GitHub
GitHub - Whitecat18/Powershell-Scripts-for-Hackers-and-Pentesters: An List of my Powershell scripts, commands and Blogs for windows…
An List of my Powershell scripts, commands and Blogs for windows Red Teaming. - GitHub - Whitecat18/Powershell-Scripts-for-Hackers-and-Pentesters: An List of my Powershell scripts, commands and Bl...
👁🗨A list of Powershell scripts, commands and blogs for Windows Red Teaming.
🌐 https://github.com/Whitecat18/Powershell-Scripts-for-Hackers-and-Pentesters
#github
#tools
@iDeFense
🌐 https://github.com/Whitecat18/Powershell-Scripts-for-Hackers-and-Pentesters
#github
#tools
@iDeFense
⚡1👍1💯1🆒1
🔺RCE-in-Confluence-Data-Center-and-Server
🔺 راهحلهای نرمافزاری Confluence Server و Data Center بهطور گسترده در تنظیمات سازمانی برای مدیریت پایگاههای دانش Wiki، مستندسازی و ... استفاده میشوند.
🦠 https://github.com/absholi7ly/-CVE-2024-21683-RCE-in-Confluence-Data-Center-and-Server/
@iDeFense
⚠️ آسیبپذیری اجرای کد از راه دور CVE-2024-21683 به راحتی میتواند به سلاح تبدیل شود (از طریق یک فایل زبان جاوا اسکریپت ساخته شده خاص) و برای بهرهبرداری از آن نیازی به تعامل کاربر ندارد!
🌀 اما به نظر آنقدر حیاتی نیست زیرا سایر پیششرطها باید برآورده شوند،
درواقع یعنی:
🚩 مهاجم باید به Confluence وارد شود
🚩 مهاجم باید از امتیازات کافی برای افزودن زبان های ماکرو جدید برخوردار باشد
🚩 فایل جاوا اسکریپت حاوی کد مخرب جاوا باید در پیکربندی کد ماکرو آپلود شود و سپس
==> Add a new language
🦠 در اصل این آسیبپذیری به دلیل نقص در مکانیسم اعتبارسنجی ورودی در عملکرد «افزودن زبان جدید» در بخش «پیکربندی کد ماکرو» ایجاد میشود.
🔬 اعتبار سنجی ناکافی به مهاجم احراز هویت شده اجازه می دهد تا کد مخرب جاوا را که در یک فایل تعبیه شده است، تزریق کند که روی سرور اجرا می شود.
#CVE_2024_21683
#Confluence
#exploit
#POC
@iDeFense
🔺 راهحلهای نرمافزاری Confluence Server و Data Center بهطور گسترده در تنظیمات سازمانی برای مدیریت پایگاههای دانش Wiki، مستندسازی و ... استفاده میشوند.
🦠 https://github.com/absholi7ly/-CVE-2024-21683-RCE-in-Confluence-Data-Center-and-Server/
@iDeFense
⚠️ آسیبپذیری اجرای کد از راه دور CVE-2024-21683 به راحتی میتواند به سلاح تبدیل شود (از طریق یک فایل زبان جاوا اسکریپت ساخته شده خاص) و برای بهرهبرداری از آن نیازی به تعامل کاربر ندارد!
🌀 اما به نظر آنقدر حیاتی نیست زیرا سایر پیششرطها باید برآورده شوند،
درواقع یعنی:
🚩 مهاجم باید به Confluence وارد شود
🚩 مهاجم باید از امتیازات کافی برای افزودن زبان های ماکرو جدید برخوردار باشد
🚩 فایل جاوا اسکریپت حاوی کد مخرب جاوا باید در پیکربندی کد ماکرو آپلود شود و سپس
==> Add a new language
🦠 در اصل این آسیبپذیری به دلیل نقص در مکانیسم اعتبارسنجی ورودی در عملکرد «افزودن زبان جدید» در بخش «پیکربندی کد ماکرو» ایجاد میشود.
🔬 اعتبار سنجی ناکافی به مهاجم احراز هویت شده اجازه می دهد تا کد مخرب جاوا را که در یک فایل تعبیه شده است، تزریق کند که روی سرور اجرا می شود.
#CVE_2024_21683
#Confluence
#exploit
#POC
@iDeFense
GitHub
GitHub - absholi7ly/-CVE-2024-21683-RCE-in-Confluence-Data-Center-and-Server: This vulnerability could allow an attacker to take…
This vulnerability could allow an attacker to take complete control of a vulnerable Confluence server. This could allow the attacker to steal data, modify data, or disrupt the availability of the s...
👏2👍1💯1
🔎 deeper understanding of Reflective DLL Injection
🔺BasicLDR is a tool designed to download a PNG from a specified URL into memory, extract and decrypt an embedded DLL from the last IDAT section of PNG, and execute it using Reflective DLL Injection technique.
📖 Reflective DLL Injection, first introduced by Stephen Fewer, is a well-known technique for loading DLLs from memory. This project does not introduce any new techniques. Its primary purpose is for educational learning, allowing you to gain a deeper understanding of Reflective DLL Injection and other malware techniques by reimplementing them from scratch. Additionally, it provides a foundation for developing a custom loader builder with various evasive techniques in the future.
⚠️ This project is intended for educational purposes only.
🍥 https://github.com/AlionGreen/BasicLDR
@iDeFense
GitHub
GitHub - AlionGreen/BasicLDR: BasicLDR: A Reflective DLL Loader
BasicLDR: A Reflective DLL Loader. Contribute to AlionGreen/BasicLDR development by creating an account on GitHub.
👏2❤1🌚1💯1
Summoning Team
There are no Secrets || Exploiting Veeam CVE-2024-29855
This vulenrability is due to the fact that JWT secret used to generate authentication tokens was a hardcoded value which means an unauthenticated attacker can generate valid tokens for any user (not just the administrator) and login to the Veeam Recovery…
♨️PoC for the Veeam Recovery Orchestrator Authentication
🔺Authentication bypass vulnerability CVE-2024-29855 affecting Veeam Recovery Orchestrator
📚 https://summoning.team/blog/veeam-recovery-orchestrator-auth-bypass-cve-2024-29855/
⚙️ https://github.com/sinsinology/CVE-2024-29855
#CVE_2024_29855
#github
#poc
@iDeFense
🔺Authentication bypass vulnerability CVE-2024-29855 affecting Veeam Recovery Orchestrator
📚 https://summoning.team/blog/veeam-recovery-orchestrator-auth-bypass-cve-2024-29855/
⚙️ https://github.com/sinsinology/CVE-2024-29855
#CVE_2024_29855
#github
#poc
@iDeFense
👍3🤷♂1
⭕️ SolarWinds Serv-U was susceptible to a directory transversal vulnerability that would allow access to read sensitive files on the host machine.
♨️ This repository contains a proof-of-concept (PoC) and a bulk scanner for the SolarWinds Serv-U CVE-2024-28995 directory traversal vulnerability. This vulnerability allows unauthorized access to read sensitive files on the host machine.
🔺https://attackerkb.com/topics/2k7UrkHyl3/cve-2024-28995/rapid7-analysis
🦠 https://github.com/bigb0x/CVE-2024-28995
🦠 https://sploitus.com/exploit?id=A5677283-7A4F-5582-B568-CED97ABE7445
#CVE_2024_28995
#directory_transversal
#SolarWinds
#POC
@iDeFense
♨️ This repository contains a proof-of-concept (PoC) and a bulk scanner for the SolarWinds Serv-U CVE-2024-28995 directory traversal vulnerability. This vulnerability allows unauthorized access to read sensitive files on the host machine.
🔺https://attackerkb.com/topics/2k7UrkHyl3/cve-2024-28995/rapid7-analysis
🦠 https://github.com/bigb0x/CVE-2024-28995
🦠 https://sploitus.com/exploit?id=A5677283-7A4F-5582-B568-CED97ABE7445
#Windows
GET /?InternalDir=/../../../../windows&InternalFile=win.ini HTTP/1.1
#linux
GET /?InternalDir=\..\..\..\..\etc&InternalFile=passwd HTTP/1.1
#CVE_2024_28995
#directory_transversal
#SolarWinds
#POC
@iDeFense
AttackerKB
CVE-2024-28995 | AttackerKB
SolarWinds Serv-U was susceptible to a directory transversal vulnerability that would allow access to read sensitive files on the host machine
👌1
Security Investigation - Be the first to investigate
Mapping MITRE ATT&CK with Window Event Log IDs - Security Investigation
Author/Credits: mdecrevoisier MITRE Att@ck is known for its Tactics & Techniques. Each and every attack is mapped with MITRE Att@ck. ATT&CK stands for adversarial tactics, techniques, and common knowledge. The tactics are a modern way of looking at cyberattacks.…
🔎 Mapping ATT&CK to Windows Event IDs:
🔬 https://www.socinvestigation.com/mapping-mitre-attck-with-window-event-log-ids/
#BlueTeam
#SOC
@iDeFese
🤝4👍3
GitHub
GitHub - EvilBytecode/Keylogger: Go keylogger for Windows, logging keyboard input to a file using Windows API functions, and it…
Go keylogger for Windows, logging keyboard input to a file using Windows API functions, and it is released under the Unlicense. - EvilBytecode/Keylogger
♨️ Go keylogger for Windows, logging keyboard input to a file using Windows API functions.
👁🗨 https://github.com/EvilBytecode/Keylogger
#github
#Tools
#Golang
#RedTeam
@iDeFense
👁🗨 https://github.com/EvilBytecode/Keylogger
#github
#Tools
#Golang
#RedTeam
@iDeFense
👍6
iDeFense-WinAPI_RT.pdf
992.2 KB
❤🔥2👏2👍1
♨️ https://github.com/Flangvik/QRucible
🌀Python utility that generates "imageless" QR codes in various formats
#github
#tools
#RedTeam
#initial_access
@iDeFense
🌀Python utility that generates "imageless" QR codes in various formats
The output path to an HTML or EML file.
--css Generate QR code using CSS format.
--tables Generate QR code using the Table method.
Default --eml Generate an EML file instead of an HTML file.
#github
#tools
#RedTeam
#initial_access
@iDeFense
👌4👍3❤1
Blogspot
Killing Sysmon Silently
Today I've got a mini-blog with commentary on what I view as a pretty nasty bug in Sysinternals' Sysmon. After reading Sysinternals Sysmon...
🔍 حملات پیرامون sysmon به همراه روش های تشخیص آن را بررسی کنید...
🔺Unloading Sysmon Driver
🔺Attacks Via Custom Driver
🔺Kill the Sysmon Service
🔺Manipulating the Rules Registry Key
🔺Patching Sysmon in Memory
🚩 و شاید روش هایی غیر قابل شناسایی برای sysmon و Windows Event Log با وجود حتی ادامه فعالیت sysmon و در حالت userMode قابل اجرا باشد!
🔬 https://codewhitesec.blogspot.com/2022/09/attacks-on-sysmon-revisited-sysmonente.html
#RedTeam
#sysmon
#Defense_Evasion
#SOC
@iDeFense
🔺Unloading Sysmon Driver
🔰 Detectable via Sysmon event id 255 ( Windows Security Event ID 4672)
🔺Attacks Via Custom Driver
🔰 Detectable via Sysmon event id 6 ( Driver loaded )
🔺Kill the Sysmon Service
🔰Sysmon Event ID 10 (Process Access with at least PROCESS_TERMINATE flag set; The last event forwarded by Sysmon).
🔺Manipulating the Rules Registry Key
🔰Sysmon Event ID 16,13
🔺Patching Sysmon in Memory
🔰Sysmon Event ID Event ID 10.(Process Access with at least PROCESS_VM_OPERATION | PROCESS_VM_WRITE)
🚩 و شاید روش هایی غیر قابل شناسایی برای sysmon و Windows Event Log با وجود حتی ادامه فعالیت sysmon و در حالت userMode قابل اجرا باشد!
🔬 https://codewhitesec.blogspot.com/2022/09/attacks-on-sysmon-revisited-sysmonente.html
#RedTeam
#sysmon
#Defense_Evasion
#SOC
@iDeFense
👏3👍2❤1⚡1
🔍 ابزار Hound یک ابزار ساده و سبک برای جمع آوری اطلاعات و گرفتن مختصات دقیق GPS
💢 https://github.com/techchipnet/houndGPS
🌐 https://www.youtube.com/watch?v=IiJRyVmITgI
#github
#tools
#Information_Gathering
@iDeFense
YouTube
Hound: How Ethical Hacker Capture GPS Coordinates [Hindi]
Watch advance video tutorials- please visit : https://www.cybertube.net/
In this video I will be showing our new GItHub tool Hound for capture GPS location. How ethical hackers can get exact GPS location of scammers or criminals? How hackers get exact location…
In this video I will be showing our new GItHub tool Hound for capture GPS location. How ethical hackers can get exact GPS location of scammers or criminals? How hackers get exact location…
👨💻3🤝1
🟢 بسم الله الرحمن الرحیم 🟢
✅ لیست کتاب هایی که تاکنون به یاری دوستان در تیم آیدیفنس طبق رود مپ یاشار شاهین زاده ترجمه تحت لفظی شده است :
(کلیک کنید)
📚کتاب HTTP
📚کتاب نت ورک پلاس
📚 کتاب سکیوریتی پلاس
📚کتاب linux _in_action
📚کتاب برپ سوئیت
📚کتاب آپاچی
✅ همچنین ویدئو هایی که تاکنون از کتب ارائه شده و ده ها ویدئو ارزشمند دیگر به لطف دوستان در تیم آیدیفنس در اختیار شما عزیزان فارسی زبان قرار گرفته است به شرح زیر می باشد :
💠 پلی لیست کتاب فارسی HTTP The Definitive Guide
💠 پلی لیست کتاب Linux in action
💠 پلی لیست معرفی کتب امنیتی
💠 پلی لیست Bash Script
💠 پلی لیست binary
💠 پلی لیست RedTeam
💠 پلی لیست Binary CTF
💠 پلی لیست گپ و گفت با متخصصان حوزه امنیت
@iDeFense
✅ لیست کتاب هایی که تاکنون به یاری دوستان در تیم آیدیفنس طبق رود مپ یاشار شاهین زاده ترجمه تحت لفظی شده است :
(کلیک کنید)
📚کتاب HTTP
📚کتاب نت ورک پلاس
📚 کتاب سکیوریتی پلاس
📚کتاب linux _in_action
📚کتاب برپ سوئیت
📚کتاب آپاچی
✅ همچنین ویدئو هایی که تاکنون از کتب ارائه شده و ده ها ویدئو ارزشمند دیگر به لطف دوستان در تیم آیدیفنس در اختیار شما عزیزان فارسی زبان قرار گرفته است به شرح زیر می باشد :
💠 پلی لیست کتاب فارسی HTTP The Definitive Guide
💠 پلی لیست کتاب Linux in action
💠 پلی لیست معرفی کتب امنیتی
💠 پلی لیست Bash Script
💠 پلی لیست binary
💠 پلی لیست RedTeam
💠 پلی لیست Binary CTF
💠 پلی لیست گپ و گفت با متخصصان حوزه امنیت
@iDeFense
Telegram
iDeFense
#Book
#HTTP
🔐 pass: @iDeFense
@iDeFense
#HTTP
🔐 pass: @iDeFense
@iDeFense
❤🔥17❤1👍1🔥1
⭕️ آیا میدانید فایلهای PDF میتوانند خطرات امنیتی زیادی داشته باشند؟!
برای مثال مهاجم میتواند از این فایلها برای اجرای کدهای مخرب روی سیستم قربانی استفاده کند.
برخی از تکنیکهای بهرهبرداری از PDF شامل:
🔺 اجرا کد از راه دور (Remote Code Execution): یک PDF میتواند شامل کدی باشد که به محض باز شدن، روی سیستم اجرا شود.
🔺 سرقت کوکیها: فایلهای PDF میتوانند کوکیهای مرورگر را استخراج کنند.
🔺 حملات دامنه: یک PDF میتواند شامل لینکهای مخربی باشد که کاربر را به سایتهای فیشینگ هدایت کند.
⚠️ برای کاهش این خطرات:
✅ از باز کردن فایلهای PDF ناشناس خودداری کنید.
✅ از ابزارها و نرمافزارهای بهروز و معتبر جهت باز کردن استفاده کنید.
🦠 برای اطلاعات بیشتر و نمونههای عملی این بهرهبرداریها، میتوانید به مخزن pdFExploits مراجعه کنید.
👁🗨 https://github.com/coffinxp/pdFExploits
#github
#RedTeam
@iDeFense
GitHub
GitHub - coffinxp/pdFExploits
Contribute to coffinxp/pdFExploits development by creating an account on GitHub.
😱5❤3👍1💯1
🔺 بازگشت یک آسیبپذیری مهم در OpenSSH: RegreSSHion🔺
⭕️ واحد تحقیقاتی تهدیدهای Qualys یک نقص امنیتی شدید و خطرناک که نیازمند توجه فوری و اعمال پچهای امنیتی برای جلوگیری از بهرهبرداری مهاجمان است در سرور OpenSSH (sshd) در سیستمهای لینوکس مبتنی بر glibc را کشف کرده است.
⭕️ این آسیبپذیری که با نام "RegreSSHion" شناخته میشود و شناسه CVE-2024-6387 را دارد، به عنوان یک نقص رقابتی در مدیریت سیگنالها در سرور OpenSSH شناسایی شده است.
📝 سیگنالها ابزارهایی در سیستمعامل هستند که برای اطلاعرسانی به فرآیندها در مورد وقایع خاص (مثل وقفهها یا خطاها) استفاده میشوند.
📚 اگر سیگنالها به طور همزمان و نادرست مدیریت شوند، ممکن است عملیاتهای مختلف به ترتیب صحیح اجرا نشوند و وقتی چندین عملیات به طور همزمان تلاش میکنند به یک منبع دسترسی پیدا کنند،( در حالی که اگر همزمانی به درستی مدیریت نشود) ، نقص رقابتی رخ میدهد و به این معناست که یک سیگنال ممکن است در حالی که عملیات دیگری در حال اجرا است، فراخوانی شود و مهاجم میتواند از این وضعیت بهرهبرداری کرده و کدی را به عنوان کاربر روت اجرا کند.
🛑 این آسیبپذیری روی نسخههای 8.5p1 تا 9.7p1 از OpenSSH تأثیر میگذارد.
🛑 نسخههای قبلی نیز در صورتی که برای CVE-2006-5051 و CVE-2008-4109 پچ نشده باشند، در معرض خطر قرار دارند.
🔰 برای محافظت از سیستمها در برابر این آسیبپذیری، توصیه میشود:
🛠 بروزرسانی OpenSSH: آخرین پچهای امنیتی را نصب کنید.
🛠 محدود کردن دسترسی SSH
🛠 تقسیمبندی شبکه
🦠 https://github.com/zgzhang/cve-2024-6387-poc 🦠
🦠 github.com/xonoxitron/regreSSHion 🦠
#OpenSSH
#CVE_2024_6387
#POC
#Exploit
@iDeFense
🔒 کشف یک تهدید بزرگ توسط Qualys: CVE-2024-6387
⭕️ واحد تحقیقاتی تهدیدهای Qualys یک نقص امنیتی شدید و خطرناک که نیازمند توجه فوری و اعمال پچهای امنیتی برای جلوگیری از بهرهبرداری مهاجمان است در سرور OpenSSH (sshd) در سیستمهای لینوکس مبتنی بر glibc را کشف کرده است.
⭕️ این آسیبپذیری که با نام "RegreSSHion" شناخته میشود و شناسه CVE-2024-6387 را دارد، به عنوان یک نقص رقابتی در مدیریت سیگنالها در سرور OpenSSH شناسایی شده است.
⚠️ این نقص امکان اجرای کد از راه دور بدون نیاز به احراز هویت را به مهاجمان میدهد، به گونهای که میتوانند به صورت روت در سیستمهای لینوکس مبتنی بر glibc کد مخرب خود را اجرا کنند
📝 سیگنالها ابزارهایی در سیستمعامل هستند که برای اطلاعرسانی به فرآیندها در مورد وقایع خاص (مثل وقفهها یا خطاها) استفاده میشوند.
📚 اگر سیگنالها به طور همزمان و نادرست مدیریت شوند، ممکن است عملیاتهای مختلف به ترتیب صحیح اجرا نشوند و وقتی چندین عملیات به طور همزمان تلاش میکنند به یک منبع دسترسی پیدا کنند،( در حالی که اگر همزمانی به درستی مدیریت نشود) ، نقص رقابتی رخ میدهد و به این معناست که یک سیگنال ممکن است در حالی که عملیات دیگری در حال اجرا است، فراخوانی شود و مهاجم میتواند از این وضعیت بهرهبرداری کرده و کدی را به عنوان کاربر روت اجرا کند.
🛑 این آسیبپذیری روی نسخههای 8.5p1 تا 9.7p1 از OpenSSH تأثیر میگذارد.
🛑 نسخههای قبلی نیز در صورتی که برای CVE-2006-5051 و CVE-2008-4109 پچ نشده باشند، در معرض خطر قرار دارند.
🔰 برای محافظت از سیستمها در برابر این آسیبپذیری، توصیه میشود:
🛠 بروزرسانی OpenSSH: آخرین پچهای امنیتی را نصب کنید.
🛠 محدود کردن دسترسی SSH
🛠 تقسیمبندی شبکه
🦠 https://github.com/zgzhang/cve-2024-6387-poc 🦠
🦠 github.com/xonoxitron/regreSSHion 🦠
#OpenSSH
#CVE_2024_6387
#POC
#Exploit
@iDeFense
GitHub
GitHub - zgzhang/cve-2024-6387-poc: a signal handler race condition in OpenSSH's server (sshd)
a signal handler race condition in OpenSSH's server (sshd) - zgzhang/cve-2024-6387-poc
❤4👍4🔥3
♨️ یک اسکریپت bash برای nmap برای اسکن ماشینهای آسیبپذیر CVE-2024-6387 با توجه به ورژن آسیب پذیر OpenSSH
#POC
#CVE_2024_6387
#iDeFense
nmap -sV -Pn -p22 -iL servers.txt | awk '/Nmap scan report/{ip=$5} /OpenSSH/ {
if ($5 >= "8.5p1" && $5 < "9.8p1") {
status = "Vulnerable to CVE-2024-6387"
} else if ($5 >= "4.4p1" && $5 < "8.5p1") {
status = "Not vulnerable to CVE-2024-6387 (patched for CVE-2006-5051)"
} else if ($5 < "4.4p1") {
status = "Vulnerable to regreSSHion (unless patched for CVE-2006-5051 and CVE-2008-4109)"
}
if (status) {
print "Server: "ip"\t", "OpenSSH Version: "$5"\t", "Status: "status
status = ""
}
}'#POC
#CVE_2024_6387
#iDeFense
✍8👍5❤3⚡1
🔺 ابزار Mythic یک پلتفرم چند نفره، فرماندهی و کنترل برای تیمهای امنیتی است که در آن با استفاده از GoLang و Docker، میتوانید عوامل نفوذ (مثل تروجانها و ابزارهای جاسوسی) را به راحتی ایجاد و مدیریت کنید.
🦠 با استفاده از GoLang، میتوانید یک برنامه کوچک و کارآمد بنویسید که حجم کمی دارد و به راحتی اجرا میشود. سپس با Docker، این برنامه را در یک محیط ایزوله قرار میدهید و به صورت بستهبندی شده در اختیار تیم خود قرار میدهید.
🌀 در اینجا Docker به شما این امکان را میدهد که این برنامه را روی هر سیستمی اجرا کنید بدون نگرانی از تداخل با دیگر برنامهها و این یعنی شما و تیمتان میتوانید به راحتی برنامهها و ابزارهای خود را بدون نیاز به تنظیمات پیچیده به اشتراک بگذارید و اجرا کنید.
♦️ در نهایت، همه اعضای تیم میتوانند از طریق رابط وب Mythic به این ابزار دسترسی داشته باشند و با هم هماهنگ شوند، مثل این که دارید در یک اتاق فرماندهی واقعی کار میکنید.
👁🗨 github.com/its-a-feature/Mythic
🔻 www.youtube.com/playlist?list=PLHVFedjbv6sNLB1QqnGJxRBMukPRGYa-H
📚 https://docs.mythic-c2.net
#C2
#RedTeam
#Tools
@iDeFense
🦠 با استفاده از GoLang، میتوانید یک برنامه کوچک و کارآمد بنویسید که حجم کمی دارد و به راحتی اجرا میشود. سپس با Docker، این برنامه را در یک محیط ایزوله قرار میدهید و به صورت بستهبندی شده در اختیار تیم خود قرار میدهید.
🌀 در اینجا Docker به شما این امکان را میدهد که این برنامه را روی هر سیستمی اجرا کنید بدون نگرانی از تداخل با دیگر برنامهها و این یعنی شما و تیمتان میتوانید به راحتی برنامهها و ابزارهای خود را بدون نیاز به تنظیمات پیچیده به اشتراک بگذارید و اجرا کنید.
♦️ در نهایت، همه اعضای تیم میتوانند از طریق رابط وب Mythic به این ابزار دسترسی داشته باشند و با هم هماهنگ شوند، مثل این که دارید در یک اتاق فرماندهی واقعی کار میکنید.
👁🗨 github.com/its-a-feature/Mythic
🔻 www.youtube.com/playlist?list=PLHVFedjbv6sNLB1QqnGJxRBMukPRGYa-H
📚 https://docs.mythic-c2.net
#C2
#RedTeam
#Tools
@iDeFense
👍5❤2✍1👏1🤝1🆒1
iDeFense
🔺 ابزار Mythic یک پلتفرم چند نفره، فرماندهی و کنترل برای تیمهای امنیتی است که در آن با استفاده از GoLang و Docker، میتوانید عوامل نفوذ (مثل تروجانها و ابزارهای جاسوسی) را به راحتی ایجاد و مدیریت کنید. 🦠 با استفاده از GoLang، میتوانید یک برنامه کوچک و…
🔖 گزارشی درباره حمله هدفمند سایبری که در آن از فریمورک Mythic با نام اجرایی Athena استفاده شده است:
🦠 ورودی حمله: مهاجمان از طریق ایمیلهای فیشینگ با پیوستهای فشرده WinRAR برای دستیابی اولیه به سیستمها استفاده کردند.
🧨 محتوای پیوست: فایلهای داخل این Winrar شامل یک فایل PDF و یک فایل با همان نام ولی با پسوند .cmd (در واقع دو فایل با اسم یکسان ولی یکی با، یک فاصله بعد از pdf) بود که از آسیبپذیری CVE-2023-38831 در WinRAR تا نسخه 6.22 بهرهبرداری میکرد.
🔗 فایل .cmd، که در واقع یک فایل اجرایی بود، محتوایی داشت که PowerShell را از طریق Base64 دانلود و اجرا میکرد. این PowerShell ابتدا یک PDF تقلبی را دانلود کرده و نمایش میداد تا توجه را از فعالیتهای مخرب اصلیشان منحرف کند.
🕷 سپس یک فایل اجرایی به نام aimp2.exe که به عنوان “Athena” یکی از عوامل Mythic C2 Framework شناخته شده است را در مسیر
\AppData\Local\MicrosoftWindows\Ringtone\
ایجاد و یک وظیفه برنامهریزی شده ( Task Scheduler ) را برای اجرای آن در هر 10 دقیقه تعبیه کردند.
👁🗨 فریمورک Mythic با نام اجرایی Athena در حالت self-contained ساخته شده بود به این معنی که به همراه کد اصلی خود یک محیط اجرایی .NET را هم در خود جای داده بود، و حجم این فایل را به حدود 34 مگابایت رسانده بود.
🕸 در نهایت، برای مخفیکاری بیشتر در ارتباطات شبکهای، از یک ابزار C3 (Custom Command and Control) استفاده کردند که از ارتباطات مخصوص به Discord برای ارسال دستورات به Agent استفاده میکند.
📚 به طور کلی، C3 به عنوان یک ابزار پیشرفته C2، امکانات گستردهای برای مدیریت حملات سایبری فراهم میکند و این شامل استفاده از Discord، Slack و Telegram به عنوان روشهای ارتباطی است که به تیمهای امنیتی اجازه میدهد تا برنامهریزی، اجرا و مخفیکاری در فعالیتهایشان را بهبود بخشند.
#Doc
#Mythic_Agents
https://github.com/MythicAgents/
#C3
https://github.com/WithSecureLabs/C3
#Winrar
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/exploring-winrar-vulnerability-cve-2023-38831
@iDeFense
https://cyble.com/blog/threat-actor-deploys-mythics-athena-agent-to-target-russian-semiconductor-suppliers/
🦠 ورودی حمله: مهاجمان از طریق ایمیلهای فیشینگ با پیوستهای فشرده WinRAR برای دستیابی اولیه به سیستمها استفاده کردند.
🧨 محتوای پیوست: فایلهای داخل این Winrar شامل یک فایل PDF و یک فایل با همان نام ولی با پسوند .cmd (در واقع دو فایل با اسم یکسان ولی یکی با، یک فاصله بعد از pdf) بود که از آسیبپذیری CVE-2023-38831 در WinRAR تا نسخه 6.22 بهرهبرداری میکرد.
🔗 فایل .cmd، که در واقع یک فایل اجرایی بود، محتوایی داشت که PowerShell را از طریق Base64 دانلود و اجرا میکرد. این PowerShell ابتدا یک PDF تقلبی را دانلود کرده و نمایش میداد تا توجه را از فعالیتهای مخرب اصلیشان منحرف کند.
🕷 سپس یک فایل اجرایی به نام aimp2.exe که به عنوان “Athena” یکی از عوامل Mythic C2 Framework شناخته شده است را در مسیر
\AppData\Local\MicrosoftWindows\Ringtone\
ایجاد و یک وظیفه برنامهریزی شده ( Task Scheduler ) را برای اجرای آن در هر 10 دقیقه تعبیه کردند.
👁🗨 فریمورک Mythic با نام اجرایی Athena در حالت self-contained ساخته شده بود به این معنی که به همراه کد اصلی خود یک محیط اجرایی .NET را هم در خود جای داده بود، و حجم این فایل را به حدود 34 مگابایت رسانده بود.
🕸 در نهایت، برای مخفیکاری بیشتر در ارتباطات شبکهای، از یک ابزار C3 (Custom Command and Control) استفاده کردند که از ارتباطات مخصوص به Discord برای ارسال دستورات به Agent استفاده میکند.
📚 به طور کلی، C3 به عنوان یک ابزار پیشرفته C2، امکانات گستردهای برای مدیریت حملات سایبری فراهم میکند و این شامل استفاده از Discord، Slack و Telegram به عنوان روشهای ارتباطی است که به تیمهای امنیتی اجازه میدهد تا برنامهریزی، اجرا و مخفیکاری در فعالیتهایشان را بهبود بخشند.
#Doc
#Mythic_Agents
https://github.com/MythicAgents/
#C3
https://github.com/WithSecureLabs/C3
#Winrar
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/exploring-winrar-vulnerability-cve-2023-38831
@iDeFense
https://cyble.com/blog/threat-actor-deploys-mythics-athena-agent-to-target-russian-semiconductor-suppliers/
👍5❤1👏1