#_shellntel Blog
Evading Microsoft Defender
by Embedding Lua into Rust
⭕ در سالهای اخیر، مهاجمان سایبری بهمنظور دور زدن مکانیزمهای شناسایی نرمافزارهای امنیتی، به استفاده از زبانهای برنامهنویسی کمتر متداول روی آوردهاند. این زبانها بهدلیل عدم آشنایی کامل ابزارهای امنیتی با آنها، میتوانند بهعنوان روشی برای مخفیسازی بدافزارها مورد استفاده قرار گیرند
🔻 در اینجا روشی برای دور زدن Microsoft Defender از طریق ترکیب زبانهای برنامهنویسی Lua و Rust رو بررسی میکنیم
با استفاده از این دو زبان، یک لودر شلکد میتوان ایجاد کرد که توسط Microsoft Defender شناسایی نمیشود
⚙ https://blog.shellntel.com/p/evading-microsoft-defender
👁🗨 مراحل:
با استفاده از ابزار msfvenom، یک شلکد Meterpreter تولید میشود
سپس شلکد تولید شده با استفاده از یک کلید XOR میشود تا از شناسایی آن توسط آنتیویروسها جلوگیری کند
🦠 سپس شلکد رمزگذاریشده در یک برنامه Rust تعبیه میشود که از کتابخانه mlua برای اجرای کد Lua استفاده میکند
در نهایت کد Lua شلکد را رمزگشایی کرده و آن را در حافظه اجرا میکند
🔗 https://www.darkreading.com/threat-intelligence/attackers-use-of-uncommon-programming-languages-continues-to-grow?utm_source=blog.shellntel.com&utm_medium=referral&utm_campaign=evading-microsoft-defender
#MalwareDevelopment
#AV_Evasion
#UncommonLanguages
#MalwareAnalysis
@iDeFense
👍9👏2🆒1
یه چیز جالب🤔
🔥 لیست رتبه بندی شده بر اساس دشواری دور زدن EDR ها توسط یک اپراتور باج افزار منتشر شده است
🔗 https://x.com/PsExec64/status/1916205645507842
#BlueTeam
#EDRBypass
#MalwareAnalysis
#Ransomware
#EDRKillers
#EDR
#EDREvasion
#APT
#ThreatHunting
@iDeFense
🔥 لیست رتبه بندی شده بر اساس دشواری دور زدن EDR ها توسط یک اپراتور باج افزار منتشر شده است
🔗 https://x.com/PsExec64/status/1916205645507842
#BlueTeam
#EDRBypass
#MalwareAnalysis
#Ransomware
#EDRKillers
#EDR
#EDREvasion
#APT
#ThreatHunting
@iDeFense
😨7👍4👌1
Forwarded from ᅠᅠ
استخدام در شرکت آریوان تیمی پویا و خلاق – فرصتهای شغلی در حوزه فناوری اطلاعات
شرکت ما در راستای گسترش تیم فنی خود، از افراد مستعد، خلاق و باانگیزه برای همکاری در موقعیتهای زیر دعوت به عمل میآورد:
موقعیتهای شغلی مورد نیاز:
کارشناس شبکه
مسلط به مفاهیم TCP/IP، Routing، Switching
آشنا با ابزارهای مانیتورینگ و امنیت شبکه
مهندس DevOps
تسلط به CI/CD، Docker، Kubernetes
آشنایی با GitLab، Jenkins و Terraform مزیت محسوب میشود
برنامهنویس اندروید (Kotlin)
تسلط کامل به زبان Kotlin و Android SDK
تجربه کار با RESTful API و معماری MVVM
کارشناس امنیت وب
آشنایی با OWASP Top 10، تست نفوذ، ابزارهایی مانند Burp Suite
توانایی تحلیل آسیبپذیریهای امنیتی و ارائه راهکار
برنامهنویس PHP (Laravel)
تسلط کامل به فریمورک Laravel و طراحی RESTful API
تجربه کار با دیتابیس MySQL و مفاهیم MVC
مزایای همکاری با ما:
محیط کاری پویا و دوستانه
امکان رشد و ارتقاء شغلی
پروژههای متنوع و چالشبرانگیز
پرداخت بهموقع و بیمه تأمین اجتماعی
نحوه ارسال رزومه:
در صورت تمایل به همکاری، لطفاً رزومه خود را با عنوان «موقعیت شغلی + نام» به آیدی ذیل
@Hr_Arivan
ارسال فرمایید.
شرکت ما در راستای گسترش تیم فنی خود، از افراد مستعد، خلاق و باانگیزه برای همکاری در موقعیتهای زیر دعوت به عمل میآورد:
موقعیتهای شغلی مورد نیاز:
کارشناس شبکه
مسلط به مفاهیم TCP/IP، Routing، Switching
آشنا با ابزارهای مانیتورینگ و امنیت شبکه
مهندس DevOps
تسلط به CI/CD، Docker، Kubernetes
آشنایی با GitLab، Jenkins و Terraform مزیت محسوب میشود
برنامهنویس اندروید (Kotlin)
تسلط کامل به زبان Kotlin و Android SDK
تجربه کار با RESTful API و معماری MVVM
کارشناس امنیت وب
آشنایی با OWASP Top 10، تست نفوذ، ابزارهایی مانند Burp Suite
توانایی تحلیل آسیبپذیریهای امنیتی و ارائه راهکار
برنامهنویس PHP (Laravel)
تسلط کامل به فریمورک Laravel و طراحی RESTful API
تجربه کار با دیتابیس MySQL و مفاهیم MVC
مزایای همکاری با ما:
محیط کاری پویا و دوستانه
امکان رشد و ارتقاء شغلی
پروژههای متنوع و چالشبرانگیز
پرداخت بهموقع و بیمه تأمین اجتماعی
نحوه ارسال رزومه:
در صورت تمایل به همکاری، لطفاً رزومه خود را با عنوان «موقعیت شغلی + نام» به آیدی ذیل
@Hr_Arivan
ارسال فرمایید.
🙏5🫡1
iDeFense
استخدام در شرکت آریوان تیمی پویا و خلاق – فرصتهای شغلی در حوزه فناوری اطلاعات شرکت ما در راستای گسترش تیم فنی خود، از افراد مستعد، خلاق و باانگیزه برای همکاری در موقعیتهای زیر دعوت به عمل میآورد: موقعیتهای شغلی مورد نیاز: کارشناس شبکه مسلط به مفاهیم…
🔝دوستان علاقه مند به امنیت هم میتونند رزومه ارسال کنند 🙏
BadSuccessor-dMSA
iDeFense
🔴 بررسی یک آسیبپذیری patch نشده تحت عنوان BadSuccessor در ویندوز سرور 2025 که امکان سو استفاده از dMSA برای بالابردن سطح دسترسی در اکتیو دایرکتوری بدون تغییر در Object کاربر را میدهد و راهکارهای مقابله و مانیتورینگ آن
🔍 مقاله بررسی شده آسیبپذیری:
🔗https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory
🔖 اسکریپت پاورشل ارائه شده از سوی akamai:
🔗https://github.com/akamai/BadSuccessor
🦠 ماژول NetExec:
🔗https://github.com/Pennyw0rth/NetExec/pull/702
🛠 ابزار پایتون:
🔗https://github.com/cybrly/badsuccessor
🔪ابزار SharpSuccessor:
🔗https://github.com/logangoins/SharpSuccessor
#Podcast
#BadSuccessor
#RedTeam
#BlueTeam
#SOC
#ActiveDirectory
#KerberosAttack
#DMSA
@iDeFense
🔍 مقاله بررسی شده آسیبپذیری:
🔗https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory
🔖 اسکریپت پاورشل ارائه شده از سوی akamai:
🔗https://github.com/akamai/BadSuccessor
🦠 ماژول NetExec:
🔗https://github.com/Pennyw0rth/NetExec/pull/702
🛠 ابزار پایتون:
🔗https://github.com/cybrly/badsuccessor
🔪ابزار SharpSuccessor:
🔗https://github.com/logangoins/SharpSuccessor
#Podcast
#BadSuccessor
#RedTeam
#BlueTeam
#SOC
#ActiveDirectory
#KerberosAttack
#DMSA
@iDeFense
❤🔥3🔥1
Forwarded from آموزش هک و امنیت| UltraSec
#ایران
Please open Telegram to view this post
VIEW IN TELEGRAM
❤44🤷♂4🌚1😭1
This media is not supported in your browser
VIEW IN TELEGRAM
🚀 ابزار قدرتمند Kraken برای حملات Brute Force
ابزار Kraken یک ابزار همهکاره برای تست نفوذ است که وظیفهی مرکزیسازی و بهینهسازی حملات Brute Force را برعهده دارد. این ابزار از پروتکلها و سرویسهای مختلفی پشتیبانی میکند و برای انجام تستهای امنیتی بسیار کاربردی است.
🕸 پروتکلها و سرویسهای شبکهای قابل پشتیبانی:
💠 FTP Brute Force
💠 Kubernetes Brute Force
💠 LDAP Brute Force
💠 VOIP Brute Force
💠 SSH Brute Force
💠 Telnet Brute Force
💠 WiFi Brute Force
💠 WPA3 Brute Force
🌐 ابزارهای حمله به وباپلیکیشنها:
⚒️ CPanel Brute Force
⚒️ Drupal Brute Force
⚒️ Joomla Brute Force
⚒️ Magento Brute Force
⚒️ Office365 Brute Force
⚒️ Prestashop Brute Force
⚒️ OpenCart Brute Force
⚒️ WooCommerce Brute Force
⚒️WordPress Brute Force
👨💻 سورسکد و اطلاعات بیشتر:
🔗 github.com/jasonxtn/Kraken
#bruteforce
#pentest
#Tools
@iDeFense
ابزار Kraken یک ابزار همهکاره برای تست نفوذ است که وظیفهی مرکزیسازی و بهینهسازی حملات Brute Force را برعهده دارد. این ابزار از پروتکلها و سرویسهای مختلفی پشتیبانی میکند و برای انجام تستهای امنیتی بسیار کاربردی است.
🕸 پروتکلها و سرویسهای شبکهای قابل پشتیبانی:
💠 FTP Brute Force
💠 Kubernetes Brute Force
💠 LDAP Brute Force
💠 VOIP Brute Force
💠 SSH Brute Force
💠 Telnet Brute Force
💠 WiFi Brute Force
💠 WPA3 Brute Force
🌐 ابزارهای حمله به وباپلیکیشنها:
⚒️ CPanel Brute Force
⚒️ Drupal Brute Force
⚒️ Joomla Brute Force
⚒️ Magento Brute Force
⚒️ Office365 Brute Force
⚒️ Prestashop Brute Force
⚒️ OpenCart Brute Force
⚒️ WooCommerce Brute Force
⚒️WordPress Brute Force
👨💻 سورسکد و اطلاعات بیشتر:
🔗 github.com/jasonxtn/Kraken
#bruteforce
#pentest
#Tools
@iDeFense
👍7🙏2❤1🤗1
Forwarded from مرکز امنیتی ایران سایبر | ICG (rodrigu)
❌ هشدار امنیتی مهم ❌
⚠️ یگان فارسیزبان ارتش اسرائیل (یگان ۸۲۰۰) در فضای مجازی به شدت فعال است. این افراد با اکانتهای جعلی خود را به عنوان مردم عادی جا زده و در تلاشند تا اطلاعات جمعآوری کنند.
آن ها بدنبال اطلاعاتی نظیر محل برخورد ، محل پرتاب موشک و جزئیات حملات هستند
لطفاً از نوشتن مواردی همچون «کجا رو زدن» یا «صدای انفجار از کدوم سمت اومده» خودداری کنید! حتی سادهترین اطلاعات میتواند به آنها کمک کند تا هدف بعدی را شناسایی کنند.
اکانتهای با پشتیبانی موساد به صورت هدفمند به کاربران ایرانی در تلگرام پیام میفرستند. اگر کسی به شما پیام داد و لینکی ارسال کرد، فوراً او را بلاک کرده و به هیچ وجه وارد آن لینکها نشوید.
لطفاً اطلاعرسانی کنید تا کسی به دام این افراد نیفتد.
🇮🇷@IranCyber_Org
⚠️ یگان فارسیزبان ارتش اسرائیل (یگان ۸۲۰۰) در فضای مجازی به شدت فعال است. این افراد با اکانتهای جعلی خود را به عنوان مردم عادی جا زده و در تلاشند تا اطلاعات جمعآوری کنند.
آن ها بدنبال اطلاعاتی نظیر محل برخورد ، محل پرتاب موشک و جزئیات حملات هستند
لطفاً از نوشتن مواردی همچون «کجا رو زدن» یا «صدای انفجار از کدوم سمت اومده» خودداری کنید! حتی سادهترین اطلاعات میتواند به آنها کمک کند تا هدف بعدی را شناسایی کنند.
اکانتهای با پشتیبانی موساد به صورت هدفمند به کاربران ایرانی در تلگرام پیام میفرستند. اگر کسی به شما پیام داد و لینکی ارسال کرد، فوراً او را بلاک کرده و به هیچ وجه وارد آن لینکها نشوید.
لطفاً اطلاعرسانی کنید تا کسی به دام این افراد نیفتد.
🇮🇷@IranCyber_Org
❤9😁1🙏1
Forwarded from مرکز امنیتی ایران سایبر | ICG (Cr3dOv3r)
⚠️ اپلیکشن های اینستاگرام و واتساپ آپدیت جدید دادند، در شرایط فعلی هیچ اپلیکشینی آپدیت نکنید. احتمالا جهت دسترسی بیشتر به گوشیهای ایرانی باشه!
⛔️ این دو تا برنامه متعلق به شرکت متا آمریکایی هستند...
🇮🇷 @IranCyber_Org
⛔️ این دو تا برنامه متعلق به شرکت متا آمریکایی هستند...
🇮🇷 @IranCyber_Org
👍14🤔1
iDeFense
فرزندان ایران!🖤
This media is not supported in your browser
VIEW IN TELEGRAM
🥀 وطن بسوزد و من در جوش و خروش نباشم؟ خدا کند که بمیرم و وطن فروش نباشم...
#ایران_من
#وطن
#فرزندان_ایران
#ایران_جان
#وطن_فروش
@iDeFense
#ایران_من
#وطن
#فرزندان_ایران
#ایران_جان
#وطن_فروش
@iDeFense
❤🔥30👏4🔥2😁2
COMmander-podcast
iDeFense
🎯 ابزار جدید برای تحلیل و بهرهبرداری از حملات COM/RPC در ویندوز:
📌 ابزار COMmander یک ابزار متنباز مبتنی بر C# است که برای اجرای حملات مبتنی بر COM و RPC و همچنین مانیتورینگ دقیق آنها از طریق ETW (Event Tracing for Windows) طراحی شده
📍 قابلیتهای کلیدی:
🎯 دارای رابط ساده برای اجرای حملات مبتنی بر COM و RPC
🎯 پشتیبانی از پروفایلهای سفارشی جهت شناسایی رفتارهای مشکوک
🎯 استفاده از Microsoft-Windows-RPC ETW Provider برای تحلیل و ردیابی دقیق فراخوانیهای RPC
📌 مناسب برای استفاده در تست نفوذ، تحلیل تهدید، و ساخت تشخیصها (Detection Rules) در EDR/SIEM- رد تیمها، تحلیلگران امنیت، توسعهدهندگان EDR و پژوهشگران بدافزار
🔗 سورسکد و مستندات:
⚒️ https://github.com/HullaBrian/COMmander
🔬 https://jacobacuna.me/2025-06-12-COMmander/
#WindowsSecurity
#COM
#RPC
#BlueTeam
#RedTeam
#ThreatDetection
#ETW
#PentestTools
#MalDev
@iDeFense
📌 ابزار COMmander یک ابزار متنباز مبتنی بر C# است که برای اجرای حملات مبتنی بر COM و RPC و همچنین مانیتورینگ دقیق آنها از طریق ETW (Event Tracing for Windows) طراحی شده
📍 قابلیتهای کلیدی:
🎯 دارای رابط ساده برای اجرای حملات مبتنی بر COM و RPC
🎯 پشتیبانی از پروفایلهای سفارشی جهت شناسایی رفتارهای مشکوک
🎯 استفاده از Microsoft-Windows-RPC ETW Provider برای تحلیل و ردیابی دقیق فراخوانیهای RPC
📌 مناسب برای استفاده در تست نفوذ، تحلیل تهدید، و ساخت تشخیصها (Detection Rules) در EDR/SIEM- رد تیمها، تحلیلگران امنیت، توسعهدهندگان EDR و پژوهشگران بدافزار
🔗 سورسکد و مستندات:
⚒️ https://github.com/HullaBrian/COMmander
🔬 https://jacobacuna.me/2025-06-12-COMmander/
#WindowsSecurity
#COM
#RPC
#BlueTeam
#RedTeam
#ThreatDetection
#ETW
#PentestTools
#MalDev
@iDeFense
❤🔥2
🇮🇷 تا پای جان برای ایران 🇮🇷
🔝 به حول و قوه الهی پیروزی از آن ماست 🔜
#ایران_جان
#فرزندان_ایران
#وطن
@iDeFense
🔝 به حول و قوه الهی پیروزی از آن ماست 🔜
#ایران_جان
#فرزندان_ایران
#وطن
@iDeFense
🙏20🫡13❤12😁7⚡1🤔1😭1👻1🗿1
🔴 بيانيه شماره ٣ تيم امنيتى Mr. Soul Av3ngers 🔰 در ادامه کارزار سایبری خود، تیم Mr. Soul Av3ngers عملیاتهای زیر را انجام داده است:
🔺مرحله ۱: مختل کردن سامانه دفاع موشکی گنبد آهنین
ما با موفقیت به زیرساخت فرماندهی سامانه گنبد آهنین اسرائیل نفوذ کردیم و حملات سایبریای را اجرا کردیم که عملکرد عملیاتی آن را مختل نمود.
🔺مرحله ۲: نفوذ به پایگاهداده نظامی بزرگ
یگانهای سایبری
ما به یک پایگاهداده بزرگ و محرمانه دسترسی پیدا کردند و همچنین رایانه شخصی یکی از فرماندهان ارشد ارتش اسرائیل را هک کردند.
🔺مرحله ۳: حمله به خدمات بانکی
حملات متعددی علیه خدمات مالی کلیدی اجرا شد که منجر به مسدود شدن کامل عملیات انتقال پول در سامانههای هدف گردید.
🔺مرحله ۴: حمله دوباره به زیرساخت برق
ما بار دیگر به شبکه برق اسرائیل نفوذ کردیم که موجب اختلالات بیشتر و دسترسی به شبکه برق ملی آن شد.
⭕ این عملیات تنها بخشی از توان راهبردی ما را نشان میدهد. ما تا زمانی که زیرساخت دیجیتال رژیم سرکوبگر صهیونی کاملاً افشا و نابود نشده، دست از کار نخواهیم کشید.
⚔ هوشیار باشید. فاز بعدی بهزودی آغاز میشود.
تیم Mr. Soul Av3ngers
@iDeFense
❤35🔥4😁3⚡2🌚1🫡1💘1🙉1
⚔ در فرایند تیم قرمز برای دسترسی راحتتر به قربانی، از ابزارهای ریموت دسکتاپ استفاده میشه. معمولا برای این کار هم از ابزارهای قانونی استفاده میکنن، تا بتونن محصولات امنیتی رو هم دور بزنن.
⭕ یکی از این ابزارهای قانونی Chrome Remote Desktop هستش که با عنوان Google Remote Desktop هم شناخته میشه.
⚙ برای استفاده از این ابزار نیاز به یک اکانت جیمیل و نصب نرم افزار مربوطه دارید.
🔺 این ابزار از پروتکل اختصاصی گوگل با عنوان Chromoting استفاده میکنه که از طریق HTTPS ارتباط برقرار میکنه و از طریق WebRTC داده انتقال میده.
🔻 https://trustedsec.com/blog/abusing-chrome-remote-desktop-on-red-team-operations-a-practical-guide
#RedTeam
#Tools
@iDeFense
⭕ یکی از این ابزارهای قانونی Chrome Remote Desktop هستش که با عنوان Google Remote Desktop هم شناخته میشه.
⚙ برای استفاده از این ابزار نیاز به یک اکانت جیمیل و نصب نرم افزار مربوطه دارید.
🔺 این ابزار از پروتکل اختصاصی گوگل با عنوان Chromoting استفاده میکنه که از طریق HTTPS ارتباط برقرار میکنه و از طریق WebRTC داده انتقال میده.
🔻 https://trustedsec.com/blog/abusing-chrome-remote-desktop-on-red-team-operations-a-practical-guide
#RedTeam
#Tools
@iDeFense
TrustedSec
Abusing Chrome Remote Desktop on Red Team Operations: A Practical…
❤5❤🔥3🔥1
📚 کتاب بخونی یا سیستم آلوده کنی؟ مراقب Flibusta[.]su باش!
امروز با یه کمپین مخرب و حرفهای مواجه شدم که مخصوص عاشقان کتاب طراحی شده. یه سایت تقلبی به نام Flibusta[.]su درست شده که خودش رو جای نسخهی اصلی و محبوب Flibusta[.]is جا زده.
❗️همهی کتابهایی که از این سایت دانلود میکنید، بدون توجه به فرمت، فقط یک فایل zip هستند به حجم 89.3 مگابایت. داخل این فایل دو مورد مشکوک هست:
📌 بعد از اجرا و گرفتن دسترسی UAC، این اقدامات انجام میشن:
1️⃣ توقف سرویسهای امنیتی و آپدیت ویندوز:
2️⃣ اضافه کردن مسیرها و پسوندهای مهم به لیست استثنای آنتیویروس (Defender):
3️⃣ حذف ابزار امنیتی معروف KB890830 (ابزار حذف بدافزار مایکروسافت)
4️⃣ افزودن به رجیستری برای اجرای خودکار بدافزار در هر بار روشن شدن ویندوز:
5️⃣ ایجاد یک سرویس جعلی با ظاهر قانونی برای اجرای مداوم بدافزار:
🧪 فایل SbieDll.dll احتمالاً برای اجرای تکنیک DLL Hijacking استفاده میشه.
🧾 تحلیل AnyRun
پ.ن: مالک اصلی Flibusta ظاهراً در سال ۲۰۲۴ فوت کرده، و بعد از اون دامنه توسط هکرها تصاحب شده.
#DLLHijacking #malware #SE #Flibusta
@iDeFense
امروز با یه کمپین مخرب و حرفهای مواجه شدم که مخصوص عاشقان کتاب طراحی شده. یه سایت تقلبی به نام Flibusta[.]su درست شده که خودش رو جای نسخهی اصلی و محبوب Flibusta[.]is جا زده.
❗️همهی کتابهایی که از این سایت دانلود میکنید، بدون توجه به فرمت، فقط یک فایل zip هستند به حجم 89.3 مگابایت. داخل این فایل دو مورد مشکوک هست:
🔸 <book_name>.pdf - Archive.exe
🔸 SbieDll.dll
📌 بعد از اجرا و گرفتن دسترسی UAC، این اقدامات انجام میشن:
1️⃣ توقف سرویسهای امنیتی و آپدیت ویندوز:
UsoSvc
WaaSMedicSvc
wuauserv
bits
dosvc
eventlog
2️⃣ اضافه کردن مسیرها و پسوندهای مهم به لیست استثنای آنتیویروس (Defender):
Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramData, $env:windir) `
-ExclusionExtension @('.exe','.dll') -Force
3️⃣ حذف ابزار امنیتی معروف KB890830 (ابزار حذف بدافزار مایکروسافت)
4️⃣ افزودن به رجیستری برای اجرای خودکار بدافزار در هر بار روشن شدن ویندوز:
C:\Users\<USER>\AppData\Roaming\Sandboxie\sandboxie.exe
5️⃣ ایجاد یک سرویس جعلی با ظاهر قانونی برای اجرای مداوم بدافزار:
Service name: GoogleUpdateTaskMachineQC
Executable: C:\ProgramData\Google\Chrome\updater.exe
🧪 فایل SbieDll.dll احتمالاً برای اجرای تکنیک DLL Hijacking استفاده میشه.
🧾 تحلیل AnyRun
پ.ن: مالک اصلی Flibusta ظاهراً در سال ۲۰۲۴ فوت کرده، و بعد از اون دامنه توسط هکرها تصاحب شده.
#DLLHijacking #malware #SE #Flibusta
@iDeFense
❤8💯6🙏5👏2