آسیب پذیری CVE-2024-26198 به آسیبپذیری Remote Code Execution در Microsoft Exchange Server اشاره دارد.
که در 12 مارس 2024 منتشر شد و دارای درجه شدت 8.8 (HIGH) است. این آسیبپذیری به مهاجم اجازه میدهد تا با ارسال یک درخواست طراحیشده خاص، کد دلخواه را روی یک سیستم آسیبدیده اجرا کند. حمله به تعامل کاربر نیاز دارد زیرا مهاجم باید کاربر را متقاعد کند که یک فایل مخرب را باز کند.
نسخه های آسیب دیده عبارتند از:
- Exchange Server 2019 CU13 و CU14
- Exchange Server 2016 CU23
مایکروسافت توصیه میکند فوراً بهروزرسانیهای امنیتی مارس 2024 را برای محافظت در برابر این آسیبپذیری نصب کنید.
اطلاعات تکمیلی در مورد این آسیب پذیری :
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26198
دریافت بروزرسانی ها از طریق سایت رسمی مایکروسافت :
https://learn.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates
تیم سورین
که در 12 مارس 2024 منتشر شد و دارای درجه شدت 8.8 (HIGH) است. این آسیبپذیری به مهاجم اجازه میدهد تا با ارسال یک درخواست طراحیشده خاص، کد دلخواه را روی یک سیستم آسیبدیده اجرا کند. حمله به تعامل کاربر نیاز دارد زیرا مهاجم باید کاربر را متقاعد کند که یک فایل مخرب را باز کند.
نسخه های آسیب دیده عبارتند از:
- Exchange Server 2019 CU13 و CU14
- Exchange Server 2016 CU23
مایکروسافت توصیه میکند فوراً بهروزرسانیهای امنیتی مارس 2024 را برای محافظت در برابر این آسیبپذیری نصب کنید.
اطلاعات تکمیلی در مورد این آسیب پذیری :
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26198
دریافت بروزرسانی ها از طریق سایت رسمی مایکروسافت :
https://learn.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates
تیم سورین
Docs
Exchange Server build numbers and release dates
Summary: Learn about build numbers and release dates for current and past versions of Exchange Server.
👍2🔥2❤1👌1
APSB24-05, APSB24-14: Multiple vulns in Adobe products, critical rating 🔥
Two vulnerabilities from the new Adobe security bulletin, the exploitation of which will allow an attacker to achieve arbitrary file system read, code execution, and security feature bypass.
شناسههای APSB24-05 و APSB24-14 به بولتنهای امنیتی منتشر شده توسط Adobe برای رسیدگی به آسیبپذیریهای محصولاتشان اشاره دارند.
شناسه APSB24-05 مربوط به Adobe Experience Manager (AEM) است. بولتن مورخ 12 مارس 2024، جزئیات بروز رسانی هایی را ارائه می دهد که آسیب پذیری های مهم و متوسط را در AEM برطرف می کند. این آسیبپذیریها، در صورت سوء استفاده، میتوانند منجر به اجرای کد دلخواه و دور زدن ویژگی امنیتی شوند. این بولتن بر اهمیت بروزرسانی به آخرین نسخه برای کاهش این خطرات تأکید میکند.
شناسه APSB24-14 مربوط به Adobe ColdFusion نسخه های 2023 و 2021 است. این بولتن که در همان تاریخ منتشر شد، به یک آسیب پذیری حیاتی می پردازد که به طور بالقوه به مهاجم اجازه می دهد فایل های دلخواه را در سیستم فایل سیستم بخواند. Adobe برای محافظت در برابر این آسیبپذیری، بروزرسانی به آخرین نسخه ColdFusion را توصیه میکند.
Search at Netlas.io:
👉🏻 Link: https://nt.ls/EEZn7
👉🏻 Dork: tag.name:"adobe_experience_manager" OR tag.name:"adobe_coldfusion"
Vendor's advisory: https://helpx.adobe.com/security/security-bulletin.html
تیم سورین
Two vulnerabilities from the new Adobe security bulletin, the exploitation of which will allow an attacker to achieve arbitrary file system read, code execution, and security feature bypass.
شناسههای APSB24-05 و APSB24-14 به بولتنهای امنیتی منتشر شده توسط Adobe برای رسیدگی به آسیبپذیریهای محصولاتشان اشاره دارند.
شناسه APSB24-05 مربوط به Adobe Experience Manager (AEM) است. بولتن مورخ 12 مارس 2024، جزئیات بروز رسانی هایی را ارائه می دهد که آسیب پذیری های مهم و متوسط را در AEM برطرف می کند. این آسیبپذیریها، در صورت سوء استفاده، میتوانند منجر به اجرای کد دلخواه و دور زدن ویژگی امنیتی شوند. این بولتن بر اهمیت بروزرسانی به آخرین نسخه برای کاهش این خطرات تأکید میکند.
شناسه APSB24-14 مربوط به Adobe ColdFusion نسخه های 2023 و 2021 است. این بولتن که در همان تاریخ منتشر شد، به یک آسیب پذیری حیاتی می پردازد که به طور بالقوه به مهاجم اجازه می دهد فایل های دلخواه را در سیستم فایل سیستم بخواند. Adobe برای محافظت در برابر این آسیبپذیری، بروزرسانی به آخرین نسخه ColdFusion را توصیه میکند.
Search at Netlas.io:
👉🏻 Link: https://nt.ls/EEZn7
👉🏻 Dork: tag.name:"adobe_experience_manager" OR tag.name:"adobe_coldfusion"
Vendor's advisory: https://helpx.adobe.com/security/security-bulletin.html
تیم سورین
app.netlas.io
Discover, Research and Monitor any Assets Available Online
Internet intelligence apps that provide accurate technical information on IP addresses, domain names, websites, web applications, IoT devices, and other online assets.
👍1
2024ThreatDetectionReport_RedCanary.pdf
14.3 MB
Welcome to the 2024 Threat Detection Report
This in-depth look at the most prevalent trends, threats, and ATT&CK® techniques is designed to help you and your team focus on what matters most.
تیم سورین
This in-depth look at the most prevalent trends, threats, and ATT&CK® techniques is designed to help you and your team focus on what matters most.
تیم سورین
👍1
🚨FortiOS & FortiProxy – Authorization bypass in SSLVPN bookmarks
یک آسیبپذیری با شدت بالا است که FortiOS و FortiProxy SSLVPN نسخههای 6.4.7 تا 6.4.14، 7.0.0 تا 7.0.14، 7.2.0 تا 7.2.8 و 7.4 را تحت تأثیر قرار میدهد. .
تأثیر: یک مهاجم احراز هویت شده به طور بالقوه می تواند از طریق دستکاری URL ها به نشانک های کاربر دیگر دسترسی داشته باشد.
فورتی نت وصله هایی را برای رفع این آسیب پذیری منتشر کرده است. در اینجا کاری است که می توانید انجام دهید:
یک. FortiOS را به نسخه 7.4.2 یا بالاتر، 7.2.7 یا بالاتر، 7.0.14 یا بالاتر، یا 6.4.15 یا بالاتر ارتقا دهید.
دو . FortiProxy را به نسخه 7.4.3 یا بالاتر، 7.2.9 یا بالاتر، یا 7.0.15 یا بالاتر ارتقا دهید.
* به عنوان یک راه حل موقت، می توانید حالت وب SSL VPN را غیرفعال کنید.*
🔗https://www.fortiguard.com/psirt/FG-IR-24-013
🔗https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-23112
#CVE #vulenrability
تیم سورین
یک آسیبپذیری با شدت بالا است که FortiOS و FortiProxy SSLVPN نسخههای 6.4.7 تا 6.4.14، 7.0.0 تا 7.0.14، 7.2.0 تا 7.2.8 و 7.4 را تحت تأثیر قرار میدهد. .
تأثیر: یک مهاجم احراز هویت شده به طور بالقوه می تواند از طریق دستکاری URL ها به نشانک های کاربر دیگر دسترسی داشته باشد.
فورتی نت وصله هایی را برای رفع این آسیب پذیری منتشر کرده است. در اینجا کاری است که می توانید انجام دهید:
یک. FortiOS را به نسخه 7.4.2 یا بالاتر، 7.2.7 یا بالاتر، 7.0.14 یا بالاتر، یا 6.4.15 یا بالاتر ارتقا دهید.
دو . FortiProxy را به نسخه 7.4.3 یا بالاتر، 7.2.9 یا بالاتر، یا 7.0.15 یا بالاتر ارتقا دهید.
* به عنوان یک راه حل موقت، می توانید حالت وب SSL VPN را غیرفعال کنید.*
🔗https://www.fortiguard.com/psirt/FG-IR-24-013
🔗https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-23112
#CVE #vulenrability
تیم سورین
FortiGuard Labs
PSIRT | FortiGuard Labs
None
👩🏼💻some Resources for windows kernel programming:
🔗https://github.com/FULLSHADE/WindowsExploitationResources
- Windows system programming Security
- Windows kernel programming fundamentals
- Windows exploitation
- Live 🔻 Modern Windows kernel exploitation
Article important for windows kernel programming and exploitation.
🕵🏻♀️Windows Exploitation Links
https://github.com/r3p3r/nixawk-awesome-windows-exploitation
https://github.com/connormcgarr/Exploit-Development
https://github.com/connormcgarr/Kernel-Exploits
https://github.com/ElliotAlderson51/Exploit-Writeups
https://github.com/rhamaa/Binary-exploit-writeups#windows_stack_overflows
https://github.com/wtsxDev/Exploit-Development
https://www.corelan.be
https://malwareunicorn.org/#/workshops
Windows Stack Protection I: Assembly Code
http://www.bowneconsultingcontent.com//pub/EH/proj/cloud/ED301c_tkp/ED301c_tkp.htm
Windows Stack Protection II: Exploit Without ASLR
http://www.bowneconsultingcontent.com//pub/EH/proj/cloud/ED302c_tkp/ED302c_tkp.htm
Windows Stack Protection III: Limitations of ASLR
http://www.bowneconsultingcontent.com//pub/EH/proj/cloud/ED303c_tkp/ED303c_tkp.htm
Exploit Development
Ch 6: The Wild World of Windows
https://samsclass.info/127/lec/EDch6.pdf
SEH-Based Stack Overflow Exploit
https://samsclass.info/127/proj/ED319.htm
Exploiting Easy RM to MP3 Converter on Windows with ASLR
https://samsclass.info/127/proj/ED318.htm
Bypassing Browser Memory Protections
https://www.blackhat.com/presentations/bh-usa-08/Sotirov_Dowd/bh08-sotirov-dowd.pdf
The Basics of Exploit Development 1: Win32 Buffer Overflows
https://www.coalfire.com/the-coalfire-blog/the-basics-of-exploit-development
The Basics of Exploit Development 2: SEH Overflows
https://www.coalfire.com/the-coalfire-blog/the-basics-of-exploit-development-2-seh-overflows
The Basics of Exploit Development 3: Egg Hunters
https://www.coalfire.com/the-coalfire-blog/the-basics-of-exploit-development-3-egg-hunters
The Basics of Exploit Development 4: Unicode Overflows
https://www.coalfire.com/the-coalfire-blog/the-basics-of-exploit-development-4-unicode-overfl
The Basics of Exploit Development 5: x86-64 Buffer Overflows
https://www.coalfire.com/the-coalfire-blog/the-basics-of-exploit-development-5-x86-64-buffer
🕵🏻♂️Resources for Exploit development:-
- roadmap for exploit development
- roadmap for exploit development 2
Resources....
https://github.com/0xZ0F/Z0FCourse_ReverseEngineering
https://crackmes.one
https://www.youtube.com/@pwncollege/videos
https://repo.zenk-security.com/Magazine%20E-book/Hacking-%20The%20Art%20of%20Exploitation%20(2nd%20ed.%202008)%20-%20Erickson.pdf
http://www.phrack.org/issues/49/14.html#article
https://github.com/justinsteven/dostackbufferoverflowgood
https://github.com/FabioBaroni/awesome-exploit-development
https://github.com/CyberSecurityUP/Awesome-Exploit-Development
https://github.com/RPISEC/MBE
https://github.com/hoppersroppers/nightmare
https://github.com/shellphish/how2heap
https://www.youtube.com/watch?v=tMN5N5oid2c
https://dayzerosec.com/blog/2021/02/02/getting-started.html
https://github.com/Tzaoh/pwning
#windows #kernel
تیم سورین
🔗https://github.com/FULLSHADE/WindowsExploitationResources
- Windows system programming Security
- Windows kernel programming fundamentals
- Windows exploitation
- Live 🔻 Modern Windows kernel exploitation
Article important for windows kernel programming and exploitation.
🕵🏻♀️Windows Exploitation Links
https://github.com/r3p3r/nixawk-awesome-windows-exploitation
https://github.com/connormcgarr/Exploit-Development
https://github.com/connormcgarr/Kernel-Exploits
https://github.com/ElliotAlderson51/Exploit-Writeups
https://github.com/rhamaa/Binary-exploit-writeups#windows_stack_overflows
https://github.com/wtsxDev/Exploit-Development
https://www.corelan.be
https://malwareunicorn.org/#/workshops
Windows Stack Protection I: Assembly Code
http://www.bowneconsultingcontent.com//pub/EH/proj/cloud/ED301c_tkp/ED301c_tkp.htm
Windows Stack Protection II: Exploit Without ASLR
http://www.bowneconsultingcontent.com//pub/EH/proj/cloud/ED302c_tkp/ED302c_tkp.htm
Windows Stack Protection III: Limitations of ASLR
http://www.bowneconsultingcontent.com//pub/EH/proj/cloud/ED303c_tkp/ED303c_tkp.htm
Exploit Development
Ch 6: The Wild World of Windows
https://samsclass.info/127/lec/EDch6.pdf
SEH-Based Stack Overflow Exploit
https://samsclass.info/127/proj/ED319.htm
Exploiting Easy RM to MP3 Converter on Windows with ASLR
https://samsclass.info/127/proj/ED318.htm
Bypassing Browser Memory Protections
https://www.blackhat.com/presentations/bh-usa-08/Sotirov_Dowd/bh08-sotirov-dowd.pdf
The Basics of Exploit Development 1: Win32 Buffer Overflows
https://www.coalfire.com/the-coalfire-blog/the-basics-of-exploit-development
The Basics of Exploit Development 2: SEH Overflows
https://www.coalfire.com/the-coalfire-blog/the-basics-of-exploit-development-2-seh-overflows
The Basics of Exploit Development 3: Egg Hunters
https://www.coalfire.com/the-coalfire-blog/the-basics-of-exploit-development-3-egg-hunters
The Basics of Exploit Development 4: Unicode Overflows
https://www.coalfire.com/the-coalfire-blog/the-basics-of-exploit-development-4-unicode-overfl
The Basics of Exploit Development 5: x86-64 Buffer Overflows
https://www.coalfire.com/the-coalfire-blog/the-basics-of-exploit-development-5-x86-64-buffer
🕵🏻♂️Resources for Exploit development:-
- roadmap for exploit development
- roadmap for exploit development 2
Resources....
https://github.com/0xZ0F/Z0FCourse_ReverseEngineering
https://crackmes.one
https://www.youtube.com/@pwncollege/videos
https://repo.zenk-security.com/Magazine%20E-book/Hacking-%20The%20Art%20of%20Exploitation%20(2nd%20ed.%202008)%20-%20Erickson.pdf
http://www.phrack.org/issues/49/14.html#article
https://github.com/justinsteven/dostackbufferoverflowgood
https://github.com/FabioBaroni/awesome-exploit-development
https://github.com/CyberSecurityUP/Awesome-Exploit-Development
https://github.com/RPISEC/MBE
https://github.com/hoppersroppers/nightmare
https://github.com/shellphish/how2heap
https://www.youtube.com/watch?v=tMN5N5oid2c
https://dayzerosec.com/blog/2021/02/02/getting-started.html
https://github.com/Tzaoh/pwning
#windows #kernel
تیم سورین
GitHub
GitHub - FULLSHADE/WindowsExploitationResources: Resources for Windows exploit development
Resources for Windows exploit development. Contribute to FULLSHADE/WindowsExploitationResources development by creating an account on GitHub.
❤1👍1
بدافزار Fileless نوعی نرم افزار مخرب است که بدون ایجاد یا استفاده از فایل ها بر روی هارد دیسک کامپیوتر کار می کند.
این بدافزار ، مستقیماً در حافظه رایانه اجرا میشود و از برنامههای قانونی برای انجام فعالیتهای مخرب خود استفاده میکند. این امر شناسایی و جلوگیری از آن را به ویژه چالش برانگیز می کند زیرا هیچ فایلی برای اسکن برنامه های آنتی ویروس سنتی باقی نمی گذارد.
در اینجا نحوه عملکرد آن به طور معمول است:
یک . Infection: ممکن است کاربر فریب بخورد و روی پیوند مخرب یا پیوست ایمیل کلیک کند، که سپس بدافزار موجود در حافظه سیستم را اجرا می کند.
دو . Execution: بدافزار با ربودن فرآیندها یا برنامه های مورد اعتماد سیستم، مانند Windows PowerShell، برای اجرای دستورات مخرب عمل می کند.
سه . Persistence: بدافزار بدون فایل علیرغم اینکه مبتنی بر فایل نیست، می تواند با دستکاری کلیدهای رجیستری ویندوز یا سایر تنظیمات سیستم برای اطمینان از فعال شدن مجدد، باقی بماند.
بدافزار بدون فایل به دلیل ماهیت خود میتواند از بسیاری از روشهای شناسایی که بر اسکن فایلها متکی هستند دور بزند و آن را به ابزاری مخفی و مؤثر برای مهاجمان سایبری تبدیل کند. برای مبارزه با این، راهحلهای امنیتی مدرن ممکن است رفتار سیستم را بررسی کنند، ترافیک شبکه را تجزیه و تحلیل کنند و برای شناسایی و کاهش چنین تهدیداتی، وجود ناهنجاریها در فرآیندهای قابل اعتماد را بررسی کنند.
#filess
تیم سورین
این بدافزار ، مستقیماً در حافظه رایانه اجرا میشود و از برنامههای قانونی برای انجام فعالیتهای مخرب خود استفاده میکند. این امر شناسایی و جلوگیری از آن را به ویژه چالش برانگیز می کند زیرا هیچ فایلی برای اسکن برنامه های آنتی ویروس سنتی باقی نمی گذارد.
در اینجا نحوه عملکرد آن به طور معمول است:
یک . Infection: ممکن است کاربر فریب بخورد و روی پیوند مخرب یا پیوست ایمیل کلیک کند، که سپس بدافزار موجود در حافظه سیستم را اجرا می کند.
دو . Execution: بدافزار با ربودن فرآیندها یا برنامه های مورد اعتماد سیستم، مانند Windows PowerShell، برای اجرای دستورات مخرب عمل می کند.
سه . Persistence: بدافزار بدون فایل علیرغم اینکه مبتنی بر فایل نیست، می تواند با دستکاری کلیدهای رجیستری ویندوز یا سایر تنظیمات سیستم برای اطمینان از فعال شدن مجدد، باقی بماند.
بدافزار بدون فایل به دلیل ماهیت خود میتواند از بسیاری از روشهای شناسایی که بر اسکن فایلها متکی هستند دور بزند و آن را به ابزاری مخفی و مؤثر برای مهاجمان سایبری تبدیل کند. برای مبارزه با این، راهحلهای امنیتی مدرن ممکن است رفتار سیستم را بررسی کنند، ترافیک شبکه را تجزیه و تحلیل کنند و برای شناسایی و کاهش چنین تهدیداتی، وجود ناهنجاریها در فرآیندهای قابل اعتماد را بررسی کنند.
#filess
تیم سورین
soorinsec.ir
سورین | خدمات امنیت سایبری
سورین ارائه دهنده خدمات امنیت سایبری با کیفیت و حرفهای
👍2
PersistenceSniper is a Powershell module that can be used by Blue Teams, Incident Responders and System Administrators to hunt persistences implanted in Windows machines.
🔗https://github.com/last-byte/PersistenceSniper
#tools #sniper
تیم سورین
🔗https://github.com/last-byte/PersistenceSniper
#tools #sniper
تیم سورین
GitHub
GitHub - last-byte/PersistenceSniper: Powershell module that can be used by Blue Teams, Incident Responders and System Administrators…
Powershell module that can be used by Blue Teams, Incident Responders and System Administrators to hunt persistences implanted in Windows machines. Official Twitter/X account @PersistSniper. Made w...
👍1
👾PE-bear
PE-bear is a multiplatform reversing tool for PE files. Its objective is to deliver fast and flexible “first view” for malware analysts, stable and capable to handle malformed PE files.
🔗https://github.com/hasherezade/pe-bear
#malware
تیم سورین
PE-bear is a multiplatform reversing tool for PE files. Its objective is to deliver fast and flexible “first view” for malware analysts, stable and capable to handle malformed PE files.
🔗https://github.com/hasherezade/pe-bear
#malware
تیم سورین
GitHub
GitHub - hasherezade/pe-bear: Portable Executable reversing tool with a friendly GUI
Portable Executable reversing tool with a friendly GUI - GitHub - hasherezade/pe-bear: Portable Executable reversing tool with a friendly GUI
در زمینه DFIR با فایل های مشکوک زیادی مواجه می شویم که نیاز به تجزیه و تحلیل دارند و عمدتاً آنالیز استاتیک و پویا را برای آنها انجام می دهیم. بسیاری از مردم هنوز این ابزار مجانی و رایگان آنالیز استاتیک را که می خواهم در مورد آن صحبت کنم، نمی دانند، 𝐅𝐢𝐥𝐞𝐀𝐥𝐲𝐳𝐞𝐫.
اگر می خواهید در مورد زندگی درونی فایل ها بیشتر بدانید، FileAlyzer ابزاری است که می توانید در تحقیقات بعدی خود در نظر بگیرید!
✨𝐅𝐢𝐥𝐞𝐀𝐥𝐲𝐳𝐞𝐫 𝐅𝐞𝐚𝐭𝐮𝐫𝐞𝐬:✨
⭕️ 𝐀𝐥𝐭𝐞𝐫𝐧𝐚𝐭𝐞 𝐃𝐚𝐭𝐚 𝐒𝐭𝐫𝐞𝐚𝐦𝐬 (𝐀𝐃𝐒):
FileAlyzer makes the additional information in these streams visible through a list of streams associated with the current file, and a basic hex viewer.
⭕️ 𝐀𝐧𝐝𝐫𝐨𝐢𝐝 𝐀𝐩𝐩𝐬:
Android apps are actually zip archives that include the app code and many resources and configuration files. FileAlyzer will display a few app properties, for example the list of permissions.
⭕️ 𝐀𝐧𝐨𝐦𝐚𝐥𝐢𝐞𝐬:
While loading information on the various views of FileAlyzer, it looks for details that are uncommon or wrong. These details may hint at malware behavior.
Each anomaly is described with an ID, a short noscript, and a denoscription that explains why this detail is unusual, and what it might be used for.
⭕️ 𝐀𝐫𝐜𝐡𝐢𝐯𝐞𝐬:
FileAlyzer displays contents of many common archive types, including .cab, .zip, .chm, NSIS installers, rar, .tar, etc.
⭕️ 𝐀𝐮𝐭𝐡𝐞𝐧𝐭𝐢𝐜𝐨𝐝𝐞 𝐒𝐢𝐠𝐧𝐚𝐭𝐮𝐫𝐞𝐬:
Signatures allow the user to verify where the program he's using is coming from, to avoid running a malware-infected version.
FileAlyzer displays all details about the signature it finds in a file.
⭕️ 𝐃𝐚𝐭𝐚𝐛𝐚𝐬𝐞𝐬:
FileAlyzer can display the content of some standard database formats like dBase, SQLite3, Ini, Mozilla Preferences, Mozilla or format, or QIF.
⭕️ 𝐏𝐄 & 𝐄𝐋𝐅 𝐚𝐧𝐚𝐥𝐲𝐬𝐢𝐬:
Static Analysis for PE (Disassmber, imports, exports and header) and ELF (header and sections) files formats.
⭕️ 𝐇𝐞𝐱 𝐕𝐢𝐞𝐰𝐞𝐫:
FileAlyzer includes a hexadecimal viewer that displays file content byte for byte
⭕️ 𝐄𝐗𝐈𝐅:
For photos and other graphic files, FileAlyzer will display EXIF information embedded into the file.
⭕️ 𝐏𝐄𝐢𝐃:
PEiD tries to identify packers, cryptors and compilers and determines the files entropy, and FileAlyzer supports the PEiD plugin to display this information.
⭕️ 𝐔𝐏𝐗 𝐃𝐞𝐭𝐚𝐢𝐥𝐬:
Executable files compressed with UPX will be shown with compression details.
⭕️ 𝐕𝐢𝐫𝐮𝐬𝐓𝐨𝐭𝐚𝐥 𝐋𝐨𝐨𝐤𝐮𝐩:
FileAlyzer will be able to display results of dozens on anti-virus engines about the file you currently analyze, either from previous analysis, or by submitting your actual sample (if you want😉).
📌 https://www.safer-networking.org/products/filealyzer/
#DFIR
تیم سورین
اگر می خواهید در مورد زندگی درونی فایل ها بیشتر بدانید، FileAlyzer ابزاری است که می توانید در تحقیقات بعدی خود در نظر بگیرید!
✨𝐅𝐢𝐥𝐞𝐀𝐥𝐲𝐳𝐞𝐫 𝐅𝐞𝐚𝐭𝐮𝐫𝐞𝐬:✨
⭕️ 𝐀𝐥𝐭𝐞𝐫𝐧𝐚𝐭𝐞 𝐃𝐚𝐭𝐚 𝐒𝐭𝐫𝐞𝐚𝐦𝐬 (𝐀𝐃𝐒):
FileAlyzer makes the additional information in these streams visible through a list of streams associated with the current file, and a basic hex viewer.
⭕️ 𝐀𝐧𝐝𝐫𝐨𝐢𝐝 𝐀𝐩𝐩𝐬:
Android apps are actually zip archives that include the app code and many resources and configuration files. FileAlyzer will display a few app properties, for example the list of permissions.
⭕️ 𝐀𝐧𝐨𝐦𝐚𝐥𝐢𝐞𝐬:
While loading information on the various views of FileAlyzer, it looks for details that are uncommon or wrong. These details may hint at malware behavior.
Each anomaly is described with an ID, a short noscript, and a denoscription that explains why this detail is unusual, and what it might be used for.
⭕️ 𝐀𝐫𝐜𝐡𝐢𝐯𝐞𝐬:
FileAlyzer displays contents of many common archive types, including .cab, .zip, .chm, NSIS installers, rar, .tar, etc.
⭕️ 𝐀𝐮𝐭𝐡𝐞𝐧𝐭𝐢𝐜𝐨𝐝𝐞 𝐒𝐢𝐠𝐧𝐚𝐭𝐮𝐫𝐞𝐬:
Signatures allow the user to verify where the program he's using is coming from, to avoid running a malware-infected version.
FileAlyzer displays all details about the signature it finds in a file.
⭕️ 𝐃𝐚𝐭𝐚𝐛𝐚𝐬𝐞𝐬:
FileAlyzer can display the content of some standard database formats like dBase, SQLite3, Ini, Mozilla Preferences, Mozilla or format, or QIF.
⭕️ 𝐏𝐄 & 𝐄𝐋𝐅 𝐚𝐧𝐚𝐥𝐲𝐬𝐢𝐬:
Static Analysis for PE (Disassmber, imports, exports and header) and ELF (header and sections) files formats.
⭕️ 𝐇𝐞𝐱 𝐕𝐢𝐞𝐰𝐞𝐫:
FileAlyzer includes a hexadecimal viewer that displays file content byte for byte
⭕️ 𝐄𝐗𝐈𝐅:
For photos and other graphic files, FileAlyzer will display EXIF information embedded into the file.
⭕️ 𝐏𝐄𝐢𝐃:
PEiD tries to identify packers, cryptors and compilers and determines the files entropy, and FileAlyzer supports the PEiD plugin to display this information.
⭕️ 𝐔𝐏𝐗 𝐃𝐞𝐭𝐚𝐢𝐥𝐬:
Executable files compressed with UPX will be shown with compression details.
⭕️ 𝐕𝐢𝐫𝐮𝐬𝐓𝐨𝐭𝐚𝐥 𝐋𝐨𝐨𝐤𝐮𝐩:
FileAlyzer will be able to display results of dozens on anti-virus engines about the file you currently analyze, either from previous analysis, or by submitting your actual sample (if you want😉).
📌 https://www.safer-networking.org/products/filealyzer/
#DFIR
تیم سورین
Spybot Anti-Malware and Antivirus
FileAlyzer - Spybot Anti-Malware and Antivirus
Safer-Networking offers a comprehensive set of tools. This one helps you to understand more of your data files.
👍1
/ بدافزار WogRAT از یک Notepad (ویندوز، لینوکس) سوء استفاده می کند
این مقاله در مورد بدافزاری به نام WogRAT است. روش های توزیع WogRAT و نحوه آلوده کردن سیستم های ویندوز و لینوکس را مورد بحث قرار می دهد. این بدافزار خود را به عنوان برنامه های کاربردی قانونی پنهان می کند. پس از دانلود، WogRAT اطلاعات را از سیستم آلوده جمع آوری کرده و به سرور فرمان و کنترل (C&C) ارسال می کند. سپس سرور C&C می تواند دستورات را به سیستم آلوده ارسال کند.
#windows #linux #malware
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Splunk> Knowledge Base
یکی از بهترین کانفیگهای فایل input.conf برای Universal Forwarder که بر روی فریمورک Mitre هم مپ شده
تیم سورین
✉️@splunk_kb
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - mdecrevoisier/Splunk-input-windows-baseline: Provides an advanced input.conf file for Windows and 3rd party related software…
Provides an advanced input.conf file for Windows and 3rd party related software with more than 70 different event log mapped to the MITRE Att&CK - mdecrevoisier/Splunk-input-windows-baseline
👍1
This repository contains the course material for the digital forensics lab offered at FAST National University of Computer and Emerging Sciences, available for public use and learning.
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - vonderchild/digital-forensics-lab: CTF styled Digital Forensics labs, as offered in FAST NUCES Karachi during Spring 2023.
CTF styled Digital Forensics labs, as offered in FAST NUCES Karachi during Spring 2023. - vonderchild/digital-forensics-lab
👍1
Wishing_ Webhook Phishing In Teams.pdf
5.9 MB
#webhook #phishing
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7