🔴 آسیب پذیری بحرانی آپلود فایل دلخواه در Cisco IOS XE Wireless Controller
یک آسیب پذیری با شناسه ی CVE-2025-20188 و با امتیاز 10 در IOS XE Wireless Controller کشف و اصلاح شده که به یک مهاجم راه دور و بدون احراز هویت امکان آپلود فایل دلخواه، Path Traversal یا اجرای دستورات دلخواه با امتیاز root رو میده.
آسیب پذیری بدلیل وجود یک توکن JWT هاردکد شده هستش و مهاجم با ارسال یک درخواست HTTPS دستکاری شده به اینترفیس دانلود ایمیج AP میتونه آسیب پذیری رو اکسپلویت کنه.
برای اکسپلویت ویژگی Out-of-Band AP Image Download روی دستگاه باید فعال باشه که بصورت پیش فرض فعال نیست.
بصورت کلی Cisco IOS XE Wireless Controller روی کنترل کننده های بی سیم سیسکو اجرا میشه که برای مدیریت سادهتر، امن تر و کارآمدتر شبکههای بیسیم در مقیاس بزرگ استفاده میشه.
قابلیت Out-of-Band AP Image Download در کنترلکنندههای بیسیم سیسکو یک روش خاص برای بروزرسانی نرمافزار یا فریمور APهاست که معمولا در اولین باری که سیستم بوت میشه و به شبکه اصلی متصل نیست، استفاده میشه و مثلا از طریق گرفتن یک آدرس HTTPS مشخص فایل بروزرسانی رو دانلود میکنه. این قابلیت بجای استفاده از پروتکل استاندارد CAPWAP، که روش پیشفرض برای مدیریت و بروزرسانی نقاط دسترسی هستش، از یک مسیر ارتباطی جداگانه برای دانلود فایلهای ایمیج استفاده میکنه. برای اینکه بدونید این ویژگی فعاله یا نه، اگه دستور زیر اجرا کردید و نتیجه زیر گرفتید، فعاله:
محصولات زیر در صورتیکه نسخه ی آسیب پذیر داشته باشن و ویژگی Out-of-Band AP Image Download روشون فعال باشه، تحت تاثیر آسیب پذیری هستن:
- Catalyst 9800-CL Wireless Controllers for Cloud
- Catalyst 9800 Embedded Wireless Controller for Catalyst 9300, 9400, and 9500 Series Switches
- Catalyst 9800 Series Wireless Controllers
- Embedded Wireless Controller on Catalyst APs
علاوه بر این آسیب پذیری، سیسکو 48 آسیب پذیری دیگه رو هم در محصولات مختلفش در بروزرسانی 7 مه اصلاح کرده که شدت متوسط یا بالا دارن.
یک آسیب پذیری با شدت بحرانی دیگه با شناسه CVE-2025-32433 رو هم اصلاح کردن که قبلا اینجا در موردش نوشتم.
#آسیب_پذیری_امنیتی #سیسکو
#cisco #CVE
🆔 @onhex_ir
➡️ ALL Link
یک آسیب پذیری با شناسه ی CVE-2025-20188 و با امتیاز 10 در IOS XE Wireless Controller کشف و اصلاح شده که به یک مهاجم راه دور و بدون احراز هویت امکان آپلود فایل دلخواه، Path Traversal یا اجرای دستورات دلخواه با امتیاز root رو میده.
آسیب پذیری بدلیل وجود یک توکن JWT هاردکد شده هستش و مهاجم با ارسال یک درخواست HTTPS دستکاری شده به اینترفیس دانلود ایمیج AP میتونه آسیب پذیری رو اکسپلویت کنه.
برای اکسپلویت ویژگی Out-of-Band AP Image Download روی دستگاه باید فعال باشه که بصورت پیش فرض فعال نیست.
بصورت کلی Cisco IOS XE Wireless Controller روی کنترل کننده های بی سیم سیسکو اجرا میشه که برای مدیریت سادهتر، امن تر و کارآمدتر شبکههای بیسیم در مقیاس بزرگ استفاده میشه.
قابلیت Out-of-Band AP Image Download در کنترلکنندههای بیسیم سیسکو یک روش خاص برای بروزرسانی نرمافزار یا فریمور APهاست که معمولا در اولین باری که سیستم بوت میشه و به شبکه اصلی متصل نیست، استفاده میشه و مثلا از طریق گرفتن یک آدرس HTTPS مشخص فایل بروزرسانی رو دانلود میکنه. این قابلیت بجای استفاده از پروتکل استاندارد CAPWAP، که روش پیشفرض برای مدیریت و بروزرسانی نقاط دسترسی هستش، از یک مسیر ارتباطی جداگانه برای دانلود فایلهای ایمیج استفاده میکنه. برای اینکه بدونید این ویژگی فعاله یا نه، اگه دستور زیر اجرا کردید و نتیجه زیر گرفتید، فعاله:
wlc# show running-config | include ap upgrade
ap upgrade method https
محصولات زیر در صورتیکه نسخه ی آسیب پذیر داشته باشن و ویژگی Out-of-Band AP Image Download روشون فعال باشه، تحت تاثیر آسیب پذیری هستن:
- Catalyst 9800-CL Wireless Controllers for Cloud
- Catalyst 9800 Embedded Wireless Controller for Catalyst 9300, 9400, and 9500 Series Switches
- Catalyst 9800 Series Wireless Controllers
- Embedded Wireless Controller on Catalyst APs
علاوه بر این آسیب پذیری، سیسکو 48 آسیب پذیری دیگه رو هم در محصولات مختلفش در بروزرسانی 7 مه اصلاح کرده که شدت متوسط یا بالا دارن.
یک آسیب پذیری با شدت بحرانی دیگه با شناسه CVE-2025-32433 رو هم اصلاح کردن که قبلا اینجا در موردش نوشتم.
#آسیب_پذیری_امنیتی #سیسکو
#cisco #CVE
🆔 @onhex_ir
➡️ ALL Link
Cisco
Cisco Security Advisory: Cisco IOS XE Wireless Controller Software Arbitrary File Upload Vulnerability
A vulnerability in the Out-of-Band Access Point (AP) Image Download, the Clean Air Spectral Recording, and the client debug bundles features of Cisco IOS XE Software for Wireless LAN Controllers (WLCs) could allow an unauthenticated, remote attacker to upload…
❤6
🔴 یک هکری اومده پنل های افیلیت #لاک_بیت در #دارک_وب رو دیفیس کرده و یک دامپ از دیتابیس MySQL پنل ها رو قرار داده.
در متن دیفیس نوشته: "جرم نکنید، جرم بد است. با عشق Prague" و در ادامه یک لینک برای دانلود paneldb_dump.zip گذاشته.
فایل دیتابیس شامل 20 جدول هستش که جالبترینهاش اینا هستن:
- جدول btc_addresses: شامل 59975 آدرس بیت کوین منحصر به فرد.
- جدول builds: شامل بیلدهای جداگانه هستش که توسط افیلیتها برای حملات ساخته شدن. ردیفهای جدول شامل فقط کلیدهای عمومی هستش. در برخی از بیلدها، نام شرکتهای هک شده هم وجود داره.
- جدول builds_configurations : شامل پیکربندی های مختلف برای هر بیلد هستش. مثلا اینکه چه مواردی رو نادیده بگیره یا کدوم فایلها رو رمز کنه.
- جدول chats: شامل 4442 پیام مذاکره بین بازیگران تهدید و قربانی از 19 دسامبر تا 29 آوریل هستش. براساس این تاریخ احتمال میدن که دیتابیس 29 آوریل استخراج شده.
- جدول users: شامل 75 ادمین و افیلیت که به پنل دسترسی داشتن. گویا پسوردها هم بصورت متن ساده ذخیره شدن.
معلوم نیست کی این هک رو انجام داده اما متن دیفیس مشابه پیامی هستش که در نقض سایت گروه باج افزاری Everest در دارک وب مورد استفاده قرار گرفته بود، که احتمالا نشون دهنده یک ارتباط بین این دو هک هستش.
سال پیش، مجریان قانون در یک عملیاتی بنام Operation Cronos، زیرساختهای این گروه باج افزاری رو از بین بردن اما بعد از مدتی این گروه دوباره سرپا شد و حملاتش ادامه داد. اما این حملات، میتونه به اعتبار این بازیگر تهدید ضربه بزنه.
گروههای باجافزاری دیگه ای مانند Conti ، Black Basta و Everest هم نشت های مشابهی رو تجربه کردن.
اکانت LockBitSupp این نقض رو تایید کرده و در توییتر گفته شما در حال دیدن اخبار هستید و ما در حال بازسازی.
داخل چتهاشون گویا تارگت 🇮🇷 هم داشتن: 😭
در خصوص لاک بیت پستهای زیادی در سایت و کانال قرار دادم، که میتونید از هشتگها بهشون دسترسی پیدا کنید، اما "یادداشت های باج افزار | قسمت پنجم | افشای LockBit" و "داستان یک فعال صنعت باج افزار: Bassterlord" میتونه جالب باشه.
منبع
#LockBit
🆔 @onhex_ir
➡️ ALL Link
در متن دیفیس نوشته: "جرم نکنید، جرم بد است. با عشق Prague" و در ادامه یک لینک برای دانلود paneldb_dump.zip گذاشته.
فایل دیتابیس شامل 20 جدول هستش که جالبترینهاش اینا هستن:
- جدول btc_addresses: شامل 59975 آدرس بیت کوین منحصر به فرد.
- جدول builds: شامل بیلدهای جداگانه هستش که توسط افیلیتها برای حملات ساخته شدن. ردیفهای جدول شامل فقط کلیدهای عمومی هستش. در برخی از بیلدها، نام شرکتهای هک شده هم وجود داره.
- جدول builds_configurations : شامل پیکربندی های مختلف برای هر بیلد هستش. مثلا اینکه چه مواردی رو نادیده بگیره یا کدوم فایلها رو رمز کنه.
- جدول chats: شامل 4442 پیام مذاکره بین بازیگران تهدید و قربانی از 19 دسامبر تا 29 آوریل هستش. براساس این تاریخ احتمال میدن که دیتابیس 29 آوریل استخراج شده.
- جدول users: شامل 75 ادمین و افیلیت که به پنل دسترسی داشتن. گویا پسوردها هم بصورت متن ساده ذخیره شدن.
معلوم نیست کی این هک رو انجام داده اما متن دیفیس مشابه پیامی هستش که در نقض سایت گروه باج افزاری Everest در دارک وب مورد استفاده قرار گرفته بود، که احتمالا نشون دهنده یک ارتباط بین این دو هک هستش.
سال پیش، مجریان قانون در یک عملیاتی بنام Operation Cronos، زیرساختهای این گروه باج افزاری رو از بین بردن اما بعد از مدتی این گروه دوباره سرپا شد و حملاتش ادامه داد. اما این حملات، میتونه به اعتبار این بازیگر تهدید ضربه بزنه.
گروههای باجافزاری دیگه ای مانند Conti ، Black Basta و Everest هم نشت های مشابهی رو تجربه کردن.
اکانت LockBitSupp این نقض رو تایید کرده و در توییتر گفته شما در حال دیدن اخبار هستید و ما در حال بازسازی.
داخل چتهاشون گویا تارگت 🇮🇷 هم داشتن: 😭
[2025-04-14 05:29:13] I want to be completely honest with you: I don't have access to any international banking systems. I don't have a foreign account, and I can't legally buy cryptocurrency like Bitcoin in my country. I live in Iran, and we are under heavy sanctions. Our currency the Toman has lost almost all its value. Even earning just a small amount of BTC is a nearly impossible task here.
I'm not a business owner with income in dollars or euros. I'm just an individual who has lost everything 20 servers gone. What you are asking for is simply beyond my means, even with a discount. If there was a way to pay in Toman, I could try to gather something, but I know it may not be useful to you.
Please, I am desperate. I'm not trying to avoid responsibility I just need a chance to recover even part of what I've lost. If you can reduce the amount to something that someone like me could possibly afford, I will do everything I can to make it happen.
This is my last hope. I'm asking not as a company or target just as a human being.
در خصوص لاک بیت پستهای زیادی در سایت و کانال قرار دادم، که میتونید از هشتگها بهشون دسترسی پیدا کنید، اما "یادداشت های باج افزار | قسمت پنجم | افشای LockBit" و "داستان یک فعال صنعت باج افزار: Bassterlord" میتونه جالب باشه.
منبع
#LockBit
🆔 @onhex_ir
➡️ ALL Link
❤20
🔴 تکنیک جدید Bring Your Own Installer(BYOI) برای دور زدن EDR
این تکنیک توسط محققای AON در جریان بررسی یک رخداد امنیت سایبری کشف شده که در اون بازیگران تهدید با استفاده از این تکنیک، EDR SentinelOne رو دور میزدن و باج افزار Babuk رو نصب میکردن.
تکنیک اینجوریه که برای بروزرسانی یا بازگشت به نسخه های پایین، فایل نصب MSI برای SentinelOne رو اجرا میکنن. هنگام اجرای این فایل، ویندوز از msiexec.exe برای نصب استفاده میکنه. موقع نصب تقریبا به مدت 55 ثانیه، همه ی پروسس های SentinelOne متوقف میشه تا فرایند نصب تکمیل بشه. در نتیجه سیستم در این مدت، عملا بدون محافظ هستش.
بازیگران تهدید از این ویژگی استفاده کردن و با متوقف کردن msiexec.exe فرایند بروزرسانی رو مختل میکنن و باج افزار روی سیستم نصب میکنن.
این حمله رو به SentinelOne گزارش دادن و این شرکت این آسیب پذیری رو تایید کرده و گفته که تکنیکهای مشابهی میتونه سایر EDRهارو هم تهدید کنه.
برای حل این مشکل فعال کردن پسورد بصورت پیش فرض برای حذف و ویژگی Local Upgrade Authorization برای تایید از طریق کنسول SentinelOne رو پیشنهاد دادن.
سوء استفاده از نصب کننده ها چیز جدیدی نیست اما قبلا ازشون برای انتقال فایل به سیستم قربانی در جاهای حساسی مانند درایو C استفاده میکردن.
#بازیگران_تهدید
#EDR #BYOI
🆔 @onhex_ir
➡️ ALL Link
این تکنیک توسط محققای AON در جریان بررسی یک رخداد امنیت سایبری کشف شده که در اون بازیگران تهدید با استفاده از این تکنیک، EDR SentinelOne رو دور میزدن و باج افزار Babuk رو نصب میکردن.
تکنیک اینجوریه که برای بروزرسانی یا بازگشت به نسخه های پایین، فایل نصب MSI برای SentinelOne رو اجرا میکنن. هنگام اجرای این فایل، ویندوز از msiexec.exe برای نصب استفاده میکنه. موقع نصب تقریبا به مدت 55 ثانیه، همه ی پروسس های SentinelOne متوقف میشه تا فرایند نصب تکمیل بشه. در نتیجه سیستم در این مدت، عملا بدون محافظ هستش.
بازیگران تهدید از این ویژگی استفاده کردن و با متوقف کردن msiexec.exe فرایند بروزرسانی رو مختل میکنن و باج افزار روی سیستم نصب میکنن.
این حمله رو به SentinelOne گزارش دادن و این شرکت این آسیب پذیری رو تایید کرده و گفته که تکنیکهای مشابهی میتونه سایر EDRهارو هم تهدید کنه.
برای حل این مشکل فعال کردن پسورد بصورت پیش فرض برای حذف و ویژگی Local Upgrade Authorization برای تایید از طریق کنسول SentinelOne رو پیشنهاد دادن.
سوء استفاده از نصب کننده ها چیز جدیدی نیست اما قبلا ازشون برای انتقال فایل به سیستم قربانی در جاهای حساسی مانند درایو C استفاده میکردن.
#بازیگران_تهدید
#EDR #BYOI
🆔 @onhex_ir
➡️ ALL Link
❤16
This media is not supported in your browser
VIEW IN TELEGRAM
🔴 پروژه ی WebVM یک پروژه متن باز از تیم Leaning Technologies هستش که اجازه میده یک سیستم عامل شبه لینوکس رو کاملاً در مرورگر و بدون نیاز به نصب چیزی اجرا کنید. کل سیستم بصورت سندباکس هستش و مبتنی بر WebAssembly (WASM) اجرا میشه.
از این پروژه میشه در خصوص آموزش لینوکس و مواردی که دسترسی به لینوکس ندارید، استفاده کنید.
اخیرا امکان استفاده از Claude رو هم فراهم کرده.
کدهای مربوط به پروژه رو میتونید از گیتهابش مشاهده کنید. یک نسخه ی لایو هم اینجا وجود داره که میتونید تستش کنید.
#لینوکس
#Linux
🆔 @onhex_ir
➡️ ALL Link
از این پروژه میشه در خصوص آموزش لینوکس و مواردی که دسترسی به لینوکس ندارید، استفاده کنید.
اخیرا امکان استفاده از Claude رو هم فراهم کرده.
کدهای مربوط به پروژه رو میتونید از گیتهابش مشاهده کنید. یک نسخه ی لایو هم اینجا وجود داره که میتونید تستش کنید.
#لینوکس
#Linux
🆔 @onhex_ir
➡️ ALL Link
❤17
🔴 بیست و دومین کنفرانس بینالمللی انجمن رمز ایران در حوزه امنیت اطلاعات و رمزنگاری (ISCISC 2025) توسط دانشگاه شهید بهشتی و با همکاری انجمن رمز ایران در 16 و 17 مهر برگزار میشه.
موضوعات مورد علاقه شامل، اما نه محدود به موارد زیر هستن:
- مبانی رمزنگاری و رمزگشایی
- پیادهسازی الگوریتمهای رمزنگاری و حملات مرتبط
- پروتکلهای امنیتی
- روشها و مدلهای امنیتی
- امنیت شبکه
- امنیت محاسبات
- مدیریت امنیت و حریم خصوصی
- نهاننگاری اطلاعات
- جرمشناسی دیجیتال
- موضوعات نوین در رمزنگاری و امنیت سایبری
تمام مقالات انگلیسی پذیرفتهشده در شماره ویژه مجله بینالمللی ISeCure منتشر میشن که دارای نمایههای بینالمللی معتبر نظیر Web of Science - JCR و Scopus - SJR هستش. مقالات فارسی پذیرفتهشده هم در شماره ویژه دوفصلنامه علمی منادی امنیت فضای تولید و تبادل اطلاعات (افتا) مورد تایید وزارت علوم و نمایه ISC منتشر خواهند شد.
مهلت ارسال مقاله تا 10 تیر هستش، برای برگزاری کارگاه هم از تیر ماه فراخوان میدن.
برای کسب اطلاعات بیشتر میتونید از سایتشون دیدن کنید.
#ایران #کنفرانس
#ISCISC2025
🆔 @onhex_ir
➡️ ALL Link
موضوعات مورد علاقه شامل، اما نه محدود به موارد زیر هستن:
- مبانی رمزنگاری و رمزگشایی
- پیادهسازی الگوریتمهای رمزنگاری و حملات مرتبط
- پروتکلهای امنیتی
- روشها و مدلهای امنیتی
- امنیت شبکه
- امنیت محاسبات
- مدیریت امنیت و حریم خصوصی
- نهاننگاری اطلاعات
- جرمشناسی دیجیتال
- موضوعات نوین در رمزنگاری و امنیت سایبری
تمام مقالات انگلیسی پذیرفتهشده در شماره ویژه مجله بینالمللی ISeCure منتشر میشن که دارای نمایههای بینالمللی معتبر نظیر Web of Science - JCR و Scopus - SJR هستش. مقالات فارسی پذیرفتهشده هم در شماره ویژه دوفصلنامه علمی منادی امنیت فضای تولید و تبادل اطلاعات (افتا) مورد تایید وزارت علوم و نمایه ISC منتشر خواهند شد.
مهلت ارسال مقاله تا 10 تیر هستش، برای برگزاری کارگاه هم از تیر ماه فراخوان میدن.
برای کسب اطلاعات بیشتر میتونید از سایتشون دیدن کنید.
#ایران #کنفرانس
#ISCISC2025
🆔 @onhex_ir
➡️ ALL Link
❤7
OnHex
🔴 آشنایی با MCP همراه با مثالهایی از دنیای امنیت سایبری احتمالا در این روزهای اخیر، عنوان MCP رو شنیدید. قابلیتی که امکان ارتباط بین هوش مصنوعی و ابزارهای مختلف رو فراهم میکنه. در این ویدیو یک نگاه مقدماتی به MCP انداختیم و سرورهای MCP برای IDA Pro و Burp…
Media is too big
VIEW IN TELEGRAM
🔴 برای Windbg هم MCP اومده که امکان آنالیز Windows crash dump رو میده.
در ویدیو بالا، یک crash dump رو با استفاده از Copilot آنالیز میکنن و در ادامه باگ رو شناسایی و بصورت خودکار اصلاح میکنن.
#هوش_مصنوعی #مهندسی_معکوس #باگ_بانتی
#ArtificialIntelligence #AI #bugbounty #ReverseEngineering #MCP #windbg
🆔 @onhex_ir
➡️ ALL Link
در ویدیو بالا، یک crash dump رو با استفاده از Copilot آنالیز میکنن و در ادامه باگ رو شناسایی و بصورت خودکار اصلاح میکنن.
#هوش_مصنوعی #مهندسی_معکوس #باگ_بانتی
#ArtificialIntelligence #AI #bugbounty #ReverseEngineering #MCP #windbg
🆔 @onhex_ir
➡️ ALL Link
❤12
🔴 بررسی Patch Tuesday مایکروسافت برای مه 2025 (اردیبهشت 1404)
مایکروسافت Patch Tuesday خودش رو برای مه 2025 با اصلاح 82 آسیب پذیری در محصولات مختلفش منتشر کرده که 7 موردش 0day هستش.
#مایکروسافت #ویندوز #آسیب_پذیری_امنیتی
#Microsoft #CVE #0day #PatchTuesday
🆔 @onhex_ir
➡️ ALL Link
مایکروسافت Patch Tuesday خودش رو برای مه 2025 با اصلاح 82 آسیب پذیری در محصولات مختلفش منتشر کرده که 7 موردش 0day هستش.
#مایکروسافت #ویندوز #آسیب_پذیری_امنیتی
#Microsoft #CVE #0day #PatchTuesday
🆔 @onhex_ir
➡️ ALL Link
ONHEXGROUP
بررسی Patch Tuesday مایکروسافت برای مه 2025 (اردیبهشت 1404)
مایکروسافت Patch Tuesday خودش رو برای مه 2025 با اصلاح 82 آسیب پذیری در محصولات مختلفش منتشر کرده که 7 موردش 0day هستش.
❤3
🔴 صرافی ارز دیجیتال Coinbase، اعلام کرده که مجرمان سایبری با همکاری برخی از کارکنان پشتیبانی نفوذی، اطلاعات مشتریان رو سرقت کردن و در ازای عدم انتشار این دادهها، درخواست باج ۲۰ میلیون دلاری کردن.
این صرافی گفته که باج رو پرداخت نمیکنه و بجاش یک پاداش 20 میلیون دلاری برای دریافت اطلاعاتی که منجر به شناسایی مهاجمین بشه، گذاشته. اگه اطلاعاتی دارید بهsecurity@coinbase.com ارسال کنید.
بر اساس اعلام Coinbase، مهاجمین با کمک پیمانکاران یا کارکنان پشتیبانی خارج از ایالات متحده که برای دسترسی به سیستمهای داخلی رشوه گرفتن، موفق به سرقت داده های مشتریان شدن. این شرکت پس از شناسایی این افراد و بررسی دسترسیهای غیرمجاز به سیستمها، اونارو اخراج کرده، اما مهاجمین قبلش موفق شدن تا اطلاعات رو استخراج کنن.
اگرچه مهاجمین موفق به سرقت مجموعه ای از اطلاعات شناسایی شخصی تا ۱٪ از مشتریان کوینبیس (حدود ۱ میلیون نفر) شدن، اما نتونستن کلیدهای خصوصی یا پسورد مشتریان رو سرقت کنن و به حسابهای Coinbase Prime و کیفپولهای گرم یا سرد (متعلق به مشتریان آسیبدیده یا صرافی) دسترسی پیدا نکردن.
در پروندهای که به کمیسیون بورس و اوراق بهادار آمریکا (SEC) ارائه شده، این شرکت اعلام کرد دادههای سرقتشده در این حادثه شامل موارد زیر است:
- نام، آدرس، تلفن و ایمیل
- شماره تأمین اجتماعی مخفیشده (فقط چهار رقم آخر)
- شمارههای حساب بانکی مخفیشده و برخی شناسههای حساب بانکی
- تصاویر مدارک شناسایی دولتی (مانند گواهینامه رانندگی، پاسپورت)
- دادههای حساب (موجودی و تاریخچه تراکنشها)
- دادههای محدود شرکتی (از جمله اسناد، مطالب آموزشی و ارتباطاتی که در دسترس کارکنان پشتیبانی بوده).
در حالیکه تأثیر مالی هنوز در حال ارزیابی است و کوینبیس تعداد مشتریانی که در حملات مهندسی اجتماعی بعدی فریب خوردن و وجوهی به مهاجمین ارسال کردن رو اعلام نکرده، این شرکت تخمین میزنه که هزینههای ناشی از جبران خسارت و بازپرداخت به مشتریان در محدوده تقریبی ۱۸۰ تا ۴۰۰ میلیون دلاری خواهد بود.
کوینبیس گفته یک مرکز پشتیبانی جدید در آمریکا راهاندازی میکنه و این وجوه رو بازپرداخت میکنه و برای امنیت بیشتر، سرمایه گذاریهایی انجام میده.
همچنین از مشتریان عذرخواهی و توصیه کرده که نسبت به کلاهبردارانی که خودشون رو بعنوان کارکنان کوینبیس معرفی و سعی میکنن اونارو فریب بدن تا وجوهی رو انتقال بدن یا اطلاعات حساسی مانند پسورد یا کدهای 2FA رو ارائه بدن مشکوک باشن. چون شرکت هرکز از طریق تماس تلفنی چنین درخواستی رو نمیکنه.
#ارز_دیجیتال #کوینبیس
#Coinbase #cryptocurrency
🆔 @onhex_ir
➡️ ALL Link
این صرافی گفته که باج رو پرداخت نمیکنه و بجاش یک پاداش 20 میلیون دلاری برای دریافت اطلاعاتی که منجر به شناسایی مهاجمین بشه، گذاشته. اگه اطلاعاتی دارید به
بر اساس اعلام Coinbase، مهاجمین با کمک پیمانکاران یا کارکنان پشتیبانی خارج از ایالات متحده که برای دسترسی به سیستمهای داخلی رشوه گرفتن، موفق به سرقت داده های مشتریان شدن. این شرکت پس از شناسایی این افراد و بررسی دسترسیهای غیرمجاز به سیستمها، اونارو اخراج کرده، اما مهاجمین قبلش موفق شدن تا اطلاعات رو استخراج کنن.
اگرچه مهاجمین موفق به سرقت مجموعه ای از اطلاعات شناسایی شخصی تا ۱٪ از مشتریان کوینبیس (حدود ۱ میلیون نفر) شدن، اما نتونستن کلیدهای خصوصی یا پسورد مشتریان رو سرقت کنن و به حسابهای Coinbase Prime و کیفپولهای گرم یا سرد (متعلق به مشتریان آسیبدیده یا صرافی) دسترسی پیدا نکردن.
در پروندهای که به کمیسیون بورس و اوراق بهادار آمریکا (SEC) ارائه شده، این شرکت اعلام کرد دادههای سرقتشده در این حادثه شامل موارد زیر است:
- نام، آدرس، تلفن و ایمیل
- شماره تأمین اجتماعی مخفیشده (فقط چهار رقم آخر)
- شمارههای حساب بانکی مخفیشده و برخی شناسههای حساب بانکی
- تصاویر مدارک شناسایی دولتی (مانند گواهینامه رانندگی، پاسپورت)
- دادههای حساب (موجودی و تاریخچه تراکنشها)
- دادههای محدود شرکتی (از جمله اسناد، مطالب آموزشی و ارتباطاتی که در دسترس کارکنان پشتیبانی بوده).
در حالیکه تأثیر مالی هنوز در حال ارزیابی است و کوینبیس تعداد مشتریانی که در حملات مهندسی اجتماعی بعدی فریب خوردن و وجوهی به مهاجمین ارسال کردن رو اعلام نکرده، این شرکت تخمین میزنه که هزینههای ناشی از جبران خسارت و بازپرداخت به مشتریان در محدوده تقریبی ۱۸۰ تا ۴۰۰ میلیون دلاری خواهد بود.
کوینبیس گفته یک مرکز پشتیبانی جدید در آمریکا راهاندازی میکنه و این وجوه رو بازپرداخت میکنه و برای امنیت بیشتر، سرمایه گذاریهایی انجام میده.
همچنین از مشتریان عذرخواهی و توصیه کرده که نسبت به کلاهبردارانی که خودشون رو بعنوان کارکنان کوینبیس معرفی و سعی میکنن اونارو فریب بدن تا وجوهی رو انتقال بدن یا اطلاعات حساسی مانند پسورد یا کدهای 2FA رو ارائه بدن مشکوک باشن. چون شرکت هرکز از طریق تماس تلفنی چنین درخواستی رو نمیکنه.
#ارز_دیجیتال #کوینبیس
#Coinbase #cryptocurrency
🆔 @onhex_ir
➡️ ALL Link
Coinbase
Protecting Our Customers - Standing Up to Extortionists
Tl;dr: Cyber criminals bribed and recruited a group of rogue overseas support agents to steal Coinbase customer data to facilitate social engineering attacks.
❤9
🔴 ویژگی های امنیتی جدید در اندروید 16
گوگل قبلا برنامه ای بنام Advanced Protection Program داشت که برای افراد با ریسک بالا مثله مقامات دولتی و روزنامه نگاران و ... طراحی شده بود و بیشتر تمرکزش روی اکانت گوگل این افراد بود. اما با اندروید 16، ویژگی Advanced Protection فراتر از سطح اپلیکیشن رفته و روی خود دستگاه اومده.
ویژگی Advanced Protection اندروید مثله Lockdown Mode اپل هستش.
ویژگی Advanced Protection براحتی در سطح دستگاه فعال میشه و مجموعهای از قویترین قابلیتهای امنیتی اندروید رو در قالب یک سیستم یکپارچه ارائه میده. قابلیت های اصلی:
- فعالسازی Verified Boot و بررسی یکپارچگی در زمان اجرا
- ویژگی Sandboxing قوی
- قفل کردن پورت USB
- ایزوله کردن اپلیکیشنها
- ریاستارت خودکار دستگاه پس از ۷۲ ساعت بدون استفاده
- بهبود اسکن برنامه ها توسط Google Play Protect
- همچنین این حالت مانع از خاموش شدن یا تضعیف تنظیمات امنیتی اصلی شده و تنظیمات ایمن رو نه فقط در اپهای گوگل، مانند کروم، بلکه در اپهای شخص ثالث که از این قابلیت پشتیبانی کنن، هم اعمال میکنه.
همچنین دو تا قابلیت جدید هم اضافه شده:
قابلیت Intrusion Logging: یک سیستم ثبت رویدادهای دستگاه بصورت ایمن و مقاوم در برابر دستکاری که دادهها رو در فضای ابری ذخیره میکنه. این دادهها فقط برای کاربر قابل دسترس بوده و با رمزنگاری end-to-end محافظت میشن.
- مسدودسازی اتصال مجدد خودکار به شبکههای ناامن: مانند وایفایهایی که بدون پسورد یا با رمزنگاری WEP فعالیت میکنن؛ این کار خطر شنود یا حملات captive portal attacks رو کاهش میده. (Captive Portal به صفحاتی گفته میشه که هنگام اتصال به برخی شبکههای وایفای (مانند کافیشاپها، هتلها، فرودگاهها) ابتدا نمایش داده میشن تا کاربر شرایط استفاده رو بپذیره یا اطلاعاتی وارد کنه. این صفحه معمولاً پیش از دسترسی کامل به اینترنت ظاهر میشن. هکرها در این صفحات میتونن درخواست نصب یک برنامه یا وارد کردن اطلاعات حساس رو از کاربر بخوان. )
لازم به ذکر است برخی از این قابلیتها بسته به سازنده دستگاه و مدلش در دسترس خواهند بود و اواخر امسال عرضه میشن.
علاوه بر ویژگی Advanced Protection، اندروید 16 یسری قابلیتهای جدید رو هم معرفی کرده:
- قابلیت In-call scam protections: این قابلیت اقداماتی مانند نصب دستی فایل APK، اعطای دسترسیهای حساس (مانند Accessibility) یا غیرفعالسازی Play Protect در حین تماس با شمارههای ناشناس رو مسدود میکنه.
- قابلیت Key Verifier در اپلیکیشن Messages: برای مقابله با جعل پیامکی و تأیید هویت طرف مقابل از طریق کلید عمومی رمزنگاری شده مرتبط با مخاطب. با اسکن کد QR یا مقایسه شماره، کاربر مطمئن میشه که طرف مقابل واقعیه و مکالمه بصورت امن برقرار شده. این قابلیت همچنین از حملات SIM Swap جلوگیری میکنه.
- بهبود قابلیت شناسایی کلاهبرداری در Messages با استفاده از هوش مصنوعی، برای شناسایی پیامهای مشکوک مرتبط با جریمه بزرگراه، پرداخت قبض، رمز ارز، جعل هویت مالی، کارت هدیه و پشتیبانی فنی.
- قابلیت Theft Protection هم بهبود یافته. ویژگی Find My Device به Find Hub تبدیل شده که نه تنها گوشی بلکه اشیای گمشده رو هم با استفاده از تگهای بلوتوثی و همکاری شرکتهای هواپیمایی مختلف ردیابی میکنه. در آینده نزدیک، Find Hub از اتصال ماهوارهای پشتیبانی خواهد کرد تا حتی در مناطقی بدون آنتن موبایل هم امکان ارتباط با خانواده و دوستان فراهم بشه. / منبع
#گوگل #اندروید
#google #Android
🆔 @onhex_ir
➡️ ALL Link
گوگل قبلا برنامه ای بنام Advanced Protection Program داشت که برای افراد با ریسک بالا مثله مقامات دولتی و روزنامه نگاران و ... طراحی شده بود و بیشتر تمرکزش روی اکانت گوگل این افراد بود. اما با اندروید 16، ویژگی Advanced Protection فراتر از سطح اپلیکیشن رفته و روی خود دستگاه اومده.
ویژگی Advanced Protection اندروید مثله Lockdown Mode اپل هستش.
ویژگی Advanced Protection براحتی در سطح دستگاه فعال میشه و مجموعهای از قویترین قابلیتهای امنیتی اندروید رو در قالب یک سیستم یکپارچه ارائه میده. قابلیت های اصلی:
- فعالسازی Verified Boot و بررسی یکپارچگی در زمان اجرا
- ویژگی Sandboxing قوی
- قفل کردن پورت USB
- ایزوله کردن اپلیکیشنها
- ریاستارت خودکار دستگاه پس از ۷۲ ساعت بدون استفاده
- بهبود اسکن برنامه ها توسط Google Play Protect
- همچنین این حالت مانع از خاموش شدن یا تضعیف تنظیمات امنیتی اصلی شده و تنظیمات ایمن رو نه فقط در اپهای گوگل، مانند کروم، بلکه در اپهای شخص ثالث که از این قابلیت پشتیبانی کنن، هم اعمال میکنه.
همچنین دو تا قابلیت جدید هم اضافه شده:
قابلیت Intrusion Logging: یک سیستم ثبت رویدادهای دستگاه بصورت ایمن و مقاوم در برابر دستکاری که دادهها رو در فضای ابری ذخیره میکنه. این دادهها فقط برای کاربر قابل دسترس بوده و با رمزنگاری end-to-end محافظت میشن.
- مسدودسازی اتصال مجدد خودکار به شبکههای ناامن: مانند وایفایهایی که بدون پسورد یا با رمزنگاری WEP فعالیت میکنن؛ این کار خطر شنود یا حملات captive portal attacks رو کاهش میده. (Captive Portal به صفحاتی گفته میشه که هنگام اتصال به برخی شبکههای وایفای (مانند کافیشاپها، هتلها، فرودگاهها) ابتدا نمایش داده میشن تا کاربر شرایط استفاده رو بپذیره یا اطلاعاتی وارد کنه. این صفحه معمولاً پیش از دسترسی کامل به اینترنت ظاهر میشن. هکرها در این صفحات میتونن درخواست نصب یک برنامه یا وارد کردن اطلاعات حساس رو از کاربر بخوان. )
لازم به ذکر است برخی از این قابلیتها بسته به سازنده دستگاه و مدلش در دسترس خواهند بود و اواخر امسال عرضه میشن.
علاوه بر ویژگی Advanced Protection، اندروید 16 یسری قابلیتهای جدید رو هم معرفی کرده:
- قابلیت In-call scam protections: این قابلیت اقداماتی مانند نصب دستی فایل APK، اعطای دسترسیهای حساس (مانند Accessibility) یا غیرفعالسازی Play Protect در حین تماس با شمارههای ناشناس رو مسدود میکنه.
- قابلیت Key Verifier در اپلیکیشن Messages: برای مقابله با جعل پیامکی و تأیید هویت طرف مقابل از طریق کلید عمومی رمزنگاری شده مرتبط با مخاطب. با اسکن کد QR یا مقایسه شماره، کاربر مطمئن میشه که طرف مقابل واقعیه و مکالمه بصورت امن برقرار شده. این قابلیت همچنین از حملات SIM Swap جلوگیری میکنه.
- بهبود قابلیت شناسایی کلاهبرداری در Messages با استفاده از هوش مصنوعی، برای شناسایی پیامهای مشکوک مرتبط با جریمه بزرگراه، پرداخت قبض، رمز ارز، جعل هویت مالی، کارت هدیه و پشتیبانی فنی.
- قابلیت Theft Protection هم بهبود یافته. ویژگی Find My Device به Find Hub تبدیل شده که نه تنها گوشی بلکه اشیای گمشده رو هم با استفاده از تگهای بلوتوثی و همکاری شرکتهای هواپیمایی مختلف ردیابی میکنه. در آینده نزدیک، Find Hub از اتصال ماهوارهای پشتیبانی خواهد کرد تا حتی در مناطقی بدون آنتن موبایل هم امکان ارتباط با خانواده و دوستان فراهم بشه. / منبع
#گوگل #اندروید
#google #Android
🆔 @onhex_ir
➡️ ALL Link
❤8
OnHex
🔴 اسلایدهای کنفرانس Blackhat Europe 2024 رو میتونید بصورت تکی و یکجا از گیتهابمون دانلود کنید. این کنفرانس 9 تا 12 دسامبر | 19 تا 22 آذر در لندن برگزار شده. #کنفرانس #BlackhatEurope2024 #BlackhatEu2024 #Blackhat 🆔 @onhex_ir ➡️ ALL Link
🔴 ویدیوی ارائه های کنفرانس Black Hat Europe 2024 در یوتیوب بروز شده که اگه علاقمند بودید، مشاهده کنید.
یکی از ارائه ها با عنوان UNC1860 and The Temple of Oats - Iran's hidden hand in Middle Eastern Networks در خصوص یک گروه هکری منتسب به ایران هستش.
#کنفرانس
#BlackhatEurope2024 #BlackhatEu2024 #Blackhat
🆔 @onhex_ir
➡️ ALL Link
یکی از ارائه ها با عنوان UNC1860 and The Temple of Oats - Iran's hidden hand in Middle Eastern Networks در خصوص یک گروه هکری منتسب به ایران هستش.
#کنفرانس
#BlackhatEurope2024 #BlackhatEu2024 #Blackhat
🆔 @onhex_ir
➡️ ALL Link
❤5
🔴 نگاهی به مسابقات Pwn2Own Berlin 2025
در این پست نگاهی به مسابقات هکری Pwn2Own Berlin 2025 انداختیم که با 1,078,750$ جایزه نقدی، 28 آسیب پذیری 0day و مقام اولی STAR Labs SG تموم شد.
#Pwn2OwnBerlin2025
#Pwn2Own
🆔 @onhex_ir
➡️ ALL Link
در این پست نگاهی به مسابقات هکری Pwn2Own Berlin 2025 انداختیم که با 1,078,750$ جایزه نقدی، 28 آسیب پذیری 0day و مقام اولی STAR Labs SG تموم شد.
#Pwn2OwnBerlin2025
#Pwn2Own
🆔 @onhex_ir
➡️ ALL Link
❤12
Wireshark for Red Teamers.pdf
5.8 MB
🔴 Wireshark for Red Teamers (Daily REDTeam)
در این کتابچه، از وایرشارک مهربون در فرایند تیم قرمز استفاده میکنن .کارایی مثله آنالیز ترافیک برای ریکان، جمع آوری اعتبارنامه ها از پروتکل های ناامن، دور زدن امنیت شبکه و ... / منبع
#تیم_قرمز #وایرشارک
#redteam #Wireshark
🆔 @onhex_ir
➡️ ALL Link
در این کتابچه، از وایرشارک مهربون در فرایند تیم قرمز استفاده میکنن .کارایی مثله آنالیز ترافیک برای ریکان، جمع آوری اعتبارنامه ها از پروتکل های ناامن، دور زدن امنیت شبکه و ... / منبع
#تیم_قرمز #وایرشارک
#redteam #Wireshark
🆔 @onhex_ir
➡️ ALL Link
❤6
OnHex
🔴 موضوع برنامه ی Off By One Security این هفته "Windows Kernel Exploitation: Code reuse in the age of kCET and HVCI" هستش. در این استریم قراره در خصوص تکنیکهای جدید اکسپلویت کرنل ویندوز صحبت کنن و بطور تخصصی در خصوص تکنیکهای کاهش تاثیر اکسپلویت، kCET و HVCI…
🔴 برنامه ی امروز Off By One Security، عنوانش "BRICKSTORM Backdoor Analysis: A Persistent Espionage Threat To International Industries" هستش.
قراره در خصوص بدافزار BRICKSTORM صحبت کنن که منتسب به APT چینی UNC5221 هستش. این بکدور قبلا برای Linux vCenter server توسعه داده شده بود اما اخیرا برای ویندوز هم نسخه ای رو توسعه دادن. از این بدافزار برای هدف قرار دادن صنایع اروپایی استفاده کردن.
مهمانان برنامه: Didier Stevens و Maxime Thiebaut
این برنامه ساعت 30 : 21 به وقت ایران از طریق توییتر و یوتیوب قابل دسترسه.
اگه فرصت نکردید، برنامه ضبط میشه و بعدا هم از همون لینکها قابل دسترسه.
#آنالیز_بدافزار
#BRICKSTORM
🆔 @onhex_ir
➡️ ALL Link
قراره در خصوص بدافزار BRICKSTORM صحبت کنن که منتسب به APT چینی UNC5221 هستش. این بکدور قبلا برای Linux vCenter server توسعه داده شده بود اما اخیرا برای ویندوز هم نسخه ای رو توسعه دادن. از این بدافزار برای هدف قرار دادن صنایع اروپایی استفاده کردن.
مهمانان برنامه: Didier Stevens و Maxime Thiebaut
این برنامه ساعت 30 : 21 به وقت ایران از طریق توییتر و یوتیوب قابل دسترسه.
اگه فرصت نکردید، برنامه ضبط میشه و بعدا هم از همون لینکها قابل دسترسه.
#آنالیز_بدافزار
#BRICKSTORM
🆔 @onhex_ir
➡️ ALL Link
❤5
🔴 ویدیوهای کنفرانس OffensiveCon25 در یوتیوب منتشر شده که میتونید از این لیست پخش بهشون دسترسی داشته باشید.
میتونید از طریق این ویژگی، یک صوت خلاصه یا پادکست براشون بسازید.
#کنفرانس
#OffensiveCon25 #OffensiveCon
🆔 @onhex_ir
➡️ ALL Link
میتونید از طریق این ویژگی، یک صوت خلاصه یا پادکست براشون بسازید.
#کنفرانس
#OffensiveCon25 #OffensiveCon
🆔 @onhex_ir
➡️ ALL Link
❤5
Forwarded from OnHex [Priv]
Vanhelsing.7z
453.4 MB
🔴 یک بنده خدایی بنام th30c0der در فروم هکری RAMP، اومده سورس کد باج افزار VanHelsing رو به قیمت 10 هزار دلار برای فروش قرار داده که شامل TOR keys و Web Panel For Admin و Chat و File Server و Blog و دیتابیس ها هستش.
اپراتورهای VanHelsing برای اینکه حال ایشون رو بگیرن، اومدن خودشون سورس کد رو بصورت رایگان منتشر کردن و گفتن که th30c0der توسعه دهنده قدیمیه و هدفش کلاهبرداریه. بزودی با نسخه ی جدید و بهبودیافته ی VanHelsing 2.0 در خدمتتون هستیم.
نکته ای که وجود داره چیزی که منتشر کردن نسبت به ادعای th30c0der ناقص هستش، مثلا نسخه ی لینوکسی یا دیتابیس داخلش نیست و برای اینکه مثلا از بیلدر استفاده کنید باید روش کار کنید چون سورس کدها بهم ریخته هستش.
باج افزار VanHelsing فعالیتش رو از مارس 2025 آغاز کرده و سیستمهای ویندوزی، لینوکسی، BSD، ARM و ESXi رو هدف قرار میده/ منبع
⚠️ داده های این نشت رو قرار دادم تا اگه در زمینه ی آنالیز بدافزار یا Threat Hunting فعالیت دارید، بتونید آنالیزش کنید. (پسورد: infected)
#نشت_داده #باج_افزار
#Ransomware #Leak #VanHelsing
🆔 @onhex_ir
➡️ ALL Link
اپراتورهای VanHelsing برای اینکه حال ایشون رو بگیرن، اومدن خودشون سورس کد رو بصورت رایگان منتشر کردن و گفتن که th30c0der توسعه دهنده قدیمیه و هدفش کلاهبرداریه. بزودی با نسخه ی جدید و بهبودیافته ی VanHelsing 2.0 در خدمتتون هستیم.
نکته ای که وجود داره چیزی که منتشر کردن نسبت به ادعای th30c0der ناقص هستش، مثلا نسخه ی لینوکسی یا دیتابیس داخلش نیست و برای اینکه مثلا از بیلدر استفاده کنید باید روش کار کنید چون سورس کدها بهم ریخته هستش.
باج افزار VanHelsing فعالیتش رو از مارس 2025 آغاز کرده و سیستمهای ویندوزی، لینوکسی، BSD، ARM و ESXi رو هدف قرار میده/ منبع
⚠️ داده های این نشت رو قرار دادم تا اگه در زمینه ی آنالیز بدافزار یا Threat Hunting فعالیت دارید، بتونید آنالیزش کنید. (پسورد: infected)
#نشت_داده #باج_افزار
#Ransomware #Leak #VanHelsing
🆔 @onhex_ir
➡️ ALL Link
❤22
🔴 کنفرانس NahamCon2025 قراره 22 و 23 مه بصورت مجازی برگزار بشه.
ارائه های روز اول ( 22 مه | پنجشنبه 1 خرداد) در خصوص هوش مصنوعی و ارائه های روز دوم ( 23 مه | جمعه 2 خرداد) در خصوص امنیت وب و ریکان هستش.
کنفرانس از طریق توییچ در دسترس هستش. (یوتیوب)
برای دسترسی ساده به زمان هر ویدیو ، IRST یک ساعت و 30 دقیقه از CEST جلوتره. یعنی برای هر زمان در CEST، باید 1 ساعت و 30 دقیقه اضافه کنیم.
در روز دوم کنفرانس امسال، یاشار شاهین زاده و امیرمحمد صفری هم ارائه دارن که آرزوی موفقیت براشون داریم.
علاوه بر کنفرانس، CTF هم دارن که از 23 تا 25 مه| 2 تا 4 خرداد برگزار میشه که جایزه ی نفر اول 2500 دلار، نفر دوم 1250 دلار و نفر سوم 750 دلار هستش.
#کنفرانس #هوش_مصنوعی #باگ_بانتی
#CTF #NahamCon2025 #NahamCon #bugbounty #AI
🆔 @onhex_ir
➡️ ALL Link
ارائه های روز اول ( 22 مه | پنجشنبه 1 خرداد) در خصوص هوش مصنوعی و ارائه های روز دوم ( 23 مه | جمعه 2 خرداد) در خصوص امنیت وب و ریکان هستش.
کنفرانس از طریق توییچ در دسترس هستش. (یوتیوب)
برای دسترسی ساده به زمان هر ویدیو ، IRST یک ساعت و 30 دقیقه از CEST جلوتره. یعنی برای هر زمان در CEST، باید 1 ساعت و 30 دقیقه اضافه کنیم.
در روز دوم کنفرانس امسال، یاشار شاهین زاده و امیرمحمد صفری هم ارائه دارن که آرزوی موفقیت براشون داریم.
علاوه بر کنفرانس، CTF هم دارن که از 23 تا 25 مه| 2 تا 4 خرداد برگزار میشه که جایزه ی نفر اول 2500 دلار، نفر دوم 1250 دلار و نفر سوم 750 دلار هستش.
#کنفرانس #هوش_مصنوعی #باگ_بانتی
#CTF #NahamCon2025 #NahamCon #bugbounty #AI
🆔 @onhex_ir
➡️ ALL Link
❤16
🔴 آنتی ویروس OnHexGroup!
در ویندوز اگه شما یک آنتی ویروس دیگه نصب کنید، معمولا دیفندر خاموش میشه. حالا محقق امنیتی es3n1n، ابزاری بنام Defendnot توسعه داده که با سوء استفاده کردن از API سرویس Windows Security Center (WSC) یک آنتی ویروس جعلی ثبت میکنه و دیفندر رو خاموش میکنه.
سرویس Windows Security Center (WSC) سرویسی در ویندوز هستش که وظیفه نظارت و اطلاع رسانی در مورد وضعیت امنیتی سیستم رو به عهده داره. WSC از طریق APIهای خاص به برنامهها و سرویسها اجازه میده با اجزای امنیتی ویندوز تعامل کنن. با توجه به اینکه این APIها از طریق Protected Process Light (PPL) محافظت میشن، Defendnot برای اجرا نیاز به امتیاز ادمین داره.
در حقیقت Defendnot با امتیاز ادمین، DLL خودش رو به یک پروسس سیستمی امضاء شده و مورد اعتماد مایکروسافت مثلا Taskmgr.exe تزریق میکنه و از داخل این پروسس، آنتی ویروس جعلی رو ثبت میکنه، که منجر به خاموش شدن دیفندر میشه.
مایکروسافت در بروزرسانی اخیر، این ابزار رو با عنوان Win32/Sabsik.FL.!ml شناسایی میکنه.
#مایکروسافت #ویندوز #دیفندر
#Windows #Defendnot #AVbypass
🆔 @onhex_ir
➡️ ALL Link
در ویندوز اگه شما یک آنتی ویروس دیگه نصب کنید، معمولا دیفندر خاموش میشه. حالا محقق امنیتی es3n1n، ابزاری بنام Defendnot توسعه داده که با سوء استفاده کردن از API سرویس Windows Security Center (WSC) یک آنتی ویروس جعلی ثبت میکنه و دیفندر رو خاموش میکنه.
سرویس Windows Security Center (WSC) سرویسی در ویندوز هستش که وظیفه نظارت و اطلاع رسانی در مورد وضعیت امنیتی سیستم رو به عهده داره. WSC از طریق APIهای خاص به برنامهها و سرویسها اجازه میده با اجزای امنیتی ویندوز تعامل کنن. با توجه به اینکه این APIها از طریق Protected Process Light (PPL) محافظت میشن، Defendnot برای اجرا نیاز به امتیاز ادمین داره.
در حقیقت Defendnot با امتیاز ادمین، DLL خودش رو به یک پروسس سیستمی امضاء شده و مورد اعتماد مایکروسافت مثلا Taskmgr.exe تزریق میکنه و از داخل این پروسس، آنتی ویروس جعلی رو ثبت میکنه، که منجر به خاموش شدن دیفندر میشه.
مایکروسافت در بروزرسانی اخیر، این ابزار رو با عنوان Win32/Sabsik.FL.!ml شناسایی میکنه.
#مایکروسافت #ویندوز #دیفندر
#Windows #Defendnot #AVbypass
🆔 @onhex_ir
➡️ ALL Link
❤18
🔴 مجریان قانون در اروپا، آمریکای جنوبی، آسیا و آمریکا در عملیاتی با عنوان RapTor تونستن 270 مظنون به خرید و فروش کالاهای غیرمجاز در دارک وب رو در 10 کشور دستگیر کنن.
در این دستگیری، بیش از 184 میلیون پول نقد و ارز دیجیتال، بیش از 2 تن مواد مخدر و بیش از 180 قبضه سلاح گرم توقیف شده.
این دستگیری ها بعد از هدف قرار دادن و جمع آوری اطلاعات از چندین مارکت دارک وب مانند Nemesis, Tor2Door, Bohemia و Kingdom Market انجام شده.
نکته جالب اینه که توقیف مارکت Nemesis که نقش ویژه در این عملیات داشته، با بیش از 30 هزار کاربر فعال و هزاران فروشنده که فعالیتش رو از سال 2021 شروع کرده بود و در خصوص مواد مخدر، کارتهای اعتباری سرقتی، خدمات پولشویی، DDOS و فیشینگ فعالیت میکرده، ادمینش یک ایرانی بنام Behrouz Parsarad (Parsarad) بود که اخیرا توسط وزارت خزانه داری آمریکا تحریم شده. در این مارکت بین 2021 تا 2024، حدود 30 میلیون دلار مواد مخدر فروخته شده و موقع توقیف مارکت حدود 100 هزار دلار رو مصادره کردن. [منبع 1 و منبع 2]
#دارک_وب #بازیگران_تهدید
#darkweb #Nemesis #OperationRapTor
🆔 @onhex_ir
➡️ ALL Link
در این دستگیری، بیش از 184 میلیون پول نقد و ارز دیجیتال، بیش از 2 تن مواد مخدر و بیش از 180 قبضه سلاح گرم توقیف شده.
این دستگیری ها بعد از هدف قرار دادن و جمع آوری اطلاعات از چندین مارکت دارک وب مانند Nemesis, Tor2Door, Bohemia و Kingdom Market انجام شده.
نکته جالب اینه که توقیف مارکت Nemesis که نقش ویژه در این عملیات داشته، با بیش از 30 هزار کاربر فعال و هزاران فروشنده که فعالیتش رو از سال 2021 شروع کرده بود و در خصوص مواد مخدر، کارتهای اعتباری سرقتی، خدمات پولشویی، DDOS و فیشینگ فعالیت میکرده، ادمینش یک ایرانی بنام Behrouz Parsarad (Parsarad) بود که اخیرا توسط وزارت خزانه داری آمریکا تحریم شده. در این مارکت بین 2021 تا 2024، حدود 30 میلیون دلار مواد مخدر فروخته شده و موقع توقیف مارکت حدود 100 هزار دلار رو مصادره کردن. [منبع 1 و منبع 2]
#دارک_وب #بازیگران_تهدید
#darkweb #Nemesis #OperationRapTor
🆔 @onhex_ir
➡️ ALL Link
U.S. Department of the Treasury
Treasury Sanctions Head of Online Darknet Marketplace Tied to Fentanyl Sales
WASHINGTON — Today, the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC) sanctioned Iran-based Behrouz Parsarad (Parsarad), the sole administrator of Nemesis, an online darknet marketplace, which was subject of an international law…
❤12
🔴 کار واقعی رو انجام بدید
احتمالا شما هم برخی اوقات موقع انجام کاری خروجی مطلوب نداشتید و اصطلاحا درجا زدید. مثلا یک دوره ای رو طی کردید اما اون خروجی که میخواستین رو نداشتین. برای حل این مشکل مقاله ی Do the Real Thing رو بررسی کردیم.
🆔 @onhex_ir
➡️ ALL Link
احتمالا شما هم برخی اوقات موقع انجام کاری خروجی مطلوب نداشتید و اصطلاحا درجا زدید. مثلا یک دوره ای رو طی کردید اما اون خروجی که میخواستین رو نداشتین. برای حل این مشکل مقاله ی Do the Real Thing رو بررسی کردیم.
🆔 @onhex_ir
➡️ ALL Link
❤21