‼️ Chief information security officer (CISO) VS Hacker 🤪

#fun
#CISO
#phishing
#sim_Jacking
#Credential_stuffing
#Social_engineering
#MFA_Bypass_Proxy
#AI_Powered_Phishing

@iDeFense

🚧 مجموعه LOLC2 معرفی فریم‌ورک‌های C2 است که از سرویس‌های قانونی و معتبر برای پنهان شدن از سیستم‌های تشخیص استفاده می‌کند

♦️ در میان این فریم‌ورک‌ها، برخی از C2ها عبارتند از:
Telegram, Asana, OneDrive, Microsoft Tasks, Jira, Notion👀,splunk🪱 و دیگر سرویس‌های مشابه

🔰 روش‌های تشخیص:
🔍 تدوین قوانین و فیلتر کردن اتصالات
🔍 تحلیل رفتار (Behavioral Analysis) برای شناسایی فعالیت‌ها
🔍 استفاده از ابزار یارا (Yara)
🔍 نظارت بر فرآیندها و درخواست‌های API

🔗 https://lolc2.github.io/

#C2Frameworks
#MalwareDetection
#LOLC2
#BehavioralAnalysis
#APIMonitoring
#YaraRules
#ThreatDetection
#NetworkSecurity
#RedTeam
#SOC

@iDeFense

😈 Pwning the Domain: With Credentials.

• Domain Account;
• Enumeration;
• BloodHound;
• PowerView;
• Kerberoasting;
• PrinterBug(MS-PRPN);
• ShadowCoerce(MS-FSRVP);
• DFSCoerce(MS-DFSNM);
• SMB share;
• Vulnerabilities;
• PrivExchange Vulnerability;
• SamAccountName/NoPac;
- SamAccountName/NoPac Attack;
• PrintNightmare;
• Certifried;
- Certifried Exploitation;
• Domain Admin;
• Dump NTDS;
• DCSync;
• Extract Credentials;
• LSASS DUMP;
• SAM/LSA DUMP;
• DPAPI Dump/Decryption;
• Token Manipulation;
• Adjust token privileges;
• Token Impersonation;
• Security Researchers.

#AD
#Domain
#Credentials
#RedTeam

@iDeFense

💢 گروه Sandworm (معروف به APT44)، در حال اجرای یک کمپین سایبری علیه کاربران ویندوز در اوکراین است. این گروه با استفاده از ابزارهای فعال‌سازی KMS مایکروسافت دستکاری‌شده و به‌روزرسانی‌های جعلی ویندوز، نسخه‌ای جدید از بارگذار BACKORDER را توزیع می‌کند که در نهایت به استقرار تروجان دسترسی از راه دور Dark Crystal RAT (DcRAT) منجر می‌شود (این بدافزار به مهاجمان امکان سرقت داده‌های حساس و جاسوسی سایبری را می‌دهد)

🔬 شواهد متعددی این کمپین را به Sandworm مرتبط می‌کند، از جمله استفاده مکرر از حساب‌های ProtonMail در سوابق WHOIS، زیرساخت‌های یکسان، و تکنیک‌ها و روش‌های تاکتیکی (TTPs) مشابه. علاوه بر این، استفاده مجدد از BACKORDER، DcRAT، و مکانیزم‌های شبکه TOR، همراه با نشانه‌هایی که به محیط ساخت ابزار به زبان روسی اشاره دارند، این ارتباط را تقویت می‌کنند.

🦠 استفاده گسترده از نرم‌افزارهای کرک‌شده در اوکراین، حتی در نهادهای دولتی، سطح حمله بزرگی را ایجاد کرده است. بر اساس گزارش‌ها، مایکروسافت تخمین زده است که 70٪ از نرم‌افزارهای بخش دولتی اوکراین بدون مجوز هستند، که این روند احتمالاً به دلیل مشکلات اقتصادی ناشی از جنگ تشدید شده است. بسیاری از کاربران، از جمله کسب‌وکارها و نهادهای حیاتی، به نرم‌افزارهای کرک شده از منابع نامعتبر روی آورده‌اند، که به مهاجمانی مانند Sandworm فرصت می‌دهد بدافزار را در برنامه‌های پرکاربرد جاسازی کنند. این تاکتیک امکان جاسوسی گسترده، سرقت داده‌ها، و نفوذ به شبکه‌ها را فراهم می‌کند، که مستقیماً امنیت ملی، زیرساخت‌های حیاتی، و مقاومت بخش خصوصی اوکراین را تهدید می‌کند.

⚠️ در یکی از این حملات، فایل فشرده‌ای با عنوان "KMSAuto++x64_v1.8.4.zip" در تورنت منتشر شد که حاوی BACKORDER بود. مهاجمان این فایل را به‌عنوان ابزاری برای فعال‌سازی KMS معرفی کردند تا کاربرانی را که قصد دور زدن نیازهای مجوز ویندوز را دارند، هدف قرار دهند. این ابزار پس از اجرا، یک رابط جعلی فعال‌سازی ویندوز را نمایش می‌دهد، در حالی که در پس‌زمینه، بارگذار BACKORDER را اجرا می‌کند که در نهایت به استقرار DcRAT منجر می‌شود.

🌐 https://blog.eclecticiq.com/sandworm-apt-targets-ukrainian-users-with-trojanized-microsoft-kms-activation-tools-in-cyber-espionage-campaigns

🔗 https://nsarchive.gwu.edu/sites/default/files/documents/semon9-ryglx/2024-04-17-Mandiant-APT44-Unearthing-Sandworm.pdf


🔰Detection #SIGMA_Rules #YARA_Rule #IOCs #C2_Domains #MITRE_TTPs
#RedTeam #DcRAT #SIGMA_Rules
#Sandworm #C2
#APT44
#BACKORDER

@iDeFense

🔬 رویداد EventID 10 در Sysmon، که به‌عنوان Process Access شناخته می‌شود، زمانی ثبت می‌شود که یک فرآیند سعی می‌کند به فرآیند دیگری دسترسی پیدا کند. این رویداد اطلاعاتی درباره تعاملات بین فرآیندها ارائه می‌دهد و می‌تواند در شناسایی و نظارت بر تعاملات فرآیندها و بررسی فعالیت‌های مخرب مفید باشد

⚒️ ویژگی ها:
✅ شناسایی دسترسی‌های غیرمجاز
✅ شناسایی تلاش‌های Privilege Escalation
✅ شناسایی تکنیک‌های Process Injection

🛠 مبدل Granted Access یک ابزار که برای کمک به کاربران در درک و تفسیر مقادیر فیلد GrantedAccess موجود در SYSMON EventID 10 نوشته شده است
که این امکان را به کاربران می دهد تا مقادیر دسترسی hexadecimal مشخص شده جهت دسترسی را به مقادیر قابل خواندن انسانی تبدیل کنند و برعکس

🌐 https://yukh1402.github.io/granted-access-converter/

✅ همچنین میتوانید خودتان نیز این مقادیر را توسط اسکریپت زیر تبدیل کنید

Get-SysmonAccessMask -AccessMask 0x418

🛠 https://www.powershellgallery.com/packages/PSGumshoe/1.5/Content/EventLog%5CGet-SysmonAccessMask.ps1

#SOC
#tools
#BlueTeam
#Process_Injection
#Detection

@iDeFense

⭕ در سال‌های اخیر، مهاجمان سایبری به‌منظور دور زدن مکانیزم‌های شناسایی نرم‌افزارهای امنیتی، به استفاده از زبان‌های برنامه‌نویسی کمتر متداول روی آورده‌اند. این زبان‌ها به‌دلیل عدم آشنایی کامل ابزارهای امنیتی با آن‌ها، می‌توانند به‌عنوان روشی برای مخفی‌سازی بدافزارها مورد استفاده قرار گیرند

🔻 در اینجا روشی برای دور زدن Microsoft Defender از طریق ترکیب زبان‌های برنامه‌نویسی Lua و Rust رو بررسی میکنیم
با استفاده از این دو زبان، یک لودر شل‌کد میتوان ایجاد کرد که توسط Microsoft Defender شناسایی نمی‌شود
⚙  https://blog.shellntel.com/p/evading-microsoft-defender
👁‍🗨 مراحل:

با استفاده از ابزار msfvenom، یک شل‌کد Meterpreter تولید می‌شود
سپس شل‌کد تولید شده با استفاده از یک کلید XOR می‌شود تا از شناسایی آن توسط آنتی‌ویروس‌ها جلوگیری کند

🦠 سپس شل‌کد رمزگذاری‌شده در یک برنامه Rust تعبیه می‌شود که از کتابخانه mlua برای اجرای کد Lua استفاده می‌کند
در نهایت کد Lua شل‌کد را رمزگشایی کرده و آن را در حافظه اجرا می‌کند

🔗 https://www.darkreading.com/threat-intelligence/attackers-use-of-uncommon-programming-languages-continues-to-grow?utm_source=blog.shellntel.com&utm_medium=referral&utm_campaign=evading-microsoft-defender

#MalwareDevelopment
#AV_Evasion
#UncommonLanguages
#MalwareAnalysis

@iDeFense

یه چیز جالب🤔

🔥 لیست رتبه بندی شده بر اساس دشواری دور زدن EDR ها توسط یک اپراتور باج افزار منتشر شده است


🔗 https://x.com/PsExec64/status/1916205645507842

#BlueTeam
#EDRBypass
#MalwareAnalysis
#Ransomware
#EDRKillers
#EDR
#EDREvasion
#APT
#ThreatHunting

@iDeFense

استخدام در شرکت آریوان تیمی پویا و خلاق – فرصت‌های شغلی در حوزه فناوری اطلاعات

شرکت ما در راستای گسترش تیم فنی خود، از افراد مستعد، خلاق و باانگیزه برای همکاری در موقعیت‌های زیر دعوت به عمل می‌آورد:

موقعیت‌های شغلی مورد نیاز:

کارشناس شبکه

مسلط به مفاهیم TCP/IP، Routing، Switching

آشنا با ابزارهای مانیتورینگ و امنیت شبکه

مهندس DevOps

تسلط به CI/CD، Docker، Kubernetes

آشنایی با GitLab، Jenkins و Terraform مزیت محسوب می‌شود

برنامه‌نویس اندروید (Kotlin)

تسلط کامل به زبان Kotlin و Android SDK

تجربه کار با RESTful API و معماری MVVM

کارشناس امنیت وب

آشنایی با OWASP Top 10، تست نفوذ، ابزارهایی مانند Burp Suite

توانایی تحلیل آسیب‌پذیری‌های امنیتی و ارائه راهکار

برنامه‌نویس PHP (Laravel)

تسلط کامل به فریمورک Laravel و طراحی RESTful API

تجربه کار با دیتابیس MySQL و مفاهیم MVC

مزایای همکاری با ما:

محیط کاری پویا و دوستانه

امکان رشد و ارتقاء شغلی

پروژه‌های متنوع و چالش‌برانگیز

پرداخت به‌موقع و بیمه تأمین اجتماعی

نحوه ارسال رزومه:
در صورت تمایل به همکاری، لطفاً رزومه خود را با عنوان «موقعیت شغلی + نام» به آیدی ذیل
@Hr_Arivan
ارسال فرمایید.

🔝دوستان علاقه مند به امنیت هم میتونند رزومه ارسال کنند 🙏

SANS Linux Incident Response Poster

#Poster
#DFIR
#Linux
#Incident_Response

@iDeFense

🔴 بررسی یک آسیب‌پذیری patch نشده تحت عنوان BadSuccessor در ویندوز سرور 2025 که امکان سو استفاده از dMSA برای بالابردن سطح دسترسی در اکتیو دایرکتوری بدون تغییر در Object کاربر را میدهد و راهکارهای مقابله و مانیتورینگ آن

🔍 مقاله بررسی شده آسیب‌پذیری:
🔗https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory

🔖 اسکریپت پاورشل ارائه شده از سوی akamai:
🔗https://github.com/akamai/BadSuccessor

🦠 ماژول NetExec:
🔗https://github.com/Pennyw0rth/NetExec/pull/702

🛠 ابزار پایتون:
🔗https://github.com/cybrly/badsuccessor

🔪ابزار SharpSuccessor:
🔗https://github.com/logangoins/SharpSuccessor

#Podcast
#BadSuccessor
#RedTeam
#BlueTeam
#SOC
#ActiveDirectory
#KerberosAttack
#DMSA

@iDeFense

فرزندان ایران!🖤

🚀 ابزار قدرتمند Kraken برای حملات Brute Force

ابزار Kraken یک ابزار همه‌کاره برای تست نفوذ است که وظیفه‌ی مرکزی‌سازی و بهینه‌سازی حملات Brute Force را برعهده دارد. این ابزار از پروتکل‌ها و سرویس‌های مختلفی پشتیبانی می‌کند و برای انجام تست‌های امنیتی بسیار کاربردی است.

🕸 پروتکل‌ها و سرویس‌های شبکه‌ای قابل پشتیبانی:

💠 FTP Brute Force

💠 Kubernetes Brute Force

💠 LDAP Brute Force

💠 VOIP Brute Force

💠 SSH Brute Force

💠 Telnet Brute Force

💠 WiFi Brute Force

💠 WPA3 Brute Force

🌐 ابزارهای حمله به وب‌اپلیکیشن‌ها:

⚒️ CPanel Brute Force

⚒️ Drupal Brute Force

⚒️ Joomla Brute Force

⚒️ Magento Brute Force

⚒️ Office365 Brute Force

⚒️ Prestashop Brute Force

⚒️ OpenCart Brute Force

⚒️ WooCommerce Brute Force

⚒️WordPress Brute Force

👨‍💻 سورس‌کد و اطلاعات بیشتر:
🔗 github.com/jasonxtn/Kraken
#bruteforce
#pentest
#Tools

@iDeFense

❌ هشدار امنیتی مهم ❌

⚠️ یگان فارسی‌زبان ارتش اسرائیل (یگان ۸۲۰۰) در فضای مجازی به شدت فعال است. این افراد با اکانت‌های جعلی خود را به عنوان مردم عادی جا زده و در تلاشند تا اطلاعات جمع‌آوری کنند.

آن ها بدنبال اطلاعاتی نظیر محل برخورد ، محل پرتاب موشک و جزئیات حملات هستند
لطفاً از نوشتن مواردی همچون «کجا رو زدن» یا «صدای انفجار از کدوم سمت اومده» خودداری کنید! حتی ساده‌ترین اطلاعات می‌تواند به آن‌ها کمک کند تا هدف بعدی را شناسایی کنند.

اکانت‌های با پشتیبانی موساد به صورت هدفمند به کاربران ایرانی در تلگرام پیام می‌فرستند. اگر کسی به شما پیام داد و لینکی ارسال کرد، فوراً او را بلاک کرده و به هیچ وجه وارد آن لینک‌ها نشوید.
لطفاً اطلاع‌رسانی کنید تا کسی به دام این افراد نیفتد.
🇮🇷@IranCyber_Org

⚠️ اپلیکشن های اینستاگرام و واتساپ آپدیت جدید دادند، در شرایط فعلی هیچ اپلیکشینی آپدیت نکنید. احتمالا جهت دسترسی بیشتر به گوشی‌های ایرانی باشه!

⛔️ این دو تا برنامه متعلق به شرکت متا آمریکایی هستند...

🇮🇷 @IranCyber_Org