⭕️ امنیت CI/CD رو امشب در خدمتتون هستیم:
🕘 ساعت ۹
💡روشهای نفوذ از طریق CI/CD
💡دسترسی به سرورهای تست و پروداکشن
💡دسترسی به SECRETها
💡اصول امن سازی و توسعه امن نرم افزار
meet.google.com/rdr-cutu-qwd
#CICD #Security
@securation
🕘 ساعت ۹
💡روشهای نفوذ از طریق CI/CD
💡دسترسی به سرورهای تست و پروداکشن
💡دسترسی به SECRETها
💡اصول امن سازی و توسعه امن نرم افزار
meet.google.com/rdr-cutu-qwd
#CICD #Security
@securation
⭕️ اخیرا مقاله ای از TrustedSec نوشته شده که روشی هوشمندانه به جهت ایجاد Covert Channel بین Guest و Host از طریق QEMU Virtualization بدون نیاز به NIC یا ارتباط TCP/IP ارایه شده است.
مهاجم با سوءاستفاده از VirtIO queues، Shared memory یا I/O emulation hooks دادههایی رو منتقل میکند که در سطح Network stack قابل تشخیص نیستند. این تکنیک میتواند از QEMU های Patch شده یا حتی از قابلیتهای Native مثل Virtio-serial برای ارسال داده بین Host و Guest استفاده کند.
به طوری که QEMU بهعنوان یک Hypervisor اجازهی انتقال داده بین Host و Guest رو از طریق Shared memory, Virtio devices یا Custom I/O Handlers میدهد. این مسیرها میتوانند بدون اینکه بستهای در شبکه واقعی رد و بدل بشود، اطلاعات حمل کنند.
و از Chardev, -Device virtserialport برای ساخت یک Pipe-like interface بین Host و Guest استفاده میشود. که امکان ایجاد Shell خود از طریق این interface روی Guest قرار دهد و روی Host listener بنویسد که دادهها رو پردازش کند.
و البته QEMU دارای دستورات داخلی مانند QEMU-ga، Guest-set-time, Guest-exec هست که برای مدیریت VM طراحی شدن، ولی میتواند بهعنوان ابزار انتقال داده پنهان استفاده شود.
#RedTeam #C2 #Exfiltration
@securation
مهاجم با سوءاستفاده از VirtIO queues، Shared memory یا I/O emulation hooks دادههایی رو منتقل میکند که در سطح Network stack قابل تشخیص نیستند. این تکنیک میتواند از QEMU های Patch شده یا حتی از قابلیتهای Native مثل Virtio-serial برای ارسال داده بین Host و Guest استفاده کند.
به طوری که QEMU بهعنوان یک Hypervisor اجازهی انتقال داده بین Host و Guest رو از طریق Shared memory, Virtio devices یا Custom I/O Handlers میدهد. این مسیرها میتوانند بدون اینکه بستهای در شبکه واقعی رد و بدل بشود، اطلاعات حمل کنند.
و از Chardev, -Device virtserialport برای ساخت یک Pipe-like interface بین Host و Guest استفاده میشود. که امکان ایجاد Shell خود از طریق این interface روی Guest قرار دهد و روی Host listener بنویسد که دادهها رو پردازش کند.
و البته QEMU دارای دستورات داخلی مانند QEMU-ga، Guest-set-time, Guest-exec هست که برای مدیریت VM طراحی شدن، ولی میتواند بهعنوان ابزار انتقال داده پنهان استفاده شود.
#RedTeam #C2 #Exfiltration
@securation
TrustedSec
Hiding in the Shadows: Covert Tunnels via QEMU Virtualization
🔥1
Forwarded from OS Internals (Abolfazl Kazemi)
🔍 قابل توجه علاقهمندان به امنیت سیستمعامل و توسعه اکسپلویت در لینوکس
من همیشه به تدریس علاقهمند بودهام؛ نه صرفاً آموزش تئوری، بلکه انتقال واقعی تجربهها و درک عمیق مفاهیم فنی. از سالها پیش، تمرکزم روی internal سیستمعاملها—بهویژه ویندوز و لینوکس—و مباحث امنیتی بوده و سعی کردهام این مطالب تخصصی را به زبانی ساده، کاربردی و قابلفهم برای دیگران ارائه دهم.
🎓 حالا نوبت یک قدم جدید و متفاوت رسیده:
«دورهی Exploit Development در لینوکس»
از تحلیل آسیبپذیری واقعی گرفته تا نوشتن اکسپلویتهای عملی و کاربردی.
اما تصمیم گرفتم یک شرط خاص برای انتشار این دوره بگذارم:
🎯 اگر اعضای کانالم به ۵۰۰۰ نفر برسند، دوره را به صورت کامل و رایگان منتشر میکنم.
بیش از ۲۰ ساعت ویدئو و تمرین عملی بدون تبلیغات، بدون پرداخت هزینه—صرفاً برای اینکه دانش تخصصی، راحتتر و بیواسطه به دست کسانی برسه که واقعاً به یادگیری اهمیت میدن.
🧠 اگر شما هم به این مسیر علاقهمندید یا فکر میکنید افراد دیگری در اطرافتان هستند که این محتوا به دردشان میخورد، خوشحال میشم با معرفی کانالم به دوستانتان از این پروژه حمایت کنید.
📎 لینک کانال:
https://news.1rj.ru/str/OxAA55
✍️راستی سرفصل دوره رو هم میتونید در لینک زیر مشاهده کنید:
https://news.1rj.ru/str/OxAA55/140
من همیشه به تدریس علاقهمند بودهام؛ نه صرفاً آموزش تئوری، بلکه انتقال واقعی تجربهها و درک عمیق مفاهیم فنی. از سالها پیش، تمرکزم روی internal سیستمعاملها—بهویژه ویندوز و لینوکس—و مباحث امنیتی بوده و سعی کردهام این مطالب تخصصی را به زبانی ساده، کاربردی و قابلفهم برای دیگران ارائه دهم.
🎓 حالا نوبت یک قدم جدید و متفاوت رسیده:
«دورهی Exploit Development در لینوکس»
از تحلیل آسیبپذیری واقعی گرفته تا نوشتن اکسپلویتهای عملی و کاربردی.
اما تصمیم گرفتم یک شرط خاص برای انتشار این دوره بگذارم:
🎯 اگر اعضای کانالم به ۵۰۰۰ نفر برسند، دوره را به صورت کامل و رایگان منتشر میکنم.
بیش از ۲۰ ساعت ویدئو و تمرین عملی بدون تبلیغات، بدون پرداخت هزینه—صرفاً برای اینکه دانش تخصصی، راحتتر و بیواسطه به دست کسانی برسه که واقعاً به یادگیری اهمیت میدن.
🧠 اگر شما هم به این مسیر علاقهمندید یا فکر میکنید افراد دیگری در اطرافتان هستند که این محتوا به دردشان میخورد، خوشحال میشم با معرفی کانالم به دوستانتان از این پروژه حمایت کنید.
📎 لینک کانال:
https://news.1rj.ru/str/OxAA55
✍️راستی سرفصل دوره رو هم میتونید در لینک زیر مشاهده کنید:
https://news.1rj.ru/str/OxAA55/140
Telegram
OS Internals
مقاله و فیلم آموزش مدیریت و برنامهنویسی سیستمهای عامل، شبکه و امنیت اطلاعات.
مقالات من در ویرگول:
https://virgool.io/@akazemi
ویدئوهای کانال در آپارات:
https://www.aparat.com/oxaa55
ارتباط با مدیر کانال از طریق:
@akazemi67
مقالات من در ویرگول:
https://virgool.io/@akazemi
ویدئوهای کانال در آپارات:
https://www.aparat.com/oxaa55
ارتباط با مدیر کانال از طریق:
@akazemi67
⭕️ یعنی آدم انقدر نوب باشه فکر کنه هک شدن نوبیتکس بخاطر این یوزر پسورد هایی باشه که استیلر ها قبلا به فروش گذاشتن؟
شما شرکت یا سازمانتون white list برای متصل شدن نداره ؟
شما سازمانتون 2fa نداره که حتی با داشتن یوزر پسورد احراز هویت لاگین موفق بزنه؟
شما سازمانتون VPN نداره برای وصل شدن و لاگین شدن به یک سامانه ؟
برخی عزیزان رو لینکدین و تلگرام میبینیم تحلیلهای حاکر بازی که برای خریدن توجه دارند ادعا میکنند یوزر پسورد چندکاربر قدیمی باعث نفوذ شده ، که البته بجز اینکه این یوزرها هیچ نقش در اتفاقات اخیر نداشته اند، بلکه نشون داد شما حتی دانش پایه امنیت شبکه و دانش بلاکچین و دانش امنیت وب و هیچ گونه علمی درمورد Zero trust هایی که اعمال میشه ندارید.
خرید جلب توجه با شایعه پراکنی های غیرفنی و غیرعلمی فقط نشون میده نوب بودن و سطحی بودن شما با پر کردن پروفایل های لینکدین از واژه های هکر و محقق در همین حد هست.
یه سایت هستی با user : password منقرض شده ی کاربر لاگین کنید هم مدیریت کل سرورها و کیف پول ها حتی بصورت فیزیکال دستته و هم میتونید با یک دکمه چند میلیون دلار پول رو انتقال بدید 🙏
@securation
شما شرکت یا سازمانتون white list برای متصل شدن نداره ؟
شما سازمانتون 2fa نداره که حتی با داشتن یوزر پسورد احراز هویت لاگین موفق بزنه؟
شما سازمانتون VPN نداره برای وصل شدن و لاگین شدن به یک سامانه ؟
برخی عزیزان رو لینکدین و تلگرام میبینیم تحلیلهای حاکر بازی که برای خریدن توجه دارند ادعا میکنند یوزر پسورد چندکاربر قدیمی باعث نفوذ شده ، که البته بجز اینکه این یوزرها هیچ نقش در اتفاقات اخیر نداشته اند، بلکه نشون داد شما حتی دانش پایه امنیت شبکه و دانش بلاکچین و دانش امنیت وب و هیچ گونه علمی درمورد Zero trust هایی که اعمال میشه ندارید.
خرید جلب توجه با شایعه پراکنی های غیرفنی و غیرعلمی فقط نشون میده نوب بودن و سطحی بودن شما با پر کردن پروفایل های لینکدین از واژه های هکر و محقق در همین حد هست.
یه سایت هستی با user : password منقرض شده ی کاربر لاگین کنید هم مدیریت کل سرورها و کیف پول ها حتی بصورت فیزیکال دستته و هم میتونید با یک دکمه چند میلیون دلار پول رو انتقال بدید 🙏
@securation
🔥1
⭕️ حمله NTLM Relay بر بستر SMB (پورت 445) سالهاست که در عملیاتهای Red Team جایگاه دارد، اما همواره با یک محدودیت جدی همراه بوده گیر افتادن در چارچوب پروتکل SMB و عدم امکان استفاده از ابزارهای قدرتمندتر مانند WMI، WinRM یا حتی RDP. از سوی دیگر، هر تلاش برای dump گرفتن از هشها یا اجرای shell، با ریسک بالا و احتمال شناسایی توسط EDR همراه است.
تیم SpecterOps در مقالهای با عنوان «Escaping the Confines of Port 445» نگاهی نو به این چالش دارد
بهجای تلاش برای باز کردن پورتهای بیشتر، از همان SMB بیشترین بهره را ببریم.
استفاده از پراکسی ntlmrelayx --socks برای ایجاد یک tunnel امن و دائمی بر بستر SMB.
بهجای ابزارهای نویزی، از ابزارهای native ویندوز مثل sc.exe برای کنترل سرویسها استفاده میشود
بدون ایجاد آلارم در EDR.
سپس سرویس WebClient روی سیستم هدف فعال میشود.
فعال شدن WebClient منجر به ارسال درخواست WebDAV به سرور ما میشود؛ که حالا میتوان آن را به LDAP یا LDAPS روی Domain Controller رله کرد.
از این نقطه به بعد، مسیر برای حملاتی مانند Shadow Credentials یا RBCD باز است حتی بدون نیاز به پورتهای اضافی یا استخراج هش.
#RedTeam #AD #NTLMRELAY
@securation
تیم SpecterOps در مقالهای با عنوان «Escaping the Confines of Port 445» نگاهی نو به این چالش دارد
بهجای تلاش برای باز کردن پورتهای بیشتر، از همان SMB بیشترین بهره را ببریم.
استفاده از پراکسی ntlmrelayx --socks برای ایجاد یک tunnel امن و دائمی بر بستر SMB.
بهجای ابزارهای نویزی، از ابزارهای native ویندوز مثل sc.exe برای کنترل سرویسها استفاده میشود
بدون ایجاد آلارم در EDR.
سپس سرویس WebClient روی سیستم هدف فعال میشود.
فعال شدن WebClient منجر به ارسال درخواست WebDAV به سرور ما میشود؛ که حالا میتوان آن را به LDAP یا LDAPS روی Domain Controller رله کرد.
از این نقطه به بعد، مسیر برای حملاتی مانند Shadow Credentials یا RBCD باز است حتی بدون نیاز به پورتهای اضافی یا استخراج هش.
#RedTeam #AD #NTLMRELAY
@securation
SpecterOps
Escaping the Confines of Port 445 - SpecterOps
NTLM relay attacks targeting SMB restrict lateral movement options to those that solely require port 445/TCP. Learn at least one method of overcoming this restriction to enable additional lateral movement options in this blog!
❤1
⭕️ تلویزیون های اسنوا دچار اختلال و قطعی کامل شده اند و هنوز مشخص نیست بخاطر آپدیت نبودن دیوایس هست یا فریمور مشکل پیدا کرده یا هک شده اند.
فعلا بصورت انلاین هیچکونه تعمیر/تغییر نرم افزاری برای این تلویزیون ها وجود ندارد.
باید منتظر اطلاعیه ی شرکت اسنوا باشیم.
#IOT
@securation
فعلا بصورت انلاین هیچکونه تعمیر/تغییر نرم افزاری برای این تلویزیون ها وجود ندارد.
باید منتظر اطلاعیه ی شرکت اسنوا باشیم.
#IOT
@securation
Forwarded from کانال بایت امن
#Article
Hells Hollow: A new SSDT Hooking technique
در پست قبلی دربارهی تکنیکهای AltSyscall صحبت کردم. امروز در ادامهی همون موضوع، قصد دارم یک تکنیک جدید با نام غیررسمی Hell's Hollow رو معرفی کنم.
این تکنیک با تکیه بر قابلیتهای AltSys و انجام تغییراتی روی ساختار حساس KTRAP_FRAME، امکان Hook کردن SSDT رو به شکلی متفاوت فراهم میکنه. یعنی به جای دستکاری کپیهایی از Trap Frame، این بار مستقیماً سراغ نسخهی واقعی اون میریم. نتیجهی این کار، توانایی در کنترل و تغییر مسیر تمام System Callها در سطح بسیار پایین و حساس سیستمعامله.
POC Link : Hell's Hollow is a Windows 11 compatible rootkit technique that is equivalent to a modern (PatchGuard and HyperGuard) resistant technique to effectively perform SSDT Hooking (System Service Dispatch Table) - bypassing all previous defence mechanisms put in the kernel.
🦅 کانال بایت امن | گروه بایت امن
_
Hells Hollow: A new SSDT Hooking technique
در پست قبلی دربارهی تکنیکهای AltSyscall صحبت کردم. امروز در ادامهی همون موضوع، قصد دارم یک تکنیک جدید با نام غیررسمی Hell's Hollow رو معرفی کنم.
این تکنیک با تکیه بر قابلیتهای AltSys و انجام تغییراتی روی ساختار حساس KTRAP_FRAME، امکان Hook کردن SSDT رو به شکلی متفاوت فراهم میکنه. یعنی به جای دستکاری کپیهایی از Trap Frame، این بار مستقیماً سراغ نسخهی واقعی اون میریم. نتیجهی این کار، توانایی در کنترل و تغییر مسیر تمام System Callها در سطح بسیار پایین و حساس سیستمعامله.
POC Link : Hell's Hollow is a Windows 11 compatible rootkit technique that is equivalent to a modern (PatchGuard and HyperGuard) resistant technique to effectively perform SSDT Hooking (System Service Dispatch Table) - bypassing all previous defence mechanisms put in the kernel.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
⭕️ جدیدترین گزارش تحقیقاتی تیم Assetnote در Searchlight Cyber، اقدام به بررسی آسیبپذیری Abusing Windows/.NET quirks and Unicode Normalization در DNN (نسخههای ۶.۰.۰ تا پیش از ۱۰.۰.۱) کرده است
بررسیهای فنی نشان میدهد که با استفاده از کاراکترهای Unicode full‑width مانند U+FF0E و U+FF3C، میتوان مسیرهای فریبدهنده را طوری ساخت که پس از نرمالسازی تبدیل به UNC path شوند: \attacker .com\share.jpg. اندپوینتهای متداول مانند File.Exists یا WebClient بدون احراز هویت، باعث ارسال hash های NTLM به سرور مهاجم میشوند که باعث یک حمله Credential Leakage بدون دخالت کاربر می شود.
نکات کلیدی:
توصیه برای تیمهای امنیت:
#RedTeam #DNN #NTLM
@securation
بررسیهای فنی نشان میدهد که با استفاده از کاراکترهای Unicode full‑width مانند U+FF0E و U+FF3C، میتوان مسیرهای فریبدهنده را طوری ساخت که پس از نرمالسازی تبدیل به UNC path شوند: \attacker .com\share.jpg. اندپوینتهای متداول مانند File.Exists یا WebClient بدون احراز هویت، باعث ارسال hash های NTLM به سرور مهاجم میشوند که باعث یک حمله Credential Leakage بدون دخالت کاربر می شود.
نکات کلیدی:
• آسیبپذیری pre-auth بوده و نیازی به login ندارد
• CVSS نمره 8.6، مخاطره بالا
• ترکیب ضعفهای Path.Combine و Unicode normalization bypass باعث وقوع این آسیبپذیری شده است
توصیه برای تیمهای امنیت:
فوراً DNN را به نسخه ۱۰.۰.۱ یا جدیدتر آپدیت کنید
از ارسال ترافیک های SMB خروجی خودداری و آنها را ببندید
توسعهدهندگان باید ترتیب sanitize → normalize → validate را رعایت کنند
#RedTeam #DNN #NTLM
@securation
Searchlight Cyber
Abusing .NET and Unicode Normalization to Exploit DNN | Searchlight
A pre-authentication vulnerability exists within DotNetNuke versions 6.0 to 10.0.1, assigned CVE-2025-52488, that allows attackers to steal NTLM hashes.
❤2👏1
⭕️ در تحلیل تکنیک Ghost Calls یک روش فرمان و کنترل (C2) را آشکار میسازد که با سوءاستفاده از طراحی ذاتی پروتکل TURN در پلتفرمهای WebRTC مانند Zoom و Microsoft Teams عمل میکند.
مکانیسم اصلی شامل برقراری ارتباط سرور TURN با TTL بسیار طولانی از یک جلسه کنفرانس (حتی با حضور چند ثانیهای) و سپس استفاده ناهمزمان از آنها برای ایجاد یک رله داده دوطرفه از طریق زیرساخت جهانی و مورد اعتماد همین سرویسدهندگان است. این کانال ارتباطی با تونلسازی ترافیک خود از طریق TURNS بر روی پورت TCP/443، به شکلی موثر از فیلترینگ شبکه عبور کرده و به دلیل رویه رایج معاف کردن دامنههایی مانند *.zoom.us از بازرسی TLS، عملاً ترافیک C2 را در یک تونل رمزنگاریشده و کاملاً پنهان مخفی میکند.
https://github.com/praetorian-inc/turnt
https://www.praetorian.com/blog/ghost-calls-abusing-web-conferencing-for-covert-command-control-part-1-of-2/
https://www.praetorian.com/blog/ghost-calls-abusing-web-conferencing-for-covert-command-control-part-2-of-2/
#RedTeam #C2
@securation
مکانیسم اصلی شامل برقراری ارتباط سرور TURN با TTL بسیار طولانی از یک جلسه کنفرانس (حتی با حضور چند ثانیهای) و سپس استفاده ناهمزمان از آنها برای ایجاد یک رله داده دوطرفه از طریق زیرساخت جهانی و مورد اعتماد همین سرویسدهندگان است. این کانال ارتباطی با تونلسازی ترافیک خود از طریق TURNS بر روی پورت TCP/443، به شکلی موثر از فیلترینگ شبکه عبور کرده و به دلیل رویه رایج معاف کردن دامنههایی مانند *.zoom.us از بازرسی TLS، عملاً ترافیک C2 را در یک تونل رمزنگاریشده و کاملاً پنهان مخفی میکند.
https://github.com/praetorian-inc/turnt
https://www.praetorian.com/blog/ghost-calls-abusing-web-conferencing-for-covert-command-control-part-1-of-2/
https://www.praetorian.com/blog/ghost-calls-abusing-web-conferencing-for-covert-command-control-part-2-of-2/
#RedTeam #C2
@securation
GitHub
Conferences/BlackHat_USA_2025_Slides/Adam Crosser_Ghost Calls Abusing Web Conferencing for Covert Command & Control.pdf at main…
Conference presentation slides. Contribute to onhexgroup/Conferences development by creating an account on GitHub.
2🔥8
⭕️ بر اساس ارائه فنی Death by Noise از Rex Guo و Khang Nguyen در کنفرانس Black Hat، مهاجمان از یک استراتژی هوشمندانه برای دور زدن EDR ها از طریق سوءاستفاده از فرآیندهای انسانی SOC بهره میبرند. به جای تلاش برای پنهانکاری کامل (Stealth)، آنها عمداً با اجرای تکنیکهایی که مجموعهای از هشدارهای با شدت پایین و متوسط (Low/Medium Severity) تولید میکنند، خود را در سیل عظیم هشدارهای روزانه غرق میکنند. این رویکرد مستقیماً پدیده خستگی از هشدار (Alert Fatigue) را هدف قرار میدهد؛ جایی که تحلیلگران به دلیل نرخ بالای مثبت کاذب، به ناچار هشدارهای به ظاهر کمخطر را نادیده گرفته یا به صورت سطحی بررسی میکنند.
این تکنیک به طور خاص ضعف اتکا به تنظیمات پیشفرض EDR را برجسته میکند و نشان میدهد که چگونه فعالیتهای مخرب میتوانند به عنوان نویز پسزمینه از دیدهها پنهان بمانند. برای مقابله، تیمهای امنیتی باید فراتر از قواعد پیشفرض عمل کنند و بر روی ایجاد هشدارهای باکیفیت و غنی از محتوا (High-Fidelity) تمرکز کنند. تیمهای قرمز نیز باید این متدولوژی تولید نویز هدفمند را به عنوان یک TTP معتبر در ارزیابیهای خود بگنجانند تا مقاومت واقعی SOC در برابر حملات پنهانکارانه و چندمرحلهای را بسنجند.
#RedTeam #EDR #Evasion
@securation
این تکنیک به طور خاص ضعف اتکا به تنظیمات پیشفرض EDR را برجسته میکند و نشان میدهد که چگونه فعالیتهای مخرب میتوانند به عنوان نویز پسزمینه از دیدهها پنهان بمانند. برای مقابله، تیمهای امنیتی باید فراتر از قواعد پیشفرض عمل کنند و بر روی ایجاد هشدارهای باکیفیت و غنی از محتوا (High-Fidelity) تمرکز کنند. تیمهای قرمز نیز باید این متدولوژی تولید نویز هدفمند را به عنوان یک TTP معتبر در ارزیابیهای خود بگنجانند تا مقاومت واقعی SOC در برابر حملات پنهانکارانه و چندمرحلهای را بسنجند.
#RedTeam #EDR #Evasion
@securation
GitHub
Conferences/BlackHat_USA_2025_Slides/Rex Guo&Khang Nguyen_Death by Noise Abusing Alert Fatigue to Bypass the SOC (EDR Edition).pdf…
Conference presentation slides. Contribute to onhexgroup/Conferences development by creating an account on GitHub.
❤5🔥5👍4😁1
⭕️نفوذ سایبری آمریکا به شبکه برق ونزوئلا یک هشدار مستقیم به ایران خواهد بود ،
آیا سیستم های 25 سال پیش آپدیت گشته ی زیرساختهای برق و و نفت و پتروشیمی و مخابرات کشور روز دوم جنگ هک خواهد شد یا با ساعت اول جنگ همگی فلج خواهند شد؟
حدود 20 سازمان بودجه بگیر مختلف در کشور وجود دارد که متولی امنیت هستند ، اما کدام تاحالا توانسته به امنیت سایبری ایران کمکی کرده باشد؟
ما در کشور ایران آزمایشگاه امنیت نرم افزار و سخت افزار نداریم و بودجه های دولتی در شرکت های امنیت سایبری وابسته ی بدردرنخور خرج میشوند ، سرورها همگی دسته دوم از کشورهای همسایه تهیه میشن و بدون هیچ گونه تحلیل امنیتی بعد از وایپ کردن مستقیم میفرستن مورد استفاده قرار بگیرند ، در جنگ 12 روزه شاهد بودید با هر حرکتی از یک تیم وابسته به رژیم اسراییل چه بانک ها و جاهای بزرگی هک شد و چه زیرساخت هایی سالها توسط رژیم مورد نفوذ قرار گرفته شده و اطلاع نداشتن !
آیا جنگ بعدی رخ بدهد یک نفر راه ارتباطی ای خواهد داشت از کسی انلاین خبری بگیرد؟
یا تمامی شبکه های مخابراتی فرسوده ی کشور همگی در دستان آمریکا و اسراییل خواهد بود؟
کی بیدار میشید دقیقا؟
@securation
آیا سیستم های 25 سال پیش آپدیت گشته ی زیرساختهای برق و و نفت و پتروشیمی و مخابرات کشور روز دوم جنگ هک خواهد شد یا با ساعت اول جنگ همگی فلج خواهند شد؟
حدود 20 سازمان بودجه بگیر مختلف در کشور وجود دارد که متولی امنیت هستند ، اما کدام تاحالا توانسته به امنیت سایبری ایران کمکی کرده باشد؟
ما در کشور ایران آزمایشگاه امنیت نرم افزار و سخت افزار نداریم و بودجه های دولتی در شرکت های امنیت سایبری وابسته ی بدردرنخور خرج میشوند ، سرورها همگی دسته دوم از کشورهای همسایه تهیه میشن و بدون هیچ گونه تحلیل امنیتی بعد از وایپ کردن مستقیم میفرستن مورد استفاده قرار بگیرند ، در جنگ 12 روزه شاهد بودید با هر حرکتی از یک تیم وابسته به رژیم اسراییل چه بانک ها و جاهای بزرگی هک شد و چه زیرساخت هایی سالها توسط رژیم مورد نفوذ قرار گرفته شده و اطلاع نداشتن !
آیا جنگ بعدی رخ بدهد یک نفر راه ارتباطی ای خواهد داشت از کسی انلاین خبری بگیرد؟
یا تمامی شبکه های مخابراتی فرسوده ی کشور همگی در دستان آمریکا و اسراییل خواهد بود؟
کی بیدار میشید دقیقا؟
@securation
👍48😁10👎7❤4👏3
⭕️ آسیبپذیری CVE-2025-48539 که در Bluetooth Stack اندروید کشف شده که از طریق Adjacent WiFi ( وای فای مجاور - بدون نیاز به تعامل کاربر) قابل دسترسی است استفاده میشود.
با استفاده از زنجیرههای تامین امتیاز (Privilege Escalation Chains)، مهاجم میتواند به صورت ریموت دسترسی کامل به دستگاه را به دست آورد.
https://osv.dev/vulnerability/ASB-A-406785684
@securation
با استفاده از زنجیرههای تامین امتیاز (Privilege Escalation Chains)، مهاجم میتواند به صورت ریموت دسترسی کامل به دستگاه را به دست آورد.
https://osv.dev/vulnerability/ASB-A-406785684
@securation
osv.dev
OSV - Open Source Vulnerabilities
Comprehensive vulnerability database for your open source projects and dependencies.
🔥14❤2👏2😁2🥰1
⭕️ حساب NPM یه توسعهدهنده معروف هک شده و پکیجهاش که بیش از 1 میلیارد بار دانلود شدن، ممکنه کل اکوسیستم جاوااسکریپت رو به خطر بندازه. بدافزار بهصورت مخفیانه آدرسهای کریپتو رو عوض میکنه و پول شما رو میزنه به حساب هکر!
اگه کیف پول سختافزاری دارید، قبل از زدن دکمه تایید، حتماً همه جزئیات تراکنش رو چک کنید.
نکته جالب این هک اینه که آدرس کیف پول کاربر با یکی از آدرسهای هکر جایگزین میشه، اما نه به صورت تصادفی، از الگوریتم Levenshtein Distance استفاده میکنه تا آدرس جایگزین شبیهترین به آدرس اصلی باشد.
جزئیات بیشتر :
jdstaerk.substack.com/p/we-just-found-malicious-code-in-the
#crypto #NPM #Wallet
@securation
اگه کیف پول سختافزاری دارید، قبل از زدن دکمه تایید، حتماً همه جزئیات تراکنش رو چک کنید.
نکته جالب این هک اینه که آدرس کیف پول کاربر با یکی از آدرسهای هکر جایگزین میشه، اما نه به صورت تصادفی، از الگوریتم Levenshtein Distance استفاده میکنه تا آدرس جایگزین شبیهترین به آدرس اصلی باشد.
جزئیات بیشتر :
jdstaerk.substack.com/p/we-just-found-malicious-code-in-the
#crypto #NPM #Wallet
@securation
🔥14❤5👍5
This media is not supported in your browser
VIEW IN TELEGRAM
⭕️ بچه ها امسال بیاید مسابقات المپیک رو شرکت کنید با هم بریم بزنیم :)
من هم مثل هرسال توی مسابقات حضور دارم و اگر سوالی ، کاری راهنمایی چیزی فنی داشتید به گروه تلگرامی ما بپیوندید.
به امید دیدار در فینال مسابقات 🔥
@securation
من هم مثل هرسال توی مسابقات حضور دارم و اگر سوالی ، کاری راهنمایی چیزی فنی داشتید به گروه تلگرامی ما بپیوندید.
به امید دیدار در فینال مسابقات 🔥
@securation
🔥11❤4👎3😁1
This media is not supported in your browser
VIEW IN TELEGRAM
⭕️ برای مسابقهی فینال سخت افزار مسابقات المپیک با این بچه غول ایرانی ، یوزپلنگ ایرانی طرف هستیم 🔥
اگر شما هم مثل ما عاشق Hardware Hacking هستید حتما مسابقه ی CTF اول که جمعه هست شرکت کنید و بزنید که جز 10 تیم برتر بشید تا بتونید به دیدن یوز ایرانی و مسابقه سخت افزار بیاید.
#Hardware #Hacking #CTF
@securation
اگر شما هم مثل ما عاشق Hardware Hacking هستید حتما مسابقه ی CTF اول که جمعه هست شرکت کنید و بزنید که جز 10 تیم برتر بشید تا بتونید به دیدن یوز ایرانی و مسابقه سخت افزار بیاید.
#Hardware #Hacking #CTF
@securation
🔥10👎9❤5
Media is too big
VIEW IN TELEGRAM
⭕️مسابقات ورزشی رباتیک خیلی عالیه
هم موجب خنده ی حضار میشه ، بعلاوه اینکه ادم های بیشتری جذب رباتیک و تحقیق و توسعه میشن :)
@securation
هم موجب خنده ی حضار میشه ، بعلاوه اینکه ادم های بیشتری جذب رباتیک و تحقیق و توسعه میشن :)
@securation
😁40👎1
Forwarded from کانال بایت امن
#Note #Tools
چرا LSASS (Local Security Authority Subsystem Service) هدف جذابی برای مهاجمان است؟
پروسس LSASS مسئول مدیریت احراز هویت، توکنها و کلیدهای سیستم عامل است. دسترسی به حافظه آن یعنی دسترسی به مجموعهای از اسرار معتبر سیستم که میتواند برای حملات و تکینیک هایی همچون حرکت جانبی (lateral movement)، فرار از تشخیص (Evasion) و ارتقای امتیازات (privilege escalation) مورد سوءاستفاده قرار گیرد.
چه دادههایی در حافظهٔ LSASS یافت میشوند؟
🏷 هش : NTLM hashes (NT hash) | قابل استفاده برای تکنیکهای Pass-the-Hash
🏷 تکیت : Kerberos tickets (TGT / Service Tickets) | قابل استفاده برای تکنیک Pass-the-Ticket.
🏷 گذرواژهها و اعتبارنامههای متنی (plaintext credentials)| بسته به نسخه/پچ و پیکربندی احراز هویت، ممکن است username/password بهصورت متن خوانا در حافظه حضور داشته باشند.
🏷 کلید: DPAPI master keys و سایر کلیدهای مرتبط | برای بازکردن دادههای رمزنگاریشده محلی یا سرویسها.
🏷 سایر دادههای حساس نظیر LSA secrets, cached credentials و credential blobs که توسط credential providers / SSPها نگهداری میشوند.
✒️ حالا در این ریپازیتوری با نحوه دامپ گرفتن از پروسس LSASS به چندین روش مختلف آشنا خواهید شد.
🦅 کانال بایت امن | گروه بایت امن
_
چرا LSASS (Local Security Authority Subsystem Service) هدف جذابی برای مهاجمان است؟
پروسس LSASS مسئول مدیریت احراز هویت، توکنها و کلیدهای سیستم عامل است. دسترسی به حافظه آن یعنی دسترسی به مجموعهای از اسرار معتبر سیستم که میتواند برای حملات و تکینیک هایی همچون حرکت جانبی (lateral movement)، فرار از تشخیص (Evasion) و ارتقای امتیازات (privilege escalation) مورد سوءاستفاده قرار گیرد.
چه دادههایی در حافظهٔ LSASS یافت میشوند؟
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9
⭕️ Windows Security Events reference
https://unresolvedhost.github.io/windows-security-reference/
#security #events #win
@securation
https://unresolvedhost.github.io/windows-security-reference/
#security #events #win
@securation
❤5
Audio
#Article
چگونه یک مدل یادگیری ماشین برای شناسایی DLL hijacking آموزش دادیم
تصمیم گرفتم این مقاله رو با Notebooklm برای شما تبدیل کنم تا متوجه بشید غول های تکنولوژی به چه صورت از LLM ها و ML استفاده می کنند تا یکسری کارها به صورت فرآیند خودکار انجام بشه.
تکنیک DLL hijacking یک تکنیک عملیات رایج است که در آن مهاجمان کتابخانهای (DLL) را که توسط یک فرایند قانونی فراخوانی میشود با یک کتابخانهی مخرب جایگزین میکنند. این روش هم توسط سازندگان بدافزارهای با تاثیر وسیع (مثل stealerها و تروجانهای بانکی) و هم توسط گروههای APT و جرایم سایبری که پشت حملات هدفمند هستند، استفاده میشود. در سالهای اخیر تعداد حملات DLL hijacking بهطور قابل توجهی افزایش یافته است.
برای جزئیات فنی و نتایج آزمایشها میتوانید مقالهٔ کامل Kaspersky را در Securelist مطالعه کنید.
پاورقی : ترجمه به فارسی برخی لغات همچنان مشکل داره ولی، قابل قبول هست 😊😉
🦅 کانال بایت امن | گروه بایت امن
_
چگونه یک مدل یادگیری ماشین برای شناسایی DLL hijacking آموزش دادیم
تصمیم گرفتم این مقاله رو با Notebooklm برای شما تبدیل کنم تا متوجه بشید غول های تکنولوژی به چه صورت از LLM ها و ML استفاده می کنند تا یکسری کارها به صورت فرآیند خودکار انجام بشه.
تکنیک DLL hijacking یک تکنیک عملیات رایج است که در آن مهاجمان کتابخانهای (DLL) را که توسط یک فرایند قانونی فراخوانی میشود با یک کتابخانهی مخرب جایگزین میکنند. این روش هم توسط سازندگان بدافزارهای با تاثیر وسیع (مثل stealerها و تروجانهای بانکی) و هم توسط گروههای APT و جرایم سایبری که پشت حملات هدفمند هستند، استفاده میشود. در سالهای اخیر تعداد حملات DLL hijacking بهطور قابل توجهی افزایش یافته است.
برای جزئیات فنی و نتایج آزمایشها میتوانید مقالهٔ کامل Kaspersky را در Securelist مطالعه کنید.
پاورقی : ترجمه به فارسی برخی لغات همچنان مشکل داره ولی، قابل قبول هست 😊😉
_
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤7
⭕️ ابزار PrivescCheck اسکریپتی کاربردی برای جمعآوری اطلاعات مفید و بررسی امکان ارتقای سطح دسترسی در ویندوز که با استفاده از بررسی آسیب پذیری ها و کانفیگ های اعمال شده ی مختلف , عملکرد مثبتی برای پروژه های پنتست و ردتیم دارد.
#RedTeam #tools
@securation
#RedTeam #tools
@securation
❤14🔥3👍2