Offensive Security
Opsec C2 iceberg @GoSecurity
ریپوی زیر یک رودمپ خوب و عملی برای یادگیری C ارائه میده؛ از پروژههای کوچک تا مفاهیم عمیق. برای رسیدن به جایگاه سنیور در ردتیمینگ، تسلط روی یه زبان سطح پایین یک الزام واقعیه. اگر از امروز شروع کنی، تا پایان سال ۴۰۴ به درک قابلقبولی از زبانهای سطحپایین میرسی و با تمرین مداوم میتونی کاملاً مسلط بشی؛
هرکی هم بهتون گفته لازم نیست برنامهنویسی بلد باشین و ..، هیچی حالیش نبوده، استارتشو بزنید و از کارهای راحت دوری کنید.
کنار این ریپو حتما از کتاب استفاده کنید؛ کتاباشو میزارم و سراغ یوتیوب نرید، دورههم نخرید؛ بزارید پنج بار با سر برید تو دیوار و با آزمون و خطا به جواب درست برسید، اینطوری یه سنیور ساخته میشه.
انتظار نداشته باشید سریع به جواب برسید، هیچ چیز خوبی سریع بدست نمیاد.
github.com/h0mbre/Learning-C
هرکی هم بهتون گفته لازم نیست برنامهنویسی بلد باشین و ..، هیچی حالیش نبوده، استارتشو بزنید و از کارهای راحت دوری کنید.
کنار این ریپو حتما از کتاب استفاده کنید؛ کتاباشو میزارم و سراغ یوتیوب نرید، دورههم نخرید؛ بزارید پنج بار با سر برید تو دیوار و با آزمون و خطا به جواب درست برسید، اینطوری یه سنیور ساخته میشه.
انتظار نداشته باشید سریع به جواب برسید، هیچ چیز خوبی سریع بدست نمیاد.
github.com/h0mbre/Learning-C
GitHub
GitHub - h0mbre/Learning-C: A series of mini-projects used to learn C for beginners
A series of mini-projects used to learn C for beginners - h0mbre/Learning-C
Offensive Security
ریپوی زیر یک رودمپ خوب و عملی برای یادگیری C ارائه میده؛ از پروژههای کوچک تا مفاهیم عمیق. برای رسیدن به جایگاه سنیور در ردتیمینگ، تسلط روی یه زبان سطح پایین یک الزام واقعیه. اگر از امروز شروع کنی، تا پایان سال ۴۰۴ به درک قابلقبولی از زبانهای سطحپایین…
تو یادگیری C با گرایش offensive، تمرکز اصلی روی systems programming و exploit development هستش.
چندتا مثال از مباحثیهایی که باید بلد باشید میزنم ولی قطعا کامل نیست و باید برید دنبالش و خودتون تهشو دربیارید اما بهتون یک دید نسبی میده.
1) Memory Management and Pointers
• مدل حافظه: stack، heap، data segments
• ساختار stack frame و چیدمان متغیرها
• pointer arithmetic و مدیریت ایمن پوینتر
• انواع خطاهای حافظه: UAF، OOB، double free، heap corruption
• رفتار allocatorها: glibc malloc، ptmalloc، Windows Heap
• اصول PIC و کدنویسی غیر وابسته به آدرس
• ASLR bypass
• DEP bypass
• ROP chain basics
2) Syscalls and Direct Kernel Interaction
• تفاوت API سطحبالا با syscall
• استفاده از raw syscall
• الگوهای indirect syscall و syscall stubbing
• رجیسترها و calling convention ویندوز در syscall
• رجیسترها و calling convention لینوکس در syscall
• inline assembly برای کنترل مسیر اجرای سطح پایین
3) Assembly and Reverse Engineering
• تسلط بر x86/x64 در Intel و AT&T
• تفاوت inline asm در GCC/Clang/MSVC
• تفاوت calling convention در ویندوز و لینوکس
• ساخت کد PIC و شلکد
• تحلیل خروجی اسمبلی کامپایلر
• شناسایی Hookها در DLLها و تفاوت IAT/Inline
• IDA Pro
• Ghidra
• Binary Ninja
• DWARF / PDB basics
4) Networking and Protocols
• کار با Winsock و Berkeley Sockets
• ساخت و استفاده از Raw Sockets
• طراحی پروتکل باینری اختصاصی
• ایجاد Covert Channels
• تنظیم beacon jitter
• الگوهای Traffic Shaping و domain fronting
• TLS/SSL
• crypto libs در C
• shared library hijacking (LD_PRELOAD / LD_AUDIT)
• DLL search‑order hijacking
• systemd service persistence
• cron + at jobs
5) File I/O and Persistence
• memory mapping با mmap / MapViewOfFile
• ذخیرهسازی در : ADS، cache، Registry
• پایدار کردن دسترسی در سطح یوزر اسپیس
• مفهوم rootkit در یوزر اسپیس
• ساختارهای کلی روتکیت تو کرنل اسپیس
و DKOM
• CreateRemoteThread
• APC injection
• process hollowing
• reflective DLL injection
6) Executable File Formats (PE / ELF)
• ساختارهای PE و ELF
• manual mapping
• reflective loading
• relocation و import resolution
• اجرای memory-only
7) Code Obfuscation
• string encryption
• API hashing
• control flow flattening
• opaque predicates
• MBA transformations
• junk code insertion
• anti-debugging techniques
• timing checks
• hardware breakpoints detection
• anti-VM / anti-sandbox
• exception-based checks
8) Linux Internals
• ساختار ELF زمان load شدن و نقش ld.so در dynamic linking
• جریان resolve شدن symbol از طریق PLT/GOT
• لایهی syscall در لینوکس (glibc wrapper، direct syscall، VDSO)
• مدل memory layout پروسهها شامل stack، heap، anon maps، VDSO
• رفتار ptrace و سطح دسترسی debugger نسبت به رجیسترها و memory
• مکانیزم seccomp-bpf و محدودیتهای syscalls در sandbox
• معماری LSM مثل AppArmor و SELinux و نقش آنها در enforcement
• ساختار audit subsystem و eventهای قابل مانیتور
• رفتار loader در اجرای باینریهای PIE و نحوهٔ ASLR لینوکس
• فایلهای کلیدی procfs برای enumeration و injection
• مدل threading لینوکسی مبتنی بر NPTL
• ساختار cgroup و namespaceها برای isolation و evasion
• تکنیکهای user-mode hooking در لینوکس
• سطح حملهٔ kernel شامل syscall table، kprobes، eBPF، module loading
• تعامل با /dev/mem و /proc/kcore برای RE و memory analysis
• basic filesystem internals
9) Windows Internals
• تفاوت Win32 API و NTAPI
• دسترسی مستقیم به NTAPI
• ساختار PEB و TEB و روشهای دسترسی مستقیم
• رفتار loader در بارگذاری PE
• تعامل ETW با رفتار پردازه
• مکانیزمهای AMSI و WLDP
• مبانی kernel debugging (WinDbg)
• driver development
• SSDT hooking
• Ring 0 exploits
• Thread hiding techniques
10) Multithreading
• ایجاد thread در Win32 API و NTAPI
• استفاده از TLS
• sync: mutex، semaphore، critical section، atomic ops
• I/O: blocking، non‑blocking، overlapped، IOCP
• thread-based vs event-driven
ساختار میتونه بسته به هدف شما تغییر کنه و حتی بعضی از مبحثها حذف یا چیزهای جدیدی بهش اضافه بشه. اول باید مشخص کنید دقیقاً دنبال چه کاری هستید، بعد بر اساس اون مسیر مناسب رو انتخاب کنید.
@GoSecurity
#exploit
#low_level
#linux #windows
#security
چندتا مثال از مباحثیهایی که باید بلد باشید میزنم ولی قطعا کامل نیست و باید برید دنبالش و خودتون تهشو دربیارید اما بهتون یک دید نسبی میده.
1) Memory Management and Pointers
• مدل حافظه: stack، heap، data segments
• ساختار stack frame و چیدمان متغیرها
• pointer arithmetic و مدیریت ایمن پوینتر
• انواع خطاهای حافظه: UAF، OOB، double free، heap corruption
• رفتار allocatorها: glibc malloc، ptmalloc، Windows Heap
• اصول PIC و کدنویسی غیر وابسته به آدرس
• ASLR bypass
• DEP bypass
• ROP chain basics
2) Syscalls and Direct Kernel Interaction
• تفاوت API سطحبالا با syscall
• استفاده از raw syscall
• الگوهای indirect syscall و syscall stubbing
• رجیسترها و calling convention ویندوز در syscall
• رجیسترها و calling convention لینوکس در syscall
• inline assembly برای کنترل مسیر اجرای سطح پایین
3) Assembly and Reverse Engineering
• تسلط بر x86/x64 در Intel و AT&T
• تفاوت inline asm در GCC/Clang/MSVC
• تفاوت calling convention در ویندوز و لینوکس
• ساخت کد PIC و شلکد
• تحلیل خروجی اسمبلی کامپایلر
• شناسایی Hookها در DLLها و تفاوت IAT/Inline
• IDA Pro
• Ghidra
• Binary Ninja
• DWARF / PDB basics
4) Networking and Protocols
• کار با Winsock و Berkeley Sockets
• ساخت و استفاده از Raw Sockets
• طراحی پروتکل باینری اختصاصی
• ایجاد Covert Channels
• تنظیم beacon jitter
• الگوهای Traffic Shaping و domain fronting
• TLS/SSL
• crypto libs در C
• shared library hijacking (LD_PRELOAD / LD_AUDIT)
• DLL search‑order hijacking
• systemd service persistence
• cron + at jobs
5) File I/O and Persistence
• memory mapping با mmap / MapViewOfFile
• ذخیرهسازی در : ADS، cache، Registry
• پایدار کردن دسترسی در سطح یوزر اسپیس
• مفهوم rootkit در یوزر اسپیس
• ساختارهای کلی روتکیت تو کرنل اسپیس
و DKOM
• CreateRemoteThread
• APC injection
• process hollowing
• reflective DLL injection
6) Executable File Formats (PE / ELF)
• ساختارهای PE و ELF
• manual mapping
• reflective loading
• relocation و import resolution
• اجرای memory-only
7) Code Obfuscation
• string encryption
• API hashing
• control flow flattening
• opaque predicates
• MBA transformations
• junk code insertion
• anti-debugging techniques
• timing checks
• hardware breakpoints detection
• anti-VM / anti-sandbox
• exception-based checks
8) Linux Internals
• ساختار ELF زمان load شدن و نقش ld.so در dynamic linking
• جریان resolve شدن symbol از طریق PLT/GOT
• لایهی syscall در لینوکس (glibc wrapper، direct syscall، VDSO)
• مدل memory layout پروسهها شامل stack، heap، anon maps، VDSO
• رفتار ptrace و سطح دسترسی debugger نسبت به رجیسترها و memory
• مکانیزم seccomp-bpf و محدودیتهای syscalls در sandbox
• معماری LSM مثل AppArmor و SELinux و نقش آنها در enforcement
• ساختار audit subsystem و eventهای قابل مانیتور
• رفتار loader در اجرای باینریهای PIE و نحوهٔ ASLR لینوکس
• فایلهای کلیدی procfs برای enumeration و injection
• مدل threading لینوکسی مبتنی بر NPTL
• ساختار cgroup و namespaceها برای isolation و evasion
• تکنیکهای user-mode hooking در لینوکس
• سطح حملهٔ kernel شامل syscall table، kprobes، eBPF، module loading
• تعامل با /dev/mem و /proc/kcore برای RE و memory analysis
• basic filesystem internals
9) Windows Internals
• تفاوت Win32 API و NTAPI
• دسترسی مستقیم به NTAPI
• ساختار PEB و TEB و روشهای دسترسی مستقیم
• رفتار loader در بارگذاری PE
• تعامل ETW با رفتار پردازه
• مکانیزمهای AMSI و WLDP
• مبانی kernel debugging (WinDbg)
• driver development
• SSDT hooking
• Ring 0 exploits
• Thread hiding techniques
10) Multithreading
• ایجاد thread در Win32 API و NTAPI
• استفاده از TLS
• sync: mutex، semaphore، critical section، atomic ops
• I/O: blocking، non‑blocking، overlapped، IOCP
• thread-based vs event-driven
ساختار میتونه بسته به هدف شما تغییر کنه و حتی بعضی از مبحثها حذف یا چیزهای جدیدی بهش اضافه بشه. اول باید مشخص کنید دقیقاً دنبال چه کاری هستید، بعد بر اساس اون مسیر مناسب رو انتخاب کنید.
@GoSecurity
#exploit
#low_level
#linux #windows
#security
Media is too big
VIEW IN TELEGRAM
مقدمهای بر پیادهسازی Syscallها برای بدافزارهای ویندوز، منبعی برای درک عملی توسعه Raw Syscall.
@GoSecurity
#windows
#syscall
#malware
@GoSecurity
#windows
#syscall
#malware
یه نفر به مدت چندساله تمام چیزایی که یاد میگرفته رو توی یه ریپو نوشته و مثل یه دفترچه جیبییه؛
میتونید از این روش استفاده کنید و مسیر یادگیریتونو بهبود بدید.
github.com/jbranchaud/til
@GoSecurity
میتونید از این روش استفاده کنید و مسیر یادگیریتونو بهبود بدید.
github.com/jbranchaud/til
@GoSecurity
GitHub
GitHub - jbranchaud/til: :memo: Today I Learned
:memo: Today I Learned. Contribute to jbranchaud/til development by creating an account on GitHub.
Popular bulletproof hosting provider Media Land has been sanctioned by the US for working with Ransomware gangs as well as other cybercrime.
@GoSecurity
#RaaS
#hosting
@GoSecurity
#RaaS
#hosting
Offensive Security
#پادکست #امنیت_کلبه_سایبرنتیک ⚡️ نوع: پادکست ⚡️ عنوان: دوره امنیت استراتژیک در نبردگاه سایبر ⚡️ قسمت نهم دکترین گوفِیس، آن روی سکه فناوری سایبر @aioooir | #podcast
اگر میخواید توان کشورهایی مثل اسرائیل یا آمریکا رو بدونید؛ این پادکست رو گوش بدید.
بعد از این کار اگر خواستید خیلی بیشتر مطالعه کنید راجبشون؛ برید و لیست کنفرانسهای امنیتی رو گیر بیارید( مث دفکان و ..)؛ برید و داخل یوتیوبشون یا بلاگهاشون اسامی ارائه دهندههارو دربیارید و امریکا/اسرائیلی هارو از لیست نهایی جدا کنید؛ بعدش برید و ارائههاشونو ببینید و سوشال مدیاشونو دنبال کنید.
اگر این کارارو انجام بدید و بعدش برید هی مطالعهتونو ادامه بدید؛ دید خوبی به مباحث تحقیقاتی و توان سایبری غرب پیدا خواهید کرد.
#usa #isreal
#nsa #security
بعد از این کار اگر خواستید خیلی بیشتر مطالعه کنید راجبشون؛ برید و لیست کنفرانسهای امنیتی رو گیر بیارید( مث دفکان و ..)؛ برید و داخل یوتیوبشون یا بلاگهاشون اسامی ارائه دهندههارو دربیارید و امریکا/اسرائیلی هارو از لیست نهایی جدا کنید؛ بعدش برید و ارائههاشونو ببینید و سوشال مدیاشونو دنبال کنید.
اگر این کارارو انجام بدید و بعدش برید هی مطالعهتونو ادامه بدید؛ دید خوبی به مباحث تحقیقاتی و توان سایبری غرب پیدا خواهید کرد.
#usa #isreal
#nsa #security
CVE-2025-64446 (auth bypass) + CVE-2025-58034 (command injection) to achieve unauthenticated RCE with root privileges:
@GoSecurity
https://github.com/rapid7/metasploit-framework/pull/20717
@GoSecurity
https://github.com/rapid7/metasploit-framework/pull/20717
کراد استرایک یکی از کارکنان داخلی را که درحال همکاری با گروههای خارجی بود، شناسایی کرد.
@GoSecurity
https://www.bleepingcomputer.com/news/security/crowdstrike-catches-insider-feeding-information-to-hackers/
@GoSecurity
https://www.bleepingcomputer.com/news/security/crowdstrike-catches-insider-feeding-information-to-hackers/
BleepingComputer
CrowdStrike catches insider feeding information to hackers
American cybersecurity firm CrowdStrike has confirmed that an insider shared screenshots taken on internal systems with hackers after they were leaked on Telegram by the Scattered Lapsus$ Hunters threat actors.
Template for developing custom C2 channels for Cobalt Strike using IAT hooks applied by a reflective loader.
@GoSecurity
https://github.com/CodeXTF2/CustomC2ChannelTemplate
#C2
#exfilter
@GoSecurity
https://github.com/CodeXTF2/CustomC2ChannelTemplate
#C2
#exfilter
GitHub
GitHub - CodeXTF2/CustomC2ChannelTemplate: template for developing custom C2 channels for Cobalt Strike using IAT hooks applied…
template for developing custom C2 channels for Cobalt Strike using IAT hooks applied by a reflective loader. - CodeXTF2/CustomC2ChannelTemplate
LockBit Matomo login onion subdomain
Never released this but LockBit still has a configured Matomo Analytics backend software package on a server behind an HTTPS proxy on an old live DLS.
/lockbit7ouvrsdgtojeoj5hvu6bljqtghitekwpdy3b6y62ixtsu5jqd[.]onion
not so-hidden service:
Read-
https://xowngdkhjl3sh5becyfohd5xaxbcy2i5qkpsjhnivj5l[.]onion
-> insecure sign in ⤵️
/http://test.xowngdkhjl3sh5becyfohd5xaxbcy2i5qkpsjhnivj5l[.]onion
Matomo login panel for “LockBit” DLS
@GoSecurity
#RaaS
#lockbit
Never released this but LockBit still has a configured Matomo Analytics backend software package on a server behind an HTTPS proxy on an old live DLS.
/lockbit7ouvrsdgtojeoj5hvu6bljqtghitekwpdy3b6y62ixtsu5jqd[.]onion
not so-hidden service:
Read-
https://xowngdkhjl3sh5becyfohd5xaxbcy2i5qkpsjhnivj5l[.]onion
-> insecure sign in ⤵️
/http://test.xowngdkhjl3sh5becyfohd5xaxbcy2i5qkpsjhnivj5l[.]onion
Matomo login panel for “LockBit” DLS
@GoSecurity
#RaaS
#lockbit
این دامنهها پتانسیل بالایی برای استفاده در حملات فیشینگ هدفمند دارند. مهاجم یک دامنه جعلی را ثبت میکند (مثلاً یکی از همینها) و سپس آن را در یک ایمیل یا پیام، بهگونهای شخصیسازی شده برای یک فرد یا گروه خاص استفاده میکند.
• مثال: مهاجم ایمیلی با عنوان
"به روز رسانی فوری برای حساب Apple ID شما"
برای یک کارمند یا مشتری خاص میفرستد. آدرس ایمیل فرستنده مثلاً noreply@supportapples.com است، که اگر کاربر دقت نکند(بالای ۹۰ درصد توجهی به این نکات نمیکنند)، قربانی خواهد شد.
@GoSecurity
#spear_phishing
#phishing
• مثال: مهاجم ایمیلی با عنوان
"به روز رسانی فوری برای حساب Apple ID شما"
برای یک کارمند یا مشتری خاص میفرستد. آدرس ایمیل فرستنده مثلاً noreply@supportapples.com است، که اگر کاربر دقت نکند(بالای ۹۰ درصد توجهی به این نکات نمیکنند)، قربانی خواهد شد.
@GoSecurity
#spear_phishing
#phishing
Shai-Hulud malware infects 500 npm packages, leaks secrets on GitHub
Hundreds of trojanized versions of well-known packages such as Zapier, ENS Domains, PostHog, and Postman have been planted in the npm registry in a new Shai-Hulud supply-chain campaign.
@GoSecurity
https://www.bleepingcomputer.com/news/security/shai-hulud-malware-infects-500-npm-packages-leaks-secrets-on-github/
#malware
#npm
Hundreds of trojanized versions of well-known packages such as Zapier, ENS Domains, PostHog, and Postman have been planted in the npm registry in a new Shai-Hulud supply-chain campaign.
@GoSecurity
https://www.bleepingcomputer.com/news/security/shai-hulud-malware-infects-500-npm-packages-leaks-secrets-on-github/
#malware
#npm
BleepingComputer
Shai-Hulud malware infects 500 npm packages, leaks secrets on GitHub
Hundreds of trojanized versions of well-known packages such as Zapier, ENS Domains, PostHog, and Postman have been planted in the npm registry in a new Shai-Hulud supply-chain campaign.
🚨 فلوئنت بیت (Fluent Bit) یکی از محبوبترین ابزارهای جمعآوری و انتقال لاگ در کلود است که بیش از ۱۵ میلیارد بار روی سرورها و سرویسها نصب و استفاده شده. حالا این ابزار با ۵ آسیبپذیری بحرانی مواجه است.
فلوئنت بیت یک log forwarder و telemetry agent فوقسبک است که روی سرورها، کانتینرها و Kubernetes نصب میشود.
کاربردها و فعالیتها:
• جمعآوری لاگها و eventها
• فیلتر، پردازش و پارس کردن دادهها
• ارسال دادهها به مقصدهایی مثل Elasticsearch، Loki، Datadog، Splunk، S3 یا سایر سرویسهای کلود
به دلیل سرعت بالا و حجم کم، در محیطهای Kubernetes و سرویسهای ابری بهشدت استفاده میشود. به همین دلیل، آسیبپذیریها اهمیت بالایی دارند، زیرا میتوانند بهطور مستقیم روی لاگها و telemetry تأثیر بگذارند.
مهاجمها با سوءاستفاده از این باگها میتوانند:
• کد اجرا کنند
• لاگها را تغییر دهند یا حذف کنند
• جعل telemetry در AWS، GCP و Azure
برخی از این باگها بیش از هشت سال داخل Fluent Bit وجود داشتهاند.
جزئیات بیشتر:
The Hacker News
@GoSecurity
#Fluent_Bit #CVE #LPE #RedTeam
فلوئنت بیت یک log forwarder و telemetry agent فوقسبک است که روی سرورها، کانتینرها و Kubernetes نصب میشود.
کاربردها و فعالیتها:
• جمعآوری لاگها و eventها
• فیلتر، پردازش و پارس کردن دادهها
• ارسال دادهها به مقصدهایی مثل Elasticsearch، Loki، Datadog، Splunk، S3 یا سایر سرویسهای کلود
به دلیل سرعت بالا و حجم کم، در محیطهای Kubernetes و سرویسهای ابری بهشدت استفاده میشود. به همین دلیل، آسیبپذیریها اهمیت بالایی دارند، زیرا میتوانند بهطور مستقیم روی لاگها و telemetry تأثیر بگذارند.
مهاجمها با سوءاستفاده از این باگها میتوانند:
• کد اجرا کنند
• لاگها را تغییر دهند یا حذف کنند
• جعل telemetry در AWS، GCP و Azure
برخی از این باگها بیش از هشت سال داخل Fluent Bit وجود داشتهاند.
جزئیات بیشتر:
The Hacker News
@GoSecurity
#Fluent_Bit #CVE #LPE #RedTeam
👍1
🚨 آسیبپذیری اجرای کد از راه دور (RCE) در ابزار امنیتی ImunifyAV / Imunify360 میلیونها وبسایت میزبانیشده روی لینوکس را در معرض خطر قرار داده است.
ImunifyAV چیست؟
ابزاری امنیتی برای سرورهای لینوکسی است که کارهای زیر را انجام میدهد:
• اسکن و پاکسازی بدافزار
• تشخیص فایلهای مخرب، backdoorها و web‑shellها
• محافظت از سرورهای cPanel، DirectAdmin و محیطهای هاست اشتراکی
• استفاده توسط شرکتهای هاستینگ برای امن نگهداشتن سایتهای مشتریها
این ابزار توسط دهها میلیون سایت استفاده میشود و یکی از Anti-Malwareهای سمت سرور لینوکس است.
جزئیات آسیبپذیری
یک باگ خطرناک در کامپوننت AI‑Bolit (موتور اسکن بدافزار زیرمجموعه Imunify) شناسایی شده که باعث میشود مهاجم بتواند:
• کد دلخواه را روی سرور اجرا کند (RCE)
• فایلها را تغییر دهد یا برنامه اجرا کند
• کل محیط هاست یا حتی چندین سایت روی یک سرور را compromise کند
مشکل از جایی میآید که موتور deobfuscation فایلهای مشکوک، تابعهایی را اجرا میکند که مهاجم میتواند خودش تعیین کند؛ بدون هیچگونه بررسی امنیتی.
این یعنی مهاجم قادر است توابع خطرناک PHP مانند:
system, exec, shell_exec, passthru, eval
را از طریق اسکنر فراخوانی کند.
در نسخهٔ مستقل AI‑Bolit این قابلیت خاموش است، اما وقتی داخل Imunify360 فعال میشود، در همهٔ حالتهای اسکن بهصورت پیشفرض فعال است.
• ابزار Imunify روی بیش از ۵۶ میلیون وبسایت نصب است.
• شدت آسیبپذیری Critical (امتیاز CVSS حدود ۸.۱–۸.۲) گزارش شده است.
آسیبپذیری در AI‑Bolit قبل از نسخهٔ v32.7.4.0 وجود دارد.
برای رفع مشکل باید به v32.7.4.0 یا بالاتر آپدیت شود.
اگر آپدیت امکان پذیر نیست:
• اجرای اسکنر با کمترین مجوزها
• محدود کردن دسترسی شبکه
• بررسی لاگ برای رفتارهای مشکوک توصیه میشود.
جزئیات بیشتر:
bleepingcomputer.com
patchstack.com
esecurityplanet.com
@GoSecurity
#Linux #ImunifyAV #RCE #ServerSecurity #CVE #Infosec
ImunifyAV چیست؟
ابزاری امنیتی برای سرورهای لینوکسی است که کارهای زیر را انجام میدهد:
• اسکن و پاکسازی بدافزار
• تشخیص فایلهای مخرب، backdoorها و web‑shellها
• محافظت از سرورهای cPanel، DirectAdmin و محیطهای هاست اشتراکی
• استفاده توسط شرکتهای هاستینگ برای امن نگهداشتن سایتهای مشتریها
این ابزار توسط دهها میلیون سایت استفاده میشود و یکی از Anti-Malwareهای سمت سرور لینوکس است.
جزئیات آسیبپذیری
یک باگ خطرناک در کامپوننت AI‑Bolit (موتور اسکن بدافزار زیرمجموعه Imunify) شناسایی شده که باعث میشود مهاجم بتواند:
• کد دلخواه را روی سرور اجرا کند (RCE)
• فایلها را تغییر دهد یا برنامه اجرا کند
• کل محیط هاست یا حتی چندین سایت روی یک سرور را compromise کند
مشکل از جایی میآید که موتور deobfuscation فایلهای مشکوک، تابعهایی را اجرا میکند که مهاجم میتواند خودش تعیین کند؛ بدون هیچگونه بررسی امنیتی.
این یعنی مهاجم قادر است توابع خطرناک PHP مانند:
system, exec, shell_exec, passthru, eval
را از طریق اسکنر فراخوانی کند.
در نسخهٔ مستقل AI‑Bolit این قابلیت خاموش است، اما وقتی داخل Imunify360 فعال میشود، در همهٔ حالتهای اسکن بهصورت پیشفرض فعال است.
• ابزار Imunify روی بیش از ۵۶ میلیون وبسایت نصب است.
• شدت آسیبپذیری Critical (امتیاز CVSS حدود ۸.۱–۸.۲) گزارش شده است.
آسیبپذیری در AI‑Bolit قبل از نسخهٔ v32.7.4.0 وجود دارد.
برای رفع مشکل باید به v32.7.4.0 یا بالاتر آپدیت شود.
اگر آپدیت امکان پذیر نیست:
• اجرای اسکنر با کمترین مجوزها
• محدود کردن دسترسی شبکه
• بررسی لاگ برای رفتارهای مشکوک توصیه میشود.
جزئیات بیشتر:
bleepingcomputer.com
patchstack.com
esecurityplanet.com
@GoSecurity
#Linux #ImunifyAV #RCE #ServerSecurity #CVE #Infosec
🚨 استفاده هکرهای روسی از Hyper‑V برای مخفیسازی بدافزار در ماشینهای مجازی لینوکس؛ گروه Curly COMrades در حال دورزدن EDR
گروه هکری روسی Curly COMrades که از میانهٔ ۲۰۲۴ فعال شده، از فناوری Hyper‑V در ویندوز برای ایجاد یک ماشین مجازی مخفی مبتنی بر Alpine Linux استفاده میکند. این روش باعث میشود که EDR نتواند بدافزار را شناسایی کند، چون کد مخرب داخل یک محیط مجازی ایزوله اجرا میشود. عملیات این گروه با منافع ژئوپلیتیکی روسیه همسو بوده و پیشتر نهادهای دولتی و قضایی در گرجستان و همچنین شرکتهای انرژی در مولداو را هدف قرار داده است.
Curly COMrades
گروه Curly COMrades یک تیم سایبری جاسوسی روسی است که از mid‑2024 فعال شده و فعالیت آن با اهداف ژئوپلیتیکی روسیه هماهنگ است. شرکت Bitdefender با همکاری CERT گرجستان گزارش جدیدی از این گروه منتشر کرده که شامل حملات انجامشده روی دو سیستم در اوایل ژوئیهٔ ۲۰۲۴ است.
جزئیات فنی حمله
پس از بهدستآوردن دسترسی اولیه remote روی ویندوز (نسخههای Pro، Enterprise یا Server)، مهاجمان مراحل زیر را انجام میدهند:
• فعالسازی نقش Hyper‑V و غیرفعالکردن رابط مدیریتی آن.
• ایجاد یک VM بسیار سبک Alpine Linux (با دیسک ۱۲۰ مگابایت و ۲۵۶ مگابایت RAM) با نام جعلی WSL برای شبیهسازی Windows Subsystem for Linux و فرار از تشخیص.
• پیکربندی VM با Default Switch تا ترافیک از طریق شبکهٔ هاست عبور کند و خروجی با IP معتبر هاست نمایش داده شود.
این VM میزبان دو ایمپلنت ELF سفارشی مبتنی بر libcurl است:
• CurlyShell:
یک reverse shell که دستورات را در حالت headless اجرا میکند، از طریق HTTPS به C2 متصل میشود و با cron job پایداری دارد.
• CurlCat:
یک reverse proxy که تونلسازی انجام میدهد، SOCKS proxy ایجاد میکند و ترافیک SSH را داخل درخواستهای HTTPS مخفی کرده و برای pivoting استفاده میشود.
تکنیکهای evasion و persistence
• اجرای بدافزار داخل VM باعث دورزدن EDRهای host‑based میشود که network inspection ندارند.
• استفاده از payloadهای رمزنگاریشده و اجرای PowerShell برای کاهش ردپای forensic
• وجود دو اسکریپت PowerShell:
– یکی برای تزریق Kerberos ticket به LSASS جهت احراز هویت remote
– دیگری برای ایجاد حساب محلی از طریق Group Policy
این روش بهخاطر نبود ابزارهای multi‑layered در بسیاری از شبکهها مؤثر باقی میماند.
تأثیر و گستردگی
• اهداف: نهادهای دولتی و قضایی در گرجستان و همچنین شرکتهای انرژی در مولداو
• ریسکها: دسترسی کامل remote، pivoting شبکه، سرقت داده بدون ردپای واضح؛ ترافیک مخرب به شکل ترافیک مشروع دیده میشود.
جزئیات بیشتر:
bitdefender.com
securityaffairs.com
theregister.com
@GoSecurity
#CyberEspionage #HyperV #Malware #LinuxVM #APT #Infosec #RussianHackers
گروه هکری روسی Curly COMrades که از میانهٔ ۲۰۲۴ فعال شده، از فناوری Hyper‑V در ویندوز برای ایجاد یک ماشین مجازی مخفی مبتنی بر Alpine Linux استفاده میکند. این روش باعث میشود که EDR نتواند بدافزار را شناسایی کند، چون کد مخرب داخل یک محیط مجازی ایزوله اجرا میشود. عملیات این گروه با منافع ژئوپلیتیکی روسیه همسو بوده و پیشتر نهادهای دولتی و قضایی در گرجستان و همچنین شرکتهای انرژی در مولداو را هدف قرار داده است.
Curly COMrades
گروه Curly COMrades یک تیم سایبری جاسوسی روسی است که از mid‑2024 فعال شده و فعالیت آن با اهداف ژئوپلیتیکی روسیه هماهنگ است. شرکت Bitdefender با همکاری CERT گرجستان گزارش جدیدی از این گروه منتشر کرده که شامل حملات انجامشده روی دو سیستم در اوایل ژوئیهٔ ۲۰۲۴ است.
جزئیات فنی حمله
پس از بهدستآوردن دسترسی اولیه remote روی ویندوز (نسخههای Pro، Enterprise یا Server)، مهاجمان مراحل زیر را انجام میدهند:
• فعالسازی نقش Hyper‑V و غیرفعالکردن رابط مدیریتی آن.
• ایجاد یک VM بسیار سبک Alpine Linux (با دیسک ۱۲۰ مگابایت و ۲۵۶ مگابایت RAM) با نام جعلی WSL برای شبیهسازی Windows Subsystem for Linux و فرار از تشخیص.
• پیکربندی VM با Default Switch تا ترافیک از طریق شبکهٔ هاست عبور کند و خروجی با IP معتبر هاست نمایش داده شود.
این VM میزبان دو ایمپلنت ELF سفارشی مبتنی بر libcurl است:
• CurlyShell:
یک reverse shell که دستورات را در حالت headless اجرا میکند، از طریق HTTPS به C2 متصل میشود و با cron job پایداری دارد.
• CurlCat:
یک reverse proxy که تونلسازی انجام میدهد، SOCKS proxy ایجاد میکند و ترافیک SSH را داخل درخواستهای HTTPS مخفی کرده و برای pivoting استفاده میشود.
تکنیکهای evasion و persistence
• اجرای بدافزار داخل VM باعث دورزدن EDRهای host‑based میشود که network inspection ندارند.
• استفاده از payloadهای رمزنگاریشده و اجرای PowerShell برای کاهش ردپای forensic
• وجود دو اسکریپت PowerShell:
– یکی برای تزریق Kerberos ticket به LSASS جهت احراز هویت remote
– دیگری برای ایجاد حساب محلی از طریق Group Policy
این روش بهخاطر نبود ابزارهای multi‑layered در بسیاری از شبکهها مؤثر باقی میماند.
تأثیر و گستردگی
• اهداف: نهادهای دولتی و قضایی در گرجستان و همچنین شرکتهای انرژی در مولداو
• ریسکها: دسترسی کامل remote، pivoting شبکه، سرقت داده بدون ردپای واضح؛ ترافیک مخرب به شکل ترافیک مشروع دیده میشود.
جزئیات بیشتر:
bitdefender.com
securityaffairs.com
theregister.com
@GoSecurity
#CyberEspionage #HyperV #Malware #LinuxVM #APT #Infosec #RussianHackers
Forwarded from Ai000 Cybernetics QLab
This media is not supported in your browser
VIEW IN TELEGRAM
Using that WinRAR vuln to straight-up jack Office 2024 — both for persistence and dirty macro pops. Yeah, this move hits hard. It’s a killer trick for initial foothold and long-term persistence. Every time the victim fires up Office, then open a doc, create a doc, whatever our macro wakes up and runs the block like it owns the place.
@aioooir | #exploitation #magus
@aioooir | #exploitation #magus