هایجک اینترفیس های کام
دور زدن آنتی‌ویروس و EDR

https://neodyme.io/en/blog/com_hijacking_1/

https://neodyme.io/en/blog/com_hijacking_2/

https://neodyme.io/en/blog/com_hijacking_3/#vulnerability-1-leveraging-file-deletion-for-lpe

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

اینم یکی دیگه از مقالاته که امشب میخونم بعد میخوابم

Advanced Initial Access Techniques

In this blog post, I will teach you the methodology and techniques adversaries use to compromise systems. I will showcase the payload development process and its delivery—both remote and physical.



https://lorenzomeacci.com/advanced-initial-access-techniques

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

یک مقاله عالی از تنظیمات Auditd از همین استاد دوره

هرکسی SOC داره واجبه اینو کامل بخونه
خیلی از SOC های ما یا Auditd ندارند یا تنظیم درستی موجود نیست

https://izyknows.medium.com/linux-auditd-for-threat-detection-d06c8b941505

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

جدید 😍😍


خلاصه‌ اگر بود یه خبر بدین 🙏🙏

https://www.sans.org/cyber-security-courses/linux-threat-hunting-incident-response/

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

حملات مبتنی بر Syscall و نقش EDR در مقابله با آنها ( قسمت اول ) 1️⃣

مقدمه

فناوریSystem Calls (Syscall) یکی از مهم‌ترین اجزای سیستم‌عامل است که به برنامه‌های کاربری اجازه می‌دهد با کرنل ارتباط برقرار کنند. این مکانیزم برای دسترسی به منابع سیستم مانند حافظه، پردازش‌ها، فایل‌ها و شبکه ضروری است. بااین‌حال، مهاجمان از Syscallها برای دور زدن مکانیزم‌های امنیتی، اجرای بدافزار و بهره‌برداری از آسیب‌پذیری‌های کرنل استفاده می‌کنند.

حملات مبتنی بر Syscall
1. اجرای مستقیم Syscall برای دور زدن EDR

بسیاری از نرم‌افزارهای امنیتی مانند آنتی‌ویروس (AV) و EDR از API Hooking برای شناسایی فعالیت‌های مشکوک استفاده می‌کنند. Hooking به این معناست که EDR جلوی برخی توابع حیاتی را گرفته و رفتار آنها را بررسی می‌کند.

برای مثال، در ویندوز VirtualAlloc و CreateRemoteThread معمولاً برای تخصیص حافظه و اجرای کد استفاده می‌شوند. EDRها این توابع را مانیتور می‌کنند تا تزریق کد (Process Injection) و اجرای بدافزارها را تشخیص دهند.

🔴 روش حمله: مهاجمان برای دور زدن این نظارت‌ها، مستقیماً از Syscallهای کرنل استفاده می‌کنند.

✅ نمونه حمله:

یک بدافزار ممکن است به‌جای استفاده از VirtualAlloc از NtAllocateVirtualMemory (که یک syscall در سطح کرنل است) استفاده کند.
از ابزارهایی مانند SysWhispers یا Halo’s Gate برای یافتن شماره Syscallها و اجرای آنها استفاده می‌شود.

📌 نمونه کد حمله در C برای اجرای مستقیم syscall:

__asm {
mov eax, 0x50 //
شماره Syscall مربوط به NtAllocateVirtualMemory
call dword ptr fs:[0xC0]
}

با این روش، مهاجمان می‌توانند بدون اینکه EDR متوجه شود، کد را مستقیماً در حافظه اجرا کنند.
2. تزریق کد در حافظه و اجرای مخفیانه

یکی از حملات رایج برای اجرای بدافزار در سیستم، تزریق کد در یک فرآیند معتبر مانند explorer.exe است. در این روش، مهاجم:

حافظه‌ای در فرآیند هدف رزرو می‌کند (NtAllocateVirtualMemory).
بدافزار را در آن حافظه کپی می‌کند (NtWriteVirtualMemory).
کد را اجرا می‌کند (NtCreateThreadEx).

📌 مثال کد حمله در C:

HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
LPVOID pRemoteMemory = VirtualAllocEx(hProcess, NULL, payload_size, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(hProcess, pRemoteMemory, payload, payload_size, NULL);
HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pRemoteMemory, NULL, 0, NULL);

این حمله به Process Injection معروف است و در بسیاری از بدافزارها مانند Meterpreter استفاده می‌شود.
3. ارتقای دسترسی با سوءاستفاده از Syscallها

برخی از حملات Privilege Escalation از آسیب‌پذیری‌های مربوط به Syscallها سوءاستفاده می‌کنند. این نوع حملات شامل Race Condition، Buffer Overflow و استفاده از Handleهای نادرست هستند.

مثال:

آسیب‌پذیری CVE-2016-7255 در ویندوز، به مهاجم اجازه می‌دهد از طریق یک Syscall نادرست، سطح دسترسی خود را به SYSTEM افزایش دهد.
آسیب‌پذیری‌های کرنل لینوکس، مانند Dirty COW (CVE-2016-5195)، از Syscallهای مربوط به مدیریت حافظه سوءاستفاده می‌کنند.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#Web #Penetration_Testing #HTTP #Protocol
نمونه ای از ویدیو دوره تست نفوذ وب آنون، پروتکل HTTP یکی از مهم ترین پروتکل ها در عرصه تست نفوذ وب و مباحث مربوط به باگ بانتی هست، لذا نیاز است یک متخصص حرفه ای تست نفوذ وب این پروتکل را در سطح با کیفیتی بشناسد.

بسیاری از آسیب پذیری های تحت وب حساس وابسته به شناخت دقیق از این پروتکل هستند مانند اشتباهات در پیکربندی - مدیریت هویت - ضعف در احراز هویت - ضعف در مجوز - مدیریت جلسه - تصدیق ورودی - مدیریت خطا - ایراد در رمزنگاری - منطق تجاری - سمت کاربر - حملات به API.

⚠️ ادامه مطلب در لینک زیر

unk9vvn.com/2025/03/hypertext-transfer-protocol/

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

#BeEF #Bypass #CSP & #SOP
اسکریپتی در Cheat Sheet مربوط به آنون قرار گرفت که میتواند Header های امنیتی Same Origin Policy و Content Security Policy را در شرایط مورد نیاز دور زده و Agent مربوط به BeEF رو بصورت کاملا مبهم سازی شده بار گزاری کند.

این اسکریپت امکان گرفتن دسترسی کامل مرورگر قربانیان رو در صورت وجود یک آسیب پذیری XSS خواهد داد و حتی در صورت روشن بودن Header های امنیتی.

اما تکنیک های بکار گرفته شده، اول آماده سازی Metasploit و Auto Exp با نام browser_autopwn2 که بیش از 5 آسیب پذیری روز صفر مرورگر رو فعال میکنه و اگر قربانیان مرورگر قدیمی داشته باشند مستقیما امکان ایجاد دسترسی از سیستم عامل آنها خواهد بود.

مورد دوم استفاده از Ngrok برای Listener کردن Agent مربوط به BeEF که با پیکربندی های انجام شده صورت گرفته و در جریان این پیکربندی ها چهار چوب Metasploit با BeEF هم یکپارچه و آماده میشود و Agent خود BeEF نیز مبهم سازی خواهد شد.

مورد بعد استفاده از نقاط انتهای JSONP در سایت های معروف و ایجاد پیلود بر بستر آنها که در صورت زنده بودن برای سایت آسیب پذیری استفاده و بهره برداری خواهد شد.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

حملات مبتنی بر Syscall و نقش EDR

2️⃣قسمت دوم

این EDR را جدی بگیرید

🔴 چرا این روش خطرناک است؟
زیرا Syscallها مستقیماً در سطح کرنل اجرا می‌شوند و در صورت وجود آسیب‌پذیری، مهاجم می‌تواند کنترل کل سیستم را به دست بگیرد.
چگونه EDR با حملات Syscall مقابله می‌کند؟
1. تحلیل رفتار و کشف فعالیت‌های مشکوک

این EDRهای پیشرفته مانند Microsoft Defender for Endpoint، CrowdStrike Falcon و SentinelOne از Behavioral Analysis برای شناسایی رفتارهای غیرعادی استفاده می‌کنند.

✅ روش‌های شناسایی:

نظارت بر Syscallهای غیرعادی مانند NtAllocateVirtualMemory و NtWriteVirtualMemory.
کشف فرآیندهایی که بدون دلیل خاصی حافظه‌ی اجرایی تخصیص می‌دهند.
تشخیص تغییرات در Handleهای کرنل که ممکن است نشان‌دهنده یک حمله باشد.

2. این Hook کردن و جلوگیری از اجرای Syscallهای خطرناک

این EDRها می‌توانند APIهای مهم را Hook کنند تا رفتار آنها را قبل از اجرا بررسی کنند. اگر فرآیندی مانند notepad.exe ناگهان سعی کند NtCreateThreadEx را اجرا کند، این یک نشانه از حمله است و می‌توان آن را مسدود کرد.

📌 نمونه کد Hook برای جلوگیری از اجرای Syscallهای خطرناک در کرنل:

PsSetCreateProcessNotifyRoutine(CallbackFunction);

🔹 نتیجه: اگر یک بدافزار بخواهد Syscall را اجرا کند، این Callback اول آن را بررسی می‌کند.
3. مانیتورینگ در سطح کرنل با Kernel-mode Callbacks

برخی از EDRها مستقیماً در سطح Kernel Mode کار می‌کنند و اجرای برخی Syscallهای خطرناک را متوقف می‌کنند.

📌 نمونه‌ای از Syscallهای خطرناک که EDRها رصد می‌کنند:

NtAllocateVirtualMemory → تخصیص حافظه در فرآیند دیگر
NtWriteVirtualMemory → نوشتن در حافظه فرآیند دیگر
NtCreateThreadEx → ایجاد رشته در فرآیند دیگر

🔹 مزیت این روش: مقابله با Direct Syscall، حتی اگر مهاجم از تکنیک‌هایی مانند SysWhispers استفاده کند.
4. استفاده از Exploit Guard و ASLR برای سخت‌تر کردن حملات

✅فناوری Exploit Guard در ویندوز می‌تواند جلوی اجرای کدهای ناشناخته را بگیرد.
✅ فناوریASLR (Address Space Layout Randomization) باعث می‌شود آدرس‌های حافظه در هر اجرا تغییر کنند، که استفاده از برخی Syscallهای مخرب را سخت‌تر می‌کند.

📌 فعال‌سازی ASLR:

Set-ProcessMitigation -Name explorer.exe -Enable BottomUpASLR

جمع‌بندی

حملات مبتنی بر Syscall یکی از روش‌های قدرتمند برای دور زدن آنتی‌ویروس‌ها و اجرای مخفیانه بدافزارها است. مهاجمان با استفاده از Direct Syscall و Process Injection می‌توانند کدهای مخرب را در حافظه اجرا کنند بدون اینکه توسط ابزارهای سنتی شناسایی شوند.

اما EDRهای پیشرفته با روش‌هایی مانند:
✔️ Behavioral Analysis برای شناسایی فعالیت‌های غیرعادی
✔️ Hook کردن Syscallهای خطرناک
✔️ نظارت بر سطح کرنل با Kernel-mode Callbacks
✔️ استفاده از Exploit Guard و ASLR

می‌توانند این حملات را شناسایی و متوقف کنند. بنابراین، برای مقابله با حملات مدرن، سازمان‌ها باید از EDRهای پیشرفته استفاده کنند و به‌طور مداوم تحلیل تهدیدات سایبری را انجام دهند.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

مقاله ی برتر امروز

https://medium.com/@ctugglev/you-can-run-but-my-tracker-is-faster-38f9bacaf324

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

برای مهندسان کشف در لینوکس

https://www.elastic.co/security-labs/the-grand-finale-on-linux-persistence

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

حمله Unconstrained Delegation Attack چیست؟

☣️این حمله یکی از حملات پیشرفته در Active Directory (AD) است که از ویژگی Unconstrained Delegation در سرویس‌های ویندوز سوءاستفاده می‌کند. این ویژگی که از زمان Windows 2000 معرفی شد، به سرورهای مشخصی اجازه می‌دهد تا تیکت‌های Kerberos (TGT) کاربران را بدون محدودیت ذخیره و استفاده کنند. مهاجمان می‌توانند از این قابلیت برای دزدیدن نشست‌های احراز هویت کاربران و گسترش دسترسی در شبکه سوءاستفاده کنند.

⬅️این Unconstrained Delegation چیست؟
ویندوز از Kerberos Delegation برای انتقال احراز هویت کاربران بین سرویس‌های مختلف استفاده می‌کند. در Unconstrained Delegation، هر سیستمی که این قابلیت را داشته باشد، می‌تواند بدون هیچ محدودیتی تیکت‌های Kerberos کاربران احراز هویت‌شده را دریافت و استفاده کند.
💡 مشکل اصلی: اگر یک مهاجم کنترل سیستمی را به‌دست بیاورد که این قابلیت را دارد، می‌تواند از تیکت‌های کاربران دیگر برای جعل هویت آن‌ها در سطح شبکه سوءاستفاده کند.
⬅️ مراحل اجرای Unconstrained Delegation Attack
۱) شناسایی سیستم‌های دارای Unconstrained Delegation
مهاجم ابتدا سیستم‌هایی را پیدا می‌کند که این قابلیت را دارند. این کار را می‌توان با اجرای کوئری در PowerShell یا ابزارهای BloodHound و ldapsearch انجام داد:

Get-ADComputer -Filter {TrustedForDelegation -eq $true} -Properties TrustedForDelegation
این دستور لیست تمام سیستم‌هایی را نشان می‌دهد که قابلیت Unconstrained Delegation دارند.
۲) به‌دست آوردن کنترل یک سیستم آسیب‌پذیر
اگر مهاجم بتواند به سیستمی با Unconstrained Delegation دسترسی بگیرد (مثلاً از طریق یک آسیب‌پذیری یا مهندسی اجتماعی)، می‌تواند تیکت‌های کاربران دیگر را دریافت کند.
۳) دزدیدن و سوءاستفاده از تیکت‌های Kerberos
وقتی کاربری به سرور آسیب‌پذیر متصل شود، تیکت Kerberos او در حافظه (LSASS) سرور ذخیره می‌شود. مهاجم می‌تواند با ابزار Mimikatz این تیکت‌ها را استخراج کند:
privilege::debug
sekurlsa::tickets /export
مهاجم سپس می‌تواند این تیکت‌ها را برای جعل هویت کاربرانی مانند Domain Admins استفاده کند.
۴) گسترش دسترسی در شبکه
پس از سرقت تیکت‌های Kerberos، مهاجم می‌تواند:
✅ به سیستم‌های دیگر به‌عنوان کاربران معتبر متصل شود.
✅ به منابع حیاتی مانند Active Directory دسترسی پیدا کند.
✅ امتیازات خود را به سطح Domain Admin ارتقا دهد.
⬅️چطور از این حمله جلوگیری کنیم؟
🔵 غیرفعال‌سازی Unconstrained Delegation
تنظیمات Unconstrained Delegation را در Active Directory بررسی کرده و غیرضروری‌ها را غیرفعال کنید:
Get-ADComputer -Filter {TrustedForDelegation -eq $true} | Set-ADComputer -TrustedForDelegation $false
🔵استفاده از Constrained Delegation
به جای Unconstrained Delegation، از Constrained Delegation (با پروتکل Kerberos فقط) استفاده کنید که دسترسی‌ها را محدودتر می‌کند.
🔵نظارت بر تیکت‌های Kerberos
با ابزارهایی مثل Event Viewer و SIEM، لاگ‌های مرتبط با درخواست‌های Kerberos را بررسی کنید و ترافیک مشکوک را شناسایی کنید.
🔵 محدود کردن دسترسی حساب‌های حساس
✅ حساب‌های Domain Admins و Enterprise Admins نباید به سیستم‌هایی با Unconstrained Delegation لاگین کنند.
✅ از Protected Users Group استفاده کنید تا تیکت‌های Kerberos برای این حساب‌ها ذخیره نشود.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

دوستان عزیزی که باهم کالدرا کارکردیم و سایر دوستان که استفاده میکنند

🔴یک RCE در کالدرا پیدا شده .

احتیاط شرط عقله

https://securityonline.info/cve-2025-27364-cvss-10-remote-code-execution-flaw-found-in-mitre-caldera-poc-releases/

⬅️توضیح برای مبتدیان

کالدرا یک پلتفرم متن‌باز برای انجام شبیه‌سازی تهدیدات و اتوماتیک‌سازی عملیات قرمز (Red Teaming) است که توسط MITRE توسعه داده شده است. این ابزار به تیم‌های امنیتی کمک می‌کند تا حملات سایبری واقعی را شبیه‌سازی کرده و ضعف‌های امنیتی سازمان را شناسایی کنند.
ویژگی‌های کلیدی Caldera

شبیه‌سازی حملات APT: با استفاده از تکنیک‌های چارچوب MITRE ATT&CK، حملات پیشرفته مداوم (APT) را بازسازی می‌کند.
اتوماسیون عملیات Red Team: به تیم‌های قرمز اجازه می‌دهد حملات را بدون نیاز به اجرای دستی، به‌طور خودکار اجرا کنند.
پلاگین‌پذیری: می‌توان قابلیت‌های جدید را از طریق پلاگین‌ها اضافه کرد.
اجرای دستورات روی سیستم‌های هدف: عامل (Agent)های آن روی سیستم‌های مختلف نصب شده و امکان اجرای دستورات مخرب شبیه‌سازی‌شده را دارند.
ارزیابی دفاع سایبری: تیم‌های آبی (Blue Team) می‌توانند نحوه شناسایی و مقابله با حملات را بررسی کنند.

کاربردهای Caldera

تست امنیت سازمان در برابر حملات سایبری
بررسی کارایی سیستم‌های تشخیص و پاسخگویی به تهدیدات (EDR/SIEM)
تمرین و آموزش تحلیلگران امنیتی
شبیه‌سازی نفوذ و شناسایی نقاط ضعف در شبکه

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

به نظرم میارزه براش هزینه کنین

https://store.thedfirreport.com/products/dfir-labs-ctf

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer