Forwarded from APT IRAN مرکز تحقیقاتی
سازمانی که حتی امنیت خودش را نمیتواند تامین کند، دم از صدور گواهی امنیتی میزند!
اما چه خوشبینانه است اگر فکر کنیم آن باگ واقعی، فقط یک هانیپات محدود شده بوده؛ انگار میخواهند با این ترفند، ضعف امنیتی بزرگ را به بازی بگیرند!😭
#ارسالی_شما
اما چه خوشبینانه است اگر فکر کنیم آن باگ واقعی، فقط یک هانیپات محدود شده بوده؛ انگار میخواهند با این ترفند، ضعف امنیتی بزرگ را به بازی بگیرند!
#ارسالی_شما
Please open Telegram to view this post
VIEW IN TELEGRAM
👌7
Forwarded from Dagen (security)
یه وبسایت جذاب برای دامین دیسکاوریه . کافیه اسم دامنه رو بهش بدی تا دامین های مشابه واست پیدا کنه توی نتایج ایمیل های کمپانی و دامین هایی که به اون دارایی وابسته ان رو بهت نمایش میده .
اگه میخوای یه واید ریکان بزرگ انجام بدی گزینه مناسبیه .
link : https://website.informer.com
@Dagen_security
اگه میخوای یه واید ریکان بزرگ انجام بدی گزینه مناسبیه .
link : https://website.informer.com
@Dagen_security
❤4
Forwarded from localhost
اونایی که گیر پیدا کردن ساب دامین هستن یه سر به این سایت بزنن
( البته هیچ ابزاری 100% تمام ساب دامینا رو براتون پیدا نمیکنه )
https://www.merklemap.com
( البته هیچ ابزاری 100% تمام ساب دامینا رو براتون پیدا نمیکنه )
https://www.merklemap.com
❤8👏2
https://medium.com/@GhasemiAsli/exploring-the-security-challenges-of-decentralized-applications-dapps-843e72e6cc29
اینو رایتاپ راجب باگ های وب 3 هستش و کمی شمارو با وب مدرن و آسیب پذیری هاش آشنا میکنه
اینو رایتاپ راجب باگ های وب 3 هستش و کمی شمارو با وب مدرن و آسیب پذیری هاش آشنا میکنه
Medium
Exploring the Security Challenges of Decentralized Applications (DApps)
When people think about Web3 security, the conversation almost always starts with smart contracts. That makes sense: a single bug in a…
بعد از دسترسی به سیستم عامل ویندوز و بررسی Privilege ها اگر این دو Privilege برای یوزرتون فعال بود:
شرایط مهیا هستش یا یوزرتون رو به System اسکلیشن کنید.
این پریویلیج به شما اجازه میده با توکن یوزر دیگه پروسز و ترد باز کنید!
حالا این که چطور توکن یوزر System رو بدست بیاریم یکم بحث مفصل تریه میتونین راجب اکسپلویت خانواده potato و نحوه کارش مطالعه کنید.
🔴 نکته:
IIS , SQL Server
بصورت دیفالت این Privilege هارو فعال دارن!
🖇 یه مقاله هم اضافه کردم برای مطالعه عمیق:
https://usersince99.medium.com/windows-privilege-escalation-token-impersonation-seimpersonateprivilege-364b61017070
@matitanium
شرایط مهیا هستش یا یوزرتون رو به System اسکلیشن کنید.
این پریویلیج به شما اجازه میده با توکن یوزر دیگه پروسز و ترد باز کنید!
حالا این که چطور توکن یوزر System رو بدست بیاریم یکم بحث مفصل تریه میتونین راجب اکسپلویت خانواده potato و نحوه کارش مطالعه کنید.
🔴 نکته:
IIS , SQL Server
بصورت دیفالت این Privilege هارو فعال دارن!
🖇 یه مقاله هم اضافه کردم برای مطالعه عمیق:
https://usersince99.medium.com/windows-privilege-escalation-token-impersonation-seimpersonateprivilege-364b61017070
@matitanium
❤8
🔴 اولین باجافزار هوش مصنوعی کشف شد؛ تهدیدی جدی به نام PromptLock
▪️همه این روزها درباره فرصتهای عجیبوغریب هوش مصنوعی حرف میزنن، اما حالا روی دیگهی ماجرا نمایان شده! محققان امنیتی شرکت ESET برای اولین بار از شناسایی باجافزاری به اسم PromptLock خبر دادن
▪️بدافزاری که از مدلهای زبانی برای ساخت کدهای مخرب استفاده میکنه و هر بار یک اسکریپت متفاوت تولید میشه ؛ این باجافزار میتونه فایلها رو فهرستبرداری کنه، اطلاعات رو استخراج کنه و دادهها رو رمزگذاری کنه!
▪️همه این روزها درباره فرصتهای عجیبوغریب هوش مصنوعی حرف میزنن، اما حالا روی دیگهی ماجرا نمایان شده! محققان امنیتی شرکت ESET برای اولین بار از شناسایی باجافزاری به اسم PromptLock خبر دادن
▪️بدافزاری که از مدلهای زبانی برای ساخت کدهای مخرب استفاده میکنه و هر بار یک اسکریپت متفاوت تولید میشه ؛ این باجافزار میتونه فایلها رو فهرستبرداری کنه، اطلاعات رو استخراج کنه و دادهها رو رمزگذاری کنه!
😈4
👻 روحی که جایگزین DLL شد!
🧠 Phantom DLL چیه دقیقاً
ایدهی اصلی اینه:
🔧 یه DLL قانونی رو لود میکنی،
🧼 بعدش محتواشو پاک میکنی،
🧠 بعد شلکدتو میریزی جای اون...
اما هنوز از بیرون، همهچی به نظر اوکیه. چون فایل اصلی رو با Delete on Close باز کردی
💡 چرا بهش میگن Phantom؟
چون وقتی سیستم فایل DLL رو میخونه، میبینه هست.
ولی وقتی پروسس بسته بشه، DLL از روی دیسک پاک میشه…
یعنی عملاً یه فایل بیجسم داری که فقط تو حافظه هست.
⚒️ چجوری انجامش میدن؟
1 با CreateFile یا API مشابه، فایل DLL رو با فلگ FILE_FLAG_DELETE_ON_CLOSE باز کن
2 از CreateFileMapping برای مپ کردن محتواش تو حافظه استفاده کن
3 از MapViewOfFile برای دسترسی به حافظه
4 محتوا رو با VirtualProtect قابل نوشتن کن
5 کلش رو پاک کن و Shellcode یا DLL مخرب خودتو بریز
6 از CreateRemoteThread یا LoadLibrary جعلی برای اجرا استفاده کن
🔥 چرا خفنتر از Process Hollowing؟
خیلی از آنتیویروسها فقط دنبال PEهای اجراشده یا فایلهای روی دیسکن
اینجا فایلی وجود نداره! (حداقل نه وقتی پروسس بسته شه)
لاگهایی مثل Event ID 7 (Sysmon) چیزی نشون نمیدن چون DLL از روی دیسک نیست
🧪 تشخیص چیه؟
✅ بررسی PEهای لود شده با مقایسه بین هَش فایل روی دیسک و محتوای در حافظه
✅ ابزارهایی مثل PE-sieve، Volatility و Cuckoo میتونن شناسایی کنن:
pe-sieve64.exe /pid <pid> /shellc /imp
🔍 همچنین میتونی با بررسی inconsistency بین module path و state حافظه پیداش کنی.
🎯 کجا استفاده میشه؟
APTهای جدی مثل FIN7، Lazarus و حتی بعضی rootkitها توی مراحل نهایی استفادهش میکنن برای payload injection توی DLL قانونی
🧠 جمعبندی:
> Phantom DLL Hollowing = تزریق نامرئی!
نه فایل هست، نه رد پای واقعی… فقط یه شبح توی حافظه که کار خودشو میکنه
🧠 Phantom DLL چیه دقیقاً
ایدهی اصلی اینه:
🔧 یه DLL قانونی رو لود میکنی،
🧼 بعدش محتواشو پاک میکنی،
🧠 بعد شلکدتو میریزی جای اون...
اما هنوز از بیرون، همهچی به نظر اوکیه. چون فایل اصلی رو با Delete on Close باز کردی
💡 چرا بهش میگن Phantom؟
چون وقتی سیستم فایل DLL رو میخونه، میبینه هست.
ولی وقتی پروسس بسته بشه، DLL از روی دیسک پاک میشه…
یعنی عملاً یه فایل بیجسم داری که فقط تو حافظه هست.
⚒️ چجوری انجامش میدن؟
1 با CreateFile یا API مشابه، فایل DLL رو با فلگ FILE_FLAG_DELETE_ON_CLOSE باز کن
2 از CreateFileMapping برای مپ کردن محتواش تو حافظه استفاده کن
3 از MapViewOfFile برای دسترسی به حافظه
4 محتوا رو با VirtualProtect قابل نوشتن کن
5 کلش رو پاک کن و Shellcode یا DLL مخرب خودتو بریز
6 از CreateRemoteThread یا LoadLibrary جعلی برای اجرا استفاده کن
🔥 چرا خفنتر از Process Hollowing؟
خیلی از آنتیویروسها فقط دنبال PEهای اجراشده یا فایلهای روی دیسکن
اینجا فایلی وجود نداره! (حداقل نه وقتی پروسس بسته شه)
لاگهایی مثل Event ID 7 (Sysmon) چیزی نشون نمیدن چون DLL از روی دیسک نیست
🧪 تشخیص چیه؟
✅ بررسی PEهای لود شده با مقایسه بین هَش فایل روی دیسک و محتوای در حافظه
✅ ابزارهایی مثل PE-sieve، Volatility و Cuckoo میتونن شناسایی کنن:
pe-sieve64.exe /pid <pid> /shellc /imp
🔍 همچنین میتونی با بررسی inconsistency بین module path و state حافظه پیداش کنی.
🎯 کجا استفاده میشه؟
APTهای جدی مثل FIN7، Lazarus و حتی بعضی rootkitها توی مراحل نهایی استفادهش میکنن برای payload injection توی DLL قانونی
🧠 جمعبندی:
> Phantom DLL Hollowing = تزریق نامرئی!
نه فایل هست، نه رد پای واقعی… فقط یه شبح توی حافظه که کار خودشو میکنه
🗿3👌1
CyberSecurity
👻 روحی که جایگزین DLL شد! 🧠 Phantom DLL چیه دقیقاً ایدهی اصلی اینه: 🔧 یه DLL قانونی رو لود میکنی، 🧼 بعدش محتواشو پاک میکنی، 🧠 بعد شلکدتو میریزی جای اون... اما هنوز از بیرون، همهچی به نظر اوکیه. چون فایل اصلی رو با Delete on Close باز کردی 💡…
نهایتن این کار برای دور زدن آنتی ویروس هاست
جوری که ردپای زیادی نداشته باشیم
یک dll که بصورت قانونی روی مموری لود شدرو بر میداریم کامل خالی میکنیم🗿
بعد InMemory بدون درگیری با دیسک محتوای خودمونو جایگزینش میکنیم…
جوری که ردپای زیادی نداشته باشیم
یک dll که بصورت قانونی روی مموری لود شدرو بر میداریم کامل خالی میکنیم🗿
بعد InMemory بدون درگیری با دیسک محتوای خودمونو جایگزینش میکنیم…
🗿3
🖥 بعد از دسترسی به یک سرور ویندوزی A و ریکان شبکه داخلیش متوجه شدم هاست های دیگه ای هستن داخل شبکه,
شبکه Workgroup بود...
روی یکی از ویندوز های داخلی سازمان SQL Server بود که ما ویندوز سرور B در نظر میگیریم.
بعد از گشتن و بررسی کامل سرور A اطلاعات کانکشن به دیتابیس در ویندوز B پیدا شد...
📍استک کويری رو فعال کردم روش و Lateral Movment انجام شد...
در هاردنینگ درون سازمانی خودتون بشدت دقت کنید که با تسخیر یک سرور کل شبکتون تحت کنترل مهاجم در نیاد.:)
@matitanium
شبکه Workgroup بود...
روی یکی از ویندوز های داخلی سازمان SQL Server بود که ما ویندوز سرور B در نظر میگیریم.
بعد از گشتن و بررسی کامل سرور A اطلاعات کانکشن به دیتابیس در ویندوز B پیدا شد...
📍استک کويری رو فعال کردم روش و Lateral Movment انجام شد...
در هاردنینگ درون سازمانی خودتون بشدت دقت کنید که با تسخیر یک سرور کل شبکتون تحت کنترل مهاجم در نیاد.:)
@matitanium
🔥4
حین کار، با یه پروژه رو به رو شدم
کامل داکیومنتشو نخوندم
ولی اینو چک کنید:)
https://www.trydeepteam.com/
کامل داکیومنتشو نخوندم
ولی اینو چک کنید:)
https://www.trydeepteam.com/
Trydeepteam
DeepTeam - The Open-Source LLM Red Teaming Framework
🔥3
Audio
#Article
چگونه یک مدل یادگیری ماشین برای شناسایی DLL hijacking آموزش دادیم
تصمیم گرفتم این مقاله رو با Notebooklm برای شما تبدیل کنم تا متوجه بشید غول های تکنولوژی به چه صورت از LLM ها و ML استفاده می کنند تا یکسری کارها به صورت فرآیند خودکار انجام بشه.
تکنیک DLL hijacking یک تکنیک عملیات رایج است که در آن مهاجمان کتابخانهای (DLL) را که توسط یک فرایند قانونی فراخوانی میشود با یک کتابخانهی مخرب جایگزین میکنند. این روش هم توسط سازندگان بدافزارهای با تاثیر وسیع (مثل stealerها و تروجانهای بانکی) و هم توسط گروههای APT و جرایم سایبری که پشت حملات هدفمند هستند، استفاده میشود. در سالهای اخیر تعداد حملات DLL hijacking بهطور قابل توجهی افزایش یافته است.
برای جزئیات فنی و نتایج آزمایشها میتوانید مقالهٔ کامل Kaspersky را در Securelist مطالعه کنید.
پاورقی : ترجمه به فارسی برخی لغات همچنان مشکل داره ولی، قابل قبول هست 😊😉
🦅 کانال بایت امن | گروه بایت امن
_
چگونه یک مدل یادگیری ماشین برای شناسایی DLL hijacking آموزش دادیم
تصمیم گرفتم این مقاله رو با Notebooklm برای شما تبدیل کنم تا متوجه بشید غول های تکنولوژی به چه صورت از LLM ها و ML استفاده می کنند تا یکسری کارها به صورت فرآیند خودکار انجام بشه.
تکنیک DLL hijacking یک تکنیک عملیات رایج است که در آن مهاجمان کتابخانهای (DLL) را که توسط یک فرایند قانونی فراخوانی میشود با یک کتابخانهی مخرب جایگزین میکنند. این روش هم توسط سازندگان بدافزارهای با تاثیر وسیع (مثل stealerها و تروجانهای بانکی) و هم توسط گروههای APT و جرایم سایبری که پشت حملات هدفمند هستند، استفاده میشود. در سالهای اخیر تعداد حملات DLL hijacking بهطور قابل توجهی افزایش یافته است.
برای جزئیات فنی و نتایج آزمایشها میتوانید مقالهٔ کامل Kaspersky را در Securelist مطالعه کنید.
پاورقی : ترجمه به فارسی برخی لغات همچنان مشکل داره ولی، قابل قبول هست 😊😉
🦅 کانال بایت امن | گروه بایت امن
_
👍1
Forwarded from پلاک نت|مرجع انتشار محتوای کاربردی مرتبط با تیم های قرمز Red teams (k bs)
APT28 LAMEHUG
اولین بدافزار مجهز به هوش مصنوعی
گروه هکری روس APT28 (Forest Blizzard, UAC-0001) با توسعه اولین بدافزار عمومی مستندشده که از یک مدل زبانی بزرگ (LLM) بهره می برد، دوره جدیدی از حملات سایبری را معرفی کرده است. LAMEHUG فصل جدیدی در تاریخ بدافزارها گشوده است.
معماری فنی
اجزای اصلی:
- زبان برنامهنویسی: پایتون
- بستهبندی: PyInstaller (فایلهای .pif)
- مدل زبانی: Qwen 2.5-Coder-32B-Instruct
- رابط برنامهنویسی (API): Hugging Face Inference API
- روش تحویل: ایمیلهای فیشینگ حاوی فایلهای ZIP
رویکرد انقلابی:
LAMEHUG
دستورات متنی به زبان طبیعی را دریافت کرده و از طریق مدل زبانی آن ها را به دستورات سیستمی تبدیل می کند که روی دستگاه آلوده اجرا می شوند. این قابلیت امکان خودکارسازی وظایف پیچیده جاسوسی و سرقت دادهها را بدون نیاز به برنامهنویسی دستورات خاص فراهم میکند.
مکانیزم عملکرد
مرحله ۱: آلودگی
مرحله ۲: تولید دستورات توسط هوش مصنوعی
بدافزار درخواستهایی را به Qwen 2.5-Coder از طریق API Hugging Face ارسال میکند:
"تولید دستورات ویندوز برای جمعوآوری اطلاعات سیستمی شامل سختافزار، پروسس ها، سرویس ها و پیکربندی شبکه"
مرحله ۳: اجرای دستورات تولید شده
مدل زبانی دستورات آماده را باز می گرداند و LAMEHUG آن ها را از طریق cmd.exe اجرا میکند:
مرحله ۴: جمع آوری و استخراج داده ها
- جستجوی بازگشتی در پوشه های Documents، Desktop، Downloads
- آماده سازی فایل ها برای استخراج
- انتقال داده ها از طریق SFTP یا HTTP POST.
گونههای بدافزار
سه نسخه شناسایی شده است:
1. نسخه اصلی (Appendix.pdf.pif)
- قابلیت پایه تولید دستورات توسط هوش مصنوعی
- جمعآوری اطلاعات سیستمی
- استخراج دادهها از طریق SFTP
2.AI_generator_uncensored_Canvas_PRO_v0.9.exe
- قابلیتهای پیشرفته تر تولید دستورات
- روش های جایگزین استخراج داده
- دور زدن محدودیت های مدل زبانی
3. image.py
- نسخه اسکریپت پایتون
- منطق تغییر یافته برای استخراج
- احتمالاً نسخه آزمایشی
شاخص های فنی
- نسخه جایگزین
شاخص های شبکهای:
هش فایل ها:
روش های شناسایی
1. نظارت بر فعالیت فایل:
2. شناسایی جاسوسی:
3. نظارت شبکهای:
اولین بدافزار مجهز به هوش مصنوعی
گروه هکری روس APT28 (Forest Blizzard, UAC-0001) با توسعه اولین بدافزار عمومی مستندشده که از یک مدل زبانی بزرگ (LLM) بهره می برد، دوره جدیدی از حملات سایبری را معرفی کرده است. LAMEHUG فصل جدیدی در تاریخ بدافزارها گشوده است.
معماری فنی
اجزای اصلی:
- زبان برنامهنویسی: پایتون
- بستهبندی: PyInstaller (فایلهای .pif)
- مدل زبانی: Qwen 2.5-Coder-32B-Instruct
- رابط برنامهنویسی (API): Hugging Face Inference API
- روش تحویل: ایمیلهای فیشینگ حاوی فایلهای ZIP
رویکرد انقلابی:
LAMEHUG
دستورات متنی به زبان طبیعی را دریافت کرده و از طریق مدل زبانی آن ها را به دستورات سیستمی تبدیل می کند که روی دستگاه آلوده اجرا می شوند. این قابلیت امکان خودکارسازی وظایف پیچیده جاسوسی و سرقت دادهها را بدون نیاز به برنامهنویسی دستورات خاص فراهم میکند.
مکانیزم عملکرد
مرحله ۱: آلودگی
Appendix.pdf.zip → Appendix.pdf.pif → PyInstaller executable
مرحله ۲: تولید دستورات توسط هوش مصنوعی
بدافزار درخواستهایی را به Qwen 2.5-Coder از طریق API Hugging Face ارسال میکند:
"تولید دستورات ویندوز برای جمعوآوری اطلاعات سیستمی شامل سختافزار، پروسس ها، سرویس ها و پیکربندی شبکه"
مرحله ۳: اجرای دستورات تولید شده
مدل زبانی دستورات آماده را باز می گرداند و LAMEHUG آن ها را از طریق cmd.exe اجرا میکند:
cmd.exe /c "mkdir %PROGRAMDATA%\info &&
systeminfo >> %PROGRAMDATA%\info\info.txt &&
wmic computersystem get name,manufacturer,model >> %PROGRAMDATA%\info\info.txt &&
wmic cpu get name,speed >> %PROGRAMDATA%\info\info.txt &&
wmic memorychip get capacity,speed >> %PROGRAMDATA%\info\info.txt &&
wmic diskdrive get model,size >> %PROGRAMDATA%\info\info.txt &&
wmic nic get name,macaddress,ipaddress >> %PROGRAMDATA%\info\info.txt &&
tasklist >> %PROGRAMDATA%\info\info.txt &&
net start >> %PROGRAMDATA%\info\info.txt &&
ipconfig /all >> %PROGRAMDATA%\info\info.txt &&
whoami /user >> %PROGRAMDATA%\info\info.txt &&
whoami /groups >> %PROGRAMDATA%\info\info.txt &&
net config workstation >> %PROGRAMDATA%\info\info.txt &&
dsquery user -samid %username% >> %PROGRAMDATA%\info\info.txt"
مرحله ۴: جمع آوری و استخراج داده ها
- جستجوی بازگشتی در پوشه های Documents، Desktop، Downloads
- آماده سازی فایل ها برای استخراج
- انتقال داده ها از طریق SFTP یا HTTP POST.
گونههای بدافزار
سه نسخه شناسایی شده است:
1. نسخه اصلی (Appendix.pdf.pif)
- قابلیت پایه تولید دستورات توسط هوش مصنوعی
- جمعآوری اطلاعات سیستمی
- استخراج دادهها از طریق SFTP
2.AI_generator_uncensored_Canvas_PRO_v0.9.exe
- قابلیتهای پیشرفته تر تولید دستورات
- روش های جایگزین استخراج داده
- دور زدن محدودیت های مدل زبانی
3. image.py
- نسخه اسکریپت پایتون
- منطق تغییر یافته برای استخراج
- احتمالاً نسخه آزمایشی
شاخص های فنی
آرتیفکت های فایل:
- %PROGRAMDATA%\info\info.txt
- اطلاعات سیستمی
- Appendix.pdf.pif
پیلود اصلی
- AI_generator_uncensored_Canvas_PRO_v0.9.exe
- نسخه جایگزین
شاخص های شبکهای:
- سرورهای C2: 144.126.202.227, 192.36.27.37
- دامنهها:
boroda70@meta.ua, stayathomeclasses.com
- API: inference.huggingface.co (Qwen 2.5-Coder)
- User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:140.0) Gecko/20100101 Firefox/140.0
هش فایل ها:
- 8013b23cb78407675f323d54b6b8dfb2a61fb40fb13309337f5b662dbd812a
- 766c356d6a4b00078a0293460c5967764fcd788da8c1cd1df708695f3a15b777
- a30930dfb655aa39c571c163ada65ba4dec30600df3bf548cc48bedd0e841416
- d6af1c9f5ce407e53ec73c8e7187ed804fb4f80cf8dbd6722fc69e15e135db2e
- bdb33bbb4ea11884b15f67e5c974136e6294aa87459cdc276ac2eea85b1deaa3
- 384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65715
روش های شناسایی
1. نظارت بر فعالیت فایل:
Sysmon Event ID 11: File creation in %PROGRAMDATA%\info\*
Suspicious files in writable directories: AppData, ProgramData, Users\Public
2. شناسایی جاسوسی:
- اجرای چندین دستور شناسایی در بازه زمانی کوتاه:
whoami, systeminfo, wmic, ipconfig, net, tasklist
3. نظارت شبکهای:
- اتصالات به نقاط پایانی API مدلهای زبانی:
- inference.huggingface.co
- api.openai.com
- generativelanguage.googleapis.com
- api.anthropic.com`
❤1
This media is not supported in your browser
VIEW IN TELEGRAM
بیش از 200 گزارش امنیتی از کمپانی های شرکت کننده در ایونت کشف و گزارش شد…
🔴 در اقدامی جالب در بخش رد تیم
حملات مهندسی اجتماعی هم تایید میشدن که باعث شد حملات بشدت شبیه سازی واقعی بشن
💵در مجموع بیش از 2میلیارد تومن جایزه به متخصصین اهدا شد
با حضور نمایندگان پلیس فتا تهران بزرگ
@matitanium
🔴 در اقدامی جالب در بخش رد تیم
حملات مهندسی اجتماعی هم تایید میشدن که باعث شد حملات بشدت شبیه سازی واقعی بشن
💵در مجموع بیش از 2میلیارد تومن جایزه به متخصصین اهدا شد
با حضور نمایندگان پلیس فتا تهران بزرگ
@matitanium
❤4👍1
executing shellcode from non-executable memory and "bypassing" DEP/NX.
A proof-of-concept implementation demonstrating how to execute code from non-executable memory on Windows x64 systems by combining hardware breakpoints, vectored exception handling (VEH), and instruction emulation—bypassing DEP/NX protection without modifying memory permissions.
🙂🙂🙂🙂🙂🙂🙂🙂
A proof-of-concept implementation demonstrating how to execute code from non-executable memory on Windows x64 systems by combining hardware breakpoints, vectored exception handling (VEH), and instruction emulation—bypassing DEP/NX protection without modifying memory permissions.
🙂🙂🙂🙂🙂🙂🙂🙂
GitHub
GitHub - VirtualAlllocEx/HWBP-DEP-Bypass: Educational proof-of-concept demonstrating DEP/NX bypass using hardware breakpoints,…
Educational proof-of-concept demonstrating DEP/NX bypass using hardware breakpoints, vectored exception handling, and instruction emulation on Windows x64. For security research and learning purpos...
🗿4
Forwarded from SoheilSec (Soheil)
At this week’s Microsoft BlueHat IL conference, Benjamin Delpy - widely respected for his work with Mimikatz - delivered what appears to be the first industry leak of Mimikatz 3.0.0 in a live demo. For those of us who have used Mimikatz extensively, this update is particularly intriguing. Delpy made it clear from the outset that this version won’t be publicly released anytime soon - a move that suggests significant shifts ahead.
⚠️ ALERT: A Chrome zero-day (CVE-2025-2783) was exploited to deliver spyware built by Memento Labs — the firm behind past government surveillance tools.
One click in Chromium = full sandbox escape.
Read this → https://thehackernews.com/2025/10/chrome-zero-day-exploited-to-deliver.html
One click in Chromium = full sandbox escape.
Read this → https://thehackernews.com/2025/10/chrome-zero-day-exploited-to-deliver.html