♨️PoC for the Veeam Recovery Orchestrator Authentication

🔺Authentication bypass vulnerability CVE-2024-29855 affecting Veeam Recovery Orchestrator

📚 https://summoning.team/blog/veeam-recovery-orchestrator-auth-bypass-cve-2024-29855/

⚙️ https://github.com/sinsinology/CVE-2024-29855


#CVE_2024_29855
#github
#poc

@iDeFense

⭕️ SolarWinds Serv-U was susceptible to a directory transversal vulnerability that would allow access to read sensitive files on the host machine.

♨️ This repository contains a proof-of-concept (PoC) and a bulk scanner for the SolarWinds Serv-U CVE-2024-28995 directory traversal vulnerability. This vulnerability allows unauthorized access to read sensitive files on the host machine.

🔺https://attackerkb.com/topics/2k7UrkHyl3/cve-2024-28995/rapid7-analysis

🦠 https://github.com/bigb0x/CVE-2024-28995
🦠 https://sploitus.com/exploit?id=A5677283-7A4F-5582-B568-CED97ABE7445

#Windows
GET /?InternalDir=/../../../../windows&InternalFile=win.ini HTTP/1.1

#linux
GET /?InternalDir=\..\..\..\..\etc&InternalFile=passwd HTTP/1.1

#CVE_2024_28995
#directory_transversal
#SolarWinds
#POC

@iDeFense

🔎 Mapping ATT&CK to Windows Event IDs:

🔬 https://www.socinvestigation.com/mapping-mitre-attck-with-window-event-log-ids/

#BlueTeam
#SOC

@iDeFese

♨️ Go keylogger for Windows, logging keyboard input to a file using Windows API functions.

👁‍🗨 https://github.com/EvilBytecode/Keylogger

#github
#Tools
#Golang
#RedTeam

@iDeFense

📚"Windows API for Red Team", 2024.

#Whitepaper
#RedTeam

@iDeFense

♨️ https://github.com/Flangvik/QRucible

🌀Python utility that generates "imageless" QR codes in various formats

The output path to an HTML or EML file.
--css Generate QR code using CSS format.
--tables Generate QR code using the Table method.
Default --eml Generate an EML file instead of an HTML file. 

#github
#tools
#RedTeam
#initial_access

@iDeFense

🔍 حملات پیرامون sysmon به همراه روش های تشخیص آن را بررسی کنید...

🔺Unloading Sysmon Driver

🔰 Detectable via Sysmon event id 255 ( Windows Security Event ID 4672)

🔺Attacks Via Custom Driver

🔰 Detectable via Sysmon event id 6 ( Driver loaded )

🔺Kill the Sysmon Service

🔰Sysmon Event ID 10 (Process Access with at least PROCESS_TERMINATE flag set; The last event forwarded by Sysmon).

🔺Manipulating the Rules Registry Key

🔰Sysmon Event ID 16,13

🔺Patching Sysmon in Memory

🔰Sysmon Event ID Event ID 10.(Process Access with at least PROCESS_VM_OPERATION | PROCESS_VM_WRITE)

🚩 و شاید روش هایی غیر قابل شناسایی برای sysmon و Windows Event Log با وجود حتی ادامه فعالیت sysmon و در حالت userMode قابل اجرا باشد!

🔬 https://codewhitesec.blogspot.com/2022/09/attacks-on-sysmon-revisited-sysmonente.html

#RedTeam
#sysmon
#Defense_Evasion
#SOC

@iDeFense

📚 کتاب Apache Cookbook حاشیه نویسی شده به فارسی
🔰 برای کسانی که میخواهند وارد دنیای وب شوند...
⚜️ با تشکر از همه دوستانی که برای آماده سازی این اثر زحمت کشیدند🙏
🏆 تقدیم با ❤️ به همه ایرانیان
#Book
#Apache
#Web
🔐 pass: @iDeFense

@iDeFense

🔍 ابزار Hound یک ابزار ساده و سبک برای جمع آوری اطلاعات و گرفتن مختصات دقیق GPS

💢 https://github.com/techchipnet/houndGPS
🌐 https://www.youtube.com/watch?v=IiJRyVmITgI

#github
#tools
#Information_Gathering

@iDeFense

🟢 بسم الله الرحمن الرحیم 🟢

✅ لیست کتاب هایی که تاکنون به یاری دوستان در تیم آیدیفنس طبق رود مپ یاشار شاهین زاده ترجمه تحت لفظی شده است :

(کلیک کنید)
📚کتاب HTTP
📚کتاب نت ورک پلاس
📚 کتاب سکیوریتی پلاس
📚کتاب linux _in_action
📚کتاب برپ سوئیت
📚کتاب آپاچی

✅ همچنین ویدئو هایی که تاکنون از کتب ارائه شده و ده ها ویدئو ارزشمند دیگر به لطف دوستان در تیم آیدیفنس در اختیار شما عزیزان فارسی زبان قرار گرفته است به شرح زیر می باشد :

💠 پلی لیست کتاب فارسی HTTP The Definitive Guide
💠 پلی لیست کتاب Linux in action
💠 پلی لیست معرفی کتب امنیتی
💠 پلی لیست Bash Script
💠 پلی لیست binary
💠 پلی لیست RedTeam
💠 پلی لیست Binary CTF
💠 پلی لیست گپ و گفت با متخصصان حوزه امنیت
@iDeFense

⭕️ آیا میدانید فایل‌های PDF می‌توانند خطرات امنیتی زیادی داشته باشند؟!

برای مثال مهاجم می‌تواند از این فایل‌ها برای اجرای کدهای مخرب روی سیستم قربانی استفاده کند.
برخی از تکنیک‌های بهره‌برداری از PDF شامل:

🔺 اجرا کد از راه دور (Remote Code Execution): یک PDF می‌تواند شامل کدی باشد که به محض باز شدن، روی سیستم اجرا شود.

🔺 سرقت کوکی‌ها: فایل‌های PDF می‌توانند کوکی‌های مرورگر را استخراج کنند.

🔺 حملات دامنه: یک PDF می‌تواند شامل لینک‌های مخربی باشد که کاربر را به سایت‌های فیشینگ هدایت کند.

⚠️ برای کاهش این خطرات:

✅ از باز کردن فایل‌های PDF ناشناس خودداری کنید.

✅ از ابزارها و نرم‌افزارهای به‌روز و معتبر جهت باز کردن استفاده کنید.

🦠 برای اطلاعات بیشتر و نمونه‌های عملی این بهره‌برداری‌ها، می‌توانید به مخزن pdFExploits مراجعه کنید.

👁‍🗨 https://github.com/coffinxp/pdFExploits

#github
#RedTeam

@iDeFense

🔺 بازگشت یک آسیب‌پذیری مهم در OpenSSH: RegreSSHion🔺

🔒 کشف یک تهدید بزرگ توسط Qualys: CVE-2024-6387

⭕️ واحد تحقیقاتی تهدیدهای Qualys یک نقص امنیتی شدید و خطرناک که نیازمند توجه فوری و اعمال پچ‌های امنیتی برای جلوگیری از بهره‌برداری مهاجمان است در سرور OpenSSH (sshd) در سیستم‌های لینوکس مبتنی بر glibc را کشف کرده است.
⭕️ این آسیب‌پذیری که با نام "RegreSSHion" شناخته می‌شود و شناسه CVE-2024-6387 را دارد، به عنوان یک نقص رقابتی در مدیریت سیگنال‌ها در سرور OpenSSH شناسایی شده است.

⚠️ این نقص امکان اجرای کد از راه دور بدون نیاز به احراز هویت را به مهاجمان می‌دهد، به گونه‌ای که می‌توانند به صورت روت در سیستم‌های لینوکس مبتنی بر glibc کد مخرب خود را اجرا کنند

📝 سیگنال‌ها ابزارهایی در سیستم‌عامل هستند که برای اطلاع‌رسانی به فرآیندها در مورد وقایع خاص (مثل وقفه‌ها یا خطاها) استفاده می‌شوند.

📚 اگر سیگنال‌ها به طور همزمان و نادرست مدیریت شوند، ممکن است عملیات‌های مختلف به ترتیب صحیح اجرا نشوند و وقتی چندین عملیات به طور همزمان تلاش می‌کنند به یک منبع دسترسی پیدا کنند،( در حالی که اگر همزمانی به درستی مدیریت نشود) ، نقص رقابتی رخ می‌دهد و به این معناست که یک سیگنال ممکن است در حالی که عملیات دیگری در حال اجرا است، فراخوانی شود و مهاجم می‌تواند از این وضعیت بهره‌برداری کرده و کدی را به عنوان کاربر روت اجرا کند.

🛑 این آسیب‌پذیری روی نسخه‌های 8.5p1 تا 9.7p1 از OpenSSH تأثیر می‌گذارد.

🛑 نسخه‌های قبلی نیز در صورتی که برای CVE-2006-5051 و CVE-2008-4109 پچ نشده باشند، در معرض خطر قرار دارند.

🔰 برای محافظت از سیستم‌ها در برابر این آسیب‌پذیری، توصیه می‌شود:
🛠 بروزرسانی OpenSSH: آخرین پچ‌های امنیتی را نصب کنید.
🛠 محدود کردن دسترسی SSH
🛠 تقسیم‌بندی شبکه
🦠 https://github.com/zgzhang/cve-2024-6387-poc 🦠
🦠 github.com/xonoxitron/regreSSHion 🦠

#OpenSSH
#CVE_2024_6387
#POC
#Exploit

@iDeFense

🔺 ابزار Mythic یک پلتفرم چند نفره، فرماندهی و کنترل برای تیم‌های امنیتی است که در آن با استفاده از GoLang و Docker، می‌توانید عوامل نفوذ (مثل تروجان‌ها و ابزارهای جاسوسی) را به راحتی ایجاد و مدیریت کنید.

🦠 با استفاده از GoLang، می‌توانید یک برنامه کوچک و کارآمد بنویسید که حجم کمی دارد و به راحتی اجرا می‌شود. سپس با Docker، این برنامه را در یک محیط ایزوله قرار می‌دهید و به صورت بسته‌بندی شده در اختیار تیم خود قرار می‌دهید.

🌀 در اینجا Docker به شما این امکان را می‌دهد که این برنامه را روی هر سیستمی اجرا کنید بدون نگرانی از تداخل با دیگر برنامه‌ها و این یعنی شما و تیم‌تان می‌توانید به راحتی برنامه‌ها و ابزارهای خود را بدون نیاز به تنظیمات پیچیده به اشتراک بگذارید و اجرا کنید.

♦️ در نهایت، همه اعضای تیم می‌توانند از طریق رابط وب Mythic به این ابزار دسترسی داشته باشند و با هم هماهنگ شوند، مثل این که دارید در یک اتاق فرماندهی واقعی کار می‌کنید.


👁‍🗨 github.com/its-a-feature/Mythic

🔻 www.youtube.com/playlist?list=PLHVFedjbv6sNLB1QqnGJxRBMukPRGYa-H

📚 https://docs.mythic-c2.net

#C2
#RedTeam
#Tools

@iDeFense

🔖 گزارشی درباره حمله هدفمند سایبری که در آن از فریم‌ورک Mythic با نام اجرایی Athena استفاده شده است:

🦠 ورودی حمله: مهاجمان از طریق ایمیل‌های فیشینگ با پیوست‌های فشرده WinRAR برای دستیابی اولیه به سیستم‌ها استفاده کردند.

🧨 محتوای پیوست: فایل‌های داخل این Winrar شامل یک فایل PDF و یک فایل با همان نام ولی با پسوند .cmd (در واقع دو فایل با اسم یکسان ولی یکی با، یک فاصله بعد از pdf) بود که از آسیب‌پذیری CVE-2023-38831 در WinRAR تا نسخه 6.22 بهره‌برداری می‌کرد.

🔗 فایل .cmd، که در واقع یک فایل اجرایی بود، محتوایی داشت که PowerShell را از طریق Base64 دانلود و اجرا می‌کرد. این PowerShell ابتدا یک PDF تقلبی را دانلود کرده و نمایش می‌داد تا توجه را از فعالیت‌های مخرب اصلی‌شان منحرف کند.

🕷 سپس یک فایل اجرایی به نام aimp2.exe که به عنوان “Athena” یکی از عوامل Mythic C2 Framework شناخته شده است را در مسیر
\AppData\Local\MicrosoftWindows\Ringtone\
ایجاد و یک وظیفه برنامه‌ریزی شده ( Task Scheduler ) را برای اجرای آن در هر 10 دقیقه تعبیه کردند.

👁‍🗨 فریم‌ورک Mythic با نام اجرایی Athena در حالت self-contained ساخته شده بود به این معنی که به همراه کد اصلی خود یک محیط اجرایی .NET را هم در خود جای داده بود، و حجم این فایل را به حدود 34 مگابایت رسانده بود.

🕸 در نهایت، برای مخفی‌کاری بیشتر در ارتباطات شبکه‌ای، از یک ابزار C3 (Custom Command and Control) استفاده کردند که از ارتباطات مخصوص به Discord برای ارسال دستورات به Agent استفاده می‌کند.

📚 به طور کلی، C3 به عنوان یک ابزار پیشرفته C2، امکانات گسترده‌ای برای مدیریت حملات سایبری فراهم می‌کند و این شامل استفاده از Discord، Slack و Telegram به عنوان روش‌های ارتباطی است که به تیم‌های امنیتی اجازه می‌دهد تا برنامه‌ریزی، اجرا و مخفی‌کاری در فعالیت‌هایشان را بهبود بخشند.

#Doc
#Mythic_Agents
https://github.com/MythicAgents/

#C3
https://github.com/WithSecureLabs/C3

#Winrar
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/exploring-winrar-vulnerability-cve-2023-38831

@iDeFense
https://cyble.com/blog/threat-actor-deploys-mythics-athena-agent-to-target-russian-semiconductor-suppliers/

💢حتی قوی‌ترین رمزگذاری هم وقتی کلیدش دست همه باشه، شبیه در بازه!🧐

📚 قابلیت Group Policy Preferences (GPP) توی ویندوز به مدیران سیستم اجازه می‌دهد که تنظیمات خاصی رو برای همه کامپیوترهای شبکه تعیین کنن. یکی از این تنظیمات می‌تونه اضافه کردن کاربران محلی باشه
وقتی مدیران سیستم از این قابلیت برای تنظیم رمزهای عبور استفاده می‌کردند، این رمزها در فایل‌های XML ذخیره می‌شدند
که توی یه پوشه‌ای به نام SYSVOL روی سرور اصلی شبکه (کنترلر دامنه) ذخیره می‌شن و هر کسی که به شبکه وصله می‌تونه به این پوشه دسترسی داشته باشه

🚩 اگرچه این رمزها رمزگذاری می‌شدند، اما مشکل اینجا بود که کلید رمزگشایی این رمزها (کلید AES) به صورت عمومی منتشر شده بود!

‼️ زمانی که GPP معرفی شد، مایکروسافت به اشتباه کلید AES مورد استفاده برای رمزگذاری رمزهای عبور را به صورت عمومی در یکی از مستندات فنی خود منتشر کرد!

👁‍🗨 این مستندات به منظور توضیح نحوه عملکرد GPP و تنظیمات مربوط به آن بود، اما شامل کلید رمزگشایی AES نیز می‌شد!
بنابراین، هر کسی که به فایل‌های XML دسترسی پیدا می‌کرد، می‌توانست به راحتی رمزها را رمزگشایی کند!

👽 پس از انتشار این کلید، ابزارها و اسکریپت‌های مختلفی توسط جامعه امنیتی توسعه یافتند تا فرآیند استخراج و رمزگشایی رمزهای عبور GPP را ساده‌تر کنند
برخی از این ابزارها شامل موارد زیر می‌شوند:

💀 Metasploit:
این چارچوب قدرتمند برای تست نفوذ دارای ماژولی برای جمع‌آوری و رمزگشایی رمزهای عبور GPP است
💀 Get-GPPPassword:
یک اسکریپت PowerShell که برای استخراج و رمزگشایی رمزهای عبور GPP استفاده می‌شود
💀 gpprefdecrypt. py:
یک اسکریپت پایتون برای رمزگشایی رمزهای عبور GPP

🚑 پچ امنیتی MS14-025:
مایکروسافت در سال 2014 با انتشار پچ MS14-025 این مشکل را برطرف کرد. این پچ باعث شد تا امکان تنظیم رمزهای عبور از طریق GPP متوقف شود
⚠️ با این حال، سازمان‌هایی که این پچ را اعمال نکرده‌اند یا هنوز از GPP استفاده می‌کنند، در معرض خطر هستند

#Detection
✅ دستور مهاجمان برای پیدا کردن فایل‌های XML توی پوشه SYSVOL:

dir /s *.xml

✅ ایجاد حساب تله: یه حساب کاربری تله درست کن و اطلاعاتش رو توی یه فایل XML توی پوشه SYSVOL بذار
✅ مانیتور کردن: استفاده از این حساب کاربری رو زیر نظر داشته باش تا اگه کسی خواست ازش استفاده کنه، بفهمی

@iDeFense
🌐 https://attack.mitre.org/techniques/T1552/006/
🔬 https://adsecurity.org/?p=2288
#T1552.006
#SOC
#RedTeam
#BlueTeam

⭕️ تست نفوذ شبکه‌های بی‌سیم یکی از اجزای کلیدی در پروژه‌های pentest و red teaming است. با این حال، تمرکز بیشتر این تست‌ها بر روی شبکه‌های Wi-Fi است و کمتر به آسیب‌پذیری‌های بلوتوث توجه می‌شود

♨️ ابزار BlueToolkit یک فریمورک قدرتمند برای تست نفوذ و red teaming در زمینه شبکه‌های بی‌سیم، به ویژه بلوتوث است

🔷 این فریمورک شامل 43 اکسپلویت برای بهره‌برداری از آسیب‌پذیری‌های Bluetooth Classic و BLE می‌باشد

🌀با نصب بر روی سیستم‌عامل‌های Ubuntu/Debian یا VM، این ابزار امکان بررسی و شناسایی آسیب‌پذیری‌ها در دستگاه‌های بلوتوثی مختلف مانند تلویزیون‌ها، پرینترها، سنسورها و دیگر دستگاه‌های IoT را فراهم می‌کند

🔷 این ابزار با ارائه توضیحات دقیق درباره هر باگ، شرایط بهره‌برداری و تجهیزات مورد نیاز، ابزاری کارآمد برای تست نفوذ در پروژه‌های مختلف به حساب می آید

🌐 https://github.com/sgxgsx/BlueToolkit?tab=readme-ov-file#results

#RedTeam

@iDeFense