Forwarded from Security Analysis
دوستان عزیز گروه تبادل دانش امنیت اطلاعات لینکش اینه :
https://news.1rj.ru/str/DarkPwners
لطفا قبل شروع گفتگو یا ارسال مطلب ، قوانین گروه رو مطالعه کنید.
https://news.1rj.ru/str/DarkPwners
لطفا قبل شروع گفتگو یا ارسال مطلب ، قوانین گروه رو مطالعه کنید.
Telegram
Security Analysis Group
گروه تبادل دانش امنیت اطلاعات
Forwarded from کانال بایت امن
This media is not supported in your browser
VIEW IN TELEGRAM
#Session
🖥 ویدیو جلسه اول | "دوره برنامه نویسی تهاجمی"
⏰ مدت زمان :5 دقیقه
🔗 لینک دانلود مستقیم
💠 فصل اول : Offensive Programming: Core Concepts
⬅️ تعریف برنامه نویسی تهاجمی
⬅️ اهداف، تکنیک ها و مهارت های مورد نیاز برنامه نویسی تهاجمی
⬅️ هدف اصلی دوره
🦅 کانال بایت امن | گروه بایت امن
_
_
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from کانال بایت امن
Media is too big
VIEW IN TELEGRAM
#Session
🖥 ویدیو جلسه دوم | "دوره برنامه نویسی تهاجمی"
⏰ مدت زمان :30 دقیقه
🔗 لینک دانلود مستقیم
💠 فصل اول : Offensive Programming: Core Concepts
⬅️ چه زبان برنامهنویسی برای برنامهنویسی تهاجمی مناسب است؟
⬅️ بررسی موارد و فاکتورهای انتخاب زبان برنامهنویسی
⬅️ بررسی یک زبان برنامهنویسی از ابعاد General، Technical و Special Usage
⬅️ بررسی دو مورد مهم از دید مکانیسمهای امنیتی در جهت تحلیل باینریها
⬅️ دموی بررسی نحوه فراخوانی یک API و ارتباط آن با جداول Import
🦅 کانال بایت امن | گروه بایت امن
_
_
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
⭕️ حل چالش مهندسی معکوس اپلیکیشن اندروید با موبایل.
چالش Milad Tower در مسابقات Olympics CTF
#Reverse #Android #CTF
#OlympicCTF
@Securation
چالش Milad Tower در مسابقات Olympics CTF
#Reverse #Android #CTF
#OlympicCTF
@Securation
Writeups_OlympicsPwners.pdf
1.9 MB
⭕️رایت آپ چالشهای حل شده توسط تیم OlympicsPwners تیم دوم مسابقات کشوری Olympics CTF که توسط معاونت علمی ریاست جمهوری برگزار شد.
@securation
@securation
Forwarded from کانال بایت امن
Media is too big
VIEW IN TELEGRAM
#Session
🖥 ویدیو جلسه سوم | "دوره برنامه نویسی تهاجمی"
⏰ مدت زمان :15 دقیقه
🔗 لینک دانلود مستقیم
💠 فصل اول : Offensive Programming: Core Concepts
⬅️ مروری بر مفاهیم Red Team و Red Teaming
⬅️ آشنایی با مفهوم Attack Life Cycle
⬅️ بررسی مدل Cyber Kill Chain
⬅️ بررسی مدل Mandiant
⬅️ ارتباط برنامهنویسی تهاجمی و Attack Life Cycle
⬅️ ارائه یک سناریو مبتنی بر مدل Cyber Kill Chain
⬅️ درک مفهوم TTP و تحلیل یک سناریو واقعی بر اساس TTP
⬅️ معرفی مختصر Mitre، LOLBAS، و LOLDrivers
🦅 کانال بایت امن | گروه بایت امن
_
_
Please open Telegram to view this post
VIEW IN TELEGRAM
⭕️ Exploiting Deeplink via XSS Lead To ATO in South Korea's biggest mobile chat app
@Securation
#Android #DeepLink #XSS #ATO
رایت اپ One Click Exploit XSS To ATO و نحوه اکسپلویت شدن نرم افزار مسنجر اندرویدی kakaoTalk کره جنوبی که امکان سرقت Access Token و استخراج همه ی گفتگوها را برای هکر فراهم میکند.
باگ موجود برطرف شده است، اما گزارشگر باگ پاداشی دریافت نکرده است، چرا که فقط کره ای ها واجد شرایط دریافت جایزه هستند!!!
📎 BlogPost: Link
@Securation
#Android #DeepLink #XSS #ATO
Forwarded from کانال بایت امن
#Tools
HE - Hardware Read & Write utility is a powerful utility for hardware engineers, BIOS engineers, driver developers, QA engineers, performance test engineers, diagnostic engineers… etc.
با استفاده از این ابزار به طیف گسترده ایی از سخت افزار دسترسی خواهید داشت. HE یک ابزار قدرتمند برای مهندسین سختافزار، مهندسین BIOS، توسعهدهندگان درایور، مهندسین کنترل کیفیت (QA)، مهندسین تست عملکرد و مهندسین عیبیابی است.
دسترسی به سخت افزارهایی همچون :
PCI (PCI Express), PCI Index/Data, Memory, Memory Index/Data, I/O Space, I/O Index/Data, Super I/O, DIMM SPD, CPU MSR Registers, S.M.A.R.T monitor, HDD physical sector , ATA Identify Data, ACPI Tables Dump, ACPI AML Code Disassemble, Embedded Controller, USB Information, SMBIOS Structures, PCI Option ROMs and MP Configuration Table.
🦅 کانال بایت امن | گروه بایت امن
_
HE - Hardware Read & Write utility is a powerful utility for hardware engineers, BIOS engineers, driver developers, QA engineers, performance test engineers, diagnostic engineers… etc.
با استفاده از این ابزار به طیف گسترده ایی از سخت افزار دسترسی خواهید داشت. HE یک ابزار قدرتمند برای مهندسین سختافزار، مهندسین BIOS، توسعهدهندگان درایور، مهندسین کنترل کیفیت (QA)، مهندسین تست عملکرد و مهندسین عیبیابی است.
دسترسی به سخت افزارهایی همچون :
PCI (PCI Express), PCI Index/Data, Memory, Memory Index/Data, I/O Space, I/O Index/Data, Super I/O, DIMM SPD, CPU MSR Registers, S.M.A.R.T monitor, HDD physical sector , ATA Identify Data, ACPI Tables Dump, ACPI AML Code Disassemble, Embedded Controller, USB Information, SMBIOS Structures, PCI Option ROMs and MP Configuration Table.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
⭕️ اگر به برنامهنویسی و امنیت بازیها علاقهمند هستید، وبسایت Awesome Game Security اطلاعات مفیدی در این زمینه به صورت منظم و یکپارچه ارائه میدهد. این وبسایت شامل دستهبندیهایی همچون Anti-Cheat، Cheat، Game Development، Game Engines، و مباحثی مانند OpenGL، DirectX، Vulkan، و Web3 Games است.
#Security #Game
@Securation
#Security #Game
@Securation
Pentesting Active Directory
⭕️مجموعه مقالات تست نفوذ اکتیو دایرکتوری
Trees, Forest and Trust Relations
Access Control, Users, KRGBT, Golden ticket attack
Recon with AD Module, Bloodhound, PowerView & Adalanche
LLMNR Poisoning
Lateral Movement, Privilege Escalation & Tools
#Pentest #ActiveDirectory
@Securation
⭕️مجموعه مقالات تست نفوذ اکتیو دایرکتوری
Trees, Forest and Trust Relations
Access Control, Users, KRGBT, Golden ticket attack
Recon with AD Module, Bloodhound, PowerView & Adalanche
LLMNR Poisoning
Lateral Movement, Privilege Escalation & Tools
#Pentest #ActiveDirectory
@Securation
Early Cascade Injection
⭕️ یکی از تکنیکهای شناخته شده و موثر جهت تزریق کد به پروسس است که شامل تزریق کد قبل از اجرای نقطه ورودی اصلی (Main Entry Point) پروسس میباشد. این تکنیک در سال 2018 توسط Cyberbit کشف شد و یکی از تکنیک های موثر در بایپس کردن EDR هاست.
مراحلی که در این پیاده سازی طی میشود :
#ProcessInjection #EDR
@Securation
⭕️ یکی از تکنیکهای شناخته شده و موثر جهت تزریق کد به پروسس است که شامل تزریق کد قبل از اجرای نقطه ورودی اصلی (Main Entry Point) پروسس میباشد. این تکنیک در سال 2018 توسط Cyberbit کشف شد و یکی از تکنیک های موثر در بایپس کردن EDR هاست.
مراحلی که در این پیاده سازی طی میشود :
Create a target process in suspended state (e.g. CreateProcess);
Allocate writeable memory in the target process (e.g. VirtualAllocEx);
Write malicious code to the allocated memory (e.g. WriteProcessMemory);
Queue an APC to the remote target process, the APC points to the malicious code (e.g. QueueUserAPC);
Resume the target process, upon resumption the APC is executed, running the malicious code (e.g. ResumeThread).
لینک کامل مقاله
#ProcessInjection #EDR
@Securation
❤2
SharpADWS
⭕️ یک ابزار شناسایی و بهرهبرداری از Active Directory برای تیمهای قرمز (Red Teams) است که با استفاده از پروتکل Active Directory Web Services (ADWS) دادههای Active Directory را جمعآوری و تغییر میدهد.
معمولا جمع آوری اطلاعات به واسطه پروتکل LDAP انجام میشود اما SharpADWS توانایی جمع آوری اطلاعات را بدون ارتباط مستقیم با سرور LDAP دارد.
#ActiveDirectory #REDTEAM
@Securation
⭕️ یک ابزار شناسایی و بهرهبرداری از Active Directory برای تیمهای قرمز (Red Teams) است که با استفاده از پروتکل Active Directory Web Services (ADWS) دادههای Active Directory را جمعآوری و تغییر میدهد.
معمولا جمع آوری اطلاعات به واسطه پروتکل LDAP انجام میشود اما SharpADWS توانایی جمع آوری اطلاعات را بدون ارتباط مستقیم با سرور LDAP دارد.
#ActiveDirectory #REDTEAM
@Securation
GitHub
GitHub - wh0amitz/SharpADWS: Active Directory reconnaissance and exploitation for Red Teams via the Active Directory Web Services…
Active Directory reconnaissance and exploitation for Red Teams via the Active Directory Web Services (ADWS). - wh0amitz/SharpADWS
⭕️ هکرها از تکنیک ترکیب فایل ZIP برای هدف قرار دادن سیستمهای ویندوزی استفاده میکنند تا Payloadهای مخرب را در آرشیوهای فشرده قرار دهند، بدون اینکه راهکارهای امنیتی متوجه آن شوند.
این تکنیک از تفاوت در نحوه پردازش فایلهای ترکیبی ZIP توسط تحلیلگرهای ZIP و نرمافزارهای مدیریت آرشیو سوءاستفاده میکند.
این روند جدید توسط Perception Point شناسایی شد، که در هنگام تحلیل یک حمله فیشینگ که کاربران را با یک اطلاعیه جعلی ارسال کالا فریب میداد، یک آرشیو ZIP ترکیبی حاوی یک تروجان را کشف کرد.
#News #Hack #RedTeam
@Securation
این تکنیک از تفاوت در نحوه پردازش فایلهای ترکیبی ZIP توسط تحلیلگرهای ZIP و نرمافزارهای مدیریت آرشیو سوءاستفاده میکند.
این روند جدید توسط Perception Point شناسایی شد، که در هنگام تحلیل یک حمله فیشینگ که کاربران را با یک اطلاعیه جعلی ارسال کالا فریب میداد، یک آرشیو ZIP ترکیبی حاوی یک تروجان را کشف کرد.
🌐Hackers now use ZIP file concatenation to evade detection
#News #Hack #RedTeam
@Securation
⭕️ در این پست، تجربیات شخصی نویسنده به اشتراک گذاشته شده است؛ او به دلیل نیاز به دسترسی به Discord مجبور شد DNS و ساختار VPN را یاد بگیرد. تمامی ابزارها و اپلیکیشنهایی که استفاده کرده را دیباگ کرده و اطلاعات جالبی درباره امنیت VPNها به دست آورده است.
Can't trust any VPN these days
#VPN #DNS
@Securation
در 9 اکتبر 2024، Discord در ترکیه به دلیل اتهامات جنایی مختلف ممنوع شد.
Can't trust any VPN these days
#VPN #DNS
@Securation
blog.orhun.dev
Can't trust any VPN these days - Orhun's Blog
FOSS • Linux • Programming
Forwarded from کانال بایت امن
#Article #Unpacking
Breaking Control Flow Flattening: A Deep Technical Analysis
تکنیک تسطیح جریان کنترل (Control Flow Flattening - CFF) نوعی مبهمسازی کد است که به جای پیچیده کردن عملیاتها، کل جریان اجرای برنامه (یا حداقل جریان یک تابع) را مخفی میکند.
برای دستیابی به این هدف، تمامی بلوکهای پایه کد منبع مانند بدنه توابع، حلقهها و شاخههای شرطی را جدا میکند و همه آنها را در یک حلقه بینهایت قرار میدهد که جریان برنامه را با استفاده از یک دستور switch کنترل میکند.
در این پست نویسنده با ابزاری که برای Ninja Binary مینویسد CFF را شناسایی و آن را از بین میبرد.
این پست برای علاقه مندان به مباحث آنپکینگ و تحلیل بدافزار مفید است.
🦅 کانال بایت امن | گروه بایت امن
_
Breaking Control Flow Flattening: A Deep Technical Analysis
تکنیک تسطیح جریان کنترل (Control Flow Flattening - CFF) نوعی مبهمسازی کد است که به جای پیچیده کردن عملیاتها، کل جریان اجرای برنامه (یا حداقل جریان یک تابع) را مخفی میکند.
برای دستیابی به این هدف، تمامی بلوکهای پایه کد منبع مانند بدنه توابع، حلقهها و شاخههای شرطی را جدا میکند و همه آنها را در یک حلقه بینهایت قرار میدهد که جریان برنامه را با استفاده از یک دستور switch کنترل میکند.
در این پست نویسنده با ابزاری که برای Ninja Binary مینویسد CFF را شناسایی و آن را از بین میبرد.
این پست برای علاقه مندان به مباحث آنپکینگ و تحلیل بدافزار مفید است.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from OS Internals (Abolfazl Kazemi)
جزئیات پروسه و نخ در لینوکس
به صورت خلاصه از دید ویندوز پروسه فقط یک container میباشد که اجرا نشده و فضایی برای اجرای Threadها فراهم میکند و در سطح کرنل نیز دو ساختار EPROCESS, ETHREAD برای این دو تعریف شدهاند. اما در لینوکس ماجرا متفاوت است و Process, Thread هر دو قابلیت اجرا داشته و در سطح کرنل نیز یک ساختار task_struct برای آنها تعریف شده است. در دنیای شیگرایی مثل این است که در لینوکس یک کلاس برای این دو وجود دارد و فقط در زمان ایجاد شی خصوصیات متفاوتی برای آنها تنظیم میشود.
اگر به سراغ برنامهنویسی سیستمی در لینوکس برویم، تابع fork برای ایجاد پروسه استفاده شده و از تابع pthread_create نیز برای ایجاد نخ در لینوکس استفاده میشود. در سطحی کمی پایینتر، هر دوی این توابع syscallای به نام clone را فراخوانی میکنند و با ستکردن فلگهایی مشخص میکنند که قصد ایجاد پروسه یا نخ را دارند. در زمان بررسی برنامهها، در خروجی دستور ps برای یک برنامهی چند پروسهای pidهای مختلفی خواهیم دید ولی در یک برنامهی چند نخی pidها یکسان بوده ولی عددهای متفاوتی در فیلد Light-Weight Process-LWP میبینیم.
نکتهی جالب دیگر این است که در سطح کرنل پروسهها یک لیست پیوندی تشکیل میدهند. هم شیوهی ایجاد لیست پیوندی Generic در سطح کرنل و در زبان C موضوع جالبی است و هم اینکه به کمک فیلدی به اسم tasks میتوانیم یک لیست پیوندی از پروسهها تشکیل دهیم که به پروسههای قبلی و بعدی اشاره میکند.
این موارد و موارد دیگری از جزئیات پروسهها و نخهای لینوکس مواردی هستند که در این ویدئو به آن میپردازیم.
لینک ویدئو در یوتیوب:
https://youtu.be/0fxYtyFn8Jc
لینک ویدئو در آپارات:
https://aparat.com/v/cnytp55
#ShortLinuxInternals #linux #internals #syscalls #kernel #process #thread #gdb #qemu #clone #LWP
به صورت خلاصه از دید ویندوز پروسه فقط یک container میباشد که اجرا نشده و فضایی برای اجرای Threadها فراهم میکند و در سطح کرنل نیز دو ساختار EPROCESS, ETHREAD برای این دو تعریف شدهاند. اما در لینوکس ماجرا متفاوت است و Process, Thread هر دو قابلیت اجرا داشته و در سطح کرنل نیز یک ساختار task_struct برای آنها تعریف شده است. در دنیای شیگرایی مثل این است که در لینوکس یک کلاس برای این دو وجود دارد و فقط در زمان ایجاد شی خصوصیات متفاوتی برای آنها تنظیم میشود.
اگر به سراغ برنامهنویسی سیستمی در لینوکس برویم، تابع fork برای ایجاد پروسه استفاده شده و از تابع pthread_create نیز برای ایجاد نخ در لینوکس استفاده میشود. در سطحی کمی پایینتر، هر دوی این توابع syscallای به نام clone را فراخوانی میکنند و با ستکردن فلگهایی مشخص میکنند که قصد ایجاد پروسه یا نخ را دارند. در زمان بررسی برنامهها، در خروجی دستور ps برای یک برنامهی چند پروسهای pidهای مختلفی خواهیم دید ولی در یک برنامهی چند نخی pidها یکسان بوده ولی عددهای متفاوتی در فیلد Light-Weight Process-LWP میبینیم.
نکتهی جالب دیگر این است که در سطح کرنل پروسهها یک لیست پیوندی تشکیل میدهند. هم شیوهی ایجاد لیست پیوندی Generic در سطح کرنل و در زبان C موضوع جالبی است و هم اینکه به کمک فیلدی به اسم tasks میتوانیم یک لیست پیوندی از پروسهها تشکیل دهیم که به پروسههای قبلی و بعدی اشاره میکند.
این موارد و موارد دیگری از جزئیات پروسهها و نخهای لینوکس مواردی هستند که در این ویدئو به آن میپردازیم.
لینک ویدئو در یوتیوب:
https://youtu.be/0fxYtyFn8Jc
لینک ویدئو در آپارات:
https://aparat.com/v/cnytp55
#ShortLinuxInternals #linux #internals #syscalls #kernel #process #thread #gdb #qemu #clone #LWP
YouTube
Process and Thread Internals in Linux [PER]
به صورت خلاصه از دید ویندوز پروسه فقط یک container میباشد که اجرا نشده و فضایی برای اجرای Threadها فراهم میکند و در سطح کرنل نیز دو ساختار EPROCESS, ETHREAD برای این دو تعریف شدهاند. اما در لینوکس ماجرا متفاوت است و Process, Thread هر دو قابلیت اجرا داشته…
⭕️ ارائه برنامه ProcDump برای سیستم عامل Mac در مجموعه Sysinternals.
در حال حاضر این برنامه در سیستم عامل های ویندوز، لینوکس و مک قابل استفاده خواهد بود.
ProcDump 1.0 for Mac
#Sysinternals #ProcDump
@Securation
در حال حاضر این برنامه در سیستم عامل های ویندوز، لینوکس و مک قابل استفاده خواهد بود.
ProcDump 1.0 for Mac
#Sysinternals #ProcDump
@Securation
TECHCOMMUNITY.MICROSOFT.COM
ProcDump 1.0 for Mac | Microsoft Community Hub
ProcDump 1.0 for Mac
We're excited to announce the release of ProcDump 1.0 for Mac, a tool that generates process crash dumps with support for triggers like...
We're excited to announce the release of ProcDump 1.0 for Mac, a tool that generates process crash dumps with support for triggers like...
⭕️ پیکربندی نادرست سرور DHCP میتواند نه تنها باعث غیرفعال شدن این سرویس توسط مهاجم شود، بلکه زمینه را برای حملات MITM فراهم کند که به مهاجم امکان رهگیری و دسترسی به اطلاعات حساس را میدهد.
در این مقاله، با پیامهای DHCP و ساختار هدر DHCP آشنا خواهید شد.
#DHCP #MITM
@Securation
در این مقاله، با پیامهای DHCP و ساختار هدر DHCP آشنا خواهید شد.
Attacks on DHCP: Exploring Starvation and Spoofing Techniques and How to Protect Against Them
#DHCP #MITM
@Securation
⭕️ مدتی پیش تحقیقی مبنی بر شناسایی تهدیدات در سطح مموری با استفاده از Kernel ETW Call Stacks ها ارایه شد، که XDR Elastic ادعا بر انجام آن کرده بود.
حال پروژه ای مبتنی بر پروژه های LoudSunRun و CallStackSpoofer ایجاد شده که Stack spoofing توسط Fake stack frame اقدام به دور زدن این مورد میکند.
به طوری که:
ما با قرار دادن اسم Module مورد نظر و Fake frame در کلاس مورد نظر این اقدام را انجام میدهیم،از جهتی در پروژه قبلی از گجت jmp RBX مورد استفاده قرار میگرفت، اما در این پروژه از jmp RDI استفاده میشود.
#RedTeam #Evasion #MalDev
@securation
حال پروژه ای مبتنی بر پروژه های LoudSunRun و CallStackSpoofer ایجاد شده که Stack spoofing توسط Fake stack frame اقدام به دور زدن این مورد میکند.
به طوری که:
ما با قرار دادن اسم Module مورد نظر و Fake frame در کلاس مورد نظر این اقدام را انجام میدهیم،از جهتی در پروژه قبلی از گجت jmp RBX مورد استفاده قرار میگرفت، اما در این پروژه از jmp RDI استفاده میشود.
#RedTeam #Evasion #MalDev
@securation
www.elastic.co
Doubling Down: Detecting In-Memory Threats with Kernel ETW Call Stacks — Elastic Security Labs
With Elastic Security 8.11, we added further kernel telemetry call stack-based detections to increase efficacy against in-memory threats.