🔥 فریم‌ورک Cyber-Sploit ابزاری در حوزه تست نفوذ و هک اخلاقی است که با هدف فراهم کردن یک پلتفرم جامع و چند‌زبانه برای اجرای ماژول‌های متنوع طراحی شده است. این فریم‌ورک، مشابه Metasploit، اما با تفاوت‌ها و قابلیت‌های منحصربه‌فردی که آن را از سایر ابزارها متمایز می‌کند

🦾 تفاوت‌ها و قابلیت‌های کلیدی Cyber-Sploit نسبت به Metasploit:
پشتیبانی از چندین زبان برنامه‌نویسی: برخلاف Metasploit که بیشتر به زبان Ruby محدود است، Cyber-Sploit عمدتاً از پایتون استفاده می‌کند و در عین حال امکان افزودن ماژول‌هایی به زبان‌های دیگر نظیر Ruby و GoLang نیز وجود دارد. این انعطاف‌پذیری به توسعه‌دهندگان اجازه می‌دهد تا از ابزارهای موجود در زبان‌های مختلف بهره ببرند و ماژول‌های جدیدی را به آسانی اضافه کنند.

🌀 به‌روزرسانی مستمر و افزودن ماژول‌های جدید: Cyber-Sploit یک فریم‌ورک پویا و در حال توسعه است که به طور مداوم به‌روزرسانی شده و ماژول‌های جدیدی به آن اضافه می‌شود. این به‌روزرسانی‌ها نه تنها قابلیت‌های جدیدی را ارائه می‌دهند بلکه بهبودهای امنیتی و کارایی را نیز شامل می‌شوند.

💻 محیط توسعه مشارکتی: این فریم‌ورک با در نظر گرفتن جامعه توسعه‌دهندگان طراحی شده و از مشارکت کاربران برای افزودن ماژول‌های جدید استقبال می‌کند. هر کسی که علاقه‌مند به تست نفوذ و امنیت سایبری است، می‌تواند در توسعه این ابزار سهیم باشد و ماژول‌های خود را به آن اضافه کند.

♻️ سادگی در استفاده و توسعه: با توجه به استفاده از پایتون به عنوان زبان اصلی، توسعه ماژول‌ها برای Cyber-Sploit نسبت به سایر فریم‌ورک‌ها ساده‌تر و سریع‌تر است. همچنین، مستندات کامل و راهنماهای موجود، فرآیند یادگیری و استفاده از این فریم‌ورک را برای کاربران جدید تسهیل می‌کند.

📖 پشتیبانی از پروژه‌های متن‌باز: Cyber-Sploit یک پروژه کاملاً متن‌باز است که به کاربران این امکان را می‌دهد تا به صورت مستقیم به کد منبع دسترسی داشته باشند، آن را بررسی کنند و بهبود دهند. این فریم‌ورک همچنین از پروژه‌های دیگر متن‌باز بهره می‌برد و با آنها سازگاری دارد.

🌐 https://github.com/Cyber-Dioxide/Cyber-Sploit

#github
#tools

@iDeFense

👀 درب پشتی تقریبا نامرئی! (پایدار، بدون فایل)
sc.exe sdset scmanager D:(A;;KA;;;WD)
By Gregorz Tworek

👁‍🗨 این دستور تنظیمات امنیتی سرویس کنترل منیجر (SCM) ویندوز را به‌گونه‌ای تغییر می‌دهد که به تمام کاربران (از جمله کاربران غیرادمین) اجازه دسترسی کامل به مدیریت سرویس‌های ویندوز را می‌دهد

⚙ نحوه عملکرد:
🔴 sdset:
(Security Descriptor)
🔘 این توصیفگر یک مجموعه از قوانین است که مشخص می‌کند چه کسانی به یک شیء در ویندوز (در این مورد SCM) دسترسی دارند و این دسترسی از چه نوعی است

🔴 scmanager:
[Service Control Manager (SCM)]
🔘 این بخش از ویندوز مسئول مدیریت سرویس‌ها است، یعنی سرویس‌هایی که به‌صورت خودکار با شروع ویندوز اجرا می‌شوند، یا سرویس‌هایی که توسط نرم‌افزارها در حین اجرای ویندوز راه‌اندازی می‌شوند.

🔴 D:(A;;KA;;;WD)
🔘 این بخش بیان می‌کند که همه کاربران (WD که به معنای "World" است) دسترسی کامل (KA - Key All Access) به سرویس کنترل منیجر دارند.

🔻 با اعمال این تغییر، هر کاربری روی سیستم (حتی کاربران محدود) می‌تواند سرویس‌ها را شروع، متوقف یا تغییر دهد

🔺 این یعنی یک مهاجم می‌تواند از این دسترسی بدون نیاز به فایل‌های اضافی برای اجرای بدافزارها، تغییر تنظیمات سیستم یا راه‌اندازی سرویس‌های مخرب بدون نیاز به دسترسی ادمین استفاده کند و یک راه نفوذ دائمی (backdoor) ایجاد کند

#Local_Privilege_Escalation
#backdoor
#persistence

@iDeFense

⭕️ این مخزن به گردآوری از منابع و ابزارهای خاص tunneling شبکه پرداخته است

👁‍🗨 https://github.com/anderspitman/awesome-tunneling

📚 تانلینگ (tunneling) به معنای ایجاد یک کانال مجازی برای انتقال داده‌ها بین دو نقطه است که می‌تواند در موارد مختلفی مفید واقع شود

🔍 ابزارهای تانلینگ (tunneling)
✅ در اینجا به معرفی ابزارهایی می‌پردازد که برای تانلینگ استفاده می‌شوند. برخی از ابزارهای معروف در این حوزه عبارتند از:

➰ ابزار ngrok 1.0: نسخه اصلی ngrok که دیگر توسعه نمی‌یابد و به جای آن نسخه 2.0 تجاری توصیه می‌شود.

➰ ابزار frp: یک جایگزین جامع برای ngrok با پشتیبانی از UDP، حالت P2P، و قابلیت‌های پیشرفته مانند QUIC و KCP

➰ ابزار localtunnel: نوشته شده به زبان Node.js، برای ایجاد تونل‌های HTTP برای سرویس‌های محلی

➰ ابزار chisel: استفاده از SSH برای تانلینگ اما با یک کلاینت سفارشی. پشتیبانی از گواهی‌های خودکار از Let's Encrypt

➰ ابزار sshuttle: پروژه‌ای متن‌باز برای تانلینگ بدون نیاز به دسترسی ریشه بر روی سرور. طراحی شده برای جلوگیری از مشکلات TCP-over-TCP

➰ ابزار rathole: مشابه frp اما با عملکرد بهبود یافته و مصرف منابع کمتر، نوشته شده به زبان Rust

➰ ابزار expose: جایگزین ngrok نوشته شده به زبان PHP

➰ ابزار sish: جایگزین ngrok/serveo که بر اساس SSH و با استفاده از سرور سفارشی نوشته شده به زبان Go طراحی شده است.

➰ ابزار wstunnel: پروکسی‌سازی از طریق WebSockets که تمرکز بر روی پروکسی‌سازی از پشت شبکه‌هایی که پروتکل‌های خاصی را مسدود می‌کنند داد، نوشته شده به زبان Rust

➰ ابزار gost: گزینه‌ای جامع برای تانلینگ TCP و UDP. پشتیبانی از بارگذاری متعادل، TAP/TUN devices و API وب نوشته شده به زبان Go

💢 مزایای تانلینگ

✔️ افزایش امنیت: با ایجاد تونل‌های امن، می‌توان داده‌ها را از حملات و نفوذهای احتمالی محافظت کرد
✔️ دسترسی به شبکه‌های خصوصی: تانلینگ به کاربران امکان می‌دهد به شبکه‌های خصوصی یا منابع داخلی دسترسی پیدا کنند
✔️ عبور از فایروال‌ها و مسدودیت‌ها: با استفاده از تانلینگ می‌توان محدودیت‌های جغرافیایی و مسدودیت‌های فایروال را دور زد

ادامه دارد...APT!

#APT

@iDeFense

🔴 مرکز افتای ریاست جمهوری وضعیت قرمز و نارنجی سایبری را اعلام کرد !

🔺 اعلام آماده باش سایبری
آماده‌باش قرمز، برای حوزه‌های پولی ومالی و ارتباطات و آماده باش نارنجی برای سایر حوزه‌ها اعلام می‌شود.

💢 باتوجه به احتمال بروز حملات سایبری، لازم است اقدامات زیر انجام و هرگونه رخداد مشکوک سایبری، سریعاًبه مرکز افتا اعلام شود:

1- در دسترس بودن و آماده باش متخصصین فنی و سایبری و تیم واکنش سریع بصورت شبانه روزی

2- خد‌ماتی که نیازمند دسترسی بین المللی نیستند،بصورت Iran Access ارائه شوند
3- رابطین پیمانکاران سامانه‌های حیاتی، در دسترس و پاسخگو باشند

4- بر مراجعات و دسترسی پیمانکاران کنترل و نظارت بیشتری اعمال شود

5- پیش از هرگونه قطع یا عدم دسترسی به خدمات الکترونیکی با هدف نگهداری یابه‌روزرسانی، با مرکز  افتا هماهنگی شود.

@IDeFense

پیرو ابلاغ قبلی از مرکز افتا به اطلاع می رساند حسب هماهنگی انجام شده با مرکز ملی فضای مجازی، برای همه حوزه‌ها در سراسر کشور تا ۴۸ ساعت آینده، آماده باش سطح قرمز اعلام می‌شود.

@iDeFense

استفاده از باینری های ذاتی سیستم عامل مک برای نفوذ در این سیستم عامل


https://www.securonix.com/blog/detecting-macos-loobins-attack-activity-using-security-analytics/

🔰به نقل از itsn: گوگل موقعیت مکانی شما را "هر 15 دقیقه" ردیابی می کند - "حتی با غیرفعال بودن GPS"
منبع

📌‌ اف‌بی‌آی (FBI) توکن NexFundAI را راه‌اندازی کرد

‌🖥 اف‌بی‌آی (FBI) توکن NexFundAI را راه‌اندازی کرده تا از طریق آن مجرمان فعال در بازار ارزهای دیجیتال را دستگیر کند.

مطالعه مطلب

منبع: نوبیتکس

🔴حمله سایبری منجر به مسدود شدن سرویس وب سایت داخل رژيم صهيونيستی شد

تیم الطاهره با هدف قرار دادن یک آژانس رسانه ای اطلاعات دشمن صهیونیستی که از طریق تلگرام و از طریق یک وب سایت پخش می شود، حمله سایبری را انجام داد.

اف‌بی‌آی با ایجاد توکن جعلی، ۱۸ مظنون به کلاهبرداری ارزهای دیجیتال را دستگیر کرد

🔸 پلیس فدرال آمریکا (FBI) با ایجاد یک توکن ارز دیجیتال جعلی به نام NexFundAI موفق به دستگیری ۱۸ مظنون به کلاهبرداری و دستکاری بازار شد. این عملیات نفوذی نشان‌دهنده رویکرد جدید و خلاقانه اف‌بی‌آی در مبارزه با جرایم مالی در حوزه ارزهای دیجیتال است. مقامات با ایجاد این توکن ساختگی توانستند فعالیت‌های مجرمانه را ردیابی کرده و شواهد لازم برای دستگیری متهمان را جمع‌آوری کنند. این اقدام اف‌بی‌آی نشان می‌دهد که نهادهای قانونی در حال سازگاری با چالش‌های جدید در عصر دیجیتال هستند و از روش‌های نوآورانه برای مقابله با کلاهبرداری‌های ارز دیجیتال استفاده می‌کنند.

https://github.com/patchstack/vulnerability-playground

کدهای آسیب پذیر php

💢 مراحل نفوذ مهاجم در شبکه و تعقیب و گریز از SOC به روایت حیات وحش😅

#fun
#threat_hunting
#SOC
#Incident_Response

@iDeFense

https://portswigger.net/research/trace-desync-attack

توصیه میشود مطالعه کنید

⭕️ یک مطالعه فنی در مورد یک کمپین APT با هدف قرار دادن نهادهای فرانسوی در صنایع ساخت و ساز، املاک و صنایع دولتی در مارس 2022، یک ماه قبل از انتخابات ریاست جمهوری فرانسه

🔬 https://github.com/VirtualSamuraii/serpent_group

🌐 https://www.proofpoint.com/us/blog/threat-insight/serpent-no-swiping-new-backdoor-targets-french-entities-unique-attack-chain

#APT
#C2
#Anaconda
#Macro
#initial_access (MITRE T1566.001)

@iDeFense

🔴 بروز رسانی امنیتی CVE-2024-38812

🔺 VMware Releases vCenter Server Update to Fix Critical RCE Vulnerability

💢 CVE-2024-38812 (CVSS score: 9.8)

♨ این آسیب‌پذیری به مهاجمان با دسترسی به شبکه امکان می‌دهد که با ارسال بسته‌های شبکه‌ای خاص، سرور vCenter را هدف قرار داده و کدهای دلخواه خود را روی آن اجرا کنند. در این نوع حملات با دسترسی به سیستم قربانی، مهاجم می‌تواند کنترل کامل سرور را به‌دست بگیرد و اقدامات مخربی مانند سرقت داده‌ها یا غیرفعال کردن سیستم‌ها را انجام دهد.

🔘 مشکل اصلی در این آسیب پذیری مربوط به مدیریت نادرست حافظه در پروتکل DCE/RPC است
سرریز بافر در این پروتکل به مهاجمان اجازه می‌دهد که حافظه سرور را با داده‌های نادرست پر کرده و به این ترتیب از اجرای کد سوءاستفاده کنند.

❗آسیب‌پذیری CVE-2024-38812 شباهت زیادی با دو آسیب‌پذیری دیگر به نام‌های CVE-2024-37079 و CVE-2024-37080 دارد که در ژوئن 2024 شناسایی و رفع شده بودند.
هر دو این آسیب‌پذیری‌ها نیز امتیاز 9.8 در CVSS داشتند و به مهاجمان اجازه اجرای کد از راه دور را می‌دادند.

🔰vCenter Server 8.0 (fixed in 8.0 U3b);
🔰vCenter Server 7.0 (fixed in 7.0 U3s);
🔰VMware Cloud Foundation 5.x (fix available for 8.0 U3b);
🔰VMware Cloud Foundation 4.x (fixed in 7.0 U3s).

♨ https://thehackernews.com/2024/10/vmware-releases-vcenter-server-update.html

@iDeFense

♨ شرکت Fortinet یک آسیب‌پذیری بحرانی را بیش از یک هفته مخفی نگه داشته است!

🔻 در حالی که گزارش‌هایی وجود دارد مبنی بر اینکه مهاجمان از این آسیب‌پذیری برای اجرای کدهای مخرب روی سرورهای مورد استفاده سازمان‌های حساس استفاده می‌کنند، نمایندگان Fortinet به سوالات ارسال شده از طریق ایمیل پاسخ نداده‌اند و هنوز هیچ اطلاعیه عمومی درباره جزئیات این آسیب‌پذیری یا نرم‌افزار خاصی که تحت تأثیر قرار گرفته است منتشر نکرده‌اند!

🔴 طبق یک پست در Reddit، آسیب‌پذیری مربوط به FortiManager است و اعلام کرده که نسخه‌های خاص آسیب‌پذیر شامل FortiManager نسخه‌های زیر هستند:
• 7.6.0 and below
• 7.4.4 and below
• 7.2.7 and below
• 7.0.12 and below
• 6.4.14 and below

🔻 تاکنون Fortigate هیچ‌گونه اطلاعیه عمومی یا شماره CVE برای ردیابی این آسیب‌پذیری zero-day منتشر نکرده است.

#FortiManager
#fortigate
#CVE
#APT

@iDeFense