💢هکرهای ایرانی از ScreenConnect برای جاسوسی در سازمان های امارات متحده عربی و کویت استفاده میکنند!
به نقل از خبرگزاری Thehackernews آژانس های دولتی امارات و کویت هدف حملات هکرهای ایرانی قرار گرفتند.
این حملات به دو تیم معروف static kitten یا muddywater نسبت داده شده اند. در این عملیات از یک ابزار به نام screenconnect استفاده شده و در آن از یک url شبیه آدرس سایت وزارت خارجه کویت و کنسول ملی امارات بهره برده اند.
اخیرا حملاتی از سوی این گروه با استفاده از آسیب پذیری zerologon به شرکتهای غرب آسیا و اسراییل صورت گرفته است که کارشناسان معتقدند این حملات از سوی هکرهای مرتبط با سپاه، وزارت اطلاعات و سرویس های نظامی پشتیبانی میشوند.
هدف نهایی هکرها از بکارگیری screenconnect اتصال به شبکه های داخلی و انجام حرکات جانبی و اجرای دستور در محیط های هدف و در نهایت سرقت اطلاعات باشد.
استفاده از برنامه های مفید برای مقاصد این چنینی برای مخفی کردن عملیات راه موثری است.
https://thehackernews.com/2021/02/iranian-hackers-utilize-screenconnect.html
#uae #iran #kitten
#zerologon
@securation
به نقل از خبرگزاری Thehackernews آژانس های دولتی امارات و کویت هدف حملات هکرهای ایرانی قرار گرفتند.
این حملات به دو تیم معروف static kitten یا muddywater نسبت داده شده اند. در این عملیات از یک ابزار به نام screenconnect استفاده شده و در آن از یک url شبیه آدرس سایت وزارت خارجه کویت و کنسول ملی امارات بهره برده اند.
اخیرا حملاتی از سوی این گروه با استفاده از آسیب پذیری zerologon به شرکتهای غرب آسیا و اسراییل صورت گرفته است که کارشناسان معتقدند این حملات از سوی هکرهای مرتبط با سپاه، وزارت اطلاعات و سرویس های نظامی پشتیبانی میشوند.
هدف نهایی هکرها از بکارگیری screenconnect اتصال به شبکه های داخلی و انجام حرکات جانبی و اجرای دستور در محیط های هدف و در نهایت سرقت اطلاعات باشد.
استفاده از برنامه های مفید برای مقاصد این چنینی برای مخفی کردن عملیات راه موثری است.
https://thehackernews.com/2021/02/iranian-hackers-utilize-screenconnect.html
#uae #iran #kitten
#zerologon
@securation
👍1
Exploiting CVE-2021-25770: A Server-Side Template Injection in Youtrack
https://www.synacktiv.com/publications/exploiting-cve-2021-25770-a-server-side-template-injection-in-youtrack.html
#news #SSRF #Web
@securation
https://www.synacktiv.com/publications/exploiting-cve-2021-25770-a-server-side-template-injection-in-youtrack.html
#news #SSRF #Web
@securation
#Android #PenetrationTesting #Heap #ReverseEngineering
تو این Write-up بسیار جذاب با هم میخونیم که چطور با تحلیل حافظه Heap تو اندروید میشه به Secret Key دست پیدا کرد.
https://infosecwriteups.com/hack-crypto-secrets-from-heap-memory-to-exploit-android-application-728097fcda3
@securation
تو این Write-up بسیار جذاب با هم میخونیم که چطور با تحلیل حافظه Heap تو اندروید میشه به Secret Key دست پیدا کرد.
https://infosecwriteups.com/hack-crypto-secrets-from-heap-memory-to-exploit-android-application-728097fcda3
@securation
Medium
Hack crypto secrets from heap memory to exploit Android application
Due to the short time of development, The developers only focus on the building feature, functionalities and UI components. But they may…
Active Directory Exploitation Cheat Sheet.
https://github.com/S1ckB0y1337/Active-Directory-Exploitation-Cheat-Sheet
#Cheatsheet #AD
@securation
https://github.com/S1ckB0y1337/Active-Directory-Exploitation-Cheat-Sheet
#Cheatsheet #AD
@securation
GitHub
GitHub - S1ckB0y1337/Active-Directory-Exploitation-Cheat-Sheet: A cheat sheet that contains common enumeration and attack methods…
A cheat sheet that contains common enumeration and attack methods for Windows Active Directory. - S1ckB0y1337/Active-Directory-Exploitation-Cheat-Sheet
باگ بانتی رو با این سرفصل در لینک زیر میتونید شروع کنید توضیحاتی خوب داره تمرینشم مفید و کاربردیه :
-SQL Injection
-Cross-Site Scripting
-Command Execution
-Clickjacking
-CSRF
-Session Fixation
-Open Redirects
-XML External Entities
-Buffer overflows, etc.
https://hacksplaining.com/lessons
#bugbountytips
#bugbounty
@securation
-SQL Injection
-Cross-Site Scripting
-Command Execution
-Clickjacking
-CSRF
-Session Fixation
-Open Redirects
-XML External Entities
-Buffer overflows, etc.
https://hacksplaining.com/lessons
#bugbountytips
#bugbounty
@securation
SSRF to fetch AWS credentials with full access to multiple services
Write-Up.u.medium.com/ssrf-to-fetch-aws-credentials-with-full-access-to-various-services-18cd08194e91
#BugBounty #bugbountytips
@securation
Write-Up.u.medium.com/ssrf-to-fetch-aws-credentials-with-full-access-to-various-services-18cd08194e91
#BugBounty #bugbountytips
@securation
چرا نباید از صفحه وب چیزی توی ترمینال کپی کرد?
https://akhondali.ir/security/pastejacking-%DA%86%D8%B1%D8%A7-%D9%86%D8%A8%D8%A7%DB%8C%D8%AF-%D8%A7%D8%B2-%D9%88%D8%A8%D8%B3%D8%A7%DB%8C%D8%AA-%D9%87%D8%A7-%DA%86%DB%8C%D8%B2%DB%8C-%D8%B1%D9%88-%D9%85%D8%B3%D8%AA%D9%82%DB%8C/
#linux #terminal #pastejacking
@securation
https://akhondali.ir/security/pastejacking-%DA%86%D8%B1%D8%A7-%D9%86%D8%A8%D8%A7%DB%8C%D8%AF-%D8%A7%D8%B2-%D9%88%D8%A8%D8%B3%D8%A7%DB%8C%D8%AA-%D9%87%D8%A7-%DA%86%DB%8C%D8%B2%DB%8C-%D8%B1%D9%88-%D9%85%D8%B3%D8%AA%D9%82%DB%8C/
#linux #terminal #pastejacking
@securation
جعفر آخوندعلی
PasteJacking - چرا نباید از وبسایت ها چیزی رو مستقیم به ترمینال کپی کنیم؟ ~ جعفر آخوندعلی
زمان مطالعه: 2 دقیقه اگر نمیدونی مشکل چیه، کافیه این متن رو کپی کنی و توی ترمینال (یا هرجای دیگه) paste کنی. وات؟ یه حمله خیلی سادهِ قدیمیِ شهرستانی اما کمتر شناخته شده وجود داره معروف به Pastejacking. قضیه از این قرارِ که با جاوا اسکریپت این امکان وجود داره…
SSRF: Bypassing hostname restrictions with fuzzing
https://blog.deesee.xyz/fuzzing/security/2021/02/26/ssrf-bypassing-hostname-restrictions-fuzzing.html
#Fuzzing #SSRF #Web
@securation
https://blog.deesee.xyz/fuzzing/security/2021/02/26/ssrf-bypassing-hostname-restrictions-fuzzing.html
#Fuzzing #SSRF #Web
@securation
$BLOG_TITLE
SSRF: Bypassing hostname restrictions with fuzzing
When the same data is parsed twice by different parsers, some interesting security bugs can be introduced. In this post I will show how I used fuzzing to find a parser diffential issue in Kibana’s alerting and actions feature and how I leveraged radamsa to…
چک لیستی مفید برای تست نفوذ وب اپلیکیشن
https://github.com/iamthefrogy/Web-Application-Pentest-Checklist
#Web #Vulnckecklist
@securation
https://github.com/iamthefrogy/Web-Application-Pentest-Checklist
#Web #Vulnckecklist
@securation
اگر از سرویس Exchange مایکروسافت استفاده میکنید بدونید که مرکز امنیت این شرکت یک ابزار نوشته که باهاش میتونید webshell هایی که روی این سرویس آپلود شده رو پیدا کنید.
نکته : البته این ابزارها همیشه تمام کار رو انجام نمیدن و همیشه قرار نیست وب شِل آپلود شده رو پیدا کنه براتون.
https://www-bleepingcomputer-com.cdn.ampproject.org/c/s/www.bleepingcomputer.com/news/security/microsofts-msert-tool-now-finds-web-shells-from-exchange-server-attacks/amp/
#news #tools
#exchange #microsoft
@securation
نکته : البته این ابزارها همیشه تمام کار رو انجام نمیدن و همیشه قرار نیست وب شِل آپلود شده رو پیدا کنه براتون.
https://www-bleepingcomputer-com.cdn.ampproject.org/c/s/www.bleepingcomputer.com/news/security/microsofts-msert-tool-now-finds-web-shells-from-exchange-server-attacks/amp/
#news #tools
#exchange #microsoft
@securation
www-bleepingcomputer-com.cdn.ampproject.org
Microsoft's MSERT tool now finds web shells from Exchange Server attacks
Microsoft has pushed out a new update for their Microsoft Safety Scanner (MSERT) tool to detect web shells deployed in the recent Exchange Server attacks.
Microsoft Exchange - Emad.pdf
483 KB
شرح آسیبپذیری بحرانی Microsoft Exchange، سناریوی حمله و راهکار شرکت پیشتازان امنکاوی عماد برای مقاومسازی
🔰http://emad24.ir
🆔 @emad24ir
@securation
🔰http://emad24.ir
🆔 @emad24ir
@securation
An introduction to kernel exploitation part 1.
https://pwning.systems/posts/an-introduction-to-kernel-exploitation-part1/
#linux #kernel_exploitation #pwning_kernel #pwn
@securation
https://pwning.systems/posts/an-introduction-to-kernel-exploitation-part1/
#linux #kernel_exploitation #pwning_kernel #pwn
@securation
pwning.systems
An introduction to Kernel Exploitation Part 1
I’m writing this post because I often hear that kernel exploitation is intimidating or difficult to learn. As a result, I’ve decided to start a series of basic bugs and exercises to get you started!
Prerequisites
Knowledge of the Linux command line Knowing…
Prerequisites
Knowledge of the Linux command line Knowing…
اگه توی زمینه تحلیل بدافزار فعالیت میکنید وبسایت زیر مطالب و ابزارها و کتابهای مفید بعلاوه تحلیل هایی کاربردی برای شما داره که میتونید استفاده کنید:
http://MalwareAnalysis.co
#re #malware_analysis #tools #book
@securation
http://MalwareAnalysis.co
#re #malware_analysis #tools #book
@securation
🔰https://github.com/HoangKien1020/CVE-2021-23132
CVE-2021-23132 : Joomla com_media allowed paths that are not intended for image uploads to RCE
#tools #RCE #WEB #Joomla
@securation
CVE-2021-23132 : Joomla com_media allowed paths that are not intended for image uploads to RCE
#tools #RCE #WEB #Joomla
@securation
#JS #Malware
جدیدا تعدادی لینک با دامنههای متفاوت (که زیاد از زمان ثبتشون نمیگذره) با سرتیتر های متفاوتی از جمله "برنده شدن گوشی" و ...، در حال پخش هست.
مثال:
hxxps://ecuth.com/MWJpcmZh
❌ حواستون باشه لینک رو به هیچوجه باز نکنید.
پس از بررسی لینک متوجه شدیم در نهایت به google عمل Redirect انجام میشه.
اما قبل از Redirect چه اتفاقی میافته؟ صرفا یک شوخیه؟
با بررسیهای بهعمل آمده مشخص گردید سامانه با استفاده از کد JS و تابع
اما بدافزار واقعی کجا اتفاق میافتد؟
سامانه حاوی یک Link است که شامل یک کد JS به صورت Obfuscate شده است که در پیام بعدی بارگذاری کردم.
تنها IoC که در حال حاضر میشه بهش اتکا کرد دامنهی مورد استفاده است، در حالیکه لینک با دامنههای متفاوتی در حال پخش است، اما تمامی این دامنهها، به borarl.com ختم میشود و پس از آن به Google.com انتقال مییابد.
در حال حاضر وقتی برای تحلیل این کد JS نداشتم، اگر کسی میتونه کمک کنه خوشحال میشم با من در میون بذاره. @INVOXES
@securation
جدیدا تعدادی لینک با دامنههای متفاوت (که زیاد از زمان ثبتشون نمیگذره) با سرتیتر های متفاوتی از جمله "برنده شدن گوشی" و ...، در حال پخش هست.
مثال:
hxxps://ecuth.com/MWJpcmZh
❌ حواستون باشه لینک رو به هیچوجه باز نکنید.
پس از بررسی لینک متوجه شدیم در نهایت به google عمل Redirect انجام میشه.
اما قبل از Redirect چه اتفاقی میافته؟ صرفا یک شوخیه؟
با بررسیهای بهعمل آمده مشخص گردید سامانه با استفاده از کد JS و تابع
()window.open اقدام به ارسال پیام توسط پیامرسانها (WhatsApp, Telegram, Viber, Line) برای انتشار لینک بدافزار خود میکند.اما بدافزار واقعی کجا اتفاق میافتد؟
سامانه حاوی یک Link است که شامل یک کد JS به صورت Obfuscate شده است که در پیام بعدی بارگذاری کردم.
تنها IoC که در حال حاضر میشه بهش اتکا کرد دامنهی مورد استفاده است، در حالیکه لینک با دامنههای متفاوتی در حال پخش است، اما تمامی این دامنهها، به borarl.com ختم میشود و پس از آن به Google.com انتقال مییابد.
در حال حاضر وقتی برای تحلیل این کد JS نداشتم، اگر کسی میتونه کمک کنه خوشحال میشم با من در میون بذاره. @INVOXES
@securation
Deobf-SuspeciousJS.js
6.8 KB
خب بالاخره کد deobfuscate شده رو بدست آوردم. به نظر چیز خاصی نیست و مجموعهای از تبلیغ افزارها (Adware) هستند. باز نمیشه اطمینان صددرصد داد چون تعداد کدهای JS خیلی زیادی داره و تحلیل همش کمی زمانبر هست. اگر کسی فرصت داشت آنالیز کنه به من هم خبر بده.
از چند تا سایت و ابزار استفاده شد برای Deobfuscate که در ادامه لینکشون رو قرارشون میدم.
از چند تا سایت و ابزار استفاده شد برای Deobfuscate که در ادامه لینکشون رو قرارشون میدم.
#JavaScript #JS #Obfuscate #Deobfuscate
https://github.com/liulihaocai/JSDec
https://lelinhtinh.github.io/de4js
https://www.dcode.fr/javanoscript-unobfuscator
https://beautifier.io
@securation
https://github.com/liulihaocai/JSDec
https://lelinhtinh.github.io/de4js
https://www.dcode.fr/javanoscript-unobfuscator
https://beautifier.io
@securation
GitHub
GitHub - hax0r31337/JSDec: Online JavaScript decoder.Supported sojson v4/Premium/v5 and more(No longer update)
Online JavaScript decoder.Supported sojson v4/Premium/v5 and more(No longer update) - hax0r31337/JSDec
#DART #WebShell #GhostInTheShell
https://www.microsoft.com/security/blog/2020/02/04/ghost-in-the-shell-investigating-web-shell-attacks
@securation
https://www.microsoft.com/security/blog/2020/02/04/ghost-in-the-shell-investigating-web-shell-attacks
@securation
Microsoft News
Ghost in the shell: Investigating web shell attacks
Web shell attacks allow adversaries to run commands and steal data from an Internet-facing server or use the server as launch pad for further attacks against the affected organization.
Linux Kernel module-less implant (backdoor)
https://github.com/milabs/kopycat #linux #exploitation
@securation
https://github.com/milabs/kopycat #linux #exploitation
@securation
GitHub
GitHub - milabs/kopycat: Linux Kernel module-less implant (backdoor)
Linux Kernel module-less implant (backdoor). Contribute to milabs/kopycat development by creating an account on GitHub.
فریمورک کاربردی برای تست نفوذ وب بصورت اتوماتیک
https://github.com/r3curs1v3-pr0xy/vajra/wiki/Installation
طریقه استفاده :
https://youtu.be/WLurj5Lg8cI
https://securityonline.info/vajra-automated-web-hacking-framework/
#Web #Tools @securation
https://github.com/r3curs1v3-pr0xy/vajra/wiki/Installation
طریقه استفاده :
https://youtu.be/WLurj5Lg8cI
https://securityonline.info/vajra-automated-web-hacking-framework/
#Web #Tools @securation
GitHub
Installation
Vajra is a highly customizable target and scope based automated web hacking framework to automate boring recon tasks and same scans for multiple target during web applications penetration testing. ...