GitHub
GitHub - EvilBytecode/Keylogger: Go keylogger for Windows, logging keyboard input to a file using Windows API functions, and it…
Go keylogger for Windows, logging keyboard input to a file using Windows API functions, and it is released under the Unlicense. - EvilBytecode/Keylogger
♨️ Go keylogger for Windows, logging keyboard input to a file using Windows API functions.
👁🗨 https://github.com/EvilBytecode/Keylogger
#github
#Tools
#Golang
#RedTeam
@iDeFense
👁🗨 https://github.com/EvilBytecode/Keylogger
#github
#Tools
#Golang
#RedTeam
@iDeFense
👍6
iDeFense-WinAPI_RT.pdf
992.2 KB
❤🔥2👏2👍1
♨️ https://github.com/Flangvik/QRucible
🌀Python utility that generates "imageless" QR codes in various formats
#github
#tools
#RedTeam
#initial_access
@iDeFense
🌀Python utility that generates "imageless" QR codes in various formats
The output path to an HTML or EML file.
--css Generate QR code using CSS format.
--tables Generate QR code using the Table method.
Default --eml Generate an EML file instead of an HTML file.
#github
#tools
#RedTeam
#initial_access
@iDeFense
👌4👍3❤1
Blogspot
Killing Sysmon Silently
Today I've got a mini-blog with commentary on what I view as a pretty nasty bug in Sysinternals' Sysmon. After reading Sysinternals Sysmon...
🔍 حملات پیرامون sysmon به همراه روش های تشخیص آن را بررسی کنید...
🔺Unloading Sysmon Driver
🔺Attacks Via Custom Driver
🔺Kill the Sysmon Service
🔺Manipulating the Rules Registry Key
🔺Patching Sysmon in Memory
🚩 و شاید روش هایی غیر قابل شناسایی برای sysmon و Windows Event Log با وجود حتی ادامه فعالیت sysmon و در حالت userMode قابل اجرا باشد!
🔬 https://codewhitesec.blogspot.com/2022/09/attacks-on-sysmon-revisited-sysmonente.html
#RedTeam
#sysmon
#Defense_Evasion
#SOC
@iDeFense
🔺Unloading Sysmon Driver
🔰 Detectable via Sysmon event id 255 ( Windows Security Event ID 4672)
🔺Attacks Via Custom Driver
🔰 Detectable via Sysmon event id 6 ( Driver loaded )
🔺Kill the Sysmon Service
🔰Sysmon Event ID 10 (Process Access with at least PROCESS_TERMINATE flag set; The last event forwarded by Sysmon).
🔺Manipulating the Rules Registry Key
🔰Sysmon Event ID 16,13
🔺Patching Sysmon in Memory
🔰Sysmon Event ID Event ID 10.(Process Access with at least PROCESS_VM_OPERATION | PROCESS_VM_WRITE)
🚩 و شاید روش هایی غیر قابل شناسایی برای sysmon و Windows Event Log با وجود حتی ادامه فعالیت sysmon و در حالت userMode قابل اجرا باشد!
🔬 https://codewhitesec.blogspot.com/2022/09/attacks-on-sysmon-revisited-sysmonente.html
#RedTeam
#sysmon
#Defense_Evasion
#SOC
@iDeFense
👏3👍2❤1⚡1
🔍 ابزار Hound یک ابزار ساده و سبک برای جمع آوری اطلاعات و گرفتن مختصات دقیق GPS
💢 https://github.com/techchipnet/houndGPS
🌐 https://www.youtube.com/watch?v=IiJRyVmITgI
#github
#tools
#Information_Gathering
@iDeFense
YouTube
Hound: How Ethical Hacker Capture GPS Coordinates [Hindi]
Watch advance video tutorials- please visit : https://www.cybertube.net/
In this video I will be showing our new GItHub tool Hound for capture GPS location. How ethical hackers can get exact GPS location of scammers or criminals? How hackers get exact location…
In this video I will be showing our new GItHub tool Hound for capture GPS location. How ethical hackers can get exact GPS location of scammers or criminals? How hackers get exact location…
👨💻3🤝1
🟢 بسم الله الرحمن الرحیم 🟢
✅ لیست کتاب هایی که تاکنون به یاری دوستان در تیم آیدیفنس طبق رود مپ یاشار شاهین زاده ترجمه تحت لفظی شده است :
(کلیک کنید)
📚کتاب HTTP
📚کتاب نت ورک پلاس
📚 کتاب سکیوریتی پلاس
📚کتاب linux _in_action
📚کتاب برپ سوئیت
📚کتاب آپاچی
✅ همچنین ویدئو هایی که تاکنون از کتب ارائه شده و ده ها ویدئو ارزشمند دیگر به لطف دوستان در تیم آیدیفنس در اختیار شما عزیزان فارسی زبان قرار گرفته است به شرح زیر می باشد :
💠 پلی لیست کتاب فارسی HTTP The Definitive Guide
💠 پلی لیست کتاب Linux in action
💠 پلی لیست معرفی کتب امنیتی
💠 پلی لیست Bash Script
💠 پلی لیست binary
💠 پلی لیست RedTeam
💠 پلی لیست Binary CTF
💠 پلی لیست گپ و گفت با متخصصان حوزه امنیت
@iDeFense
✅ لیست کتاب هایی که تاکنون به یاری دوستان در تیم آیدیفنس طبق رود مپ یاشار شاهین زاده ترجمه تحت لفظی شده است :
(کلیک کنید)
📚کتاب HTTP
📚کتاب نت ورک پلاس
📚 کتاب سکیوریتی پلاس
📚کتاب linux _in_action
📚کتاب برپ سوئیت
📚کتاب آپاچی
✅ همچنین ویدئو هایی که تاکنون از کتب ارائه شده و ده ها ویدئو ارزشمند دیگر به لطف دوستان در تیم آیدیفنس در اختیار شما عزیزان فارسی زبان قرار گرفته است به شرح زیر می باشد :
💠 پلی لیست کتاب فارسی HTTP The Definitive Guide
💠 پلی لیست کتاب Linux in action
💠 پلی لیست معرفی کتب امنیتی
💠 پلی لیست Bash Script
💠 پلی لیست binary
💠 پلی لیست RedTeam
💠 پلی لیست Binary CTF
💠 پلی لیست گپ و گفت با متخصصان حوزه امنیت
@iDeFense
Telegram
iDeFense
#Book
#HTTP
🔐 pass: @iDeFense
@iDeFense
#HTTP
🔐 pass: @iDeFense
@iDeFense
❤🔥17❤1👍1🔥1
⭕️ آیا میدانید فایلهای PDF میتوانند خطرات امنیتی زیادی داشته باشند؟!
برای مثال مهاجم میتواند از این فایلها برای اجرای کدهای مخرب روی سیستم قربانی استفاده کند.
برخی از تکنیکهای بهرهبرداری از PDF شامل:
🔺 اجرا کد از راه دور (Remote Code Execution): یک PDF میتواند شامل کدی باشد که به محض باز شدن، روی سیستم اجرا شود.
🔺 سرقت کوکیها: فایلهای PDF میتوانند کوکیهای مرورگر را استخراج کنند.
🔺 حملات دامنه: یک PDF میتواند شامل لینکهای مخربی باشد که کاربر را به سایتهای فیشینگ هدایت کند.
⚠️ برای کاهش این خطرات:
✅ از باز کردن فایلهای PDF ناشناس خودداری کنید.
✅ از ابزارها و نرمافزارهای بهروز و معتبر جهت باز کردن استفاده کنید.
🦠 برای اطلاعات بیشتر و نمونههای عملی این بهرهبرداریها، میتوانید به مخزن pdFExploits مراجعه کنید.
👁🗨 https://github.com/coffinxp/pdFExploits
#github
#RedTeam
@iDeFense
GitHub
GitHub - coffinxp/pdFExploits
Contribute to coffinxp/pdFExploits development by creating an account on GitHub.
😱5❤3👍1💯1
🔺 بازگشت یک آسیبپذیری مهم در OpenSSH: RegreSSHion🔺
⭕️ واحد تحقیقاتی تهدیدهای Qualys یک نقص امنیتی شدید و خطرناک که نیازمند توجه فوری و اعمال پچهای امنیتی برای جلوگیری از بهرهبرداری مهاجمان است در سرور OpenSSH (sshd) در سیستمهای لینوکس مبتنی بر glibc را کشف کرده است.
⭕️ این آسیبپذیری که با نام "RegreSSHion" شناخته میشود و شناسه CVE-2024-6387 را دارد، به عنوان یک نقص رقابتی در مدیریت سیگنالها در سرور OpenSSH شناسایی شده است.
📝 سیگنالها ابزارهایی در سیستمعامل هستند که برای اطلاعرسانی به فرآیندها در مورد وقایع خاص (مثل وقفهها یا خطاها) استفاده میشوند.
📚 اگر سیگنالها به طور همزمان و نادرست مدیریت شوند، ممکن است عملیاتهای مختلف به ترتیب صحیح اجرا نشوند و وقتی چندین عملیات به طور همزمان تلاش میکنند به یک منبع دسترسی پیدا کنند،( در حالی که اگر همزمانی به درستی مدیریت نشود) ، نقص رقابتی رخ میدهد و به این معناست که یک سیگنال ممکن است در حالی که عملیات دیگری در حال اجرا است، فراخوانی شود و مهاجم میتواند از این وضعیت بهرهبرداری کرده و کدی را به عنوان کاربر روت اجرا کند.
🛑 این آسیبپذیری روی نسخههای 8.5p1 تا 9.7p1 از OpenSSH تأثیر میگذارد.
🛑 نسخههای قبلی نیز در صورتی که برای CVE-2006-5051 و CVE-2008-4109 پچ نشده باشند، در معرض خطر قرار دارند.
🔰 برای محافظت از سیستمها در برابر این آسیبپذیری، توصیه میشود:
🛠 بروزرسانی OpenSSH: آخرین پچهای امنیتی را نصب کنید.
🛠 محدود کردن دسترسی SSH
🛠 تقسیمبندی شبکه
🦠 https://github.com/zgzhang/cve-2024-6387-poc 🦠
🦠 github.com/xonoxitron/regreSSHion 🦠
#OpenSSH
#CVE_2024_6387
#POC
#Exploit
@iDeFense
🔒 کشف یک تهدید بزرگ توسط Qualys: CVE-2024-6387
⭕️ واحد تحقیقاتی تهدیدهای Qualys یک نقص امنیتی شدید و خطرناک که نیازمند توجه فوری و اعمال پچهای امنیتی برای جلوگیری از بهرهبرداری مهاجمان است در سرور OpenSSH (sshd) در سیستمهای لینوکس مبتنی بر glibc را کشف کرده است.
⭕️ این آسیبپذیری که با نام "RegreSSHion" شناخته میشود و شناسه CVE-2024-6387 را دارد، به عنوان یک نقص رقابتی در مدیریت سیگنالها در سرور OpenSSH شناسایی شده است.
⚠️ این نقص امکان اجرای کد از راه دور بدون نیاز به احراز هویت را به مهاجمان میدهد، به گونهای که میتوانند به صورت روت در سیستمهای لینوکس مبتنی بر glibc کد مخرب خود را اجرا کنند
📝 سیگنالها ابزارهایی در سیستمعامل هستند که برای اطلاعرسانی به فرآیندها در مورد وقایع خاص (مثل وقفهها یا خطاها) استفاده میشوند.
📚 اگر سیگنالها به طور همزمان و نادرست مدیریت شوند، ممکن است عملیاتهای مختلف به ترتیب صحیح اجرا نشوند و وقتی چندین عملیات به طور همزمان تلاش میکنند به یک منبع دسترسی پیدا کنند،( در حالی که اگر همزمانی به درستی مدیریت نشود) ، نقص رقابتی رخ میدهد و به این معناست که یک سیگنال ممکن است در حالی که عملیات دیگری در حال اجرا است، فراخوانی شود و مهاجم میتواند از این وضعیت بهرهبرداری کرده و کدی را به عنوان کاربر روت اجرا کند.
🛑 این آسیبپذیری روی نسخههای 8.5p1 تا 9.7p1 از OpenSSH تأثیر میگذارد.
🛑 نسخههای قبلی نیز در صورتی که برای CVE-2006-5051 و CVE-2008-4109 پچ نشده باشند، در معرض خطر قرار دارند.
🔰 برای محافظت از سیستمها در برابر این آسیبپذیری، توصیه میشود:
🛠 بروزرسانی OpenSSH: آخرین پچهای امنیتی را نصب کنید.
🛠 محدود کردن دسترسی SSH
🛠 تقسیمبندی شبکه
🦠 https://github.com/zgzhang/cve-2024-6387-poc 🦠
🦠 github.com/xonoxitron/regreSSHion 🦠
#OpenSSH
#CVE_2024_6387
#POC
#Exploit
@iDeFense
GitHub
GitHub - zgzhang/cve-2024-6387-poc: a signal handler race condition in OpenSSH's server (sshd)
a signal handler race condition in OpenSSH's server (sshd) - zgzhang/cve-2024-6387-poc
❤4👍4🔥3
♨️ یک اسکریپت bash برای nmap برای اسکن ماشینهای آسیبپذیر CVE-2024-6387 با توجه به ورژن آسیب پذیر OpenSSH
#POC
#CVE_2024_6387
#iDeFense
nmap -sV -Pn -p22 -iL servers.txt | awk '/Nmap scan report/{ip=$5} /OpenSSH/ {
if ($5 >= "8.5p1" && $5 < "9.8p1") {
status = "Vulnerable to CVE-2024-6387"
} else if ($5 >= "4.4p1" && $5 < "8.5p1") {
status = "Not vulnerable to CVE-2024-6387 (patched for CVE-2006-5051)"
} else if ($5 < "4.4p1") {
status = "Vulnerable to regreSSHion (unless patched for CVE-2006-5051 and CVE-2008-4109)"
}
if (status) {
print "Server: "ip"\t", "OpenSSH Version: "$5"\t", "Status: "status
status = ""
}
}'#POC
#CVE_2024_6387
#iDeFense
✍8👍5❤3⚡1
🔺 ابزار Mythic یک پلتفرم چند نفره، فرماندهی و کنترل برای تیمهای امنیتی است که در آن با استفاده از GoLang و Docker، میتوانید عوامل نفوذ (مثل تروجانها و ابزارهای جاسوسی) را به راحتی ایجاد و مدیریت کنید.
🦠 با استفاده از GoLang، میتوانید یک برنامه کوچک و کارآمد بنویسید که حجم کمی دارد و به راحتی اجرا میشود. سپس با Docker، این برنامه را در یک محیط ایزوله قرار میدهید و به صورت بستهبندی شده در اختیار تیم خود قرار میدهید.
🌀 در اینجا Docker به شما این امکان را میدهد که این برنامه را روی هر سیستمی اجرا کنید بدون نگرانی از تداخل با دیگر برنامهها و این یعنی شما و تیمتان میتوانید به راحتی برنامهها و ابزارهای خود را بدون نیاز به تنظیمات پیچیده به اشتراک بگذارید و اجرا کنید.
♦️ در نهایت، همه اعضای تیم میتوانند از طریق رابط وب Mythic به این ابزار دسترسی داشته باشند و با هم هماهنگ شوند، مثل این که دارید در یک اتاق فرماندهی واقعی کار میکنید.
👁🗨 github.com/its-a-feature/Mythic
🔻 www.youtube.com/playlist?list=PLHVFedjbv6sNLB1QqnGJxRBMukPRGYa-H
📚 https://docs.mythic-c2.net
#C2
#RedTeam
#Tools
@iDeFense
🦠 با استفاده از GoLang، میتوانید یک برنامه کوچک و کارآمد بنویسید که حجم کمی دارد و به راحتی اجرا میشود. سپس با Docker، این برنامه را در یک محیط ایزوله قرار میدهید و به صورت بستهبندی شده در اختیار تیم خود قرار میدهید.
🌀 در اینجا Docker به شما این امکان را میدهد که این برنامه را روی هر سیستمی اجرا کنید بدون نگرانی از تداخل با دیگر برنامهها و این یعنی شما و تیمتان میتوانید به راحتی برنامهها و ابزارهای خود را بدون نیاز به تنظیمات پیچیده به اشتراک بگذارید و اجرا کنید.
♦️ در نهایت، همه اعضای تیم میتوانند از طریق رابط وب Mythic به این ابزار دسترسی داشته باشند و با هم هماهنگ شوند، مثل این که دارید در یک اتاق فرماندهی واقعی کار میکنید.
👁🗨 github.com/its-a-feature/Mythic
🔻 www.youtube.com/playlist?list=PLHVFedjbv6sNLB1QqnGJxRBMukPRGYa-H
📚 https://docs.mythic-c2.net
#C2
#RedTeam
#Tools
@iDeFense
👍5❤2✍1👏1🤝1🆒1
iDeFense
🔺 ابزار Mythic یک پلتفرم چند نفره، فرماندهی و کنترل برای تیمهای امنیتی است که در آن با استفاده از GoLang و Docker، میتوانید عوامل نفوذ (مثل تروجانها و ابزارهای جاسوسی) را به راحتی ایجاد و مدیریت کنید. 🦠 با استفاده از GoLang، میتوانید یک برنامه کوچک و…
🔖 گزارشی درباره حمله هدفمند سایبری که در آن از فریمورک Mythic با نام اجرایی Athena استفاده شده است:
🦠 ورودی حمله: مهاجمان از طریق ایمیلهای فیشینگ با پیوستهای فشرده WinRAR برای دستیابی اولیه به سیستمها استفاده کردند.
🧨 محتوای پیوست: فایلهای داخل این Winrar شامل یک فایل PDF و یک فایل با همان نام ولی با پسوند .cmd (در واقع دو فایل با اسم یکسان ولی یکی با، یک فاصله بعد از pdf) بود که از آسیبپذیری CVE-2023-38831 در WinRAR تا نسخه 6.22 بهرهبرداری میکرد.
🔗 فایل .cmd، که در واقع یک فایل اجرایی بود، محتوایی داشت که PowerShell را از طریق Base64 دانلود و اجرا میکرد. این PowerShell ابتدا یک PDF تقلبی را دانلود کرده و نمایش میداد تا توجه را از فعالیتهای مخرب اصلیشان منحرف کند.
🕷 سپس یک فایل اجرایی به نام aimp2.exe که به عنوان “Athena” یکی از عوامل Mythic C2 Framework شناخته شده است را در مسیر
\AppData\Local\MicrosoftWindows\Ringtone\
ایجاد و یک وظیفه برنامهریزی شده ( Task Scheduler ) را برای اجرای آن در هر 10 دقیقه تعبیه کردند.
👁🗨 فریمورک Mythic با نام اجرایی Athena در حالت self-contained ساخته شده بود به این معنی که به همراه کد اصلی خود یک محیط اجرایی .NET را هم در خود جای داده بود، و حجم این فایل را به حدود 34 مگابایت رسانده بود.
🕸 در نهایت، برای مخفیکاری بیشتر در ارتباطات شبکهای، از یک ابزار C3 (Custom Command and Control) استفاده کردند که از ارتباطات مخصوص به Discord برای ارسال دستورات به Agent استفاده میکند.
📚 به طور کلی، C3 به عنوان یک ابزار پیشرفته C2، امکانات گستردهای برای مدیریت حملات سایبری فراهم میکند و این شامل استفاده از Discord، Slack و Telegram به عنوان روشهای ارتباطی است که به تیمهای امنیتی اجازه میدهد تا برنامهریزی، اجرا و مخفیکاری در فعالیتهایشان را بهبود بخشند.
#Doc
#Mythic_Agents
https://github.com/MythicAgents/
#C3
https://github.com/WithSecureLabs/C3
#Winrar
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/exploring-winrar-vulnerability-cve-2023-38831
@iDeFense
https://cyble.com/blog/threat-actor-deploys-mythics-athena-agent-to-target-russian-semiconductor-suppliers/
🦠 ورودی حمله: مهاجمان از طریق ایمیلهای فیشینگ با پیوستهای فشرده WinRAR برای دستیابی اولیه به سیستمها استفاده کردند.
🧨 محتوای پیوست: فایلهای داخل این Winrar شامل یک فایل PDF و یک فایل با همان نام ولی با پسوند .cmd (در واقع دو فایل با اسم یکسان ولی یکی با، یک فاصله بعد از pdf) بود که از آسیبپذیری CVE-2023-38831 در WinRAR تا نسخه 6.22 بهرهبرداری میکرد.
🔗 فایل .cmd، که در واقع یک فایل اجرایی بود، محتوایی داشت که PowerShell را از طریق Base64 دانلود و اجرا میکرد. این PowerShell ابتدا یک PDF تقلبی را دانلود کرده و نمایش میداد تا توجه را از فعالیتهای مخرب اصلیشان منحرف کند.
🕷 سپس یک فایل اجرایی به نام aimp2.exe که به عنوان “Athena” یکی از عوامل Mythic C2 Framework شناخته شده است را در مسیر
\AppData\Local\MicrosoftWindows\Ringtone\
ایجاد و یک وظیفه برنامهریزی شده ( Task Scheduler ) را برای اجرای آن در هر 10 دقیقه تعبیه کردند.
👁🗨 فریمورک Mythic با نام اجرایی Athena در حالت self-contained ساخته شده بود به این معنی که به همراه کد اصلی خود یک محیط اجرایی .NET را هم در خود جای داده بود، و حجم این فایل را به حدود 34 مگابایت رسانده بود.
🕸 در نهایت، برای مخفیکاری بیشتر در ارتباطات شبکهای، از یک ابزار C3 (Custom Command and Control) استفاده کردند که از ارتباطات مخصوص به Discord برای ارسال دستورات به Agent استفاده میکند.
📚 به طور کلی، C3 به عنوان یک ابزار پیشرفته C2، امکانات گستردهای برای مدیریت حملات سایبری فراهم میکند و این شامل استفاده از Discord، Slack و Telegram به عنوان روشهای ارتباطی است که به تیمهای امنیتی اجازه میدهد تا برنامهریزی، اجرا و مخفیکاری در فعالیتهایشان را بهبود بخشند.
#Doc
#Mythic_Agents
https://github.com/MythicAgents/
#C3
https://github.com/WithSecureLabs/C3
#Winrar
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/exploring-winrar-vulnerability-cve-2023-38831
@iDeFense
https://cyble.com/blog/threat-actor-deploys-mythics-athena-agent-to-target-russian-semiconductor-suppliers/
👍5❤1👏1
💢حتی قویترین رمزگذاری هم وقتی کلیدش دست همه باشه، شبیه در بازه!🧐
📚 قابلیت Group Policy Preferences (GPP) توی ویندوز به مدیران سیستم اجازه میدهد که تنظیمات خاصی رو برای همه کامپیوترهای شبکه تعیین کنن. یکی از این تنظیمات میتونه اضافه کردن کاربران محلی باشه
وقتی مدیران سیستم از این قابلیت برای تنظیم رمزهای عبور استفاده میکردند، این رمزها در فایلهای XML ذخیره میشدند
که توی یه پوشهای به نام SYSVOL روی سرور اصلی شبکه (کنترلر دامنه) ذخیره میشن و هر کسی که به شبکه وصله میتونه به این پوشه دسترسی داشته باشه
🚩 اگرچه این رمزها رمزگذاری میشدند، اما مشکل اینجا بود که کلید رمزگشایی این رمزها (کلید AES) به صورت عمومی منتشر شده بود!
‼️ زمانی که GPP معرفی شد، مایکروسافت به اشتباه کلید AES مورد استفاده برای رمزگذاری رمزهای عبور را به صورت عمومی در یکی از مستندات فنی خود منتشر کرد!
👁🗨 این مستندات به منظور توضیح نحوه عملکرد GPP و تنظیمات مربوط به آن بود، اما شامل کلید رمزگشایی AES نیز میشد!
بنابراین، هر کسی که به فایلهای XML دسترسی پیدا میکرد، میتوانست به راحتی رمزها را رمزگشایی کند!
👽 پس از انتشار این کلید، ابزارها و اسکریپتهای مختلفی توسط جامعه امنیتی توسعه یافتند تا فرآیند استخراج و رمزگشایی رمزهای عبور GPP را سادهتر کنند
برخی از این ابزارها شامل موارد زیر میشوند:
💀 Metasploit:
این چارچوب قدرتمند برای تست نفوذ دارای ماژولی برای جمعآوری و رمزگشایی رمزهای عبور GPP است
💀 Get-GPPPassword:
یک اسکریپت PowerShell که برای استخراج و رمزگشایی رمزهای عبور GPP استفاده میشود
💀 gpprefdecrypt. py:
یک اسکریپت پایتون برای رمزگشایی رمزهای عبور GPP
🚑 پچ امنیتی MS14-025:
مایکروسافت در سال 2014 با انتشار پچ MS14-025 این مشکل را برطرف کرد. این پچ باعث شد تا امکان تنظیم رمزهای عبور از طریق GPP متوقف شود
⚠️ با این حال، سازمانهایی که این پچ را اعمال نکردهاند یا هنوز از GPP استفاده میکنند، در معرض خطر هستند
#Detection
✅ دستور مهاجمان برای پیدا کردن فایلهای XML توی پوشه SYSVOL:
✅ ایجاد حساب تله: یه حساب کاربری تله درست کن و اطلاعاتش رو توی یه فایل XML توی پوشه SYSVOL بذار
✅ مانیتور کردن: استفاده از این حساب کاربری رو زیر نظر داشته باش تا اگه کسی خواست ازش استفاده کنه، بفهمی
@iDeFense
🌐 https://attack.mitre.org/techniques/T1552/006/
🔬 https://adsecurity.org/?p=2288
#T1552.006
#SOC
#RedTeam
#BlueTeam
📚 قابلیت Group Policy Preferences (GPP) توی ویندوز به مدیران سیستم اجازه میدهد که تنظیمات خاصی رو برای همه کامپیوترهای شبکه تعیین کنن. یکی از این تنظیمات میتونه اضافه کردن کاربران محلی باشه
وقتی مدیران سیستم از این قابلیت برای تنظیم رمزهای عبور استفاده میکردند، این رمزها در فایلهای XML ذخیره میشدند
که توی یه پوشهای به نام SYSVOL روی سرور اصلی شبکه (کنترلر دامنه) ذخیره میشن و هر کسی که به شبکه وصله میتونه به این پوشه دسترسی داشته باشه
🚩 اگرچه این رمزها رمزگذاری میشدند، اما مشکل اینجا بود که کلید رمزگشایی این رمزها (کلید AES) به صورت عمومی منتشر شده بود!
‼️ زمانی که GPP معرفی شد، مایکروسافت به اشتباه کلید AES مورد استفاده برای رمزگذاری رمزهای عبور را به صورت عمومی در یکی از مستندات فنی خود منتشر کرد!
👁🗨 این مستندات به منظور توضیح نحوه عملکرد GPP و تنظیمات مربوط به آن بود، اما شامل کلید رمزگشایی AES نیز میشد!
بنابراین، هر کسی که به فایلهای XML دسترسی پیدا میکرد، میتوانست به راحتی رمزها را رمزگشایی کند!
👽 پس از انتشار این کلید، ابزارها و اسکریپتهای مختلفی توسط جامعه امنیتی توسعه یافتند تا فرآیند استخراج و رمزگشایی رمزهای عبور GPP را سادهتر کنند
برخی از این ابزارها شامل موارد زیر میشوند:
💀 Metasploit:
این چارچوب قدرتمند برای تست نفوذ دارای ماژولی برای جمعآوری و رمزگشایی رمزهای عبور GPP است
💀 Get-GPPPassword:
یک اسکریپت PowerShell که برای استخراج و رمزگشایی رمزهای عبور GPP استفاده میشود
💀 gpprefdecrypt. py:
یک اسکریپت پایتون برای رمزگشایی رمزهای عبور GPP
🚑 پچ امنیتی MS14-025:
مایکروسافت در سال 2014 با انتشار پچ MS14-025 این مشکل را برطرف کرد. این پچ باعث شد تا امکان تنظیم رمزهای عبور از طریق GPP متوقف شود
⚠️ با این حال، سازمانهایی که این پچ را اعمال نکردهاند یا هنوز از GPP استفاده میکنند، در معرض خطر هستند
#Detection
✅ دستور مهاجمان برای پیدا کردن فایلهای XML توی پوشه SYSVOL:
dir /s *.xml
✅ ایجاد حساب تله: یه حساب کاربری تله درست کن و اطلاعاتش رو توی یه فایل XML توی پوشه SYSVOL بذار
✅ مانیتور کردن: استفاده از این حساب کاربری رو زیر نظر داشته باش تا اگه کسی خواست ازش استفاده کنه، بفهمی
@iDeFense
🌐 https://attack.mitre.org/techniques/T1552/006/
🔬 https://adsecurity.org/?p=2288
#T1552.006
#SOC
#RedTeam
#BlueTeam
Active Directory & Azure AD/Entra ID Security
Finding Passwords in SYSVOL & Exploiting Group Policy Preferences
At Black Hat and DEF CON this year, I spoke about ways attackers go from Domain User to Domain Admin in modern enterprises. Every Windows computer has a built-in Administrator account with an associated password. Changing this password is a security requirement…
👍9❤🔥2🔥2
⭕️ تست نفوذ شبکههای بیسیم یکی از اجزای کلیدی در پروژههای pentest و red teaming است. با این حال، تمرکز بیشتر این تستها بر روی شبکههای Wi-Fi است و کمتر به آسیبپذیریهای بلوتوث توجه میشود
♨️ ابزار BlueToolkit یک فریمورک قدرتمند برای تست نفوذ و red teaming در زمینه شبکههای بیسیم، به ویژه بلوتوث است
🔷 این فریمورک شامل 43 اکسپلویت برای بهرهبرداری از آسیبپذیریهای Bluetooth Classic و BLE میباشد
🌀با نصب بر روی سیستمعاملهای Ubuntu/Debian یا VM، این ابزار امکان بررسی و شناسایی آسیبپذیریها در دستگاههای بلوتوثی مختلف مانند تلویزیونها، پرینترها، سنسورها و دیگر دستگاههای IoT را فراهم میکند
🔷 این ابزار با ارائه توضیحات دقیق درباره هر باگ، شرایط بهرهبرداری و تجهیزات مورد نیاز، ابزاری کارآمد برای تست نفوذ در پروژههای مختلف به حساب می آید
🌐 https://github.com/sgxgsx/BlueToolkit?tab=readme-ov-file#results
#RedTeam
@iDeFense
♨️ ابزار BlueToolkit یک فریمورک قدرتمند برای تست نفوذ و red teaming در زمینه شبکههای بیسیم، به ویژه بلوتوث است
🔷 این فریمورک شامل 43 اکسپلویت برای بهرهبرداری از آسیبپذیریهای Bluetooth Classic و BLE میباشد
🌀با نصب بر روی سیستمعاملهای Ubuntu/Debian یا VM، این ابزار امکان بررسی و شناسایی آسیبپذیریها در دستگاههای بلوتوثی مختلف مانند تلویزیونها، پرینترها، سنسورها و دیگر دستگاههای IoT را فراهم میکند
🔷 این ابزار با ارائه توضیحات دقیق درباره هر باگ، شرایط بهرهبرداری و تجهیزات مورد نیاز، ابزاری کارآمد برای تست نفوذ در پروژههای مختلف به حساب می آید
🌐 https://github.com/sgxgsx/BlueToolkit?tab=readme-ov-file#results
#RedTeam
@iDeFense
👍6
♨️ دور زدن AMSI با استفاده از VEH (Vectored Exception Handler)
💀 این تکنیک از یک Handler (مدیریتکننده) Vectored Exception (VEH) برای جلوگیری از شناسایی توسط نرمافزارهای آنتیویروس هنگام اجرای اسکریپتهای بالقوه مخرب در PowerShell استفاده میکند
💢 برخلاف روشهای معمول، این روش شامل دستکاری دستورالعملهای اسمبلی، هوکینگ توابع یا تغییر جدول آدرس نمیشود. در عوض، از نقاط وقفه سختافزاری بر روی تابع AmsiScanBuffer و مدیریت استثناها برای دستکاری جریان اجرایی استفاده میکند
📚 تابع AmsiScanBuffer در PowerShell مسئول اسکن محتوای اسکریپتها برای شناسایی بدافزارها است
آنتیویروسها از این تابع برای بررسی و تشخیص بدافزارها استفاده میکنند
🔺 در این تکنیک با تنظیم یک نقطه وقفه سختافزاری بر روی تابع AmsiScanBuffer که در تمام رشتههای (threads) فرآیند PowerShell انجام میشود ،وقتی کد به این نقطه میرسد، یک وقفه ایجاد میشود که میتواند توسط برنامه مدیریت شود.
🚩 در این فرایند یک DLL خاص مورد استفاده VEH به PowerShell تزریق میشود که وظیفه مدیریت این وقفهها را دارد و هر زمانی که یک اسکریپت در PowerShell اجرا شود و به تابع AmsiScanBuffer برسد، وقفه ایجاد شده و dll مذکور لود میشود
⭕️ در اینجا VEH به جای اجرای کد اصلی تابع AmsiScanBuffer، مستقیماً کنترل را به دست میگیرد و نتیجه این تابع را بدون اجرا کردن واقعی آن به مقدار AMSI_RESULT_CLEAN تغییر میدهد که به معنی این است که اسکریپت بدون بدافزار تشخیص داده شده است
☠️ سپس کنترل به PowerShell برمیگردد و اسکریپت بدون هیچ مانعی اجرا میشود.
👁🗨 https://github.com/vxCrypt0r/AMSI_VEH
#RedTeam
#AMSI
#Bypass
@iDeFense
💀 این تکنیک از یک Handler (مدیریتکننده) Vectored Exception (VEH) برای جلوگیری از شناسایی توسط نرمافزارهای آنتیویروس هنگام اجرای اسکریپتهای بالقوه مخرب در PowerShell استفاده میکند
💢 برخلاف روشهای معمول، این روش شامل دستکاری دستورالعملهای اسمبلی، هوکینگ توابع یا تغییر جدول آدرس نمیشود. در عوض، از نقاط وقفه سختافزاری بر روی تابع AmsiScanBuffer و مدیریت استثناها برای دستکاری جریان اجرایی استفاده میکند
📚 تابع AmsiScanBuffer در PowerShell مسئول اسکن محتوای اسکریپتها برای شناسایی بدافزارها است
آنتیویروسها از این تابع برای بررسی و تشخیص بدافزارها استفاده میکنند
🔺 در این تکنیک با تنظیم یک نقطه وقفه سختافزاری بر روی تابع AmsiScanBuffer که در تمام رشتههای (threads) فرآیند PowerShell انجام میشود ،وقتی کد به این نقطه میرسد، یک وقفه ایجاد میشود که میتواند توسط برنامه مدیریت شود.
📚مکانیزم VEH (Vectored Exception Handler) چیست؟
مدیریتکننده استثنا برداری یا VEH یک مکانیزم پیشرفته برای مدیریت خطاها و استثناهای برنامهها است. این مکانیزم به برنامهها اجازه میدهد که یک تابع مخصوص ثبت کنند که همه استثناها و خطاها را نظارت یا مدیریت کند.
🚩 در این فرایند یک DLL خاص مورد استفاده VEH به PowerShell تزریق میشود که وظیفه مدیریت این وقفهها را دارد و هر زمانی که یک اسکریپت در PowerShell اجرا شود و به تابع AmsiScanBuffer برسد، وقفه ایجاد شده و dll مذکور لود میشود
این مورد می تواند با تزریق DLL یا از طریق DLL hijacking انجام شود
⭕️ در اینجا VEH به جای اجرای کد اصلی تابع AmsiScanBuffer، مستقیماً کنترل را به دست میگیرد و نتیجه این تابع را بدون اجرا کردن واقعی آن به مقدار AMSI_RESULT_CLEAN تغییر میدهد که به معنی این است که اسکریپت بدون بدافزار تشخیص داده شده است
☠️ سپس کنترل به PowerShell برمیگردد و اسکریپت بدون هیچ مانعی اجرا میشود.
👁🗨 https://github.com/vxCrypt0r/AMSI_VEH
#RedTeam
#AMSI
#Bypass
@iDeFense
www.ired.team
Import Adress Table (IAT) Hooking | Red Team Notes
❤🔥5👍3❤2💯1
GitHub
GitHub - R3dy/capsulecorp-pentest: Vagrant VirtualBox environment for conducting an internal network penetration test
Vagrant VirtualBox environment for conducting an internal network penetration test - R3dy/capsulecorp-pentest
♻️ راهاندازی یک شبکه مجازی برای یادگیری تست نفوذ میتواند وقتگیر، پیچیده و نیاز به منابع زیادی داشته باشد.
🌐 https://github.com/R3dy/capsulecorp-pentest
🔱 پروژه Capsulecorp Pentest یک شبکه مجازی کوچک است که توسط Vagrant و Ansible مدیریت میشود.
⚜️ این شبکه شامل پنج ماشین مجازی است که از یک سیستم لینوکسی Xubuntu به عنوان سیستم عامل ماشین مهاجم استفاده میکند و چهار سرور ویندوز سرور 2019 با سرویس های آسیب پذیر، اکتیو دایرکتوری ، MSSQL آسیب پذیر، آپاچی، تامکت، جنکینز و غیره که با سرویسهای آسیبپذیر مختلف پیکربندی شدهاند.
کافی است که Vagrant، Ansible و VirtualBox را بر روی سیستم خود نصب کنید.
👨🏽💻سپس با اجرای چند دستور vagrant، میتوانید یک دامنه Active Directory کاملاً عملیاتی داشته باشید که میتوانید برای یادگیری و تست نفوذ از آن استفاده کنید.
🛠 ابزار Vagrant: برای ساخت و مدیریت محیطهای مجازی.
🛠 ابزار Ansible: برای پیکربندی خودکار و مدیریت سیستمها.
🛠 ابزار VirtualBox: نرمافزار مجازیسازی برای اجرای ماشینهای مجازی.
✅ آمادگی سریع: شما نیازی به انجام تنظیمات پیچیده و زمانبر ندارید؛ همه چیز از پیش پیکربندی شده است
✅ محیط آموزشی کامل: محیط Capsulecorp شامل چندین سرور و سرویس آسیبپذیر است که به شما امکان میدهد تکنیکهای مختلف تست نفوذ را در یک محیط واقعی و امن تمرین کنید
✅ مناسب برای یادگیری و تمرین: این محیط به طور ویژه برای یادگیری و تمرین تست نفوذ شبکه طراحی شده و به شما کمک میکند تا مهارتهای خود را بهبود ببخشید.
🔷 این روش راهاندازی به شما اجازه میدهد تا به جای صرف وقت و انرژی بر روی تنظیمات، بیشتر بر روی یادگیری و تمرین تکنیکهای تست نفوذ تمرکز کنید
⚜️ این پروژه به عنوان مکمل کتاب "هنر تست نفوذ شبکه" بوده و به طور ویژه برای تکمیل و ارتقاء تجربه مطالعه کتاب "The Art of Network Penetration Testing" طراحی شده است که این کتاب را نیز میتوانید از کانال iDeFense دانلود و استفاده کنید
#github
#tools
#pentest
@iDeFense
🌐 https://github.com/R3dy/capsulecorp-pentest
🔱 پروژه Capsulecorp Pentest یک شبکه مجازی کوچک است که توسط Vagrant و Ansible مدیریت میشود.
⚜️ این شبکه شامل پنج ماشین مجازی است که از یک سیستم لینوکسی Xubuntu به عنوان سیستم عامل ماشین مهاجم استفاده میکند و چهار سرور ویندوز سرور 2019 با سرویس های آسیب پذیر، اکتیو دایرکتوری ، MSSQL آسیب پذیر، آپاچی، تامکت، جنکینز و غیره که با سرویسهای آسیبپذیر مختلف پیکربندی شدهاند.
کافی است که Vagrant، Ansible و VirtualBox را بر روی سیستم خود نصب کنید.
👨🏽💻سپس با اجرای چند دستور vagrant، میتوانید یک دامنه Active Directory کاملاً عملیاتی داشته باشید که میتوانید برای یادگیری و تست نفوذ از آن استفاده کنید.
🛠 ابزار Vagrant: برای ساخت و مدیریت محیطهای مجازی.
🛠 ابزار Ansible: برای پیکربندی خودکار و مدیریت سیستمها.
🛠 ابزار VirtualBox: نرمافزار مجازیسازی برای اجرای ماشینهای مجازی.
مزایا
✅ آمادگی سریع: شما نیازی به انجام تنظیمات پیچیده و زمانبر ندارید؛ همه چیز از پیش پیکربندی شده است
✅ محیط آموزشی کامل: محیط Capsulecorp شامل چندین سرور و سرویس آسیبپذیر است که به شما امکان میدهد تکنیکهای مختلف تست نفوذ را در یک محیط واقعی و امن تمرین کنید
✅ مناسب برای یادگیری و تمرین: این محیط به طور ویژه برای یادگیری و تمرین تست نفوذ شبکه طراحی شده و به شما کمک میکند تا مهارتهای خود را بهبود ببخشید.
🔷 این روش راهاندازی به شما اجازه میدهد تا به جای صرف وقت و انرژی بر روی تنظیمات، بیشتر بر روی یادگیری و تمرین تکنیکهای تست نفوذ تمرکز کنید
⚜️ این پروژه به عنوان مکمل کتاب "هنر تست نفوذ شبکه" بوده و به طور ویژه برای تکمیل و ارتقاء تجربه مطالعه کتاب "The Art of Network Penetration Testing" طراحی شده است که این کتاب را نیز میتوانید از کانال iDeFense دانلود و استفاده کنید
#github
#tools
#pentest
@iDeFense
👏7👍1