⭕️ ابزار PrivescCheck اسکریپتی کاربردی برای جمعآوری اطلاعات مفید و بررسی امکان ارتقای سطح دسترسی در ویندوز که با استفاده از بررسی آسیب پذیری ها و کانفیگ های اعمال شده ی مختلف , عملکرد مثبتی برای پروژه های پنتست و ردتیم دارد.
#RedTeam #tools
@securation
#RedTeam #tools
@securation
❤14🔥3👍2
⭕️ یک PoC برای آسیبپذیری CVE-2025-64095 در پلتفرم DNN اومده که نشون میده کنترل دسترسی ناکافی در هندلر آپلود فایل مربوط به CKEditor (FileUploader.ashx) فقط با ارسال یک درخواست POST اجازهی آپلود برای کاربران احراز هویت نشده را میدهد.
فورا DNN پلتفرم رو به نسخهی 10.1.1 یا بالاتر ارتقا دهید.
#vulns #DNN #FileUpload
@securation
فورا DNN پلتفرم رو به نسخهی 10.1.1 یا بالاتر ارتقا دهید.
#vulns #DNN #FileUpload
@securation
❤10👍4👎3
Forwarded from کانال بایت امن
#Tools #Malware
با وجود مفید بودن پروژههای متنباز، بعضی از آنها به نمونههای واقعی بدافزار تبدیل شدهاند که در حملات واقعی مورد استفاده قرار میگیرند.
در همین راستا، پلتفرم Open Source Malware به منظور شناسایی و مستندسازی این نوع بدافزارها ایجاد شده است. این پلتفرم با ارائه ابزارهای تحلیلی، API اختصاصی و یک پایگاه داده جامعهمحور به پژوهشگران امنیت و توسعهدهندگان کمک میکند تا پروژههای مشکوک را شناسایی و بررسی کنند.
🦅 کانال بایت امن | گروه بایت امن
_
با وجود مفید بودن پروژههای متنباز، بعضی از آنها به نمونههای واقعی بدافزار تبدیل شدهاند که در حملات واقعی مورد استفاده قرار میگیرند.
در همین راستا، پلتفرم Open Source Malware به منظور شناسایی و مستندسازی این نوع بدافزارها ایجاد شده است. این پلتفرم با ارائه ابزارهای تحلیلی، API اختصاصی و یک پایگاه داده جامعهمحور به پژوهشگران امنیت و توسعهدهندگان کمک میکند تا پروژههای مشکوک را شناسایی و بررسی کنند.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤2
⭕️ مایکروسافت در Patch Tuesday نوامبر 2025 آسیبپذیری مهمی را در Host Process for Windows Tasks پچ کرد.
این باگ از “link following” در تسک زمانبندیشده WindowsAI Recall/PolicyConfiguration سوءاستفاده میکند. مهاجم با دسترسی کاربر عادی، با ساخت یک دایرکتوری GUID و قرار دادن reparse point در مسیر AppData محلی، باعث میشود taskhostw.exe عملیات حساس را روی مقصد دلخواه انجام دهد و به SYSTEM ارتقا پیدا کند.
به طور دقیق تر میتوان گفت
مسیر درگیر:
C:\Users\<user>\AppData\Local\CoreAIPlatform00\UKP\{GUID}
تسک آسیبپذیر:
Microsoft\Windows\WindowsAI\Recall\PolicyConfiguration
هنگامی که این تسک اجرا میشود، فایلها را در مسیر بالا با سطح SYSTEM بررسی میکند.
مهاجم با ساخت یک reparse point (junction/symlink) میتواند مسیر را به پوشهای حساس (مثل C:\Windows\System32) هدایت کند تا عملیات با سطح SYSTEM انجام شود.
#RedTeam #LPE #Exploitation
@securation
این باگ از “link following” در تسک زمانبندیشده WindowsAI Recall/PolicyConfiguration سوءاستفاده میکند. مهاجم با دسترسی کاربر عادی، با ساخت یک دایرکتوری GUID و قرار دادن reparse point در مسیر AppData محلی، باعث میشود taskhostw.exe عملیات حساس را روی مقصد دلخواه انجام دهد و به SYSTEM ارتقا پیدا کند.
به طور دقیق تر میتوان گفت
مسیر درگیر:
C:\Users\<user>\AppData\Local\CoreAIPlatform00\UKP\{GUID}
تسک آسیبپذیر:
Microsoft\Windows\WindowsAI\Recall\PolicyConfiguration
هنگامی که این تسک اجرا میشود، فایلها را در مسیر بالا با سطح SYSTEM بررسی میکند.
مهاجم با ساخت یک reparse point (junction/symlink) میتواند مسیر را به پوشهای حساس (مثل C:\Windows\System32) هدایت کند تا عملیات با سطح SYSTEM انجام شود.
#RedTeam #LPE #Exploitation
@securation
👍8❤5
⭕️ در پژوهش اخیر Incendium با عنوان «Remotely Crashing Spooler»، نشان داده شد که با فازینگ وابستگیمحور روی رابطهای MS‑RPRN و MS‑PAR میتوان از راه دور موجب DoS در spoolsv.exe شد.
این رفتار در فراخوانیهایی مانند:
RpcOpenPrinterEx → RpcEnumPrinterDrivers و RpcGetPrinterData
مشاهده میشود،
جایی که در localspl.dll و win32spl.dll بهدلیل ناهمخوانی در اندازهی ساختارهایی نظیر DRIVER_INFO_x و DEVMODE رخداد Access Violation باعث Crash قابلتکرار و loop در سرویس میشود.
با این حال همین مسیر از دید پژوهشی میتواند سرنخی برای مطالعهی عمیقتر در بحث control flow باشد.
چون اگر بخشی از این null deref به heap corruption قابلکنترل تبدیل شود، امکان بررسی primitive های بالقوه در DRIVER_CONTAINER یا DEVMODE پدید میآید.
در چنین حالتی، مشابه الگوی شناختهشده در PrintNightmare، تزریق UNC Path در RpcAddPrinterDriverEx و لود DLL تحت کنترل مهاجم میتواند بهصورت نظری مسیر اجرای کد در سطح SYSTEM را شکل دهد.
البته نه بهعنوان قطعیت، بلکه بهعنوان جهتگیری احتمالی برای تحقیقات بعدی پیرامون Spooler RPC و ساختار marshalling.
#RedTeam #RPC #Exploitation #Spooler
@securation
این رفتار در فراخوانیهایی مانند:
RpcOpenPrinterEx → RpcEnumPrinterDrivers و RpcGetPrinterData
مشاهده میشود،
جایی که در localspl.dll و win32spl.dll بهدلیل ناهمخوانی در اندازهی ساختارهایی نظیر DRIVER_INFO_x و DEVMODE رخداد Access Violation باعث Crash قابلتکرار و loop در سرویس میشود.
با این حال همین مسیر از دید پژوهشی میتواند سرنخی برای مطالعهی عمیقتر در بحث control flow باشد.
چون اگر بخشی از این null deref به heap corruption قابلکنترل تبدیل شود، امکان بررسی primitive های بالقوه در DRIVER_CONTAINER یا DEVMODE پدید میآید.
در چنین حالتی، مشابه الگوی شناختهشده در PrintNightmare، تزریق UNC Path در RpcAddPrinterDriverEx و لود DLL تحت کنترل مهاجم میتواند بهصورت نظری مسیر اجرای کد در سطح SYSTEM را شکل دهد.
البته نه بهعنوان قطعیت، بلکه بهعنوان جهتگیری احتمالی برای تحقیقات بعدی پیرامون Spooler RPC و ساختار marshalling.
#RedTeam #RPC #Exploitation #Spooler
@securation
Remco van der Meer
Remotely crashing the Spooler service
Showcasing a vulnerability in Windows that causes the Spooler service to crash remotely.
🔥4
از سال 2005 تا سال 2025 توی امنیت سایبری چند نکته از تجربیات خود و اطرافیان و همچنین کامیونیتی که داریم رو ، از دیدگاه خودم دوست داشتم به اشتراک بذارم ، نسل جدیدی ها بخصوص که عجله دارند خیلی زود هکر بشن باید بیشتر به این موضوع دقت کنند.
نسلی که مدام شروع کننده هست اما به ندرت موردی رو تموم میکنه و سوالشون اینه چرا هیچ چیز به نتیجه نمیرسه؟ نکته توی تمرکز ما هستش
شمشیری که بی هدف روی هوا تاب میخوره خطری نداره ولی وقتی روی یک نقطه فرود میاد میتونه یک پادشاهی رو از هم بپاشه.
عامل خیلی از شکستهایی که میخورن کمبود استعداد یا نبود شانس نیست بلکه از شاخه به شاخه پریدن هستش.
بزرگترین توهم نسل جدید اینه : میتونیم همه چیز رو با هم پیش ببریم.
وسوسه های متعدد یعنی دوری از هدف !
هرچیزی که بلدید همون باشید ، یک پله جلوتر از خودتون بیشتر تعریف نکنید که دیده بشید یا با احترام فیک خریدن بشید الگوی توییتر و اینستاگرام.
سنگ بزرگ نشونه نزدن هستش، اینکه گفته میشه ؛ امنیت سایبری یک دوره ی آموزشی نیست و ترکیبی از آموزشها و خطاها و تمرین های پرتکرار هست واقعیت داره.
عنوان های بزرگ یعنی نداشتن علمی که تجربه ی کافی در اون ندارید دیر یا زود اشکار میشید ، مثل اونی که همین 6 سال پیش وقتی توی شرکت امن پردازان کویر یزد استخدام شده بود توی رزومه نوشته بود : عضویت در گروه تلگرام وب آموز- عضویت در وبسایت آشیانه- عضویت در وبسایت IRanonymous
تهش یه سری اکسپلویت های دیگران رو از وبسایت cxsecurity برده بود بنام خودش توی وبسایت Exploit-db ثبت کرده بود.
ادم پوشالی همیشه توخالی و متوهم میمونه ، همین ادم بعد شش سال توی مصاحبه فنی OWASP رد شد توی یکی از شرکتهای امنیت(فیلم مصاحبه اش موجوده) ، ولی امثال توی ایونت باگ بانتی راورو بعنوان داور دیده شد:دی
اینکه بقیه رو به زور قانع کنید که هکر هستید و انواع عنوان های RedTeamer و دیگری Advanced Soc Team Lead بزنید توی لینکدین و دیگری شب و روز توییتر و اینستاگرام دنبال اثبات خودشه ، همشون اشتباهه و اگر اینکارو کردید یا کمبود چیزی در زندگی داشتید یا بیمار هستید.
قدیم ادم ها رو با علم تعریف و تمجید میکردن ، الان با یوتیوب و اینستاگرام گردی و پول نمایش دادن ، این یه نوع بیماری واگیردار هست ، احترام توی جوامع علمی با علم و تخصصی بدست میاد ، اگر 200 هزارنفر فالور داشتید نگاهی بندازید ببینید 20 نفرشون متخصص هستن یا همشون کاربرهای زامبی طوری هستن که بدون داشتن علم و آگاهی و تخصصی فقط به به و چه چه میکنند؟!
هیچکس جای دیگری رو نگرفته ، تخصصی حرف بزنید و فکر نکنید اگر امنیت بلدید بقیه ی انسان ها از شما پایین تر هستن ، شما هم فقط یک شغل دارید نه کمتر نه بیشتر از بقیه ، اینجا غرور همون بیماری واگیردار هستش که سراغ خیلی ها میاد، آدم باشید.
هیچ کاری هیجان دائمی نداره ، اگر سالهای اول شروع کار شما باشه جذابه، ولی بعدا ممکنه عادی یا حتی خسته کننده هم باشه ، اما شما یک شغل دارید که باهاش به امن بودن بقیه کمک میکنید پس ناامیدی مال شما نیست.
قدیم میگفتن ابزارهای اتومات پنتست زدن پیشرفته میشن و پنتستر ها کنار گذاشته میشن ، اما از اون تایم حداقل یادمه 18 سال گذشته و این تخصصی منابع انسانی بود که غلبه داشت بر ابزارهای اتومات و بعد سالها امثال ابزار Burp Suite اومد دیدن واقعا تسلط امنیت کار رو پلتفرم و معماری و برنامه نویسی و زیرساخت و درک کامل آسیب پذیری ها هستش که ادم رو توی شرایط فنی جلو میبره نه ابزار اتومات.
الان هم میگن هوش مصنوعی جای شما رو میگیره اما هوش مصنوعی برای شما یک دستیار خوب میشه اگر علم و تخصص پشتوانه شما باشه و همیشه بروز باشید .
تخصص درآمد میاره پس سختی ها رو پشت سر بذارید بعدش دنبال شغل بگردید و دست و پا شکسته حرکت نکنید چون از یک مهندس امنیت باید انتظار یک برنامه نویس حرفه ای و معمار درست حسابی هم دربیاد قبلش.
آینده همیشه برای کسایی هست که تخصصی جلو میرن و همیشه بروز هستند و فعال
بقول بزرگی : مثل تمبر پستی باشید ، بچسبید به یک تخصص و تا مقصد برسونید خودتون رو :)
بازم تکرار حرف آخرم اینه :
To disrupt a system, you must first understand it
@securation
نسلی که مدام شروع کننده هست اما به ندرت موردی رو تموم میکنه و سوالشون اینه چرا هیچ چیز به نتیجه نمیرسه؟ نکته توی تمرکز ما هستش
شمشیری که بی هدف روی هوا تاب میخوره خطری نداره ولی وقتی روی یک نقطه فرود میاد میتونه یک پادشاهی رو از هم بپاشه.
عامل خیلی از شکستهایی که میخورن کمبود استعداد یا نبود شانس نیست بلکه از شاخه به شاخه پریدن هستش.
بزرگترین توهم نسل جدید اینه : میتونیم همه چیز رو با هم پیش ببریم.
وسوسه های متعدد یعنی دوری از هدف !
هرچیزی که بلدید همون باشید ، یک پله جلوتر از خودتون بیشتر تعریف نکنید که دیده بشید یا با احترام فیک خریدن بشید الگوی توییتر و اینستاگرام.
سنگ بزرگ نشونه نزدن هستش، اینکه گفته میشه ؛ امنیت سایبری یک دوره ی آموزشی نیست و ترکیبی از آموزشها و خطاها و تمرین های پرتکرار هست واقعیت داره.
عنوان های بزرگ یعنی نداشتن علمی که تجربه ی کافی در اون ندارید دیر یا زود اشکار میشید ، مثل اونی که همین 6 سال پیش وقتی توی شرکت امن پردازان کویر یزد استخدام شده بود توی رزومه نوشته بود : عضویت در گروه تلگرام وب آموز- عضویت در وبسایت آشیانه- عضویت در وبسایت IRanonymous
تهش یه سری اکسپلویت های دیگران رو از وبسایت cxsecurity برده بود بنام خودش توی وبسایت Exploit-db ثبت کرده بود.
ادم پوشالی همیشه توخالی و متوهم میمونه ، همین ادم بعد شش سال توی مصاحبه فنی OWASP رد شد توی یکی از شرکتهای امنیت(فیلم مصاحبه اش موجوده) ، ولی امثال توی ایونت باگ بانتی راورو بعنوان داور دیده شد:دی
اینکه بقیه رو به زور قانع کنید که هکر هستید و انواع عنوان های RedTeamer و دیگری Advanced Soc Team Lead بزنید توی لینکدین و دیگری شب و روز توییتر و اینستاگرام دنبال اثبات خودشه ، همشون اشتباهه و اگر اینکارو کردید یا کمبود چیزی در زندگی داشتید یا بیمار هستید.
قدیم ادم ها رو با علم تعریف و تمجید میکردن ، الان با یوتیوب و اینستاگرام گردی و پول نمایش دادن ، این یه نوع بیماری واگیردار هست ، احترام توی جوامع علمی با علم و تخصصی بدست میاد ، اگر 200 هزارنفر فالور داشتید نگاهی بندازید ببینید 20 نفرشون متخصص هستن یا همشون کاربرهای زامبی طوری هستن که بدون داشتن علم و آگاهی و تخصصی فقط به به و چه چه میکنند؟!
هیچکس جای دیگری رو نگرفته ، تخصصی حرف بزنید و فکر نکنید اگر امنیت بلدید بقیه ی انسان ها از شما پایین تر هستن ، شما هم فقط یک شغل دارید نه کمتر نه بیشتر از بقیه ، اینجا غرور همون بیماری واگیردار هستش که سراغ خیلی ها میاد، آدم باشید.
هیچ کاری هیجان دائمی نداره ، اگر سالهای اول شروع کار شما باشه جذابه، ولی بعدا ممکنه عادی یا حتی خسته کننده هم باشه ، اما شما یک شغل دارید که باهاش به امن بودن بقیه کمک میکنید پس ناامیدی مال شما نیست.
قدیم میگفتن ابزارهای اتومات پنتست زدن پیشرفته میشن و پنتستر ها کنار گذاشته میشن ، اما از اون تایم حداقل یادمه 18 سال گذشته و این تخصصی منابع انسانی بود که غلبه داشت بر ابزارهای اتومات و بعد سالها امثال ابزار Burp Suite اومد دیدن واقعا تسلط امنیت کار رو پلتفرم و معماری و برنامه نویسی و زیرساخت و درک کامل آسیب پذیری ها هستش که ادم رو توی شرایط فنی جلو میبره نه ابزار اتومات.
الان هم میگن هوش مصنوعی جای شما رو میگیره اما هوش مصنوعی برای شما یک دستیار خوب میشه اگر علم و تخصص پشتوانه شما باشه و همیشه بروز باشید .
تخصص درآمد میاره پس سختی ها رو پشت سر بذارید بعدش دنبال شغل بگردید و دست و پا شکسته حرکت نکنید چون از یک مهندس امنیت باید انتظار یک برنامه نویس حرفه ای و معمار درست حسابی هم دربیاد قبلش.
آینده همیشه برای کسایی هست که تخصصی جلو میرن و همیشه بروز هستند و فعال
بقول بزرگی : مثل تمبر پستی باشید ، بچسبید به یک تخصص و تا مقصد برسونید خودتون رو :)
بازم تکرار حرف آخرم اینه :
To disrupt a system, you must first understand it
@securation
4🔥54👍22❤9👎7👏4😁1
Forwarded from کانال بایت امن
#Tools #EDR
اخیرا ابزاری جدید که با زبان Rust توسعه داده شده، توجه زیادی جلب کرده چون یک رفتار کمتر شناختهشده در Windows API را هدف قرار میدهد و نشان میدهد که چطور بعضی مکانیزمهای EDR ممکن است از زاویههایی دور زده شوند که کمتر به آنها پرداخته شده است.
این ابزار که با نام Indirect-Shellcode-Executor معرفی شده، به جای استفاده از توابع رایج و قابلردیابی، از قابلیتهای ReadProcessMemory بهره میگیرد. تابعی که در ظاهر تنها برای خواندن حافظه یک پردازش طراحی شده، اما پارامترهای آن از جمله خروجی lpNumberOfBytesRead میتواند در سناریوهای پژوهشی مورد توجه قرار بگیرد.
🦅 کانال بایت امن | گروه بایت امن
_
اخیرا ابزاری جدید که با زبان Rust توسعه داده شده، توجه زیادی جلب کرده چون یک رفتار کمتر شناختهشده در Windows API را هدف قرار میدهد و نشان میدهد که چطور بعضی مکانیزمهای EDR ممکن است از زاویههایی دور زده شوند که کمتر به آنها پرداخته شده است.
این ابزار که با نام Indirect-Shellcode-Executor معرفی شده، به جای استفاده از توابع رایج و قابلردیابی، از قابلیتهای ReadProcessMemory بهره میگیرد. تابعی که در ظاهر تنها برای خواندن حافظه یک پردازش طراحی شده، اما پارامترهای آن از جمله خروجی lpNumberOfBytesRead میتواند در سناریوهای پژوهشی مورد توجه قرار بگیرد.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍2❤1👎1
⭕️ گوگل مرکز تهدیدات نوظهور را در «عملیات امنیتی گوگل»، که توسط Gemini AI توسعه یافته است را معرفی میکند.
این مرکز، مهندسی تشخیص (Detection Engineering) را با جذب اطلاعات تهدید، تولید رویدادهای مصنوعی، آزمایش پوششدهی و ایجاد قوانین تشخیص، خودکار میسازد تا به تیمهای امنیتی کمک کند تا به سرعت میزان در معرض خطر بودن و وضعیت دفاعی خود را در برابر تهدیدات نوین امنیت سایبری ارزیابی کنند.
https://cloud.google.com/blog/products/identity-security/introducing-the-emerging-threats-center-in-google-security-operations/
#SecOps #GCP
@securation
این مرکز، مهندسی تشخیص (Detection Engineering) را با جذب اطلاعات تهدید، تولید رویدادهای مصنوعی، آزمایش پوششدهی و ایجاد قوانین تشخیص، خودکار میسازد تا به تیمهای امنیتی کمک کند تا به سرعت میزان در معرض خطر بودن و وضعیت دفاعی خود را در برابر تهدیدات نوین امنیت سایبری ارزیابی کنند.
https://cloud.google.com/blog/products/identity-security/introducing-the-emerging-threats-center-in-google-security-operations/
#SecOps #GCP
@securation
❤8👍8
⭕️ ریکان اندروید برای باگ بانتی!
اگر به دنبال شکار باگ توی اپهای اندرویدی هستید، اولین قدم شناسایی دقیق اپ و کشف نقاط ضعفشه. توی این مسیر باید بلد باشید چطور:
⦁ کدها و منابع رو دیکامپایل کنی (APKTool و jadx-gui کمکت میکنند)
⦁ آدرسهای مخفی و endpointها رو پیدا کنی (apk2url)
⦁ کلیدها و secrets های هاردکد شده رو کشف کنی
⦁ از ابزارهای اتومیت مثل MobSF برای آنالیز امنیتی استفاده کنی
⦁ با Drozer تست runtime انجام بدی و باگهای permission و... رو بگیری
این تکنیکها و جزییاتش رو میتونید در بلاگ پست زیر مطالعه کنید
📎 Blog: Link
@Securation
#Android #Recon #RE
اگر به دنبال شکار باگ توی اپهای اندرویدی هستید، اولین قدم شناسایی دقیق اپ و کشف نقاط ضعفشه. توی این مسیر باید بلد باشید چطور:
⦁ کدها و منابع رو دیکامپایل کنی (APKTool و jadx-gui کمکت میکنند)
⦁ آدرسهای مخفی و endpointها رو پیدا کنی (apk2url)
⦁ کلیدها و secrets های هاردکد شده رو کشف کنی
⦁ از ابزارهای اتومیت مثل MobSF برای آنالیز امنیتی استفاده کنی
⦁ با Drozer تست runtime انجام بدی و باگهای permission و... رو بگیری
این تکنیکها و جزییاتش رو میتونید در بلاگ پست زیر مطالعه کنید
📎 Blog: Link
@Securation
#Android #Recon #RE
❤12👍5👎1
Forwarded from کانال بایت امن
#Video #MalwareAnalysis
❕ Defeating ConfuserEx Anti-Analysis with Hooking
وقتی درباره پکرها یا پروتکتورها صحبت میکنیم، یک بخش ماجرا استفاده مشروع برای امنکردن نرمافزارهاست و بخش دیگر استفاده آنها توسط بدافزارها برای مخفیسازی و جلوگیری از تحلیل است.
یکی از پروتکتورهای رایج در بدافزارهای مبتنی بر .NET، ابزار ConfuserEx است. بهخاطر متنباز بودن آن، نسخههای مختلفی از روی آن fork شده که هرکدام رفتار و تکنیکهای متفاوتی دارند و همین باعث میشود روشهای ثابت یا خودکار برای آنپک کردن همیشه کارآمد نباشد.
در این ویدیو، Karsten Hahn بهخوبی نشان میدهد که چطور میتوان با استفاده از نوشتن هوک، رفتار بدافزار را تحلیل کرد، مکانیزمهای ضدتحلیل را دور زد و در نهایت یک Deobfuscator اختصاصی توسعه داد و اینکار رو با تغییر در Deobfuscator رسمی ConfuserEx انجام میده.
جهت دریافت نمونه بد افزار به این لینک برید و برای بررسی Deobfuscator به این لینک.
🦅 کانال بایت امن | گروه بایت امن
_
وقتی درباره پکرها یا پروتکتورها صحبت میکنیم، یک بخش ماجرا استفاده مشروع برای امنکردن نرمافزارهاست و بخش دیگر استفاده آنها توسط بدافزارها برای مخفیسازی و جلوگیری از تحلیل است.
یکی از پروتکتورهای رایج در بدافزارهای مبتنی بر .NET، ابزار ConfuserEx است. بهخاطر متنباز بودن آن، نسخههای مختلفی از روی آن fork شده که هرکدام رفتار و تکنیکهای متفاوتی دارند و همین باعث میشود روشهای ثابت یا خودکار برای آنپک کردن همیشه کارآمد نباشد.
در این ویدیو، Karsten Hahn بهخوبی نشان میدهد که چطور میتوان با استفاده از نوشتن هوک، رفتار بدافزار را تحلیل کرد، مکانیزمهای ضدتحلیل را دور زد و در نهایت یک Deobfuscator اختصاصی توسعه داد و اینکار رو با تغییر در Deobfuscator رسمی ConfuserEx انجام میده.
جهت دریافت نمونه بد افزار به این لینک برید و برای بررسی Deobfuscator به این لینک.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍1👎1
⭕️ آسیبپذیری اجرای کد از راهدور برای Components های React و Next.js اومده با شناسه CVE-2025-55182 که شدت آسیب پذیری امتیاز ۱۰ از ۱۰ گرفته
این آسیبپذیری بحرانی RCE هست که بدون نیاز به احراز هویت در بسته ی react-server که در React Server Components (RSC) استفاده میشه.
ورژن هایی که تحت تاثیر این آسیب پذیری قرار میگیرند 19.0.0 تا 19.2.0 هستند.
Blog:
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
POC :
https://github.com/ejpir/CVE-2025-55182-poc
@securation
این آسیبپذیری بحرانی RCE هست که بدون نیاز به احراز هویت در بسته ی react-server که در React Server Components (RSC) استفاده میشه.
ورژن هایی که تحت تاثیر این آسیب پذیری قرار میگیرند 19.0.0 تا 19.2.0 هستند.
Blog:
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
POC :
https://github.com/ejpir/CVE-2025-55182-poc
@securation
👍11❤3👎1
⭕️ آسیبپذیری پذیری ارتقاء دسترسی در فدورا از طریق ABRT
آسیبپذیری با شناسه CVE-2025-12744 کشف شده است که این آسیبپذیری از طریق ابزار ABRT (Automatic Bug Reporting Tool)قابل بهره برداری است.
این ABRT یک Root Process است که با بالاترین سطح دسترسی ( root) اجرا میشود. اینجا یک سرور HTTP را بر روی یک UNIX socket اجرا میکند که توسط تمامی کاربران سیستم World-Writableاست. این ویژگی به هر فرایندی اجازه میدهد تا گزارشهای خطا را به آن ارسال کند.
بخش بحرانی ماجرا اینجاست که ABRT تقریبا ۱۲ کاراکتر از متن کنترلشده توسط کاربر را، مستقیماً و با Minimal Validation، به یک دستور شل منتقل میکند.
با استفاده از Multi-stage Payloadکه بهطور خاص طراحی شده است، مهاجم میتواند ABRT را مجبور به اجرای Arbitrary Shell Commands کند. این بهره برداری شامل Escaping the Systemd Sandbox سیستمعامل است که توسط systemd برای ABRT تعریف شده، و در نهایت منجر به root access میشود.
https://initblog.com/2025/abrt-root/
https://github.com/initstring/abrt_root
@securation
آسیبپذیری با شناسه CVE-2025-12744 کشف شده است که این آسیبپذیری از طریق ابزار ABRT (Automatic Bug Reporting Tool)قابل بهره برداری است.
این ABRT یک Root Process است که با بالاترین سطح دسترسی ( root) اجرا میشود. اینجا یک سرور HTTP را بر روی یک UNIX socket اجرا میکند که توسط تمامی کاربران سیستم World-Writableاست. این ویژگی به هر فرایندی اجازه میدهد تا گزارشهای خطا را به آن ارسال کند.
بخش بحرانی ماجرا اینجاست که ABRT تقریبا ۱۲ کاراکتر از متن کنترلشده توسط کاربر را، مستقیماً و با Minimal Validation، به یک دستور شل منتقل میکند.
با استفاده از Multi-stage Payloadکه بهطور خاص طراحی شده است، مهاجم میتواند ABRT را مجبور به اجرای Arbitrary Shell Commands کند. این بهره برداری شامل Escaping the Systemd Sandbox سیستمعامل است که توسط systemd برای ABRT تعریف شده، و در نهایت منجر به root access میشود.
https://initblog.com/2025/abrt-root/
https://github.com/initstring/abrt_root
@securation
🔥6❤3👎1
هوش بدون دیسیپلین تنها به این معنیه که میتونی با کیفیت فول اچدی ببینی که چطوری داری شکست میخوری، در حالی که هیچ کاری هم براش نمیکنی.
@securation
👍74👏4😁4🔥3👎2❤1🥰1
⭕️ بررسی یک کمپین فیشینگ Adversary-in-the-Middle (AiTM) علیه کاربران Microsoft 365 و Okta
تیم Datadog Security Labs یک کمپین فعال فیشینگ از نوع Adversary-in-the-Middle (AiTM) را شناسایی کرده است که بهصورت هدفمند کاربران Microsoft 365 و Okta را مورد حمله قرار میدهد.
در این حمله، مهاجم بهجای ارسال صفحات جعلی ساده، بهعنوان یک واسط مخرب (Man-in-the-Middle) بین قربانی و سرویس اصلی احراز هویت قرار میگیرد و فرآیند لاگین واقعی را پروکسی میکند.
لینک مقاله:
https://securitylabs.datadoghq.com/articles/investigating-an-aitm-phishing-campaign-m365-okta
@securation
تیم Datadog Security Labs یک کمپین فعال فیشینگ از نوع Adversary-in-the-Middle (AiTM) را شناسایی کرده است که بهصورت هدفمند کاربران Microsoft 365 و Okta را مورد حمله قرار میدهد.
در این حمله، مهاجم بهجای ارسال صفحات جعلی ساده، بهعنوان یک واسط مخرب (Man-in-the-Middle) بین قربانی و سرویس اصلی احراز هویت قرار میگیرد و فرآیند لاگین واقعی را پروکسی میکند.
لینک مقاله:
https://securitylabs.datadoghq.com/articles/investigating-an-aitm-phishing-campaign-m365-okta
@securation
❤4👍4👎2
⭕️ اخیرا یک آسیبپذیری مهم در معماری SOAP مبتنی بر .NET Framework گزارش شده که نشان میدهد ClientProxy هنگام پردازش WSDL، هیچگونه Validation امنیتی روی ساختار و مقادیر XML انجام نمیدهد. بهدلیل این Blind Trust، مهاجم میتواند با ارائهی یک WSDL دستکاریشده، مقدار soap:address را به یک Endpoint دلخواه تغییر دهد و باعث SSRF، دور زدن کنترلهای شبکه، یا هدایت ترافیک به سرویسهای داخلی شود.
.NET همچنین بر اساس همین WSDL، کد پروکسی را بازتولید میکند و اگر Operationها یا Schema دستکاری شده باشند، کل ساختار ارتباطی کلاینت بدون اطلاع برنامهنویس تغییر میکند.
از نظر فنی، این ضعف بهخاطر نحوه پردازش ServiceDenoscriptionImporter و WsdlImporter در .NET Framework است که بدون هیچ محدودیتی WSDL را Parse کرده و مستقیماً به ChannelFactory/ClientBase تزریق میکنند.
علاوه بر SSRF و Request Redirection، وجود XSD های بیشازحد پیچیده یا Deep-Nested نیز میتواند منجر به Resource Exhaustion سمت کلاینت شود.
چون این مکانیزم در تمام نسخههای .NET Framework (۲.۰ تا ۴.۸) مشترک است، بهترین راهکار فعلی شامل استفاده از WSDL استاتیک، حذف دریافت داینامیک، محدودسازی آدرسها، و اجباریکردن HTTPS + Certificate Pinning است. این ضعف برای شبکههایی که هنوز از SOAP استفاده میکنند یک ریسک بسیار جدی محسوب میشود.
#RedTeam #Soap #WebExploitation
@securation
.NET همچنین بر اساس همین WSDL، کد پروکسی را بازتولید میکند و اگر Operationها یا Schema دستکاری شده باشند، کل ساختار ارتباطی کلاینت بدون اطلاع برنامهنویس تغییر میکند.
از نظر فنی، این ضعف بهخاطر نحوه پردازش ServiceDenoscriptionImporter و WsdlImporter در .NET Framework است که بدون هیچ محدودیتی WSDL را Parse کرده و مستقیماً به ChannelFactory/ClientBase تزریق میکنند.
علاوه بر SSRF و Request Redirection، وجود XSD های بیشازحد پیچیده یا Deep-Nested نیز میتواند منجر به Resource Exhaustion سمت کلاینت شود.
چون این مکانیزم در تمام نسخههای .NET Framework (۲.۰ تا ۴.۸) مشترک است، بهترین راهکار فعلی شامل استفاده از WSDL استاتیک، حذف دریافت داینامیک، محدودسازی آدرسها، و اجباریکردن HTTPS + Certificate Pinning است. این ضعف برای شبکههایی که هنوز از SOAP استفاده میکنند یک ریسک بسیار جدی محسوب میشود.
#RedTeam #Soap #WebExploitation
@securation
watchTowr Labs
SOAPwn: Pwning .NET Framework Applications Through HTTP Client Proxies And WSDL
Welcome back! As we near the end of 2025, we are, of course, waiting for the next round of SSLVPN exploitation to occur in January (as it did in 2024 and 2025).
Weeeeeeeee. Before then, we want to clear the decks and see how much research we can publish.…
Weeeeeeeee. Before then, we want to clear the decks and see how much research we can publish.…
👍7🔥3👎2❤1🥰1
⭕️ خیلی وقت ها دیدم که دوستان برای انجام تست هاشون دنبال سخت افزاری میگردن که به اصطلاح برای اون تست ساخته شده، مثلا دنبال RTL-SDR یا Proxmark میگردن و یا دنبال اسباب بازی هایی مثل FlipperZero و امثالهم هستن. از نظری درسته اینکار ولی گاهی پیش میاد که سخت افزار مورد نظر پیدا نمیشه یا هزینه بیشتری داره، میشه در این شرایط از راه های جایگزین استفاده کرد.
مثلا برای RTL-SDR میشه از دانگل های USB گیرنده DVB-T استفاده کرد که روشون از چیپ دمولاتور RTL2832 استفاده شده باشه. همینطور میشه برای تقویتشون بدنه پلاستیکی رو جدا کرد و بدنه فلزی متصل به زمین برد رو جایگزینش کرد تا در برابر نویز محیط مقاوم بشه یا مثلا کانکتور SMA بهش متصل کرد تا بشه از کابل های Coaxial (مثلا با امپدانس ۵۰ اهم برای گیرنده) برای اتصال آنتن استفاده کرد.
برای فرستنده هم میشه از یه برد Raspberry Pi مثل RPi Zero استفاده کرد که به لطف لایبرری RPiTx و ساختار پردازنده Broadcom این امکان وجود داره که فرکانس پردازنده رو با DMA روی GPIO قرار داد (حداکثر تا فرکانس Clock پردازنده) و مدولاسیون موردنظر رو به صورت نرم افزاری روش اعمال کرد و سیگنال خروجی رو در نهایت به یه BPF و PA فرستاد تا تقویت بشه.
برای بخش High Frequency در Proxmark میشه از ماژول های ارزون تر و ساده تری مثل PN532 استفاده کرد که با یه تبدیل Usb به TTL ساده میشه با استفاده از libnfc انواع حملات آفلاین HF RFID مثل Nested, DarkSide, MFKey32/64 و... رو باهاش انجام داد. (برای حملات آنلاین میشه از چیپ های دیگه ای استفاده کرد مثلا چیپ های Texas Instruments)
برای بخش Low Frequency هم میشه از ماژول های ریدر/رایتر 125KHz استفاده کرد مثل RDM6300 که با تغییرات ریز و چند خط کد میشه تبدیلش کرد به امولاتور تگ های LF، حتی این امکان وجود داره که با مطالعه استاندارد ISO 18000-2 با یک میکروکنترلر و یک چیپ Op Amp، ریدر/رایتر/امولاتور خودتون رو برای این باند بسازید.
برای فلیپر زیرو هم که دو بخش RFID ش رو مثل روشی که بالا گفتم میشه پیاده کرد برای بخش RF هم میشه از ماژول های Sub-GHz مثل cc1101 (از همین چیپ داخل خود فلیپر زیرو استفاده شده)، انواع ماژول های RFM و... استفاده کرد که مدولاسیون های مختلف مثل ASK, FSK, GFSK, MSK و... رو پشتیبانی میکنن که به راحتی به واسطه کتابخونه های غنی که براشون وجود داره با چند خط کد میشه انواع حملات رو برای سناریو های مختلف با هزینه خیلی کمتر پیاده سازی کنید.
برای 2.4GHz هم میشه از انواع ماژول ESP32 و NRF24 استفاده کرد که هم ارزون و معروف هستن و هم کار باهاشون بسیار راحته.
و همین روند برای هر دیوایس دیگه ای احتمالا امکان پذیر باشه یا حتی ممکنه باعث بشه دیوایس خودتون رو بسازید که بهتر از اون دیوایس مورد نظر باشه.
#rtl_sdr #rfid #rf #flipperzero #proxmark
@securation
مثلا برای RTL-SDR میشه از دانگل های USB گیرنده DVB-T استفاده کرد که روشون از چیپ دمولاتور RTL2832 استفاده شده باشه. همینطور میشه برای تقویتشون بدنه پلاستیکی رو جدا کرد و بدنه فلزی متصل به زمین برد رو جایگزینش کرد تا در برابر نویز محیط مقاوم بشه یا مثلا کانکتور SMA بهش متصل کرد تا بشه از کابل های Coaxial (مثلا با امپدانس ۵۰ اهم برای گیرنده) برای اتصال آنتن استفاده کرد.
برای فرستنده هم میشه از یه برد Raspberry Pi مثل RPi Zero استفاده کرد که به لطف لایبرری RPiTx و ساختار پردازنده Broadcom این امکان وجود داره که فرکانس پردازنده رو با DMA روی GPIO قرار داد (حداکثر تا فرکانس Clock پردازنده) و مدولاسیون موردنظر رو به صورت نرم افزاری روش اعمال کرد و سیگنال خروجی رو در نهایت به یه BPF و PA فرستاد تا تقویت بشه.
برای بخش High Frequency در Proxmark میشه از ماژول های ارزون تر و ساده تری مثل PN532 استفاده کرد که با یه تبدیل Usb به TTL ساده میشه با استفاده از libnfc انواع حملات آفلاین HF RFID مثل Nested, DarkSide, MFKey32/64 و... رو باهاش انجام داد. (برای حملات آنلاین میشه از چیپ های دیگه ای استفاده کرد مثلا چیپ های Texas Instruments)
برای بخش Low Frequency هم میشه از ماژول های ریدر/رایتر 125KHz استفاده کرد مثل RDM6300 که با تغییرات ریز و چند خط کد میشه تبدیلش کرد به امولاتور تگ های LF، حتی این امکان وجود داره که با مطالعه استاندارد ISO 18000-2 با یک میکروکنترلر و یک چیپ Op Amp، ریدر/رایتر/امولاتور خودتون رو برای این باند بسازید.
برای فلیپر زیرو هم که دو بخش RFID ش رو مثل روشی که بالا گفتم میشه پیاده کرد برای بخش RF هم میشه از ماژول های Sub-GHz مثل cc1101 (از همین چیپ داخل خود فلیپر زیرو استفاده شده)، انواع ماژول های RFM و... استفاده کرد که مدولاسیون های مختلف مثل ASK, FSK, GFSK, MSK و... رو پشتیبانی میکنن که به راحتی به واسطه کتابخونه های غنی که براشون وجود داره با چند خط کد میشه انواع حملات رو برای سناریو های مختلف با هزینه خیلی کمتر پیاده سازی کنید.
برای 2.4GHz هم میشه از انواع ماژول ESP32 و NRF24 استفاده کرد که هم ارزون و معروف هستن و هم کار باهاشون بسیار راحته.
و همین روند برای هر دیوایس دیگه ای احتمالا امکان پذیر باشه یا حتی ممکنه باعث بشه دیوایس خودتون رو بسازید که بهتر از اون دیوایس مورد نظر باشه.
#rtl_sdr #rfid #rf #flipperzero #proxmark
@securation
2🔥14❤8👍2👎2
⭕️ سوءاستفاده از Eventual Consistency در AWS IAM برای Persistence
ویژگی Eventual Consistency در سرویس AWS IAM، یک بازه زمانی تقریبی ۴ ثانیهای ایجاد میکند که طی آن، Access Keyهای حذفشده هنوز ممکن است معتبر و قابل استفاده باقی بمانند.
در این پست میخونید که هکرها چگونه از این ویژگی برای حفظ دسترسی و ماندگاری در محیط استفاده میکنند و راههای Mitigation آن چیست.
https://www.offensai.com/blog/aws-iam-eventual-consistency-persistence
#AWS #IAM
@securation
ویژگی Eventual Consistency در سرویس AWS IAM، یک بازه زمانی تقریبی ۴ ثانیهای ایجاد میکند که طی آن، Access Keyهای حذفشده هنوز ممکن است معتبر و قابل استفاده باقی بمانند.
در این پست میخونید که هکرها چگونه از این ویژگی برای حفظ دسترسی و ماندگاری در محیط استفاده میکنند و راههای Mitigation آن چیست.
https://www.offensai.com/blog/aws-iam-eventual-consistency-persistence
#AWS #IAM
@securation
👍8❤3👎2
This media is not supported in your browser
VIEW IN TELEGRAM
⭕️ شبکه 12 اسرائیل:
📍هکرهای ایرانی مدعی هستند که موفق شدهاند تلفن همراه نخستوزیر سابق، نفتالی بنت را هک کنند و توانستهاند مکاتبات، تصاویر و لیست مخاطبین او را از آن استخراج کنند/در نهادهای امنیتی این نگرانی وجود دارد که شمارههای تلفن همراه ارشدترین افراد کشور لو رفته باشد؛ همانطور که میدانید نفتالی بنت نخستوزیر و وزیر دفاع بوده و اکنون این شمارهها در حال پخش شدن هستند/یک نگرانی دیگر این است که فایلهایی که در حال انتشار هستند – و الان حتی در واتساپ مثل آتش در خرمن در حال پخش شدن هستند – این فایلها هم آلوده شده باشند؛ یعنی هکرهایی که این ماجرا را کلید زدهاند، در این فایلها هم بدافزار جاسازی کردهاند، این ماجرا یک دردسر عظیم است...
@securation
📍هکرهای ایرانی مدعی هستند که موفق شدهاند تلفن همراه نخستوزیر سابق، نفتالی بنت را هک کنند و توانستهاند مکاتبات، تصاویر و لیست مخاطبین او را از آن استخراج کنند/در نهادهای امنیتی این نگرانی وجود دارد که شمارههای تلفن همراه ارشدترین افراد کشور لو رفته باشد؛ همانطور که میدانید نفتالی بنت نخستوزیر و وزیر دفاع بوده و اکنون این شمارهها در حال پخش شدن هستند/یک نگرانی دیگر این است که فایلهایی که در حال انتشار هستند – و الان حتی در واتساپ مثل آتش در خرمن در حال پخش شدن هستند – این فایلها هم آلوده شده باشند؛ یعنی هکرهایی که این ماجرا را کلید زدهاند، در این فایلها هم بدافزار جاسازی کردهاند، این ماجرا یک دردسر عظیم است...
@securation
🔥40👎21👍9
⭕️ حمله فیشینگ برای دستیابی به اعتبارنامههای AWS از طریق جریان فرمان جدید aws login
خط فرمان جدید aws login در AWS که برای ارائه اعتبارنامههای موقت جهت توسعه محلی طراحی شده است، میتواند توسط مهاجمان برای انجام حمله فیشینگ مورد سوءاستفاده قرار گیرد.
این روش حتی میتواند مکانیزمهای MFA امن شده در برابر فیشینگ را نیز دور بزند.
https://medium.com/@adan.alvarez/phishing-for-aws-credentials-via-the-new-aws-login-flow-39f6969b4eae
#AWS #CLI
@securation
خط فرمان جدید aws login در AWS که برای ارائه اعتبارنامههای موقت جهت توسعه محلی طراحی شده است، میتواند توسط مهاجمان برای انجام حمله فیشینگ مورد سوءاستفاده قرار گیرد.
این روش حتی میتواند مکانیزمهای MFA امن شده در برابر فیشینگ را نیز دور بزند.
https://medium.com/@adan.alvarez/phishing-for-aws-credentials-via-the-new-aws-login-flow-39f6969b4eae
#AWS #CLI
@securation
👍9👎4❤3
⭕️سرویس Docker Hardened Images (DHI) ، شامل Base Imageهای ایمنسازیشده (Hardened) و مینیمال است که با هدف کاهش آسیبپذیریها (CVEs) توسعه یافتهاند.
محصولات DHI با ارائه SBOM (لیست مواد نرمافزاری) شفاف و قابل تأیید و همچنین Provenance در سطح SLSA Level 3، امنیت Software Supply Chain را تضمین میکنند.
مهاجرت به این Image ها بسیار ساده (Drop-in) است و نیاز به تغییر Workflow شما ندارد.
اگر در کوبرنتیز ، CI CD یا پروداکت های خودتون با Docker کار میکنید بنظرم وقتشه نگاهی به Hardened Images بندازید.
با کمک این سرویس دیگه تیم DevSecOps تحول بسیار جدیدی در سازمان شما ایجاد میکند.
https://www.docker.com/products/hardened-images/
#Docker #DevSecOps #CVE
@securation
محصولات DHI با ارائه SBOM (لیست مواد نرمافزاری) شفاف و قابل تأیید و همچنین Provenance در سطح SLSA Level 3، امنیت Software Supply Chain را تضمین میکنند.
مهاجرت به این Image ها بسیار ساده (Drop-in) است و نیاز به تغییر Workflow شما ندارد.
اگر در کوبرنتیز ، CI CD یا پروداکت های خودتون با Docker کار میکنید بنظرم وقتشه نگاهی به Hardened Images بندازید.
با کمک این سرویس دیگه تیم DevSecOps تحول بسیار جدیدی در سازمان شما ایجاد میکند.
https://www.docker.com/products/hardened-images/
#Docker #DevSecOps #CVE
@securation
👍9❤2👎2