Forwarded from GO-TO CVE
CVE-2020-0601-week-55.pdf
630.3 KB
🎯 بررسی آسیبپذیری CVE-2020-0601 – جعل CA مثل مایکروسافت!
در هفته ۵۵ از برنامهی GO-TO CVE، سراغ یک آسیبپذیری بسیار خطرناک در زیرساخت ساین دیجیتال ویندوز رفتیم که با نام رسمی Windows CryptoAPI Spoofing Vulnerability شناخته میشه. این باگ در فایل سیستمی Crypt32.dll وجود داشت و به مهاجم اجازه میداد root CA جعلی بسازه که از دید ویندوز معتبر به نظر میرسه – حتی با نام و ظاهر Microsoft!
🔹 Week: 55
🔹 CVE: CVE-2020-0601
🔹 Type: ECC Certificate Spoofing → Signed Malware Execution
🔹 Component: Windows CryptoAPI (Crypt32.dll)
🔹 CVSS: 8.1 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N)
#week_55
در هفته ۵۵ از برنامهی GO-TO CVE، سراغ یک آسیبپذیری بسیار خطرناک در زیرساخت ساین دیجیتال ویندوز رفتیم که با نام رسمی Windows CryptoAPI Spoofing Vulnerability شناخته میشه. این باگ در فایل سیستمی Crypt32.dll وجود داشت و به مهاجم اجازه میداد root CA جعلی بسازه که از دید ویندوز معتبر به نظر میرسه – حتی با نام و ظاهر Microsoft!
🔹 Week: 55
🔹 CVE: CVE-2020-0601
🔹 Type: ECC Certificate Spoofing → Signed Malware Execution
🔹 Component: Windows CryptoAPI (Crypt32.dll)
🔹 CVSS: 8.1 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N)
#week_55
⚡11❤2
Only 12 days left to join the Community OSINT #CTF on June 25. We’ve answered the most common questions to help you get started. Sign up today to explore real-world OSINT use cases: https://maltego.com/community-ctf/?utm_source=twitter&utm_medium=social&utm_campaign=all&utm_content=
➖➖➖➖➖
CHANNEL
GROUP
DISCORD
➖➖➖➖➖
CHANNEL
GROUP
DISCORD
Maltego
Maltego Community CTF
Maltego is the all-in-one investigation platform that accelerates complex cyber investigations from hours to minutes. Mine, merge, and map all your essential intelligence in one place, and uncover hidden truths now!
👍9
🔴WEATHER2GEO
Python tool that filters cities by the weather that was in them on a certain date and time (MSN API).
The list of cities can be customised by changing the text file.
https://github.com/elliott-diy/Weather2Geo
➖➖➖➖➖
CHANNEL
GROUP
DISCORD
Python tool that filters cities by the weather that was in them on a certain date and time (MSN API).
The list of cities can be customised by changing the text file.
https://github.com/elliott-diy/Weather2Geo
➖➖➖➖➖
CHANNEL
GROUP
DISCORD
❤8🥰2
🔴Want to Build Your Own VM's for Testing Your Exploits or Sandbox an Known Exploit? Vagrant is the Way to Go! Learn How to Use Vagrant to Build Your Cyber Testing Environment
➖➖➖➖➖
CHANNEL
GROUP
DISCORD
➖➖➖➖➖
CHANNEL
GROUP
DISCORD
Hackers Arise - EXPERT CYBERSECURITY TRAINING FOR ETHICAL HACKERS
Vagrant: Building Secure Testing Environments - Hackers Arise
Welcome back, aspiring cyberwarriors! Creating and managing virtual machines has traditionally been a tedious and time-consuming process. System administrators and developers often struggled with the challenges of replicating virtual environments across different…
❤10👍1
Forwarded from ViperNułł (amir)
ViperNułł
https://news.1rj.ru/str/ViperNull
♦️Six step incedent response process
🐍-سلامامروز قراره راجب ۶ تا مرحله و فرایندی که باید طی بشه تا به یه حادثه امنیتی پاسخ داده بشه صحبت بکنم.
خب اول از همه بهتره بدونیم که پاسخ به یه رخداد امنیتی یعنی چی؟
پاسخ به یه رخداد امنیتی یعنی مجموعه ای از فرایند ها و رویه ها که ما انجام میدیم تا باعث
Identification incident
containment incident
Eradication incident
Recovery
و درنهایت
Post-incident-analysis
اون حادثه امنیتی بشه .
برای مثال ؛
فرض کنید یه گزارشی از تیم نتورک دریافت کردید مبنی بر infect شدن یه سیستم توسط یه malwear یا تیم امنیتی تشخیص داده که dns tunneling صورت گرفته و درحال exfilter data هستش خب 🔥
وظیفه تیم incident respons اینه که به اون incident رخ داده پاسخ بده و دراین شرایط پاسخ به یه رخداد به شکل زیر ادامه پیدا میکنه؛
1.آمادگی ( preparation):
این مرحله قبل از وقوع یه رخداد امنیتی هستش
ما باید تیم رو اماده کنیم ، وظیفه هر شخص توی تیم مشخص بشه ، چک لیست داشته باشیم ، از قبل مانور ها و تمرین هایی کرده باشه تیم،
و از همه مهم تر از قبل باید ابزار هامون اماده باشه
و یه نکته ما بلخره باید از یه جایی متوجه بشم که یه incident رخ داده ما باید تمام اون ابزار های ditection و نیرو( soc ) رو شبکمون داشته باشه تا به بهترین شکل یه رخداد امنیتی را تشخیص بدیم
2. شناسایی (Identification):
توی این مرحله ما اول باید برسی بکنیم اون گزارش false positive یا true positive که با بررسی لاگها، ترافیک شبکه، و سیستم آلوده برای تأیید حمله
و بعد از اون باید scoping تعیین دقیق محدودهی رخداد صورت بگیره مثال؛
چقدر حادثه بزرگ بوده تا کجا ها پیش رفته و الان درچه مرحله ای هست ( طبق فریم ورک mitr&Attacks ) و چه سیستم های infect شدن و کدوما نشدن کدوما اولیت پاسخ دهی بالایی دارن ، تخمین خسارت و.. که باعث جمع اوری data and evidence ها میشه که بهتر بشناسیم فعالیت ها و رفتار های مخرب رو
3. مهار (Containment):
قرنطینه کردن سیستم آلوده، قطع ارتباط با اینترنت یا DNS خارجی برای جلوگیری از نشت بیشتر دادهها ، درواقع ما توی این مرحله تاثیر حمله رو کم میکنیم تا باعث جلوگیری از پیشرفت هکر توی شبکه بشه
که به دوصورت
Short term ;
محار کوتاه مدت مثل قط ارتباط - مسدود کردن - محدود کردن - که توی کوتاه مدت جلوگیری کنیم از گسترش
Long term ;
محار بلند مدت مثل پچ کردن بازنگری و..
4. پاکسازی (Eradication):
حذف بدافزار، بستن آسیبپذیریها، و حذف مسیرهای ارتباطی مهاجم مثل دامنههای مخرب اگه یوزری ساخته پاک بشه اگه بکدوری هست از بین بره
درواقع remediation هدف بازیابی کامل سیستم و رفع ریشه ای اون حادثه و اسیب پذیری هستش
5. بازیابی (Recovery):
بازگرداندن سیستم به وضعیت پایدار، بررسی کامل برای اطمینان از حذف تهدید
نکته ؛ بکاپ بازگردانده شده برسی بشه که الوده نباشه
6. تحلیل نهایی (Lessons Learned):
مستندسازی حادثه، بررسی نقاط ضعف، و تقویت سیستمها برای جلوگیری از رخدادهای مشابه در آینده
ممنون میشم اگه موردی موندش داخل کامنت ها بهم بگین
چنل تلگرام؛
https://news.1rj.ru/str/ViperNull
🐍-سلامامروز قراره راجب ۶ تا مرحله و فرایندی که باید طی بشه تا به یه حادثه امنیتی پاسخ داده بشه صحبت بکنم.
خب اول از همه بهتره بدونیم که پاسخ به یه رخداد امنیتی یعنی چی؟
پاسخ به یه رخداد امنیتی یعنی مجموعه ای از فرایند ها و رویه ها که ما انجام میدیم تا باعث
Identification incident
containment incident
Eradication incident
Recovery
و درنهایت
Post-incident-analysis
اون حادثه امنیتی بشه .
برای مثال ؛
فرض کنید یه گزارشی از تیم نتورک دریافت کردید مبنی بر infect شدن یه سیستم توسط یه malwear یا تیم امنیتی تشخیص داده که dns tunneling صورت گرفته و درحال exfilter data هستش خب 🔥
وظیفه تیم incident respons اینه که به اون incident رخ داده پاسخ بده و دراین شرایط پاسخ به یه رخداد به شکل زیر ادامه پیدا میکنه؛
1.آمادگی ( preparation):
این مرحله قبل از وقوع یه رخداد امنیتی هستش
ما باید تیم رو اماده کنیم ، وظیفه هر شخص توی تیم مشخص بشه ، چک لیست داشته باشیم ، از قبل مانور ها و تمرین هایی کرده باشه تیم،
و از همه مهم تر از قبل باید ابزار هامون اماده باشه
و یه نکته ما بلخره باید از یه جایی متوجه بشم که یه incident رخ داده ما باید تمام اون ابزار های ditection و نیرو( soc ) رو شبکمون داشته باشه تا به بهترین شکل یه رخداد امنیتی را تشخیص بدیم
2. شناسایی (Identification):
توی این مرحله ما اول باید برسی بکنیم اون گزارش false positive یا true positive که با بررسی لاگها، ترافیک شبکه، و سیستم آلوده برای تأیید حمله
و بعد از اون باید scoping تعیین دقیق محدودهی رخداد صورت بگیره مثال؛
چقدر حادثه بزرگ بوده تا کجا ها پیش رفته و الان درچه مرحله ای هست ( طبق فریم ورک mitr&Attacks ) و چه سیستم های infect شدن و کدوما نشدن کدوما اولیت پاسخ دهی بالایی دارن ، تخمین خسارت و.. که باعث جمع اوری data and evidence ها میشه که بهتر بشناسیم فعالیت ها و رفتار های مخرب رو
3. مهار (Containment):
قرنطینه کردن سیستم آلوده، قطع ارتباط با اینترنت یا DNS خارجی برای جلوگیری از نشت بیشتر دادهها ، درواقع ما توی این مرحله تاثیر حمله رو کم میکنیم تا باعث جلوگیری از پیشرفت هکر توی شبکه بشه
که به دوصورت
Short term ;
محار کوتاه مدت مثل قط ارتباط - مسدود کردن - محدود کردن - که توی کوتاه مدت جلوگیری کنیم از گسترش
Long term ;
محار بلند مدت مثل پچ کردن بازنگری و..
4. پاکسازی (Eradication):
حذف بدافزار، بستن آسیبپذیریها، و حذف مسیرهای ارتباطی مهاجم مثل دامنههای مخرب اگه یوزری ساخته پاک بشه اگه بکدوری هست از بین بره
درواقع remediation هدف بازیابی کامل سیستم و رفع ریشه ای اون حادثه و اسیب پذیری هستش
5. بازیابی (Recovery):
بازگرداندن سیستم به وضعیت پایدار، بررسی کامل برای اطمینان از حذف تهدید
نکته ؛ بکاپ بازگردانده شده برسی بشه که الوده نباشه
6. تحلیل نهایی (Lessons Learned):
مستندسازی حادثه، بررسی نقاط ضعف، و تقویت سیستمها برای جلوگیری از رخدادهای مشابه در آینده
ممنون میشم اگه موردی موندش داخل کامنت ها بهم بگین
چنل تلگرام؛
https://news.1rj.ru/str/ViperNull
Telegram
ViperNułł
ViperNull | Exploring the world of network security. Dive into cybersecurity with in-depth content on penetration testing, defensive strategies, vulnerability analysis, and powerful security tools.
Pv ; @Cintaxed
Pv ; @Cintaxed
❤12👍1
https://www.bleepingcomputer.com/news/security/edrsilencer-red-team-tool-used-in-attacks-to-bypass-security/
https://github.com/netero1010/EDRSilencer
کاری ندارم که این ابزار هنوز کار میکنه یا نه، ولی بهنظرم ایدهش خیلی جالبه و ارزش خوندن داره
الهامگرفته از ابزار FIREBLOCK و طراحی شده برای از کار انداختن EDRها.
به این صورت که اول EDRهای نصبشده رو شناسایی میکنه
بعد از طریق Windows Filtering Platform (WFP) ترافیک خروجی اونها رو بلاک میکنه
که باعث میشن لاگها و گزارشهای امنیتی به سرور EDR نمیرسن و
برای حملات مثل lateral movement یا اجرای بدافزار، شناسایی مهاجم بهسختی انجام بشه.
یه نکته امنیتی مهم اینه که نبود پاسخ از سمت endpoint (یعنی قطع ارتباط با سرور EDR) خودش باید بهعنوان یه event هشداردهنده در نظر گرفته بشه و بررسی بشه.
➖➖➖➖➖
CHANNEL
GROUP
DISCORD
https://github.com/netero1010/EDRSilencer
کاری ندارم که این ابزار هنوز کار میکنه یا نه، ولی بهنظرم ایدهش خیلی جالبه و ارزش خوندن داره
الهامگرفته از ابزار FIREBLOCK و طراحی شده برای از کار انداختن EDRها.
به این صورت که اول EDRهای نصبشده رو شناسایی میکنه
بعد از طریق Windows Filtering Platform (WFP) ترافیک خروجی اونها رو بلاک میکنه
که باعث میشن لاگها و گزارشهای امنیتی به سرور EDR نمیرسن و
برای حملات مثل lateral movement یا اجرای بدافزار، شناسایی مهاجم بهسختی انجام بشه.
یه نکته امنیتی مهم اینه که نبود پاسخ از سمت endpoint (یعنی قطع ارتباط با سرور EDR) خودش باید بهعنوان یه event هشداردهنده در نظر گرفته بشه و بررسی بشه.
➖➖➖➖➖
CHANNEL
GROUP
DISCORD
BleepingComputer
EDRSilencer red team tool used in attacks to bypass security
A tool for red-team operations called EDRSilencer has been observed in malicious incidents attempting to identify security tools and mute their alerts to management consoles.
🔥10👍2❤1