⭕️ در این پست محقق امنیتی با توجه به پیاده سازی نا امن Content Provider یک اپ اندرویدی که به صورت Exported پیاده سازی شده و به سایر برنامه ها اجازه میدهد که آنرا فراخوانی نمایند؛ از طریق تعامل با content provider خارج از محیط برنامه توانسته است به محتوای فایل های Shared_Pref که حاوی اطلاعات حساس مانند توکن احراز هویت کاربر است دسترسی پیدا کرده و آنرا هایجک نماید و به Account Takeover منتهی شود.

Link

#Android #RE
@Securation

⭕️ کد جدیدی به جهت Dump کردن LSASS توسعه داده شده که قابلیت دور زدن AV و EDR های زیر را دارد:

Windows Defender
Malwarebytes Anti-Malware
CrowdStrike Falcon EDR (Falcon Complete + OverWatch)

از جمله ویژگی های این کد میتوان مثال زد:

Manually implementing NTAPI operations through indirect system calls
Disabling Breaking telemetry features (i.e ETW)
Polymorphism through compile-time hash generation
Obfuscating API function names and pointers
Duplicating existing LSASS handles instead of opening new ones
Creating offline copies of the LSASS process to perform memory dumps on
Corrupting the MDMP signature of dropped files
Probably other stuff I forgot to mention here

#RedTeam #Evasion
@securation

⭕️ بهره‌برداری از آسیب‌پذیری CVE-2022-1471، که یک آسیب‌پذیری Insecure Deserialization در کتابخانه SnakeYaml، برای اندروید هست.

https://www.linkedin.com/posts/kousha-zanjani_config-editor-lab-solution-activity-7190853578729648129-LqQX

https://www.youtube.com/watch?v=1H6EtFAKn-E

#Android
@securation

‏⭕️ پروژه ای توسعه داده شده که Dropper ای از نوع Macro Office ها ایجاد میکند.
این پروژه با استفاده از DLL SideLoading و Embed کردن در LNK فایل اقدام به دور زدن Mark of The Web (MOTW) میکند.
https://github.com/SaadAhla/dropper
#RedTeam #MalDev
@securation

⭕️اگر حتی توی Bug Bounty هم ایرانی باشید آخوندها باعث میشن هرطور شده ثابت کنی که توی محل نفرین شده ی وطن که یک متر از زمین هاش بنامت نیست رو با ۱۴ تا ایمیل رد و بدل شده به اثبات برسونی.
به کاسب های تحریم مثل وبسایت ایرانیکارت و دلاری شو و .. اعتماد نکنید.
بخشی از سوالهایی که پلتفرم HackerOne برای احراز هویت حساب جدید من میخواست :
1. Could the hacker also provide a bank statement (ultimate payout account) dated with the last three months (showing hackers residency)?
2. Is the hacker still residing in France?
-how long has the hacker resided in France?
-If not what is the current country of residency for the hacker?
-date the hacker moved from Iran to France?
3. Does the hacker maintain any residences and/or accounts in Iran?
4. Is the current payout account owned by the hacker?
 اون ۱۴ تا ایمیل هم وریفای تصویری بود که هردفعه سلفی میدادم تایید نمیکردن و میگفتن مجدد بگیر ای ایرانی.
امثال دلاری شو و ایرانیکارت مثل من حساب بانکی، Paypal کامل دستشون نیست ، نمیتونند مواقع به وجود اومدن مشکل کمکتون بدن.
@securation

⭕️امروز با یک پدیده جالب، کلاه برداری و عادی سازی شده برای یه سری اشخاص روبرو شدم !

چه جوری میشه محصولی که متعلق به خودت نیست، بیای با ThunderSoft DRM Protection که اون هم متعلق به خودتون نیست قفل گذاری کنی و محصول رو بفروشی ؟
جالب تر اینکه خودت رو به عنوان توسعه دهنده ThunderSoft DRM Protection جا بزنی!

++__ ما هم پلیر + کرک این کلاه بردار رو میزاریم.
-کرک فقط برای برداشتن VMProtect هست.

#ProfessorGuzu #crime #VMprotect #ThunderSoft
@securation

⭕️این نرم افزارش هم خدمت شما

واقعا کسی که پکیج های آموزشی بقیه رو پابلیک میکنه تا کانالش Member جمع کنه و بعد اینشکلی خودش رو بکِشه بالا خیلی شیاد و بی شرف هست.
اونوقت همین آموزش‌هایی که میاره رو قفل و لایسنس گذاری میکنند و به ملت میفروشن با قیمت پایین تر!


#شیاد #پکیج_فروش
@securation

⭕️ تقدیم به حاکر بزرگ که پکیج های آموزشی مردم رو میدزده و لایسنس گذاری میکنه و بعد میفروشه.
ویدیو مربوط به این پست میباشد

#معده_پرکار #VMProtect #professorguzu
@securation

⭕️ آدم های ضعیف همیشه از لغات گنده استفاده میکنند که خودشون رو شبیه بزرگان جلوه بدن، اما من دلش رو نمیشکنم واسش آموزش بایپس آنتی دیباگ VMProtect رو میزارم تا این پروفسور حاکر یاد بگیره پیشرفت کنه.
با فروش آموزش های بقیه کسی پروفسور و حکر نشد بدبختِ ذلیل مُرده.
#ProfessorGuzu #VMProtect #antiDebugging
@securation

‏⭕️ روش جالبی اخیرا برای ارتباطات C2 کشف شده که با استفاده از IP Print اقدام به برقراری ارتباط میکند.
به طوری که:
‏در ماکروسافت ما زمانی که امکان نصب درایور نداشته باشیم کاربر عادی با استفاده از پروتکل Internet Printing Protocol بدون دسترسی بالا تر چاپگر اضافه میکند و از درایور موجود و پیشفرض Microsoft Print To Pdf استفاده میکند.
حال دستوراتی که اجرا خواهند شد از سرور C2 Internet Printing به عنوان نام اسناد کدگذاری شده با Base64 به صف سند چاپگر ارسال می شوند.
با پاورشل اولیه، کلاینت‌ها می‌توانند نام این اسناد را از صف دریافت کنند و دستورات را روی خودشان اجرا کنند.
همچنین، می توان اسنادی را در این چاپگر چاپ کنند، در فایلی در سرور C2 ذخیره می شود که برای دریافت خروجی و نتیجه از دستورات اجرا شده یا استخراج اسناد مفید است.
برای مطالعه نکات سمت سرور و کلاینت و تکنیک های OpSec به لینک پروژه مراجعه کنید.
#RedTeam #C2
@securation

مسابقه ی Nahamcon CTF امشب ساعت 10:30 به تایم ایران شروع میشه.
اگر ثبتنام نکردید تیم هاتون رو جمع کنید برای مسابقه:
https://ctf.nahamcon.com

#CTF #Nahamcon
@securation

🔔 ثبت‌نام اختتامیه هشتمین جشنواره ملی امنیت فضای تبادل اطلاعات آغاز شد! 🔔

🌟 رویدادها:

🔹 کارگاه‌ تخصصی مرکز عملیات امنیت (SOC)
    
🔹 کارگاه آموزشی مسیر ارتقاء امنیت سازمان
    
🔹 کارگاه آموزشی فناوری‌های نوین دنیای امنیت سایبری
   
🔹 ارائه تیم فلگ‌موتوری (تیم ۲۷ام در رنکینگ جهانی ctftimes)

🔹 مسابقه حضوری مازآپا رقابتی بین برترین‌های امنیت سایبری

🔹 اهدای جوایز ویژه به برگزیدگان رویدادها

🔹 برگزاری نمایشگاه برای ارائه دستاوردهای شرکت‌ها

📅 زمان: ۹ و ۱۰ خردادماه
📍 مکان: تالار شیخ‌بهایی، دانشگاه صنعتی اصفهان

🔗 برای کسب اطلاعات بیشتر و ثبت‌نام در رویداد به اینجا مراجعه کنید: Festival.nsec.ir

📌 هشتمین جشنواره امنیت فضای تبادل اطلاعات
📌 مرکز تخصصی آپا، دانشگاه صنعتی اصفهان


با ما همراه باشید و این فرصت منحصر به فرد برای یادگیری و شبکه‌سازی در زمینه امنیت سایبری را از دست ندهید! 🚀


@APA_IUTCERT

⭕️ وبسایت BreachedForums از فروم های فروش داده بود که چندی پیش توسط FBI دامنه آنها مصادره و تعطیل شد.
حالا مجددا سایتشون اعلام دامنه و سرویس جدید کرد:)

@securation

⭕️ تزریق کد در اندروید بدون نیاز به Ptrace

در این بلاگ پست با نحوه تزریق کتابخانه با استفاده از /proc/mem بدون نیاز به ptrace آشنا خواهید شد

این ابزار از پروژه Linux_injector ایده برداری شده و برای استفاده در اندروید port شده است

فرآیند تزریق شامل چند مرحله است:
اولین قدم این است که یک فانکشن را برای هایجک انتخاب کنید. همانطور که در پروژه اصلی اجرا شد، malloc یکی از رایج ترین اهداف است. آدرس malloc با خواندن /proc/maps، یافتن آدرس پایه libc و محاسبه آدرس مجازی فعلی malloc با افزودن افست آن به آدرس پایه پیدا می‌شود.

پس از یافتن آدرس، تابع هدف با شل کد مرحله اول بازنویسی می شود. شل کد وظیفه ایجاد یک Memory Region جدید، همگام سازی Thread ها و در نهایت اجرای شل کد مرحله دوم را بر عهده دارد.

شل کد مرحله دوم می تواند یکی از سه نوع باشد: shellcode loader، shellcode raw-dlopen که از dlopen برای بارگذاری یک کتابخانه مشترک از filesystem استفاده می کند، یا شل کد memfd-dlopen که dlopen را روی فایل memfd با محتویات ارائه شده توسط کاربر فراخوانی می کند.

Blog Post: Link
GitHub: Link

#Android #Ptrace
@securation

⭕️ اطلاعیه :
دوستان عزیز لینک دانلود دوره مهندسی معکوس تغییر یافت ، لطفا از لینک زیر استفاده کنید .

https://www.mediafire.com/folder/8ly4p9cvbgeea/RE02

#RE #DWORD
@securation

⭕️ یک روش جالب با استفاده از سوء استفاده از API Fork ویندوز وجود دارد که با شناسایی نقطه ای از حافظه مربوط به یک پروسه در حال اجرا با دسترسی RWX، بدون نیاز به فراخوانی VirtualProtect، VirtualAllocEx و VirtualAlloc، می‌تواند به اجرای ShellCode بپردازد. به عنوان یک مثال، این روش را می‌توان بر روی پروسه OneDrive.exe اعمال کرد.:

Find the OneDrive.exe in running processes.
Get the handle of OneDrive.exe.
Query remote process memory information.
look for RWX memory regions.
Write shellcode into found region of OneDrive.exe
Fork OneDrive.exe into a new process.
Set the forked process's start address to the cloned shellcode.
Terminate the cloned process after execution.

#RedTeam #Evasion
@securation