Security Analysis – Telegram
Security Analysis
@securation
11.5K subscribers
344 photos
50 videos
36 files
885 links
- Offensive Security (Red Teaming / PenTesting)
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
Download Telegram
About
Blog
Apps
Platform
Join
Security Analysis
11.5K subscribers
Security Analysis
⭕️ با استفاده از کتابخونه ی GD-PHP پیلودهای خودمون رو مینویسیم و توی JPEG تزریق میکنیم که بتونیم اون رو روی سرویس های وب آپلود کنیم برای بایپس اپلودرها یا اجرای پیلودهامون
با این کتابخونه ی GD-PHP میشه فایل های PNG ساخت چون این کتابخونه کارش پردازش گرافیکی هست باهاش کلی کار دیگه هم میشه انجام داد.
اینجا هم یک نمونه اسکریپت نوشته شده که تزریق پیلود رو توی تصویر با فرمت JPEG انجام میده براتون
#GD_PHP #injector #jpeg #Injects
@securation
2.76K views
Security Analysis
مدت های طولانی هکر ها از powershell و jnoscript و VBA استفاده می کردند تا noscript هاشون رو روی memory بدون نوشته شدن چیزی روی Disk اجرا کنند. ماکروسافت قابلیتی رو به نام Anti-Malware Scanning Interface (AMSI) رو به وجود آورد که اساسا این AMSI یک API به نام AMSI.dll هستش که زمانی که شما powershell یا powershell_ISE رو باز کنید، به صورت کاملا automatic این AMSI.dll رو load می کنه. AMSI میاد تمام کامند های powershell, jnoscript, VBA و .Net رو موقع run-time کپچر می کنه و برای بررسی به Anti-Virus ای که روی سیستمتون نصب هست می فرسته که به صورت پیش فرض همون Windows defender هستش (البته همه ی AV ها قابلیت interact با AMSI رو ندارند !!! با توجه به اینکه microsoft سال 2015 رو داده این آمار خیلی بده برای AV هایی که هنوز این قابلیت رو ندارند )
موقعی که یک powershell session رو باز می کنید یک سری function هایی از AMSI که شامل AmsiInitialize, AmsiOpenSession, AmsiScanString, AmsiScanBuffer, and AmsiCloseSession که این ها یک سری اطلاعات رو capture می کنند و توسط Remote Procedure Call(RPC) برای windows defender (به عنوان مثال عرض کردم می تونه هر AV دیگه ای باشه) ارسال می کنند و جواب رو windows defender به AMSI.dll که داخل powershell process هست بر میگردونه. همون طور که می دونید همیشه این قابلیت های امنیتی که میان هکرا هم یک راهی برای دور زدنشون پیدا می کنند که مبحث خیلی خیلی گستردست و شاید باز کردنش ساعت ها زمان بخواد اما چند مورد از انواع روش های bypass که بخوام نام ببرم میشه به Context manipulation, Attack initialization و binary patching و غیره هستش که همه به نوعی از reflection استفاده می کنند. البته که میشه ما برای bypass کردنه AMSI از تکنیک های obfuscation یا encoding توی powershell استفاده کنیم اما این کار خیلی طاقت فرسایی هستش چون هر روز AV یک update میده و اونارو detect میکنه. بهترین کار این هستش که ما به صورت manual از تکنیک های reflection استفاده کنیم و از ابزارایی مثل frida و windbg استفاده کنیم اما خب به دلیل اینکه اینکار می تونه برای خیلیا که اطلاعی راجب این حوزه ندارند دشوار باشه دو تا از پروژه هایی که می تونند به صورت automatic به جای شما این تکنیک های bypass رو انجام بدهند من این زیر معرفی می کنم (100% به اندازه ی روش دستی که خودتون اینکارو انجام بدید موثر نیست)
https://amsi.fail/
https://github.com/OmerYa/Invisi-Shell
#powershell #av #bypass #VBA
@securation
GitHub
GitHub - OmerYa/Invisi-Shell: Hide your Powershell noscript in plain sight. Bypass all Powershell security features
Hide your Powershell noscript in plain sight. Bypass all Powershell security features - OmerYa/Invisi-Shell
5.18K viewsedited  
Security Analysis
⭕️ HTTP Request Smuggling Detection Tool.

https://github.com/anshumanpattnaik/http-request-smuggling

@securation
Telegram
Security Analysis
- Offensive Security (Red Teaming / PenTesting)
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
1.9K views
Security Analysis
⭕️ تکنیک خلاق هکرهای برای پنهان ماندن و پاک کردن ردپای خودشون رو توی تحلیل جدید مایکروسافت بخونید !
هکرهای برای اینکه از خودشون ردپایی بجا نذارن یا بهتره بگیم تکنیکی بکار ببرند که کمتر کسی بهشون شکی داشته باشه , اومدن از ''کد مورس '' که حدود 190 سال پیش اختراع شده استفاده کرده اند!
#news #microsoft #Phishing
@securation
1.9K viewsedited  
Security Analysis
⭕️ مایکروسافت در خصوص آسیب‌پذیری 0day وصله‌نشده‌ی دیگه ای در Windows Print Spooler هشدار داد❗️

⭕️ این آسیب‌پذیری با شناسه CVE-2021-36958 و شدت بالا (7.3 از 10) در Windows Print Spooler وجود دارد و به یک مهاجم محلی امکان ارتقا دسترسی سیستم آسیب‌پذیر را می‌دهد.

⭕️ مهاجم با دستیابی به این سطح دسترسی می‌تواند کد دلخواه خود را با دسترسی SYSTEM اجرا نماید، برنامه نصب کند، داده‌ها را مشاهده، حذف و تغییر دهد یا اینکه حساب کاربری جدیدی با دسترسی کامل ایجاد کند.

چه کاری باید انجام دهیم ؟‌!
۱− توقف و غیرفعال‌سازی سرویس Print Spooler.
۲− مسدود کردن ترافیک خروجی SMB در فایروال، جهت جلوگیری از اتصال به پرینترهای مخرب اشتراک‌گذاری‌شده.
#news #microsotf #spooler #smb
@securation
👍1
2.95K viewsedited  
Security Analysis
#Tools
https://pwncat.org
و API هم داره. 😉
https://pwncat.org/pwncat.api.html

@securation
1.92K viewsedited  
Security Analysis
⭕️ Stormspotter: Azure Red Team tool for graphing Azure and Azure Active Directory objects

Link

#infosec #pentest #redteam #azure
@securation
2.14K views
Security Analysis
⭕️ PythonHunt

Quick OSINT checks for IPs and Domains during triage and investigations:

This noscript queries APIs for various freely-available intelligence platforms in order to gain important context and reputation data for IP addresses and/or domains.
Platforms Used:
WHOIS
VirusTotal
AlienVault OTX
Robtex
IBM X-Force
Shodan
ipinfo.io
API Keys Required for:
VirusTotal
IBM X-Force
Shodan

https://github.com/Pavornoc/PythonHunt

#OSINT #tools #python
@securation
Telegram
Security Analysis
- Offensive Security (Red Teaming / PenTesting)
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
2.82K views
Security Analysis
https://youtu.be/N8-N-gERO9w
YouTube
ebpf linux kernel exploit | cve-2021-3490 poc
what is ebpf linux kernel?
It is a kernel technology (starting in Linux 4.x) that allows programs to run without having to change the kernel source code or adding additional modules. It is a sort of lightweight, sandbox virtual machine (VM) inside the Linux…
2.22K views
Security Analysis
⭕️AST - Android Security Teryaagh

−Android security guides
−roadmap
−tools
−docs
−courses
−write-ups
−and teryaagh..

Link

#android #reverse #tools #pentest #articles
@securation
3.81K views
Security Analysis
Indra.rar
1.1 MB
#Malware #Malware_Analysis
به نظر بدافزار‌هایی که توسط تیم هکری ایرانی (Indra) که برای حمله به زیرساخت راه‌آهن ایران استفاده شده انتشار یافته و اینم فایل‌هاشه. بریم برای آنالیز بدافزارها.
@securation
2.91K views
Security Analysis
⭕️ mindmap for Access Control Vulnerabilities

#infosec #bugbounty #cybersecurity #bugbountytip
@securation
2.56K views
Security Analysis
⭕️ وبسایت باج افزار جدید به نام mbc در وبلاگ خودشان مسئولیت هک سیستم های کامپیوتری راه آهن کشور را قبول کرده و گفته اند دیتاهای اون رو بزودی منتشر خواهد کرد.
#news
@securation
2.84K views
Security Analysis
This media is not supported in your browser
VIEW IN TELEGRAM
⭕️ سرهنگ حسین رمضانی معاون اجرایی پلیس راهور ناجا هرگونه نشت اطلاعات پلیس #راهور را تکذیب کرد.
#rahvar
@securation
2.16K views
Security Analysis
⭕️ مهندس بختیاری روش های dump کردن credential در ویندوز و دور زدن LSA protection رو شرح داده که میتونید در لینک زیر بخونید و از تجربیات مفید ایشون استفاده کنید .

https://salarbakhtiari.medium.com/extracting-credentials-from-memory-with-lsa-protection-proctected-process-light-enabled-2064af4258bd
#dump #lsa
@securation
Medium
Extracting credentials from memory with LSA protection (Proctected Process Light) enabled
Introduction
2.5K viewsedited  
Security Analysis
⭕️ رقص با Crash ها:
مقدمه ای بر Fuzzing و ورودی های نامعتبر در امنیت سایبری نوشته ای از محسن طهماسبی محقق امنیت سایبری :

لینک مقاله

#AFL #Fuzzing #crash
@securation
2.2K viewsedited  
Security Analysis
Security Analysis
⭕️ سرهنگ حسین رمضانی معاون اجرایی پلیس راهور ناجا هرگونه نشت اطلاعات پلیس #راهور را تکذیب کرد. #rahvar @securation
⭕️ بنظرم هرکسی توی کاری که تخصص و آگاهی داره دخالت بکنه و نظر بده جامعه سالم تر میشه :)

پ ن : البته سعی کنید وقتی میخواید مثل میلاد نوری دیده بشید دروغگو نباشید که تخصص نداشته تون رو زیر سوال ببرید و حداقل یه ذره سرچ کردن یاد بگیرید که دیتابیس وزارت بهداشت برزیل را بجای دیتابیس راهور به مردم معرفی نکنید :)
#برادربهروزیخچالیان #میلادنوری
@securation
2.82K viewsedited  
Security Analysis
⭕️ ارائه‌ ای که در کنفرانس بلک‌هت برگزار شد در مورد گروه هکری Charming Kitten که تمامی تحلیل گران امنیت آنها را وابسته به حکومت ایران میدانند هست که حملات اخیرشون به شرکت‌های دارویی آمریکایی بوده رو مشاهده کنید :


لینک ویدیو

#kitten #charmingkitten #hackers #blackhat
@securation
YouTube
The Kitten that Charmed Me: The 9 Lives of a Nation State Attacker
When our intel team talks about human error, we usually focus on the victim of a security incident. But in the investigation we ran in the past year, we flipped the noscript to highlight how the continued operational security errors of a prolific, state-sponsored…
3.25K viewsedited  
Security Analysis
⭕️ A curated list of awesome OSCP resources

https://github.com/0x4D31/awesome-oscp
@securation
GitHub
GitHub - 0x4D31/awesome-oscp: A curated list of awesome OSCP resources
A curated list of awesome OSCP resources. Contribute to 0x4D31/awesome-oscp development by creating an account on GitHub.
2.38K views
Security Analysis
This tool allows you to evade sysmon and windows event logging


https://github.com/bats3c/ghost-in-the-logs/
#Windows #sysmon #logging #logs
@securation
GitHub
GitHub - bats3c/Ghost-In-The-Logs: Evade sysmon and windows event logging
Evade sysmon and windows event logging. Contribute to bats3c/Ghost-In-The-Logs development by creating an account on GitHub.
2.48K viewsedited  
Security Analysis
⭕️ برای اینکه توی حوزه Incident Response یک مرکز امنیت فعالیت کنیم چه تخصص هایی نیازه داشته باشیم ؟
پلن هایی که در اینجا معرفی شده و سپس در ادامه آن دربخش دوم یعنی اینجا بصورت کاربردی و با منبع مفید معرفی شده ,پیش نیازهای ورود به حوزه پاسخگویی رخدادهای امنیتی هست که نیاز واقعی برای هر متخصص امنیت در حوزه دفاعی نیز هست.
#IR #DFIR #SOC #SIEM
@Securation
3.66K viewsedited