♨️ ابزار DriverJack به منظور بارگذاری یک درایور آسیبپذیر در سیستم از تکنیکهای کمتر شناخته شده NTFS استفاده میکند. هدف اصلی این ابزار، دور زدن روشهای معمول برای ثبت و بارگذاری درایورها در سیستم است. این ابزار با ربودن سرویسهای موجود و جعل مسیرهای درایور، میتواند موفق به پنهانسازی درایور مخرب شود.
☠️ مراحل کلیدی حمله
🦠 دور زدن ثبت سرویس درایور
این روش به مهاجم اجازه میدهد که بدون نیاز به ثبت سرویس درایور جدید، از سرویسهای موجود در سیستم سوءاستفاده کند و درایور آسیبپذیر را بارگذاری کند
🦠 جعل مسیر درایور
در هنگام بارگذاری درایور، مسیر فایل درایور بهگونهای جعل میشود که به نظر برسد فایل درایور از مسیری دیگر (مثلاً یک فایل ISO نصب شده) بارگذاری شده است. این کار تشخیص درایور مخرب را توسط سیستمهای نظارتی دشوارتر میکند
🦠 سوءاستفاده از سیستم فایل شبیهسازی شده (Emulated Filesystem)
ابزار DriverJack همچنین از یک ضعف در سیستم فایل استفاده میکند که به آن امکان میدهد فایلهای موجود روی فایلسیستمهای شبیهسازی شده (مثل ISO) را به صفحاتی قابل نوشتن (RW) مجدد تبدیل کند و محتوای آنها را تغییر دهد. این تکنیک به عنوان "Read-Only Bypass" شناخته میشود و در کتابخانه IoCdfsLib پیادهسازی شده است.
📚 در سیستمعامل ویندوز، فایلها و دایرکتوریها میتوانند به صورت شبیهسازی شده (Emulated) بارگذاری شوند. این یعنی فایلها میتوانند از طریق فایلهای ایمیج، مانند فایلهای ISO، به سیستم معرفی شوند و به نظر برسد که بخشی از سیستم فایل عادی هستند. به عنوان مثال، وقتی یک فایل ISO را روی سیستم باز میکنید، محتوای آن به صورت یک درایو مجازی (مثل درایو CD) در سیستم نمایش داده میشود و این درایو به طور معمول فقط خواندنی (Read-Only) است، یعنی نمیتوانید محتویات آن را تغییر دهید.
💢 این ابزار با استفاده از کتابخانه IoCdfsLib ، فایلهای موجود در این درایو مجازی را از حالت فقط خواندنی به قابل نوشتن تبدیل میکند
سپس محتوای این فایلها را تغییر میدهد تا درایور مخرب خود را جایگزین فایلهای معتبر کند.
🕷 پس از دستکاری فایلها، درایور مخرب به عنوان یک فایل معتبر از درایو ISO بارگذاری میشود، و این فرآیند به سیستم اجازه میدهد تا بدون تشخیص مخرب بودن، این درایور را بارگذاری کند.
👁🗨 https://github.com/klezVirus/DriverJack
#tools
#RedTeam
@iDeFense
☠️ مراحل کلیدی حمله
🦠 دور زدن ثبت سرویس درایور
این روش به مهاجم اجازه میدهد که بدون نیاز به ثبت سرویس درایور جدید، از سرویسهای موجود در سیستم سوءاستفاده کند و درایور آسیبپذیر را بارگذاری کند
🦠 جعل مسیر درایور
در هنگام بارگذاری درایور، مسیر فایل درایور بهگونهای جعل میشود که به نظر برسد فایل درایور از مسیری دیگر (مثلاً یک فایل ISO نصب شده) بارگذاری شده است. این کار تشخیص درایور مخرب را توسط سیستمهای نظارتی دشوارتر میکند
🦠 سوءاستفاده از سیستم فایل شبیهسازی شده (Emulated Filesystem)
ابزار DriverJack همچنین از یک ضعف در سیستم فایل استفاده میکند که به آن امکان میدهد فایلهای موجود روی فایلسیستمهای شبیهسازی شده (مثل ISO) را به صفحاتی قابل نوشتن (RW) مجدد تبدیل کند و محتوای آنها را تغییر دهد. این تکنیک به عنوان "Read-Only Bypass" شناخته میشود و در کتابخانه IoCdfsLib پیادهسازی شده است.
📚 در سیستمعامل ویندوز، فایلها و دایرکتوریها میتوانند به صورت شبیهسازی شده (Emulated) بارگذاری شوند. این یعنی فایلها میتوانند از طریق فایلهای ایمیج، مانند فایلهای ISO، به سیستم معرفی شوند و به نظر برسد که بخشی از سیستم فایل عادی هستند. به عنوان مثال، وقتی یک فایل ISO را روی سیستم باز میکنید، محتوای آن به صورت یک درایو مجازی (مثل درایو CD) در سیستم نمایش داده میشود و این درایو به طور معمول فقط خواندنی (Read-Only) است، یعنی نمیتوانید محتویات آن را تغییر دهید.
💢 این ابزار با استفاده از کتابخانه IoCdfsLib ، فایلهای موجود در این درایو مجازی را از حالت فقط خواندنی به قابل نوشتن تبدیل میکند
سپس محتوای این فایلها را تغییر میدهد تا درایور مخرب خود را جایگزین فایلهای معتبر کند.
🕷 پس از دستکاری فایلها، درایور مخرب به عنوان یک فایل معتبر از درایو ISO بارگذاری میشود، و این فرآیند به سیستم اجازه میدهد تا بدون تشخیص مخرب بودن، این درایور را بارگذاری کند.
👁🗨 https://github.com/klezVirus/DriverJack
#tools
#RedTeam
@iDeFense
GitHub
GitHub - klezVirus/DriverJack: Hijacking valid driver services to load arbitrary (signed) drivers abusing native symbolic links…
Hijacking valid driver services to load arbitrary (signed) drivers abusing native symbolic links and NT paths - klezVirus/DriverJack
❤🔥2👍2🔥1👏1
هر کسی قصد عضویت تو تیم وب رو داره ! یا کانالی برای تبادل داره پیام بده @iDeFense_Tester
⭕️ از سال 2020، گروههای هکری وابسته به چین به دستگاههای edge مانند فایروالها، VPNها و دستگاههای اینترنت اشیا (IoT) در زیرساختهای دولتی تایوان نفوذ کردند
این هکرها با استفاده از آسیبپذیریهای (0-day) در دستگاههایی مانند فایروالهای Sophos و VPNهای Array SSL، از این دستگاهها برای ایجاد باتنتها، پخش اطلاعات نادرست و سرقت دادههای حساس استفاده میکنند.
🔺 این حملات شامل تکنیکهای پیشرفتهای مانند بکدورهای مبتنی بر port-knocking و سو استفاده از (LoLbin) هستند که به مهاجمان اجازه میدهد تا بدون شناسایی توسط نرمافزارهای امنیتی به سیستمها نفوذ کنند و کنترل آنها را به دست بگیرند.
♨️ در این ارائه، نمونههای واقعی از دستگاههای edge که توسط این حملات هدف قرار گرفتهاند و راههای مقابله با این تهدیدات را بررسی خواهد کرد.
🌐 https://www.youtube.com/watch?v=PSaix1C-UMI
Slides: https://teamt5.org/en/posts/black-hat-asia-2024/
#RedTeam
#APT
#Black_Hat_Asia_2024
@iDeFense
این هکرها با استفاده از آسیبپذیریهای (0-day) در دستگاههایی مانند فایروالهای Sophos و VPNهای Array SSL، از این دستگاهها برای ایجاد باتنتها، پخش اطلاعات نادرست و سرقت دادههای حساس استفاده میکنند.
🔺 این حملات شامل تکنیکهای پیشرفتهای مانند بکدورهای مبتنی بر port-knocking و سو استفاده از (LoLbin) هستند که به مهاجمان اجازه میدهد تا بدون شناسایی توسط نرمافزارهای امنیتی به سیستمها نفوذ کنند و کنترل آنها را به دست بگیرند.
♨️ در این ارائه، نمونههای واقعی از دستگاههای edge که توسط این حملات هدف قرار گرفتهاند و راههای مقابله با این تهدیدات را بررسی خواهد کرد.
🌐 https://www.youtube.com/watch?v=PSaix1C-UMI
Slides: https://teamt5.org/en/posts/black-hat-asia-2024/
#RedTeam
#APT
#Black_Hat_Asia_2024
@iDeFense
YouTube
Chinese APT: A Master of Exploiting Edge Devices
China-nexus actors have compromised edge devices such as firewall, VPN, IoT devices, etc. against Taiwan Government since 2020 during COVID19, and have compromised those devices to build Botnet, spread disinformation, and exfiltrate sensitive data. However…
🔥3👍2👻2
🔺 امنیت تهاجمی باعث ایجاد امنیت دفاعی می شود 🔻
در اینجا مجموعهای از تکنیکهای حمله SaaS به اشتراک گذاشته شده تا به مدافعان کمک کند تا تهدیداتی را که با آن مواجه میشوند درک کنند
🟣 https://github.com/pushsecurity/saas-attacks
🔷 این پروژه مجموعهای از تکنیکهای حمله مختص به Software as a service (SaaS) را معرفی میکند و با استفاده از چارچوب MITRE ATT&CK، به تحلیل تهدیدات امنیتی در محیطهای SaaS میپردازد.
#github
#Saas
#APT
@iDeFense
GitHub
GitHub - pushsecurity/saas-attacks: Offensive security drives defensive security. We're sharing a collection of SaaS attack techniques…
Offensive security drives defensive security. We're sharing a collection of SaaS attack techniques to help defenders understand the threats they face. #nolockdown - pushsecurity/saas-attacks
❤4👍1👻1
iDeFense
🔺 امنیت تهاجمی باعث ایجاد امنیت دفاعی می شود 🔻 در اینجا مجموعهای از تکنیکهای حمله SaaS به اشتراک گذاشته شده تا به مدافعان کمک کند تا تهدیداتی را که با آن مواجه میشوند درک کنند 🟣 https://github.com/pushsecurity/saas-attacks 🔷 این پروژه مجموعهای از تکنیکهای…
🔺 تکنیک SAMLjacking یکی از روش های حملات فیشینگ است که روی قابلیت SSO (Single Sign-On) که اغلب در پلتفرمهای SaaS (نرمافزار به عنوان سرویس) استفاده میشود، تمرکز دارد
در این نوع حمله، مهاجمان از اعتماد کاربران به فرآیندهای SSO سوءاستفاده میکنند تا بهطور غیرمجاز به سیستمهای یک شرکت دسترسی پیدا کنند.
⭕️ مراحل حمله:
مهاجم ابتدا یک حساب کاربری جدید در یک پلتفرم SaaS ایجاد میکند. این پلتفرمها معمولاً شامل ابزارهای مختلفی هستند که شرکتها برای مدیریت فعالیتهای خود استفاده میکنند
💢 مانند Miro، Office 365، یا سایر خدمات مشابه.
⭕️ تنظیمات اولیه:
پس از ثبتنام، مهاجم میتواند تنظیمات مختلف حساب را پیکربندی کند. یکی از این تنظیمات مهم، پیکربندی URL مربوط به SSO (احراز هویت یکپارچه) است.
💢 این آدرسی است که سرویسهای SSO برای احراز هویت کاربران از آن استفاده میکنند. مهاجم میتواند این URL را طوری تنظیم کند که به یک سرور تحت کنترل خود اشاره کند و عملیات فیشینگ را کامل کند
📩 مهاجم میتواند دعوتنامههایی برای پیوستن به این "حساب جدید شرکتی" ارسال کند. این دعوتنامهها به کاربران جدید یا اعضای بالقوه شرکت ارسال میشود.
📮 دعوتنامهها بهطور معمول از دامنهای به نظر میرسد که قانونی و معتبر است (از دامنه سرویسدهنده SaaS).
📌 اگر مهاجم در ابتدا از یک URL سرویسی که به نظر قانونی است استفاده کند و سپس URL SSO را به سرور خود تغییر دهد، کاربران ممکن است فکر کنند که URL SSO تغییر نکرده و بدون شک به ورود ادامه دهند.
⚠️ راهکارهای مقابله:
🔰آگاهی و آموزش: آموزش کارکنان، بهویژه کارکنان جدید، در مورد ریسکهای حملات فیشینگ و چگونگی شناسایی دعوتنامههای مشکوک
🔰 پیکربندی SSO: اطمینان از اینکه پیکربندیهای SSO بهطور دقیق کنترل و نظارت میشوند. هر گونه تغییر در URLهای SSO باید بازبینی و تأیید شود.
🔰 ابزارهای پیشگیری از فیشینگ: استفاده از ابزارهای پیشرفته پیشگیری از فیشینگ که میتوانند ایمیلها یا لینکهای مخرب را قبل از رسیدن به کارکنان شناسایی و مسدود کنند.
🔰 ممیزی SSO: انجام ممیزیهای منظم روی پیکربندیها و لاگهای SSO برای شناسایی هرگونه تغییر غیرمجاز یا فعالیت مشکوک.
👁🗨 https://www.youtube.com/watch?v=4gAeSxbycXU
📚 https://pushsecurity.com/blog/samljacking-a-poisoned-tenant/
#Initial_Access
#APT
@iDeFense
در این نوع حمله، مهاجمان از اعتماد کاربران به فرآیندهای SSO سوءاستفاده میکنند تا بهطور غیرمجاز به سیستمهای یک شرکت دسترسی پیدا کنند.
⭕️ مراحل حمله:
مهاجم ابتدا یک حساب کاربری جدید در یک پلتفرم SaaS ایجاد میکند. این پلتفرمها معمولاً شامل ابزارهای مختلفی هستند که شرکتها برای مدیریت فعالیتهای خود استفاده میکنند
💢 مانند Miro، Office 365، یا سایر خدمات مشابه.
⭕️ تنظیمات اولیه:
پس از ثبتنام، مهاجم میتواند تنظیمات مختلف حساب را پیکربندی کند. یکی از این تنظیمات مهم، پیکربندی URL مربوط به SSO (احراز هویت یکپارچه) است.
💢 این آدرسی است که سرویسهای SSO برای احراز هویت کاربران از آن استفاده میکنند. مهاجم میتواند این URL را طوری تنظیم کند که به یک سرور تحت کنترل خود اشاره کند و عملیات فیشینگ را کامل کند
📩 مهاجم میتواند دعوتنامههایی برای پیوستن به این "حساب جدید شرکتی" ارسال کند. این دعوتنامهها به کاربران جدید یا اعضای بالقوه شرکت ارسال میشود.
📮 دعوتنامهها بهطور معمول از دامنهای به نظر میرسد که قانونی و معتبر است (از دامنه سرویسدهنده SaaS).
📌 اگر مهاجم در ابتدا از یک URL سرویسی که به نظر قانونی است استفاده کند و سپس URL SSO را به سرور خود تغییر دهد، کاربران ممکن است فکر کنند که URL SSO تغییر نکرده و بدون شک به ورود ادامه دهند.
⚠️ راهکارهای مقابله:
🔰آگاهی و آموزش: آموزش کارکنان، بهویژه کارکنان جدید، در مورد ریسکهای حملات فیشینگ و چگونگی شناسایی دعوتنامههای مشکوک
🔰 پیکربندی SSO: اطمینان از اینکه پیکربندیهای SSO بهطور دقیق کنترل و نظارت میشوند. هر گونه تغییر در URLهای SSO باید بازبینی و تأیید شود.
🔰 ابزارهای پیشگیری از فیشینگ: استفاده از ابزارهای پیشرفته پیشگیری از فیشینگ که میتوانند ایمیلها یا لینکهای مخرب را قبل از رسیدن به کارکنان شناسایی و مسدود کنند.
🔰 ممیزی SSO: انجام ممیزیهای منظم روی پیکربندیها و لاگهای SSO برای شناسایی هرگونه تغییر غیرمجاز یا فعالیت مشکوک.
👁🗨 https://www.youtube.com/watch?v=4gAeSxbycXU
📚 https://pushsecurity.com/blog/samljacking-a-poisoned-tenant/
#Initial_Access
#APT
@iDeFense
YouTube
SAMLjacking a poisoned tenant demo
Find more techniques: https://github.com/pushsecurity/saas-attacks
Read our blog post: https://pushsecurity.com/blog/saas-attack-techniques/
Read our blog post: https://pushsecurity.com/blog/saas-attack-techniques/
👏2👍1
🔥 فریمورک Cyber-Sploit ابزاری در حوزه تست نفوذ و هک اخلاقی است که با هدف فراهم کردن یک پلتفرم جامع و چندزبانه برای اجرای ماژولهای متنوع طراحی شده است. این فریمورک، مشابه Metasploit، اما با تفاوتها و قابلیتهای منحصربهفردی که آن را از سایر ابزارها متمایز میکند
🦾 تفاوتها و قابلیتهای کلیدی Cyber-Sploit نسبت به Metasploit:
پشتیبانی از چندین زبان برنامهنویسی: برخلاف Metasploit که بیشتر به زبان Ruby محدود است، Cyber-Sploit عمدتاً از پایتون استفاده میکند و در عین حال امکان افزودن ماژولهایی به زبانهای دیگر نظیر Ruby و GoLang نیز وجود دارد. این انعطافپذیری به توسعهدهندگان اجازه میدهد تا از ابزارهای موجود در زبانهای مختلف بهره ببرند و ماژولهای جدیدی را به آسانی اضافه کنند.
🌀 بهروزرسانی مستمر و افزودن ماژولهای جدید: Cyber-Sploit یک فریمورک پویا و در حال توسعه است که به طور مداوم بهروزرسانی شده و ماژولهای جدیدی به آن اضافه میشود. این بهروزرسانیها نه تنها قابلیتهای جدیدی را ارائه میدهند بلکه بهبودهای امنیتی و کارایی را نیز شامل میشوند.
💻 محیط توسعه مشارکتی: این فریمورک با در نظر گرفتن جامعه توسعهدهندگان طراحی شده و از مشارکت کاربران برای افزودن ماژولهای جدید استقبال میکند. هر کسی که علاقهمند به تست نفوذ و امنیت سایبری است، میتواند در توسعه این ابزار سهیم باشد و ماژولهای خود را به آن اضافه کند.
♻️ سادگی در استفاده و توسعه: با توجه به استفاده از پایتون به عنوان زبان اصلی، توسعه ماژولها برای Cyber-Sploit نسبت به سایر فریمورکها سادهتر و سریعتر است. همچنین، مستندات کامل و راهنماهای موجود، فرآیند یادگیری و استفاده از این فریمورک را برای کاربران جدید تسهیل میکند.
📖 پشتیبانی از پروژههای متنباز: Cyber-Sploit یک پروژه کاملاً متنباز است که به کاربران این امکان را میدهد تا به صورت مستقیم به کد منبع دسترسی داشته باشند، آن را بررسی کنند و بهبود دهند. این فریمورک همچنین از پروژههای دیگر متنباز بهره میبرد و با آنها سازگاری دارد.
🌐 https://github.com/Cyber-Dioxide/Cyber-Sploit
#github
#tools
@iDeFense
🦾 تفاوتها و قابلیتهای کلیدی Cyber-Sploit نسبت به Metasploit:
پشتیبانی از چندین زبان برنامهنویسی: برخلاف Metasploit که بیشتر به زبان Ruby محدود است، Cyber-Sploit عمدتاً از پایتون استفاده میکند و در عین حال امکان افزودن ماژولهایی به زبانهای دیگر نظیر Ruby و GoLang نیز وجود دارد. این انعطافپذیری به توسعهدهندگان اجازه میدهد تا از ابزارهای موجود در زبانهای مختلف بهره ببرند و ماژولهای جدیدی را به آسانی اضافه کنند.
🌀 بهروزرسانی مستمر و افزودن ماژولهای جدید: Cyber-Sploit یک فریمورک پویا و در حال توسعه است که به طور مداوم بهروزرسانی شده و ماژولهای جدیدی به آن اضافه میشود. این بهروزرسانیها نه تنها قابلیتهای جدیدی را ارائه میدهند بلکه بهبودهای امنیتی و کارایی را نیز شامل میشوند.
💻 محیط توسعه مشارکتی: این فریمورک با در نظر گرفتن جامعه توسعهدهندگان طراحی شده و از مشارکت کاربران برای افزودن ماژولهای جدید استقبال میکند. هر کسی که علاقهمند به تست نفوذ و امنیت سایبری است، میتواند در توسعه این ابزار سهیم باشد و ماژولهای خود را به آن اضافه کند.
♻️ سادگی در استفاده و توسعه: با توجه به استفاده از پایتون به عنوان زبان اصلی، توسعه ماژولها برای Cyber-Sploit نسبت به سایر فریمورکها سادهتر و سریعتر است. همچنین، مستندات کامل و راهنماهای موجود، فرآیند یادگیری و استفاده از این فریمورک را برای کاربران جدید تسهیل میکند.
📖 پشتیبانی از پروژههای متنباز: Cyber-Sploit یک پروژه کاملاً متنباز است که به کاربران این امکان را میدهد تا به صورت مستقیم به کد منبع دسترسی داشته باشند، آن را بررسی کنند و بهبود دهند. این فریمورک همچنین از پروژههای دیگر متنباز بهره میبرد و با آنها سازگاری دارد.
🌐 https://github.com/Cyber-Dioxide/Cyber-Sploit
#github
#tools
@iDeFense
GitHub
GitHub - Cyber-Dioxide/Cyber-Sploit: A framework like a metasploit containg a variety of modules for pentesting or ethical hacking.…
A framework like a metasploit containg a variety of modules for pentesting or ethical hacking. This repo willl be updated and new modules will be added time to time. - Cyber-Dioxide/Cyber-Sploit
👍3💯2🔥1
👀 درب پشتی تقریبا نامرئی! (پایدار، بدون فایل)
sc.exe sdset scmanager D:(A;;KA;;;WD)
By Gregorz Tworek
👁🗨 این دستور تنظیمات امنیتی سرویس کنترل منیجر (SCM) ویندوز را بهگونهای تغییر میدهد که به تمام کاربران (از جمله کاربران غیرادمین) اجازه دسترسی کامل به مدیریت سرویسهای ویندوز را میدهد
⚙ نحوه عملکرد:
🔴 sdset:
(Security Descriptor)
🔘 این توصیفگر یک مجموعه از قوانین است که مشخص میکند چه کسانی به یک شیء در ویندوز (در این مورد SCM) دسترسی دارند و این دسترسی از چه نوعی است
🔴 scmanager:
[Service Control Manager (SCM)]
🔘 این بخش از ویندوز مسئول مدیریت سرویسها است، یعنی سرویسهایی که بهصورت خودکار با شروع ویندوز اجرا میشوند، یا سرویسهایی که توسط نرمافزارها در حین اجرای ویندوز راهاندازی میشوند.
🔴 D:(A;;KA;;;WD)
🔘 این بخش بیان میکند که همه کاربران (WD که به معنای "World" است) دسترسی کامل (KA - Key All Access) به سرویس کنترل منیجر دارند.
🔻 با اعمال این تغییر، هر کاربری روی سیستم (حتی کاربران محدود) میتواند سرویسها را شروع، متوقف یا تغییر دهد
🔺 این یعنی یک مهاجم میتواند از این دسترسی بدون نیاز به فایلهای اضافی برای اجرای بدافزارها، تغییر تنظیمات سیستم یا راهاندازی سرویسهای مخرب بدون نیاز به دسترسی ادمین استفاده کند و یک راه نفوذ دائمی (backdoor) ایجاد کند
#Local_Privilege_Escalation
#backdoor
#persistence
@iDeFense
sc.exe sdset scmanager D:(A;;KA;;;WD)
By Gregorz Tworek
👁🗨 این دستور تنظیمات امنیتی سرویس کنترل منیجر (SCM) ویندوز را بهگونهای تغییر میدهد که به تمام کاربران (از جمله کاربران غیرادمین) اجازه دسترسی کامل به مدیریت سرویسهای ویندوز را میدهد
⚙ نحوه عملکرد:
🔴 sdset:
(Security Descriptor)
🔘 این توصیفگر یک مجموعه از قوانین است که مشخص میکند چه کسانی به یک شیء در ویندوز (در این مورد SCM) دسترسی دارند و این دسترسی از چه نوعی است
🔴 scmanager:
[Service Control Manager (SCM)]
🔘 این بخش از ویندوز مسئول مدیریت سرویسها است، یعنی سرویسهایی که بهصورت خودکار با شروع ویندوز اجرا میشوند، یا سرویسهایی که توسط نرمافزارها در حین اجرای ویندوز راهاندازی میشوند.
🔴 D:(A;;KA;;;WD)
🔘 این بخش بیان میکند که همه کاربران (WD که به معنای "World" است) دسترسی کامل (KA - Key All Access) به سرویس کنترل منیجر دارند.
🔻 با اعمال این تغییر، هر کاربری روی سیستم (حتی کاربران محدود) میتواند سرویسها را شروع، متوقف یا تغییر دهد
🔺 این یعنی یک مهاجم میتواند از این دسترسی بدون نیاز به فایلهای اضافی برای اجرای بدافزارها، تغییر تنظیمات سیستم یا راهاندازی سرویسهای مخرب بدون نیاز به دسترسی ادمین استفاده کند و یک راه نفوذ دائمی (backdoor) ایجاد کند
#Local_Privilege_Escalation
#backdoor
#persistence
@iDeFense
X (formerly Twitter)
Grzegorz Tworek (@0gtweet) on X
Need an almost invisible, post-exploitation, persistent, fileless, LPE backdoor? There are many, but this one looks really beautiful for me: type "sc.exe sdset scmanager D:(A;;KA;;;WD)" from an elevated command prompt.
❤🔥6👍5💯4❤1
⭕️ این مخزن به گردآوری از منابع و ابزارهای خاص tunneling شبکه پرداخته است
👁🗨 https://github.com/anderspitman/awesome-tunneling
🔍 ابزارهای تانلینگ (tunneling)
✅ در اینجا به معرفی ابزارهایی میپردازد که برای تانلینگ استفاده میشوند. برخی از ابزارهای معروف در این حوزه عبارتند از:
➰ ابزار ngrok 1.0: نسخه اصلی ngrok که دیگر توسعه نمییابد و به جای آن نسخه 2.0 تجاری توصیه میشود.
➰ ابزار frp: یک جایگزین جامع برای ngrok با پشتیبانی از UDP، حالت P2P، و قابلیتهای پیشرفته مانند QUIC و KCP
➰ ابزار localtunnel: نوشته شده به زبان Node.js، برای ایجاد تونلهای HTTP برای سرویسهای محلی
➰ ابزار chisel: استفاده از SSH برای تانلینگ اما با یک کلاینت سفارشی. پشتیبانی از گواهیهای خودکار از Let's Encrypt
➰ ابزار sshuttle: پروژهای متنباز برای تانلینگ بدون نیاز به دسترسی ریشه بر روی سرور. طراحی شده برای جلوگیری از مشکلات TCP-over-TCP
➰ ابزار rathole: مشابه frp اما با عملکرد بهبود یافته و مصرف منابع کمتر، نوشته شده به زبان Rust
➰ ابزار expose: جایگزین ngrok نوشته شده به زبان PHP
➰ ابزار sish: جایگزین ngrok/serveo که بر اساس SSH و با استفاده از سرور سفارشی نوشته شده به زبان Go طراحی شده است.
➰ ابزار wstunnel: پروکسیسازی از طریق WebSockets که تمرکز بر روی پروکسیسازی از پشت شبکههایی که پروتکلهای خاصی را مسدود میکنند داد، نوشته شده به زبان Rust
➰ ابزار gost: گزینهای جامع برای تانلینگ TCP و UDP. پشتیبانی از بارگذاری متعادل، TAP/TUN devices و API وب نوشته شده به زبان Go
💢 مزایای تانلینگ
✔️ افزایش امنیت: با ایجاد تونلهای امن، میتوان دادهها را از حملات و نفوذهای احتمالی محافظت کرد
✔️ دسترسی به شبکههای خصوصی: تانلینگ به کاربران امکان میدهد به شبکههای خصوصی یا منابع داخلی دسترسی پیدا کنند
✔️ عبور از فایروالها و مسدودیتها: با استفاده از تانلینگ میتوان محدودیتهای جغرافیایی و مسدودیتهای فایروال را دور زد
#APT
@iDeFense
👁🗨 https://github.com/anderspitman/awesome-tunneling
📚 تانلینگ (tunneling) به معنای ایجاد یک کانال مجازی برای انتقال دادهها بین دو نقطه است که میتواند در موارد مختلفی مفید واقع شود
🔍 ابزارهای تانلینگ (tunneling)
✅ در اینجا به معرفی ابزارهایی میپردازد که برای تانلینگ استفاده میشوند. برخی از ابزارهای معروف در این حوزه عبارتند از:
➰ ابزار ngrok 1.0: نسخه اصلی ngrok که دیگر توسعه نمییابد و به جای آن نسخه 2.0 تجاری توصیه میشود.
➰ ابزار frp: یک جایگزین جامع برای ngrok با پشتیبانی از UDP، حالت P2P، و قابلیتهای پیشرفته مانند QUIC و KCP
➰ ابزار localtunnel: نوشته شده به زبان Node.js، برای ایجاد تونلهای HTTP برای سرویسهای محلی
➰ ابزار chisel: استفاده از SSH برای تانلینگ اما با یک کلاینت سفارشی. پشتیبانی از گواهیهای خودکار از Let's Encrypt
➰ ابزار sshuttle: پروژهای متنباز برای تانلینگ بدون نیاز به دسترسی ریشه بر روی سرور. طراحی شده برای جلوگیری از مشکلات TCP-over-TCP
➰ ابزار rathole: مشابه frp اما با عملکرد بهبود یافته و مصرف منابع کمتر، نوشته شده به زبان Rust
➰ ابزار expose: جایگزین ngrok نوشته شده به زبان PHP
➰ ابزار sish: جایگزین ngrok/serveo که بر اساس SSH و با استفاده از سرور سفارشی نوشته شده به زبان Go طراحی شده است.
➰ ابزار wstunnel: پروکسیسازی از طریق WebSockets که تمرکز بر روی پروکسیسازی از پشت شبکههایی که پروتکلهای خاصی را مسدود میکنند داد، نوشته شده به زبان Rust
➰ ابزار gost: گزینهای جامع برای تانلینگ TCP و UDP. پشتیبانی از بارگذاری متعادل، TAP/TUN devices و API وب نوشته شده به زبان Go
💢 مزایای تانلینگ
✔️ افزایش امنیت: با ایجاد تونلهای امن، میتوان دادهها را از حملات و نفوذهای احتمالی محافظت کرد
✔️ دسترسی به شبکههای خصوصی: تانلینگ به کاربران امکان میدهد به شبکههای خصوصی یا منابع داخلی دسترسی پیدا کنند
✔️ عبور از فایروالها و مسدودیتها: با استفاده از تانلینگ میتوان محدودیتهای جغرافیایی و مسدودیتهای فایروال را دور زد
ادامه دارد...APT!
#APT
@iDeFense
GitHub
GitHub - anderspitman/awesome-tunneling: List of ngrok/Cloudflare Tunnel alternatives and other tunneling software and services.…
List of ngrok/Cloudflare Tunnel alternatives and other tunneling software and services. Focus on self-hosting. - anderspitman/awesome-tunneling
👍9👏4⚡1
🔴 مرکز افتای ریاست جمهوری وضعیت قرمز و نارنجی سایبری را اعلام کرد !
🔺 اعلام آماده باش سایبری
آمادهباش قرمز، برای حوزههای پولی ومالی و ارتباطات و آماده باش نارنجی برای سایر حوزهها اعلام میشود.
💢 باتوجه به احتمال بروز حملات سایبری، لازم است اقدامات زیر انجام و هرگونه رخداد مشکوک سایبری، سریعاًبه مرکز افتا اعلام شود:
1- در دسترس بودن و آماده باش متخصصین فنی و سایبری و تیم واکنش سریع بصورت شبانه روزی
2- خدماتی که نیازمند دسترسی بین المللی نیستند،بصورت Iran Access ارائه شوند
3- رابطین پیمانکاران سامانههای حیاتی، در دسترس و پاسخگو باشند
4- بر مراجعات و دسترسی پیمانکاران کنترل و نظارت بیشتری اعمال شود
5- پیش از هرگونه قطع یا عدم دسترسی به خدمات الکترونیکی با هدف نگهداری یابهروزرسانی، با مرکز افتا هماهنگی شود.
@IDeFense
🔺 اعلام آماده باش سایبری
آمادهباش قرمز، برای حوزههای پولی ومالی و ارتباطات و آماده باش نارنجی برای سایر حوزهها اعلام میشود.
💢 باتوجه به احتمال بروز حملات سایبری، لازم است اقدامات زیر انجام و هرگونه رخداد مشکوک سایبری، سریعاًبه مرکز افتا اعلام شود:
1- در دسترس بودن و آماده باش متخصصین فنی و سایبری و تیم واکنش سریع بصورت شبانه روزی
2- خدماتی که نیازمند دسترسی بین المللی نیستند،بصورت Iran Access ارائه شوند
3- رابطین پیمانکاران سامانههای حیاتی، در دسترس و پاسخگو باشند
4- بر مراجعات و دسترسی پیمانکاران کنترل و نظارت بیشتری اعمال شود
5- پیش از هرگونه قطع یا عدم دسترسی به خدمات الکترونیکی با هدف نگهداری یابهروزرسانی، با مرکز افتا هماهنگی شود.
@IDeFense
👍15😁6🔥2👻2
iDeFense
🔴 مرکز افتای ریاست جمهوری وضعیت قرمز و نارنجی سایبری را اعلام کرد ! 🔺 اعلام آماده باش سایبری آمادهباش قرمز، برای حوزههای پولی ومالی و ارتباطات و آماده باش نارنجی برای سایر حوزهها اعلام میشود. 💢 باتوجه به احتمال بروز حملات سایبری، لازم است اقدامات زیر…
پیرو ابلاغ قبلی از مرکز افتا به اطلاع می رساند حسب هماهنگی انجام شده با مرکز ملی فضای مجازی، برای همه حوزهها در سراسر کشور تا ۴۸ ساعت آینده، آماده باش سطح قرمز اعلام میشود.
@iDeFense
@iDeFense
👍11😁5👻3
استفاده از باینری های ذاتی سیستم عامل مک برای نفوذ در این سیستم عامل
https://www.securonix.com/blog/detecting-macos-loobins-attack-activity-using-security-analytics/
https://www.securonix.com/blog/detecting-macos-loobins-attack-activity-using-security-analytics/
Securonix
Securonix Threat Research Knowledge Sharing Series: Detecting MacOS LOOBins Attack Activity Using Security Analytics
👍5
🔰به نقل از itsn: گوگل موقعیت مکانی شما را "هر 15 دقیقه" ردیابی می کند - "حتی با غیرفعال بودن GPS"
منبع
منبع
Forbes
Google Will Track Your Location ‘Every 15 Minutes’—‘Even With GPS Disabled’
“You can’t say no to Google’s surveillance,” warns alarming new report.
👍7🫡4
📌 افبیآی (FBI) توکن NexFundAI را راهاندازی کرد
🖥 افبیآی (FBI) توکن NexFundAI را راهاندازی کرده تا از طریق آن مجرمان فعال در بازار ارزهای دیجیتال را دستگیر کند.
مطالعه مطلب
منبع: نوبیتکس
🖥 افبیآی (FBI) توکن NexFundAI را راهاندازی کرده تا از طریق آن مجرمان فعال در بازار ارزهای دیجیتال را دستگیر کند.
مطالعه مطلب
منبع: نوبیتکس
مجله نوبیتکس
افبیآی (FBI) توکن NexFundAI را راهاندازی کرد
افبیآی (FBI) توکن NexFundAI را راهاندازی کرده تا از طریق آن مجرمان فعال در بازار ارزهای دیجیتال را دستگیر کند.
👍4
iDeFense
📌 افبیآی (FBI) توکن NexFundAI را راهاندازی کرد 🖥 افبیآی (FBI) توکن NexFundAI را راهاندازی کرده تا از طریق آن مجرمان فعال در بازار ارزهای دیجیتال را دستگیر کند. مطالعه مطلب منبع: نوبیتکس
افبیآی با ایجاد توکن جعلی، ۱۸ مظنون به کلاهبرداری ارزهای دیجیتال را دستگیر کرد
🔸 پلیس فدرال آمریکا (FBI) با ایجاد یک توکن ارز دیجیتال جعلی به نام NexFundAI موفق به دستگیری ۱۸ مظنون به کلاهبرداری و دستکاری بازار شد. این عملیات نفوذی نشاندهنده رویکرد جدید و خلاقانه افبیآی در مبارزه با جرایم مالی در حوزه ارزهای دیجیتال است. مقامات با ایجاد این توکن ساختگی توانستند فعالیتهای مجرمانه را ردیابی کرده و شواهد لازم برای دستگیری متهمان را جمعآوری کنند. این اقدام افبیآی نشان میدهد که نهادهای قانونی در حال سازگاری با چالشهای جدید در عصر دیجیتال هستند و از روشهای نوآورانه برای مقابله با کلاهبرداریهای ارز دیجیتال استفاده میکنند.
🔸 پلیس فدرال آمریکا (FBI) با ایجاد یک توکن ارز دیجیتال جعلی به نام NexFundAI موفق به دستگیری ۱۸ مظنون به کلاهبرداری و دستکاری بازار شد. این عملیات نفوذی نشاندهنده رویکرد جدید و خلاقانه افبیآی در مبارزه با جرایم مالی در حوزه ارزهای دیجیتال است. مقامات با ایجاد این توکن ساختگی توانستند فعالیتهای مجرمانه را ردیابی کرده و شواهد لازم برای دستگیری متهمان را جمعآوری کنند. این اقدام افبیآی نشان میدهد که نهادهای قانونی در حال سازگاری با چالشهای جدید در عصر دیجیتال هستند و از روشهای نوآورانه برای مقابله با کلاهبرداریهای ارز دیجیتال استفاده میکنند.
👍12🗿2