👻 Ghost: Shellcode Loader

💢 پروژه Ghost ابزاری برای دور زدن قابلیت‌های تشخیصی که معمولاً توسط سیستم‌های EDR پیاده‌سازی می‌شوند...

👁‍🗨 https://github.com/cpu0x00/Ghost

🔺 دور زدن kernel callbacks با استفاده از fiber threads

⚙️ با استفاده از این fiber threads، می‌توان عملیات‌های خطرناک را به نحوی انجام داد که ابزارهای امنیتی که در سطح هسته (kernel) کار می‌کنند، نتوانند آن‌ها را شناسایی کنند

🔺 جعل (Return Address Spoofing) , (Stack Spoofing)

⚙️این تکنیک شامل تغییرات در پشته فراخوانی (Call Stack) است تا مسیر واقعی اجرای برنامه پنهان بماند. با این کار، می‌توان عملکردهای مخرب را به نحوی فراخوانی کرد که ابزارهای امنیتی نتوانند آن‌ها را شناسایی یا متوقف کنند

🔺 پنهان‌سازی شل کد در داخل مناطق حافظه بزرگ و تصادفی

⚙️ این تکنیک با پنهان کردن شل کد در بخش‌هایی از حافظه که اندازه بزرگ و تصادفی دارند، می‌تواند از شناسایی آن توسط ابزارهای امنیتی جلوگیری کند. این بخش‌های حافظه ممکن است به طور تصادفی تخصیص داده شوند تا شل کد در نواحی غیرمنتظره قرار گیرد

🔺غیرفعال کردن ETW

🔺حذف توابع EDR از فرآیندهای معلق

⚙️ این ویژگی به نرم‌افزار اجازه می‌دهد تا توابعی که توسط ابزارهای EDR برای شناسایی تهدیدها به فرآیندهای سیستم افزوده شده‌اند را حذف کند

🔺هشینگ سفارشی API برای حل توابع

⚙️ این تکنیک از هش‌های سفارشی برای توابع API استفاده می‌کند تا از شناسایی و تجزیه و تحلیل آن‌ها توسط ابزارهای امنیتی جلوگیری کند

#EDR
#Defense_Evasion
#tools
#Bypass
#BypassDefense
#Detection

@iDeFense

⭕️ CVE-2024-49138 : Windows Common Log File System Driver Privilege Escalation
📝 به گزارش CrowdStrike آسیب‌پذیری شناسایی شده به طور فعال توسط عوامل تهدید مورد سوء استفاده قرار می‌گرفت

⚠️ Tested on Windows 11 23h2

♨️ POC : https://github.com/MrAle98/CVE-2024-49138-POC

🔰 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138

#CVE
#Privilege_escalation

@iDeFense

🔬 Deep Dive Into a Linux Rootkit Malware

📝 تیم FortiGuard Incident Response (FGIR) در حین بررسی یک حادثه امنیتی متوجه شد که مهاجم از آسیب‌پذیری CVE-2024-8190 بر روی سرویس‌های ابری Ivanti و دو آسیب‌پذیری دیگر (که یکی مربوط به (Path Traversal) در منبع /client/index.php که به مهاجم این امکان را می‌دهد که به منابع دیگری مانند users.php، reports.php و... دسترسی غیرمجاز پیدا کند ( CVE-2024-8963 ) و دیگری به تزریق دستور (Command Injection) در منبع reports.php مربوط می‌شود CVE-2024-9380 ) برای نفوذ به سیستم‌های Ivanti و دسترسی غیرمجاز به منابع مختلف استفاده کرده است

🦠 پس از نفوذ به سیستم، مهاجمان یک rootkit (که در اینجا یک ماژول کرنل قابل بارگذاری به نام sysinitd.ko است) و یک فایل باینری در فضای کاربر به نام sysinitd را مستقر کرده‌اند
🕷 استفاده از اسکریپت برای نصب rootkit: مهاجمان از یک Shell noscript به نام Install[.]sh برای نصب و راه‌اندازی rootkit و باینری‌ها استفاده کرده‌اند

🔍 پایداری rootkit : برای اطمینان از اینکه rootkit به‌طور خودکار در هر بار راه‌اندازی سیستم اجرا شود، ورودی‌هایی برای این rootkit به فایل‌های سیستم مانند

/etc/rc.local و /etc/rc.d/rc.local

اضافه شده است که این فایل‌ها برای بارگذاری خودکار برنامه‌ها هنگام شروع سیستم استفاده می‌شوند...
🔬 Deep Dive Into This Linux Rootkit

👁‍🗨 https://www.fortinet.com/blog/threat-research/burning-zero-days-suspected-nation-state-adversary-targets-ivanti-csa (بررسی حمله)
|
‌ ∟📂 https://www.fortinet.com/blog/threat-research/deep-dive-into-a-linux-rootkit-malware (بررسی روت کیت)

#Linux
#Rootkit
#Malware
#Ivanti
#Cloud_Services
#analysis

@iDeFense

🔻 CVE-2024-43468 Microsoft Configuration Manager (ConfigMgr / SCCM) 2403
🦠 Unauthenticated SQL injections (CVE-2024-43468) exploit

🔻 نسخه‌های آسیب‌پذیر
⚠️ تمام نسخه‌های Microsoft Configuration Manager که یکی از به‌روزرسانی‌های زیر را ندارند، آسیب‌پذیر هستند:

نسخه‌های پایین‌تر از 2403 (شماره نسخه: 5.00.9128.1024)
نسخه‌های پایین‌تر از 2309 (شماره نسخه: 5.00.9122.1033)
نسخه‌های پایین‌تر از 2303 (شماره نسخه: 5.00.9106.1037)
نسخه‌های 2211 و قدیمی‌تر

🔬 https://telegra.ph/آسیب‌پذیری-CVE-2024-43468-SQL-Injection-بر-روی-Microsoft-Configuration-Manager-بدون-نیاز-به-احراز-هویت-01-17

📚https://www.synacktiv.com/advisories/microsoft-configuration-manager-configmgr-2403-unauthenticated-sql-injections
(16/01/2025)

♨️ POC: https://github.com/synacktiv/CVE-2024-43468

🔰 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43468

#SQL_injections
#SQLInjection
#ConfigMgr
#SCCM
#RCE
#CVE

@iDeFense

♾ Soc Teams VS APT Teams🫤

#fun
#APT
#soc

@iDeFense

👽 Hunting for Persistence in Linux:

🔘 (Part 1): Auditd, Sysmon, Osquery (and Webshells);

🔘 (Part 2): Account Creation and Manipulation;

🔘 (Part 3): Systemd, Timers, and Cron;

🔘 (Part 4): Initialization Scripts and Shell Configuration;

🔘 (Part 5): Systemd Generators.

#Linux
#RedTeam
#BlueTeam
#persistence
#auditd

@iDeFense

‼️ Chief information security officer (CISO) VS Hacker 🤪

#fun
#CISO
#phishing
#sim_Jacking
#Credential_stuffing
#Social_engineering
#MFA_Bypass_Proxy
#AI_Powered_Phishing

@iDeFense

🚧 مجموعه LOLC2 معرفی فریم‌ورک‌های C2 است که از سرویس‌های قانونی و معتبر برای پنهان شدن از سیستم‌های تشخیص استفاده می‌کند

♦️ در میان این فریم‌ورک‌ها، برخی از C2ها عبارتند از:
Telegram, Asana, OneDrive, Microsoft Tasks, Jira, Notion👀,splunk🪱 و دیگر سرویس‌های مشابه

🔰 روش‌های تشخیص:
🔍 تدوین قوانین و فیلتر کردن اتصالات
🔍 تحلیل رفتار (Behavioral Analysis) برای شناسایی فعالیت‌ها
🔍 استفاده از ابزار یارا (Yara)
🔍 نظارت بر فرآیندها و درخواست‌های API

🔗 https://lolc2.github.io/

#C2Frameworks
#MalwareDetection
#LOLC2
#BehavioralAnalysis
#APIMonitoring
#YaraRules
#ThreatDetection
#NetworkSecurity
#RedTeam
#SOC

@iDeFense

😈 Pwning the Domain: With Credentials.

• Domain Account;
• Enumeration;
• BloodHound;
• PowerView;
• Kerberoasting;
• PrinterBug(MS-PRPN);
• ShadowCoerce(MS-FSRVP);
• DFSCoerce(MS-DFSNM);
• SMB share;
• Vulnerabilities;
• PrivExchange Vulnerability;
• SamAccountName/NoPac;
- SamAccountName/NoPac Attack;
• PrintNightmare;
• Certifried;
- Certifried Exploitation;
• Domain Admin;
• Dump NTDS;
• DCSync;
• Extract Credentials;
• LSASS DUMP;
• SAM/LSA DUMP;
• DPAPI Dump/Decryption;
• Token Manipulation;
• Adjust token privileges;
• Token Impersonation;
• Security Researchers.

#AD
#Domain
#Credentials
#RedTeam

@iDeFense

💢 گروه Sandworm (معروف به APT44)، در حال اجرای یک کمپین سایبری علیه کاربران ویندوز در اوکراین است. این گروه با استفاده از ابزارهای فعال‌سازی KMS مایکروسافت دستکاری‌شده و به‌روزرسانی‌های جعلی ویندوز، نسخه‌ای جدید از بارگذار BACKORDER را توزیع می‌کند که در نهایت به استقرار تروجان دسترسی از راه دور Dark Crystal RAT (DcRAT) منجر می‌شود (این بدافزار به مهاجمان امکان سرقت داده‌های حساس و جاسوسی سایبری را می‌دهد)

🔬 شواهد متعددی این کمپین را به Sandworm مرتبط می‌کند، از جمله استفاده مکرر از حساب‌های ProtonMail در سوابق WHOIS، زیرساخت‌های یکسان، و تکنیک‌ها و روش‌های تاکتیکی (TTPs) مشابه. علاوه بر این، استفاده مجدد از BACKORDER، DcRAT، و مکانیزم‌های شبکه TOR، همراه با نشانه‌هایی که به محیط ساخت ابزار به زبان روسی اشاره دارند، این ارتباط را تقویت می‌کنند.

🦠 استفاده گسترده از نرم‌افزارهای کرک‌شده در اوکراین، حتی در نهادهای دولتی، سطح حمله بزرگی را ایجاد کرده است. بر اساس گزارش‌ها، مایکروسافت تخمین زده است که 70٪ از نرم‌افزارهای بخش دولتی اوکراین بدون مجوز هستند، که این روند احتمالاً به دلیل مشکلات اقتصادی ناشی از جنگ تشدید شده است. بسیاری از کاربران، از جمله کسب‌وکارها و نهادهای حیاتی، به نرم‌افزارهای کرک شده از منابع نامعتبر روی آورده‌اند، که به مهاجمانی مانند Sandworm فرصت می‌دهد بدافزار را در برنامه‌های پرکاربرد جاسازی کنند. این تاکتیک امکان جاسوسی گسترده، سرقت داده‌ها، و نفوذ به شبکه‌ها را فراهم می‌کند، که مستقیماً امنیت ملی، زیرساخت‌های حیاتی، و مقاومت بخش خصوصی اوکراین را تهدید می‌کند.

⚠️ در یکی از این حملات، فایل فشرده‌ای با عنوان "KMSAuto++x64_v1.8.4.zip" در تورنت منتشر شد که حاوی BACKORDER بود. مهاجمان این فایل را به‌عنوان ابزاری برای فعال‌سازی KMS معرفی کردند تا کاربرانی را که قصد دور زدن نیازهای مجوز ویندوز را دارند، هدف قرار دهند. این ابزار پس از اجرا، یک رابط جعلی فعال‌سازی ویندوز را نمایش می‌دهد، در حالی که در پس‌زمینه، بارگذار BACKORDER را اجرا می‌کند که در نهایت به استقرار DcRAT منجر می‌شود.

🌐 https://blog.eclecticiq.com/sandworm-apt-targets-ukrainian-users-with-trojanized-microsoft-kms-activation-tools-in-cyber-espionage-campaigns

🔗 https://nsarchive.gwu.edu/sites/default/files/documents/semon9-ryglx/2024-04-17-Mandiant-APT44-Unearthing-Sandworm.pdf


🔰Detection #SIGMA_Rules #YARA_Rule #IOCs #C2_Domains #MITRE_TTPs
#RedTeam #DcRAT #SIGMA_Rules
#Sandworm #C2
#APT44
#BACKORDER

@iDeFense

🔬 رویداد EventID 10 در Sysmon، که به‌عنوان Process Access شناخته می‌شود، زمانی ثبت می‌شود که یک فرآیند سعی می‌کند به فرآیند دیگری دسترسی پیدا کند. این رویداد اطلاعاتی درباره تعاملات بین فرآیندها ارائه می‌دهد و می‌تواند در شناسایی و نظارت بر تعاملات فرآیندها و بررسی فعالیت‌های مخرب مفید باشد

⚒️ ویژگی ها:
✅ شناسایی دسترسی‌های غیرمجاز
✅ شناسایی تلاش‌های Privilege Escalation
✅ شناسایی تکنیک‌های Process Injection

🛠 مبدل Granted Access یک ابزار که برای کمک به کاربران در درک و تفسیر مقادیر فیلد GrantedAccess موجود در SYSMON EventID 10 نوشته شده است
که این امکان را به کاربران می دهد تا مقادیر دسترسی hexadecimal مشخص شده جهت دسترسی را به مقادیر قابل خواندن انسانی تبدیل کنند و برعکس

🌐 https://yukh1402.github.io/granted-access-converter/

✅ همچنین میتوانید خودتان نیز این مقادیر را توسط اسکریپت زیر تبدیل کنید

Get-SysmonAccessMask -AccessMask 0x418

🛠 https://www.powershellgallery.com/packages/PSGumshoe/1.5/Content/EventLog%5CGet-SysmonAccessMask.ps1

#SOC
#tools
#BlueTeam
#Process_Injection
#Detection

@iDeFense

⭕ در سال‌های اخیر، مهاجمان سایبری به‌منظور دور زدن مکانیزم‌های شناسایی نرم‌افزارهای امنیتی، به استفاده از زبان‌های برنامه‌نویسی کمتر متداول روی آورده‌اند. این زبان‌ها به‌دلیل عدم آشنایی کامل ابزارهای امنیتی با آن‌ها، می‌توانند به‌عنوان روشی برای مخفی‌سازی بدافزارها مورد استفاده قرار گیرند

🔻 در اینجا روشی برای دور زدن Microsoft Defender از طریق ترکیب زبان‌های برنامه‌نویسی Lua و Rust رو بررسی میکنیم
با استفاده از این دو زبان، یک لودر شل‌کد میتوان ایجاد کرد که توسط Microsoft Defender شناسایی نمی‌شود
⚙  https://blog.shellntel.com/p/evading-microsoft-defender
👁‍🗨 مراحل:

با استفاده از ابزار msfvenom، یک شل‌کد Meterpreter تولید می‌شود
سپس شل‌کد تولید شده با استفاده از یک کلید XOR می‌شود تا از شناسایی آن توسط آنتی‌ویروس‌ها جلوگیری کند

🦠 سپس شل‌کد رمزگذاری‌شده در یک برنامه Rust تعبیه می‌شود که از کتابخانه mlua برای اجرای کد Lua استفاده می‌کند
در نهایت کد Lua شل‌کد را رمزگشایی کرده و آن را در حافظه اجرا می‌کند

🔗 https://www.darkreading.com/threat-intelligence/attackers-use-of-uncommon-programming-languages-continues-to-grow?utm_source=blog.shellntel.com&utm_medium=referral&utm_campaign=evading-microsoft-defender

#MalwareDevelopment
#AV_Evasion
#UncommonLanguages
#MalwareAnalysis

@iDeFense

یه چیز جالب🤔

🔥 لیست رتبه بندی شده بر اساس دشواری دور زدن EDR ها توسط یک اپراتور باج افزار منتشر شده است


🔗 https://x.com/PsExec64/status/1916205645507842

#BlueTeam
#EDRBypass
#MalwareAnalysis
#Ransomware
#EDRKillers
#EDR
#EDREvasion
#APT
#ThreatHunting

@iDeFense

استخدام در شرکت آریوان تیمی پویا و خلاق – فرصت‌های شغلی در حوزه فناوری اطلاعات

شرکت ما در راستای گسترش تیم فنی خود، از افراد مستعد، خلاق و باانگیزه برای همکاری در موقعیت‌های زیر دعوت به عمل می‌آورد:

موقعیت‌های شغلی مورد نیاز:

کارشناس شبکه

مسلط به مفاهیم TCP/IP، Routing، Switching

آشنا با ابزارهای مانیتورینگ و امنیت شبکه

مهندس DevOps

تسلط به CI/CD، Docker، Kubernetes

آشنایی با GitLab، Jenkins و Terraform مزیت محسوب می‌شود

برنامه‌نویس اندروید (Kotlin)

تسلط کامل به زبان Kotlin و Android SDK

تجربه کار با RESTful API و معماری MVVM

کارشناس امنیت وب

آشنایی با OWASP Top 10، تست نفوذ، ابزارهایی مانند Burp Suite

توانایی تحلیل آسیب‌پذیری‌های امنیتی و ارائه راهکار

برنامه‌نویس PHP (Laravel)

تسلط کامل به فریمورک Laravel و طراحی RESTful API

تجربه کار با دیتابیس MySQL و مفاهیم MVC

مزایای همکاری با ما:

محیط کاری پویا و دوستانه

امکان رشد و ارتقاء شغلی

پروژه‌های متنوع و چالش‌برانگیز

پرداخت به‌موقع و بیمه تأمین اجتماعی

نحوه ارسال رزومه:
در صورت تمایل به همکاری، لطفاً رزومه خود را با عنوان «موقعیت شغلی + نام» به آیدی ذیل
@Hr_Arivan
ارسال فرمایید.

🔝دوستان علاقه مند به امنیت هم میتونند رزومه ارسال کنند 🙏

SANS Linux Incident Response Poster

#Poster
#DFIR
#Linux
#Incident_Response

@iDeFense