تحلیل بد افزار ی هفته
کاری از تیم تحقیق اسپلانک
https://www.splunk.com/en_us/blog/security/unmasking-the-enigma-a-historical-dive-into-the-world-of-plugx-malware.html
@Engineer_Computer
کاری از تیم تحقیق اسپلانک
https://www.splunk.com/en_us/blog/security/unmasking-the-enigma-a-historical-dive-into-the-world-of-plugx-malware.html
@Engineer_Computer
Splunk
Unmasking the Enigma: A Historical Dive into the World of PlugX Malware | Splunk
The Splunk Threat Research Team (STRT) unravels the mystery of a PlugX variant, peeling back the layers of its payload, tactics, and impact on the digital realm.
شکسته شدن مکانیزم های حفاظتی ChatGPT-4 و نظایر آن و اخذ پاسخ به پرسش های حساس نظیر نحوه ساختن بمب !
https://www.robustintelligence.com/blog-posts/using-ai-to-automatically-jailbreak-gpt-4-and-other-llms-in-under-a-minute
@Engineer_Computer
https://www.robustintelligence.com/blog-posts/using-ai-to-automatically-jailbreak-gpt-4-and-other-llms-in-under-a-minute
@Engineer_Computer
Robustintelligence
Using AI to Automatically Jailbreak GPT-4 and Other LLMs in Under a Minute — Robust Intelligence
استفاده از آنتی ویروس ویندوز برای هک !!
در مرحله ای از عملیات هک، نیاز است فایلی از سرور هکر به سرور قربانی دانلود و در محلی پنهان ذخیره گردد.
یکی از روشهای انجام این کار با ابزار ویندوز دیفندر Mpcmdrun.exe انجام میپذیرد. با این عمل ؛ فایل مد نظر دانلود و در دیتااستریم NTFS مخفی میگردد.
https://lolbas-project.github.io/lolbas/Binaries/MpCmdRun/
@Engineer_Computer
در مرحله ای از عملیات هک، نیاز است فایلی از سرور هکر به سرور قربانی دانلود و در محلی پنهان ذخیره گردد.
یکی از روشهای انجام این کار با ابزار ویندوز دیفندر Mpcmdrun.exe انجام میپذیرد. با این عمل ؛ فایل مد نظر دانلود و در دیتااستریم NTFS مخفی میگردد.
https://lolbas-project.github.io/lolbas/Binaries/MpCmdRun/
@Engineer_Computer
اونهایی که میگن لینوکس ویروس نداره بخونن
A previously unknown Linux remote access trojan called Krasue has been observed targeting telecom companies in Thailand by threat actors to main covert access to victim networks at lease since 2021.
https://thehackernews.com/2023/12/new-stealthy-krasue-linux-trojan.html
@Engineer_Computer
A previously unknown Linux remote access trojan called Krasue has been observed targeting telecom companies in Thailand by threat actors to main covert access to victim networks at lease since 2021.
https://thehackernews.com/2023/12/new-stealthy-krasue-linux-trojan.html
@Engineer_Computer
انجام تنظیمات ایجنت های wazuh بصورت متمرکز با انسیبل
https://wazuh.com/blog/configuration-management-endpoints-using-ansible/
@Engineer_Computer
https://wazuh.com/blog/configuration-management-endpoints-using-ansible/
@Engineer_Computer
Wazuh
Configuration management of Wazuh endpoints using Ansible | Wazuh
Configuration management is the process of maintaining computer systems, servers, network devices, and software in a desired state.
آشنایی با CAPA ؛ ابزاری برای تحلیل بدافزار مقدماتی
https://medium.com/mii-cybersec/capa-for-triage-malware-analysis-4f99431ff08f
@Engineer_Computer
https://medium.com/mii-cybersec/capa-for-triage-malware-analysis-4f99431ff08f
@Engineer_Computer
Medium
CAPA for Triage Malware Analysis
What is Capa?
حمله ای جدید
از دست رفتن اکتیو دایرکتوری
These attacks could allow attackers to spoof sensitive DNS records, resulting in varying consequences from credential theft to full Active Directory domain compromise. The attacks don't require any credentials, and work with the default configuration of Microsoft DHCP server.
https://www.akamai.com/blog/security-research/spoofing-dns-by-abusing-dhcp?filter=123
@Engineer_Computer
از دست رفتن اکتیو دایرکتوری
These attacks could allow attackers to spoof sensitive DNS records, resulting in varying consequences from credential theft to full Active Directory domain compromise. The attacks don't require any credentials, and work with the default configuration of Microsoft DHCP server.
https://www.akamai.com/blog/security-research/spoofing-dns-by-abusing-dhcp?filter=123
@Engineer_Computer
Akamai
Spoofing DNS Records by Abusing DHCP DNS Dynamic Updates | Akamai
Akamai researchers discovered a new set of attacks against Active Directory (AD) using Microsoft DHCP servers that can lead to full AD takeover.
دانلود دوره تست نفوذ Android ( رایگان )
مدرس : میثم منصف
لینک های دانلود : ( جلسه چهارم )
https://cafenode.ir/Android_Applications_Pentesting/04/c00.mp4
https://cafenode.ir/Android_Applications_Pentesting/04/c01.mp4
https://cafenode.ir/Android_Applications_Pentesting/04/c02.mp4
https://cafenode.ir/Android_Applications_Pentesting/04/c03.mp4
https://cafenode.ir/Android_Applications_Pentesting/04/c04.mp4
https://cafenode.ir/Android_Applications_Pentesting/04/c05.mp4
https://cafenode.ir/Android_Applications_Pentesting/04/c06.mp4
#MASTG
#Android_Application_Pentesting
@Engineer_Computer
مدرس : میثم منصف
لینک های دانلود : ( جلسه چهارم )
https://cafenode.ir/Android_Applications_Pentesting/04/c00.mp4
https://cafenode.ir/Android_Applications_Pentesting/04/c01.mp4
https://cafenode.ir/Android_Applications_Pentesting/04/c02.mp4
https://cafenode.ir/Android_Applications_Pentesting/04/c03.mp4
https://cafenode.ir/Android_Applications_Pentesting/04/c04.mp4
https://cafenode.ir/Android_Applications_Pentesting/04/c05.mp4
https://cafenode.ir/Android_Applications_Pentesting/04/c06.mp4
#MASTG
#Android_Application_Pentesting
@Engineer_Computer
🚨🚨 نشت اطلاعات ۸.۵ میلیون شهروند آمریکایی !
نرم افزار شرکت ارائهدهنده مراقبتهای بهداشتی Saas Weltok ، هک شده و اطلاعات میلیون ها بیمار به بیرون درز کرد.
شرکت Welltok با ارائهدهندگان خدمات بهداشتی در سراسر ایالات متحده کار میکند و توسط برنامههای سلامت آنلاین خود پایگاههای اطلاعاتی را با دادههای شخصی بیمار نگهداری میکند، تجزیه و تحلیلهای پیشبینیکننده تولید و از نیازهای مراقبتهای بهداشتی مانند پایبندی به دارو و پاسخ به بیماری همهگیر پشتیبانی میکند.
شرکت هایی که در نتیجه این حمله به دلیل ارتباط با این کمپانی مورد نفوذ قرار گرفتند:
@Engineer_Computer
نرم افزار شرکت ارائهدهنده مراقبتهای بهداشتی Saas Weltok ، هک شده و اطلاعات میلیون ها بیمار به بیرون درز کرد.
شرکت Welltok با ارائهدهندگان خدمات بهداشتی در سراسر ایالات متحده کار میکند و توسط برنامههای سلامت آنلاین خود پایگاههای اطلاعاتی را با دادههای شخصی بیمار نگهداری میکند، تجزیه و تحلیلهای پیشبینیکننده تولید و از نیازهای مراقبتهای بهداشتی مانند پایبندی به دارو و پاسخ به بیماری همهگیر پشتیبانی میکند.
شرکت هایی که در نتیجه این حمله به دلیل ارتباط با این کمپانی مورد نفوذ قرار گرفتند:
- Blue Cross and Blue Shield of Alabama
- Blue Cross and Blue Shield of Minnesota and Blue Plus
- Corewell Health
- Faith Regional Health Services
- Hospital & Medical Foundation of Paris, Inc. dba Horizon Health
- Mass General Brigham Health Plan
- St. Bernards Healthcare
- Sutter Health
@Engineer_Computer
🚨🚨🚨🚨🚨
بیش از 20 هزار سرور Microsoft Exchange همچنان دارای آسیب پذیری های RCE هستند!!!
به گفته ی The ShadowServer Foundation در جمعه ی گذشته با اسکن اینترنت، با توجه به نتایج بدست آمده:
- بیش از 10هزار سرور در اروپا
- 6038 سرور در آمریکای شمالی
- 2241 سرور در آسیا
دارای آسیب پذیری های حیاتی RCE و شامل نسخه های 2007 ، 2010 و 2013 Microsoft Exchange هستند.
از جمله آسیب پذیری هایی که همچنان در این سرور ها هستش میتوان به موارد زیر اشاره کرد:
@Engineer_Computer
بیش از 20 هزار سرور Microsoft Exchange همچنان دارای آسیب پذیری های RCE هستند!!!
به گفته ی The ShadowServer Foundation در جمعه ی گذشته با اسکن اینترنت، با توجه به نتایج بدست آمده:
- بیش از 10هزار سرور در اروپا
- 6038 سرور در آمریکای شمالی
- 2241 سرور در آسیا
دارای آسیب پذیری های حیاتی RCE و شامل نسخه های 2007 ، 2010 و 2013 Microsoft Exchange هستند.
از جمله آسیب پذیری هایی که همچنان در این سرور ها هستش میتوان به موارد زیر اشاره کرد:
CVE-2020-0688
CVE-2021-26855
CVE-2021-27065
CVE-2022-41082
CVE-2023-21529
CVE-2023-36745
CVE-2023-36439
@Engineer_Computer
استفاده IBM از GenAI در QRadar SIEM
https://www.darkreading.com/emerging-tech/generative-ai-takes-on-siem
@Engineer_Computer
https://www.darkreading.com/emerging-tech/generative-ai-takes-on-siem
@Engineer_Computer
Darkreading
Generative AI Takes on SIEM
خطر
کد اثبات (POC) آسیب پذیری زیر منتشر شد
https://securityonline.info/poc-exploit-for-windows-ntlm-privilege-escalation-flaw-cve-2023-21746-published/
@Engineer_Computer
کد اثبات (POC) آسیب پذیری زیر منتشر شد
https://securityonline.info/poc-exploit-for-windows-ntlm-privilege-escalation-flaw-cve-2023-21746-published/
@Engineer_Computer
Daily CyberSecurity
PoC Exploit for Windows NTLM Privilege Escalation Flaw (CVE-2023-21746) Published
Two security researchers Andrea Pierini & Antonio Cocomazzi announced the release of PoC exploits code targeting the CVE-2023-21746 flaw
⭕️ابزار APKEditor ابزاری برای مهندسین معکوس اندروید
قابلیت ها:
- دیکامپایل کردن فایل های APK
- ریکامپایل کردن سورس کد به فایل APK
- مرج کردن برنامه های split با فرمت APKS/XAPK/APKM و تبدیل آن به فایل APK
- ریفکتور کردن ریسورس های مبهم شده به نام های اصلی
- مبهم کردن ریسورس های برنامه به منظور محافظت در برابر ابزار های شناخته شده برای دیکامپایل و مهندسی معکوس
- نمایش اطلاعات بیسیک از فایل apk داده شده
مشاهده راهنمای ابزار:
https://github.com/REAndroid/APKEditor
#Android
@Engineer_Computer
قابلیت ها:
- دیکامپایل کردن فایل های APK
- ریکامپایل کردن سورس کد به فایل APK
- مرج کردن برنامه های split با فرمت APKS/XAPK/APKM و تبدیل آن به فایل APK
- ریفکتور کردن ریسورس های مبهم شده به نام های اصلی
- مبهم کردن ریسورس های برنامه به منظور محافظت در برابر ابزار های شناخته شده برای دیکامپایل و مهندسی معکوس
- نمایش اطلاعات بیسیک از فایل apk داده شده
مشاهده راهنمای ابزار:
java -jar APKEditor.jar -hنمونه تبدیل یک فایل apks به apk:
java -jar APKEditor.jar m -i AppName.apks
https://github.com/REAndroid/APKEditor
#Android
@Engineer_Computer
👍1
⭕️ به حمله ای جالب از سری حملات بر روی QRCode ها تحت عنوان QRLjacking برخورد داشتم که به روش کار آن میپردازیم.
این سری از حملات معمولا ترکیبی از مهندسی اجتماعی،فیشینگ و بعضا همراه با بدافزار خواهد بود.
به طوری که فکر کنید محل و مکان معتبری که در آن اطلاعات شخصی و مشخصات خود را ذخیره دارید و اگر براکت های QRCode دار آن محل را مهاجم دستکاری کرده و یا لینک آن را در فضای مجازی به شما ارسال کند و به لینک مقصد خود و با همان ساختار سامانه مشابه هدایت کند،
از این تکنیک حملات استفاده میکند.
البته باید گفت گاها اتفاق می افتد که برنامه های QRCode خوان خود نیز آلوده بوده و منجر به فیشینگ و یا ربایش اطلاعات خواهد شد.
https://www.hackread.com/hackers-exploit-qr-codes-qrljacking-malware/
#Phishing #Malware #RedTeam
@Engineer_Computer
این سری از حملات معمولا ترکیبی از مهندسی اجتماعی،فیشینگ و بعضا همراه با بدافزار خواهد بود.
به طوری که فکر کنید محل و مکان معتبری که در آن اطلاعات شخصی و مشخصات خود را ذخیره دارید و اگر براکت های QRCode دار آن محل را مهاجم دستکاری کرده و یا لینک آن را در فضای مجازی به شما ارسال کند و به لینک مقصد خود و با همان ساختار سامانه مشابه هدایت کند،
از این تکنیک حملات استفاده میکند.
البته باید گفت گاها اتفاق می افتد که برنامه های QRCode خوان خود نیز آلوده بوده و منجر به فیشینگ و یا ربایش اطلاعات خواهد شد.
https://www.hackread.com/hackers-exploit-qr-codes-qrljacking-malware/
#Phishing #Malware #RedTeam
@Engineer_Computer
Hackread
Hackers Exploit QR Codes with QRLJacking for Malware Distribution
Follow us on Twitter @Hackread - Facebook @ /Hackread.
👍2
۱۵۰۰۰ مخزن آسیب پذیر در گیت هاب
آیا شرکت ها و سازمانها امنیت را در تعامل با گیت هاب به کار گرفته اند ؟
https://thehackernews.com/2023/12/15000-go-module-repositories-on-github.html
@Engineer_Computer
آیا شرکت ها و سازمانها امنیت را در تعامل با گیت هاب به کار گرفته اند ؟
https://thehackernews.com/2023/12/15000-go-module-repositories-on-github.html
@Engineer_Computer
👍1
برگی از نیازهای آینده ی نزدیک
پالایش وایجاد دید در پکیج های نرم افزاری
موضوعی که بهتر است هرچه سریعتر هم توسط نهاد های متولی و هم شرکتها مد نظر قرار گیرد
https://www.chainguard.dev/unchained/software-dark-matter-is-the-enemy-of-software-transparency
@Engineer_Computer
پالایش وایجاد دید در پکیج های نرم افزاری
موضوعی که بهتر است هرچه سریعتر هم توسط نهاد های متولی و هم شرکتها مد نظر قرار گیرد
https://www.chainguard.dev/unchained/software-dark-matter-is-the-enemy-of-software-transparency
@Engineer_Computer
www.chainguard.dev
Software dark matter is the enemy of software transparency
What is "software dark matter"? And how popular is it in open source containers? Chainguard Labs finds out.
تزریق پراسس هایی که ادعا شده اند قابل تشخیص نیستند.
تست کنیم
https://github.com/SafeBreach-Labs/PoolParty
@Engineer_Computer
تست کنیم
https://github.com/SafeBreach-Labs/PoolParty
@Engineer_Computer
GitHub
GitHub - SafeBreach-Labs/PoolParty: A set of fully-undetectable process injection techniques abusing Windows Thread Pools
A set of fully-undetectable process injection techniques abusing Windows Thread Pools - SafeBreach-Labs/PoolParty