهدیدات پیچیده

با وجود تمامی تمهیدات امنیتی، تهدیدهایی مانند آسیب‌پذیری‌های روز صفر می‌توانند سازمان‌ها را در معرض خطر قرار دهند. بنابراین، آمادگی برای بدترین سناریوها ضروری است. این آمادگی شامل:

ایجاد معماری امنیتی مبتنی بر استانداردهای جهانی: استفاده از مدل‌های امنیتی مانند Zero Trust و Defense in Depth برای کاهش خطرات احتمالی و بهره‌گیری از اطلاعات تهدید (Threat Feeds) برای شناسایی رفتارهای مشکوک مشابه اکسپلویت‌های شناخته‌شده.

تمرین مدیریت بحران در شرایط واقعی: شبیه‌سازی بحران‌هایی که علاوه بر ابعاد فنی، جنبه‌های اجتماعی و روانی را نیز شامل می‌شوند.

تدوین سناریوهای شفافیت اطلاعات: سازمان باید برنامه‌ای برای انتشار اطلاعات در شرایط بحرانی داشته باشد که حقوق مشتریان را در اولویت قرار دهد.

در عصر تهدیدات پیچیده سایبری، مدیریت بحران نیازمند رویکردی جامع است که تمامی ابعاد فنی، عملیاتی و اجتماعی را دربرگیرد. مدیریت افکار عمومی در زمان بحران نه‌تنها تهدیدی برای سازمان نیست، بلکه فرصتی برای تقویت اعتماد مشتریان و ارتقای اعتبار برند است. سازمان‌هایی که این موضوع را به‌عنوان بخشی جدایی‌ناپذیر از مدیریت بحران در نظر می‌گیرند، توانایی بیشتری در حفظ سرمایه اجتماعی و عبور موفق از بحران خواهند داشت.

منابع

Coombs, W. T. (2007). Protecting Organization Reputations During a Crisis: The Development and Application of Situational Crisis Communication Theory. Corporate Reputation Review.

Mitroff, I. I., & Anagnos, G. (1994). Managing Crises Before They Happen: What Every Executive and Manager Needs to Know About Crisis Management. AMACOM.

Palen, L., Vieweg, S., Liu, S. B., & Hughes, A. L. (2007). Crisis Informatics: Studying Crisis in a Networked World. Proceedings of the Third International Conference on E-Social Science.

Xu, K., & Chen, M. (2020). Transparency in Crisis Communication: Implications for Trust. Journal of Business Ethics.

نویسنده میلاد کهساری الهادی

@aioooir | #ciso #story

📌نقش مدیریت افکار عمومی در راه‌اندازی CSIRT

در دنیای پیچیده امروز و با تهدیدات روزافزونی که صنایع حساس مانند بانکداری، بیمه و خدمات عمومی در ایران با آن‌ها روبه‌رو هستند، امنیت سایبری تنها به مسائل فنی محدود نمی‌شود. مدیریت افکار عمومی به‌عنوان یکی از جنبه‌های کلیدی مدیریت بحران، نقشی حیاتی در حفظ اعتبار سازمان‌ها و اعتماد مشتریان ایفا می‌کند. در این سلسله از مقالات به بررسی نقش مدیریت افکار عمومی در پروژه‌های راه‌اندازی تیم CSIRT و مقابله با بحران‌های امنیتی خواهیم پرداخت.

🔺 اهمیت مدیریت افکار عمومی در CSIRT

هنگامی‌که یک تهدید سایبری به بحران امنیتی تبدیل می‌شود، واکنش سازمان تنها به شناسایی نقاط نفوذ و خنثی‌سازی مهاجمان محدود نیست. بسیاری از بحران‌های امنیتی تأثیرات اجتماعی و روانی نیز به همراه دارند. این تأثیرات می‌توانند سرمایه اجتماعی سازمان را به خطر بیندازند و حتی باعث آسیب‌های جبران‌ناپذیری به اعتبار برند شوند. مطالعات نشان می‌دهند که مدیریت بحران نیازمند رویکردی جامع است که علاوه بر مسائل فنی، به ابعاد روانی و اجتماعی نیز توجه داشته باشد (Mitroff et al., 1994). یکی از چالش‌های اصلی در این شرایط، اطلاع‌رسانی به افکار عمومی و تقویت اعتماد مشتریان است. شفافیت و ارائه اطلاعات دقیق، مانع گسترش شایعات می‌شود و اعتماد عمومی را افزایش می‌دهد (Palen et al., 2007).

🔺 شبیه‌سازی شرایط بحرانی: TTX و Purple Teaming

یکی از ابزارهای موثر برای آماده‌سازی سازمان‌ها در برابر بحران‌های پیچیده، استفاده از مانورهای TTX و Purple Teaming است. این مانورها با نزدیک کردن شرایط شبیه‌سازی‌شده به بحران‌های واقعی، به سازمان‌ها کمک می‌کنند تا توانایی‌های خود را در مواجهه با حملات پیچیده ارزیابی و تقویت کنند. یکی از سناریوهای متداول در این مانورها شامل فرض نفوذ مهاجم از طریق زنجیره‌ای از اکسپلویت‌ها (Chain of Exploits) است:

1. مهاجم از یک آسیب‌پذیری روز صفر در ویندوز سرور 2022 بهره‌برداری می‌کند.
2. با دور زدن سیستم‌های EDR/XDR، اعتبارنامه‌ها را از LSASS استخراج کرده و حرکت جانبی (Lateral Movement) انجام می‌دهد.
3. در نهایت، مهاجم با رمزنگاری داده‌های حساس سازمان و درخواست باج، بحران را تشدید می‌کند.

این سناریوها به سازمان کمک می‌کنند تا علاوه بر واکنش به تهدیدات فنی، برنامه‌های ارتباطی و مدیریت افکار عمومی را نیز تمرین کنند.

🔺 مدیریت بحران و افکار عمومی: چرا و چگونه؟

در زمان وقوع یک بحران امنیتی، سازمان‌ها با چالش‌های چندجانبه مواجه می‌شوند که مدیریت صحیح آن‌ها ضروری است:

1. اطمینان‌بخشی به مشتریان: یکی از نخستین اقدامات، ارائه اطلاعات شفاف و مطمئن به مشتریان است. تأخیر در اطلاع‌رسانی یا ارائه اطلاعات نادرست می‌تواند اعتماد عمومی را به‌طور جدی خدشه‌دار کند (Coombs, 2007).

2. جلوگیری از شایعات: شایعات در فضای دیجیتال به‌سرعت منتشر می‌شوند و می‌توانند اثرات مخربی داشته باشند. استفاده از کانال‌های رسمی سازمان برای اطلاع‌رسانی به‌موقع و شفاف، می‌تواند از گسترش این شایعات جلوگیری کند.

3. حفظ اعتبار سازمان: مطالعات نشان داده‌اند که سازمان‌هایی که به‌صورت شفاف و حرفه‌ای بحران‌ها را مدیریت می‌کنند، حتی در شرایط بحرانی نیز می‌توانند اعتماد مشتریان را حفظ کنند (Xu et al., 2020).

برای مدیریت این ابعاد، داشتن یک Playbook ارتباطی ضروری است. این Playbook شامل دستورالعمل‌هایی برای ارتباط با رسانه‌ها، شبکه‌های اجتماعی، مشتریان و سایر ذی‌نفعان است.

@aioooir | #ciso #story

حال این موارد را که کنار بگذاریم، مسئله استخدام و جذب نیرو اکنون به خاطر پیچیدگی شرایط و تغییر روزافزون خیلی خیلی تخصصی شده است. دیگر اینطور نیست حتی شما وقتی نیرو برای SOC/CSIRT می‌خواهید، درخواست کار به این شکل بدهید. بلکه ابتدا باید مپ تیم مشخص شده باشد، Workflow و Taskflow تعیین شده باشد که این مسئله برای هر سازمان متفاوت است (برای بانکها یک داستان است، برای صنایع یک داستان دیگر و ...).

سپس با توجه به مپ برای تخصص‌ها نیرو جذب شود تا Workflow یا Response Flow تکمیل شود. مثلا مهارت تحلیل بدافزارهای ویندوزی، فارنزیک ویندوز، فارنزیک شبکه‌های مایکروسافتی، شبیه‌سازی تهدیدات ویندوزی، ایمن‌سازی شبکه‌های مایکروسافتی، تهیه‌کننده Playbookهای تخصصی تهدیدات و ... همه این موارد Job Description مشخص خود را دارند.

یعنی کسی که به عنوان تحلیلگر بدافزار برای یک موقعیت شغلی اقدام می‌کند، با توجه به سطحی که برای آن اقدام می‌کند، (سطح Junior یا Senior یا Lead) در پروسه ارزیابی بررسی می‌شود که چه میزان تسلط در شناخت باینری‌های ویندوزی دارد، چقدر با اصول عملکرد نرم‌افزارها و بدافزارها از منظر برنامه‌نویسی آشنا است. چقدر ABI/API ویندوز را می‌شناسد، چقدر بر روی پروسه دیزاسمبلی و دیباگینگ و ... با IDA Pro و WinDBG و ... مسلط است. چقدر بر روی تهدیدات پیشرفته مانند باج‌افزارهای کرنلی و جاسوس‌افزارهای مبهم‌سازی شده یا مسلح شده و ... آشنا است. چقدر سیستم‍‌عامل و سوراخ سمبه‌های آن را خوب درک می‌کند.

همه این موارد هم دقیق با موقعیت شغلی در یک راستا قرار دارد. از کسی که برای تحلیل بدافزارهای ویندوزی اپلای می‌کند، دیگر سوال از XDR مثلا Elastic یا تهدیدات وب نمی‌پرسند زیرا آن‌ها باز دنیای دیگری است. دیگر از او سوال نمی‌پرسند فلان Event ID مرتبط با کدام اکشن در سیستم‌عامل است یا مثلا تفاوت Forwarder یا Syslog چیست. آن دوران که همه چیز ساده بود، گذشت. الان خود موضوع Deobfuscation بدافزارها یک تخصص است چون طیف تهدیدات بسیار پیچیده و گسترده شده است.

@aioooir | #job

در حال صحبت و گفتگو با برخی از بچه‌های آیو بودیم، حرف از بایپس میتگیشن‌ها وسط آمد و ذکر خیری هم از CFI شد. به نظر من و البته همه افرادی که در این حوزه محقق هستند، بایپس CFI شاید سخت‌ترین بخش توسعه یک اکسپلویت پیشرفته باشد.

این میتیگیشن به خاطر اعمال محدودیت روی Execution Flow باینری، واقعا اکسپلویت کردن و اجرای پیلود را سخت می‌کند، زیرا شما باید فوروارد-اِج‌ها (فراخوانی‌های غیرمستقیم تابع) و حتی بَک‌وارد-اِج‌ها (مثل بازنویسی آدرس برگشتی) را آنالیز کنید تا بفهمید روال کنترل برنامه دقیقاً کجا قفل شده است (یک High-Level View از اجرای باینری داشته باشید).

وقتی هم صحبت از پیاده‌سازی روش‌هایی نظیر COOP (Counterfeit Object-Oriented Programming) باشد، باید با ساخت آبجکت‌های جعلی و سازگاری آن‌ها با Signature تابع مراقب باشید که گجت‌ها با همدیگر جور در بیایند! خود همین مسئله یک دشواری بسیار بزرگ است. یعنی به سادگی نمی‌توان چنین کارهایی انجام داد.

البته برای اطلاع بیشتر عزیزان ذکر کنم، شاید از منظر تئوری وقتی به این میتیگشن نگاه می‌کنید، تصور ابتدایی بر این باشد که باید با اجرای شلکدها خداحافظی کنیم، ولی خب در عمل Sophia D’Antoine در NDSS 2017 نشان داد چگونه می‌توان با COOP، CFIهای سطح بالای ++C را دور زد. البته این خانوم تنها شخصی نبود که به این مهم دست یافت، تیم SC@R در Pwn2Own 2017 هم از راهکارهایی برای شکستن Windows CFG بهره بردند.

در این موارد هم این عزیزان با استفاده از نشت آدرس در کرنل، ساخت زنجیره ROP/COOP و حذف بایت‌های صفر و ... موفق به دور زدن این مصیبت بزرگ شدند (ولی این مسئله در هر برنامه متفاوت است). به هر صورت، همهٔ این‌ها گویای این است که دور زدن CFI دقیقاً مثل ساختن پازل پیچیده‌ای است که هر قطعه‌اش باید کاملاً با دیگری همخوان باشد؛ یک اشتباه کوچک = کرش یا بن‌بست! برای همین فکر می‌کنم، در مورد LDAP بندگان خدا به Crash بسنده کردند و اکسپلویت Weaponized برای همه پلتفرم ها و ماشین ها نتوانستند ارائه کنند.

@aioooir | #CFI #ExploitDev #COOP #AdvancedROP

📌مکانیزم جدید برای دور زدن mprotect و اجرایی‌کردن استک با ROP

در این روش، ابتدا بافر را با داده‌ اضافی (junk) پر می‌کنیم تا دقیقاً به محل آدرس بازگشتی در استک برسیم. سپس با یک زنجیرهٔ ROP، تابع mprotect را فراخوانی می‌کنیم تا بخش استک از حالت فقط-خواندنی (Read) و غیرقابل‌اجرا (Non-Executable) به حالت RWX تغییر وضعیت دهد. در ادامه، نکات فنی اصلی این تکنیک را به صورت کلی مرور می‌کنیم:

🔺آماده‌سازی بافر و رسیدن به ROP Chain

1. محاسبه دقیق Offset: تعداد بایت‌های لازم (مثلاً 268 بایت) جهت پر کردن فاصله از ابتدای بافر تا Return Address در استک محاسبه و با A یا دادهٔ دلخواه پر می‌شود. این عملیات اطمینان می‌دهد که وقتی تابع آسیب‌پذیر برمی‌گردد، EIP روی زنجیرهٔ ROP ما قرار گیرد.

2. قرار دادن ROP در ادامه: پس از بخش Junk، رشته ROP می‌آید که شامل گجت‌های مختلف (pop, inc, ret, …) برای تنظیم آرگومان‌های mprotect و اجرای آن است.

🔺محاسبه مجوز (Permissions) و اندازه با کمترین بایت صفر

تنظیم آرگومان سوم mprotect = 7 (RWX): مقدار 7 می‌تواند Null byte تولید کند یا فیلترهای بدکاراکتر را نقض کند؛ بنابراین به‌جای آن از 0xFFFFFFFF استفاده کرده و با گجت‌های inc edx; ret چند مرتبه آن را افزایش می‌دهیم تا به 7 برسد. به این شکل، از ورود کاراکترهای نامطلوب جلوگیری می‌شود.

تنظیم آرگومان دوم mprotect = 0x01010101: این عدد نشان‌دهنده سایز بزرگی از حافظه است که قرار است قابلیت اجرایی پیدا کند. در رجیستری مانند EBX قرار می‌گیرد و با گجت‌هایی مثل pop ebx; ret مقداردهی می‌شود.

آرگومان اول mprotect = base address: آدرس شروع (اغلب نزدیک به استک) در رجیستری مانند EAX/EBX بارگذاری می‌شود. ممکن است برای Page-align کردن از گجت‌های dec ebx; ret یا مشابه استفاده شود تا آدرس به مرز صفحه برسد.

🔺 فراخوانی mprotect + 13 با گجت‌های ROP

موضوع mprotect + 13: به‌جای فراخوانی مستقیم mprotect، ممکن است از آفست (+13) استفاده شود تا از چند دستور ابتدایی صرف‌نظر کرده یا لایه‌های امنیتی را دور بزند. گجت “pop ebx; ret” می‌تواند برای مصرف مقدار اضافی در استک (junk) به‌کار گرفته شود تا فراخوانی mprotect به‌درستی صورت گیرد.

🔺موانع عمومی

از آنجا که مکانیزم‌های ASLR, DEP و … فعال هستند، موقعیت libc و گجت‌ها باید شناخته شود (نشت آدرس). با ایجاد زنجیره ROP صحیح، هر سه آرگومان در رجیسترهای مناسب قرار می‌گیرد و با اجرای call [mprotect+... ] یا معادل ROP آن، سیستم حافظه پشته را قابل‌اجرا می‌کند.

🔺 پرش نهایی به شل‌کد (jmp esp)

پس از اتمام mprotect، پشته اکنون با مجوز RWX در دسترس است. یک گجت ساده مانند jmp esp (یا call esp) باعث می‌شود CPU به شل‌کدی که در بالای استک جای داده‌ایم، برود و آن را اجرا کند.

🔹 کاربردها و چشم‌انداز پژوهش

بایپس DEP: این روش، نمونه‌ای کلاسیک از دور زدن DEP (NX-bit) است که با ROP تابع mprotect را فراخوانی کرده و استک را از حالت NX به RWX تبدیل می‌کند.

کمینه‌سازی Null Bytes: ترفند تغییر 0xFFFFFFFF به ۷ با استفاده از چند گجت inc مانع درج بایت صفر در اکسپلویت می‌شود؛ روشی ارزشمند در سناریوهای محدودیت کاراکتر.

با تحلیل دقیق این روش، می‌توان سناریوهای مشابهی را در سیستم‌های مدرن پیاده‌سازی یا مانیتور کرد. زنجیره‌های ROP پیشرفته‌تر اغلب چند تابع libc را sequentially فراخوانی می‌کنند (مانند dup2, execve) تا شل تعاملی بسازند.

این متد برای اجرایی‌کردن پشته با ROP، ایده‌های خلاقانه‌ای نظیر تنظیم آرگومان‌های mprotect بدون بایت صفر و بهره‌گیری از گجت‌های inc/ret را ارائه می‌دهد. به زودی در یک پست وبلاگی فارسی جزئیات بیشتری از این تکنیک و کاربردهای آن در بایپس DEP ارائه خواهم کرد. منتظر تحلیل کامل در مقاله باشید!

@aioooir | #bypass #mprotect #ROP #new

Here another trick to bypass mprotect. Fills the buffer with junk, then builds these ROP chain to make Mprotect turn the stack executable. With this exploit you needed 7 bitwise OR to make the read/write/protect.

However it created null bytes. So you should use 0xffffff; the largest number and increment it by 1 to get the 7 and then set the size of the executable area to be the largest 0x01010101 and popped that into EBX. Here called Mprotect +13, pop some junk for a pop ebx; then jmp esp to the shellcode.

@aioooir | #bypass #new

با توجه به اخباری که تاکنون انتشار پیدا کرده است، یکی دیگر از بانک‌های بزرگ کشور (بانک آینده) مورد نفوذ قرار گرفته است و اطلاعات مرتبط با مشتریان آن‌ها نشت داده شده است. همچنین با توجه به گزارش، از این نفوذ مدتی می‌گذرد و مدیران ارشد بانک آینده هم در جریان این مسئله بودند، ولی آن را رسانه‌ای نکردند. احتمالا به دلیل عدم وجود به‌روش امنیتی با توجه به مدیریت رخداد و اطلاع‌رسانی عمومی به ذی‌نفعان این مسئله تاکنون توسط بانک آینده و مدیران آن انتشار پیدا نکرده است. این بانک خصوصی است و گزارش هم برای اولین بار از سمت خبرگزاری دانا انتشار داده شده است.

@aioooir | #early_warning

📣 چالش‌های توسعه اکسپلویت

سناریوهای مختلف ویندوز سرور: طیف وسیعی از نسخه‌های ویندوز سرور (۲۰۱۹، ۲۰۲۲ و …) تحت تأثیر قرار دارند. ساختارهای مختلف LDAP/LSASS ممکن است در هریک تفاوت‌های جزئی داشته باشد. SafeBreach اعلام کرده در برخی تست‌ها، سرور صرفاً کرش می‌کند و در برخی نسخه‌ها امکان اجرای کد وجود دارد.

میتیگشن‌های احتمالی: DEP/NX / ASLR / CFG در ویندوز سرورهای مدرن فعالند. اکسپلویت برای دستیابی به RCE باید از Heap Spray یا Partial Overwrite استفاده کند. ابزار PoC کنونی بیشتر نشانگر کرش است ولی نشان می‌دهد که می‌توان حمله را فراتر برد.

نیاز به اینترنت و DNS: در حملهٔ مورد بحث، مهاجم باید DNS و دامنه کنترلی داشته باشد تا SRV Queryها و Referralها را دستکاری کند. اگر سرور LDAP هدف پشت فایروال و بدون دسترسی DNS خارجی باشد، احتمال موفقیت کمتر است.

🔺تأثیر احتمالی و توصیه‌های امنیتی:

سرورهای Domain Controller: کل اکتیو دایرکتوری سازمان در معرض خطر است. مهاجم می‌تواند از طریق DC به منابع حیاتی دسترسی یابد یا کل سرویس احراز هویت را از کار بیندازد.

کرش زیرساخت حیاتی: با ایجاد Loop یا حملهٔ یک‌باره، LSASS کرش کرده و سرور ریستارت می‌شود. این معادل DoS روی شبکه سازمانی است.

اقدامات فوری:

- نصب پچ: مایکروسافت پچی را ارائه کرده که SafeBreach تأیید کرده رفع‌کنندهٔ مشکل است.

- محدودسازی External DNS: در صورتی‌که نیازی به درخواست DNS خارجی برای سرورهای LDAP/DC ندارید، آن را غیرفعال کنید یا به شدت محدود کنید.

- مانیتورینگ درخواست‌های DCE/RPC: نظارت بر بسته‌های CLDAP / NetBIOS Referral می‌تواند نشانه‌های اولیه حمله را شناسایی کند.

📺 نتیجه‌گیری

آسیب‌پذیری CVE-2024-49112 یا LDAP Nightmare یک مورد بحرانی در سرویس LDAP ویندوز است که می‌تواند بدون نیاز به تعامل کاربر، Domain Controllers یا سایر سرورها را کرش کند یا با روش‌های پیشرفته‌تر منجر به اجرای کد سطح سیستم شود. SafeBreach Labs با انتشار یک Proof-of-Concept (PoC) نشان داده‌اند که چگونه ساختار ارجاعات در LDAP می‌تواند دستکاری شود و LSASS را از پایداری خارج نماید. از آن‌جایی که این حفره، ساختار اصلی احراز هویت در اکتیو دایرکتوری را هدف می‌گیرد، خطر آن در محیط‌های سازمانی بسیار بالاست. مایکروسافت پچی ارائه کرده که طبق گفته SafeBreach، بهره‌برداری از حفره را ناممکن می‌کند. در نتیجه:

- به‌روزرسانی فوری همه ویندوز سرورها (۲۰۱۹، ۲۰۲۲ و…) ضروری است.

- محدودسازی ترافیک خارجی به LDAP/LSASS از طریق فایروال یا DNS Policy توصیه می‌شود.

- نظارت فعال بر ترافیک مشکوک (مانند SRV Queryهای غیرمعمول یا ارجاعات CLDAP) ضریب موفقیت حمله را کاهش می‌دهد.

این مورد بار دیگر نشان می‌دهد خدمات زیرساختی (LDAP, AD) حتی اگر قدیمی و ثابت به‌نظر برسند، ممکن است هدفی جذاب برای مهاجمان باشند و باید مرتباً پچ شوند و تحت نظارت باشند.

@aioooir | #ldap_service #windows #exploit #zeroclick

📌 بررسی دقیق CVE-2024-49112 در Windows LDAP

پژوهشگران SafeBreach Labs اخیراً آسیب‌پذیری جدیدی به نام LDAP Nightmare را در سرویس LDAP ویندوز شناسایی کرده‌اند که با شناسهٔ CVE-2024-49112 رصد می‌شود. این نقص امنیتی با امتیاز 9.8 بسیار بحرانی برآورد شده و می‌تواند روی Windows Server (از جمله Domain Controllers) تأثیرات گسترده‌ای بگذارد.

اهمیت موضوع در آن است که این حمله Zero-Click بوده و نیازی به هیچ‌گونه تعامل کاربر قربانی ندارد. در ادامه، ضمن توضیح نحوه کشف، فرآیند توسعه اکسپلویت، و عواقب احتمالی آن، به راهکارهای کاهش خطر خواهیم پرداخت.

🔺 مروری بر آسیب‌پذیری LDAP Nightmare (CVE-2024-49112)

تاریخچه و اولین افشا: این نقص توسط SafeBreach Labs شناسایی و در تاریخ 10 دسامبر 2024 آشکار شد. این آسیب‌پذیری در ماژول Lightweight Directory Access Protocol (LDAP) ویندوز وجود دارد که بخشی کلیدی از Active Directory محسوب می‌شود.

نوع و شدت آسیب‌پذیری: با شدت 9.8 به‌عنوان یک آسیب‌پذیری RCE مهاجم قادر است بدون احراز هویت، از طریق پورت یا سرویس مربوط به LDAP به سیستم نفوذ کند. طبق گزارش SafeBreach، این نقص می‌تواند باعث کرش کردن Windows Server، به‌ویژه سرورهای حیاتی مانند Domain Controllers گردد.

اثرات بر Active Directory: با توجه به نقش LDAP در مدیریت Directory Services، بهره‌برداری از آن می‌تواند کنترل دامنه را به مهاجم واگذار کند یا حداقل LSASS را کرش و سیستم را ریبوت نماید. SafeBreach Labs هشدار می‌دهد: "امکان اجرای کد روی DC یا ارتقاء سطح دسترسی کاربران از طریق DC، به‌شدت امنیت شبکه سازمان را به خطر می‌اندازد."

🔸نحوه کشف و افشای آسیب‌پذیری

کشف توسط SafeBreach: این گروه امنیتی پس از کشف رفتار مشکوک در سرویس LDAP و نحوه مدیریت ارجاعات (Referrals) تصمیم می‌گیرد تحقیقات عمیق‌تری انجام دهد. مایکروسافت با دریافت گزارش، شماره CVE-2024-49112 را تخصیص داده اما جزئیات مسیر بهره‌برداری تا زمان انتشار تحلیل SafeBreach نامعلوم بوده است.

افشای رسمی و Patch Tuesday: در دسامبر 2024، مایکروسافت وجود آسیب‌پذیری و میزان خطر بالا را تأیید کرد. SafeBreach تأکید کرد بسیاری از سازمان‌ها بی‌اطلاع از این نقص جدی بوده و احتمال سوءاستفاده از آن قبل از پچ وجود دارد.

ارائهٔ Proof-of-Concept (PoC) توسط SafeBreach: یک ابزار PoC منتشر شد که نشان می‌دهد چگونه بسته‌های دستکاری‌شده برای دور زدن احراز هویت LDAP و کرش‌دادن LSASS یا اجرای کد مخرب به کار می‌روند. این PoC بر اهمیت فوری نصب پچ مایکروسافت تأکید دارد.

‼️ تجزیه و تحلیل فنی (نحوه عملکرد اکسپلویت)

اجزای آسیب‌پذیر: LDAP در ویندوز یکی از مولفه‌های کلیدی Active Directory است. مهاجم تنها با ارسال درخواست (DCE/RPC) به سرور می‌تواند زنجیره حمله را آغاز کند. در این فرآیند، هیچ‌گونه تأیید هویت یا تعامل کاربر نیاز نیست، صرفاً کافیست سرور آسیب‌پذیر با اینترنت (یا شبکه داخلی) در دسترس باشد.

جریان حمله (Attack Flow):

- گام نخست: ارسال درخواست DCE/RPC به سرور هدف.

- گام دوم: سرور برای پاسخگویی ممکن است DNS SRV Query به دامین مهاجم (مثلاً SafeBreachLabs.pro) ارسال کند.

- گام سوم: کنترل NetBIOS یا CLDAP پاسخ‌ها برای هدایت سرور هدف به یک LDAP سرور تحت کنترل مهاجم.

- گام چهارم: ارائهٔ یک LDAP Referral Response دستکاری‌شده که مقدار lm_referral نادرست دارد و منجر به Invalid Offset در جدول ارجاعات می‌شود.

کرش کردن LSASS (و ریبوت سرور) یا در سناریوهای پیشرفته، اجرای کد با سطح دسترسی SYSTEM نتیجه این فرایند است. به گفته‌ پژوهشگران، "شرطی که lm_referral را با محدوده جدول ارجاع مقایسه می‌کند، در نسخه بدون پچ به‌شکل نامناسب استفاده می‌شود و امکان دسترسی به Offset خطرناک در آن وجود دارد".

شایان ذکر است، کرش LSASS معادل قطع سرویس موقت اما در نسخه پیشرفتهٔ اکسپلویت، می‌تواند منجر به اجرای کد سطح بالا روی Domain Controller شود و کل Domain در معرض خطر قرار گیرد.

@aioooir | #ldap_service #windows #exploit #zeroclick

PoC Exploit Released for Zero-Click Vulnerability CVE-2024-49112 in Windows

@aioooir | #exploit #windows #ldap_service

@aioooir | #program_analysis

🔺محدودیت‌ها و حملات پیشرفته

با وجود اینکه Stack Canary یک لایه دفاعی مؤثر است، حملات پیشرفته‌تر وجود دارند که می‌توانند مکانیزم Canary را دور بزنند. از جمله:

1. رویکرد Leak کردن Canary از طریق آسیب‌پذیری‌هایی که منجر به خواندن حافظه حساس می‌شوند.
2. رویکرد ROP (Return-Oriented Programming) یا JOP (Jump-Oriented Programming)، که گاهی بدون نیاز به بازنویسی مستقیم EIP هم می‌توانند کنترل جریان را بدست گیرند.
3. رویکرد Partial Overwrite که در آن فقط بخشی از فریم پشته دستکاری می‌شود و Canary شاید دست‌نخورده باقی بماند.

با این حال، Stack Canary بخش مهمی از یک زنجیره دفاعی چندلایه محسوب می‌شود و کار هکرها را به‌مراتب دشوارتر می‌کند.

🔺خلاصه:

مکانیزم Stack Cookie یا Stack Canary، یک مکانیزم دفاعی مهم برای سخت‌تر کردن حملات سرریز بافر است که با قرار دادن یک مقدار رندوم در پشته و بررسی آن قبل از RET، در صورت هر گونه دستکاری غیرمجاز، موجب توقف سریع برنامه می‌شود و مانع از هدایت کنترل به کد مخرب مهاجم خواهد شد. اگرچه این دفاع راهکار نهایی نیست، اما لایه‌ای اساسی در معماری امنیتی برنامه‌ها برای جلوگیری از تصاحب راحت جریان اجرای برنامه (EIP/PC) محسوب می‌شود.

@aioooir | #BufferOverflow #StackCookie #ExploitMitigation

📌 آسیب‌پذیری Command Injection بر روی روترهای DrayTek

در این مقاله به بررسی یک آسیب‌پذیری مهم در روترهای DrayTek می‌پردازیم که از طریق اینترفیس
cgi-bin/mainfunction.cgi/apmcfgupload
قابل بهره‌برداری است. این آسیب‌پذیری به مهاجم اجازه می‌دهد دستورات مخربی را در سطح سیستم‌عامل اجرا کند. در ادامه، علاوه بر تشریح روند کشف و اکسپلویت، در خصوص نحوه شناسایی و مقابله توسط SOC (مرکز عملیات امنیت) نیز توضیحاتی ارائه خواهد شد. شایان ذکر است، PoC و همچنین اکسپلویت مربوط به این آسیب‌پذیری توسط آزمایشگاه امنیت سایبرنتیک آیو در همین پست برای شما قرار داده خواهد شد.

🔺 دیوایس‌های آسیب‌پذیر DrayTek

DrayTek Vigor2960
DrayTek Vigor300B

🔺 شناسایی آسیب‌پذیری CI روترهای DrayTek

در روترهای برند DrayTek، ماژول apmcfgupload دچار آسیب‌پذیری از نوع Command Injection است که به مهاجم امکان می‌دهد کنترل کامل بر سطح سیستم‌عامل دستگاه پیدا کند. روند کشف آسیب‌پذیری به شرح زیر است:

1. بررسی ساختار Firmware و Endpointها: پس از تحلیل Firmware روترهای DrayTek و بررسی فایل‌های پیکربندی، پژوهشگران به سرویسی تحت عنوان apmcfgupload دست می‌یابند که به‌طور پیش‌فرض برای آپلود فایل‌های پیکربندی استفاده می‌شود.

2. شناسایی پارامترهای ورودی: برای بهره‌برداری از این سرویس، ابتدا باید پارامترهایی مانند filename و path (در نسخه‌های اولیه پژوهش) و همچنین session (طبق گزارش جدید) شناسایی شوند. این پارامترها قابل دستکاری هستند و در نهایت به‌صورت مستقیم در دستور شِل قرار می‌گیرند.

3. تحلیل نحوه پردازش ورودی‌ها: داده‌هایی که به apmcfgupload ارسال می‌شوند، به شکل مناسبی تصفیه یا فیلتر نشده و مستقیماً در قالب یک دستور شِل (Shell Command) اجرا می‌شوند. به همین دلیل امکان تزریق دستور (Command Injection) وجود دارد؛ مهاجم می‌تواند فرامین سیستمی دلخواه خود را در این ورودی‌ها قرار داده و روتر را وادار به اجرای آن‌ها کند.

4. تست اولیه تزریق دستور: با ارسال یک درخواست HTTP دستکاری‌شده که شامل پارامتر آلوده (filename، path یا session) است، پژوهشگر در لاگ‌ها یا پاسخ دستگاه مشاهده می‌کند که دستورات ساده (مثل echo) اجرا می‌شوند. این مسئله تأییدکننده وجود آسیب‌پذیری Command Injection است.

🔺 اکسپلویت آسیب‌پذیری CI روترهای DrayTek

1. عدم تصفیه صحیح ورودی (Improper Input Sanitization): مشکل اصلی در اینجاست که پارامتر session در نقطه پایانی apmcfgupload ورودی کاربر را به‌درستی کنترل و تصفیه (sanitize) نمی‌کند. این امر به مهاجم اجازه می‌دهد دستورات شِل را تزریق کند.

2. نیاز به HTTP/1.0: بر اساس گزارش اولیه، اکسپلویت تنها زمانی عمل می‌کند که درخواست‌ها با استفاده از پروتکل HTTP/1.0 ارسال شوند، نه HTTP/1.1. به همین دلیل، رشته درخواست HTTP خام (Raw) به‌صورت صریح نسخه HTTP/1.0 را مشخص می‌کند.

3. درخواست هگز (Hex-Encoded Request): در اسکریپت، رشته‌ای هگز به‌صورت هاردکد (Hardcoded) وجود دارد که در متغیر request_apmcfgupload_pwd_binary قرار داده شده است. پس از دیکد (Decode) شدن این رشته هگز، یک درخواست GET خام شکل می‌گیرد که حاوی دستور تزریق‌شده (در مثال، دستور pwd) است.

4. ارسال از طریق سوکت خام (Raw Socket Transmission): در اینجا به‌جای استفاده از کتابخانه‌های سطح بالاتر پایتون (مانند requests یا urllib)، از سوکت TCP خام استفاده شده است تا ساختار دقیق بسته (Packet) حفظ شود. این رویکرد ممکن است از محدودیت‌های برخی کلاینت‌های HTTP که سربرگ‌های پیش‌فرض اضافه می‌کنند یا پارامترها را تغییر می‌دهند، جلوگیری کند.

ادامه دارد.

@aioooir | #draytek #routers

📌 مجموعه تکنیک‌های دور زدن KASLR در ویندوز 10

در پروژه GitHub (لینک) که توسط آقای Walied Assar تهیه شده است، لیستی از 14 تکنیک مورد استفاده جهت دور زدن مکانیزم KASLR در ویندوز 10 ارائه شده است. این تکنیک‌ها شامل روش‌هایی برای استخراج اطلاعات حساس از حافظه کرنل یا پیش‌بینی موقعیت اشیاء و ماژول‌های کرنل است که برای سوءاستفاده از آسیب‌پذیری‌ها یا افزایش سطح دسترسی به کار می‌روند.

🔺محدودیت‌های تکنیک‌ها

تکنیک‌های لیست‌شده در این پروژه نمی‌توانند مکانیزم‌های محافظتی نظیر Sandbox را دور بزنند. دلیل این امر این است که کدهای کرنل در برابر حملات از طریق فراخوانی توابعی مانند ExIsRestrictedCaller محافظت می‌شوند. این مکانیزم باعث می‌شود تا فراخوانی‌ها از منابع غیرمجاز یا محدود، مانند اپلیکیشن‌های سطح کاربر درون Sandboxing، مسدود شوند.

‼️ حلقه‌های Mitigation اطراف KASLR

در کنار KASLR، مکانیزم‌های پیشرفته‌تری برای افزایش امنیت حافظه کرنل در ویندوز پیاده‌سازی شده‌اند، از جمله:

SMEP (Supervisor Mode Execution Prevention)
SMAP (Supervisor Mode Access Prevention)
KCFG (Kernel Control Flow Guard)

این مکانیزم‌ها در کنار KASLR، یک لایه امنیتی چندگانه ایجاد می‌کنند که شکستن آن‌ها نیازمند بهره‌گیری از آسیب‌پذیری‌های ترکیبی یا روش‌های زنجیره‌ای (Exploit Chaining) است.

✅ بخش‌های اصلی تکنیک‌های ارائه‌شده شامل موارد زیر است:

➖ درز اطلاعات (Information Disclosure): استخراج اطلاعات حافظه کرنل از طریق کانال‌های جانبی (Side Channels) یا آسیب‌پذیری‌های خاص.
➖ مستندسازی رفتارهای پیش‌فرض کرنل: تحلیل نحوه تخصیص حافظه و پیش‌بینی آدرس‌ها در صورت شکست مکانیزم‌های تصادفی‌سازی.
➖ استفاده از نشت آدرس (Address Leakage): استفاده از نشت اطلاعات به‌دست‌آمده از درایورها یا کتابخانه‌های DLL که در فضای کرنل بارگذاری می‌شوند.

🔸 جمع‌بندی: برای بهره‌گیری از تکنیک‌های ذکرشده، داشتن دانش عمیق در زمینه معماری ویندوز و مهندسی معکوس ضروری است. همچنین، این تکنیک‌ها اغلب نیازمند ترکیب با سایر اکسپلویت‌ها هستند تا به بهره‌وری کامل برسند. بررسی کد پروژه فوق می‌تواند منبع الهام برای پژوهشگران امنیت و تحلیلگران Exploit باشد.

@aioooir | #exploit #exploit_development #kaslr

آسیب‌پذیری جدیدی در درایور Windows Cloud Files (cldflt.sys) کشف شده که با ایجاد Reparse Pointهای دستکاری‌شده، منجر به سرریز بافر در حافظه کرنل می‌شود. نتیجه این حمله، دسترسی مهاجم به ساختارهای حساس (مانند WNF و PipeAttribute) و در نهایت کسب سطح دسترسی SYSTEM است.

‼️ اقدامات پیشنهادی برای مرکز عملیات امنیت (SOC):

1. نظارت بر Reparse Points: هرگونه تغییر مشکوک یا پرتکرار در Reparse Points می‌تواند نشانه حمله باشد.

2. بررسی فراوانی فراخوانی‌های WNF: بر عملکرد توابعی مانند NtCreateWnfStateName و NtUpdateWnfStateData برای تشخیص رفتارهای غیرعادی نظارت دقیق کنید.

3. ثبت وقایع FSCTL: فراخوانی‌های غیرمعمولِ FSCTL_SET_REPARSE_POINT_EX و دستکاری فایل‌ها در مسیرهایی مثل \Temp\. را رصد کنید.

4. به‌روزرسانی سیستم: در اولین فرصت، وصله‌ها یا اصلاحیه‌های منتشرشده مایکروسافت را اعمال کنید.

🔸 شایان ذکر است، تیم آزمایشگاه امنیت سایبرنتیک آیو آماده ارائه مشاوره و همچنین برگزاری آموزش‌های سازمانی با محوریت شکار تهدیدات حملات مبتنی بر NDayها و همچنین تهدیدات نوظهور و پیچیده از جمله روتکیت‌ها است.

@aioooir | #exploit #windows #cldflt

FortiOS versions v7.2.5, v7.0.12, v6.4.13, v6.2.15, and v7.4.0 contain a critical vulnerability that allows remote code execution. Attackers exploiting this flaw can establish a reverse shell from compromised Fortinet devices, enabling them to pivot inside your internal network, harvest sensitive data, and launch further attacks.

SOC/CSIRT Alert:

1. Patch all affected devices to the latest secure firmware.
2. Review network logs for any unusual connections from Fortinet devices.
3. Monitor SOC/IDS/IPS for anomalous or unauthorized activity targeting FortiGate management interfaces.

However, failure to address this vulnerability immediately can result in a full network compromise.

@aioooir | #exploit #fortios

Pain 😫

@aioooir | #binary #deobfuscation

سلام. به زودی مجدد دوره‌های سطح پایین تیم آیو شروع خواهد شد. تفاوت این دوره با دوره‌های دیگر جذب دانشجوهای مستعد به تیم پژوهش آسیب‌پذیری آیو است. در این دوره‌ها نیز ورود افراد زیر ۱۸ سال و همچنین خانوم‌های زیر ۲۵ سال رایگان است.

افراد بعد از اینکه به عنوان استعداد در کلاس‌ها تشخیص داده شوند، به مدت سه الی شش ماه آموزش فشرده خواهند دید تا با ادبیات و مباحث پایه پژوهش آسیب‌پذیری و توسعه اکسپلویت با محوریت ردتیم کامل آشنا شوند و سپس در یک بازه زمانی ۱.۵ سال با شما قرارداد خواهم بست که در این حوزه کار و تحقیق کنید.

حقوق استعدادهای ما فعلا ۱۵ الی ۲۰ تومان است و کاملا هم به صورت راه‌دور راهبری خواهند شد (تا پایان ۱۴۰۳). ولی کلا در هر ۶ ماه به ۳ نفر ورودی جدید به تیم نیاز داریم. از همین روی، دانشجویان باید رقابت کنند تا برای ورود به تیم پژوهش آسیب‌پذیری آیو مورد تایید قرار بگیرند. نظم و دقت و پیگیری انجام تسک‌ها در ارزیابی بسیار مهم است.

از اول فروردین دوره‌های جدید آیو شروع خواهد شد و بعد از آزمون نهایی افراد رتبه اول تا سوم وارد تیم پژوهش آسیب‌پذیری آیو می‌شوند.

@aioooir | #vr #er

اینطور که به نظر می‌رسد، مجدد ویندوز سرور 2022 بر روی سرویس RPC خود یک آسیب‌پذیری خیلی خطرناک و کریتیکال داشته است که به صورت ریموت می‌توان آن را هدف قرار داد و به آن نفوذ کرد. ولی جزئیاتی از آن هنوز به دست نیاوردم، در حال جستجو هستم تا اگر توانستم به سرنخ معتبری برسم.

ولی این مسئله را مطمئن هستم که چنین زیرودی اکنون در حال خرید و فروش است. لذا اگر در زیرساخت خود ویندوز سرور 2022 دارید که پابلیش است، در جریان باشید که ممکن است اتفاقات بدی تا چند روز یا هفته دیگر رخ بدهد. البته من اگر جزئیاتی پیدا کنم، سریعا در همین کانال انتشار خواهم داد.

در هر صورت، فعلا ترافیک شبکه را برای فعالیت‌های غیرمعمول در پورت‌های مرتبط با RPC، به‌ویژه پورت‌های 135 و 445 پایش کنید. سپس، برای شناسایی تلاش‌های بهره‌برداری، می‌توانید از ابزارهایی مانند Zeek برای تحلیل ترافیک DCE/RPC استفاده کنید. بسته‌های Zeek می‌توانند تلاش‌های بهره‌برداری از RPC را تشخیص دهند. همچنین رویدادهای مرتبط با ایجاد فرآیندها (کد رویداد 4688) و نصب سرویس‌ها (کد رویداد 7045) را هم مانیتور کنید تا اگر اتفاقی رخ داد، متوجه شوید.

@aioooir | #early_warning #aiooo_radar

در این ویدیو، دمو از 0day در Adobe Acrobat Reader DC نمایش داده شده است. پلتفرم مقصد ویندوز 10 است و اکسپلویت نیز بر روی برنامه Adobe Acrobat Reader DC v21 با قابلیت دور زدن Sandbox می باشد. شایان ذکر است، این اکسپلویت روی ویندوز 11 هم عملیاتی شده است.

@aioooir | #0day #adobe #reader

این بخش از ویدیو BERWYN - Who Am I که در استوری گذاشتم، با ملودی زیبایی که دارد، ذهن انسان را درگیر خیلی از مسائل می‌کند. ولی خب، همیشه قانون زندگی همین بوده و هست: تا وقتی از اشتباهاتت درس نگیری، انگار زندگی هم نمی‌خواهد بی‌خیالت شود. مثل یک معلم صبور ولی سرسخت، مدام آن درس را با شکل و رنگ‌های مختلف جلوی چشمت می‌گذارد، تا بالاخره بفهمی، یاد بگیری، و تغییر کنی.

هر بار که در مقابل اشتباهت می‌ایستی و با شهامت قبولش می‌کنی، انگار یک پله بالا می‌روی. آن لحظه‌ای که بالاخره درس را می‌گیری و خودت را اصلاح می‌کنی، زندگی می‌فهمد که آماده‌ای برای مرحله بعدی. تازه همان‌جاست که یک چالش جدید، یک "تَسک" تازه برایت باز می‌کند، تا نشان بدهی که هنوز چیزهای بیشتری برای یاد گرفتن داری.

این چرخه بی‌پایان است، درست مثل رشد و تکامل ما. انگار زندگی می‌گوید: "تو هنوز کامل نیستی، ولی داری بهتر می‌شوی، و من هم وظیفه دارم بهت کمک کنم، حتی اگر سخت باشد."

فکر نکن که یک روز قرار است زندگی بی‌خیالت شود یا دیگر چالشی نباشد. این‌طور نیست! چون رشد ما هیچ‌وقت تمام نمی‌شود. زندگی برایت برنامه دارد، آن‌قدر که گاهی نمی‌توانی تصورش کنی. پس به جای گله، باید بپذیری که این سختی‌ها و اشتباهات، مثل مربی‌هایی هستند که تو را آماده می‌کنند برای ورژن بهتری از خودت.

هر اشتباه، هر زمین‌خوردن، و هر دردی که تجربه می‌کنی، تنها بهانه‌ای است برای یاد گرفتن، قوی‌تر شدن، و رسیدن به بهترین خودت. زندگی سخت است، اما این سختی همان چیزی است که ما را می‌سازد.

✍️ نویسنده میلاد کهساری الهادی
➖راهبر فنی تیم تحقیقات و توسعه آیو

⏰ پنج شنبه - ۸ آذر ۱۴۰۳

@aioooir | #music #learn #intelligence

📌 هوش مصنوعی: دکان تازه‌ای برای فریب و توهم

✅ چند روز پیش تصویری از یک وبسایت کاریابی و بازاریابی شبکه‌ای مشاهده کردم که با کمال جسارت، چنین ادعا می‌کند که در عرض 10 روز می‌توانید به یک توسعه‌دهنده حرفه‌ای سیستم‌های مبتنی بر هوش مصنوعی تبدیل شوید و با این عنوان وارد بازار کار شوید! وعده‌هایی که در آن به نمایش درآمده‌اند نه‌تنها غیرواقعی بلکه به‌وضوح فریبکارانه هستند:

1. فراگیری علم داده در 6 ساعت!
2. یادگیری TensorFlow در یک روز!
3. ساخت رزومه شغلی در یک دوره بازاریابی؟!
4. آشنایی با وردپرس به‌عنوان مهارت در هوش مصنوعی؟!

✅ هر چند سال یک‌بار، تکنولوژی‌های نوظهوری که در دیگر نقاط دنیا به بلوغ و توسعه رسیده‌اند، با چندین سال تأخیر وارد ایران می‌شوند. اما به جای اینکه این تکنولوژی‌ها به‌درستی درک شوند و زمینه‌ساز رشد واقعی شوند، به ابزار سوءاستفاده افراد سودجو تبدیل می‌شوند. این افراد از هیجان عمومی نسبت به این موضوعات استفاده کرده و با ارائه دوره‌های کم‌ارزش، وعده‌های پوچ، و طرح‌های توخالی، نه‌تنها منابع مالی افراد را تلف می‌کنند، بلکه اعتبار حوزه‌هایی مانند هوش مصنوعی را هم به‌شدت خدشه‌دار می‌کنند.

✅ تلخی ماجرا اینجاست که چنین تبلیغاتی، که در بهترین حالت می‌توان آن‌ها را طنز تلخ و در بدترین حالت فریب سازمان‌یافته دانست، باعث می‌شود تلاش‌های واقعی، سازنده و علمی توسط افرادی که واقعاً در حوزه‌های پیشرفته‌ای مانند هوش مصنوعی فعالیت می‌کنند، نادیده گرفته شوند یا حتی مورد حمله قرار گیرند.

📝 افرادی که با دستاویز کردن نام هوش مصنوعی و دیگر Trendهای داغ فناوری در دنیا، چنین دوره‌های آموزشی را طراحی و تبلیغ می‌کنند، بیشتر به فکر جیب خود هستند تا به فکر توسعه مهارت‌ها یا پیشرفت کشور. در حالی که در دنیا، یادگیری و تسلط بر علوم مرتبط با هوش مصنوعی، سال‌ها تلاش و مطالعه عمیق می‌طلبد، این افراد جسارت آن را دارند که مسیر چندین ساله را به چند روز تقلیل دهند!

📍 نتیجه چیست؟ تربیت "متخصصان جعلی" که نه‌تنها قادر به حل مسائل نیستند، بلکه خود به چالش‌هایی جدید برای سازمان‌ها و بازار کار تبدیل می‌شوند. کاهش اعتماد عمومی به حوزه‌هایی مانند هوش مصنوعی که نیازمند توجه دقیق و سرمایه‌گذاری بلندمدت هستند. اتلاف منابع و سرخوردگی افرادی که فریب چنین تبلیغاتی را می‌خورند.

🚩 نقش ما چیست؟ اگر ما به‌عنوان افرادی که در این حوزه‌ها فعالیت می‌کنیم، در برابر چنین جریان‌های مخربی سکوت کنیم، این فضا بیش از پیش به جولانگاه دکان‌داران تبدیل می‌شود. مبارزه با تبلیغات گمراه‌کننده، آموزش صحیح عمومی و ارائه منابع واقعی وظیفه‌ای است که بر دوش تمام افراد حرفه‌ای در حوزه فناوری است.

✍️ نویسنده میلاد کهساری الهادی
➖راهبر فنی تیم تحقیقات و توسعه آیو

⏰ چهارشنبه - ۷ آذر ۱۴۰۳

@aioooir | #AI #ethics #scam

دو سال پیش یک مقاله مطالعه می‌کردم با محوریت آینده‌شناسی و تهدیدات و ... در آن مقاله بحث شده بود که هوش مصنوعی و ربات‌ها و محاسبات کوانتومی و سفرهای فضایی و ... آینده بشر را به صورت کامل دگرگون می‌کنند. بسیاری از شغل‌های ذهنی مانند عصر انقلاب صنعتی که موجب از بین رفتن شغل‌های یدی شد، از بین خواهند رفت. بحران اقتصادی شکل خواهد گرفت و ... اما این خیلی نگاه تلخ و تاریک به داستان است. چون افرادی که این مسئله را گفتند، درک زیادی از اقتصاد ندارند.

بله بسیاری از شغل‌ها دگرگون خواهد شد. ولی این به معنای عدم کسب درآمد افراد نیست. بلکه به دلیل تسهیل روابط بین‌المللی، رشد بازارهای مالی، مبادلات اقتصادی جهانی، دگرگونی واحدهای پولی و به صورت کلی مدل‌های اقتصادی ... افراد می‌توانند از درآمد همگانی بهره‌مند شوند.

از همین روی، همه شما برای ایمنی خودتان در آینده باید کار در بازارهای مالی را یاد بگیرید تا از این موهبت برای درآمد ثانویه بهره‌مند شوید. این پست را هم چهار سال دیگر با حسرت نگاه خواهید کرد. دیگر برای زندگی کردن نیاز به کار زیاد نیست. بلکه باید هوشمندانه کار کرد.

@aioooir | #futurelogoy

تیم رئیس‌جمهور منتخب، دونالد ترامپ، در حال بررسی ایجاد یک سمت جدید در کاخ سفید است که به طور خاص به سیاست‌گذاری در حوزه رمزارزها اختصاص یابد. این اقدام، اولین نقش رسمی متمرکز بر رمزارزها خواهد بود و نشان‌دهنده تأثیر بالقوه این صنعت در دولت آینده است.

چهار سال پیش این روزها را دیدم و یک عده مسخره کردند. حالا از سود آن لذت ببرید. بیت کوین داره به 100 هزار دلار میرسه.

@aioooir | #cryptocurrency

Area 51 leaked

@aioooir | #leaked

سلام دوستان؛ ما در تیم SOC سیندادسک به دنبال همکاری در Tier1 با مسئولیت‌ها و توانمندی‌های زیر است:

➖ تجزیه و تحلیل گزارش‌های امنیتی
➖ شناسایی رویدادها و هشدارهای FP
➖ ایجاد گزارش شیفت و هفتگی
➖ بررسی اولیه تخلفات، هشدار، جمع‌آوری شواهد، تجزیه و تحلیل داده‌ها
➖ شناسایی فعالیت‌های مخرب در سازمان (با استفاده از Playbookها)
➖ ایجاد تیکت و پیگیری آن تا مرحله نهایی
➖ شیفت کاری چرخشی (روز/شب)

📌 توانایی های تخصصی:

➖ مسلط به زبان انگلیسی
➖ آشنایی با اصول گزارش‌نویسی
➖ آشنایی با مهارت‌های پایه در آزمون نفوذ
➖ آشنایی با ابزارهای تحلیل لاگ مانند ELK
➖ آشنایی با گردش کار در تیم SOC/CSIRT
➖ آشنایی با لاگ‌های ویندوز، لینوکس، وب‌سرور و سرویس‌ها
➖ آشنایی با انواع حملات در لایه های مختلف سامانه‌های سایبرنتیک
➖ آشنایی با روش‌ها و فن‌آوری‌های نظارت، تشخیص و تجزیه و تحلیل امنیتی
➖ آشنایی با چارچوب های شناخته شده امنیت اطلاعات نظیر (MITRE Attack)

ارسال رزومه: @clightning

@aioooir | #job

در حال طرح‌ریزی آزمایشگاه تحلیل بدافزار، جرم‌یابی دیجیتال، شبیه‌سازی تهدیدات، و مدیریت اسناد واکنش سریع و ایمن‌سازی بودم که با این طرح رو به رو شدم. قبل از اینکه سند را بنویسم، خواستم کمی با محیط‌های بین‌المللی و استاندارد آشنا شوم، این طرح را که دیدم، واقعا حیرت کردم. خیلی زیبا بود. تاکنون در ایران همچین چیزی را ندیدم. آیا شما چنین ساختاری را تجربه کردید؟

@aioooir | #csirt #divisions

22 may 2021

@aioooir | #prediction

سال 84 وارد حوزه کامپیوتر شدم. آن زمان یک وب‌سایت موسیقی با یکی از دوستان خود داشتم که با نام m2m شناخته می‌شد. بعدها سایت kingarchive و azaddownload و azaddl و kingyahoo و musicfa و ... را ساختم. اوج شهرتم در مسئله سایت داری، در همان musicfa بود که بیشتر هم آهنگ‌های رپ را به صورت exclusive از طرف رپرها پوش می‌کردیم. تا اینکه یک روزی وب سایت من هک و دیفیس شد. آن اتفاق این جنون را به جان من انداخت که چطور شد که اینطور شد؟ من بیش فعال بودم و همین ما رو بیچاره کرد.

آن زمان اوج تفریح و مسخره بازی ما در یاهو مسنجر بود. یک گروه داشتیم با نام خدایان یاهو که در آن حسابی فعالیت می‌کردیم. ویس‌کشی با Power Voice و STB بگیرید تا کیلاگر تیم ردکانگورو و شیوا و ... هر شب با گروه های دیگر دعوا می کردیم، و در روم ها کلی فحش و دعوا داشتیم. گروه دیوانگان یاهو، خدایان یاهو، روم پنج و ... بعدها هم که یاهو کم رنگ شد، عموم رفتند سمت پل تالک و بیلوکس و ... خلاصه بیخیال این داستان، برگردیم به اصل ماجرا که هک شدن وب سایت من بود. آن زمان CMS وب سایت اکثریت سایت های موسیقی و فیلم و ... روی Phpnuke بود. خلاصه یک باگ RFI داد و دودمان ما را هم به هوا داد. من هم البته بچه سال بودم، اصلا نمی دانستم چی به چی هست. یک رفیقی داشتیم که با عنوان Reza Host شناخته می شد. آن موقع که با هم دوست شدیم من 14 سالم بود، آن 15 سالش بود. جالب بود، در آن سن و سال، در آن تاریخ، کار Web Hosting می کرد. یک بار هم به من پیشنهاد داد، بیا کامپیوتر تو را که IP ثابت دارد را تبدیل به سرور کنم و روش سایت بیاریم بالا و ... خلاصه روانی بود.

خلاصه سر ماجرای این هک شدن وب سایت، خیلی فشاری شده بودم و دنبال انتقام بودم. رفتم سرچ کردم که هک چیست و چیکار می توان کرد و ... که با ویدیوهای تیم ویرانگر رو به رو شدم. تیم ویرانگر، سپس تیم کروز، بعد شبگرد، بعد دلتا، بعد دویلزبویز، بعد پنتستترز، بعد سیمرغ، بعد ای تی سک و ... همینطور ادامه دار شد. آن جا بود که متوجه شدم این کیلاگر مجیک که استفاده می کردیم باهاش یاهو ملت را هک می کردیم، نویسنده اش ایرانی بوده است و در شبگرد هم فعالیت دارد. سال 86 بود که کتاب های Art of Exploitation و Art of SQL Injection و TCP IP Protocol Stack Analysis و ... توسط هکر کبیر، استاد عظم، Undergroundwolf انتشار پیدا کرد که یکی از مدیران کروز بود. آن کتاب ها جهان دیگری پیش روی ما گذاشت و فهمیدیم امنیت بیش از RFI و LFI و ... است. البته هنوز که هنوزه استاد و منتور من هست. افتخار هم میکنم که سال ها با هم کار کردیم و همیشه در حوزه کاری اسطوره اخلاق بود.

خلاصه کروز کرکره رو کشید پایین سر یک سری درگیری ها و مسائل امنیتی که رخ داد برای اعضای آن، بعدها دیگر رفتیم مقیم شبگرد شدیم. آن موقع یک مجله هم بود به نام اسنوف که فکر کنم اسم آن همین بود. البته وحید امیریان عزیز بیشتر از آن مجله یادش است. مجله خفنی بود. خلاصه یک مدت در شبگرد بودیم و بعدها یک تیم دیگر راه اندازی شد که با نام پنتسترز شناخته می شد. بعد یک دوره کوتاهی مجدد دلتا رو فرزاد آورد بالا که آشیانه دیفیس کرد و بعد آن هم نه دیگر دلتایی بود و نه دیگر فرزادی. سال 2010 هم که ماجرای استاکس نت رخ داد، بعدهاش یک سی تی اف برگزار شد که سوال های آن سی تی اف را فروختند و تیمی که آخر بود اول شد و ... از همان زمان از هر چی سی تی افه متنفر شدم 🤣

خلاصه دیشب یک ویس و گوش دادم، حرف از کروز آمد وسط خواستم بگم 95 درصد افراد حاضر امنیت سایبر ایران کروز را به چشم ندیدند که هیچ، خیلی هاشون شبگرد را هم ندیدند. ولی خب، آن جماعت دیگر نیستند. عموم از ایران رفتند و الان در شرکتها و دانشگاه های بزرگ جهان کار میکنند. از دانشگاه ETH و Ruhr و UCSB و ... بگیر تا حتی Princeton و MIT و ... دلم خیلی برای آن روزها تنگ شده. آن بچه ها. آن محیط باحال. داشتم خاطرات و مرور میکردم، گفتم بنویسم و اینجا براتون بزارم. دلم برای نوید، بهزاد، علی، هادی، کاوه، کامیار، احمد، علی ع، فرشید، فرزاد، و ... تنگ شده واقعا. یادش بخیر چه شبهایی که با نوید بیدار بودیم تا صبح صحبت می کردیم درباره اینکه فلان اکسپلویت چیه. از آن جماعت فقط الان چهار پنج نفری هستند. بقیه انگار غیب شدند. یادش بخیر. روزی که سی دی ویرانگر به دستم رسید و آن صدای زیبا را برای اولین بار شنیدم که امنیت شبکه تدریس می کرد. بهترین حس دنیا برای من بود.

@aioooir | #memories

Ai000 Cryptocurrency (Blockchain) Foresight v0.2.0-beta

@aioooir | #cryptocurrency #ml #dl #gai

سلام؛ دوستان برای راه‌اندازی و اجرای یک Internal CSIRT در یکی از بانک‌های کشور نیازمند نیرو در ردیف شغلی‌های زیر هستیم. لطفا اگر علاقمند هستید، رزومه خود را برای من به آدرس [email protected] ایمیل کنید یا در تلگرام به @clightning پیام ارسال کنید.

0. کارشناس ارشد تحلیلگر بدافزار
1. کارشناس ارشد تحلیلگر درایورهای مخرب
2. کارشناس جرم یابی دیجیتال - سیستم عامل
3. کارشناس جرم یابی دیجیتال - حافظه و بازیابی اطلاعات
3. کارشناس شبیه‌سازی تهدیدات مبتنی بر MITRE و Customized
4. کارشناس ارشد امنیت شبکه مایکروسافت - آشنا با تهدیدات AD
5. کارشناس ارشد و کارشناس تحلیلگر آسیب‌پذیری

پایه حقوق از 35 تومان شروع می‌شود و با توجه به سابقه و تخصص حقوق مشخص خواهد شد. تمامی مزایا ممکن از جمله بیمه تکمیلی، وعده غذایی و ... را هم دارید. نوع پوزیشن ردیف‌های شغلی هم تمام وقت و حضوری است.

@aioooir | #job

@aioooir | #aaronswartz

Ai000 Cryptocurrency (Blockchain) Foresight v0.1.0-beta

@aioooir | #cryptocurrency #ml #dl #gai

One of our research based project in Ai000 Cybernetics QLab is dedicated to price and also trend prediction of the cryptocurrency and blockchain monitoring to give alert for bearish and bullish market. It has 68% accuracy, however we are working AI model to make it more and more accurate. Cheers buddy with profits.

@aioooir | #cryptocurrency

📌 بخش دوم: تغییرات ISA پردازنده‌های اینتل در معماری x86s

✅ مزایای معماری x86S: معماری جدید x86S به دلیل حذف بخش‌های قدیمی، بهینه‌سازی‌های زیر را به همراه دارد:

➖ بهبود کارایی پردازنده: با حذف بخش‌های بدون استفاده و غیرضروری، پردازنده می‌تواند با سرعت و کارایی بیشتری به پردازش دستورات بپردازد.

➖ کاهش پیچیدگی سخت‌افزاری: حذف حالت‌های قدیمی و کنترل‌های اضافی باعث می‌شود که معماری سخت‌افزار پردازنده ساده‌تر شود و تولید آن آسان‌تر و مقرون‌به‌صرفه‌تر باشد.

➖ کاهش مصرف انرژی: حذف بخش‌های قدیمی که به منابع پردازشی نیاز دارند، باعث کاهش مصرف انرژی پردازنده می‌شود و این مزیت برای دستگاه‌های همراه که نیازمند مصرف پایین انرژی هستند، بسیار مؤثر است.

➖ بهبود امنیت پردازنده: با حذف دسترسی‌های غیرضروری و قدیمی، پردازنده بهبودهای امنیتی را به همراه خواهد داشت و این امر باعث افزایش مقاومت در برابر تهدیدهای امنیتی جدید می‌شود.

✍️ نتیجه‌گیری: معماری x86S یک گام مهم در بهینه‌سازی پردازنده‌های اینتل محسوب می‌شود و با هدف ساده‌سازی، بهبود کارایی و امنیت طراحی شده است. این تغییرات به پردازنده‌ها کمک می‌کند تا وابستگی‌های قدیمی را کنار گذاشته و برای پاسخ به نیازهای مدرن و تکنولوژی‌های آینده آماده‌تر شوند. علاوه بر این، تغییرات معماری x86S تاثیرات گسترده‌ای در زمینه‌های زیر خواهد داشت:

🔺 تحلیل باینری: با حذف حالت‌های قدیمی و دستورات اضافی، ابزارهای تحلیل باینری با ساختارهای کمتری روبرو خواهند شد که موجب ساده‌تر شدن تحلیل‌ها می‌شود. این حذف‌های معماری، فرایند درک و بررسی فایل‌های اجرایی را برای تحلیل‌گران باینری سریع‌تر می‌کند و نیاز به بررسی ساختارهای قدیمی کاهش می‌یابد.

🔺 تحلیل بدافزار: یکی از جنبه‌های مهم در تحلیل بدافزار، تشخیص و بررسی رفتارهای مخرب در معماری‌های مختلف است. با حذف حالت‌هایی نظیر vm86 و I/O سطح کاربر، بدافزارهای قدیمی‌تر که به این دسترسی‌ها وابسته بودند به طور مؤثری ناکارآمد می‌شوند. بدافزارهای جدید نیز باید به ساختارهای ساده‌تر شده و حالت‌های محدودتر پردازنده متکی شوند، که باعث کاهش تعداد روش‌های ممکن برای مخفی کردن یا دستکاری رفتارهای بدافزار می‌شود.

🔺 توسعه اکسپلویت: با حذف این قابلیت‌ها و محدود کردن دسترسی‌ها، ایجاد و توسعه اکسپلویت‌های جدید پیچیده‌تر می‌شود و نیاز به دانش بالاتری از روش‌های مدرن خواهد داشت. از طرفی، با کاهش روش‌های موجود برای دور زدن امنیت پردازنده، توسعه‌دهندگان اکسپلویت‌های مخرب باید از تکنیک‌های پیچیده‌تر استفاده کنند.

🔺 توسعه کامپایلر: در معماری x86S، تغییرات در مجموعه دستورات و محدودیت‌های جدید بر کامپایلرها نیز تأثیر خواهد گذاشت. کامپایلرها باید با معماری جدید هماهنگ شوند و از ساختارهای قدیمی که دیگر پشتیبانی نمی‌شوند، استفاده نکنند. در عوض، نیاز به بهینه‌سازی‌های جدید و متناسب با معماری مدرن‌تر افزایش می‌یابد و توسعه‌دهندگان کامپایلر را ملزم می‌سازد تا کدهای تولیدی را برای این ISA جدید بهینه کنند. این موضوع می‌تواند منجر به خروجی‌های باینری سبک‌تر، سریع‌تر و بهینه‌تر شود و در عین حال امنیت کدهای تولیدی را افزایش دهد.

به طور کلی، معماری x86S نه تنها بهینه‌سازی و ساده‌سازی پردازنده‌ها را به همراه دارد، بلکه می‌تواند باعث تغییرات عمده در ابزارهای تحلیل، امنیت سایبری و کامپایلرها شود. این معماری در بلندمدت تاثیرات قابل توجهی بر امنیت و کارایی نرم‌افزارها و همچنین بهبود عملکرد تحلیل‌گران و توسعه‌دهندگان خواهد داشت.

✍️ نویسنده میلاد کهساری الهادی
➖راهبر فنی تیم تحقیقات و توسعه آیو

⏰ یکشنبه - ۶ آبان ۱۴۰۳

@aioooir | #isa #intel #x86s

📌 بخش اول: تغییرات ISA پردازنده‌های اینتل در معماری x86s

معماری x86 برای سال‌ها در قلب سیستم‌های کامپیوتری بوده است و این معماری با نسخه‌های بهبودیافته در پردازنده‌های اینتل مورد استفاده قرار گرفته است. در این مقاله، به بررسی معماری جدیدی که اینتل تحت عنوان x86S ارائه داده می‌پردازیم. X86S یک مجموعه دستورالعمل‌های معماری جدید و کاهش‌یافته است که از بخش‌های قدیمی و بدون استفاده معماری سنتی x86 خلاص می‌شود و طراحی آن برای مدرن‌سازی و کارایی بیشتر معماری پردازنده‌ها صورت گرفته است.

معماری ISA چیست و چرا نیاز به بهینه‌سازی دارد؟ معماری مجموعه‌ دستورالعمل‌ها یا همان Instruction Set Architecture، مجموعه‌ای از دستورالعمل‌هاست که پردازنده‌ها برای اجرای برنامه‌ها و تعامل با سخت‌افزار از آن استفاده می‌کنند. معماری x86 با گذشت زمان بخش‌های مختلفی را برای سازگاری با سیستم‌های قدیمی‌تر اضافه کرده که باعث پیچیدگی، افزایش مصرف انرژی و کاهش کارایی می‌شود. اینتل با ارائه x86S قصد دارد تا با حذف قابلیت‌های غیرضروری و قدیمی، معماری x86 را بهبود بخشیده و بهینه‌سازی کند.

✅ ویژگی‌های x86S: معماری x86S با کاهش بخش‌های قدیمی و سازگاری‌های اضافی، از ساده‌تر شدن کدهای اجرایی، کاهش پیچیدگی‌ها و مصرف منابع بهره می‌برد. این تغییرات شامل موارد زیر است:

➖ حالت‌های اجرایی قدیمی: x86S از حالت‌های اجرایی قدیمی که در معماری‌های پیشین وجود داشتند، همچون حالت واقعی 16 بیتی و حالت محافظت‌شده 32 بیتی صرف‌نظر کرده و پردازنده را به طور دائم در حالت صفحه‌بندی شده قرار می‌دهد. در نتیجه، تنها حالت 64 بیتی و حالت سازگاری 32 بیتی باقی می‌ماند.

➖ حذف حلقه‌های امنیتی پایین‌تر (Ring 1 و Ring 2): حلقه‌های امنیتی 1 و 2 در گذشته برای جدا کردن سطوح مختلف دسترسی در سیستم‌عامل‌ها استفاده می‌شد، اما امروزه بسیاری از سیستم‌عامل‌ها از این حلقه‌ها استفاده نمی‌کنند. حذف این حلقه‌ها باعث کاهش پیچیدگی و بهبود کارایی پردازنده می‌شود.

➖ حذف حالت‌های 32 بیتی و vm86 در Ring 0: حالت vm86 برای پشتیبانی از برنامه‌های قدیمی DOS و 16 بیتی طراحی شده بود. با حذف این حالت‌ها، پردازنده از پشتیبانی مستقیم برنامه‌های قدیمی بی‌نیاز می‌شود و اجرای برنامه‌های مدرن بهینه‌تر خواهد شد.

➖ حذف MTRRهای ثابت: این حذف باعث می‌شود که پردازنده به مدیریت پویا و کارآمدتری از حافظه دسترسی پیدا کند و پردازنده تنها به ساختارهای مدیریت حافظه پویا متکی باشد.

➖ حذف I/O سطح کاربر و رشته‌های I/O: با حذف این موارد، پردازنده نیازمند پشتیبانی از دستورات سطح پایین ورودی و خروجی که در برنامه‌های قدیمی استفاده می‌شدند، نیست. این کار باعث بهبود کارایی و امنیت پردازنده می‌شود.

➖ حذف و بهینه‌سازی کنترل‌ها و بیت‌های اضافی در CR0: برخی از کنترل‌های اضافی در CR0، مانند Write-Through و بیت‌های کنترل قدیمی FPU که برای پردازنده‌های اولیه طراحی شده بودند، حذف می‌شوند و این باعث کاهش سربار پردازنده و بهینه‌سازی کنترل‌ها می‌شود.

➖ حذف و بهینه‌سازی مکانیزم وقفه‌ها و کنترل‌ها: معماری x86S تنها از x2APIC برای کنترل‌کننده وقفه استفاده می‌کند و از XAPIC و کنترلرهای وقفه قدیمی پشتیبانی نمی‌کند. این تغییرات باعث کاهش مصرف انرژی و بهبود کارایی پردازنده در سیستم‌های چندپردازشی می‌شود.

➖ پشتیبانی محدود از معماری Segmentation: با وجود محدود شدن دسترسی به سگمنت‌های تقسیم‌بندی در حالت 64 بیتی، همچنان دسترسی محدود به FS و GS برای کاربردهای خاص پشتیبانی می‌شود. همچنین، برخی از ویژگی‌های تقسیم‌بندی مانند تغییر حلقه‌ها در دستورهای فراخوانی دوربرد (far call) حذف شده است.

➖ دستورات محدود برای کنترل حالت‌های اجرایی: در معماری x86S، پردازنده نمی‌تواند حالت‌های NX یا SYSCALL یا حالت 64 بیتی را در MSR EFER غیرفعال کند که باعث افزایش امنیت پردازنده می‌شود.

@aioooir | #isa #intel #x86s

📌 سری یادداشت‌های واحد توسعه محصول آیو (نوراویون):

وقتی قرار است عمل IO انجام بدهیم (با هر نوع دیوایسی از قبیل File System یا Socket یا Pipe یا ...) به هر صورت، سرعت IO نسبت به عملیات‌های محاسباتی دیگر که در بطن پردازنده‌ها انجام می‌شوند، کندتر است. این مسئله مخصوصا زمانی که در حال طراحی و توسعه یک درایور هستیم، بسیار اهمیت دارد، زیرا ممکنه ترد برنامه برای اینکه یک کار IO به انتها برسد، مدت طولانی دچار Delay در عملکرد خود شود (و کل برنامه اجالتا هالت شود تا آن عمل IO به پایان برسد).

به هر صورت، در برنامه‌نویسی سطح پایین (مثل نوشتن درایور)، عملیات ورودی/خروجی (IO) به علت ماهیت دیوایس‌های فیزیکی کندتر است. این تفاوت سرعت باعث می‌شود که هنگام اجرای IO، ترد برنامه در حالت انتظار (Blocking) قرار بگیرد یا موجب ایجاد گلوگاه در عملکرد برنامه شود.

به همین دلیل، برنامه‌نویسان به ویژه در ویندوز از رویکرد Asynchronous یا Overlapped IO استفاده می‌کنند. در این روش، سیستم بدون توقف ترد اصلی، عملیات IO را در پس‌زمینه انجام می‌دهد. به محض اتمام، از طریق فراخوانی یک تابع Callback مثل IoCompletedRoutine، برنامه را مطلع می‌کند. در آزمایشگاه آیو، این روش یکی از پایه‌های اصلی توسعه محسوب می‌شود.

به عنوان مثال، در ویندوز 11، برای اجرای Asynchronous IO، دیوایس باید با فلگ FILE_FLAG_OVERLAPPED باز شود. این فلگ امکان اجرای درخواست‌ها در پس‌زمینه را فراهم کرده و به برنامه اجازه می‌دهد ترد اصلی را مشغول به کار نگه دارد. زمانی که IO تمام شد، یا با فراخوانی Callback مشخص، و یا از طریق یک Event، برنامه از اتمام کار آگاه می‌شود.

علاوه بر ویندوز، سیستم‌عامل لینوکس نیز از IO غیرهم‌زمان یا همان Asynchronous IO پشتیبانی می‌کند، اما از مکانیزم متفاوتی به نام epoll و select یا aio استفاده می‌کند. با این حال، به منظور حل این چالش، یکی از رایج‌ترین روش‌ها در لینوکس، استفاده از epoll است که برای مدیریت تعداد زیادی از عملیات IO به‌طور هم‌زمان طراحی شده است.

شایان ذکر است، ویندوز 11 با تمرکز بیشتر روی Parallelism و کارایی در پردازش‌های Asynchronous، ساختار System Message Queue و Thread Queue را بهبود بخشیده است. حالا هر ترد که عملیاتی از نوع GDI/USER32 را آغاز می‌کند، دارای یک Thread Queue خاص خواهد بود که ارتباطات و پیغام‌های سیستمی را پردازش می‌کند. با این رویکرد، نه تنها امکان اجرای هم‌زمان عملیات‌های متعدد فراهم می‌شود، بلکه کارایی و سرعت پاسخگویی سیستم نیز بهبود یافته است.

شایان ذکر است، در ویندوز، هر IRP (IO Request Packet) معمولی باید از تمام درایورهای موجود در مسیر عبور کند تا در نهایت توسط یک درایور (معمولاً پایین‌ترین درایور) پردازش شود. اگر درایوری قصد داشته باشد تنها یک IRP را به یک درایور خاص ارسال کند، از Non-queued IRP بهره می‌برد. این روش در عملکرد تاثیر بسزایی دارد، زیرا از صف‌های سیستمی و صف‌های تردها عبور نکرده و مستقیم به پردازش مربوطه می‌پردازد.

✍️ خلاصه فنی: رویکرد Overlapped IO در ویندوز و مکانیزم epoll در لینوکس، هر دو با هدف بهبود کارایی و کاهش تاخیر عملیات IO طراحی شده‌اند. این مکانیزم‌ها در کنار تفاوت‌هایشان، هدف مشترک افزایش کارایی و بهینه‌سازی سیستم برای اجرای هم‌زمان درخواست‌های IO رادارند. در ویندوز، استفاده از فلگ FILE_FLAG_OVERLAPPED و توابعی مانند ReadFileEx، امکان مدیریت IO غیرهم‌زمان را به روشی ساده و بهینه فراهم کرده است. در لینوکس، با استفاده از epoll و توابعی مانند read به‌صورت غیرهم‌زمان، این امکان به توسعه‌دهندگان داده شده تا در برنامه‌هایی که نیازمند کارایی بالا هستند، IO را به شکل موازی مدیریت کنند. با این روش‌ها، نه تنها کارایی سیستم بهبود یافته، بلکه پاسخگویی برنامه‌ها در پردازش‌های IO نیز به میزان چشمگیری افزایش پیدا کرده است.

✍️ نویسنده میلاد کهساری الهادی
➖راهبر فنی تیم تحقیقات و توسعه آیو

⏰ یکشنبه - ۶ آبان ۱۴۰۳

@aioooir | #xdr #io #async #sync

Goodbye brother!

@aioooir | #hero #rip

📌 سری یادداشت‌های واحد توسعه محصول آیو (نوراویون):

در سال 2024 با افزایش روزافزون توان پردازشی و پیچیدگی نرم‌افزارها، همزمانی و موازی‌سازی به‌عنوان دو مفهوم کلیدی در بهینه‌سازی کارایی سیستم‌های کامپیوتری برجسته‌تر شده‌اند. با بهبود این دو عامل، پردازنده‌ها قادر به انجام چندین کار به‌طور همزمان و با کارایی بیشتر خواهند بود.

در محصول Ai000 Open XDR که از هوش مصنوعی و یادگیری ماشین بهره می‌برد، پردازش حجم عظیمی از لاگ‌های امنیتی به‌طور همزمان و سریع بسیار حائز اهمیت است. مفاهیم همزمانی و موازی‌سازی در اینجا نقشی کلیدی ایفا می‌کنند، چرا که پردازش سریع‌تر و دقیق‌تر لاگ‌ها به تشخیص به‌موقع تهدیدها و ارتقای امنیت سیستم منجر می‌شود.

✳️ همزمانی (Concurrency): در سیستم‌های XDR، همزمانی به سیستم اجازه می‌دهد چندین لاگ را به‌صورت همزمان دریافت و مدیریت کند. در این حالت، همزمانی به سیستم امکان پردازش لاگ‌های مختلف را می‌دهد و این فرآیند را بدون نیاز به انتظار برای تکمیل یک لاگ، به‌سرعت و در جریان نگه می‌دارد.

✅ موازی‌سازی (Parallelism): موازی‌سازی به XDR اجازه می‌دهد لاگ‌های ورودی را به‌طور همزمان و موازی پردازش کند، که در پردازنده‌های چند هسته‌ای اهمیت دوچندان پیدا می‌کند. در این حالت، هر هسته یا ترد می‌تواند مجموعه‌ای از لاگ‌ها را به‌صورت همزمان تحلیل کند، تا از طریق تکنیک‌های یادگیری ماشین، الگوهای تهدیدات احتمالی را شناسایی کند.

❇️ تفاوت با یک مثال واقعی: فرض کنید سیستم Ai000 Open XDR هر ثانیه هزاران لاگ از منابع مختلف دریافت می‌کند. به‌جای پردازش ترتیبی، چگونه می‌توان از همزمانی و موازی‌سازی برای افزایش سرعت استفاده کرد؟

➖همزمانی: سیستم AOX می‌تواند لاگ‌های ورودی از منابع مختلف را همزمان دریافت و مدیریت کند و بدون نیاز به انتظار برای پردازش کامل، به تحلیل آن‌ها با استفاده از تردهای مجزا بپردازد.

➖موازی‌سازی: سیستم AOX می‌توانند در زیرساخت‌های دارای پردازنده‌های چند هسته‌ای به‌طور همزمان بخش‌هایی از لاگ‌ها را پردازش کنند و با تحلیل موازی با استفاده از OMP کارایی سیستم را بهینه کنند.

✍️ خلاصه فنی: در سیستم‌های XDR با بهره‌گیری از هوش مصنوعی و یادگیری ماشین، همزمانی و موازی‌سازی در پردازش لاگ‌ها نقشی حیاتی دارند. همزمانی امکان دریافت و مدیریت لاگ‌ها را به‌صورت همزمان فراهم می‌کند، در حالی که موازی‌سازی به کمک پردازنده‌های چند هسته‌ای، لاگ‌ها را به‌صورت واقعی و همزمان تحلیل و پردازش می‌کند.

✍️ نویسنده میلاد کهساری الهادی
➖راهبر فنی تیم تحقیقات و توسعه آیو

⏰ جمعه - ۴ آبان ۱۴۰۳

@aioooir | #xdr #concurrency #parallelism

@aioooir | #quiz

همانطور که در یکی از پست‌های آیو درباره مسئله اجماع صحبت شد، در این پست می‌خواهیم کمی این مسئله را بازتر و البته ویژوال کنیم. مسئله اجماع در شبکه بیتکوین به عنوان یکی از چالش‌های اصلی در سیستم‌های توزیع‌شده مطرح است.

برای درک این مسئله، باید متوجه شویم که در شبکه‌هایی مانند بیتکوین، صدها یا هزاران نود (گره) توزیع شده وجود دارند که باید در مورد وضعیت زنجیره (بلاکچین) به یک اجماع برسند. این اجماع به معنای توافق جمعی درباره تراکنش‌ها و بلاک‌های جدید است.

این فرآیند اجماع از طریق الگوریتم‌های اجماع مانند اثبات کار (Proof of Work) انجام می‌شود. مسئله‌ی اجماع به دلیل نامتمرکز بودن و وجود گره‌های بالقوه مخرب و ارتباطات ناپایدار سخت است و دارای چالش‌های زیادی است.

همچنین، این مسئله در نظریه‌ی سیستم‌های توزیع‌شده به عنوان مشکلی مشابه مسئله‌ی ژنرال‌های بیزانسی مطرح شده است. برای اینکه این مسئله کمی برای ما ملموس شود، ابتدا، تراکنش‌ها و بلاک‌های ساده‌ای را شبیه‌سازی می‌کنیم که نشان دهد هر گره در شبکه چه کاری انجام می‌دهد.

تصویر 1، گراف شبکه بیتکوین را با گره‌ها و بلاک‌های ماین شده نشان می‌دهد. برای این نمایش، یک گراف شبکه با 10 گره ایجاد کرده‌ایم که از مدل تصادفی Erdos-Renyi استفاده می‌کند. این مدل احتمال اتصال بین هر دو گره را به صورت تصادفی با احتمال 0.4 تعیین می‌کند. هر گره به صورت تصادفی ماینر یک بلاک است و تراکنش‌ها در بلاک‌ها ثبت شده‌اند.

تصویر 2 با عنوان Faulty Nodes گره‌های مخرب را نشان می‌دهد که ممکن است با اعلام بلاک‌های اشتباه باعث اختلال در فرآیند اجماع شوند. این چالش یکی از مشکلات مهم در شبکه‌های توزیع شده مانند بیتکوین است.

تصویر 3 نمایش‌دهنده گره‌ای است که زودتر از سایرین موفق به حل مسئله اثبات کار شده و اجماع را به دست می‌آورد. این گره با رنگ سبز نمایش داده می‌شود.

بنابراین، کد و توضیحات هر دو به خوبی بیانگر این هستند که چرا مسئله اجماع در بیتکوین خصوصاً به دلیل وجود گره‌های مخرب و شبکه‌های نامتمرکز پیچیده است.

@aioooir | #breakthoughs_issues #research

یکی از مباحث جذاب علم، مسئله بعُد چهارم و ریاضیات مطرح در این بُعد است. اخیرا یک ویدیو در این زمینه مشاهده کردم که در آن Lisa Piccirillo در دانشگاه هاروارد به ریاضیات این حوزه می‌پردازد. او به شکل‌ها و پدیده‌های غیرمعمول در بُعد چهارم اشاره می‌کند و به بررسی توپولوژی در بُعدهای بالا (خصوصاً بُعد ۴) می‌پردازد. در ادامه، خلاصه‌ای از نکات مهم و زمان‌های کلیدی ویدیو را آورده‌ام:

1. مقدمه (00:00): در ابتدای ویدیو، لیزا پیکیریلو به‌طور خلاصه مقدمه‌ای بر توپولوژی و ریاضیات بُعدی ارائه می‌دهد. او توضیح می‌دهد که توپولوژی در مورد خواص فضایی است که تحت تغییرات پیوسته (مانند کشش یا پیچش) تغییر نمی‌کنند.

2. توپولوژی در بُعدهای بالا (02:00): در این بخش، او به اهمیت توپولوژی در بُعدهای بالاتر (به‌ویژه بُعد ۴) اشاره می‌کند. توضیح می‌دهد که چگونه اشیاء توپولوژیکی در بُعد ۴ ویژگی‌های متفاوت و منحصربه‌فردی نسبت به بُعدهای پایین‌تر دارند. همچنین، از "ساختارهای عجیب" در بُعد ۴ سخن می‌گوید که به عنوان مانیفولدهای اگزوتیک شناخته می‌شوند.

3. گره‌زنی چهار بُعدی (10:00): یکی از موضوعات کلیدی که پیکیریلو به آن اشاره می‌کند، مفهوم گره‌ها در بُعد ۴ است. او توضیح می‌دهد که چگونه گره‌های چهار بُعدی با گره‌های سه بُعدی که در فضا می‌شناسیم تفاوت دارند. این بخش به بررسی این می‌پردازد که چگونه گره‌ها در بُعد ۴ می‌توانند دارای رفتارهای غیرمعمولی باشند که در بُعدهای پایین‌تر مشاهده نمی‌شود.

4. حل مساله گره کانوی (20:00): در یکی از جذاب‌ترین بخش‌های ویدیو، او به حل مسئله مشهور Conway Knot می‌پردازد. او توضیح می‌دهد که چگونه توانسته است این مسأله مهم و دیرینه در توپولوژی گره‌ها را حل کند. این گره به عنوان یک گره ۱۱ نقطه‌ای شناخته می‌شود که ویژگی‌های خاصی دارد و به مدت دهه‌ها ریاضی‌دانان را به چالش کشیده بود.

5. مانندفولدهای اگزوتیک و نتیجه‌گیری (35:00): در بخش پایانی ویدیو، پیکیریلو به بحث در مورد مانندفولدهای اگزوتیک در بُعد ۴ بازمی‌گردد و اینکه چگونه این پدیده‌ها باعث می‌شوند بُعد چهارم بسیار متفاوت از بُعدهای دیگر باشد. او توضیح می‌دهد که این پدیده‌ها به ما درک عمیق‌تری از جهان‌های چندبُعدی می‌دهند و اینکه همچنان مسائل حل نشده زیادی در این زمینه باقی مانده است.

لینک: https://www.youtube.com/watch?v=BXwALAkPubc

این ویدیو، به زبان ساده، پدیده‌های پیچیده توپولوژی چهار بُعدی را تشریح می‌کند و بینشی از کارهای بزرگ ریاضی در این حوزه را به مخاطبان می‌دهد. اگر به ریاضیات پیشرفته علاقه دارید، این سخنرانی بسیار جذاب خواهد بود. در ادامه مسیر خود در Unlocking Machine سعی خواهم کرد به همه این مسائل از جنبه علم و ریاضیات بپردازم.

@aioooir | #unlocking_machine #mathematics

📌 سری یادداشت‌های واحد توسعه محصول آیو (نوراویون):

یک سری نکات در مورد اینتراپت 2d وجود دارد که بسیار از منظر توسعه محصول اهمیت دارد. وقتی int 2D اجرا می‌شود، سیستم از آدرس درون ثبات EIP به عنوان Exception Address استفاده می‌کند و آن را یک واحد افزایش خواهد داد. بعد هم اگر دیباگری وجود داشته باشد، EXCEPTION_BREAKPOINT را تولید می‌کند، اگر هم دیباگری وجود نداشت هم که هیچ چیزی تولید نخواهد شد (منظور از وجود دیباگر، پیوست آن به پروسه است).

به همین دلیل رفتار اینتراپت 2D، می‌توان با استفاده از آن به وجود دیباگر پی‌برد و علاوه بر توسعه محصول، به عنوان Anti-Debugging توسط توسعه‌دهندگان بدافزار استفاده شود. در حقیقت از آن برای اهداف مخرب سوء استفاده می‌شود. با این حال، فرض کنید، یک برنامه بسیار خاص داریم که عملکرد آن برای ما خیلی مهم هست و قرار است یک جایی روی سیستم یک مشتری یا یک سازمان یا هر چیزی استفاده شود. مثلا Ai000 Open XDR را در نظر بگیرید.

یکی از امکاناتی که در برنامه Ai000 Open XDR وجود دارد این است که وقتی مثلا یک Runtime Anomaly اتفاق افتاد، int 2D اجرا می‌شود که اگر دیباگری وجود داشت، آدرس Exception را بردارد و سپس تحلیلگر به آن آدرس رجوع کند تا متوجه شود چه اتفاقی رخ داده است (چون همانطور که ذکر شد، int 2D آدرس موجود در EIP رو به عنوان Exception Address اعلام می‌کند). این مکانیزم برای پاسخگویی سریع به مشکلات مشتریان در نظر گرفته شده است.

در این شرایط، وقتی یک سازمان مشتری تماس بگیرد که محصول در زمان اجرا و در محیط عملیاتی دارای مشکل است، شخص ریسپاندر می‌تواند با کمک این مکانیزم در محیط حاضر شود و با استفاده از یک دیباگر مسئله را از نزدیک تحلیل کند. اگر هم دیباگر به برنامه Attach نشده باشد، محصول Ai000 Open XDR رفتار عادی نشان می‌دهد و هیچ تفاوتی با اجرای عادی نخواهد داشت.

در واقع این مکانیزم در Ai000 Open XDR به ما شرایط Live Debugging در سیستم‌های همیشه در حال اجرا و بدون وقفه ارائه می‌دهد. بنابراین در این محصول که ماهیت خیلی حساس دارد، چند لایه مکانیزم تحلیل و اشکال‌زدایی در نظر گرفته شده است تا برای مواقعی که نیاز به رفع اشکال هست. این موارد به شرح زیر هستند:

1. اولین لایه مکانیزم لاگ هست.

2. دومین لایه مکانیزم Debug Message است که وقتی یک دیباگر یا مثلا DbgView.exe در حال اجرا بود، یک سری اطلاعات در کنسول چاپ شود و اگر هم چنین چیزی در حال اجرا نبود که کاربر اصلا پیغام رو دریافت نخواهد کرد.

3. سومین لایه مکانیزم Debug تعاملی است که فقط یک طرفه برنامه چیزی را در خروجی چاپ نکند، بلکه بشود در شرایط از پیش تعریف شده، با وقوع آن شرایط، در دیباگر آن برنامه متوقف شود و تحلیلگر بتواند تحلیل انجام بدهد.

4. چهارمین لایه مکانیزم‌های Profiling و امثالهم است.

5. پنجمین لایه مکانیزم Try/Catch و Try/Except است که در زبان‌های برنامه‌نویسی مثل Cpp یا حتی Windows API تعریف شده است.

6. ششمین لایه استفاده از مکانیزم‌های RPC است که در محیط آزمایشگاهی توسعه محصول استفاده می‌شود.

در هر صورت، هیچ محصولی در نگاه اول نمی‌تواند بدون مشکل و ضعف باشد از همین روی، در هنگام توسعه باید انواع رویکردها را برای Fast Response در نظر گرفت تا اگر محصول دچار مشکل در محیط مشتری شد، شناسایی و به سرعت رفع شود. در تمامی محصولات واحد توسعه Ai000 (نوراویون) این موارد به عنوان Best Practice استفاده می‌شود.

✍️ نویسنده میلاد کهساری الهادی
➖راهبر فنی تیم تحقیقات و توسعه آیو

⏰ سه شنبه - ۱ آبان ۱۴۰۳

@aioooir | #developunit #xdr #dlp

📌 چشم‌انداز باج‌افزارها و درس‌هایی که از بیمه‌گذاران و نقض‌های امنیتی

در پانل "The Ransomware Paradigm Change—Lessons from Insurers and Breach" که در کنفرانس RSA 2022 برگزار شد، تغییرات بنیادین در چشم‌انداز باج‌افزارها و تجارب به دست آمده از بیمه‌گذاران و نقض‌های امنیتی به‌روز مورد بررسی قرار گرفت. کارشناسان با تاکید بر رشد سریع و پیچیده‌تر شدن حملات باج‌افزار در سال‌های اخیر، به تحلیل تاثیرات این تهدیدات بر صنعت بیمه سایبری و مدیریت ریسک پرداختند.

با توجه به تغییر رفتار مهاجمان و استفاده از تکنیک‌های پیشرفته برای نفوذ به سازمان‌ها، بحث‌هایی پیرامون چالش‌های ارزیابی و کاهش ریسک صورت گرفت. کارشناسان بیمه به روند افزایشی پرداخت‌های بیمه‌ای در پی حملات باج‌افزار و همچنین سیاست‌های بیمه‌ای جدید برای مقابله با تهدیدات پیچیده‌تر پرداختند.

این پانل همچنین بر تجزیه و تحلیل تجارب واقعی از نقض‌های امنیتی و پیامدهای آنها از دیدگاه هزینه‌ها، پاسخگویی، و مدیریت بحران تمرکز داشت. توصیه‌هایی برای تدوین استراتژی‌های جامع امنیت سایبری و همکاری سازمان‌ها با بیمه‌گران جهت بهبود واکنش به تهدیدات نیز از نکات کلیدی بود.

پرسش‌های مهم پانل که توسط بنجامین دی مارکو (مدیر جلسه) مطرح شد، شامل بررسی نرخ و واقعیت تهدیدات، اقدامات ضروری برای پیشگیری و واکنش به حملات، مفهوم باج‌گیری چندگانه، مذاکره با تهدیدکنندگان، و نقش رگولاتوری‌ها در جلوگیری از نقض‌ها بود. برخی از مهم‌ترین سوال‌های مطرح شده توسط بنجامین دی مارکو (گرداننده پنل) در این پادکست عبارتند از:

➖ 2:54 - نرخ و تعداد آلوده‌سازی در سازمان‌هایی که با نشت اطلاعات و اخاذی‌های عظیم باج‌خواهی روبرو می‌شوند و اینکه چه مقدار از این وقایع واقعی است و چه مقدار خیالی هستند.

➖ 5:28 – مواردی که سازمان‌ها به هنگام مواجهه با این قبیل تهدیدات باید انجام دهند و مواردی که از قبل باید تمهید شده باشند، چیست؟

➖ 7:36 – اتفاقاتی که برای سازمان پس از ضربه خوردن از یک حمله باج‌افزاری رخ می‌دهد چیست؟

➖ 9:48 – آیا امکان ارائه یک تعریف مقدماتی به مخاطبان راجع به متد باج‌گیری مضاعف یا چندگانه که امروزه شاهد هستیم، برای شما وجود دارد؟

➖ 11:15 – چطور با یک گرداننده تهدید مذاکره یا توافق می‌شود در حالیکه ذات این حملات فشار آوردن به مشتری، آنهم در یک فضای غیرقانونی است؟

➖ 14:57 – اینکه چه سهمی از رخنه‌ها و حوادث این تهدیدات، به دلیل نادیده گرفتن یا عدم پیاده‌سازی صحیح رگولاتوری هاست، موردی است که خیلی به طور صحیح درک نشده است. نظر شما چیست؟

➖ 21:00 – یکی از چالش‌های کلیدی سازمان‌ها چگونگی نگاه آنها به سیاست‌های صنعت بیمه سایبری است. در مواقع به هنگام درخواست باج چه اموری باید انجام شود تا مبلغ خسارت توسط بیمه‌ها پرداخت شود؟

از دقیقه 21:00 به بعد، مباحث پانل به طور ویژه به بیمه سایبری و کوچینگ سازمان‌ها در واکنش به باج‌افزارها پرداخته شد. این گفت‌وگوها نشان داد که مقابله با باج‌افزارها در سال 2024 نیازمند رویکردهای چندلایه شامل فناوری، سیاست‌گذاری، و پشتیبانی بیمه‌ای است تا سازمان‌ها بتوانند در برابر این تهدیدات پیچیده تاب‌آور شوند.

@aioooir | #ransomware #rsa #podcast

📌 چشم‌انداز باج‌افزارها و درس‌هایی که از بیمه‌گذاران و نقض‌های امنیتی


@aioooir | #ransomware #rsa #podcast

📌استفاده از WMI برای حرکت جانبی در شبکه‌های مایکروسافتی و اصول شکار تهدید WMI

✍️ نویسنده محمد مهدی انبارکی

@aioooir | #redteam #simulation #threat_hunting

📌استفاده از WMI برای حرکت جانبی در شبکه‌های مایکروسافتی و اصول شکار تهدید WMI

ابزار WMI در ویندوز مدیریت ابزارهای نرم‌افزاری بسیاری را برای مدیریت و کنترل سیستم‌ها و دستگاه‌های ویندوز فراهم می‌کند، از جمله اطلاعات سخت‌افزاری، نرم‌افزاری و وضعیت سیستم را می‌توان با استفاده از این ابزار بررسی کرد. این ابزار از طریق پروتکل‌های مختلف ارتباط برقرار می‌کند و به برنامه‌ها امکان می‌دهد تا اطلاعات مورد نیاز خود را از سیستم دریافت و مدیریت کنند. شایان ذکر است WMI مبتنی بر پرتوکل ریموت DCOM است. در این مقاله، به تحلیل حملات Lateral Movement با استفاده از WMI پرداخته خواهد شد و در نهایت این مسئله بررسی خواهد شد که چطور باید این تهدید شناسایی شود.

✍️ نویسنده محمد مهدی انبارکی
➖کارشناس ارشد / مدرس حملات ردتیم

⏰ یکشنبه - ۲۹ مهر ۱۴۰۳

@aioooir | #redteam #simulation #threat_hunting

📌بخش اول - فازینگ اندروید بصورت مستقیم در دستگاه

فازینگ یک روش موثر برای کشف آسیب‌پذیری‌ها از طریق تست ورودی‌های غیرمعتبر به سیستم‌ها و نرم‌افزارها است. اجرای فازینگ به صورت مستقیم بر روی دستگاه‌های اندروید با استفاده از QEMU و AFL یک راهبرد پیشرفته محسوب می‌شود که می‌تواند به یافتن آسیب‌پذیری‌های امنیتی کمک شایانی کند. در اینجا، جزئیات بیشتری درباره نحوه پیاده‌سازی و چالش‌های آن ارائه می‌شود، به‌ویژه با توجه به تحقیقات و پیشرفت‌های اخیر که بر فازرهای پیشرفته تمرکز دارند.

کامپایل QEMU برای AFL در اندروید: برای انجام فازینگ در اندروید، یکی از روش‌های اصلی استفاده از QEMU است. QEMU یک شبیه‌ساز/مجازی‌ساز است که به طور گسترده‌ای در آزمایشات امنیتی و توسعه نرم‌افزار استفاده می‌شود. AFL نیز یکی از معروف‌ترین فازرهاست که توانایی بالایی در تولید ورودی‌های نامعتبر و کشف باگ‌های امنیتی دارد. اجرای QEMU به‌منظور فازینگ در اندروید مستلزم Cross-Compile کردن آن برای معماری دستگاه‌های اندروید است. این فرایند شامل موارد زیر می‌شود:

➖ انتخاب صحیح Toolchain: استفاده از NDK (Android Native Development Kit) برای ایجاد باینری‌هایی سازگار با اندروید.

➖ پیکربندی QEMU: تنظیم پیکربندی QEMU برای معماری ARM یا ARM64 که معمولا در دستگاه‌های اندروید استفاده می‌شود. این شامل پشتیبانی از ویژگی‌های خاص سیستم عامل اندروید مانند درایورهای اختصاصی یا API‌های خاص اندروید است.

➖ دستکاری و تنظیمات AFL: برای آنکه AFL بتواند ورودی‌های غیرمعتبر را به درستی تزریق کند و نتایج مناسبی را برای دستگاه اندروید تولید کند، نیاز به ارتباط بین AFL و QEMU است که این ارتباط به صورت دقیق تنظیم و بهینه‌سازی شود تا هیچ سیکل مهمی از تست از دست نرود.

در سال 2024، پیشرفت‌های جدیدی در ابزارهای فازینگ به وجود آمده است که شامل بهینه‌سازی‌های کارایی در کراس-کامپایل و پشتیبانی بهتر از معماری‌های ARM است که باعث می‌شود فرایند فازینگ سریع‌تر و موثرتر انجام شود. همچنین فازرهای جدید مانند AFL++ که قابلیت‌های بیشتری برای فازینگ هوشمند ارائه می‌دهند، بهبودهایی در عملکرد و دقت تست‌ها را به همراه دارند.

فازینگ کتابخانه‌های Native اندروید (JNI): کتابخانه‌های Native اندروید که از JNI برای ارتباط با بخش‌های بومی سیستم استفاده می‌کنند، از مهم‌ترین اهداف برای فازینگ هستند. این کتابخانه‌ها به دلیل تعامل مستقیم با سیستم عامل و سخت‌افزار، پتانسیل زیادی برای آسیب‌پذیری‌های امنیتی دارند.

ادامه در پست بعدی.

@aioooir | #fuzzing #android #afl

📌بخش دوم - فازینگ اندروید بصورت مستقیم در دستگاه

فازینگ این کتابخانه‌ها به دو روش اصلی انجام می‌شود:

➖ استفاده از QEMU و AFL: در این روش، همانطور که اشاره شد، QEMU به‌عنوان یک محیط شبیه‌ساز برای اجرای کتابخانه‌ها و تزریق ورودی‌های AFL استفاده می‌شود. این راهبرد به دلیل شبیه‌سازی دقیق محیط اندروید، از دقت بالایی برخوردار است و قادر است بسیاری از آسیب‌پذیری‌های ریزبینانه را کشف کند.

➖ شبیه سازی کتابخانه‌ها در محیط لینوکس: روش جایگزین دیگر، استفاده از شبیه‌سازی کتابخانه‌های Native اندروید در لینوکس است. در این روش، کتابخانه‌های اندروید بر روی یک سیستم لینوکسی اجرا و فازینگ می‌شوند. این راهبرد ممکن است از نظر سرعت و راحتی اجرا بهینه‌تر باشد، اما به دلیل تفاوت‌های محیطی بین لینوکس و اندروید، ممکن است برخی از باگ‌های خاص اندروید را از دست دهد.

در سال 2024، پیشرفت‌های زیادی در الگوریتم‌های فازینگ صورت گرفته است که فازرها را هوشمندتر و کارآمدتر کرده است. برخی از این پیشرفت‌ها عبارتند از:

➖ فازینگ هوشمند مبتنی بر یادگیری ماشین: این تکنیک‌ها از داده‌های تاریخی و الگوریتم‌های یادگیری برای بهبود تولید ورودی‌های نامعتبر استفاده می‌کنند. این امر منجر به یافتن باگ‌های عمیق‌تر و پیچیده‌تر در سیستم‌های اندرویدی می‌شود.

➖ فازینگ ساختارگرا (Structure-aware Fuzzing): این تکنیک‌ها به فازرها کمک می‌کنند که ساختار داده‌ها را درک کرده و ورودی‌هایی تولید کنند که با استفاده از آنها بتوانند به شکلی هدفمندتر و هوشمندتر تست شوند.

➖ بازخورد مبتنی بر پوشش کد (Coverage-guided Fuzzing): این تکنیک به فازر این امکان را می‌دهد که اطلاعات دقیقی از بخش‌های مختلف کد به دست آورد و ورودی‌های خود را بر اساس پوشش کد بهینه کند. این نوع از فازرها، با استفاده از Instrumentation می‌توانند اطلاعات بیشتری در مورد جریان اجرایی برنامه به دست آورند و به طور کلی برنامه را پروفایل کنند. با انجام این کار، فازر می‌تواند تصمیمات هوشمندانه‌تری برای تولید ورودی‌های جدید و کشف نقاط ضعف برنامه بگیرد.
اینسترومنتیشن در این زمینه نقش مهمی ایفا می‌کند و به دو شکل کلی انجام می‌شود:

1- داینامیک اینسترومنتیش (Dynamic Instrumentation): این نوع اینسترومنتیشن به صورت پویا و در زمان اجرا (Run-time) انجام می‌شود. به عنوان مثال، زمانی که ما برنامه‌ای را با استفاده از AFL++ و با فلگ -Q در حالت QEMU mode فاز می‌کنیم. بطورکل اگر Instrumentation به صورت پویا و هنگام اجرای برنامه صورت گیرد، به آن Dynamic Instrumentation گفته می‌شود. در این روش، فازر بدون نیاز به دسترسی به سورس کد، پوشش کد را به دست می‌آورد و بر اساس آن ورودی‌های جدید تولید می‌کند.

2- استاتیک اینتسترومنتیشن (Static Instrumentation): زمانی که شما برنامه را با afl-gcc کامپایل می‌کنید، در واقع کامپایلر تغییرات لازم برای جمع‌آوری پوشش کد را در باینری قرار می‌دهد. به عبارت دقیق‌تر، این نوع اینسترومنتیشن در زمان کامپایل به برنامه اضافه می‌شود و در زمان اجرا، اطلاعات پوشش کد جمع‌آوری می‌شود.

با این رویکردهای جدید، سازمان‌ها می‌توانند فازینگ را نه تنها برای تست کتابخانه‌های بومی، بلکه برای تمام بخش‌های نرم‌افزارهای اندروید، از جمله APIها و سرویس‌های سیستم‌عامل انجام دهند.

مزایا و معایب روش‌های مختلف:

➖ روش QEMU و AFL: این روش به دلیل شبیه‌سازی کامل سیستم عامل اندروید، دقت بالایی در کشف آسیب‌پذیری‌ها دارد. اما به دلیل نیاز به کراس-کامپایل پیچیده و مصرف منابع زیاد، ممکن است زمان‌بر باشد.

➖ روش شبیه‌سازی در لینوکس: این روش سریع‌تر و از نظر منابع بهینه‌تر است، اما تفاوت‌های محیطی میان لینوکس و اندروید می‌تواند باعث از دست رفتن برخی از آسیب‌پذیری‌های خاص شود.

در نهایت، انتخاب روش مناسب برای فازینگ بسته به نیازهای امنیتی سازمان و منابع در دسترس متفاوت است.

✍️ نویسنده میلاد کهساری الهادی
➖راهبر فنی تیم تحقیقات و توسعه آیو

⏰ یکشنبه - ۲۹ مهر ۱۴۰۳

@aioooir | #fuzzing #android #afl

📌 فازینگ اندروید بصورت مستقیم در دستگاه

@aioooir | #fuzzing #android #afl

📌 نگاهی به دکترین و استراتژی 2022 ناتو

اکنون که بحث سایبر و سیستم های سایبرنتیک اهمیت فراوانی پیدا کرده است، در این پست به اسناد رسمی ناتو (NATO) و همچنین تغییرات و به روزرسانی آن ها نگاهی خواهیم داشت. ناتو در چندین سند رسمی به اهمیت جنگ سایبری و دفاع سایبری پرداخته و دستورالعمل‌هایی برای مقابله با تهدیدات سایبری ارائه داده است. برخی از مهم‌ترین این اسناد و اقدامات ناتو به شرح زیر هستند:

1. مفهوم استراتژیک ناتو 2010 (NATO Strategic Concept 2010): در این سند ناتو برای اولین بار به طور رسمی جنگ سایبری را به عنوان یک تهدید امنیتی مورد توجه قرار داد و بر اهمیت تقویت قابلیت‌های سایبری برای دفاع از کشورهای عضو تأکید کرد. در این سند آمده است که دفاع در برابر حملات سایبری از جمله اولویت‌های امنیتی ناتو است و تاکید شد که ناتو باید توانایی‌های خود را در این زمینه توسعه دهد.

2. سیاست دفاع سایبری ناتو (NATO Cyber Defence Policy 2014): این سند یکی از مهم‌ترین سیاست‌های ناتو در حوزه سایبری است. در این سند، ناتو تصریح می‌کند که حملات سایبری می‌توانند به اندازه حملات فیزیکی مضر باشند و هرگونه حمله سایبری بزرگ علیه کشورهای عضو ناتو ممکن است تحت ماده 5 پیمان ناتو قرار گیرد که به معنای پاسخ جمعی است. ناتو همچنین در این سند بر اهمیت هم‌افزایی میان کشورهای عضو برای تقویت دفاع سایبری و اشتراک اطلاعات تأکید می‌کند.

3. بروزرسانی‌های 2016 و 2021 در دکترین سایبری ناتو: در سال 2016، ناتو رسماً فضای سایبری را به عنوان یکی از حوزه‌های عملیاتی خود (در کنار زمین، هوا، دریا و فضا) معرفی کرد. این تصمیم نشان‌دهنده اهمیت بالای فضای سایبری در دفاع از کشورهای عضو و همچنین تهاجم‌های سایبری بود. در سال 2021، ناتو این دکترین را با توجه به پیشرفت‌های فناوری و افزایش تهدیدات سایبری بروزرسانی کرد و بر اهمیت عملیات‌های هماهنگ در فضای سایبری تاکید بیشتری شد.

4. دستورالعمل‌ها و قوانین همکاری سایبری ناتو (CCDCOE): ناتو از طریق مرکز تعالی دفاع سایبری تعاونی (CCDCOE) مستقر در استونی، مجموعه‌ای از دستورالعمل‌ها و پژوهش‌ها را درباره نحوه مقابله با تهدیدات سایبری منتشر کرده است. از جمله اسناد مهم می‌توان به کتاب Tallinn Manual اشاره کرد که راهنمایی‌هایی درباره قوانین بین‌المللی مرتبط با جنگ سایبری ارائه می‌دهد. این کتاب به کشورها کمک می‌کند تا بتوانند واکنش‌های قانونی مناسب در برابر حملات سایبری را تنظیم کنند. شایان ذکر است، راهنمای Tallinn توسط گروهی از متخصصان حقوق بین‌الملل و حقوق نظامی تهیه شده و سعی می‌کند چارچوبی برای چگونگی اعمال قوانین جنگ سنتی (مانند قوانین بین‌المللی بشردوستانه) در فضای سایبری ارائه دهد. در بخش زیر نگاهی گذرا به این راهنما داشتیم:

➖ نسخه اول (Tallinn Manual 1.0) – 2013: این نسخه بیشتر بر روی قوانین جنگ در فضای سایبری و چگونگی استفاده از قوانین بین‌المللی در مورد حملات سایبری تمرکز داشت. به‌ویژه، به موضوعاتی نظیر اینکه چه زمانی یک حمله سایبری می‌تواند به عنوان "استفاده از زور" تلقی شود و چه زمانی حملات سایبری می‌توانند به واکنش‌های نظامی یا حقوقی منجر شوند، پرداخته است.

➖ نسخه دوم (Tallinn Manual 2.0) – 2017: در این نسخه به طور گسترده‌تری به مسائل سایبری پرداخته شده است و شامل قوانین غیرنظامی مرتبط با فضای سایبری نیز می‌شود. همچنین موضوعات جدیدی مانند حفاظت از داده‌ها، امنیت سایبری، حریم خصوصی، و مسائل تجاری نیز به آن اضافه شده‌اند.

راهنمای تالین تلاش می‌کند تا روشن کند که چه نوع عملیات‌های سایبری می‌توانند به عنوان حمله نظامی در نظر گرفته شوند و چه واکنش‌هایی بر اساس قوانین بین‌المللی مجاز هستند.

5. استراتژی 2022 ناتو: با این حال، مسئله مهم تغییرات دکترین ناتو در سال 2022 با محوریت مسائل سایبری بوده است. در استراتژی جدید ناتو که در اجلاس 2022 اعلام شد، ناتو به‌صراحت به جنگ سایبری به عنوان یکی از ابزارهای جنگ هیبریدی اشاره کرد و تأکید کرد که عملیات‌های سایبری نقش حیاتی در دفاع از کشورهای عضو ناتو در برابر تهدیدات متنوع دارند. همچنین، ناتو بر تقویت توانایی‌های سایبری کشورهای عضو و مقابله با حملات پیچیده سایبری تاکید بیشتری گذاشت.

✍️ نویسنده هنگامه شایگان
➖محقق امنیت طیف الکترومغناطیس و ژئوسایبرنتیک آیو

⏰ سه‌شنبه - ۲۴ مهر ۱۴۰۳

@aioooir | #cybergeopolitics #cybersentinel

It appears that we have identified another client-side vulnerability in #Telegram 5.6.2 x64's message parser, potentially leading to a null-pointer dereference. It is reproducible, too. Our #fuzzing methodology has proven effective with this version of the messenger. However, after further analysis, it seems that while this vulnerability exists, it may be challenging in practice. Further exploitation attempts could be challenging, requiring deeper insights into the underlying code and memory handling mechanisms.

@aioooir | #vulnerability #research

📌 مسأله اجماع در شبکه بیتکوین چیست و چرا حل این مسأله از لحاظ تئوریک سخت است؟

مستند جدید HBO درباره بیت‌کوین و خالق احتمالی آن، بهانه‌ای است تا نگاهی به موضوع اجماع (Consensus) در شبکه بیت‌کوین داشته باشیم و بررسی کنیم چرا این موضوع از نظر تئوریک پیچیده است.

به طور کلی، اجماع در شبکه بیت‌کوین به معنای ایجاد یک دفتر کل مشترک بین تمامی نودهای شبکه است. برای درک بهتر این مسئله، باید از دیدگاه الگوریتم‌های توزیع‌شده به آن نگریست، زیرا ریشه این موضوع در این حوزه قرار دارد.

در الگوریتم‌های توزیع‌شده، دو نوع محیط برای اجماع مطرح می‌شود: همگام و ناهمگام. در محیط همگام، ارتباطات بین نودها دارای حداکثر تأخیر مشخصی هستند، یعنی پیام‌ها در زمان معینی به مقصد می‌رسند. اما در محیط ناهمگام، چنین محدودیتی وجود ندارد و هیچ سقفی برای تأخیر در نظر گرفته نمی‌شود.

در شرایط همگام، اگر نودها صادق باشند، دستیابی به اجماع ممکن است؛ اما در شرایط ناهمگام، به دلیل مسائلی مانند به‌هم‌ریختگی ترتیب پیام‌ها یا دشواری تشخیص نود کند از نودی که دچار خرابی شده، دستیابی به اجماع بسیار دشوارتر است. بر اساس قضیه FLP، در محیط ناهمگام هیچ الگوریتم تعیین‌پذیری نمی‌تواند با وجود خرابی نودها یا شرایط پیچیده‌تر نظیر رفتار متخاصم نودها، مسئله اجماع را به‌طور کامل حل کند.

با این حال، سؤال اصلی این است که بیت‌کوین چگونه در عمل این مشکل را حل کرده است؟ اجماع ناکاموتو از عدم قطعیت استفاده می‌کند و دو ویژگی اصلی هر اجماع، یعنی "ایمنی" (Safety) و "پویایی" (Liveness) را برآورده می‌سازد.

در این نوع اجماع، هر ماینر پس از انجام کار و بر اساس سختی شبکه، پاداشی دریافت می‌کند. این پاداش انگیزه‌ای برای ادامه کار شبکه و افزودن بلاک‌های جدید ایجاد می‌کند (Liveness). در نتیجه، اصول علم نظریه بازی‌ها (Game Theory) نیز در این فرایند نقش دارد.

اجماع ناکاموتو همچنین بر پایه قاعده "بلندترین زنجیره" استوار است. با افزایش طول زنجیره، توان محاسباتی لازم برای حمله به شبکه به صورت تصاعدی افزایش می‌یابد. علاوه بر این، ماینری که پاداش دریافت کرده، تمایلی به تغییر یا دستکاری بلاک‌ها ندارد (Safety).

در نتیجه، اجماع ناکاموتو تضمینی قطعی برای دستیابی به اجماع ارائه نمی‌دهد، اما احتمال دستیابی به اجماع با افزایش تعداد بلاک‌ها بیشتر می‌شود.

در نهایت، این موضوع نشان می‌دهد که نقش علوم پایه و نظریه‌های تئوریک در فهم تکنولوژی‌های آینده بیش از پیش اهمیت پیدا خواهد کرد، و برای ماندن در بازار آینده، یادگیری این علوم اجتناب‌ناپذیر است.

✍️ نویسنده محمد امین مسلمی
➖محقق ارشد پژوهش آسیب‌پذیری و توسعه اکسپلویت آیو

⏰ دوشنبه - ۲۳ مهر ۱۴۰۳

@aioooir | #breakthoughs_issues #research

📌 جهان فردا، همان‌قدر که علمی است، وحشتناک هم هست!

شاید امروز هنوز وقتی درباره این موضوعات حرف می‌زنیم، کمی شبیه به تخیلات به نظر برسند، مانند مشاهده انیماتریکس باشد. حالا اجازه بدهید به چند تا از این ترندهای آینده که مثل برق و باد می‌آیند نگاهی بیندازیم:

1. رمزارزها: #رمزارزها در آینده دیگر فقط بیت‌کوین و اتریوم نیستند (این ویس من در سال 2021 را گوش بدهید). اقتصاد نوین روی دوش این رمزارزهای دیجیتال خواهد بود، و کسی که دارد این کاروان را رهبری می‌کند، جایی نیست جز BlackRock و VenRock و ... که احتمالا تا چند سال آینده، حتی خودتان هم نمی‌دانید آیا حساب بانکی‌تان به دلار است یا به رمزارز! رمزارزها فراگیر خواهند شد، چون در نبرد سیستم ها، سیستمی که ضعف کمتری دارد، برنده است.

2. #اینترنت_جهانی: با ISPهای محلی خداحافظی کنید. آقای ایلان ماسک، در آینده نه‌تنها شما را به مریخ خواهد برد، بلکه اینترنت کل جهان را هم در دست خواهد گرفت. تا بقیه کشورها به خود بیاییند، اینترنت را در دست خود گرفته است. همه تحقیقات و آزمایش های فعلی او هم با همین محوریت است.

3. #محاسبات_کوانتومی: حالا وقتش رسیده بدانید که تمام دیوایس‌ها و تکنولوژی‌ها به‌زودی از دیجیتال به سمت کوانتوم کوچ می‌کنند. اگر فکر می‌کنید محاسبات باینری خیلی باحال است، صبر کنید تا ببینید محاسبات کوانتومی چه می‌کند! در این دنیا، عددها دیگر فقط صفر و یک نیستند؛ بلکه همه چیز در حالت‌های متعدد کوانتومی یا همان Superposition اتفاق می‌افتد. این یعنی رشد عجیب سرعت پردازش.

4. #جهان_موازی: دنیای واقعی رو ول کنید، بیایید توی متاورس عزیزانم. جهان‌های باز (Open World) در بازی‌ها دیگر آنقدر واقعی خواهند شد که شاید بین دنیای واقعی و مجازی، فرق خاصی نبینید! متاورس‌ها جایی خواهند شد که افراد نه‌تنها بازی می‌کنند، بلکه کار می‌کنند، تفریح می‌کنند و حتی شاید ازدواج کنند (نه، جدی گفتم!). در حالی که الان به متاورس به‌عنوان یک سرگرمی نگاه می‌کنیم، در آینده از این محیط‌ها برای جلسات کاری، آموزش، و حتی ساخت دنیای مجازی خودمان استفاده خواهیم کرد.

5. #هوش_مصنوعی: خداحافظ کارهای پر زحمت، خداحافظ شغل‌های ذهنی که ما را پیر کرد! هوش مصنوعی از ما بهتر می‌داند چطور زندگی کنیم. در آینده، ربات‌های هوشمند همه‌جا هستند و نه‌تنها کارهای سخت و تکراری، بلکه حتی کارهای خلاقانه را هم به‌عهده می‌گیرند. به عنوان مثال، دیگر برای استخراج معدن نیاز به کارگرهای انسانی نداریم، برای کاوش مریخ و ... نیاز به انسان و اکسیژن نیست، بلکه ربات‌‎ها برای ما استخراج ذغال سنگ را انجام خواهند داد، جهان را کاوش خواهند کرد و ... راستی دیگر خبری از فجایع انسانی در طبس نیست.

6. #علوم_فضایی: مهندس هوافضا، شغل تاپ آینده است! مهندسین هوافضا به نوعی سوپراستارهای دنیای آینده خواهند بود. با توجه به تلاش‌های بی‌پایان برای تسخیر فضا، سفرهای فضایی، دسترسی به منابع فضایی که اصل هدف کشورهای پیشرو است، کاوش مریخ و بسط زندگی بشر به این سیارات، نیاز به مهندسان این حوزه بیشتر از هر زمان دیگری خواهد بود. الان شاید متوجه شوید چرا آمریکایی ها در سال 2019 اقدام به شکل دهی Space Force کردند.

7. #تجهیزات_خودران: در آینده نزدیک، ماشین‌های خودران، پهپادها و کوادکوپترها، دیگر یک فیلم علمی-تخیلی نخواهند بود. از خرید تا مسافرت، همه‌چیز با این وسایل خودکار انجام خواهد شد. حتی شاید تاکسی فردای شما بدون راننده‌ای باشد که با شما حرف بزند (دیگر راننده نمی گوید سال 1980 در آمریکا مهندس هوافضا بوده است و جنگنده های میگ و سوخو را در فلوریدا تعمیر می کرده است!). پهپادها برای حمل و نقل کالاها استفاده می‌شوند و شما فقط کافی است یک کلیک کنید تا همه‌چیز جلوی در منزل‌تان حاضر شود!

8. #سلامت: پزشکی با ورود به دنیای نانوتکنولوژی و هوش مصنوعی به‌طرز شگفت‌انگیزی بهبود خواهد یافت. ربات‌ها و تجهیزات هوشمند شاید بتوانند بیماری‌ها را سریع‌تر از پزشکان تشخیص دهند!

آینده پر از چیزهای عجیب و غریب است. بماند که مسائل مرتبط با درگیریهای نظامی بین ابرقدرت ها و ... را نیز در این پست مطرح نکردم. آینده نبرد تصمیمات در لحظه است. هر تصمیم اشتباه معادل حذف از رقابت برای ماندگاری است. اگر می‌خواهید در این آینده جایی داشته باشید، بهتر است همین امروز شروع به آماده‌سازی خودتان کنید!

✍️ نویسنده میلاد کهساری الهادی
➖راهبر فنی تحقیقات تیم آیو

⏰ دوشنبه - ۲۳ مهر ۱۴۰۳

@aioooir | #cybernetics_issues #watchpoint

📌 نگاهی به آینده و تغییر پارادایم‎ها

این روزها اقتصاد دنیا شبیه به مهمانی‌ای است که در میانه آن، ناگهان چراغ‌ها خاموش می‌شوند و همه در تاریکی گیر می‌کنند. مثلاً وقتی آمریکا یا ژاپن تصمیم می‌گیرند که اقتصادشان حال خوبی نداشته باشد، کشورهای دیگر نیز انگار در صف ایستاده‌اند تا از این حال بد، سهم خودشان را دریافت کنند. دلیل آن ساده است: اقتصاد دنیا مانند یک سریال بزرگ است که وقتی در آن کسی اشتباه می‌کند، دیگران نیز تاوان می‌دهند. مدل‌هایی مثل "اثر دومینویی" این مسئله را به‌خوبی توضیح می‌دهند؛ اقتصادهای بزرگ‌تر سرفه می‌کنند و دیگران هم سرما می‌خورند!

نیروی کار فنی: ربات‌ها در حال گرفتن کارهای ما هستند (نظریه یا فکت)

هوش مصنوعی و ماشین‌های یادگیری به‌شکلی شیک و مدرن، کارهایی را که قبلاً ما انجام می‌دادیم، به‌خوبی انجام می‌دهند. نیروی کار سطح جونیور و میدول نیز به نظر می‌رسد که به مرخصی اجباری فرستاده می‌شوند. شرکت‌ها با خودشان فکر می‌کنند: "چرا به این همه آدم پول بدهیم وقتی یک ربات می‌تواند کار همه را انجام دهد؟" خلاصه اینکه آینده شغلی وجود دارد، ولی باید کمی هوشمندانه‌تر عمل کنیم تا جایگزین این ماشین‌های دوست‌داشتنی نشویم!

کسب‌وکارها: از مغازه‌های محلی تا بازاریاب‌های دیجیتال

تغییر ماهیت کسب‌وکارها نیز چیزی شبیه به فیلم‌های علمی تخیلی است. روزی می‌رفتیم از مغازه محله پنیر می‌خریدیم، حالا با چند کلیک از خانه، همه چیز درب منزل می‌رسد. شرکت‌ها و کسب‌وکارها در حال دیجیتالی شدن هستند؛ زنجیره‌های تأمین جهانی دیگر فیزیکی نیستند، بلکه داده‌ها و اطلاعات حرف اول را می‌زنند. کسب‌وکارهایی مانند اقتصاد اشتراکی و اقتصاد گیگ (مانند اوبر و اسنپ خودمان) در حال تسخیر جهان هستند.

کیک اقتصادی: سفره‌ای به اندازه علمی که دارید

یک سؤال مهم: آیا واقعاً کیک اقتصاد کوچک شده است؟ در حقیقت، بعضی وقت‌ها حس می‌کنیم از این کیک چیزی به ما نمی‌رسد! وقتی اقتصاد دنیا به مشکل می‌خورد، درست مثل کیکی است که خامه زیادی روی آن ریخته شده و از لبه‌های آن بیرون می‌ریزد. در این مواقع، نرخ رشد اقتصادی کاهش می‌یابد و همه به نوعی تحت تأثیر قرار می‌گیرند.

خوش آمدید به دنیای کوانتوم، خداحافظ باینری‌ها!

آن دنیای باینری که با صفر و یک‌ها همه چیز را کنترل می‌کرد، در حال پایان یافتن است. اکنون وقت آن است که با دنیای کوانتوم آشنا شوید. محاسبات کوانتومی قرار است همه چیز را تغییر دهد؛ البته فعلاً در مرحله آزمایشگاه است، اما به زودی همه‌جا را فرا می‌گیرد! اگر فکر می‌کنید با صفر و یک همه چیز حل است، لحظه‌ای صبر کنید! با کوبیت‌ها به بُعد جدیدی از پردازش اطلاعات می‌رویم، جایی که حتی خودتان هم شاید نفهمید چه اتفاقی می‌افتد، اما همه چیز بهتر از همیشه پیش می‌رود.

آماده آینده شوید!

اگر می‌خواهی در این دنیای آینده حرفی برای گفتن داشته باشی، باید مغزت را تقویت کنی. این دنیا متعلق به کسانی است که آماده یادگیری هستند و از علم جدید نمی‌ترسند. از هوش مصنوعی و داده‌کاوی گرفته تا محاسبات کوانتومی، همه چیز خیلی زودتر از آنچه فکر می‌کردیم، به واقعیت تبدیل می‌شود. پس یک فنجان قهوه بردار، کمربندت را محکم کن و آماده شو؛ آینده علمی از راه رسیده است و هیچ‌وقت منتظر ما نمی‌ماند! در ضمن، سری ویدیوهای Unlocking Machine را از دست ندهید، در آن سری از ویدیوها گام به گام در این لایه های انتزاعی با هم سفر خواهیم کرد و درک و فهمیات خود را به بهترین شکل ممکن توسعه خواهیم داد. در پایان باید بگویم، در جهان آینده جایی برای افرادی که همه چیز را سطحی یاد گرفتند، نیست!

✍️ نویسنده میلاد کهساری الهادی
➖راهبر فنی تحقیقات تیم آیو

⏰ دوشنبه - ۲۳ مهر ۱۴۰۳

@aioooir | #cybernetics_issues #watchpoint

The wayback machine has been compromised.

@aioooir | #archive

Now, Jamejam has a built-in and stable decompiler for x86_64 PE binaries. We should work more on this project for public release and, if possible, completely change its architecture to become more modular and independent.

@aioooir | #jamejam

جام‌جم یک پروژه تحقیقاتی با محوریت تحلیل باینری در تیم آیو است. در نسخه v0.4.0 تلاش کردیم یک دیکامپایلر هم به آن اضافه شود. با اینکه پیاده‌سازی دیکامپایلر یک کار بسیار سخت و طاقت‌فرسا (سخت‌تر از دیزاسمبلر) است، اما می‌توان با انجام آن دانش و تجربه خوبی کسب کرد. در هر صورت، تلاش شد در مرحله اول از خروجی دیزاسمبلی یک لیفت ساده بگیریم و فراخوانی توابع را نمایش بدهیم. اگرچه خیلی نیاز به کار و تحقیق دارد.

@aioooir | #jamejam

New #rootkit alert! New discovered #Snapekit, a sophisticated rootkit targeting Arch Linux (6.10.2-arch1-1 x86_64). It hooks 21 syscalls, hides its payload, and evades detection by dropping in user space while dodging analysis tools & debuggers.

@aioooir | #watchpoints

Exploit:

https://github.com/RickdeJager/cupshax

Response:

sudo systemctl stop cups-browsed
sudo systemctl disable cups-browsed

@aioooir | #watchpoint #cups

A 9.9 CVE has been announced for Linux Remote code execution. No details yet. Heartbleed was 7.5, for reference. This is one of the worst in history. All GNU/Linux systems impacted. Wait for this shocking vulnerability.

@aioooir | #watchpoint #cups