🔍 درایورها بخشی جدایی‌ناپذیر از عملکرد رایانه هستند و آسیب‌پذیری آنها یا استفاده از درایورهای مخرب می‌توانند خطرات امنیتی قابل‌توجهی ایجاد کنند.

⭕️ نظارت بر درایورها به شما این امکان را می‌دهد که تهدیدات احتمالی را زود تشخیص داده و اقدامات سریعی برای رفع آسیب‌پذیری‌ها، حذف درایورهای مخرب، و به حداقل رساندن خطر سوءاستفاده را انجام دهید.

🔬 با استفاده از ابزارهای LolDriverScan یا loldrivers-client که با زبان گولنگ توسعه یافته‌اند، می‌توانید درایورهای آسیب‌پذیر را در سیستم خود کشف کنید.

این ابزارها لیست درایورهای مخرب را از loldrivers.io (https://www.loldrivers.io/) گرفته و سیستم را برای هر گونه درایور آسیب‌پذیر اسکن می‌کنند.

🔬 اسکنرها:

🔬 https://github.com/FourCoreLabs/loldriverscan

🔬 https://github.com/rtfmkiesel/loldrivers-client

💥 پروژه هش لیست درایورهای مخرب شناسایی شده:

🔗 https://www.loldrivers.io

🛠 سیگما رول جهت شناسایی هش درایورهای لود شده و ایجاد هشدار SOC:

🛠 https://github.com/magicsword-io/LOLDrivers/blob/main/detections/sigma/driver_load_win_vuln_drivers.yml

#driver #soc #monitoring
تیم سورین

👩🏼‍💻My Infosec Awesome

فهرستی از پیوندها، منابع و ابزارهای بسیار مفید در مورد موضوعات مرتبط با امنیت اطلاعات

🔗https://github.com/pe3zx/my-infosec-awesome

تیم سورین

#linux #tools

تیم سورین

🚨 Microsoft Patches 73 Flaws, Including 2 Zero-Days Under Attack 🚨

مایکروسافت وصله‌هایی را برای رفع 73 نقص امنیتی در مجموعه نرم‌افزاری خود به عنوان بخشی از به‌روزرسانی‌های Patch Tuesday برای فوریه منتشر کرده است. این وصله ها شامل اصلاحاتی برای دو آسیب پذیری Zero Day است که تحت بهره برداری فعال قرار گرفته اند. از 73 آسیب‌پذیری، 5 آسیب‌پذیری بحرانی، 65 آسیب‌پذیری مهم، و سه آسیب‌پذیری از نظر شدت متوسط رتبه‌بندی شده‌اند. همچنین دو آسیب‌پذیری Zero Day که هنوز تحت حمله فعال قرار دارند، CVE-2024-21351 و CVE-2024-21412 هستند.

🔗https://thehackernews.com/2024/02/microsoft-rolls-out-patches-for-73.html

تیم سورین

سه نوع add-ons برای Enterprise Security وجود دارد:
domain add-ons (DAs)،
supporting add-ons (SAs)
technology add-ons(TAs).

این تقسیم بندی یک قرارداد نام گذاری است، نه یک تمایز فنی دقیق.

یک . DAها معمولاً شامل داشبوردها و سایر نماها به همراه اشیاء جستجویی هستند که آنها را پر می کند.
دو . SA ها می توانند فایل های مختلفی داشته باشند اما معمولاً حاوی ورودی داده نیستند.
سه . TA ها اغلب حاوی ورودی های داده و همچنین فایل هایی هستند که به normalize و آماده سازی آن داده ها برای نمایش در Enterprise Security کمک می کنند.

🔗https://dev.splunk.com/enterprise/docs/devtools/enterprisesecurity/abouttheessolution/

تیم سورین
✉️@splunk_kb
#DA #TA #SA

🚨CVE-2024-21410: 0day in MS Exchange, 9.8 rating 🔥


آسیب پذیری CVE-2024-21410 یک آسیب پذیری critical است که سرور Microsoft Exchange را تحت تأثیر قرار می دهد.
این آسیب پذیری به مهاجم اجازه می‌دهد تا با انتقال هش‌های NTLM، که برای رمزهای عبور encrypted شده برای احراز هویت استفاده می‌شود، هویت هر کاربر را در سرور Exchange جعل کند که می تواند منجر به دسترسی غیرمجاز، سرقت داده یا privilege escalation شود.

برای سوء استفاده از این آسیب‌پذیری، مهاجم باید به هش‌های NTLM یک کاربر معتبر دسترسی داشته باشد که می‌توان آن را با روش‌های مختلفی مانند فیشینگ، اسنیفینگ شبکه یا credential dumping به دست آورد.

Search at Netlas.io:
👉🏻 Link: https://nt.ls/pR4S2
👉🏻 Dork: tag.name:"microsoft_exchange"

Vendor's advisory: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410

#cve #vulenrability
تیم سورین

👩🏼‍💻فرصت شغلی
ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
✅ شرایط احراز:
دارا بودن مدرک کارشناسی در رشته ­های مرتبط با فعالیت شرکت (فناوری اطلاعات)
توانایی برگزاری جلسات
تسلط بر مبانی فروش و مذاکره
توانایی انجام امور اداری، مذاکره تلفنی و مدیریت جلسه
تسلط به گزارش نویسی و نامه نگاری اداری
آشنایی با زبان انگلیسی
تسلط به ICDL
دارای روحیه پیگیری
توانایی یادگیری سریع مهارت های جدید
متعهد و دقیق
منظم و مسئولیت پذیر
ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
⭐️شرح وظایف:
شناسایی مشتریان بالقوه در بازار هدف
انجام ارتباطات و مذاکرات اولیه تلفنی
شرکت در جلسات حضوری و آنلاین
تسلط به مراحل صدور پیش فاکتور و فاکتور
تنظیم متن پیش قرارداد
تسلط بر امور استعلام و مناقصات
آشنایی با اتوماسیون های اداری
ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
🕔ساعت کار:
شنبه تا چهارشنبه از ساعت 08:30 الی 17:30
ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
🔗 ارسال رزومه ؛
📨 info@soorinsec.ir

تیم سورین

📚Hunting Threats Inside
Packet Captures
Muhammad Alharmeel

#Sans #Threats #Hunting
تیم سورین

🛑 CVE-2024-21413: Microsoft Outlook Information Disclosure Vulnerability (leak password hash) - Expect Script POC


این یک آسیب‌پذیری مهم در Microsoft Outlook است که به مهاجمان اجازه می‌دهد اطلاعات حساس**، مثل **رمزهای عبور هش شده را افشا کنند. این آسیب پذیری دارای امتیاز CVSS 9.8 است که نشان دهنده یک خطر شدید است.


◼️مهاجمان می توانند از این آسیب پذیری برای موارد زیر سوء استفاده کنند:

* رمزهای عبور هش شده** ذخیره شده در Outlook را سرقت کنید.
* به سایر اطلاعات حساس دسترسی پیدا کنید.
* بالقوه حملات بیشتری از جمله اجرای کد از راه دور را انجام دهید.

▫️**برای محافظت از خودت چه کاری میتوانی انجام دهی؟**

1️⃣به‌روزرسانی Microsoft Outlook : مایکروسافت یک به‌روزرسانی امنیتی برای رفع این آسیب‌پذیری در 14 فوریه 2024 منتشر کرد. مطمئن شوید که آخرین نسخه را نصب کرده اید.
2️⃣در رابطه با پیوندهای خارجی محتاط باشید : روی پیوندهای موجود در ایمیل های فرستنده ناشناس یا منابع مشکوک کلیک نکنید.
3️⃣احراز هویت چند عاملی را فعال کنید: این یک لایه امنیتی اضافی به حساب Outlook شما اضافه می کند.

منابع :‌‌‌

🔗پایگاه ملی آسیب پذیری

🔱 https://github.com/duy-31/CVE-2024-21413

🔱 https://github.com/xaitax/CVE-2024-21413-Microsoft-Outlook-Remote-Code-Execution-Vulnerability

🔰 https://github.com/Neo23x0/signature-base/blob/master/yara/expl_outlook_cve_2024_21413.yar

تیم سورین

📕 ZTE F660 Routers Authentication Bypass Leading to RCE.

این آسیب‌پذیری امکان دور زدن احراز هویت را فراهم می‌کند که منجر به اجرای کد از راه دور (RCE) در دستگاه‌های تولید شده بین سال‌های 2008 و 2013 می‌شود.

🔗 https://github.com/MaherAzzouzi/ZTE-F660-Exploit
📎 https://www.broadcom.com/support/security-center/attacksignatures/detail?asid=31294


تیم سورین

📚Serious Vulnerability in the Internet Infrastructure Fundamental design flaw in DNSSEC discovered

این مقاله در مورد یک آسیب پذیری حیاتی در DNSSEC به نام KeyTrap است.
این مقاله در مورد این موضوع بحث می‌کند که چگونه مهاجمان می‌توانند از این آسیب‌پذیری برای متوقف کردن سرورهای DNS سوء استفاده کنند که می تواند بسیاری از برنامه های اینترنتی، از جمله مرور وب و ایمیل را غیرفعال کند. این آسیب‌پذیری 24 سال است که وجود دارد، اما اخیراً توسط محققان ATHENE کشف شده است. محققان در حال کار با فروشندگان برای اصلاح این آسیب‌پذیری هستند، اما برای رفع کامل این آسیب‌پذیری نیاز به تغییراتی در استانداردهای DNSSEC است.

🔗https://www.athene-center.de/en/news/press/key-trap

#DNS #DNSSEC
تیم سورین

🕵🏻‍♀️👩🏼‍💻Powershell Digital Forensics & Incident Response (DFIR)

این مخزن حاوی چندین اسکریپت PowerShell است که می تواند به شما در پاسخ به حملات سایبری در دستگاه های ویندوز کمک کند.

🔗 https://github.com/Bert-JanP/Incident-Response-Powershell

#powershell #IR
تیم سورین

Auth Bypass in ConnectWise ScreenConnect, 10.0 rating 🔥🔥🔥

The vulnerability allows an attacker to perform RCE or edit sensitive data.

مقاله ConnectWise به جزئیات یک اصلاح امنیتی منتشر شده برای ScreenConnect نسخه 23.9.8 می پردازد و به دو آسیب پذیری حیاتی می پردازد. این آسیب‌پذیری‌ها در 13 فوریه 2024 گزارش شده‌اند و شامل دور زدن احراز هویت با استفاده از مسیرها یا کانال‌های جایگزین (CVE-288) و محدودیت نامناسب یک مسیر به یک فهرست محدود ("پیمایش مسیر") (CVE-22) است. هر دو موضوع به ترتیب دارای امتیازهای پایه 10 و 8.4 هستند که نشان دهنده سطوح شدت بالا است.

Search at Netlas.io:
👉🏻 Link: https://nt.ls/Vbu6L
👉🏻 Dork: http.headers.server:"ScreenConnect"

Vendor's advisory: https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8

تیم سورین

📚👩🏼‍💻#DFIR Regular Expressions

List of #regex for searching and extracting:

- ip adresses
- nicknames
- passwords
- phone numbers
- emails
- filenames
- URLs

and more.

https://github.com/joshbrunty/DFIR-Regular-Expressions

تیم سورین

👩🏼‍💻hollows_hunter

Scans all running processes. Recognizes and dumps a variety of potentially malicious implants (replaced/implanted PEs, shellcodes, hooks, in-memory patches).

تمام فرآیندهای در حال اجرا را اسکن می کند.

https://github.com/hasherezade/hollows_hunter/

#windows #process #forensics
تیم سورین

🚨 Attention VMware users!

New flaws identified (CVE-2024-22245 & CVE-2024-22250) in the EAP plugin. Attackers could exploit them to hijack Active Directory accounts and privileged EAP sessions.

UNINSTALL it immediately.

شرکت VMware هشداری صادر کرده است که به کاربران توصیه می کند پلاگین تأیید اعتبار پیشرفته (EAP) منسوخ شده را به دلیل نقص امنیتی مهم CVE-2024-22245 با امتیاز CVSS 9.6 حذف کنند. این آسیب‌پذیری مهاجمان را قادر می‌سازد تا کاربران را با EAP نصب شده در مرورگرهایشان فریب دهند تا بلیط‌های سرویس را برای نام‌های اصلی سرویس دایرکتوری فعال (SPN) دلخواه درخواست کنند و ارسال کنند. علاوه بر این، یک آسیب‌پذیری دیگر، CVE-2024-22250، با امتیاز CVSS 7.8، به یک عامل مخرب با دسترسی محلی غیرمجاز به یک سیستم‌عامل ویندوز اجازه می‌دهد تا یک سشن EAP ممتاز را ربوده باشد. کاربرانی که تحت تأثیر این وضعیت قرار می گیرند شامل کسانی هستند که EAP را به سیستم های Microsoft Windows اضافه کرده اند تا از طریق vSphere Client به VMware vSphere متصل شوند. برای مقابله با خطرات ناشی از این آسیب‌پذیری‌ها، VMware برنامه‌ای برای رفع آن‌ها ندارد، بلکه کاربران را تشویق می‌کند تا پلاگین را به طور کامل حذف کنند.

Learn more: https://thehackernews.com/2024/02/vmware-alert-uninstall-eap-now-critical.html

#vmware
تیم سورین

🕵🏻‍♀️☠️ SEMA ☠️ - ToolChain using Symbolic Execution for Malware Analysis.

📎 https://github.com/csvl/SEMA-ToolChain

#malware
تیم سورین

👩🏼‍💻📚به اشتراک گذاری اطلاعات محل کار و مدارک برای متخصصان امنیت سایبری یک خطر بالقوه

مطالعه در لینکدین
مطالعه در ویرگول
#limkdin #Social_engineering
تیم سورین