malware-analysis-cheat-sheet.pdf
190.3 KB
SANS -Malware Analyst Cheat Sheet
#اخبار
آسیب پذیری جدید در بیش از 6700 سرور vmware
این آسیب پذیری با شماره ی CVE-2021-21972 ثبت شده است.
مطالعه ی بیشتر
@bitsecurityteam
آسیب پذیری جدید در بیش از 6700 سرور vmware
این آسیب پذیری با شماره ی CVE-2021-21972 ثبت شده است.
مطالعه ی بیشتر
@bitsecurityteam
#اخبار
هکر های چینی از ابزار های سازمان NSA برای حملات خود استفاده کردند.
این گروه که با نام ATP31 شناخته می شوند از ابزار EPMI استفاده کرده اند.
این ابزار سال گذشته توسط گروه Shadow Broker Hackers لیک شده بود.
مطالعه بیشتر
@bitsecurityteam
هکر های چینی از ابزار های سازمان NSA برای حملات خود استفاده کردند.
این گروه که با نام ATP31 شناخته می شوند از ابزار EPMI استفاده کرده اند.
این ابزار سال گذشته توسط گروه Shadow Broker Hackers لیک شده بود.
مطالعه بیشتر
@bitsecurityteam
[+] Lateral Movement Using Winrm
با توجه به اینکه در شبکه زمانی که یک سیستم مورد نفوذ قرار میگیره، مهاجم سعی در انتشار خودش در داخل شبکه رو داره
یکی از شاخصه های این رفتار، انجام دادن فرآیند های Lateral Movement توسط winrm هست
که به مهاجم این دسترسی رو میده تا از طریق Powershell بر روی بقیه سیستم های شبکه دستورات موردنظر خودش رو اجرا کنه
برای شناسایی این رفتار میتونیم پورت های زیر رو مدنظر داشته باشیم، که پورت های پیش فرض Winrm هستند
HTTP – Port 5985
HTTPS – Port 5986
همچنین برای شناسایی این رخداد، میتوان با فعال سازی Logging دستورات Powershell، از طریق Command های زیر نیز سیستم هایی که از طریق Winrm دستورات خود را اجرا میکنند نیز شناسایی شوند
Command [Contains All]:
Invoke-Command
-Credential
-ScriptBlock
همچنین برای فعال سازی دسترسی winrm از دستور زیر استفاده میشود:
Enable-PSRemoting
و برا مشخص کردن Host های مورد اطمینان:
Set-Item wsman:\localhost\client\trustedhosts *
@BitSecurityTeam
با توجه به اینکه در شبکه زمانی که یک سیستم مورد نفوذ قرار میگیره، مهاجم سعی در انتشار خودش در داخل شبکه رو داره
یکی از شاخصه های این رفتار، انجام دادن فرآیند های Lateral Movement توسط winrm هست
که به مهاجم این دسترسی رو میده تا از طریق Powershell بر روی بقیه سیستم های شبکه دستورات موردنظر خودش رو اجرا کنه
برای شناسایی این رفتار میتونیم پورت های زیر رو مدنظر داشته باشیم، که پورت های پیش فرض Winrm هستند
HTTP – Port 5985
HTTPS – Port 5986
همچنین برای شناسایی این رخداد، میتوان با فعال سازی Logging دستورات Powershell، از طریق Command های زیر نیز سیستم هایی که از طریق Winrm دستورات خود را اجرا میکنند نیز شناسایی شوند
Command [Contains All]:
Invoke-Command
-Credential
-ScriptBlock
همچنین برای فعال سازی دسترسی winrm از دستور زیر استفاده میشود:
Enable-PSRemoting
و برا مشخص کردن Host های مورد اطمینان:
Set-Item wsman:\localhost\client\trustedhosts *
@BitSecurityTeam
[+] LSASS Dump detection
یکی از روش های موردعلاقه هکر ها برای دسترسی به Credential های ویندوز Dump کردن Process ـه lsass هست (Local Security Authority Subsystem Service)
در اینجا میایم روش های تشخیص چند تا از مواردی که بیشتر برای Dump کردنش به چشم میخوره رو بررسی میکنیم و میبینیم که چجوری میتونیم توی سازمانمون این موارد رو تشخیص بدیم و Hunt کنیم
نکته: توی نسخه های جدیدتر ویندوز در صورتی که Credential Guard در حال اجرا باشه نمیتونیم به NTLM Hash ها دسترسی داشته باشیم
در صورتی که از خود ویندوز برای Dump کردن این Process بخواهیم استفاده کنیم فایل Dump شده به طور پیشفرض داخل مسیر زیر ذخیره میشه
C:\Users\<Username>\AppData\Local\Temp\lsass.dmp
در نتیجه میتونیم با Sysmon فایل هایی که با نام lsass.dmp ایجاد میشند رو Detect کنیم
مورد بعدی استفاده از ProcDump هست، که میتونیم با ترکیب زیر شناساییش کنیم:
Process Name [Contains]: procdump
Command [Contains]: lsass
مورد بعدی هم دستورات هستند، و زمانی که دو عبارت زیر رو توی Command هامون داشتیم میتونه موردتوجه قرار بگیره
Command [Contains All]:
lsass
dump
ترکیب بالا توی استفاده از ابزار های مختلف میتونه خیلی مفید باشه، به طور مثال با این ترکیب حتی اگر Hacker از ابزاری مثل Mini-Dump بخواد استفاده کنه، دستورش به شکل زیر خواهد بود که با ترکیب بالا قابل شناسایی هست
Get-Process lsass | Out-Minidump
@BitSecurityTeam
یکی از روش های موردعلاقه هکر ها برای دسترسی به Credential های ویندوز Dump کردن Process ـه lsass هست (Local Security Authority Subsystem Service)
در اینجا میایم روش های تشخیص چند تا از مواردی که بیشتر برای Dump کردنش به چشم میخوره رو بررسی میکنیم و میبینیم که چجوری میتونیم توی سازمانمون این موارد رو تشخیص بدیم و Hunt کنیم
نکته: توی نسخه های جدیدتر ویندوز در صورتی که Credential Guard در حال اجرا باشه نمیتونیم به NTLM Hash ها دسترسی داشته باشیم
در صورتی که از خود ویندوز برای Dump کردن این Process بخواهیم استفاده کنیم فایل Dump شده به طور پیشفرض داخل مسیر زیر ذخیره میشه
C:\Users\<Username>\AppData\Local\Temp\lsass.dmp
در نتیجه میتونیم با Sysmon فایل هایی که با نام lsass.dmp ایجاد میشند رو Detect کنیم
مورد بعدی استفاده از ProcDump هست، که میتونیم با ترکیب زیر شناساییش کنیم:
Process Name [Contains]: procdump
Command [Contains]: lsass
مورد بعدی هم دستورات هستند، و زمانی که دو عبارت زیر رو توی Command هامون داشتیم میتونه موردتوجه قرار بگیره
Command [Contains All]:
lsass
dump
ترکیب بالا توی استفاده از ابزار های مختلف میتونه خیلی مفید باشه، به طور مثال با این ترکیب حتی اگر Hacker از ابزاری مثل Mini-Dump بخواد استفاده کنه، دستورش به شکل زیر خواهد بود که با ترکیب بالا قابل شناسایی هست
Get-Process lsass | Out-Minidump
@BitSecurityTeam
سلام به همه ی همراهان تیم امنیتی بیت
توی این آموزش میخوایم یادبگیریم که چجوری با استفاده از پایتون اتصال SSH برقرار کنیم.
برای این کار اول از نصب کتابخانه های مورد نیاز شروع میکنیم.
تنها کتابخونه ای که ما نیاز داریم paramiko هست که با دستور زیر نصبش میکنیم :
pip install paramiko
بریم سراغ سورس کدها :
1- import paramiko
2- client = paramiko.SSHClient()
3- client.set_missing_host_key_policy(paramiko.AutoAddPolicy())
4- client.connect('192.168.1.1' , port=22 , username='admin' , password='1234')
5- cmd = input("command : ")
6- _, stdout, stderr = client.exec_command(cmd)
7- output = stdout.readlines() + stderr.readlines()
8- if output :
print("----output----")
for line in output:
print(line.strip())
اما توضیح کد :
خط اول کتابخونه رو فراخوانی میکنیم
خط دوم میایم و یکی از متودهای این کتابخونه که کارش برقرای ارتباط sshهست رو داخل متغیر کلاینت ذخیره میکنیم.
خط سوم برای اینکه ارتباطمون امن باشه یک کلید برای رمزنگاری ارتباط ایجاد میکنیم
خط چهارم هم اطلاعات مورد نیاز برای اتصال رو به تابع پاس میدیم و اتصال رو برقرار میکنیم.
خط پنجم یک محیط کامند لاین رو شبیه سازی میکنیم تا کاربر دستوراتشو وارد کنه
خط ششم دستوری که از کاربر گرفتیم رو به مقصد ارسال میکنیم و اجرا میشه
خط هفتم نتیجه ی دستور رو میخونیم.
در خط هشتم اگر همه چیز درست بود نتیجه ی دستور رو برای کاربر پرینت میکنه.
البته این بدنه ی اصلی کد بود و خودتون باید تغییرش بدید مثلا نام کاربری و پسورد رو با input از کاربر بگیریدو....
احتمال داره این کد روی برخی سیستم عامل ها یا دستگاه ها درست اجرا نشه که ناشی از نسخه ی پایتون و اتصالات شبکه و... هست اگر مشکلی بود یا انتقادی داشتید با ما در ارتباط باشید.
شاد و پیروز باشید.
@bitsecurityteam
توی این آموزش میخوایم یادبگیریم که چجوری با استفاده از پایتون اتصال SSH برقرار کنیم.
برای این کار اول از نصب کتابخانه های مورد نیاز شروع میکنیم.
تنها کتابخونه ای که ما نیاز داریم paramiko هست که با دستور زیر نصبش میکنیم :
pip install paramiko
بریم سراغ سورس کدها :
1- import paramiko
2- client = paramiko.SSHClient()
3- client.set_missing_host_key_policy(paramiko.AutoAddPolicy())
4- client.connect('192.168.1.1' , port=22 , username='admin' , password='1234')
5- cmd = input("command : ")
6- _, stdout, stderr = client.exec_command(cmd)
7- output = stdout.readlines() + stderr.readlines()
8- if output :
print("----output----")
for line in output:
print(line.strip())
اما توضیح کد :
خط اول کتابخونه رو فراخوانی میکنیم
خط دوم میایم و یکی از متودهای این کتابخونه که کارش برقرای ارتباط sshهست رو داخل متغیر کلاینت ذخیره میکنیم.
خط سوم برای اینکه ارتباطمون امن باشه یک کلید برای رمزنگاری ارتباط ایجاد میکنیم
خط چهارم هم اطلاعات مورد نیاز برای اتصال رو به تابع پاس میدیم و اتصال رو برقرار میکنیم.
خط پنجم یک محیط کامند لاین رو شبیه سازی میکنیم تا کاربر دستوراتشو وارد کنه
خط ششم دستوری که از کاربر گرفتیم رو به مقصد ارسال میکنیم و اجرا میشه
خط هفتم نتیجه ی دستور رو میخونیم.
در خط هشتم اگر همه چیز درست بود نتیجه ی دستور رو برای کاربر پرینت میکنه.
البته این بدنه ی اصلی کد بود و خودتون باید تغییرش بدید مثلا نام کاربری و پسورد رو با input از کاربر بگیریدو....
احتمال داره این کد روی برخی سیستم عامل ها یا دستگاه ها درست اجرا نشه که ناشی از نسخه ی پایتون و اتصالات شبکه و... هست اگر مشکلی بود یا انتقادی داشتید با ما در ارتباط باشید.
شاد و پیروز باشید.
@bitsecurityteam
سلام
توی این مقاله میخوایم فایل های مهم ویندوز که برای انجام حملات و تست نفوذ به کارمون میاد رو معرفی کنیم :
1-NTDetect .com
این فایل یا به عبارت دقیق تر این نرم افزار کارش تنظیم و استخراج اطلاعاتی مثل زمان و تاریخ و ورودی ها و خروجی ها و درایور ها و... از CMOS است.
2-NetBootdd.sys
این فایل کارش کنترل درایور ها و حافظه های دستگاه هست.
3-NTOSKRNL.exe
این فایل همان هسته ی سیستم عامل ما است.
4-Hall.dll
این فایل یکی از مهم ترین رابط های بین سخت افزار و نرم افزار است.
5-Smss.exe
این فایل سرویس های سیستم عامل رو تنظیم میکنه.
6-winlogon.exe
این فایل عملیات لاگین کاربر به اکانت خودشو نظارت و لاگ برداری میکنه
7-lsass.exe
این فایل سیاست های امنیتی و لاگین کاربر رو مدیریت میکنه
8-explorer.exe
این همان فایلی است که رابط کاربری را مدیریت میکند و اگر proccess این برنامه kill شود رابط کاربری شما از بین میرود تا زمانی که دوباره آنرا راه اندازی کنید
9-crss.exe
این برنامه پردازش ها و رشته ها و نرم افزار های سیستم رو مدیریت میکنه.
🎯در قسمت بعدی لاگ های مهم ویندوز رو برای شما معرفی میکنیم.
شاد و پیروز باشید
@bitsecurityteam
توی این مقاله میخوایم فایل های مهم ویندوز که برای انجام حملات و تست نفوذ به کارمون میاد رو معرفی کنیم :
1-NTDetect .com
این فایل یا به عبارت دقیق تر این نرم افزار کارش تنظیم و استخراج اطلاعاتی مثل زمان و تاریخ و ورودی ها و خروجی ها و درایور ها و... از CMOS است.
2-NetBootdd.sys
این فایل کارش کنترل درایور ها و حافظه های دستگاه هست.
3-NTOSKRNL.exe
این فایل همان هسته ی سیستم عامل ما است.
4-Hall.dll
این فایل یکی از مهم ترین رابط های بین سخت افزار و نرم افزار است.
5-Smss.exe
این فایل سرویس های سیستم عامل رو تنظیم میکنه.
6-winlogon.exe
این فایل عملیات لاگین کاربر به اکانت خودشو نظارت و لاگ برداری میکنه
7-lsass.exe
این فایل سیاست های امنیتی و لاگین کاربر رو مدیریت میکنه
8-explorer.exe
این همان فایلی است که رابط کاربری را مدیریت میکند و اگر proccess این برنامه kill شود رابط کاربری شما از بین میرود تا زمانی که دوباره آنرا راه اندازی کنید
9-crss.exe
این برنامه پردازش ها و رشته ها و نرم افزار های سیستم رو مدیریت میکنه.
🎯در قسمت بعدی لاگ های مهم ویندوز رو برای شما معرفی میکنیم.
شاد و پیروز باشید
@bitsecurityteam
[+] DLL Injection
سلام خدمت همه ی همراهان عزیز Bit Security
طبق نظر سنجی ای که داشتیم میخوایم راجب DLL Injection صحبت کنیم
اما قبل از اینکه DLL Injection رو باز کنیم، اصلا ببینیم که فایل های DLL چی هستند
فایل های DLL یا همون Dynamic Link Library ها فایلی هست که توسط برنامه ها در ویندوز صدا زده میشه تا یک Function ای که برنامه بهش نیاز داره رو از داخل اون فایل DLL صدا بزنه و ازش استفاده کنه، چون لزومی نداره که یک برنامه 0-100 ـش کد زده بشه و اگر یک کاری که می میخوایم انجام بدیم رو قبلا کس دیگه ای کدش رو زده، چرا وقتمون رو روش بزاریم، میایم از همون استفاده میکنیم
یکی از بهترین کار هایی که میشه برای جلوگیری از این نوع حمله هم انجام داد اینه که همیشه یک آنتی ویروس آپدیت شده داشته باشیم (که همه مون میدونیم راه های دور زدن آنتی ویروس مثل راه های رسیدن به خدا بسیار هست) و اینکه برنامه ها رو فقط و فقط از Source های مطمئن دانلود کنیم
حالا DLL Injection چیه، درواقع به فرآیندی که در اون میایم و اجرای یک Process در حال اجرا رو دستکاری میکنیم تا کد مخرب ما رو اجرا کنه (به کمک فایل های DLL)، بهش DLL Injection میگیم
همونطوری هم که از اسمش پیداست درواقع باید کاری کنیم تا برنامه موردنظر ما یک فایل DLL مخرب رو صدا بزنه و اونو به عنوان بخشی از Process خودش اجرا کنه (اینطوری کد مخرب ما هم با اجرای برنامه اجرا میشه)
به طور کلی فرآیند DLL Injection 4 تا مرحله داره
1- به Process موردنظر دسترسی داشته باشیم
2- بخشی از مموری که Process ما داخلش فعالیت میکنه رو Allocate کنیم
3- فایل DLL و یا مسیر کاملش رو داخل Process Memoey کپی کنیم و Memory Address مناسب رو مشخص کنیم
4- به Process دستوراتی بدیم که بره DLL مارو اجرا کنه
به عنوان مثال برای انجام DLL Injection میتونیم از 2 روش پایین استفاده کنیم:
1- DLLs Within Registry key
فایل های DLL که داخل مسیر زیر باشند هر زمانی که Process ای Function ـه Win32 API رو Call کنه اجرا میشند
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDLLs
2- DLLs Within Registry Entry
فایل های DLL که داخل مسیر زیر باشند هر زمانی که Process ای بخواد User32.dll رو Load کنه ، Load میشند
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
@BitSecurityTeam
سلام خدمت همه ی همراهان عزیز Bit Security
طبق نظر سنجی ای که داشتیم میخوایم راجب DLL Injection صحبت کنیم
اما قبل از اینکه DLL Injection رو باز کنیم، اصلا ببینیم که فایل های DLL چی هستند
فایل های DLL یا همون Dynamic Link Library ها فایلی هست که توسط برنامه ها در ویندوز صدا زده میشه تا یک Function ای که برنامه بهش نیاز داره رو از داخل اون فایل DLL صدا بزنه و ازش استفاده کنه، چون لزومی نداره که یک برنامه 0-100 ـش کد زده بشه و اگر یک کاری که می میخوایم انجام بدیم رو قبلا کس دیگه ای کدش رو زده، چرا وقتمون رو روش بزاریم، میایم از همون استفاده میکنیم
یکی از بهترین کار هایی که میشه برای جلوگیری از این نوع حمله هم انجام داد اینه که همیشه یک آنتی ویروس آپدیت شده داشته باشیم (که همه مون میدونیم راه های دور زدن آنتی ویروس مثل راه های رسیدن به خدا بسیار هست) و اینکه برنامه ها رو فقط و فقط از Source های مطمئن دانلود کنیم
حالا DLL Injection چیه، درواقع به فرآیندی که در اون میایم و اجرای یک Process در حال اجرا رو دستکاری میکنیم تا کد مخرب ما رو اجرا کنه (به کمک فایل های DLL)، بهش DLL Injection میگیم
همونطوری هم که از اسمش پیداست درواقع باید کاری کنیم تا برنامه موردنظر ما یک فایل DLL مخرب رو صدا بزنه و اونو به عنوان بخشی از Process خودش اجرا کنه (اینطوری کد مخرب ما هم با اجرای برنامه اجرا میشه)
به طور کلی فرآیند DLL Injection 4 تا مرحله داره
1- به Process موردنظر دسترسی داشته باشیم
2- بخشی از مموری که Process ما داخلش فعالیت میکنه رو Allocate کنیم
3- فایل DLL و یا مسیر کاملش رو داخل Process Memoey کپی کنیم و Memory Address مناسب رو مشخص کنیم
4- به Process دستوراتی بدیم که بره DLL مارو اجرا کنه
به عنوان مثال برای انجام DLL Injection میتونیم از 2 روش پایین استفاده کنیم:
1- DLLs Within Registry key
فایل های DLL که داخل مسیر زیر باشند هر زمانی که Process ای Function ـه Win32 API رو Call کنه اجرا میشند
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDLLs
2- DLLs Within Registry Entry
فایل های DLL که داخل مسیر زیر باشند هر زمانی که Process ای بخواد User32.dll رو Load کنه ، Load میشند
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
@BitSecurityTeam
انواع لاگ ها و لاگ های مهم ویندوز
Windows :
1.Security Log
2.Application Log
3.System Log
4.Forwarded Events Log
5.Application and Service Log
از بین این موارد فقط مورد چهارم نیاز به توضیح داره.
لاگ نوع چهارم مربوط به لاگ هایی هست که از کامپیوتر های دیگه ارسال شده یا کانفیگ هایی که در شبکه روی دیگر کامپیوتر ها اعمال شده و کامپیوتر شده ازش باخبر شده و اونو لاگ کرده.
کد های مهم در لاگ های ویندوز:
4902 :
مربوط به تغییرات پالیسی هایی که توسط auditpol.exe ثبت شده اند.
مهاجم میتونه از ثبت شدن این لاگ ها جلوگیری کنه
4741 :
مربوط به اکانت هایی هست که جدیدا ایجاد شدن. یعنی به ازای هر اکانتی که ایجاد میشه(موفق یا ناموفق) یک لاگ با این کد ثبت میشه.
4782:
مربوط به زمانی هست که دسترسی به هش پسوردها پیداکنیم. یعنی اگه کسی به هش پسوردها دسترسی پیدا کنه یک لاگ ثبت میشه.
4728 :
زمانی که یک عضو به گروه Security-enabled
اضافه بشه یک لاگ با این کد ثبت میشه. چه اون فرآیند نرمال باشه یا غیر نرمال.
‼قسمت بعدی درمورد کلید های رجیستری ویندوز
_________________________________________
@BitSecurityTeam
Windows :
1.Security Log
2.Application Log
3.System Log
4.Forwarded Events Log
5.Application and Service Log
از بین این موارد فقط مورد چهارم نیاز به توضیح داره.
لاگ نوع چهارم مربوط به لاگ هایی هست که از کامپیوتر های دیگه ارسال شده یا کانفیگ هایی که در شبکه روی دیگر کامپیوتر ها اعمال شده و کامپیوتر شده ازش باخبر شده و اونو لاگ کرده.
کد های مهم در لاگ های ویندوز:
4902 :
مربوط به تغییرات پالیسی هایی که توسط auditpol.exe ثبت شده اند.
مهاجم میتونه از ثبت شدن این لاگ ها جلوگیری کنه
4741 :
مربوط به اکانت هایی هست که جدیدا ایجاد شدن. یعنی به ازای هر اکانتی که ایجاد میشه(موفق یا ناموفق) یک لاگ با این کد ثبت میشه.
4782:
مربوط به زمانی هست که دسترسی به هش پسوردها پیداکنیم. یعنی اگه کسی به هش پسوردها دسترسی پیدا کنه یک لاگ ثبت میشه.
4728 :
زمانی که یک عضو به گروه Security-enabled
اضافه بشه یک لاگ با این کد ثبت میشه. چه اون فرآیند نرمال باشه یا غیر نرمال.
‼قسمت بعدی درمورد کلید های رجیستری ویندوز
_________________________________________
@BitSecurityTeam
[+] لاگ های مهم ویندوز
[*] 4649(S): A replay attack was detected.
این لاگ زمانی روی Domain Controller ها Generate میشه که Kerberos پاسخ KRB_AP_ERR_REPEAT رو به Client ای ارسال کرده باشه
به طور کلی Domain Controller ها اطلاعات Ticket های دریافتی رو به صورت cache نگه داری میکنند
حالا اگر یک تیکتی که پارامتر های زیر ـش با تیکت ای که قبلا دریافت شده و Cache شده یکی باشه:
[-] Server Name
[-] Client Name
[-] Time
[-] Microsecond Time
جواب KRB_AP_ERR_REPEAT به Client برمیگرده و لاگ 4649 برامون Generate میشه
این Event نشان دهنده حمله Kerberos Replay Attack هست
اما همیشه نمیتونیم این نتیجه گیری رو داشته باشیم و ممکنه به دلیل Misconfiguration های داخل شبکه هم این Log برامون Generate بشه
اما به طور کلی پیشنهاد میشه این Log تحت نظر قرار بگیره تا علت Generate شدنش مشخص بشه
@BitSecurityTeam
[*] 4649(S): A replay attack was detected.
این لاگ زمانی روی Domain Controller ها Generate میشه که Kerberos پاسخ KRB_AP_ERR_REPEAT رو به Client ای ارسال کرده باشه
به طور کلی Domain Controller ها اطلاعات Ticket های دریافتی رو به صورت cache نگه داری میکنند
حالا اگر یک تیکتی که پارامتر های زیر ـش با تیکت ای که قبلا دریافت شده و Cache شده یکی باشه:
[-] Server Name
[-] Client Name
[-] Time
[-] Microsecond Time
جواب KRB_AP_ERR_REPEAT به Client برمیگرده و لاگ 4649 برامون Generate میشه
این Event نشان دهنده حمله Kerberos Replay Attack هست
اما همیشه نمیتونیم این نتیجه گیری رو داشته باشیم و ممکنه به دلیل Misconfiguration های داخل شبکه هم این Log برامون Generate بشه
اما به طور کلی پیشنهاد میشه این Log تحت نظر قرار بگیره تا علت Generate شدنش مشخص بشه
@BitSecurityTeam
‼هشدار گوگل در مورد آسیب پذیری 0day در اندروید.‼
مشخصات و نمره ی آسیب پذیری:
CVE ID: CVE-2020-11261
CVSS Score: 8.4
Severity: High
Component: Display
این آسیب پذیری بر روی پردازنده ی گرافیکی شرکت کوالکام رخ داده.
یعنی گوشی های اندرویدی با چیپست کوالکام در معرض این آسیب پذیری هستند اما بقیه ی اندرویدی ها هم باید حواسشون جمع باشه
این آسیب پذیری میتونه دسترسی کامل مموری رو به هکر بده برای اجرای حملات و تزریق به مموری
#اخبار_آسیب_پذیری
@Bitsecurityteam
مشخصات و نمره ی آسیب پذیری:
CVE ID: CVE-2020-11261
CVSS Score: 8.4
Severity: High
Component: Display
این آسیب پذیری بر روی پردازنده ی گرافیکی شرکت کوالکام رخ داده.
یعنی گوشی های اندرویدی با چیپست کوالکام در معرض این آسیب پذیری هستند اما بقیه ی اندرویدی ها هم باید حواسشون جمع باشه
این آسیب پذیری میتونه دسترسی کامل مموری رو به هکر بده برای اجرای حملات و تزریق به مموری
#اخبار_آسیب_پذیری
@Bitsecurityteam
🔥 سلام خدمت همه ی همراهان عزیز 🔥
سایت دوباره راه اندازی گردیده و آماده ی استفاده ی شما عزیزان میباشد 💪🏻
https://BitSecurityTeam.com
سایت دوباره راه اندازی گردیده و آماده ی استفاده ی شما عزیزان میباشد 💪🏻
https://BitSecurityTeam.com
در شبکه های وایرلس کدام یک از فریم های زیر برای مدیریت اطلاعات ارسالی و دریافتی بین AP و کلاینت ها است؟
Anonymous Quiz
30%
Managment Frames
32%
Control Frames
14%
Data Frames
25%
نمی دونم
‼سلام‼
با توجه با کوییزی که مطرح شد قرار بر این شد که انواع فریم های سیستم های وایرلس رو معرفی کنیم.
تا چند ساعت دیگه یک فایل PDF که توسط ما تدوین شده در کانال بارگزاری میشه💪‼
@bitsecurityteam
با توجه با کوییزی که مطرح شد قرار بر این شد که انواع فریم های سیستم های وایرلس رو معرفی کنیم.
تا چند ساعت دیگه یک فایل PDF که توسط ما تدوین شده در کانال بارگزاری میشه💪‼
@bitsecurityteam
سلام خدمت همه ی همراهان تیم امنیتی بیت🔥
همونطور که قول داده بودیم قراره راجع به کلید های رجیستری ویندوز صحبت کنیم.
1. HKEY_Class_root(HKCR)
این ریشه از یکی از ریشه های مهم هست چون قوانین مربوط به drag and drop و شورتکات برنامه ها و رابط کاربری و همچنین موارد مربوطه رو ذخیره میکنه.
2.HKEY_Current_User(HKCU)
این ریشه بسیار مهم و حیاتی محسوب میشه.از جمله اطلاعاتی که توی کلید های این ریشه ذخیره میشه شامل : یوزرهایی که لاگین هستند ،تنظیمات دسکتاپ ، فولدر های شخصی کاربر. داخل این ریشه یک ساب فولدر به نام ران هست به نام RUN که شما میتونید برای ایجاد بکدور روی سیستم تارگت مسیر فایل مخرب یا شل خودتونو اینجا وارد کنید تا هربار که سیستم بوت میشه به طور خودکار بدافزار یا بکدور شما هم اجرا بشه.
3.HKEY_Local_Machine(HKLM)
این ریشه کارش ذخیره ی تنظیمات اصلی سیستم هست. یعنی تنظیمات سیستم عامل اینجا ذخیره میشه نه تنظیمات مربوط به یوزرها.
4. HKEY_User(HKU)
این مورد پروفایل های کاربران و تنظیمات اون پروفایل هارو ذخیره میکنه.
5.HKEY_Current_Config(HCU)
این قسمت از رحیستری تمام تنظیمات فعلی سیستم رو ذخیره میکنه.
##
اما کاربرد این ها در هک و امنیت :
Malware :
برای کارگزاری بدافزار در رجیستری باید توی این مسیر فایل بدافزار خودتونو وارد کنید تا هربار که پروسه ی مربوط به explorer.exe اجرا میشه به جای فایل اصلی بدافزار شما اجرا میشه.
HKLM\Software\microsoft\WindowsNT\currentVersion\winlogon
Internet Explorer Saved Password:
برای استخراج پسوردهای ذخیره شده ی IE این مسیر را دنبال کنید:
HKCU\Software\Microsoft\Internet Explorer\IntelliForms\SPW
-------------------------------------------------------------
قسمت بعدی درمورد جلوگیری از حملات Null session با رجیستری در ویندوز هست.‼
@bitsecurityteam
همونطور که قول داده بودیم قراره راجع به کلید های رجیستری ویندوز صحبت کنیم.
1. HKEY_Class_root(HKCR)
این ریشه از یکی از ریشه های مهم هست چون قوانین مربوط به drag and drop و شورتکات برنامه ها و رابط کاربری و همچنین موارد مربوطه رو ذخیره میکنه.
2.HKEY_Current_User(HKCU)
این ریشه بسیار مهم و حیاتی محسوب میشه.از جمله اطلاعاتی که توی کلید های این ریشه ذخیره میشه شامل : یوزرهایی که لاگین هستند ،تنظیمات دسکتاپ ، فولدر های شخصی کاربر. داخل این ریشه یک ساب فولدر به نام ران هست به نام RUN که شما میتونید برای ایجاد بکدور روی سیستم تارگت مسیر فایل مخرب یا شل خودتونو اینجا وارد کنید تا هربار که سیستم بوت میشه به طور خودکار بدافزار یا بکدور شما هم اجرا بشه.
3.HKEY_Local_Machine(HKLM)
این ریشه کارش ذخیره ی تنظیمات اصلی سیستم هست. یعنی تنظیمات سیستم عامل اینجا ذخیره میشه نه تنظیمات مربوط به یوزرها.
4. HKEY_User(HKU)
این مورد پروفایل های کاربران و تنظیمات اون پروفایل هارو ذخیره میکنه.
5.HKEY_Current_Config(HCU)
این قسمت از رحیستری تمام تنظیمات فعلی سیستم رو ذخیره میکنه.
##
اما کاربرد این ها در هک و امنیت :
Malware :
برای کارگزاری بدافزار در رجیستری باید توی این مسیر فایل بدافزار خودتونو وارد کنید تا هربار که پروسه ی مربوط به explorer.exe اجرا میشه به جای فایل اصلی بدافزار شما اجرا میشه.
HKLM\Software\microsoft\WindowsNT\currentVersion\winlogon
Internet Explorer Saved Password:
برای استخراج پسوردهای ذخیره شده ی IE این مسیر را دنبال کنید:
HKCU\Software\Microsoft\Internet Explorer\IntelliForms\SPW
-------------------------------------------------------------
قسمت بعدی درمورد جلوگیری از حملات Null session با رجیستری در ویندوز هست.‼
@bitsecurityteam
مواردی که در تست نفوذ شبکه باید بررسی و ارزیابی شوند.
۱. سیستم های تشخیص و جلوگیری از نفوذ
۲. سوییچ های موجود در شبکه
۳. آنتی ویروس ها و سیستم های فیلترینگ محتوا
۴. سیستم های جلوگیری از نشت اطلاعات مثل DLP
۵. پسوردهای کاربران و دستگاه ها از جملا دیفالت پسوردها
۶. شبکه های امن مجازی یا VPN
۷. فایروال ها
۸. روتر های داخل شبکه
۹. سرور شبکه
۱۰.درصورت وجود سیستم اکتیو دایرکتور ،باید آنراهم تست کنیم.
@bitsecurityteam
۱. سیستم های تشخیص و جلوگیری از نفوذ
۲. سوییچ های موجود در شبکه
۳. آنتی ویروس ها و سیستم های فیلترینگ محتوا
۴. سیستم های جلوگیری از نشت اطلاعات مثل DLP
۵. پسوردهای کاربران و دستگاه ها از جملا دیفالت پسوردها
۶. شبکه های امن مجازی یا VPN
۷. فایروال ها
۸. روتر های داخل شبکه
۹. سرور شبکه
۱۰.درصورت وجود سیستم اکتیو دایرکتور ،باید آنراهم تست کنیم.
@bitsecurityteam