Media is too big
VIEW IN TELEGRAM
تجزیه و تحلیل بدافزار مبتدی: Ransomware Babuk با IDA Pro (جریان - 13/05/2025)
@PfkSecurity
@PfkSecurity
📶 هانی پات SSH.
• نویسنده این مطلب به مدت ۳۰ روز آمارهای جمعآوری شده از هانی پات SSH خود را بررسی کرده است. موضوع ممکن است تکراری باشد، اما خواندن آن مفید است. علاقه ویژهای به دستورات اجرا شده توسط رباتها پس از ورود وجود دارد. مقاله اینجا است: https://blog.sofiane.cc/ssh_honeypot/
• همچنین، یک راهنمای گام به گام برای تنظیم چنین هانی پات SSH وجود دارد. این برای زمانی است که بخواهید تحقیق را تکرار کرده و تجربهای کسب کنید: https://blog.sofiane.cc/setup_ssh_honeypot/
#SSH #Honeypot
@PfkSecurity
• نویسنده این مطلب به مدت ۳۰ روز آمارهای جمعآوری شده از هانی پات SSH خود را بررسی کرده است. موضوع ممکن است تکراری باشد، اما خواندن آن مفید است. علاقه ویژهای به دستورات اجرا شده توسط رباتها پس از ورود وجود دارد. مقاله اینجا است: https://blog.sofiane.cc/ssh_honeypot/
• همچنین، یک راهنمای گام به گام برای تنظیم چنین هانی پات SSH وجود دارد. این برای زمانی است که بخواهید تحقیق را تکرار کرده و تجربهای کسب کنید: https://blog.sofiane.cc/setup_ssh_honeypot/
#SSH #Honeypot
@PfkSecurity
Sofiane's Blog
SSH Honeypot Insights: 11,599 Login Attempts Recorded on Ubuntu
Discover what 11,599 SSH login attempts reveal after running a honeypot for 30 days. Learn key cybersecurity insights—read now to protect your systems!
https://github.com/xigney/CVE-2025-24054_PoC
PoC - CVE-2025-24071 / CVE-2025-24054،
یک آسیبپذیری که از طریق اون میشه هشهای NTLMv2 رو به دست آورد.
این ریپو در گیتهاب PoC (کد اثبات مفهومی) آسیبپذیریهای CVE-2025-24071 و CVE-2025-24054 هست که از طریقش میشه هشهای NTLMv2 رو بهدست آورد.
به طور خلاصه، این باگها به هکر اجازه میدن با کنترل مسیر یا نام فایل (مثلاً داخل یک آرشیو فشرده یا فایل خاص)، باعث بشه ویندوز خودکار تلاش کنه به یک سرور SMB مخرب وصل بشه و در همین فرایند، هش NTLM کاربر قربانی لو بره.
حمله معمولاً با یک فایل مخرب داخل ZIP/RAR یا ارسال لینک فیشینگ شروع میشه؛ به محض اینکه قربانی فایل یا فولدر رو باز یا حتی روش کلیک کنه، سیستمش تلاش میکنه SMB authentication ایجاد کنه و هش به سمت سرور هکر ارسال میشه، که بعداً قابل brute force یا relay به سرویسهای دیگه هست.
این آسیبپذیریها مخصوصاً خطرناکن چون بدون نیاز به باز کردن مستقیم فایل اجرایی، فقط با تعامل ساده هشها لو میرن و حملات موفقیتآمیزش هم تو کمپینهای واقعی علیه سازمانها دیده شده.
نکته: این باگ فعالاً اکسپلویت میشه، هشدار داده شده که باید فوراً وصله و آپدیت امنیتی مایکروسافت رو نصب کنی، مخصوصاً روی ویندوز ۱۰ و ۱۱.
@PfkSecurity
PoC - CVE-2025-24071 / CVE-2025-24054،
یک آسیبپذیری که از طریق اون میشه هشهای NTLMv2 رو به دست آورد.
این ریپو در گیتهاب PoC (کد اثبات مفهومی) آسیبپذیریهای CVE-2025-24071 و CVE-2025-24054 هست که از طریقش میشه هشهای NTLMv2 رو بهدست آورد.
به طور خلاصه، این باگها به هکر اجازه میدن با کنترل مسیر یا نام فایل (مثلاً داخل یک آرشیو فشرده یا فایل خاص)، باعث بشه ویندوز خودکار تلاش کنه به یک سرور SMB مخرب وصل بشه و در همین فرایند، هش NTLM کاربر قربانی لو بره.
حمله معمولاً با یک فایل مخرب داخل ZIP/RAR یا ارسال لینک فیشینگ شروع میشه؛ به محض اینکه قربانی فایل یا فولدر رو باز یا حتی روش کلیک کنه، سیستمش تلاش میکنه SMB authentication ایجاد کنه و هش به سمت سرور هکر ارسال میشه، که بعداً قابل brute force یا relay به سرویسهای دیگه هست.
این آسیبپذیریها مخصوصاً خطرناکن چون بدون نیاز به باز کردن مستقیم فایل اجرایی، فقط با تعامل ساده هشها لو میرن و حملات موفقیتآمیزش هم تو کمپینهای واقعی علیه سازمانها دیده شده.
نکته: این باگ فعالاً اکسپلویت میشه، هشدار داده شده که باید فوراً وصله و آپدیت امنیتی مایکروسافت رو نصب کنی، مخصوصاً روی ویندوز ۱۰ و ۱۱.
@PfkSecurity
GitHub
GitHub - basekilll/CVE-2025-24054_PoC: PoC - CVE-2025-24071 / CVE-2025-24054, NTMLv2 hash'leri alınabilen bir vulnerability
PoC - CVE-2025-24071 / CVE-2025-24054, NTMLv2 hash'leri alınabilen bir vulnerability - basekilll/CVE-2025-24054_PoC
🛠️ ۴ بردار حمله جدید به برنامههای وب: یادداشتی برای هکرهای اخلاقی
یکی از راههای افزایش شانس موفقیت در پیدا کردن باگها، جستجوی بردارهای حمله جدید است که ممکن است توسط دیگر باگ هانترها نادیده گرفته شوند. در راهنمای جدید Intigriti با موارد زیر آشنا خواهید شد:
☑️ LLM prompt injection
☑️ Prototype pollution
☑️ Client-side path traversals
☑️ Dependency confusion
https://blog.intigriti.com/hacking-tools/top-4-new-attack-vectors-in-web-application-targets
#bugbounty #recon
@PfkSecurity
یکی از راههای افزایش شانس موفقیت در پیدا کردن باگها، جستجوی بردارهای حمله جدید است که ممکن است توسط دیگر باگ هانترها نادیده گرفته شوند. در راهنمای جدید Intigriti با موارد زیر آشنا خواهید شد:
☑️ LLM prompt injection
☑️ Prototype pollution
☑️ Client-side path traversals
☑️ Dependency confusion
https://blog.intigriti.com/hacking-tools/top-4-new-attack-vectors-in-web-application-targets
#bugbounty #recon
@PfkSecurity
PoC بهرهبرداری برای CVE-2025-7766 – آسیبپذیری XXE که منجر به احتمال اجرای کد از راه دور (RCE) میشود.
https://github.com/byteReaper77/CVE-2025-7766
@PfkSecurity
https://github.com/byteReaper77/CVE-2025-7766
@PfkSecurity
GitHub
GitHub - byteReaper77/CVE-2025-7766: PoC exploit for CVE-2025-7766 – XXE vulnerability leading to potential RCE.
PoC exploit for CVE-2025-7766 – XXE vulnerability leading to potential RCE. - byteReaper77/CVE-2025-7766
عملیات DRAGONCLONE: صنعت مخابرات چین هدف قرار گرفت از طریق بدافزارهای VELETRIX و VShell.
https://www.seqrite.com/blog/operation-dragonclone-chinese-telecom-veletrix-vshell-malware/
@PfkSecurity
https://www.seqrite.com/blog/operation-dragonclone-chinese-telecom-veletrix-vshell-malware/
@PfkSecurity
Blogs on Information Technology, Network & Cybersecurity | Seqrite
Operation DRAGONCLONE: Chinese Telecommunication industry targeted via VELETRIX & VShell malware
<p>Contents Introduction Initial Findings Infection Chain. Technical Analysis Stage 0 – Malicious ZIP File. Stage 1 – Malicious VELETRIX implant. Stage 2 – Malicious V-Shell implant. Hunting and Infrastructure. Attribution Conclusion Seqrite Protection. IOCs…
https://github.com/synacktiv/windows_kernel_shadow_stack
این پروژه قصد داره برخی جنبههای مکانیزم محافظتی Shadow Stack که مایکروسافت توی ویندوز ۱۱ پیادهسازی کرده رو برجسته کنه.
این کد مخصوص ویندوز ۱۱ ورژن 24H2 نوشته شده و شاید روی نسخههای دیگه ویندوز ۱۱ به خاطر تفاوت در آفستهای کرنل کار نکنه.
پروژه دو بخش داره: یکی کلاینت و یکی درایور. ارتباط بین این دو از طریق مکانیزم IOCTL انجام میشه و کلاینت از درایور درخواست میکنه که یه سری کارها رو توی سطح کرنل انجام بده.
@PfkSecurity
این پروژه قصد داره برخی جنبههای مکانیزم محافظتی Shadow Stack که مایکروسافت توی ویندوز ۱۱ پیادهسازی کرده رو برجسته کنه.
این کد مخصوص ویندوز ۱۱ ورژن 24H2 نوشته شده و شاید روی نسخههای دیگه ویندوز ۱۱ به خاطر تفاوت در آفستهای کرنل کار نکنه.
پروژه دو بخش داره: یکی کلاینت و یکی درایور. ارتباط بین این دو از طریق مکانیزم IOCTL انجام میشه و کلاینت از درایور درخواست میکنه که یه سری کارها رو توی سطح کرنل انجام بده.
@PfkSecurity
GitHub
GitHub - synacktiv/windows_kernel_shadow_stack: Proof of concepts demonstrating some aspects of the Windows kernel shadow stack…
Proof of concepts demonstrating some aspects of the Windows kernel shadow stack mitigation. - synacktiv/windows_kernel_shadow_stack
https://github.com/joesecurity/joesandboxMCP
یک سرور "Model Context Protocol (MCP)" امکان ارتباط با Joe Sandbox Cloud رو فراهم میکنه تا بتونی از قابلیتهای پیشرفته آنالیز بدافزار و استخراج IoC استفاده کنی.
این سرور بهراحتی با هر اپلیکیشن سازگار با MCP (مثل Claude Desktop، Glama یا عاملهای LLM سفارشی) یکپارچه میشه و امکانات آنالیز و دریافت نشانههای تهدید (IoC) جو سندباکس رو در اختیار میذاره.
@PfkSecurity
یک سرور "Model Context Protocol (MCP)" امکان ارتباط با Joe Sandbox Cloud رو فراهم میکنه تا بتونی از قابلیتهای پیشرفته آنالیز بدافزار و استخراج IoC استفاده کنی.
این سرور بهراحتی با هر اپلیکیشن سازگار با MCP (مثل Claude Desktop، Glama یا عاملهای LLM سفارشی) یکپارچه میشه و امکانات آنالیز و دریافت نشانههای تهدید (IoC) جو سندباکس رو در اختیار میذاره.
@PfkSecurity
GitHub
GitHub - joesecurity/joesandboxMCP: MCP for Joe Sandbox Cloud
MCP for Joe Sandbox Cloud. Contribute to joesecurity/joesandboxMCP development by creating an account on GitHub.
https://u1f383.github.io/linux/2025/06/26/the-journey-of-bypassing-ubuntus-unprivileged-namespace-restriction.html
اخیراً اوبونتو مکانیزمهای سندباکس جدیدی معرفی کرد تا سطح حمله رو کاهش بده و در نگاه اول به نظر میرسید این محافظتها غیرقابل نفوذ هستند. اما بعد از تحقیق عمیق، متوجه شدیم که در پیادهسازیشون مشکلاتی وجود داره و دور زدنشون به اون سختی که فکر میکردیم نیست.
توی این پست توضیح میدیم که چطور تحقیق خودمون رو از سطح کرنل شروع کردیم و روش دور زدن این مکانیزم رو پیدا کردیم. همچنین، چند داستان جالب از روند کارمون رو هم به اشتراک میذاریم...
@PfkSecurity
اخیراً اوبونتو مکانیزمهای سندباکس جدیدی معرفی کرد تا سطح حمله رو کاهش بده و در نگاه اول به نظر میرسید این محافظتها غیرقابل نفوذ هستند. اما بعد از تحقیق عمیق، متوجه شدیم که در پیادهسازیشون مشکلاتی وجود داره و دور زدنشون به اون سختی که فکر میکردیم نیست.
توی این پست توضیح میدیم که چطور تحقیق خودمون رو از سطح کرنل شروع کردیم و روش دور زدن این مکانیزم رو پیدا کردیم. همچنین، چند داستان جالب از روند کارمون رو هم به اشتراک میذاریم...
@PfkSecurity
دیباگرها ۱۱۰۳: مقدمهای بر باینری نینجا
https://p.ost2.fyi/courses/course-v1:OpenSecurityTraining2+Dbg1103_Intro_Binja+2025_v1/about
@PfkSecurity
https://p.ost2.fyi/courses/course-v1:OpenSecurityTraining2+Dbg1103_Intro_Binja+2025_v1/about
@PfkSecurity
p.ost2.fyi
Debuggers 1103: Introductory Binary Ninja
This course teaches you how to use the Binary Ninja debugger well enough to use it in classes that depend on it.
چین زیرساختهای ارتباطات کشور خودش را هدف قرار داده است.
(میگویند اینها تمرینات نظامی بوده است)
لینک تحلیل فنی حملهکنندگان به زنجیره تأمین مخابرات چین و جایگاه زیرساختهای استراتژیک
@PfkSecurity
(میگویند اینها تمرینات نظامی بوده است)
لینک تحلیل فنی حملهکنندگان به زنجیره تأمین مخابرات چین و جایگاه زیرساختهای استراتژیک
@PfkSecurity