⭕️ در پروسه Post Exploit در RedTeam Azure ابزاری برای تعامل با Microsoft Graph API نوشته شده که ویژگی های مختلفی دارد.
البته باید گفت اکثریت ویژگی ها نیاز به توکن دارد که این مورد را هم پوشش داده است
از جمله ویژگی های این ابزار :
#RedTeam #Cloud #Azure
@securation
البته باید گفت اکثریت ویژگی ها نیاز به توکن دارد که این مورد را هم پوشش داده است
از جمله ویژگی های این ابزار :
It consists of three separate parts:
A PowerShell noscript where the majority of modules are located
An HTML GUI that can leverage an access token to navigate and pillage a user's account
A simple PHP redirector for harvesting authentication codes during an OAuth flow
Main Features
Search and export email
Search and export SharePoint and OneDrive files accessible to a user
Search all Teams chats and channels visible to the user and export full conversations
Deploy malicious apps
Discover misconfigured mailboxes that are exposed
Clone security groups to carry out watering hole attacks
Find groups that can be modified directly by your user or where membership rules can be abused to gain access
Search all user attributes for specific terms
Leverage a GUI built on the Graph API to pillage a user's account
Dump conditional access policies
Dump app registrations and external apps including consent and scope to identify potentially malicious apps
Tools to complete OAuth flow during consent grant attacks
GraphRunner doesn't rely on any third-party libraries or modules
Works with Windows and Linux
Continuously refresh your token package
#RedTeam #Cloud #Azure
@securation
GitHub
GitHub - Tylous/GraphRunner: A Post-exploitation Toolset for Interacting with the Microsoft Graph API
A Post-exploitation Toolset for Interacting with the Microsoft Graph API - Tylous/GraphRunner
This media is not supported in your browser
VIEW IN TELEGRAM
⭕️ Bypass Medium Paywall
A little lifehack if you, like me, come across paid articles from Medium. These sites allow you to read paid Medium articles for free:
https://freedium.cfd/<URL>
https://medium-forall.vercel.app/
#medium #premium #bypass
@securation
A little lifehack if you, like me, come across paid articles from Medium. These sites allow you to read paid Medium articles for free:
https://freedium.cfd/<URL>
https://medium-forall.vercel.app/
#medium #premium #bypass
@securation
⭕️ ابزاری توسعه داده شده که Microsoft Graph API را اصطلاحا c2 کرده و با استفاده از ارتباط سامانه sharepoint با Microsoft Graph API ارتباطات HTTPS beaconing که با استفاده از C2 معروف Coblat Strike ایجاد شده برقرار میکند.
از ویژگی های این ابزار میتوان موارد زیر را مثال زد:
#RedTeam #C2
@securation
از ویژگی های این ابزار میتوان موارد زیر را مثال زد:
GraphStrike supports almost all normal Cobalt Strike activities to include:
Use of Proxychains through a Cobalt Strike SOCKS proxy (though it is very slow...)
Upload/Download of large files
BOFs, execute-assembly, etc.
This also includes GraphStrike integration of the sleep, exit, and remove commands to match GraphStrike Server sleep times with Beacon as well as delete files in SharePoint when a Beacon is exited or removed.
GraphStrike additionally incorporates all of the features and functionality of the original AceLdr, with some additional API's made to utilize call stack spoofing as well.
#RedTeam #C2
@securation
GitHub
GitHub - RedSiege/GraphStrike: Cobalt Strike HTTPS beaconing over Microsoft Graph API
Cobalt Strike HTTPS beaconing over Microsoft Graph API - GitHub - RedSiege/GraphStrike: Cobalt Strike HTTPS beaconing over Microsoft Graph API
⭕️ اگر در حوزه RedTeam فعالیت کرده باشید، مطمئناً با Evilginx آشنا هستید. Evilginx یک ابزار است که برای دور زدن 2FA و انجام مهندسی اجتماعی و فیشینگ مورد استفاده قرار میگیرد. با این حال، این نوع ابزارها پس از یک مدت زمان قابل شناسایی میشوند و سرویس دهندهها میتوانند آنها را مسدود کنند.
حال به چند تکنیک برای جلوگیری از این اتفاق میپردازیم.
#RedTeam #OpSec
@securation
حال به چند تکنیک برای جلوگیری از این اتفاق میپردازیم.
در ابتدا، برای انجام این روش، نیاز به دو دامنه و سرور، و همچنین یک حساب Cloudflare داریم. Evilginx را روی Apache نصب کرده و از Let's Encrypt برای فعال سازی SSL استفاده میکنیم. سپس سایت را به Cloudflare اضافه میکنیم.
با فعال کردن ویژگی Temporary Protections و تنظیم شدت آن به حالت Under Attack ، میتوانیم سایت خود را در برابر حملات مخرب محافظت کنیم. همچنین با فعال کردن ویژگی Geo-blocking، قادر خواهیم بود دسترسی ابزارهای اسکنر و scraper را قطع کنیم. همچنین، با فعال کردن ویژگی Botfight نیز میتوانیم در برابر حملات رباتیکی که به سایت انجام میشوند، محافظت کنیم.
با استفاده از ویژگی Meta Refresh، دو دامنه را در اختیار داریم. یکی Evilginx و دیگری Apache. با استفاده از این روش، میتوانیم در صورت بازدید از Evilginx، کاربر را به Apache منتقل کنیم و Meta Data را نشان دهیم. با این کار، اسکنر ها با Apache برخورد خواهند کرد.
و در نهایت، از Obfuscation برای مخفیسازی کدهای HTML و JS استفاده کنید تا خوانایی آنها به سادگی امکانپذیر نباشد.
#RedTeam #OpSec
@securation
Jack Button
How to protect Evilginx using Cloudflare and HTML Obfuscation
Using a combination of Cloudflare and HTML Obfuscation, it is possible to protect your Evilginx server from being flagged as deceptive and so increase your chances of success on Red Team and Social Engineering engagements. Anyone who has tried to run a Social…
⭕️ پروژه ای توسعه داده شده که سمپل یک Rootkit برای استفاده توی پروژه های ردتیم کاربرد داره.
این پروژه با ++C توسعه داده شده و قابلیت ارتباط آسان با C2 مورد نظر ما را دارد.
از ویژگی های این پروژه میتوان به موارد زیر پرداخت:
#RedTeam #Rootkit #Maldev
@securation
این پروژه با ++C توسعه داده شده و قابلیت ارتباط آسان با C2 مورد نظر ما را دارد.
از ویژگی های این پروژه میتوان به موارد زیر پرداخت:
Current Features
Process hiding and unhiding
Process elevation
Process protection (anti-kill and dumping)
Bypass pe-sieve
Thread hiding and unhiding
Thread protection (anti-kill)
File protection (anti-deletion and overwriting)
Registry keys and values protection (anti-deletion and overwriting)
Registry keys and values hiding
Querying currently protected processes, threads, files, hidden ports, registry keys and values
Function patching
Built-in AMSI bypass
Built-in ETW patch
Process signature (PP/PPL) modification
Can be reflectively loaded
Shellcode Injection
APC
NtCreateThreadEx
DLL Injection
APC
NtCreateThreadEx
Querying kernel callbacks
ObCallbacks
Process and thread creation routines
Image loading routines
Registry callbacks
Removing and restoring kernel callbacks
ETWTI tampering
Module hiding
Driver hiding and unhiding
Credential Dumping
Port hiding/unhiding
Script execution
Initial operations
#RedTeam #Rootkit #Maldev
@securation
GitHub
GitHub - Idov31/Nidhogg: Nidhogg is an all-in-one simple to use windows kernel rootkit.
Nidhogg is an all-in-one simple to use windows kernel rootkit. - Idov31/Nidhogg
⭕️ چندین نهاد امنیتی در آمریکا و اروپا با همکاری یکدیگر تونستن دامنه های بزرگترین گنگ سایبری باج افزاری رو در دارک نت مصادره کنند.
دیشب یکی از اپراتورهای اصلی باج افزار LockBit تایید کرد که دامنه هاشون مصادره شد.
+ الآن یعنی اونایی که بابت دریافت مبلغی اسم LockBit رو تتو میزدن روی دست و پای خودشون باید برن پاک کنند؟ 😁
#ransomware #lockbit
@securation
دیشب یکی از اپراتورهای اصلی باج افزار LockBit تایید کرد که دامنه هاشون مصادره شد.
+ الآن یعنی اونایی که بابت دریافت مبلغی اسم LockBit رو تتو میزدن روی دست و پای خودشون باید برن پاک کنند؟ 😁
#ransomware #lockbit
@securation
⭕️Automate DNS poisoning
اجرای حمله DNS poisoning تنها با کانکت کردن اسمارت فون اندرویدی به کامپیوتر شخصی شما
در این پست تحلیلگر امنیتی از گوشی اندروید به عنوان یک Rubber Ducky استفاده کرده با هدف آلوده کردن فایل hosts داخل ویندوز و با بازنشانی آدرس ip جعلی برای سایت های معروف مثل گوگل و یاهو باعث میشود تا تارگت با وارد کردن آدرس سایت گوگل و یاهو به آدرس ip جعلی بازنشانی شده در فایل hosts ریدایرکت شود
https://www.mobile-hacker.com/2024/02/20/automated-dns-poisoning-using-android-while-charging-via-computer/
#dns #poisoning #android
@securation
اجرای حمله DNS poisoning تنها با کانکت کردن اسمارت فون اندرویدی به کامپیوتر شخصی شما
در این پست تحلیلگر امنیتی از گوشی اندروید به عنوان یک Rubber Ducky استفاده کرده با هدف آلوده کردن فایل hosts داخل ویندوز و با بازنشانی آدرس ip جعلی برای سایت های معروف مثل گوگل و یاهو باعث میشود تا تارگت با وارد کردن آدرس سایت گوگل و یاهو به آدرس ip جعلی بازنشانی شده در فایل hosts ریدایرکت شود
https://www.mobile-hacker.com/2024/02/20/automated-dns-poisoning-using-android-while-charging-via-computer/
#dns #poisoning #android
@securation
⭕️ یکی از تکنیکهای MITRE ATT&CK که در تاکتیک Credential Access جای میگیرد، Forced Authentication است.
از تکنیک جدیدی که میتوان به منظور Forced Authentication بهرهبرداری نمود، و نیز از ابزارهای پیشفرض Microsoft بوده و ذیل باینریهای LOLBIN است، ابزار comp.exe است.
این ابزار به منظور مقایسه فایل به شکل byte-to-byte استفاده میشود.
یکی از قابلیتهای این نرمافزار، دریافت و مقایسه یک فایل از SMB Share است.
با توجه به اینکه میبایست احراز هویت در SMB را به منظور دریافت فایل انجام دهد، میتوان NTLM Hash را با استفاده از یک Rogue SMB مانند Responder به سرقت برد.
لینک مربوط به تکنیک در گیتهاب LOLBAS:
https://github.com/LOLBAS-Project/LOLBAS/pull/341/files
#Redteam #SMBhash #ForcedAuthentication
@securation
از تکنیک جدیدی که میتوان به منظور Forced Authentication بهرهبرداری نمود، و نیز از ابزارهای پیشفرض Microsoft بوده و ذیل باینریهای LOLBIN است، ابزار comp.exe است.
این ابزار به منظور مقایسه فایل به شکل byte-to-byte استفاده میشود.
یکی از قابلیتهای این نرمافزار، دریافت و مقایسه یک فایل از SMB Share است.
با توجه به اینکه میبایست احراز هویت در SMB را به منظور دریافت فایل انجام دهد، میتوان NTLM Hash را با استفاده از یک Rogue SMB مانند Responder به سرقت برد.
لینک مربوط به تکنیک در گیتهاب LOLBAS:
https://github.com/LOLBAS-Project/LOLBAS/pull/341/files
#Redteam #SMBhash #ForcedAuthentication
@securation
GitHub
Adding Comp.exe technique by kousha1999 · Pull Request #341 · LOLBAS-Project/LOLBAS
Living Off The Land Binaries And Scripts - (LOLBins and LOLScripts) - Adding Comp.exe technique by kousha1999 · Pull Request #341 · LOLBAS-Project/LOLBAS
⭕️ اگر علاقه مند به توسعه RootKit در محیط ویندوز هستید پروژه ای توسعه داده شده که به مطالعه آن میپردازیم.
از ویژگی های این پروژه میتوان به موارد زیر اشاره کرد:
#RedTeam #RootKit #MalDev
@securation
از ویژگی های این پروژه میتوان به موارد زیر اشاره کرد:
Kill processes
ZwTerminateProcess is simply called from kernel land to terminate any process. Additionally, you can bury a process to avoid it to restart by setting a kernel callback to process creation: If the target process is created, Banshee will set the CreationStatus of the target process to STATUS_ACCESS_DENIED.
Change protection levels
This is done by modifying the EPROCESS structure, which is an kernel object that describes a processes attributes. It also holds a value that specifies the protection level of the process.
We can directly modify this value (aka Direct Kernel Object Modification or DKOM), since we are operating in Ring 0.
Elevate any process token to SYSTEM
EPROCESS also holds a pointer to the current access token, so we can just make it point to e.g. the token of process 4 (SYSTEM) to elevate any process to SYSTEM
Enumerating and erasing kernel callbacks
For now, only Process- and Thread-Creation kernel callbacks are enumerated, by parsing the PsSetCreateNotifyProcess/ThreadRoutine routine to reach the private Psp* routine and then parsing the address of the array, where kernel callbacks are stored.
Protecting the driver file
By hooking the NTFS filesystem's IRP_MJ_CREATE handler, we can block any process from opening a handle to our driver file
Hide Process by PID
Again, EPROCESS comes to help here - it contains a LIST_ENTRY of a doubly linked list called ActiveProcessLink which is queried by Windows to enumerate running processes. If we simply unlink an entry here, we can hide our process from tools like Process Monitor or Task Manager.
#RedTeam #RootKit #MalDev
@securation
GitHub
GitHub - eversinc33/Banshee: Experimental Windows x64 Kernel Rootkit with anti-rootkit evasion features.
Experimental Windows x64 Kernel Rootkit with anti-rootkit evasion features. - eversinc33/Banshee
⭕️ ابزاری برای Malware Detection و Threat Hunting توسعه داده شده که قابلیت جمع آوری موارد مورد نیاز و شناسایی بد افزار های اجرایی را دارد.
از قبیل تکنیک های قابل شناسایی میتوان به موارد زیر اشاره کرد:
#BlueTeam #MalwareAnalysis #Forensics
@securation
از قبیل تکنیک های قابل شناسایی میتوان به موارد زیر اشاره کرد:
replaced/injected PEs, shellcodes, hooks, and other in-memory patches.
Detects inline hooks, Process Hollowing, Process Doppelgänging, Reflective DLL Injection, etc.
PE-sieve is meant to be a light-weight engine dedicated to scan a single process at the time. It can be built as an EXE or as a DLL. The DLL version exposes a simple API and can be easily integrated with other applications.
#BlueTeam #MalwareAnalysis #Forensics
@securation
GitHub
GitHub - hasherezade/pe-sieve: Scans a given process. Recognizes and dumps a variety of potentially malicious implants (replaced/injected…
Scans a given process. Recognizes and dumps a variety of potentially malicious implants (replaced/injected PEs, shellcodes, hooks, in-memory patches). - hasherezade/pe-sieve
گروه " عدالت علی "
هکرهای عدالتخواه یا دعوای مافیای سیاستمداران وطنی؟
دفعه اولی که عدالت علی کانال ساخته بود و ادعا کرد زندان اوین رو هک کرده ، داخل همین کانال نوشتم که عدالت علی گروه هکری نیست، به قطع یقین آدمی که سیاست های روز ایران رو پیگیری کرده باشه متوجه میشه دعوای زرگری و مسگرهایی که نقش طلا رو میزنند روی جنس قلابی شون.
ژست هکری گرفتن و فاز مردمی برداشتن قرار نیست کار افتضاح این گروه رو جبران کنه.
با منتشر کردن اطلاعات مردم ایران لابه لاش چندتایی هم از مسئولین و چرندیات همیشگی جوک های توییتر که مومن نسب از تلگرام شکایت کرده باشه و فلان مسئول بابت اختلاس و دزدی از اون یکی مسئول دزد و فاسد شکایت کرده که چرا تو بیشتر دزدی کردی..
اما خب مافیای این گروه های سیاسی داخل ایران که با هم نمیسازن داره بصورت جدی خروجی های خیلی اشتباهی رو در بر میگیره که تنها خروجی ضربه زدن به خودِ مردم ایران هست. نه تمام مسئولانی که پاسپورت و هشتاد درصد منابع مالی خودشون رو در یک کشور اروپایی و آمریکایی ذخیره دارند و توی مجلس و پشت تریبون ها میگن مرگ بر دوتابعیتی ها:)
گروه عدالت علی انگار میخواست نارضایتی عمومی ایجاد کنه اما اومد مستقیم مردم رو نشونه گرفت و عده ای نادان خوشحال از این کار عدالت علی ..
اون عزیز که خوشحاله از این کار باید بدونی که این وسط شما مردم بازیچه ی دست گروه های سیاسی داخلی هستید و اطلاعات شما که کمه ، زندگی شما پشیزی ارزش نداره و اگر لازم باشه عدالت علی فیلم سر بریدن مردم رو هم منتشر میکنه تا به نیت گروه سیاسی/امنیت خودشون برسه.
من همچنان اعتقاد دارم گروه عدالت علی مافیای سیاسی امنیتی هستن که درحال هشدار و دعوای زرگری با بقیه گروه های مخالف هستن و اینسایدر گذاشتن داخل تمام سازمان ها و شرکتها و نفوذ بصورت حضوری در تمامی دولت ایران دارن.
چیزی بیشتر از یک گروه هکری و کانال و توییتر زدن و سایتی که زندگی مردم رو هدف گرفته و ژست هکری گرفته.
#عدالت_علی
@securation
هکرهای عدالتخواه یا دعوای مافیای سیاستمداران وطنی؟
دفعه اولی که عدالت علی کانال ساخته بود و ادعا کرد زندان اوین رو هک کرده ، داخل همین کانال نوشتم که عدالت علی گروه هکری نیست، به قطع یقین آدمی که سیاست های روز ایران رو پیگیری کرده باشه متوجه میشه دعوای زرگری و مسگرهایی که نقش طلا رو میزنند روی جنس قلابی شون.
ژست هکری گرفتن و فاز مردمی برداشتن قرار نیست کار افتضاح این گروه رو جبران کنه.
با منتشر کردن اطلاعات مردم ایران لابه لاش چندتایی هم از مسئولین و چرندیات همیشگی جوک های توییتر که مومن نسب از تلگرام شکایت کرده باشه و فلان مسئول بابت اختلاس و دزدی از اون یکی مسئول دزد و فاسد شکایت کرده که چرا تو بیشتر دزدی کردی..
اما خب مافیای این گروه های سیاسی داخل ایران که با هم نمیسازن داره بصورت جدی خروجی های خیلی اشتباهی رو در بر میگیره که تنها خروجی ضربه زدن به خودِ مردم ایران هست. نه تمام مسئولانی که پاسپورت و هشتاد درصد منابع مالی خودشون رو در یک کشور اروپایی و آمریکایی ذخیره دارند و توی مجلس و پشت تریبون ها میگن مرگ بر دوتابعیتی ها:)
گروه عدالت علی انگار میخواست نارضایتی عمومی ایجاد کنه اما اومد مستقیم مردم رو نشونه گرفت و عده ای نادان خوشحال از این کار عدالت علی ..
اون عزیز که خوشحاله از این کار باید بدونی که این وسط شما مردم بازیچه ی دست گروه های سیاسی داخلی هستید و اطلاعات شما که کمه ، زندگی شما پشیزی ارزش نداره و اگر لازم باشه عدالت علی فیلم سر بریدن مردم رو هم منتشر میکنه تا به نیت گروه سیاسی/امنیت خودشون برسه.
من همچنان اعتقاد دارم گروه عدالت علی مافیای سیاسی امنیتی هستن که درحال هشدار و دعوای زرگری با بقیه گروه های مخالف هستن و اینسایدر گذاشتن داخل تمام سازمان ها و شرکتها و نفوذ بصورت حضوری در تمامی دولت ایران دارن.
چیزی بیشتر از یک گروه هکری و کانال و توییتر زدن و سایتی که زندگی مردم رو هدف گرفته و ژست هکری گرفته.
#عدالت_علی
@securation
⭕️ گروه عدالت علی ، همراه مردم یا همکار کلاهبردارها و فیشینگ ها ؟
طبق اعلام رسمی سالهای گذشته نزدیک به 20 میلیون نفر "بیسواد مطلق" و "کم سواد" داریم.
اگر فرض بر این رو بگیرید که بقیه مردم یعنی 65 میلیون نفر دیگه جز باسوادها و اگاه به این موضوعات رسانه ای و فیشینگ و کلاهبرداری ها باشیم ، گروه عدالت علی مستقیم زندگی 20 میلیون نفر رو میتونه تباه کنه و خسارتی که به زندگی مردم ساده و فقیر میزنه جبران ناپذیر هست.
پخش کردن اطلاعات خصوصی مردم فقط کلاهبرداری و فیشینگ با تماس/SMS رو چندین میلیون بیشتر میکنه ، نه به زندگی سیاستمدار آسیب زده میشه نه اون احمق دولتی که میاد سریع تکذیب میکنه که قوه قضاییه هک نشده.
#فیشینگ #کلاهبرداری #عدالت_علی
@securation
طبق اعلام رسمی سالهای گذشته نزدیک به 20 میلیون نفر "بیسواد مطلق" و "کم سواد" داریم.
اگر فرض بر این رو بگیرید که بقیه مردم یعنی 65 میلیون نفر دیگه جز باسوادها و اگاه به این موضوعات رسانه ای و فیشینگ و کلاهبرداری ها باشیم ، گروه عدالت علی مستقیم زندگی 20 میلیون نفر رو میتونه تباه کنه و خسارتی که به زندگی مردم ساده و فقیر میزنه جبران ناپذیر هست.
پخش کردن اطلاعات خصوصی مردم فقط کلاهبرداری و فیشینگ با تماس/SMS رو چندین میلیون بیشتر میکنه ، نه به زندگی سیاستمدار آسیب زده میشه نه اون احمق دولتی که میاد سریع تکذیب میکنه که قوه قضاییه هک نشده.
#فیشینگ #کلاهبرداری #عدالت_علی
@securation
⭕️ شرکت نرم افزاری چارگون که اتوماسیون اداری برای اکثر شرکتها و سازمانهای دولتی و دانشگاهی استفاده میشه هک شده و هشدار برای تمامی مشتری ها ارسال شده.
@securation
@securation
Media is too big
VIEW IN TELEGRAM
⭕️ حل چالش مهندسی معکوس اندروید با موبایل در مسابقات #RavinCTF
Android SecureNote-1 چالش
#Reverse #CTF #Android
@securation
Android SecureNote-1 چالش
#Reverse #CTF #Android
@securation
Media is too big
VIEW IN TELEGRAM
⭕️ حل چالش مهندسی معکوس اندروید با موبایل در مسابقات #RavinCTF
Android SecureNote-2 چالش دوم
#reverse #Android #CTF
@securation
Android SecureNote-2 چالش دوم
#reverse #Android #CTF
@securation
⭕️ اگر با C2 معروف Cobalt Strike کار کرده باشید با Beacon Object File (BOF) ها آشنا هستید.BOF ای توسعه داده شده که جایگزینی برای دستورات Spawnas و Inject است که با دستور spawn_with [pid] [listener] از آن میتوان استفاده کرد.
حال به فرایند آن میپردازیم:
#RedTeam #Beacon #C2
@securation
حال به فرایند آن میپردازیم:
Obtain a handle to the target process.
Obtain a handle to the process' primary token.
Duplicate the primary token to an impersonation token.
Get the Beacon spawnto value.
Attempt to spawn a new process with the duplicated token using CreateProcessWithTokenW.
If this attempt fails, try CreateProcessAsUserW.
Inject the Beacon shellcode into the spawned process.
Link to the Beacon in the case of P2P.
#RedTeam #Beacon #C2
@securation
GitHub
GitHub - rasta-mouse/SpawnWith
Contribute to rasta-mouse/SpawnWith development by creating an account on GitHub.