⭕️ Threat Hunting: Velociraptor for Endpoint Monitoring


Table of Content

Introduction to Velociraptor
Architecture
What is VQL
Prerequisites
Velociraptor Environment
Velociraptor installation
Addition of host
forensics investigation / Threat Hunting

Link

#VQL #threathunting #log #monitoring
@securation

⭕️ با استفاده از کتابخونه ی GD-PHP پیلودهای خودمون رو مینویسیم و توی JPEG تزریق میکنیم که بتونیم اون رو روی سرویس های وب آپلود کنیم برای بایپس اپلودرها یا اجرای پیلودهامون
با این کتابخونه ی GD-PHP میشه فایل های PNG ساخت چون این کتابخونه کارش پردازش گرافیکی هست باهاش کلی کار دیگه هم میشه انجام داد.
اینجا هم یک نمونه اسکریپت نوشته شده که تزریق پیلود رو توی تصویر با فرمت JPEG انجام میده براتون
#GD_PHP #injector #jpeg #Injects
@securation

مدت های طولانی هکر ها از powershell و jnoscript و VBA استفاده می کردند تا noscript هاشون رو روی memory بدون نوشته شدن چیزی روی Disk اجرا کنند. ماکروسافت قابلیتی رو به نام Anti-Malware Scanning Interface (AMSI) رو به وجود آورد که اساسا این AMSI یک API به نام AMSI.dll هستش که زمانی که شما powershell یا powershell_ISE رو باز کنید، به صورت کاملا automatic این AMSI.dll رو load می کنه. AMSI میاد تمام کامند های powershell, jnoscript, VBA و .Net رو موقع run-time کپچر می کنه و برای بررسی به Anti-Virus ای که روی سیستمتون نصب هست می فرسته که به صورت پیش فرض همون Windows defender هستش (البته همه ی AV ها قابلیت interact با AMSI رو ندارند !!! با توجه به اینکه microsoft سال 2015 رو داده این آمار خیلی بده برای AV هایی که هنوز این قابلیت رو ندارند )
موقعی که یک powershell session رو باز می کنید یک سری function هایی از AMSI که شامل AmsiInitialize, AmsiOpenSession, AmsiScanString, AmsiScanBuffer, and AmsiCloseSession که این ها یک سری اطلاعات رو capture می کنند و توسط Remote Procedure Call(RPC) برای windows defender (به عنوان مثال عرض کردم می تونه هر AV دیگه ای باشه) ارسال می کنند و جواب رو windows defender به AMSI.dll که داخل powershell process هست بر میگردونه. همون طور که می دونید همیشه این قابلیت های امنیتی که میان هکرا هم یک راهی برای دور زدنشون پیدا می کنند که مبحث خیلی خیلی گستردست و شاید باز کردنش ساعت ها زمان بخواد اما چند مورد از انواع روش های bypass که بخوام نام ببرم میشه به Context manipulation, Attack initialization و binary patching و غیره هستش که همه به نوعی از reflection استفاده می کنند. البته که میشه ما برای bypass کردنه AMSI از تکنیک های obfuscation یا encoding توی powershell استفاده کنیم اما این کار خیلی طاقت فرسایی هستش چون هر روز AV یک update میده و اونارو detect میکنه. بهترین کار این هستش که ما به صورت manual از تکنیک های reflection استفاده کنیم و از ابزارایی مثل frida و windbg استفاده کنیم اما خب به دلیل اینکه اینکار می تونه برای خیلیا که اطلاعی راجب این حوزه ندارند دشوار باشه دو تا از پروژه هایی که می تونند به صورت automatic به جای شما این تکنیک های bypass رو انجام بدهند من این زیر معرفی می کنم (100% به اندازه ی روش دستی که خودتون اینکارو انجام بدید موثر نیست)
https://amsi.fail/
https://github.com/OmerYa/Invisi-Shell
#powershell #av #bypass #VBA
@securation

⭕️ HTTP Request Smuggling Detection Tool.

https://github.com/anshumanpattnaik/http-request-smuggling

@securation

⭕️ تکنیک خلاق هکرهای برای پنهان ماندن و پاک کردن ردپای خودشون رو توی تحلیل جدید مایکروسافت بخونید !
هکرهای برای اینکه از خودشون ردپایی بجا نذارن یا بهتره بگیم تکنیکی بکار ببرند که کمتر کسی بهشون شکی داشته باشه , اومدن از ''کد مورس '' که حدود 190 سال پیش اختراع شده استفاده کرده اند!
#news #microsoft #Phishing
@securation

⭕️ مایکروسافت در خصوص آسیب‌پذیری 0day وصله‌نشده‌ی دیگه ای در Windows Print Spooler هشدار داد❗️

⭕️ این آسیب‌پذیری با شناسه CVE-2021-36958 و شدت بالا (7.3 از 10) در Windows Print Spooler وجود دارد و به یک مهاجم محلی امکان ارتقا دسترسی سیستم آسیب‌پذیر را می‌دهد.

⭕️ مهاجم با دستیابی به این سطح دسترسی می‌تواند کد دلخواه خود را با دسترسی SYSTEM اجرا نماید، برنامه نصب کند، داده‌ها را مشاهده، حذف و تغییر دهد یا اینکه حساب کاربری جدیدی با دسترسی کامل ایجاد کند.

چه کاری باید انجام دهیم ؟‌!
۱− توقف و غیرفعال‌سازی سرویس Print Spooler.
۲− مسدود کردن ترافیک خروجی SMB در فایروال، جهت جلوگیری از اتصال به پرینترهای مخرب اشتراک‌گذاری‌شده.
#news #microsotf #spooler #smb
@securation

#Tools
https://pwncat.org
و API هم داره. 😉
https://pwncat.org/pwncat.api.html

@securation

⭕️ Stormspotter: Azure Red Team tool for graphing Azure and Azure Active Directory objects

Link

#infosec #pentest #redteam #azure
@securation

⭕️ PythonHunt

Quick OSINT checks for IPs and Domains during triage and investigations:

This noscript queries APIs for various freely-available intelligence platforms in order to gain important context and reputation data for IP addresses and/or domains.
Platforms Used:
• WHOIS
• VirusTotal
• AlienVault OTX
• Robtex
• IBM X-Force
• Shodan
• ipinfo.io
API Keys Required for:
• VirusTotal
• IBM X-Force
• Shodan

https://github.com/Pavornoc/PythonHunt

#OSINT #tools #python
@securation

⭕️AST - Android Security Teryaagh

−Android security guides
−roadmap
−tools
−docs
−courses
−write-ups
−and teryaagh..

Link

#android #reverse #tools #pentest #articles
@securation

#Malware #Malware_Analysis
به نظر بدافزار‌هایی که توسط تیم هکری ایرانی (Indra) که برای حمله به زیرساخت راه‌آهن ایران استفاده شده انتشار یافته و اینم فایل‌هاشه. بریم برای آنالیز بدافزارها.
@securation

⭕️ mindmap for Access Control Vulnerabilities

#infosec #bugbounty #cybersecurity #bugbountytip
@securation

⭕️ وبسایت باج افزار جدید به نام mbc در وبلاگ خودشان مسئولیت هک سیستم های کامپیوتری راه آهن کشور را قبول کرده و گفته اند دیتاهای اون رو بزودی منتشر خواهد کرد.
#news
@securation

⭕️ سرهنگ حسین رمضانی معاون اجرایی پلیس راهور ناجا هرگونه نشت اطلاعات پلیس #راهور را تکذیب کرد.
#rahvar
@securation

⭕️ مهندس بختیاری روش های dump کردن credential در ویندوز و دور زدن LSA protection رو شرح داده که میتونید در لینک زیر بخونید و از تجربیات مفید ایشون استفاده کنید .

https://salarbakhtiari.medium.com/extracting-credentials-from-memory-with-lsa-protection-proctected-process-light-enabled-2064af4258bd
#dump #lsa
@securation

⭕️ رقص با Crash ها:
مقدمه ای بر Fuzzing و ورودی های نامعتبر در امنیت سایبری نوشته ای از محسن طهماسبی محقق امنیت سایبری :

لینک مقاله

#AFL #Fuzzing #crash
@securation

⭕️ بنظرم هرکسی توی کاری که تخصص و آگاهی داره دخالت بکنه و نظر بده جامعه سالم تر میشه :)

پ ن : البته سعی کنید وقتی میخواید مثل میلاد نوری دیده بشید دروغگو نباشید که تخصص نداشته تون رو زیر سوال ببرید و حداقل یه ذره سرچ کردن یاد بگیرید که دیتابیس وزارت بهداشت برزیل را بجای دیتابیس راهور به مردم معرفی نکنید :)
#برادربهروزیخچالیان #میلادنوری
@securation

⭕️ ارائه‌ ای که در کنفرانس بلک‌هت برگزار شد در مورد گروه هکری Charming Kitten که تمامی تحلیل گران امنیت آنها را وابسته به حکومت ایران میدانند هست که حملات اخیرشون به شرکت‌های دارویی آمریکایی بوده رو مشاهده کنید :


لینک ویدیو

#kitten #charmingkitten #hackers #blackhat
@securation

⭕️ A curated list of awesome OSCP resources

https://github.com/0x4D31/awesome-oscp
@securation

This tool allows you to evade sysmon and windows event logging


https://github.com/bats3c/ghost-in-the-logs/
#Windows #sysmon #logging #logs
@securation