⭕️ پروژه ای توسعه داده شده که سمپل یک Rootkit برای استفاده توی پروژه های ردتیم کاربرد داره.
این پروژه با ++C توسعه داده شده و قابلیت ارتباط آسان با C2 مورد نظر ما را دارد.
از ویژگی های این پروژه میتوان به موارد زیر پرداخت:
#RedTeam #Rootkit #Maldev
@securation
این پروژه با ++C توسعه داده شده و قابلیت ارتباط آسان با C2 مورد نظر ما را دارد.
از ویژگی های این پروژه میتوان به موارد زیر پرداخت:
Current Features
Process hiding and unhiding
Process elevation
Process protection (anti-kill and dumping)
Bypass pe-sieve
Thread hiding and unhiding
Thread protection (anti-kill)
File protection (anti-deletion and overwriting)
Registry keys and values protection (anti-deletion and overwriting)
Registry keys and values hiding
Querying currently protected processes, threads, files, hidden ports, registry keys and values
Function patching
Built-in AMSI bypass
Built-in ETW patch
Process signature (PP/PPL) modification
Can be reflectively loaded
Shellcode Injection
APC
NtCreateThreadEx
DLL Injection
APC
NtCreateThreadEx
Querying kernel callbacks
ObCallbacks
Process and thread creation routines
Image loading routines
Registry callbacks
Removing and restoring kernel callbacks
ETWTI tampering
Module hiding
Driver hiding and unhiding
Credential Dumping
Port hiding/unhiding
Script execution
Initial operations
#RedTeam #Rootkit #Maldev
@securation
GitHub
GitHub - Idov31/Nidhogg: Nidhogg is an all-in-one simple to use windows kernel rootkit.
Nidhogg is an all-in-one simple to use windows kernel rootkit. - Idov31/Nidhogg
⭕️ چندین نهاد امنیتی در آمریکا و اروپا با همکاری یکدیگر تونستن دامنه های بزرگترین گنگ سایبری باج افزاری رو در دارک نت مصادره کنند.
دیشب یکی از اپراتورهای اصلی باج افزار LockBit تایید کرد که دامنه هاشون مصادره شد.
+ الآن یعنی اونایی که بابت دریافت مبلغی اسم LockBit رو تتو میزدن روی دست و پای خودشون باید برن پاک کنند؟ 😁
#ransomware #lockbit
@securation
دیشب یکی از اپراتورهای اصلی باج افزار LockBit تایید کرد که دامنه هاشون مصادره شد.
+ الآن یعنی اونایی که بابت دریافت مبلغی اسم LockBit رو تتو میزدن روی دست و پای خودشون باید برن پاک کنند؟ 😁
#ransomware #lockbit
@securation
⭕️Automate DNS poisoning
اجرای حمله DNS poisoning تنها با کانکت کردن اسمارت فون اندرویدی به کامپیوتر شخصی شما
در این پست تحلیلگر امنیتی از گوشی اندروید به عنوان یک Rubber Ducky استفاده کرده با هدف آلوده کردن فایل hosts داخل ویندوز و با بازنشانی آدرس ip جعلی برای سایت های معروف مثل گوگل و یاهو باعث میشود تا تارگت با وارد کردن آدرس سایت گوگل و یاهو به آدرس ip جعلی بازنشانی شده در فایل hosts ریدایرکت شود
https://www.mobile-hacker.com/2024/02/20/automated-dns-poisoning-using-android-while-charging-via-computer/
#dns #poisoning #android
@securation
اجرای حمله DNS poisoning تنها با کانکت کردن اسمارت فون اندرویدی به کامپیوتر شخصی شما
در این پست تحلیلگر امنیتی از گوشی اندروید به عنوان یک Rubber Ducky استفاده کرده با هدف آلوده کردن فایل hosts داخل ویندوز و با بازنشانی آدرس ip جعلی برای سایت های معروف مثل گوگل و یاهو باعث میشود تا تارگت با وارد کردن آدرس سایت گوگل و یاهو به آدرس ip جعلی بازنشانی شده در فایل hosts ریدایرکت شود
https://www.mobile-hacker.com/2024/02/20/automated-dns-poisoning-using-android-while-charging-via-computer/
#dns #poisoning #android
@securation
⭕️ یکی از تکنیکهای MITRE ATT&CK که در تاکتیک Credential Access جای میگیرد، Forced Authentication است.
از تکنیک جدیدی که میتوان به منظور Forced Authentication بهرهبرداری نمود، و نیز از ابزارهای پیشفرض Microsoft بوده و ذیل باینریهای LOLBIN است، ابزار comp.exe است.
این ابزار به منظور مقایسه فایل به شکل byte-to-byte استفاده میشود.
یکی از قابلیتهای این نرمافزار، دریافت و مقایسه یک فایل از SMB Share است.
با توجه به اینکه میبایست احراز هویت در SMB را به منظور دریافت فایل انجام دهد، میتوان NTLM Hash را با استفاده از یک Rogue SMB مانند Responder به سرقت برد.
لینک مربوط به تکنیک در گیتهاب LOLBAS:
https://github.com/LOLBAS-Project/LOLBAS/pull/341/files
#Redteam #SMBhash #ForcedAuthentication
@securation
از تکنیک جدیدی که میتوان به منظور Forced Authentication بهرهبرداری نمود، و نیز از ابزارهای پیشفرض Microsoft بوده و ذیل باینریهای LOLBIN است، ابزار comp.exe است.
این ابزار به منظور مقایسه فایل به شکل byte-to-byte استفاده میشود.
یکی از قابلیتهای این نرمافزار، دریافت و مقایسه یک فایل از SMB Share است.
با توجه به اینکه میبایست احراز هویت در SMB را به منظور دریافت فایل انجام دهد، میتوان NTLM Hash را با استفاده از یک Rogue SMB مانند Responder به سرقت برد.
لینک مربوط به تکنیک در گیتهاب LOLBAS:
https://github.com/LOLBAS-Project/LOLBAS/pull/341/files
#Redteam #SMBhash #ForcedAuthentication
@securation
GitHub
Adding Comp.exe technique by kousha1999 · Pull Request #341 · LOLBAS-Project/LOLBAS
Living Off The Land Binaries And Scripts - (LOLBins and LOLScripts) - Adding Comp.exe technique by kousha1999 · Pull Request #341 · LOLBAS-Project/LOLBAS
⭕️ اگر علاقه مند به توسعه RootKit در محیط ویندوز هستید پروژه ای توسعه داده شده که به مطالعه آن میپردازیم.
از ویژگی های این پروژه میتوان به موارد زیر اشاره کرد:
#RedTeam #RootKit #MalDev
@securation
از ویژگی های این پروژه میتوان به موارد زیر اشاره کرد:
Kill processes
ZwTerminateProcess is simply called from kernel land to terminate any process. Additionally, you can bury a process to avoid it to restart by setting a kernel callback to process creation: If the target process is created, Banshee will set the CreationStatus of the target process to STATUS_ACCESS_DENIED.
Change protection levels
This is done by modifying the EPROCESS structure, which is an kernel object that describes a processes attributes. It also holds a value that specifies the protection level of the process.
We can directly modify this value (aka Direct Kernel Object Modification or DKOM), since we are operating in Ring 0.
Elevate any process token to SYSTEM
EPROCESS also holds a pointer to the current access token, so we can just make it point to e.g. the token of process 4 (SYSTEM) to elevate any process to SYSTEM
Enumerating and erasing kernel callbacks
For now, only Process- and Thread-Creation kernel callbacks are enumerated, by parsing the PsSetCreateNotifyProcess/ThreadRoutine routine to reach the private Psp* routine and then parsing the address of the array, where kernel callbacks are stored.
Protecting the driver file
By hooking the NTFS filesystem's IRP_MJ_CREATE handler, we can block any process from opening a handle to our driver file
Hide Process by PID
Again, EPROCESS comes to help here - it contains a LIST_ENTRY of a doubly linked list called ActiveProcessLink which is queried by Windows to enumerate running processes. If we simply unlink an entry here, we can hide our process from tools like Process Monitor or Task Manager.
#RedTeam #RootKit #MalDev
@securation
GitHub
GitHub - eversinc33/Banshee: Experimental Windows x64 Kernel Rootkit with anti-rootkit evasion features.
Experimental Windows x64 Kernel Rootkit with anti-rootkit evasion features. - eversinc33/Banshee
⭕️ ابزاری برای Malware Detection و Threat Hunting توسعه داده شده که قابلیت جمع آوری موارد مورد نیاز و شناسایی بد افزار های اجرایی را دارد.
از قبیل تکنیک های قابل شناسایی میتوان به موارد زیر اشاره کرد:
#BlueTeam #MalwareAnalysis #Forensics
@securation
از قبیل تکنیک های قابل شناسایی میتوان به موارد زیر اشاره کرد:
replaced/injected PEs, shellcodes, hooks, and other in-memory patches.
Detects inline hooks, Process Hollowing, Process Doppelgänging, Reflective DLL Injection, etc.
PE-sieve is meant to be a light-weight engine dedicated to scan a single process at the time. It can be built as an EXE or as a DLL. The DLL version exposes a simple API and can be easily integrated with other applications.
#BlueTeam #MalwareAnalysis #Forensics
@securation
GitHub
GitHub - hasherezade/pe-sieve: Scans a given process. Recognizes and dumps a variety of potentially malicious implants (replaced/injected…
Scans a given process. Recognizes and dumps a variety of potentially malicious implants (replaced/injected PEs, shellcodes, hooks, in-memory patches). - hasherezade/pe-sieve
گروه " عدالت علی "
هکرهای عدالتخواه یا دعوای مافیای سیاستمداران وطنی؟
دفعه اولی که عدالت علی کانال ساخته بود و ادعا کرد زندان اوین رو هک کرده ، داخل همین کانال نوشتم که عدالت علی گروه هکری نیست، به قطع یقین آدمی که سیاست های روز ایران رو پیگیری کرده باشه متوجه میشه دعوای زرگری و مسگرهایی که نقش طلا رو میزنند روی جنس قلابی شون.
ژست هکری گرفتن و فاز مردمی برداشتن قرار نیست کار افتضاح این گروه رو جبران کنه.
با منتشر کردن اطلاعات مردم ایران لابه لاش چندتایی هم از مسئولین و چرندیات همیشگی جوک های توییتر که مومن نسب از تلگرام شکایت کرده باشه و فلان مسئول بابت اختلاس و دزدی از اون یکی مسئول دزد و فاسد شکایت کرده که چرا تو بیشتر دزدی کردی..
اما خب مافیای این گروه های سیاسی داخل ایران که با هم نمیسازن داره بصورت جدی خروجی های خیلی اشتباهی رو در بر میگیره که تنها خروجی ضربه زدن به خودِ مردم ایران هست. نه تمام مسئولانی که پاسپورت و هشتاد درصد منابع مالی خودشون رو در یک کشور اروپایی و آمریکایی ذخیره دارند و توی مجلس و پشت تریبون ها میگن مرگ بر دوتابعیتی ها:)
گروه عدالت علی انگار میخواست نارضایتی عمومی ایجاد کنه اما اومد مستقیم مردم رو نشونه گرفت و عده ای نادان خوشحال از این کار عدالت علی ..
اون عزیز که خوشحاله از این کار باید بدونی که این وسط شما مردم بازیچه ی دست گروه های سیاسی داخلی هستید و اطلاعات شما که کمه ، زندگی شما پشیزی ارزش نداره و اگر لازم باشه عدالت علی فیلم سر بریدن مردم رو هم منتشر میکنه تا به نیت گروه سیاسی/امنیت خودشون برسه.
من همچنان اعتقاد دارم گروه عدالت علی مافیای سیاسی امنیتی هستن که درحال هشدار و دعوای زرگری با بقیه گروه های مخالف هستن و اینسایدر گذاشتن داخل تمام سازمان ها و شرکتها و نفوذ بصورت حضوری در تمامی دولت ایران دارن.
چیزی بیشتر از یک گروه هکری و کانال و توییتر زدن و سایتی که زندگی مردم رو هدف گرفته و ژست هکری گرفته.
#عدالت_علی
@securation
هکرهای عدالتخواه یا دعوای مافیای سیاستمداران وطنی؟
دفعه اولی که عدالت علی کانال ساخته بود و ادعا کرد زندان اوین رو هک کرده ، داخل همین کانال نوشتم که عدالت علی گروه هکری نیست، به قطع یقین آدمی که سیاست های روز ایران رو پیگیری کرده باشه متوجه میشه دعوای زرگری و مسگرهایی که نقش طلا رو میزنند روی جنس قلابی شون.
ژست هکری گرفتن و فاز مردمی برداشتن قرار نیست کار افتضاح این گروه رو جبران کنه.
با منتشر کردن اطلاعات مردم ایران لابه لاش چندتایی هم از مسئولین و چرندیات همیشگی جوک های توییتر که مومن نسب از تلگرام شکایت کرده باشه و فلان مسئول بابت اختلاس و دزدی از اون یکی مسئول دزد و فاسد شکایت کرده که چرا تو بیشتر دزدی کردی..
اما خب مافیای این گروه های سیاسی داخل ایران که با هم نمیسازن داره بصورت جدی خروجی های خیلی اشتباهی رو در بر میگیره که تنها خروجی ضربه زدن به خودِ مردم ایران هست. نه تمام مسئولانی که پاسپورت و هشتاد درصد منابع مالی خودشون رو در یک کشور اروپایی و آمریکایی ذخیره دارند و توی مجلس و پشت تریبون ها میگن مرگ بر دوتابعیتی ها:)
گروه عدالت علی انگار میخواست نارضایتی عمومی ایجاد کنه اما اومد مستقیم مردم رو نشونه گرفت و عده ای نادان خوشحال از این کار عدالت علی ..
اون عزیز که خوشحاله از این کار باید بدونی که این وسط شما مردم بازیچه ی دست گروه های سیاسی داخلی هستید و اطلاعات شما که کمه ، زندگی شما پشیزی ارزش نداره و اگر لازم باشه عدالت علی فیلم سر بریدن مردم رو هم منتشر میکنه تا به نیت گروه سیاسی/امنیت خودشون برسه.
من همچنان اعتقاد دارم گروه عدالت علی مافیای سیاسی امنیتی هستن که درحال هشدار و دعوای زرگری با بقیه گروه های مخالف هستن و اینسایدر گذاشتن داخل تمام سازمان ها و شرکتها و نفوذ بصورت حضوری در تمامی دولت ایران دارن.
چیزی بیشتر از یک گروه هکری و کانال و توییتر زدن و سایتی که زندگی مردم رو هدف گرفته و ژست هکری گرفته.
#عدالت_علی
@securation
⭕️ گروه عدالت علی ، همراه مردم یا همکار کلاهبردارها و فیشینگ ها ؟
طبق اعلام رسمی سالهای گذشته نزدیک به 20 میلیون نفر "بیسواد مطلق" و "کم سواد" داریم.
اگر فرض بر این رو بگیرید که بقیه مردم یعنی 65 میلیون نفر دیگه جز باسوادها و اگاه به این موضوعات رسانه ای و فیشینگ و کلاهبرداری ها باشیم ، گروه عدالت علی مستقیم زندگی 20 میلیون نفر رو میتونه تباه کنه و خسارتی که به زندگی مردم ساده و فقیر میزنه جبران ناپذیر هست.
پخش کردن اطلاعات خصوصی مردم فقط کلاهبرداری و فیشینگ با تماس/SMS رو چندین میلیون بیشتر میکنه ، نه به زندگی سیاستمدار آسیب زده میشه نه اون احمق دولتی که میاد سریع تکذیب میکنه که قوه قضاییه هک نشده.
#فیشینگ #کلاهبرداری #عدالت_علی
@securation
طبق اعلام رسمی سالهای گذشته نزدیک به 20 میلیون نفر "بیسواد مطلق" و "کم سواد" داریم.
اگر فرض بر این رو بگیرید که بقیه مردم یعنی 65 میلیون نفر دیگه جز باسوادها و اگاه به این موضوعات رسانه ای و فیشینگ و کلاهبرداری ها باشیم ، گروه عدالت علی مستقیم زندگی 20 میلیون نفر رو میتونه تباه کنه و خسارتی که به زندگی مردم ساده و فقیر میزنه جبران ناپذیر هست.
پخش کردن اطلاعات خصوصی مردم فقط کلاهبرداری و فیشینگ با تماس/SMS رو چندین میلیون بیشتر میکنه ، نه به زندگی سیاستمدار آسیب زده میشه نه اون احمق دولتی که میاد سریع تکذیب میکنه که قوه قضاییه هک نشده.
#فیشینگ #کلاهبرداری #عدالت_علی
@securation
⭕️ شرکت نرم افزاری چارگون که اتوماسیون اداری برای اکثر شرکتها و سازمانهای دولتی و دانشگاهی استفاده میشه هک شده و هشدار برای تمامی مشتری ها ارسال شده.
@securation
@securation
Media is too big
VIEW IN TELEGRAM
⭕️ حل چالش مهندسی معکوس اندروید با موبایل در مسابقات #RavinCTF
Android SecureNote-1 چالش
#Reverse #CTF #Android
@securation
Android SecureNote-1 چالش
#Reverse #CTF #Android
@securation
Media is too big
VIEW IN TELEGRAM
⭕️ حل چالش مهندسی معکوس اندروید با موبایل در مسابقات #RavinCTF
Android SecureNote-2 چالش دوم
#reverse #Android #CTF
@securation
Android SecureNote-2 چالش دوم
#reverse #Android #CTF
@securation
⭕️ اگر با C2 معروف Cobalt Strike کار کرده باشید با Beacon Object File (BOF) ها آشنا هستید.BOF ای توسعه داده شده که جایگزینی برای دستورات Spawnas و Inject است که با دستور spawn_with [pid] [listener] از آن میتوان استفاده کرد.
حال به فرایند آن میپردازیم:
#RedTeam #Beacon #C2
@securation
حال به فرایند آن میپردازیم:
Obtain a handle to the target process.
Obtain a handle to the process' primary token.
Duplicate the primary token to an impersonation token.
Get the Beacon spawnto value.
Attempt to spawn a new process with the duplicated token using CreateProcessWithTokenW.
If this attempt fails, try CreateProcessAsUserW.
Inject the Beacon shellcode into the spawned process.
Link to the Beacon in the case of P2P.
#RedTeam #Beacon #C2
@securation
GitHub
GitHub - rasta-mouse/SpawnWith
Contribute to rasta-mouse/SpawnWith development by creating an account on GitHub.
⭕️در این مقاله محقق امنیتی مکانیزم امنیتی "run-as" که وظیفه چک کردن debuggable بودن برنامه هارو به عهده داره توسط تزریق newline به فایل packages.list رو بایپس میکنه، این آسیب پذیری که در کرنل اندروید های 12 و 13 یافته شده به مهاجم این امکان رو میده که با adb shell توسط این آسیب پذیری تحت context هر برنامه غیر سیستمی که نصب شده کد اجرا کنه و به مهاجم این توانایی رو میده که هر کاری که برنامه مورد نظر میتونه انجام بده و یا پرمیژن مورد نیازش رو داره، دسترسی پیدا کنه.
مثل دسترسی به فایل های شخصی یا حتی خوندن اطلاعات و کردنشیال حساب کاربری که در اکانت منیجر گوشی ذخیره شده.
https://rtx.meta.security/exploitation/2024/03/04/Android-run-as-forgery.html
#vulnerability #android #adb #shell
@securation
مثل دسترسی به فایل های شخصی یا حتی خوندن اطلاعات و کردنشیال حساب کاربری که در اکانت منیجر گوشی ذخیره شده.
https://rtx.meta.security/exploitation/2024/03/04/Android-run-as-forgery.html
#vulnerability #android #adb #shell
@securation
⭕️ این خانم و گروه هوش مصنوعی و برنامه نویسی آیولرن و آیوکاپ همگی شیاد و کلاهبردار هستند.
به هیچ وجه گول این بی شرف ها را نخورید.
گوگل اسپانسر هیچ جایی در ایران نشده و با وجود آخوند ها هرگز برنامه و همچین چرندیاتی نخواهد داشت.
#iocup #iogroup #iolearn
@securation
به هیچ وجه گول این بی شرف ها را نخورید.
گوگل اسپانسر هیچ جایی در ایران نشده و با وجود آخوند ها هرگز برنامه و همچین چرندیاتی نخواهد داشت.
#iocup #iogroup #iolearn
@securation
👍1
⭕️آنالیز کردن اپ های اندرویدی توسط ابزار APKDeepLens و نصب آن در ترموکس:
لیست خروجی ابزار:
Package name
Build version code
Compiled SDK version
Permissions
Dangerous permissions
Activities
Exported Activities
Services
Exported services
Receivers
Exported receivers
Providers
File paths
Hard-coded secrets (IP addresses, tokens, API keys, private keys, etc.)
Insecure connections (http, ftp, smtp, JavaScript)
#Android #Reverse
@Securation
لیست خروجی ابزار:
Package name
Build version code
Compiled SDK version
Permissions
Dangerous permissions
Activities
Exported Activities
Services
Exported services
Receivers
Exported receivers
Providers
File paths
Hard-coded secrets (IP addresses, tokens, API keys, private keys, etc.)
Insecure connections (http, ftp, smtp, JavaScript)
git clone https://github.com/d78ui98/APKDeepLens.githttps://www.mobile-hacker.com/2024/03/11/analyze-installed-android-applications-for-security-risks-in-termux/
cd /APKDeepLens
python3 -m venv venv
source venv/bin/activate
pip3 install -r requirements.txt
https://www.mobile-hacker.com/2024/03/11/analyze-installed-android-applications-for-security-risks-in-termux/
#Android #Reverse
@Securation
Media is too big
VIEW IN TELEGRAM
⭕️ حل چالش سوم و سخت ترین چالش مهندسی معکوس اپلیکیشن اندروید در مسابقات #RavinCTF
چالش Secure Note 3
#CTF #Reverse #Android
@securation
چالش Secure Note 3
#CTF #Reverse #Android
@securation
به چندین فروغ و به چندین چراغ
بیاراسته چون به نوروز باغ.
نگه دارد این فال جشن سده
همان فر نوروز و آتشکده.
به جمشید بر گوهر افشاندند
مران روز را روز نو خواندند
سر سال نو هرمز فرودین
بر آسوده از رنج روی زمین.
بزرگان به شادی بیاراستند
می و جام و رامشگران خواستند
چنین جشن فرخ از آن روزگار
به ما ماند از آن خسروان یادگار.
نوروز بر همگی مبارک باد
نەورۆز لە ھەموو لایەک پیرۆز بێت ❤️💐💐🌺
بیاراسته چون به نوروز باغ.
نگه دارد این فال جشن سده
همان فر نوروز و آتشکده.
به جمشید بر گوهر افشاندند
مران روز را روز نو خواندند
سر سال نو هرمز فرودین
بر آسوده از رنج روی زمین.
بزرگان به شادی بیاراستند
می و جام و رامشگران خواستند
چنین جشن فرخ از آن روزگار
به ما ماند از آن خسروان یادگار.
نوروز بر همگی مبارک باد
نەورۆز لە ھەموو لایەک پیرۆز بێت ❤️💐💐🌺