XSSI (Cross Site Script Inclusion) to Steal AccessToken and More
Link : https://github.com/AnkitCuriosity/Write-Ups/blob/main/XSSI%20(Cross%20Site%20Script%20Inclusion)%20to%20Steal%20AccessToken%20and%20More.md
@Engineer_Computer
Link : https://github.com/AnkitCuriosity/Write-Ups/blob/main/XSSI%20(Cross%20Site%20Script%20Inclusion)%20to%20Steal%20AccessToken%20and%20More.md
@Engineer_Computer
DFIR
Barracuda ESG Zero-Day Vulnerability (CVE-2023-2868) Exploited Globally by Aggressive and Skilled Actor
https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally
@Engineer_Computer
Barracuda ESG Zero-Day Vulnerability (CVE-2023-2868) Exploited Globally by Aggressive and Skilled Actor
https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally
@Engineer_Computer
Google Cloud Blog
Barracuda ESG Zero-Day Vulnerability (CVE-2023-2868) Exploited Globally by Aggressive and Skilled Actor, Suspected Links to China…
Malware analysis
1. Bahamut Android Malware
https://www.cyfirma.com/outofband/apt-bahamut-targets-individuals-with-android-malware-using-spear-messaging
2. DangerousPassword attacks/malware
https://blogs.jpcert.or.jp/en/2023/07/dangerouspassword_dev.html
@Engineer_Computer
1. Bahamut Android Malware
https://www.cyfirma.com/outofband/apt-bahamut-targets-individuals-with-android-malware-using-spear-messaging
2. DangerousPassword attacks/malware
https://blogs.jpcert.or.jp/en/2023/07/dangerouspassword_dev.html
@Engineer_Computer
CYFIRMA
APT Bahamut Targets Individuals with Android Malware Using Spear Messaging - CYFIRMA
EXECUTIVE SUMMARY The team at CYFIRMA recently obtained advanced Android malware targeting individuals in the South Asia region. The suspicious...
Alarming news for industrial control systems: 34% of reported vulnerabilities have no patch or remediation, up from last year's 13%.
Read: https://thehackernews.com/2023/08/industrial-control-systems.html
SynSaber data shows that CISA received reports of 670 ICS product flaws in H1 2023. Among them, 88 were critical and 227 had no available fixes.
@Engineer_Computer
Read: https://thehackernews.com/2023/08/industrial-control-systems.html
SynSaber data shows that CISA received reports of 670 ICS product flaws in H1 2023. Among them, 88 were critical and 227 had no available fixes.
@Engineer_Computer
⭕️Analytics
A Year in Review of 0-days Exploited In-the-Wild in 2022
Maddie Stone, Security Researcher, Threat Analysis Group (TAG)
This is Google’s fourth annual year-in-review of 0-days exploited in-the-wild [2021, 2020, 2019] and builds off of the mid-year 2022 review. The goal of this report is not to detail each individual exploit, but instead to analyze the exploits from the year as a whole, looking for trends, gaps, lessons learned, and successes.
Executive Summary
41 in-the-wild 0-days were detected and disclosed in 2022, the second-most ever recorded since we began tracking in mid-2014, but down from the 69 detected in 2021. Although a 40% drop might seem like a clear-cut win for improving security, the reality is more complicated. Some of our key takeaways from 2022 include:
N-days function like 0-days on Android due to long patching times. Across the Android ecosystem there were multiple cases where patches were not available to users for a significant time. Attackers didn’t need 0-day exploits and instead were able to use n-days that functioned as 0-days.
0-click exploits and new browser mitigations drive down browser 0-days. Many attackers have been moving towards 0-click rather than 1-click exploits. 0-clicks usually target components other than the browser. In addition, all major browsers also implemented new defenses that make exploiting a vulnerability more difficult and could have influenced attackers moving to other attack surfaces.
Over 40% of the 0-days discovered were variants of previously reported vulnerabilities. 17 out of the 41 in-the-wild 0-days from 2022 are variants of previously reported vulnerabilities. This continues the unpleasant trend that we’ve discussed previously in both the 2020 Year in Review report and the mid-way through 2022 report. More than 20% are variants of previous in-the-wild 0-days from 2021 and 2020.
Bug collisions are high. 2022 brought more frequent reports of attackers using the same vulnerabilities as each other, as well as security researchers reporting vulnerabilities that were later discovered to be used by attackers. When an in-the-wild 0-day targeting a popular consumer platform is found and fixed, it's increasingly likely to be breaking another attacker's exploit as well
https://security.googleblog.com/2023/07/the-ups-and-downs-of-0-days-year-in.html
@Engineer_Computer
#vulnerability #zerotrust #zeroday #threatintelligence #threathunting
A Year in Review of 0-days Exploited In-the-Wild in 2022
Maddie Stone, Security Researcher, Threat Analysis Group (TAG)
This is Google’s fourth annual year-in-review of 0-days exploited in-the-wild [2021, 2020, 2019] and builds off of the mid-year 2022 review. The goal of this report is not to detail each individual exploit, but instead to analyze the exploits from the year as a whole, looking for trends, gaps, lessons learned, and successes.
Executive Summary
41 in-the-wild 0-days were detected and disclosed in 2022, the second-most ever recorded since we began tracking in mid-2014, but down from the 69 detected in 2021. Although a 40% drop might seem like a clear-cut win for improving security, the reality is more complicated. Some of our key takeaways from 2022 include:
N-days function like 0-days on Android due to long patching times. Across the Android ecosystem there were multiple cases where patches were not available to users for a significant time. Attackers didn’t need 0-day exploits and instead were able to use n-days that functioned as 0-days.
0-click exploits and new browser mitigations drive down browser 0-days. Many attackers have been moving towards 0-click rather than 1-click exploits. 0-clicks usually target components other than the browser. In addition, all major browsers also implemented new defenses that make exploiting a vulnerability more difficult and could have influenced attackers moving to other attack surfaces.
Over 40% of the 0-days discovered were variants of previously reported vulnerabilities. 17 out of the 41 in-the-wild 0-days from 2022 are variants of previously reported vulnerabilities. This continues the unpleasant trend that we’ve discussed previously in both the 2020 Year in Review report and the mid-way through 2022 report. More than 20% are variants of previous in-the-wild 0-days from 2021 and 2020.
Bug collisions are high. 2022 brought more frequent reports of attackers using the same vulnerabilities as each other, as well as security researchers reporting vulnerabilities that were later discovered to be used by attackers. When an in-the-wild 0-day targeting a popular consumer platform is found and fixed, it's increasingly likely to be breaking another attacker's exploit as well
https://security.googleblog.com/2023/07/the-ups-and-downs-of-0-days-year-in.html
@Engineer_Computer
#vulnerability #zerotrust #zeroday #threatintelligence #threathunting
Google Online Security Blog
The Ups and Downs of 0-days: A Year in Review of 0-days Exploited In-the-Wild in 2022
Maddie Stone, Security Researcher, Threat Analysis Group (TAG) This is Google’s fourth annual year-in-review of 0-days exploited in-the-wild...
تست نفوذ فیزیکی
این مرحله :
embedded reconnaissance.
@Engineer_Computer
https://covertaccessteam.substack.com/p/spot-the-spy
این مرحله :
embedded reconnaissance.
@Engineer_Computer
https://covertaccessteam.substack.com/p/spot-the-spy
Substack
Spot the Spy
Understanding Embedded Reconnaissance
REPORT ON ISMS AUDITS.pdf
1.4 MB
گزارش های ممیزی ISMS را چطور بنویسیم
@Engineer_Computer
@Engineer_Computer
شغل شما بعنوان تستر نفوذ فیزیکی این است هرچه بیشتر آسیب پذیری در لایه فیزیکال پیدا کنید
حالا از یک زاویه دیگر این موضوع رو بررسی میکنیم: انجام عملیات در روز یا شب
پارامتر های موثر
@Engineer_Computer
https://covertaccessteam.substack.com/p/day-vs-night
حالا از یک زاویه دیگر این موضوع رو بررسی میکنیم: انجام عملیات در روز یا شب
پارامتر های موثر
@Engineer_Computer
https://covertaccessteam.substack.com/p/day-vs-night
Substack
Day vs Night
Crafting the Optimal Strategy for Physical Penetration Testing
pdb_framework_implementation.pdf
247.4 KB
طراحی سیستم ها با رعایت مساله حریم خصوصی
@Engineer_Computer
@Engineer_Computer
HTTP in Detail.pdf
1.1 MB
یکبار برای همیشه HTTP را قورت دهید
@Engineer_Computer
@Engineer_Computer
⭕️ موسسه HRF تعداد ۲۰ بیتکوین برای چندین پروژه بانتی قرار داده که علاقهمندان از هرجای دنیا میتونن این پروژههای اوپن سورس رو انجام بدن و بانتی رو بدست بیارن.
به عنوان نمونه یکی از پروژهها ساخت نرم افزار موبایل غیرحضانتی برای آدرسهای لایتنینگیه و ۲ بیتکوین بانتی براش تخصیص داده شده.
یکی دیگه از بانتی ها توسعهی روشی برای انجام payjoin بدون نیاز به سرور هم ۲ بیتکوین بانتی داره.
پورت کردن کیت توسعه UI بیتکوین از فیگما به پروژهی اوپن سورس Penpot هم ۲ بیتکوین بانتی داره
لیست بانتیها رو میتونید از بیتکوین مگزین مطالعه کنید:
https://bitcoinmagazine.com/business/human-rights-foundation-announces-20-btc-bounty-challenge-for-bitcoin-development
#bounty #develop
@Engineer_Computer
به عنوان نمونه یکی از پروژهها ساخت نرم افزار موبایل غیرحضانتی برای آدرسهای لایتنینگیه و ۲ بیتکوین بانتی براش تخصیص داده شده.
یکی دیگه از بانتی ها توسعهی روشی برای انجام payjoin بدون نیاز به سرور هم ۲ بیتکوین بانتی داره.
پورت کردن کیت توسعه UI بیتکوین از فیگما به پروژهی اوپن سورس Penpot هم ۲ بیتکوین بانتی داره
لیست بانتیها رو میتونید از بیتکوین مگزین مطالعه کنید:
https://bitcoinmagazine.com/business/human-rights-foundation-announces-20-btc-bounty-challenge-for-bitcoin-development
#bounty #develop
@Engineer_Computer
سویچ هایی مرکزی تبادل ترافیک کشور دچار اختلالاتی هستند!
هنوز منابع و افراد در وزارت ارتباطات خبری منتشر نکرده اند.
@Engineer_Computer
هنوز منابع و افراد در وزارت ارتباطات خبری منتشر نکرده اند.
@Engineer_Computer
🔒 Urgent Alert: Hundreds of Citrix NetScaler ADC and Gateway servers breached! Malicious actors exploit CVE-2023-3519 #vulnerability to deploy web shells.
Read more about this threat: https://thehackernews.com/2023/08/hundreds-of-citrix-netscaler-adc-and.html
@Engineer_Computer
Read more about this threat: https://thehackernews.com/2023/08/hundreds-of-citrix-netscaler-adc-and.html
@Engineer_Computer
شبیه سازی حملات
در لینک زیر میتوانید نحوه انجام و مراحل حملات برای چند گروه هکری را ملاحظه نمایید .
در برخی از موارد یک حمله کامل بررسی شده است و برخی موارد قسمتی از حمله
@Engineer_Computer
https://github.com/center-for-threat-informed-defense/adversary_emulation_library/tree/master
در لینک زیر میتوانید نحوه انجام و مراحل حملات برای چند گروه هکری را ملاحظه نمایید .
در برخی از موارد یک حمله کامل بررسی شده است و برخی موارد قسمتی از حمله
@Engineer_Computer
https://github.com/center-for-threat-informed-defense/adversary_emulation_library/tree/master
GitHub
GitHub - center-for-threat-informed-defense/adversary_emulation_library: An open library of adversary emulation plans designed…
An open library of adversary emulation plans designed to empower organizations to test their defenses based on real-world TTPs. - GitHub - center-for-threat-informed-defense/adversary_emulation_li...
Apache Solr 8.3.1 RCE from exposed administration interface
Blog : https://blog.scrt.ch/2023/05/01/solr-rce-from-exposed-administration-interface/
POC : https://github.com/scrt/Apache-Solr-8.3.1-RCE
@Engineer_Computer
Blog : https://blog.scrt.ch/2023/05/01/solr-rce-from-exposed-administration-interface/
POC : https://github.com/scrt/Apache-Solr-8.3.1-RCE
@Engineer_Computer
Bypass IIS Authorisation with this One Weird Trick - Three RCEs and Two Auth Bypasses in Sitecore 9.3
Blog : https://blog.assetnote.io/2023/05/10/sitecore-round-two/
@Engineer_Computer
Blog : https://blog.assetnote.io/2023/05/10/sitecore-round-two/
@Engineer_Computer
CVE-2023-27363 : Foxit PDF Reader / Editor <= 12.1.1.15289 - 'exportXFAData Exposed Dangerous Method' - Remote Code Execution
POC : https://github.com/j00sean/SecBugs/tree/main/CVEs/CVE-2023-27363
XFA / PW : https://github.com/siberas/arpwn
Details : https://www.zerodayinitiative.com/advisories/ZDI-23-491/
@Engineer_Computer
POC : https://github.com/j00sean/SecBugs/tree/main/CVEs/CVE-2023-27363
XFA / PW : https://github.com/siberas/arpwn
Details : https://www.zerodayinitiative.com/advisories/ZDI-23-491/
@Engineer_Computer
اگر علاقه مند هستید که وارد حوزه #بلوتیم بشید
15 گام زیر می توانند به شما دید خوبی بدند برای انتخاب اینکه به سمت تیم آبی بروید یا نه !
من تجربه در حد 5 ماه در SOC داشتم ولی همون به من کمک کرد در ردتیم
به صورت کلی بلوتیم در حوزه امنیت تدافعی عمل میکند و نقطه مقابل ردتیم هست.
گام اول درک تهدیدات تا زمانی که تکنیک هایی که در سمت #ردتیم انجام می شود را درک نکنید نمی توانید رویکرد دفاعی مناسبی داشته باشید
https://ctf.hackthebox.com/pack/blue-team-analyst-level-1
https://tryhackme.com/path/outline/blueteam
گام دوم شما باید آشنایی با بهترین روش های امن سازی داشته باشید منابع CIS را مطالعه کنید برای تمامی صنعت ها بهترین روشها ارایه شده است و همچنین بروزرسانی، سیاست پسورد امن و دادن حداقل دسترسی به همه
https://www.cisecurity.org/controls/v8
گام سوم هر چقدر شبکه ها کوچک تر بشوند و vlan بندی اصطلاحا بشود در صورت نفوذ به هر بخش امکان تاثیر گذاری روی کل سازمان حداقلی است
گام چهارم استفاده از سیستم های مانیتورینگ و تشخیص حمله
IDS سیستم تشخیص نفوذ
IPS سیستم جلوگیری از نفوذ
SIEM اطلاعات امنیتی و مدیریت رویداد
می توانید از elk security جهت تمرین استفاده کنید
گام پنجم IRP طرح واکنش به حادثه
یک طرح جامع واکنش به حادثه ایجاد کنید که رویههای واضحی را برای شناسایی، واکنش و بازیابی حوادث امنیتی مشخص میکند.
گام 6 TH یا شکار تهدید (مهم)
خیلی از تهدیدهای بالقوه در سازمان ها و حملات توسط ابزارهای اتومات قابل شناسایی نیستند و نیازمند شکار تهدید هستند. مهارت در شکار تهدید بسیار مهم هست
SOC tiers
tier 1 triage specialist
tier 2 incident response + threat intelligence
tier 3 TH
و مدیر soc
گام هفتم
اموزش به کارکنان: به طور منظم به کارکنان در مورد بهترین شیوه های امنیت سایبری و تهدیدات احتمالی مانند فیشینگ و مهندسی اجتماعی آموزش دهید.
اجرا تمرین های فیشینگ در سازمان ها
گام هشتم
پیاده سازی مدیریت آسیب پذیری داشتن همچین برنامه ای برای شناسایی آُسیب پذیری های روی دارایی های سازمان الویت بندی و آپدیت کردن آن ها خیلی مهم است
گام نهم
نظارت مستمر یا continues monitoring سازمان هایی که نظارت مستمر ندارند و توانایی کشف ناهنجاری anomalies و رفتارهای مشکوک را ندارند خیلی راحت هک می شوند
خیلی ساده وصل شدن به سرورها بعد از ساعت کاری
گام دهم
همکاری و حضور در جلسات تیم بنفش و رفع مشکلات و حملات با ارایه راه حل ها یا آپدیت رول هایی که توسط تیم قرمز بایپس شده اند
گام یازدهم
تجزیه و تحلیل شبکه: به صورت کلی باید pattern رفتار شبکه عادیتان را داشته باشید تا بتوانید رفتار مشکوک یا ناهجاری را تشخیص دهید امروزه برای این کار از ML استفاده می شود train رفتار شبکه عادی و کشف خودکار ناهنجاری
گام دوازدهم
ارزیابی امنیتی به صورت ادواری و منظم، سازمان ها باید به صورت منظم پن تست شوند چرا که آسیب پذیریهای جدیدی که بعد از ارزیابی گذشته کشف شدند هنوز به صورت بالقوه در سازمان ها وجود دارند
گام 13
هوش تهدید: راه اندازی هوش تهدید کار بسیار پیچیده ای هست و همچنین هزینه های گزافی دارد اما می توان از اطلاعاتی که شرکت های CTI می دهند جهت شناسایی تهدیدها استفاده کرد نکته مهم این است CTI feed شرکت های خارجی به درد ایران نمی خورد چون C2 ها کشف شده برای کشور اروپایی امریکایی
گام چهاردهم
داشتن برنامه برای بک اپ گیری زندگی شما را نجات می دهد و اما خود بک اپ گیری بسیار مهم است و تخصص محسوب می شود چرا که انواع مختلف و همچنین نوع ذخیره سازی بسیار مهم است
گام 15
هر سازمان خروجی منحصر به فرد دارد شیوه امن کردن سازمان ها به یک شکل نیست و با یک کتاب یک فرمول امن نمی شود باید هاردنینگ بر اساس هر سازمان انجام شود.
تیم آبی نیاز به یک رویکرد فعال و هوشیار برای دفاع در برابر تهدیدات سایبری دارد.
تیم ابی بدون همکاری با تیم قرمز موثر نیست
@Engineer_Computer
15 گام زیر می توانند به شما دید خوبی بدند برای انتخاب اینکه به سمت تیم آبی بروید یا نه !
من تجربه در حد 5 ماه در SOC داشتم ولی همون به من کمک کرد در ردتیم
به صورت کلی بلوتیم در حوزه امنیت تدافعی عمل میکند و نقطه مقابل ردتیم هست.
گام اول درک تهدیدات تا زمانی که تکنیک هایی که در سمت #ردتیم انجام می شود را درک نکنید نمی توانید رویکرد دفاعی مناسبی داشته باشید
https://ctf.hackthebox.com/pack/blue-team-analyst-level-1
https://tryhackme.com/path/outline/blueteam
گام دوم شما باید آشنایی با بهترین روش های امن سازی داشته باشید منابع CIS را مطالعه کنید برای تمامی صنعت ها بهترین روشها ارایه شده است و همچنین بروزرسانی، سیاست پسورد امن و دادن حداقل دسترسی به همه
https://www.cisecurity.org/controls/v8
گام سوم هر چقدر شبکه ها کوچک تر بشوند و vlan بندی اصطلاحا بشود در صورت نفوذ به هر بخش امکان تاثیر گذاری روی کل سازمان حداقلی است
گام چهارم استفاده از سیستم های مانیتورینگ و تشخیص حمله
IDS سیستم تشخیص نفوذ
IPS سیستم جلوگیری از نفوذ
SIEM اطلاعات امنیتی و مدیریت رویداد
می توانید از elk security جهت تمرین استفاده کنید
گام پنجم IRP طرح واکنش به حادثه
یک طرح جامع واکنش به حادثه ایجاد کنید که رویههای واضحی را برای شناسایی، واکنش و بازیابی حوادث امنیتی مشخص میکند.
گام 6 TH یا شکار تهدید (مهم)
خیلی از تهدیدهای بالقوه در سازمان ها و حملات توسط ابزارهای اتومات قابل شناسایی نیستند و نیازمند شکار تهدید هستند. مهارت در شکار تهدید بسیار مهم هست
SOC tiers
tier 1 triage specialist
tier 2 incident response + threat intelligence
tier 3 TH
و مدیر soc
گام هفتم
اموزش به کارکنان: به طور منظم به کارکنان در مورد بهترین شیوه های امنیت سایبری و تهدیدات احتمالی مانند فیشینگ و مهندسی اجتماعی آموزش دهید.
اجرا تمرین های فیشینگ در سازمان ها
گام هشتم
پیاده سازی مدیریت آسیب پذیری داشتن همچین برنامه ای برای شناسایی آُسیب پذیری های روی دارایی های سازمان الویت بندی و آپدیت کردن آن ها خیلی مهم است
گام نهم
نظارت مستمر یا continues monitoring سازمان هایی که نظارت مستمر ندارند و توانایی کشف ناهنجاری anomalies و رفتارهای مشکوک را ندارند خیلی راحت هک می شوند
خیلی ساده وصل شدن به سرورها بعد از ساعت کاری
گام دهم
همکاری و حضور در جلسات تیم بنفش و رفع مشکلات و حملات با ارایه راه حل ها یا آپدیت رول هایی که توسط تیم قرمز بایپس شده اند
گام یازدهم
تجزیه و تحلیل شبکه: به صورت کلی باید pattern رفتار شبکه عادیتان را داشته باشید تا بتوانید رفتار مشکوک یا ناهجاری را تشخیص دهید امروزه برای این کار از ML استفاده می شود train رفتار شبکه عادی و کشف خودکار ناهنجاری
گام دوازدهم
ارزیابی امنیتی به صورت ادواری و منظم، سازمان ها باید به صورت منظم پن تست شوند چرا که آسیب پذیریهای جدیدی که بعد از ارزیابی گذشته کشف شدند هنوز به صورت بالقوه در سازمان ها وجود دارند
گام 13
هوش تهدید: راه اندازی هوش تهدید کار بسیار پیچیده ای هست و همچنین هزینه های گزافی دارد اما می توان از اطلاعاتی که شرکت های CTI می دهند جهت شناسایی تهدیدها استفاده کرد نکته مهم این است CTI feed شرکت های خارجی به درد ایران نمی خورد چون C2 ها کشف شده برای کشور اروپایی امریکایی
گام چهاردهم
داشتن برنامه برای بک اپ گیری زندگی شما را نجات می دهد و اما خود بک اپ گیری بسیار مهم است و تخصص محسوب می شود چرا که انواع مختلف و همچنین نوع ذخیره سازی بسیار مهم است
گام 15
هر سازمان خروجی منحصر به فرد دارد شیوه امن کردن سازمان ها به یک شکل نیست و با یک کتاب یک فرمول امن نمی شود باید هاردنینگ بر اساس هر سازمان انجام شود.
تیم آبی نیاز به یک رویکرد فعال و هوشیار برای دفاع در برابر تهدیدات سایبری دارد.
تیم ابی بدون همکاری با تیم قرمز موثر نیست
@Engineer_Computer
HTB - Capture The Flag
CTF Challenges for Blue Team Analyst - Level 1 | HTB CTF
Building Your Skills as a Junior Blue Team Analyst