#Python #RE #Reverse_Engineering #Malware_Analysis
ابزارها و کد های مخرب زیادی امروزه توسط Python نوشته میشوند و با گذشت هر 24 ساعت، به تعداد این ابزارها و کدهای مخرب افزوده میشود. از جمله بدافزار های توسعه یافته میتوان به SEADUKE، PWOBOT، PYLOCKY و POETRAT اشاره نمود.
روشهای زیادی برای مهندسی معکوس فایلهای پایتونی و تشخیص آنها وجود داره.
از ابزارهایی که فرآیند Decompile را انجام میدهند میتوان به UNCOMPYLE6 و PYINSTXTRACTOR.PY و PYTHON-EXE-UNPACKER اشاره نمود. همچنین برای تشخیص پایتونی بودن یک فایل Executable میتوانید از دو Yara Rule زیر استفاده نمایید.
تشخیص Pyinstaller:
https://isc.sans.edu/forums/diary/Python+Malware+Part+1/21057
تشخیص py2exe:
https://github.com/NVISO-BE/YARA/blob/master/py2exe.yara
همچنین شما میتوانید با بررسی فایل Executable در یک Hex Editor به پایتونی بودن آن پی ببرید. کافیست بررسی نمایید که آیا مقدار
@securation
ابزارها و کد های مخرب زیادی امروزه توسط Python نوشته میشوند و با گذشت هر 24 ساعت، به تعداد این ابزارها و کدهای مخرب افزوده میشود. از جمله بدافزار های توسعه یافته میتوان به SEADUKE، PWOBOT، PYLOCKY و POETRAT اشاره نمود.
روشهای زیادی برای مهندسی معکوس فایلهای پایتونی و تشخیص آنها وجود داره.
از ابزارهایی که فرآیند Decompile را انجام میدهند میتوان به UNCOMPYLE6 و PYINSTXTRACTOR.PY و PYTHON-EXE-UNPACKER اشاره نمود. همچنین برای تشخیص پایتونی بودن یک فایل Executable میتوانید از دو Yara Rule زیر استفاده نمایید.
تشخیص Pyinstaller:
https://isc.sans.edu/forums/diary/Python+Malware+Part+1/21057
تشخیص py2exe:
https://github.com/NVISO-BE/YARA/blob/master/py2exe.yara
همچنین شما میتوانید با بررسی فایل Executable در یک Hex Editor به پایتونی بودن آن پی ببرید. کافیست بررسی نمایید که آیا مقدار
pyi-windows-manifest-filename در انتهای (تقریبا) فایل وجود دارد یا خیر، که در تصویر میتوانید یک مثال آنرا مشاهده نمایید.@securation
This media is not supported in your browser
VIEW IN TELEGRAM
🔹مرکز امنیت سایبری آمریکا هر از چند گاهی درباره شکار شدن توسط جاسوسان خارجی هشدار میدهد
🔹بسیاری از افراد تحصیلکرده و جوان با پیچیدگی کار سازمانهای اطلاعاتی آشنایی ندارند، و به راحتی شکار میشوند. دعوت به شرکت در یک کنفرانس بینالمللی، همراه با پرداخت هزینه بلیت و هتل را ، بعید است کسی رد کند.
🔹اما همین موقعیت کافی است تا بلایی سر آدم بیاورند که تا آخر عمرش نتواند از منویات آن سازمان اطلاعاتی سرپیچی کند.
🔹ای کاش در ایران هم کسی در این باره به جوانترها آموزش کافی بدهد.
https://twitter.com/NCSCgov/status/1352744719437213696
#جاسوسی #امنیت_اطلاعات
@securation
🔹بسیاری از افراد تحصیلکرده و جوان با پیچیدگی کار سازمانهای اطلاعاتی آشنایی ندارند، و به راحتی شکار میشوند. دعوت به شرکت در یک کنفرانس بینالمللی، همراه با پرداخت هزینه بلیت و هتل را ، بعید است کسی رد کند.
🔹اما همین موقعیت کافی است تا بلایی سر آدم بیاورند که تا آخر عمرش نتواند از منویات آن سازمان اطلاعاتی سرپیچی کند.
🔹ای کاش در ایران هم کسی در این باره به جوانترها آموزش کافی بدهد.
https://twitter.com/NCSCgov/status/1352744719437213696
#جاسوسی #امنیت_اطلاعات
@securation
Forwarded from Security Analysis
analyzing-malicious-document-files.pdf
204.2 KB
#malicious #document #malware #analysis #malware_analysis
یه برگه تقلب (#cheatsheet) خیلی خوب از موسسه SANS در خصوص تحلیل فایلهای Document.
@securation
یه برگه تقلب (#cheatsheet) خیلی خوب از موسسه SANS در خصوص تحلیل فایلهای Document.
@securation
کمپین جدیدی که محققین امنیت سایبری رو تارگت خودش قرار داده،: خلاصه که دوستان همگی مواظب باشید چون این شخص Zhang Guo به خود بنده هم پیام داده توی توییتر ولی چیزی نصیبش نشد :)))
لیست اکانت های توییتری رو قرار داده توی پُست زیر و حتما مواظب باشید.
https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers
#امنیت_اطلاعات #فیشینگ #مهندسی_اجتماعی
@securation
لیست اکانت های توییتری رو قرار داده توی پُست زیر و حتما مواظب باشید.
https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers
#امنیت_اطلاعات #فیشینگ #مهندسی_اجتماعی
@securation
Security Analysis
کمپین جدیدی که محققین امنیت سایبری رو تارگت خودش قرار داده،: خلاصه که دوستان همگی مواظب باشید چون این شخص Zhang Guo به خود بنده هم پیام داده توی توییتر ولی چیزی نصیبش نشد :))) لیست اکانت های توییتری رو قرار داده توی پُست زیر و حتما مواظب باشید. https://…
گوگل گفته که هکرهای کره شمالی بودند که توی شبکه های اجتماعی محققین امنیت سایبری رو تارگت قرار دادند با اهداف مشخص .
https://www.zdnet.com/article/google-north-korean-hackers-have-targeted-security-researchers-via-social-media | #NorthKorea #socialmedia #phishing #hack @securation
https://www.zdnet.com/article/google-north-korean-hackers-have-targeted-security-researchers-via-social-media | #NorthKorea #socialmedia #phishing #hack @securation
ZDNET
Google: North Korean hackers have targeted security researchers via social media
Google TAG warns security researchers to be on the lookout when approached by unknown individuals on social media.
https://afinepl.medium.com/testing-and-exploiting-java-deserialization-in-2021-e762f3e43ca2
@securation
@securation
Medium
Testing and exploiting Java Deserialization in 2021
Since 2015 when java deserialization was a major threat, lots of patches and improvements has been introduced. How to approach testing for…
💢هکرهای ایرانی از ScreenConnect برای جاسوسی در سازمان های امارات متحده عربی و کویت استفاده میکنند!
به نقل از خبرگزاری Thehackernews آژانس های دولتی امارات و کویت هدف حملات هکرهای ایرانی قرار گرفتند.
این حملات به دو تیم معروف static kitten یا muddywater نسبت داده شده اند. در این عملیات از یک ابزار به نام screenconnect استفاده شده و در آن از یک url شبیه آدرس سایت وزارت خارجه کویت و کنسول ملی امارات بهره برده اند.
اخیرا حملاتی از سوی این گروه با استفاده از آسیب پذیری zerologon به شرکتهای غرب آسیا و اسراییل صورت گرفته است که کارشناسان معتقدند این حملات از سوی هکرهای مرتبط با سپاه، وزارت اطلاعات و سرویس های نظامی پشتیبانی میشوند.
هدف نهایی هکرها از بکارگیری screenconnect اتصال به شبکه های داخلی و انجام حرکات جانبی و اجرای دستور در محیط های هدف و در نهایت سرقت اطلاعات باشد.
استفاده از برنامه های مفید برای مقاصد این چنینی برای مخفی کردن عملیات راه موثری است.
https://thehackernews.com/2021/02/iranian-hackers-utilize-screenconnect.html
#uae #iran #kitten
#zerologon
@securation
به نقل از خبرگزاری Thehackernews آژانس های دولتی امارات و کویت هدف حملات هکرهای ایرانی قرار گرفتند.
این حملات به دو تیم معروف static kitten یا muddywater نسبت داده شده اند. در این عملیات از یک ابزار به نام screenconnect استفاده شده و در آن از یک url شبیه آدرس سایت وزارت خارجه کویت و کنسول ملی امارات بهره برده اند.
اخیرا حملاتی از سوی این گروه با استفاده از آسیب پذیری zerologon به شرکتهای غرب آسیا و اسراییل صورت گرفته است که کارشناسان معتقدند این حملات از سوی هکرهای مرتبط با سپاه، وزارت اطلاعات و سرویس های نظامی پشتیبانی میشوند.
هدف نهایی هکرها از بکارگیری screenconnect اتصال به شبکه های داخلی و انجام حرکات جانبی و اجرای دستور در محیط های هدف و در نهایت سرقت اطلاعات باشد.
استفاده از برنامه های مفید برای مقاصد این چنینی برای مخفی کردن عملیات راه موثری است.
https://thehackernews.com/2021/02/iranian-hackers-utilize-screenconnect.html
#uae #iran #kitten
#zerologon
@securation
👍1
Exploiting CVE-2021-25770: A Server-Side Template Injection in Youtrack
https://www.synacktiv.com/publications/exploiting-cve-2021-25770-a-server-side-template-injection-in-youtrack.html
#news #SSRF #Web
@securation
https://www.synacktiv.com/publications/exploiting-cve-2021-25770-a-server-side-template-injection-in-youtrack.html
#news #SSRF #Web
@securation
#Android #PenetrationTesting #Heap #ReverseEngineering
تو این Write-up بسیار جذاب با هم میخونیم که چطور با تحلیل حافظه Heap تو اندروید میشه به Secret Key دست پیدا کرد.
https://infosecwriteups.com/hack-crypto-secrets-from-heap-memory-to-exploit-android-application-728097fcda3
@securation
تو این Write-up بسیار جذاب با هم میخونیم که چطور با تحلیل حافظه Heap تو اندروید میشه به Secret Key دست پیدا کرد.
https://infosecwriteups.com/hack-crypto-secrets-from-heap-memory-to-exploit-android-application-728097fcda3
@securation
Medium
Hack crypto secrets from heap memory to exploit Android application
Due to the short time of development, The developers only focus on the building feature, functionalities and UI components. But they may…
Active Directory Exploitation Cheat Sheet.
https://github.com/S1ckB0y1337/Active-Directory-Exploitation-Cheat-Sheet
#Cheatsheet #AD
@securation
https://github.com/S1ckB0y1337/Active-Directory-Exploitation-Cheat-Sheet
#Cheatsheet #AD
@securation
GitHub
GitHub - S1ckB0y1337/Active-Directory-Exploitation-Cheat-Sheet: A cheat sheet that contains common enumeration and attack methods…
A cheat sheet that contains common enumeration and attack methods for Windows Active Directory. - S1ckB0y1337/Active-Directory-Exploitation-Cheat-Sheet
باگ بانتی رو با این سرفصل در لینک زیر میتونید شروع کنید توضیحاتی خوب داره تمرینشم مفید و کاربردیه :
-SQL Injection
-Cross-Site Scripting
-Command Execution
-Clickjacking
-CSRF
-Session Fixation
-Open Redirects
-XML External Entities
-Buffer overflows, etc.
https://hacksplaining.com/lessons
#bugbountytips
#bugbounty
@securation
-SQL Injection
-Cross-Site Scripting
-Command Execution
-Clickjacking
-CSRF
-Session Fixation
-Open Redirects
-XML External Entities
-Buffer overflows, etc.
https://hacksplaining.com/lessons
#bugbountytips
#bugbounty
@securation
SSRF to fetch AWS credentials with full access to multiple services
Write-Up.u.medium.com/ssrf-to-fetch-aws-credentials-with-full-access-to-various-services-18cd08194e91
#BugBounty #bugbountytips
@securation
Write-Up.u.medium.com/ssrf-to-fetch-aws-credentials-with-full-access-to-various-services-18cd08194e91
#BugBounty #bugbountytips
@securation
چرا نباید از صفحه وب چیزی توی ترمینال کپی کرد?
https://akhondali.ir/security/pastejacking-%DA%86%D8%B1%D8%A7-%D9%86%D8%A8%D8%A7%DB%8C%D8%AF-%D8%A7%D8%B2-%D9%88%D8%A8%D8%B3%D8%A7%DB%8C%D8%AA-%D9%87%D8%A7-%DA%86%DB%8C%D8%B2%DB%8C-%D8%B1%D9%88-%D9%85%D8%B3%D8%AA%D9%82%DB%8C/
#linux #terminal #pastejacking
@securation
https://akhondali.ir/security/pastejacking-%DA%86%D8%B1%D8%A7-%D9%86%D8%A8%D8%A7%DB%8C%D8%AF-%D8%A7%D8%B2-%D9%88%D8%A8%D8%B3%D8%A7%DB%8C%D8%AA-%D9%87%D8%A7-%DA%86%DB%8C%D8%B2%DB%8C-%D8%B1%D9%88-%D9%85%D8%B3%D8%AA%D9%82%DB%8C/
#linux #terminal #pastejacking
@securation
جعفر آخوندعلی
PasteJacking - چرا نباید از وبسایت ها چیزی رو مستقیم به ترمینال کپی کنیم؟ ~ جعفر آخوندعلی
زمان مطالعه: 2 دقیقه اگر نمیدونی مشکل چیه، کافیه این متن رو کپی کنی و توی ترمینال (یا هرجای دیگه) paste کنی. وات؟ یه حمله خیلی سادهِ قدیمیِ شهرستانی اما کمتر شناخته شده وجود داره معروف به Pastejacking. قضیه از این قرارِ که با جاوا اسکریپت این امکان وجود داره…
SSRF: Bypassing hostname restrictions with fuzzing
https://blog.deesee.xyz/fuzzing/security/2021/02/26/ssrf-bypassing-hostname-restrictions-fuzzing.html
#Fuzzing #SSRF #Web
@securation
https://blog.deesee.xyz/fuzzing/security/2021/02/26/ssrf-bypassing-hostname-restrictions-fuzzing.html
#Fuzzing #SSRF #Web
@securation
$BLOG_TITLE
SSRF: Bypassing hostname restrictions with fuzzing
When the same data is parsed twice by different parsers, some interesting security bugs can be introduced. In this post I will show how I used fuzzing to find a parser diffential issue in Kibana’s alerting and actions feature and how I leveraged radamsa to…
چک لیستی مفید برای تست نفوذ وب اپلیکیشن
https://github.com/iamthefrogy/Web-Application-Pentest-Checklist
#Web #Vulnckecklist
@securation
https://github.com/iamthefrogy/Web-Application-Pentest-Checklist
#Web #Vulnckecklist
@securation
اگر از سرویس Exchange مایکروسافت استفاده میکنید بدونید که مرکز امنیت این شرکت یک ابزار نوشته که باهاش میتونید webshell هایی که روی این سرویس آپلود شده رو پیدا کنید.
نکته : البته این ابزارها همیشه تمام کار رو انجام نمیدن و همیشه قرار نیست وب شِل آپلود شده رو پیدا کنه براتون.
https://www-bleepingcomputer-com.cdn.ampproject.org/c/s/www.bleepingcomputer.com/news/security/microsofts-msert-tool-now-finds-web-shells-from-exchange-server-attacks/amp/
#news #tools
#exchange #microsoft
@securation
نکته : البته این ابزارها همیشه تمام کار رو انجام نمیدن و همیشه قرار نیست وب شِل آپلود شده رو پیدا کنه براتون.
https://www-bleepingcomputer-com.cdn.ampproject.org/c/s/www.bleepingcomputer.com/news/security/microsofts-msert-tool-now-finds-web-shells-from-exchange-server-attacks/amp/
#news #tools
#exchange #microsoft
@securation
www-bleepingcomputer-com.cdn.ampproject.org
Microsoft's MSERT tool now finds web shells from Exchange Server attacks
Microsoft has pushed out a new update for their Microsoft Safety Scanner (MSERT) tool to detect web shells deployed in the recent Exchange Server attacks.