Incident Response Guide.pdf
5.6 MB
مستندی خوش نگاشت در مورد مدیریت حادثه
@Engineer_Computer
@Engineer_Computer
Firefox Addons for Pentesting.pdf
2 MB
افزونه های فایرفاکس برای تست نفوذ
@Engineer_Computer
@Engineer_Computer
This media is not supported in your browser
VIEW IN TELEGRAM
#Vmware #Escape CVE-2017-4905
نمونه ای از فرار بدافزار بواسطه بهره برداری از آسیب پذیری باینری پروتکل RPC و درایور رابط Host با ماشین Guest که منظر به اجرای کد در حافظه Host خواهد شد.
مکانیزمی با نام Backdoor وجود دارد که برای ارتباطات guest-host است، که این Backdoor دو Port دارد 5658 و 5659، اولی برای ارتباطات کوتاه، دومی برای ارتباطات پهنای باند بالا است.
ماشین مهمان درخواست in/out را بواسطه instructions های خود به دو Port ارسال کرده و Hypervisor درخواستی را به سرویس میدهد.
پروتکل GuestRPC ویژگی های Drag، Drop و غیره را بین Guest-Host برقرار میکند که مبتنی بر xHCI Host Controller بر روی Ring 0 فعالیت دارد.
اما باگ، از ساختار XHCI یک Device Context گزارش میشود که در ثبات DCBAAP در RAM فیزیکی ذخیره میشوند، اما XHCI یک کش داخلی از Device Context را نگه میدارد و تنها زمانی که تغییراتی رخ میدهد آنرا در بروز میکند.
ماشین مجازی Map موقعیت Device Context را بدست آورده و یک بروز رسانی DCBAAP انجام میدهد، این بروز رسانی چک نمیشود و مهاجم میتواند مقدار آدرس را تغییر دهد.
@Engineer_Computer
نمونه ای از فرار بدافزار بواسطه بهره برداری از آسیب پذیری باینری پروتکل RPC و درایور رابط Host با ماشین Guest که منظر به اجرای کد در حافظه Host خواهد شد.
مکانیزمی با نام Backdoor وجود دارد که برای ارتباطات guest-host است، که این Backdoor دو Port دارد 5658 و 5659، اولی برای ارتباطات کوتاه، دومی برای ارتباطات پهنای باند بالا است.
ماشین مهمان درخواست in/out را بواسطه instructions های خود به دو Port ارسال کرده و Hypervisor درخواستی را به سرویس میدهد.
پروتکل GuestRPC ویژگی های Drag، Drop و غیره را بین Guest-Host برقرار میکند که مبتنی بر xHCI Host Controller بر روی Ring 0 فعالیت دارد.
اما باگ، از ساختار XHCI یک Device Context گزارش میشود که در ثبات DCBAAP در RAM فیزیکی ذخیره میشوند، اما XHCI یک کش داخلی از Device Context را نگه میدارد و تنها زمانی که تغییراتی رخ میدهد آنرا در بروز میکند.
ماشین مجازی Map موقعیت Device Context را بدست آورده و یک بروز رسانی DCBAAP انجام میدهد، این بروز رسانی چک نمیشود و مهاجم میتواند مقدار آدرس را تغییر دهد.
@Engineer_Computer
چطور یک فایل PDF آلوده را تحلیل کنیم ؟
@Engineer_Computer
https://intezer.com/blog/incident-response/analyze-malicious-pdf-files/
@Engineer_Computer
@Engineer_Computer
https://intezer.com/blog/incident-response/analyze-malicious-pdf-files/
@Engineer_Computer
Intezer
How to Analyze Malicious PDF Files
Here's how incident responders can use open-source and free tools to identify, detect, and analyze PDF files that deliver malware.
توصیه هایی سر راست!
قرار نیست آپولو هوا کنید تا از اکثر حملات در امان باشید. چنین کنترل هایی حتی برای پیشرفته ترین حملات ممکن است کارا باشند؛ یا از ابتدا جلوی حمله را میگیرند یا حلقه ای در زنجیره حمله را از هم میگسلند
تصویری از آخرین توصیه امنیتی CISA برای دفع یک حمله جدید
@Engineer_Computer
قرار نیست آپولو هوا کنید تا از اکثر حملات در امان باشید. چنین کنترل هایی حتی برای پیشرفته ترین حملات ممکن است کارا باشند؛ یا از ابتدا جلوی حمله را میگیرند یا حلقه ای در زنجیره حمله را از هم میگسلند
تصویری از آخرین توصیه امنیتی CISA برای دفع یک حمله جدید
@Engineer_Computer
این لینک برای هر متخصص SOC که SIEM آن اسپلانک است لازم است
https://www.splunk.com/en_us/blog/security/latest-splunk-security-content.html
@Engineer_Computer
https://www.splunk.com/en_us/blog/security/latest-splunk-security-content.html
@Engineer_Computer
Splunk
Splunk Security Content for Threat Detection & Response: November 2025 Update | Splunk
Learn about the latest security content from Splunk.
کاربران اندروئید هدف نفوذ
Chipmaker Qualcomm has released more information about three high-severity security flaws that it said came under "limited, targeted exploitation" back in October 2023.
https://thehackernews.com/2023/12/qualcomm-releases-details-on-chip.html
@Engineer_Computer
Chipmaker Qualcomm has released more information about three high-severity security flaws that it said came under "limited, targeted exploitation" back in October 2023.
https://thehackernews.com/2023/12/qualcomm-releases-details-on-chip.html
@Engineer_Computer
ChatGPT for CyberSecurity #1.pdf
1.1 MB
🗒 ChatGPT for CyberSecurity
-| Part 1
دوستانی که میخوان چت جی پی تی رو بایپس کنن و ازش برای اهدافشون کمک بگیرن مفیده بخونید👌
@Engineer_Computer
-| Part 1
دوستانی که میخوان چت جی پی تی رو بایپس کنن و ازش برای اهدافشون کمک بگیرن مفیده بخونید👌
@Engineer_Computer
آخرین نمونه ها از تلاش برای جاسوسی دولت ها از طریق گوگل و اپل روی گوشی کاربران
https://www-cnbc-com.cdn.ampproject.org/c/s/www.cnbc.com/amp/2023/12/06/apple-and-google-phone-users-spied-on-through-phone-push-notifications.html
@Engineer_Computer
https://www-cnbc-com.cdn.ampproject.org/c/s/www.cnbc.com/amp/2023/12/06/apple-and-google-phone-users-spied-on-through-phone-push-notifications.html
@Engineer_Computer
CNBC
Governments are spying on Apple and Google users through phone notifications, U.S. senator says
U.S. Sen. Ron Wyden warned that foreign governments are spying on smartphone users by compelling Apple and Google to turn over push notification records
Hackers Use New Set of Hacking Tools to Attack Organizations in U.S
To steal credentials, the threat actor utilized a custom DLL as a Network Provider module, a known technique documented since 2004.
Named Ntospy by Unit 42, the malware family hijacks the authentication process, accessing user credentials upon authentication attempts.
Threat actor installs the DLL module via credman Network Provider, using C:\Windows\Temp\install.bat noscript with reg.exe.
@Engineer_Computer
To steal credentials, the threat actor utilized a custom DLL as a Network Provider module, a known technique documented since 2004.
Named Ntospy by Unit 42, the malware family hijacks the authentication process, accessing user credentials upon authentication attempts.
Threat actor installs the DLL module via credman Network Provider, using C:\Windows\Temp\install.bat noscript with reg.exe.
@Engineer_Computer
Cyber Security News
Hackers Use New Set of Hacking Tools to Attack Organizations in U.S
Hackers often target US organizations due to the country's economic and technological dominance, seeking valuable data for the following purposes:-
New Threat Actor ‘AeroBlade’ Targeted US Aerospace Firm in Espionage Campaign
The initial document would display a scrambled text to the intended victim, luring them into clicking the ‘Enable Content’ button to download the second stage and trigger the infection chain.
@Engineer_Computer
The initial document would display a scrambled text to the intended victim, luring them into clicking the ‘Enable Content’ button to download the second stage and trigger the infection chain.
@Engineer_Computer
SecurityWeek
New Threat Actor ‘AeroBlade’ Targeted US Aerospace Firm in Espionage Campaign
BlackBerry attributes cyberattack against an aerospace organization in the US to a new threat actor named AeroBlade.
این پلیلیست از باگکراد رو خیلی دوست داشتم، فنی نیست ولی باحاله وایب هکری میده:
https://youtube.com/playlist?list=PLIK9nm3mu-S6yRGP4BXkoPhfyQ4fempzs&si=blxn_Dgw1hI5YPHw
@Engineer_Computer
https://youtube.com/playlist?list=PLIK9nm3mu-S6yRGP4BXkoPhfyQ4fempzs&si=blxn_Dgw1hI5YPHw
@Engineer_Computer
https://noscriptjacker.in/research/owasp/sensitive-data-exposure/
تمام و کمال، یه رایتاپ شسته و رفته :)))
@Engineer_Computer
تمام و کمال، یه رایتاپ شسته و رفته :)))
@Engineer_Computer
⭕️ اسکریپت apk.sh ابزاری برای اوتومیت کردن پروسه ها برای مهندسی معکوس در اندروید
از جمله قابلیت های آن:
- پچ کردن فایل های APK برای لود کردن frida-gadget و ران کردن اسکریپت فریدا موقع اجرای برنامه
- ساپورت کردن برنامه های bundle با فرمت apks
- همچنین disassemble کردن ریسورس برنامه ها مشابه ابزار apktool
- ریبیلد کردن و کامپایل کردن ریسورس ها به فرمت apk
- ساین کردن فایل های apk توسط apksigner
- پشتیبانی از معماری های مختلف (arm, arm64, x86, x86_64)
- عدم نیاز به دیوایس روت شده اندرویدی
اینجا نمونه دستورات برای اینجکت کردن frida-gadget به فایل apk مشاهده میکنید:
#Android
@Engineer_Computer
از جمله قابلیت های آن:
- پچ کردن فایل های APK برای لود کردن frida-gadget و ران کردن اسکریپت فریدا موقع اجرای برنامه
- ساپورت کردن برنامه های bundle با فرمت apks
- همچنین disassemble کردن ریسورس برنامه ها مشابه ابزار apktool
- ریبیلد کردن و کامپایل کردن ریسورس ها به فرمت apk
- ساین کردن فایل های apk توسط apksigner
- پشتیبانی از معماری های مختلف (arm, arm64, x86, x86_64)
- عدم نیاز به دیوایس روت شده اندرویدی
apk.sh [SUBCOMMAND] [APK FILE|APK DIR|PKG NAME] [FLAGS]
apk.sh pull [PKG NAME] [FLAGS]
apk.sh decode [APK FILE] [FLAGS]
apk.sh build [APK DIR] [FLAGS]
apk.sh patch [APK FILE] [FLAGS]
apk.sh rename [APK FILE] [PKG NAME] [FLAGS]
اینجا نمونه دستورات برای اینجکت کردن frida-gadget به فایل apk مشاهده میکنید:
adb push noscript.js /data/local/tmpمنبع: گیت هاب
./apk.sh patch <apk_name> --arch arm --gadget-conf <config.json>
adb install file.gadget.apk
#Android
@Engineer_Computer