⭕️ به حمله ای جالب از سری حملات بر روی QRCode ها تحت عنوان QRLjacking برخورد داشتم که به روش کار آن میپردازیم.
این سری از حملات معمولا ترکیبی از مهندسی اجتماعی،فیشینگ و بعضا همراه با بدافزار خواهد بود.
به طوری که فکر کنید محل و مکان معتبری که در آن اطلاعات شخصی و مشخصات خود را ذخیره دارید و اگر براکت های QRCode دار آن محل را مهاجم دستکاری کرده و یا لینک آن را در فضای مجازی به شما ارسال کند و به لینک مقصد خود و با همان ساختار سامانه مشابه هدایت کند،
از این تکنیک حملات استفاده میکند.
البته باید گفت گاها اتفاق می افتد که برنامه های QRCode خوان خود نیز آلوده بوده و منجر به فیشینگ و یا ربایش اطلاعات خواهد شد.
https://www.hackread.com/hackers-exploit-qr-codes-qrljacking-malware/
#Phishing #Malware #RedTeam
@securation
این سری از حملات معمولا ترکیبی از مهندسی اجتماعی،فیشینگ و بعضا همراه با بدافزار خواهد بود.
به طوری که فکر کنید محل و مکان معتبری که در آن اطلاعات شخصی و مشخصات خود را ذخیره دارید و اگر براکت های QRCode دار آن محل را مهاجم دستکاری کرده و یا لینک آن را در فضای مجازی به شما ارسال کند و به لینک مقصد خود و با همان ساختار سامانه مشابه هدایت کند،
از این تکنیک حملات استفاده میکند.
البته باید گفت گاها اتفاق می افتد که برنامه های QRCode خوان خود نیز آلوده بوده و منجر به فیشینگ و یا ربایش اطلاعات خواهد شد.
https://www.hackread.com/hackers-exploit-qr-codes-qrljacking-malware/
#Phishing #Malware #RedTeam
@securation
Hackread
Hackers Exploit QR Codes with QRLJacking for Malware Distribution
Follow us on Twitter @Hackread - Facebook @ /Hackread.
👍5🔥3❤2
⭕️ اگر در حوزه تست نفوذ یا لایه دفاعی Active Directory فعالیت میکنید مدتی پیش تکنیکی برای DNS Spoofing با استفاده از Abuse کردن DHCP کشف شد که این اسکریپت قابلیت کشف MissConfig های این تکنیک را دارد.
از MissConfig های کشف شده در بخش های مختلف را میتوان مثال زد:
DNS Credential
Name Protection
DNSUpdateProxy
Weak record ACLs
https://github.com/akamai/Invoke-DHCPCheckup
#RedTeam #Hardening
@securation
از MissConfig های کشف شده در بخش های مختلف را میتوان مثال زد:
DNS Credential
Name Protection
DNSUpdateProxy
Weak record ACLs
https://github.com/akamai/Invoke-DHCPCheckup
#RedTeam #Hardening
@securation
GitHub
GitHub - akamai/Invoke-DHCPCheckup
Contribute to akamai/Invoke-DHCPCheckup development by creating an account on GitHub.
👍12❤3👎1
⭕️ محققان دانشگاه Vrije در آمستردام هلند یک حمله Side-Channel جدید به نام SLAM را کشف کردهاند که میتواند برای نشت اطلاعات حساس از حافظه کرنل در CPU های فعلی و آینده ی Intel , AMD و ARM مورد سوء استفاده قرار گیرد.
این حمله یک اکسپلویت از سری حملات Spectre است که بر اساس یک ویژگی جدید در CPU های Intel به نام Linear Address Making (LAM) و همچنین مشابه آن از AMD (به نام Upper Address Ignore یا UAI) و Arm (به نام Top Byte Ignore) است. یا TBI) نیز نامگذاری شده است.
محققان گفتند SLAM به ما اجازه می دهد تا دادههای کرنل ASCII دلخواه را به بیرون بکشیم و میتوان از آن برای افشای Hash رمز عبور Root در عرض چند دقیقه از حافظه کرنل استفاده کرد.
این در حالی است که LAM به عنوان یک ویژگی امنیتی ارائه می شود، این مطالعه نشان داده که امنیت را کاهش می دهد و به طور چشمگیری سطح حمله Spectre را افزایش می دهد که منجر به این حمله میشود که از اجرای حدس و گمان برای استخراج داده های حساس از طریق یک Cache Covert Channel سوء استفاده می کند.
Intel در مستندات خود می گوید این حمله از اثرات جانبی ریزمعماری دستورالعمل های گذرا سوء استفاده می کند، بنابراین به اتکر اجازه می دهد به اطلاعاتی دسترسی پیدا کند که معمولاً توسط مکانیسم های کنترل سطح دسترسی معماری ممنوع است.
SLAM با هدف قرار دادن CPUهای آینده توصیف می شود از یک Side-Channel جدید مبتنی بر ترجمه non-canonical address استفاده می کند که بهره برداری عملی از ابزارهای عمومی Spectre را برای افشای اطلاعات ارزشمند تسهیل می کند.
https://thehackernews.com/2023/12/slam-attack-new-spectre-based.html
#Airgap #Sidechannel
@securation
این حمله یک اکسپلویت از سری حملات Spectre است که بر اساس یک ویژگی جدید در CPU های Intel به نام Linear Address Making (LAM) و همچنین مشابه آن از AMD (به نام Upper Address Ignore یا UAI) و Arm (به نام Top Byte Ignore) است. یا TBI) نیز نامگذاری شده است.
محققان گفتند SLAM به ما اجازه می دهد تا دادههای کرنل ASCII دلخواه را به بیرون بکشیم و میتوان از آن برای افشای Hash رمز عبور Root در عرض چند دقیقه از حافظه کرنل استفاده کرد.
این در حالی است که LAM به عنوان یک ویژگی امنیتی ارائه می شود، این مطالعه نشان داده که امنیت را کاهش می دهد و به طور چشمگیری سطح حمله Spectre را افزایش می دهد که منجر به این حمله میشود که از اجرای حدس و گمان برای استخراج داده های حساس از طریق یک Cache Covert Channel سوء استفاده می کند.
Intel در مستندات خود می گوید این حمله از اثرات جانبی ریزمعماری دستورالعمل های گذرا سوء استفاده می کند، بنابراین به اتکر اجازه می دهد به اطلاعاتی دسترسی پیدا کند که معمولاً توسط مکانیسم های کنترل سطح دسترسی معماری ممنوع است.
SLAM با هدف قرار دادن CPUهای آینده توصیف می شود از یک Side-Channel جدید مبتنی بر ترجمه non-canonical address استفاده می کند که بهره برداری عملی از ابزارهای عمومی Spectre را برای افشای اطلاعات ارزشمند تسهیل می کند.
https://thehackernews.com/2023/12/slam-attack-new-spectre-based.html
#Airgap #Sidechannel
@securation
Telegram
Security Analysis
- Offensive Security (Red Teaming / PenTesting)
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
🔥14👍6👎1
⭕️چگونگی استفاده از frida-trace برای تحلیل داینامیک اپ های اندرویدی در Termux:
برای تریس کردن ورودی و خروجی متد های موجود در classes.dex توسط روش های زیر قابل انجام میباشد:
توسط پروسس نیم برنامه:
برای تریس کردن لایبرری و فانکشن های داخل آن:
تریس به صورت auto spawn:
@securation
توجه: نصب بودن ابزار frida-tools و انتقال فایل فریدا سرور به دایرکتوری زیر الزامی میباشد
/data/local/tmp
پس از انتقال فایل دسترسی 777 داده و ران کنید.
برای تریس کردن ورودی و خروجی متد های موجود در classes.dex توسط روش های زیر قابل انجام میباشد:
توسط پروسس نیم برنامه:
frida-trace -R -J 'path/to/class!methodName' ProcessNameتریس به صورت auto spawn:
frida-trace -R -J 'path/to/class!methodName' -f com.package.nameتریس برنامه توسط pid برنامه:
frida-trace -R -j 'path/to/class!methodName' -p pid---------------------------------------------------------
برای تریس کردن لایبرری و فانکشن های داخل آن:
تریس به صورت auto spawn:
frida-trace -R -I 'libname.so' -i 'MethodName' -f com.package.nameتوسط پروسس نیم برنامه:
frida-trace -R -I 'libname.so' -i 'MethodName' ProcessNameتریس برنامه توسط pid برنامه:
frida-trace -R -I 'libname.so' -i 'MethodName' -p pid
@securation
👍14❤4👎3
⭕️ یک تکنیک جالب از سری تکنیک های Anti-forensic در DLL-Injection وجود دارد که با نام DLL Unlinking شناخته می شود.
این تکنیک از ویژگی های Windows Process Environment Block (PEB) استفاده می کند تا بتواند DLL های مورد نظر را به صورت پنهان لود کند.
PEB شامل یک اشاره گر به ساختار PEB_LDR_DATA است که درون آن لیستی ازعناصر LDR_DATA_TABLE_ENTRY وجود دارد که به صورت Doubly-linked برای هرپروسه در Virtual Memory ذخیره می شود.
این لیست ها شامل موارد زیر میباشد :
InLoadOrderModuleList InMemoryOrderModuleList InInitializationOrderModuleList
برای استفاده از تکنیک DLL Unlinking، می توان از ابزاری با زبان NIM استفاده کرد که با استفاده از این کد می توان DLL های مورد نظر را از doubly-linked لیست ها Unlink کرد، از جمله این موارد :
InLoadOrderModuleList InMemoryOrderModuleList InitializationOrderModuleList LdrpHashTable
باید توجه داشت که پس از Unlink کردن یک DLL ، هنوز هم ممکن است این DLL را با استفاده از ابزارهای مشابه Process Hacker مشاهده کنیم زیرا این ابزارها می توانند ماژول های بارگذاری شده را از VAD یا Virtual Address Denoscriptors به جای لیست های مربوط به فضای کاربر دریافت کنند.
https://blog.christophetd.fr/dll-unlinking/
https://github.com/frkngksl/UnlinkDLL
#RedTeam #MalDev
@securation
این تکنیک از ویژگی های Windows Process Environment Block (PEB) استفاده می کند تا بتواند DLL های مورد نظر را به صورت پنهان لود کند.
PEB شامل یک اشاره گر به ساختار PEB_LDR_DATA است که درون آن لیستی ازعناصر LDR_DATA_TABLE_ENTRY وجود دارد که به صورت Doubly-linked برای هرپروسه در Virtual Memory ذخیره می شود.
این لیست ها شامل موارد زیر میباشد :
InLoadOrderModuleList InMemoryOrderModuleList InInitializationOrderModuleList
برای استفاده از تکنیک DLL Unlinking، می توان از ابزاری با زبان NIM استفاده کرد که با استفاده از این کد می توان DLL های مورد نظر را از doubly-linked لیست ها Unlink کرد، از جمله این موارد :
InLoadOrderModuleList InMemoryOrderModuleList InitializationOrderModuleList LdrpHashTable
باید توجه داشت که پس از Unlink کردن یک DLL ، هنوز هم ممکن است این DLL را با استفاده از ابزارهای مشابه Process Hacker مشاهده کنیم زیرا این ابزارها می توانند ماژول های بارگذاری شده را از VAD یا Virtual Address Denoscriptors به جای لیست های مربوط به فضای کاربر دریافت کنند.
https://blog.christophetd.fr/dll-unlinking/
https://github.com/frkngksl/UnlinkDLL
#RedTeam #MalDev
@securation
Christophe Tafani-Dereeper
Hiding in Plain Sight: Unlinking Malicious DLLs from the PEB - Christophe Tafani-Dereeper
In this post, we take a look at an anti-forensics technique that malware can leverage to hide injected DLLs. We dive into specific details of the Windows Process Environment Block (PEB) and how to abuse it to hide a malicious loaded DLL. Background: You may…
🔥9👍3❤2👎2
⭕️ بچه ها من ویندوزم 64 بیت هست هرکی 32 بیت داره بره کمک استاد می خوان #هک پمپ بنزین و دستگاه های سوخت رو نجات بِدن نخبه های مملکت.
پ ن :
من لینوکسی ام و هک شدن ویندوز سرورهای آپدیت نشده ی مملکتی که هنوز بلد نیست Firmware دستگاه هاش رو هم بروزرسانی کنه رو اون تاپاله ی توی سازمان پدافند میندازه گردن دیگری.
اطلاع رسانی هم میفته گردن یک گاوِ شیرنَده که با صحبت های سخیف اش نشون بده بقیه گاوها چطوری اداره مملکت رو بعهده گرفتند.
#تاپاله_غیرعامل
#سرویس_سوخت_رسانی
@securation
پ ن :
من لینوکسی ام و هک شدن ویندوز سرورهای آپدیت نشده ی مملکتی که هنوز بلد نیست Firmware دستگاه هاش رو هم بروزرسانی کنه رو اون تاپاله ی توی سازمان پدافند میندازه گردن دیگری.
اطلاع رسانی هم میفته گردن یک گاوِ شیرنَده که با صحبت های سخیف اش نشون بده بقیه گاوها چطوری اداره مملکت رو بعهده گرفتند.
#تاپاله_غیرعامل
#سرویس_سوخت_رسانی
@securation
😁98👍18👎5😱1😢1
⭕️ Loader ای که با نام Atlas توسط یک شخص توسعه داده شده است، از روش Reflective برای اجرای dll و PE های 64 بیتی استفاده میکند. این loader از Dynamic Indirect Syscalls برای انجام عملیات های خود استفاده میکند.
بعضی از ویژگیهای این loader عبارتند از:
#RedTeam #MalDev
@securation
بعضی از ویژگیهای این loader عبارتند از:
* Retrieve of DLL and PE from a remote server
* Manual Mapping on a remote process
* Position independent code
* Use of indirect Syscalls
- ZwAllocateVirtualMemory
- ZwProtectVirtualMemory
- ZwQuerySystemInformation
- ZwFreeVirtualMemory
- ZwCreateThreadEx
* Single stub for all Syscalls
- Dynamic SSN retrieve
- Dynamic Syscall address resolution
* Atlas also uses
- LdrLoadDll
- NtWriteVirtualMemory
* Custom implementations of
- GetProcAddress
- GetModuleHandle
* API hashing
* Cleanup on error
* Variable EntryPoint
#RedTeam #MalDev
@securation
GitHub
GitHub - Krypteria/AtlasLdr: Reflective x64 PE/DLL Loader implemented using Dynamic Indirect Syscalls
Reflective x64 PE/DLL Loader implemented using Dynamic Indirect Syscalls - Krypteria/AtlasLdr
❤9👍2🔥1😱1🤩1
⭕️شرکت امنیتی روسیه ای به نام #Positive_technologies هک شده و دیتای نرم افزارهای امنیت شرکت در فروم XSS به اشتراک گذاشته شد.
معروف ترین نرم افزار این شرکت همون سندباکس معروف بود که داشتن ، اینم توسط هکرها به اشتراک گذاشته شد.
#Positive_technologies
#Russia
@securation
معروف ترین نرم افزار این شرکت همون سندباکس معروف بود که داشتن ، اینم توسط هکرها به اشتراک گذاشته شد.
#Positive_technologies
#Russia
@securation
😁34👍5🤩3❤1🎉1
⭕️ برای خودکار کردن فرایند DLL Sideloading ابزاری توسعه داده شده که از تکنیک های مختلفی استفاده میکند.
از جمله تکنیک ها و ویژگی های استفاده شده در این ابزار میتوان مثال زد:
#RedTeam #Evasion
@securation
از جمله تکنیک ها و ویژگی های استفاده شده در این ابزار میتوان مثال زد:
Reformatted Structure
Polymorphic Code Integration
SysWhispers 3 Integration
AES Encryption
Early Bird Injection
Module Stomping
#RedTeam #Evasion
@securation
GitHub
GitHub - georgesotiriadis/Chimera: Automated DLL Sideloading Tool With EDR Evasion Capabilities
Automated DLL Sideloading Tool With EDR Evasion Capabilities - georgesotiriadis/Chimera
👍8❤5
Forwarded from CTF Community | Hints
⭕️ The #ASIS #CTF Final 2023 is set for December 29-30! 🗓️ Calling all CTFers to join in for an epic showdown and compete against each other in the last CTF of the year!
asisctf.com
💻🏆 #ASISCTF #CTF2023 #CaptureTheFlag #InfoSec
@ctfplay
https://twitter.com/ASIS_CTF/status/1737872564372885928?t=ZpU8ITLKi2erAfRB2-tjCQ&s=19
asisctf.com
💻🏆 #ASISCTF #CTF2023 #CaptureTheFlag #InfoSec
@ctfplay
https://twitter.com/ASIS_CTF/status/1737872564372885928?t=ZpU8ITLKi2erAfRB2-tjCQ&s=19
❤10👍2
قبلا بسته ی 7 گیگ یک ماهه ايرانسل 29 هزار تومن بود، الان 7 گیگ حذف شده و جایگزینش گذاشتن 6 گیگ و قیمت هم شده 37 هزار تومن.
جمهوری اسلامی اینشکلیه دوستان :)
اگر مشابه اش رو حفظ یا با مدرک داشتید به اشتراک بذارید بررسی کنیم.
جمهوری اسلامی اینشکلیه دوستان :)
اگر مشابه اش رو حفظ یا با مدرک داشتید به اشتراک بذارید بررسی کنیم.
👍62👎14😢7🔥4
⭕️ داستان گرون شدن ها معمولا در حکومت اسلامی اینشکلی هست که یک مورد را 300 درصد گران میکنند ، مردم اعتراض میکنند و بعد حکومت اسلامی میاد میگه خب بابت اینکه حرف مردم رو گوش بدیم فقط 100 درصد گران میکنیم.
مردم هم جیغ و دست و هورا ..
این داستان من رو یاد شیر توی قفس میندازه که عرعر میکرد و علف میخورد...
ایا نوبت مردم ایران هم میرسه اینطور بشن؟
داستانش رو اینجا چندسال قبل نوشتم :
https://www.instagram.com/p/CHcsPgfFZTR/?igsh=MXcxdTZldG0xNXE1OQ==
مردم هم جیغ و دست و هورا ..
این داستان من رو یاد شیر توی قفس میندازه که عرعر میکرد و علف میخورد...
ایا نوبت مردم ایران هم میرسه اینطور بشن؟
داستانش رو اینجا چندسال قبل نوشتم :
https://www.instagram.com/p/CHcsPgfFZTR/?igsh=MXcxdTZldG0xNXE1OQ==
👍60👎13❤3😁2😱2
⭕️Memory Patcher ای نوشته شده است که با استفاده از تکنیک API Hooking، تغییراتی در سیستم مورد نظر اعمال میکند. این ابزار ویژگیهای زیر را داراست:
#RedTeam #MalDev
@securation
1. Anti Debugging: Disables specific anti-debugging mechanisms to facilitate debugging in certain scenarios.
2. BSoD (Blue Screen of Death): Prevents or mitigates potential causes leading to system crashes or blue screen errors
3. BlockInput:Controls the system's input-blocking functionality to manage or bypass certain input restrictions.
4. FindWindow:Modifies the behavior of the FindWindow API function for specific use cases
#RedTeam #MalDev
@securation
GitHub
GitHub - idkhidden/winapipatcher: WinApi Patcher is a straightforward tool leveraging windows API hooking to patch and modify certain…
WinApi Patcher is a straightforward tool leveraging windows API hooking to patch and modify certain behaviors in a targeted environment. - idkhidden/winapipatcher
👍8👎3❤2
👍16👎9😁2😢2
⭕️ اسکریپتی با استفاده از پاورشل نوشته شده است و برای IR و Threat Hunting در ویندوز مناسب است.
با استفاده از این اسکریپت، میتوان به سرعت لیستی از موارد زیر را بررسی کرد:
#DFIR #ThreatHunting
@securation
با استفاده از این اسکریپت، میتوان به سرعت لیستی از موارد زیر را بررسی کرد:
General information
Accountand group information
Network
Process Information
OS Build and HOTFIXE
Persistence
HARDWARE Information
Encryption information
FIREWALL INFORMATION
Services
History
SMB Queries
Remoting queries
REGISTRY Analysis
LOG queries
Instllation of Software
User activity
بعلاوه، با استفاده از کوئریهای پیشرفته، موارد زیر نیز قابل بررسی هستند:
Prefetch file information
DLL List
WMI filters and consumers
#DFIR #ThreatHunting
@securation
GitHub
GitHub - emrekybs/Douglas-042: Powershell noscript to help Speed up Threat hunting incident response processes
Powershell noscript to help Speed up Threat hunting incident response processes - emrekybs/Douglas-042
👍8👎3❤2🤩2
⭕️Fuzzer ای بر روی شبیه ساز SIMICS نوشته شده که قابلیت فاز کردن UEFI اپلیکیشن ها،bootloader ها،BIOS،کرنل ماژول ها، device firmware ها و حتی برنامه های سطح یوزر ویندوز و لینوکس را دارد.
از قابلیت ها و ویژگی های آن میتوان مثال زد:
#Exploitation #Fuzzing
@securation
از قابلیت ها و ویژگی های آن میتوان مثال زد:
Edge coverage guided
Snapshotting (fully deterministic)
Parallel fuzzing (across cores, machines soon)
Easy to add to existing SIMICS projects
Triage mode to reproduce and debug crashes
Modern fuzzing methodologies:
Redqueen/I2S taint-based mutation
MOpt & Auto-token mutations
TSFFS is focused on several primary use cases:
UEFI and BIOS code, particulary based on EDKII
Pre- and early-silicon firmware and device drivers
Hardware-dependent kernel and firmware code
Fuzzing for complex error conditions
However, TSFFS is also capable of fuzzing:
Kernel & kernel drivers
User-space applications
Network applications
#Exploitation #Fuzzing
@securation
GitHub
GitHub - intel/tsffs: A snapshotting, coverage-guided fuzzer for software (UEFI, Kernel, firmware, BIOS) built on SIMICS
A snapshotting, coverage-guided fuzzer for software (UEFI, Kernel, firmware, BIOS) built on SIMICS - intel/tsffs
🤩7👍5❤1
⭕️ شرکت امنیتی Hudson Rock یک گزارش تهیه کرده و نوشته سیستم یکی از کارمندان شرکت اسنپ فود به بدافزار StealC آلوده شده و از طریق اون دسترسی به اطلاعات پیدا کردند.
یکی از مشکلات شرکت ها و سازمان های ایران رو به شکل خیلی ساده و خلاصه میشه یا همین روش ها هک کرد.
دلیل اصلی هم نبود متخصص و دیدگاه مدیریت اشتباه هستش.
مثلا همه فکر میکنند که کار Blue Team توی سازمان ، این هست که چندتا مانیتورینگ نصب کنند و یه دوره اسپلانک توی اکادمی فلانی ثبت نام کنند و بعنوان Soc کار استخدامی بشن.
کل تیم رو میذاری روی Network Packet Analysis و هیچکدوم نمیتونند یک کار مفیدی انجام بدن پکت ها رو تحلیل کنند.
نکته مهم اینه امروزه تحلیلگر بدافزار نیاز قطعی هر شرکت و سازمانی هست ولی متاسفانه بخاطر نبود مدیر لایق و فنی و ترویج بیسوادی در جامعه به سمت اسکریپت کیددی ساختن توی حوزه Bug Bounty که فقط وب رو مبنای همه چیز قرار میدن ، باعث شده سازمان و شرکت و هرجایی اینطور موارد رو میبینه دیگه به بحثهای عمیق امنیت توجهی نداشته باشه.
اگر اسنپ فود با این روش که استیلر روی سیستم یکی از کارمندهاش بوده و هک شده بنظرم یک بار دیگه از صفر کل زیرساخت شرکت و تمام نیروی انسانی چه فنی چه اداری و غیره ، همه رو آموزش بدید و یک Review بزنید کل سیستم های اینها رو.
هدف قرار دادن کارمندهایی که دسترسی بیشتری در سازمان دارن ، توی پروژه های Red Team معمولا تعریف میشه ، چیزی که اسنپ فود و کل تیم اسنپ همچین موردی نداشتن و شایدم ما هیچوقت ندیدیم همچین چیزهایی ازشون.
درهرصورت اگه توی یک کمپانی که داری محصول و دیتا هست کار میکنید، بدنیست بجز اون شرکت امنیتی یا تیم امنیتی که پیمانکارِ ثابت شما هست ، سالی یک بار یه پروژه Red Team بدید خارج از این اکیپ های خودتون بلکه اقدام مناسبی جهت امنیت شرکت و سازمان خودتون داشته باشید.
https://www.infostealers.com/article/mysterious-hacker-strikes-iran-with-major-cyberattacks-against-industry-leading-companies/
#هک #اسنپ_فود #دیتا
@securation
یکی از مشکلات شرکت ها و سازمان های ایران رو به شکل خیلی ساده و خلاصه میشه یا همین روش ها هک کرد.
دلیل اصلی هم نبود متخصص و دیدگاه مدیریت اشتباه هستش.
مثلا همه فکر میکنند که کار Blue Team توی سازمان ، این هست که چندتا مانیتورینگ نصب کنند و یه دوره اسپلانک توی اکادمی فلانی ثبت نام کنند و بعنوان Soc کار استخدامی بشن.
کل تیم رو میذاری روی Network Packet Analysis و هیچکدوم نمیتونند یک کار مفیدی انجام بدن پکت ها رو تحلیل کنند.
نکته مهم اینه امروزه تحلیلگر بدافزار نیاز قطعی هر شرکت و سازمانی هست ولی متاسفانه بخاطر نبود مدیر لایق و فنی و ترویج بیسوادی در جامعه به سمت اسکریپت کیددی ساختن توی حوزه Bug Bounty که فقط وب رو مبنای همه چیز قرار میدن ، باعث شده سازمان و شرکت و هرجایی اینطور موارد رو میبینه دیگه به بحثهای عمیق امنیت توجهی نداشته باشه.
اگر اسنپ فود با این روش که استیلر روی سیستم یکی از کارمندهاش بوده و هک شده بنظرم یک بار دیگه از صفر کل زیرساخت شرکت و تمام نیروی انسانی چه فنی چه اداری و غیره ، همه رو آموزش بدید و یک Review بزنید کل سیستم های اینها رو.
هدف قرار دادن کارمندهایی که دسترسی بیشتری در سازمان دارن ، توی پروژه های Red Team معمولا تعریف میشه ، چیزی که اسنپ فود و کل تیم اسنپ همچین موردی نداشتن و شایدم ما هیچوقت ندیدیم همچین چیزهایی ازشون.
درهرصورت اگه توی یک کمپانی که داری محصول و دیتا هست کار میکنید، بدنیست بجز اون شرکت امنیتی یا تیم امنیتی که پیمانکارِ ثابت شما هست ، سالی یک بار یه پروژه Red Team بدید خارج از این اکیپ های خودتون بلکه اقدام مناسبی جهت امنیت شرکت و سازمان خودتون داشته باشید.
https://www.infostealers.com/article/mysterious-hacker-strikes-iran-with-major-cyberattacks-against-industry-leading-companies/
#هک #اسنپ_فود #دیتا
@securation
InfoStealers
Mysterious hacker strikes Iran with major cyberattacks against industry leading companies
A hacker who goes by the username “irleaks” posted a thread in which they attempt to sell over 160,000,000 records of Iranians
👍34👎6😁5🔥4❤1
⭕️ امروزه برای سریع تر کردن و خودکار سازی فرایند تست نفوذ و یا ردتیم ما سعی میکنیم اسکریپت هایی یا اصطلاحا Kit هایی توسعه بدیم که فرایند کار بهبود پیدا کنه. Kit هایی برای فرایند Recon و Exploit در Active Directory توسعه داده شده که به ویژگی هاشون میپردازیم:
اسکرپیت AD-SecurityAudit.sh بر روی Recon ابتدایی و شناسایی آسیب پذیری ها دقت دارد با ویژگی های کلیدی زیر:
و اسکریپت AutoMapExec.sh عمیق تر شده و بر روی اکسپلویت کردن آن آسیب پذیری ها دقت دارد با ویژگی های زیر:
https://github.com/emrekybs/AD-AssessmentKit
#RedTeam #Exploitation #AD
@securation
اسکرپیت AD-SecurityAudit.sh بر روی Recon ابتدایی و شناسایی آسیب پذیری ها دقت دارد با ویژگی های کلیدی زیر:
LDAP and Service Account Queries: Conducts LDAP searches targeting service accounts in the AD.
Kerberos Ticket Analysis: Uses Impacket's tools for analyzing Kerberos ticket vulnerabilities and identifying accounts without pre-authentication
Comprehensive Kerberos and SMB Enumeration: Employs SilentHound and Enum4linux-ng for Kerberos auditing and detailed SMB, user, and system information scanning.
Enumeration Techniques: Implements RID brute-force and NetExec SMB enumeration for discovering user accounts, groups, and security policies.
Exploitation of Windows Services: Executes Zerologon and PetitPotam attacks to target known vulnerabilities.
Execution Summary and Actionable Guidance: Completes with a success message and provides insights for further actions, such as hash cracking.
و اسکریپت AutoMapExec.sh عمیق تر شده و بر روی اکسپلویت کردن آن آسیب پذیری ها دقت دارد با ویژگی های زیر:
Credential-Based Targeting: Uses user-provided credentials for a more thorough analysis.
Kerberos Auditing and Extensive SMB Enumeration: Combines SilentHound and multiple NetExec commands for a deeper level of SMB and security analysis.
Network and AD Comprehensive Scanning: Utilizes CrackMapExec for an extensive view of the network, including computer listings, local groups, and NTDS extraction.Testing Against Major Vulnerabilities: Incorporates exploitation of significant
Testing Against Major Vulnerabilities: Incorporates exploitation of significant vulnerabilities like Zerologon, PetitPotam, and NoPAC.
BloodHound Integration and RDP Enablement: Facilitates AD data collection for BloodHound analysis and enables Remote Desktop Protocol.
Diverse Command Execution and Data Retrieval: Performs a range of system commands and retrieves the SAM database for in-depth credential analysis.
Detailed Execution Overview: Concludes with a summary of successful execution, signifying the completion of a comprehensive scanning and enumeration process
https://github.com/emrekybs/AD-AssessmentKit
#RedTeam #Exploitation #AD
@securation
👍11❤7👎4🤩2🔥1
⭕️ شیاد بودن مختص قشرهای مختلفی شده به طوری که این پزشک ها پول ویزیت رو آنلاین دریافت میکنند و بهت زمان نوبت میدن، از کار و زندگیت میگذری و کلی هزینه میکنی بری ، یهوی میبینی سه ماهه در این آدرس نیست و سامانه کلاهبرداری Paziresh24.ir هم پشتیبانی و پاسخگویی نداره و شماره تلفنی آدرسی از این خانم های آشغال پیدا نمیشه کرد:)
به همین راحتی کلاهبرداری در ایران راحت رخ میده و هیچ جایی مردم دستشون بند نیست.
#سامانه_انلاین #پذیرش۲۴
#پزشک_شیاد #کلاهبرداری_پزشکی
@securation
به همین راحتی کلاهبرداری در ایران راحت رخ میده و هیچ جایی مردم دستشون بند نیست.
#سامانه_انلاین #پذیرش۲۴
#پزشک_شیاد #کلاهبرداری_پزشکی
@securation
👍49😱12😁6👎5
⭕️یک نیروی نفوذی سازمان اطلاعات هلند بنام اریک، عامل منتشر کننده ویروس خرابکار استاکسنت در سال ۲۰۰۷ بوده ، ویروسی که خرابکاری زیادی در راکتور های هسته ای ایران به وجود آورد.
https://nos.nl/artikel/2504114-nederlander-saboteerde-atoomcomplex-in-iran-den-haag-wist-niets
#stuxnet
@securation
https://nos.nl/artikel/2504114-nederlander-saboteerde-atoomcomplex-in-iran-den-haag-wist-niets
#stuxnet
@securation
nos.nl
‘Nederlander saboteerde atoomcomplex in Iran, Den Haag wist niets’
De sabotageactie vond plaats in 2007. De AIVD-infiltrant is kort na de operatie overleden door een motorongeluk, schrijft de Volkskrant.
❤22👎14👍8🔥2😁2😢2🎉1