Security Analysis – Telegram
Security Analysis
@securation
11.5K subscribers
344 photos
50 videos
36 files
885 links
- Offensive Security (Red Teaming / PenTesting)
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
Download Telegram
About
Blog
Apps
Platform
Join
Security Analysis
11.5K subscribers
Security Analysis
⭕️ شاید سوالی همیشه گوشه ذهن تحلیل گران امنیت باشد که معماری پروتکل های شبکه در پیاده سازی در سطوح مختلف به چه صورت هست و چگونه به مهندسی معکوس و تحلیل و یا حتی کشف آسیب پذیری در آن میتوان اقدام کرد.
موسسه Prelude و Netspooky در ارایه ای به موضوع پرداخته که در چند بخش میتوان آن را تقسیم کرد:
پس از توضیح اجمالی مهندسی معکوس
در ابتدا رجوع به بررسی پکت های ارسالی پروتکل ها با ابزار تحلیل ترافیک مثل Wireshark و پس از آن, بررسی نرم افزار نوشته شده در سطح سیستم عامل آن سرویس میکند.
در ادامه اقدام به بررسی در سطح سخت افزار و لایه یکم کرده و در آخر یک MIndset ای برای این موضوع جالب ارایه میشود.

https://www.youtube.com/watch?v=73KJQRqz_Ec

البته باید گفت برای رجوع بیشتر به این حوزه کتاب Attacking Network Protocols هم منبع بسیار خوبی هست که میتوان دید بهتری به این موضوع داشت.

لینک دانلود این کتاب:
https://rb.gy/ru8h0s
پی نوشت : خواندن این کتاب به تمام کسانی که در حوزه امنیت شبکه فعالیت میکنند توصیه میشود.

#Reverse #RE #Exploitation
@securation
YouTube
Protocol Reverse Engineering
In this session, netspooky presents an introduction to protocol reverse engineering, with lots of history, resources, tips and tricks, and more.

00:00 Intro
02:00 Protocol RE Fundamentals
10:35 Preparing to Reverse Engineer
15:37 Packet Analysis
41:05 Software…
👍202
6.77K viewsAdel
Security Analysis
⭕️ فهرستی از رویکردها (دستورالعمل‌ها، چارچوب‌ها، کتابخانه‌های Client‏ HTTP و غیره) برای ارسال درخواست‌های HTTP(S) خروجی از داخل WebAssembly نوشته شده است.میتوان از آن در زبان هایی اعم از:
‏C / C++،AssemblyScript،C# / .Netو..
استفاده کرد.
https://github.com/vasilev/HTTP-request-from-inside-WASM

#WASM #WebAssembly
@securation
GitHub
GitHub - vasilev/HTTP-request-from-inside-WASM: (Wannabe-awesome) list of methods to make outbound HTTP(S) requests from within…
(Wannabe-awesome) list of methods to make outbound HTTP(S) requests from within WebAssembly in many languages - vasilev/HTTP-request-from-inside-WASM
🔥5👎21
5.25K viewsAdel
Security Analysis
⭕️ اگر در حوزه امنیت بلاکچین و قرارداد های هوشمند فعالیت میکنید یک Fuzzer با سرعت و کارایی بیشتر و بهتر نسبت به Fuzzer های قبلی نوشته شده که بیشتر مختص EVM ها است اما الباقی VM هارا هم میتوان با آن Fuzz کرد.
این ابزار به دو صورت OnChain و OffChain یعنی به صورت دسترسی لوکال به کد ها و یا به صورت لایو در مبادلات آن قرارداد اقدام به عملیات Fuzzing میکند.
از ویژگی های این ابزار میتوان موارد زیر را نام برد:
قابلیت Chain forking یعنی در هر بلوکی که ما مورد نظر داریم قابلیت فاز وجود دارد.
قابلیت تولید Exploit برای آسیب پذیری های precision loss, integer overflow, fund stealing , Uniswap pair misuse
پشتیبانی از قابلیت Reentrancy برای بررسی بیشتر کد ها.
زمان بندی درست برای بررسی کد هایی که احتمال مشکل داشتن بیشتری دارند.
قابلیت تست بر روی آسیب پذیری های Flashloan .
پشتیبانی Liquidation برای شبیه سازی خرید و فروش هر گونه رمز از استخرهای نقدینگی در طول فاز.
پشتیبانی از کامپایل کردن برای قراردادهای فازی بدون کد منبع
و ..
https://github.com/fuzzland/ityfuzz

#Web3 #smartcontract #Fuzzing
@securation
GitHub
GitHub - fuzzland/ityfuzz: Blazing Fast Bytecode-Level Hybrid Fuzzer for Smart Contracts
Blazing Fast Bytecode-Level Hybrid Fuzzer for Smart Contracts - fuzzland/ityfuzz
10👍4🔥1
6.34K viewsAdel
Security Analysis
⭕️ اسکریپت apk.sh ابزاری برای اوتومیت کردن پروسه ها برای مهندسی معکوس در اندروید

از جمله قابلیت های آن:
- پچ کردن فایل های APK برای لود کردن frida-gadget و ران کردن اسکریپت فریدا موقع اجرای برنامه
- ساپورت کردن برنامه های bundle با فرمت apks
- همچنین disassemble کردن ریسورس برنامه ها مشابه ابزار apktool
- ریبیلد کردن و کامپایل کردن ریسورس ها به فرمت apk
- ساین کردن فایل های apk توسط apksigner
- پشتیبانی از معماری های مختلف (arm, arm64, x86, x86_64)
- عدم نیاز به دیوایس روت شده اندرویدی


apk.sh [SUBCOMMAND] [APK FILE|APK DIR|PKG NAME] [FLAGS] 


apk.sh pull [PKG NAME] [FLAGS] 
apk.sh decode [APK FILE] [FLAGS] 
apk.sh build [APK DIR] [FLAGS] 
apk.sh patch [APK FILE] [FLAGS] 
apk.sh rename [APK FILE] [PKG NAME] [FLAGS]

اینجا نمونه دستورات برای اینجکت کردن frida-gadget به فایل apk مشاهده میکنید:

adb push noscript.js /data/local/tmp

./apk.sh patch <apk_name> --arch arm --gadget-conf <config.json>

adb install file.gadget.apk
https://github.com/ax/apk.sh
#Android
@securation
15👍5🔥1
5.5K viewsAdel, edited  
Security Analysis
⭕️ابزار APKEditor ابزاری برای مهندسین معکوس اندروید

قابلیت ها:
- دیکامپایل کردن فایل های APK
- ریکامپایل کردن سورس کد به فایل APK
- مرج کردن برنامه های split با فرمت APKS/XAPK/APKM و تبدیل آن به فایل APK
- ریفکتور کردن ریسورس های مبهم شده به نام های اصلی
- مبهم کردن ریسورس های برنامه به منظور محافظت در برابر ابزار های شناخته شده برای دیکامپایل و مهندسی معکوس
- نمایش اطلاعات بیسیک از فایل apk داده شده

مشاهده راهنمای ابزار:
java -jar APKEditor.jar -h
نمونه تبدیل یک فایل apks به apk:
java -jar APKEditor.jar m -i AppName.apks


https://github.com/REAndroid/APKEditor
#Android
@securation
👍84
5.82K viewsAdel
Security Analysis
⭕️ به حمله ای جالب از سری حملات بر روی QRCode ها تحت عنوان QRLjacking برخورد داشتم که به روش کار آن میپردازیم.
این سری از حملات معمولا ترکیبی از مهندسی اجتماعی،فیشینگ و بعضا همراه با بدافزار خواهد بود.
به طوری که فکر کنید محل و مکان معتبری که در آن اطلاعات شخصی و مشخصات خود را ذخیره دارید و اگر براکت های QRCode دار آن محل را مهاجم دستکاری کرده و یا لینک آن را در فضای مجازی به شما ارسال کند و به لینک مقصد خود و با همان ساختار سامانه مشابه هدایت کند،
از این تکنیک حملات استفاده میکند.
البته باید گفت گاها اتفاق می افتد که برنامه های QRCode خوان خود نیز آلوده بوده و منجر به فیشینگ و یا ربایش اطلاعات خواهد شد.
https://www.hackread.com/hackers-exploit-qr-codes-qrljacking-malware/
#Phishing #Malware #RedTeam
@securation
Hackread
Hackers Exploit QR Codes with QRLJacking for Malware Distribution
Follow us on Twitter @Hackread - Facebook @ /Hackread.
👍5🔥32
5.94K viewsAdel
Security Analysis
⭕️ اگر در حوزه تست نفوذ یا لایه دفاعی Active Directory فعالیت میکنید مدتی پیش تکنیکی برای DNS Spoofing با استفاده از Abuse کردن DHCP کشف شد که این اسکریپت قابلیت کشف MissConfig های این تکنیک را دارد.
از MissConfig های کشف شده در بخش های مختلف را میتوان مثال زد:
‏DNS Credential
‏Name Protection
‏DNSUpdateProxy
‏Weak record ACLs

https://github.com/akamai/Invoke-DHCPCheckup
#RedTeam #Hardening
@securation
GitHub
GitHub - akamai/Invoke-DHCPCheckup
Contribute to akamai/Invoke-DHCPCheckup development by creating an account on GitHub.
👍123👎1
6.67K viewsAdel
Security Analysis
⭕️ محققان دانشگاه Vrije در آمستردام هلند یک حمله Side-Channel جدید به نام SLAM را کشف کرده‌اند که می‌تواند برای نشت اطلاعات حساس از حافظه کرنل در CPU های فعلی و آینده ی ‏ Intel , AMD و ARM مورد سوء استفاده قرار گیرد.
این حمله یک اکسپلویت از سری حملات Spectre است که بر اساس یک ویژگی جدید در CPU های Intel به نام Linear Address Making (LAM) و همچنین مشابه آن از AMD (به نام Upper Address Ignore یا UAI) و Arm (به نام Top Byte Ignore) است. یا TBI) نیز نامگذاری شده است.
محققان گفتند SLAM به ما اجازه می دهد تا داده‌های کرنل ASCII دلخواه را به بیرون بکشیم و می‌توان از آن برای افشای Hash رمز عبور Root در عرض چند دقیقه از حافظه کرنل استفاده کرد.
این در حالی است که LAM به عنوان یک ویژگی امنیتی ارائه می شود، این مطالعه نشان داده که امنیت را کاهش می دهد و به طور چشمگیری سطح حمله Spectre را افزایش می دهد که منجر به این حمله میشود که از اجرای حدس و گمان برای استخراج داده های حساس از طریق یک Cache Covert Channel سوء استفاده می کند.
‏Intel در مستندات خود می گوید این حمله از اثرات جانبی ریزمعماری دستورالعمل های گذرا سوء استفاده می کند، بنابراین به اتکر اجازه می دهد به اطلاعاتی دسترسی پیدا کند که معمولاً توسط مکانیسم های کنترل سطح دسترسی معماری ممنوع است.
‌‏SLAM با هدف قرار دادن CPUهای آینده توصیف می شود از یک Side-Channel جدید مبتنی بر ترجمه non-canonical address استفاده می کند که بهره برداری عملی از ابزارهای عمومی Spectre را برای افشای اطلاعات ارزشمند تسهیل می کند.

https://thehackernews.com/2023/12/slam-attack-new-spectre-based.html
#Airgap #Sidechannel
@securation
Telegram
Security Analysis
- Offensive Security (Red Teaming / PenTesting)
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
🔥14👍6👎1
5.79K viewsAdel
Security Analysis
⭕️چگونگی استفاده از frida-trace برای تحلیل داینامیک اپ های اندرویدی در Termux:

توجه: نصب بودن ابزار frida-tools و انتقال فایل فریدا سرور به دایرکتوری زیر الزامی میباشد
/data/local/tmp
پس از انتقال فایل دسترسی 777 داده و ران کنید.


برای تریس کردن ورودی و خروجی متد های موجود در classes.dex توسط روش های زیر قابل انجام میباشد:

توسط پروسس نیم برنامه:
frida-trace -R -J 'path/to/class!methodName' ProcessName
تریس به صورت auto spawn:
frida-trace -R -J 'path/to/class!methodName' -f com.package.name
تریس برنامه توسط pid برنامه:
frida-trace -R -j 'path/to/class!methodName' -p pid
---------------------------------------------------------
برای تریس کردن لایبرری و فانکشن های داخل آن:
تریس به صورت auto spawn:
frida-trace -R -I 'libname.so' -i 'MethodName' -f com.package.name
توسط پروسس نیم برنامه:
frida-trace -R -I 'libname.so' -i 'MethodName' ProcessName
تریس برنامه توسط pid برنامه:
frida-trace -R -I 'libname.so' -i 'MethodName' -p pid

@securation
👍144👎3
8.23K viewsAdel
Security Analysis
⭕️ یک تکنیک جالب از سری تکنیک های Anti-forensic در DLL-Injection وجود دارد که با نام DLL Unlinking شناخته می شود.
این تکنیک از ویژگی های Windows Process Environment Block (PEB) استفاده می کند تا بتواند DLL های مورد نظر را به صورت پنهان لود کند.

‏PEB شامل یک اشاره گر به ساختار PEB_LDR_DATA است که درون آن لیستی ازعناصر LDR_DATA_TABLE_ENTRY وجود دارد که به صورت Doubly-linked برای هرپروسه در Virtual Memory ذخیره می شود.
این لیست ها شامل موارد زیر میباشد :

InLoadOrderModuleList InMemoryOrderModuleList InInitializationOrderModuleList

برای استفاده از تکنیک DLL Unlinking، می توان از ابزاری با زبان NIM استفاده کرد که با استفاده از این کد می توان DLL های مورد نظر را از ‏ ‏doubly-linked لیست ها Unlink کرد، از جمله این موارد :
InLoadOrderModuleList InMemoryOrderModuleList InitializationOrderModuleList LdrpHashTable

باید توجه داشت که پس از Unlink کردن یک DLL ، هنوز هم ممکن است این DLL را با استفاده از ابزارهای مشابه Process Hacker مشاهده کنیم زیرا این ابزارها می توانند ماژول های بارگذاری شده را از VAD یا Virtual Address Denoscriptors به جای لیست های مربوط به فضای کاربر دریافت کنند.

https://blog.christophetd.fr/dll-unlinking/
https://github.com/frkngksl/UnlinkDLL
#RedTeam #MalDev
@securation
Christophe Tafani-Dereeper
Hiding in Plain Sight: Unlinking Malicious DLLs from the PEB - Christophe Tafani-Dereeper
In this post, we take a look at an anti-forensics technique that malware can leverage to hide injected DLLs. We dive into specific details of the Windows Process Environment Block (PEB) and how to abuse it to hide a malicious loaded DLL. Background: You may…
🔥9👍32👎2
9.59K viewsAdel
Security Analysis
⭕️ بچه ها من ویندوزم 64 بیت هست هرکی 32 بیت داره بره کمک استاد می خوان #هک پمپ بنزین و دستگاه های سوخت رو نجات بِدن نخبه های مملکت.

پ ن :
من لینوکسی ام و هک شدن ویندوز سرورهای آپدیت نشده ی مملکتی که هنوز بلد نیست Firmware دستگاه هاش رو هم بروزرسانی کنه رو اون تاپاله ی توی سازمان پدافند میندازه گردن دیگری.
اطلاع رسانی هم میفته گردن یک گاوِ شیرنَده که با صحبت های سخیف اش نشون بده بقیه گاوها چطوری اداره مملکت رو بعهده گرفتند.

#تاپاله_غیرعامل
#سرویس_سوخت_رسانی
@securation
😁98👍18👎5😱1😢1
7.44K viewsAdel, edited  
Security Analysis
⭕️ Loader ای که با نام Atlas توسط یک شخص توسعه داده شده است، از روش Reflective برای اجرای dll و PE های 64 بیتی استفاده می‌کند. این loader از Dynamic Indirect Syscalls برای انجام عملیات های خود استفاده می‌کند.

‏بعضی از ویژگی‌های این loader عبارتند از:

* Retrieve of DLL and PE from a remote server
* Manual Mapping on a remote process
* Position independent code
* Use of indirect Syscalls
- ZwAllocateVirtualMemory
- ZwProtectVirtualMemory
- ZwQuerySystemInformation
- ZwFreeVirtualMemory
- ZwCreateThreadEx
* Single stub for all Syscalls
- Dynamic SSN retrieve
- Dynamic Syscall address resolution
* Atlas also uses
- LdrLoadDll
- NtWriteVirtualMemory
* Custom implementations of
- GetProcAddress
- GetModuleHandle
* API hashing
* Cleanup on error
* Variable EntryPoint


#RedTeam #MalDev
@securation
GitHub
GitHub - Krypteria/AtlasLdr: Reflective x64 PE/DLL Loader implemented using Dynamic Indirect Syscalls
Reflective x64 PE/DLL Loader implemented using Dynamic Indirect Syscalls - Krypteria/AtlasLdr
9👍2🔥1😱1🤩1
6.41K viewsAdel
Security Analysis
⭕️شرکت امنیتی روسیه ای به نام #Positive_technologies هک شده و دیتای نرم افزارهای امنیت شرکت در فروم XSS به اشتراک گذاشته شد.

معروف ترین نرم افزار این شرکت همون سندباکس معروف بود که داشتن ، اینم توسط هکرها به اشتراک گذاشته شد.

#Positive_technologies
#Russia
@securation
😁34👍5🤩31🎉1
6.19K viewsAdel
Security Analysis
⭕️ برای خودکار کردن فرایند DLL Sideloading ابزاری توسعه داده شده که از تکنیک های مختلفی استفاده میکند.
از جمله تکنیک ها و ویژگی های استفاده شده در این ابزار میتوان مثال زد: 
Reformatted Structure
Polymorphic Code Integration
SysWhispers 3 Integration
AES Encryption
Early Bird Injection
Module Stomping


#RedTeam #Evasion
@securation
GitHub
GitHub - georgesotiriadis/Chimera: Automated DLL Sideloading Tool With EDR Evasion Capabilities
Automated DLL Sideloading Tool With EDR Evasion Capabilities - georgesotiriadis/Chimera
👍85
5.45K viewsAdel
Security Analysis
Forwarded from CTF Community | Hints
⭕️ The #ASIS #CTF Final 2023 is set for December 29-30! 🗓️ Calling all CTFers to join in for an epic showdown and compete against each other in the last CTF of the year!
asisctf.com
💻🏆 #ASISCTF #CTF2023 #CaptureTheFlag #InfoSec
@ctfplay

https://twitter.com/ASIS_CTF/status/1737872564372885928?t=ZpU8ITLKi2erAfRB2-tjCQ&s=19
10👍2
5.59K viewsAdel
Security Analysis
قبلا بسته ی 7 گیگ یک ماهه ايرانسل 29 هزار تومن بود، الان 7 گیگ حذف شده و جایگزینش گذاشتن 6 گیگ و قیمت هم شده 37 هزار تومن.
جمهوری اسلامی اینشکلیه دوستان :)

اگر مشابه اش رو حفظ یا با مدرک داشتید به اشتراک بذارید بررسی کنیم.
👍62👎14😢7🔥4
5.08K viewsAdel
Security Analysis
⭕️ داستان گرون شدن ها معمولا در حکومت اسلامی اینشکلی هست که یک مورد را 300 درصد گران میکنند ، مردم اعتراض میکنند و بعد حکومت اسلامی میاد میگه خب بابت اینکه حرف مردم رو گوش بدیم فقط 100 درصد گران میکنیم.
مردم هم جیغ و دست و هورا ..
این داستان من رو یاد شیر توی قفس میندازه که عرعر میکرد و علف میخورد...
ایا نوبت مردم ایران هم میرسه اینطور بشن؟

داستانش رو اینجا چندسال قبل نوشتم :

https://www.instagram.com/p/CHcsPgfFZTR/?igsh=MXcxdTZldG0xNXE1OQ==
👍60👎133😁2😱2
5.6K viewsAdel
Security Analysis
⭕️Memory Patcher ای نوشته شده است که با استفاده از تکنیک API Hooking، تغییراتی در سیستم مورد نظر اعمال می‌کند. این ابزار ویژگی‌های زیر را داراست:

‏1. Anti Debugging: ‏Disables specific anti-debugging mechanisms to facilitate debugging in certain scenarios.

‏2. BSoD (Blue Screen of Death): ‏Prevents or mitigates potential causes leading to system crashes or blue screen errors

‏3. BlockInput:‏Controls the system's input-blocking functionality to manage or bypass certain input restrictions.

‏4. FindWindow:‏Modifies the behavior of the FindWindow API function for specific use cases


#RedTeam #MalDev
@securation
GitHub
GitHub - idkhidden/winapipatcher: WinApi Patcher is a straightforward tool leveraging windows API hooking to patch and modify certain…
WinApi Patcher is a straightforward tool leveraging windows API hooking to patch and modify certain behaviors in a targeted environment. - idkhidden/winapipatcher
👍8👎32
4.9K viewsAdel
Security Analysis
https://x.com/1rpwn/status/1741202040271806973?t=SFSTsFRa6qXROkNPpFgvJg&s=35
👍16👎9😁2😢2
6.44K viewsAdel
Security Analysis
⭕️ اسکریپتی با استفاده از پاورشل نوشته شده است و برای IR و Threat Hunting در ویندوز مناسب است.
با استفاده از این اسکریپت، می‌توان به سرعت لیستی از موارد زیر را بررسی کرد:

‏General information
‏Accountand group information
‏Network
‏Process Information
‏OS Build and HOTFIXE
‏Persistence
‏HARDWARE Information
‏ Encryption information
‏FIREWALL INFORMATION‏
‏Services
‏History
‏SMB Queries
‏Remoting queries
‏REGISTRY Analysis
‏LOG queries
‏Instllation of Software
‏User activity
بعلاوه، با استفاده از کوئری‌های پیشرفته، موارد زیر نیز قابل بررسی هستند:
‏ Prefetch file information
‏DLL List
‏WMI filters and consumers


#DFIR #ThreatHunting
@securation
GitHub
GitHub - emrekybs/Douglas-042: Powershell noscript to help Speed ​​up Threat hunting incident response processes
Powershell noscript to help Speed ​​up Threat hunting incident response processes - emrekybs/Douglas-042
👍8👎32🤩2
7.19K viewsAdel, edited  
Security Analysis
⭕️‏Fuzzer ای بر روی شبیه ساز SIMICS نوشته شده که قابلیت فاز کردن UEFI اپلیکیشن ها،bootloader ها،BIOS،کرنل ماژول ها، device firmware ها و حتی برنامه های سطح یوزر ویندوز و لینوکس را دارد.
از قابلیت ها و ویژگی های آن میتوان مثال زد:

‏Edge coverage guided
‏Snapshotting (fully deterministic)
‏Parallel fuzzing (across cores, machines soon)
‏Easy to add to existing SIMICS projects
‏Triage mode to reproduce and debug crashes
‏Modern fuzzing methodologies:
‏ Redqueen/I2S taint-based mutation
‏MOpt & Auto-token mutations
‏TSFFS is focused on several primary use cases:
‏UEFI and BIOS code, particulary based on EDKII
‏Pre- and early-silicon firmware and device drivers
‏Hardware-dependent kernel and firmware code
‏Fuzzing for complex error conditions
‏However, TSFFS is also capable of fuzzing:
‏Kernel & kernel drivers
‏User-space applications
‏Network applications


#Exploitation #Fuzzing
@securation
GitHub
GitHub - intel/tsffs: A snapshotting, coverage-guided fuzzer for software (UEFI, Kernel, firmware, BIOS) built on SIMICS
A snapshotting, coverage-guided fuzzer for software (UEFI, Kernel, firmware, BIOS) built on SIMICS - intel/tsffs
🤩7👍51
5.88K viewsAdel