👀 درب پشتی تقریبا نامرئی! (پایدار، بدون فایل)
sc.exe sdset scmanager D:(A;;KA;;;WD)
By Gregorz Tworek

👁‍🗨 این دستور تنظیمات امنیتی سرویس کنترل منیجر (SCM) ویندوز را به‌گونه‌ای تغییر می‌دهد که به تمام کاربران (از جمله کاربران غیرادمین) اجازه دسترسی کامل به مدیریت سرویس‌های ویندوز را می‌دهد

⚙ نحوه عملکرد:
🔴 sdset:
(Security Descriptor)
🔘 این توصیفگر یک مجموعه از قوانین است که مشخص می‌کند چه کسانی به یک شیء در ویندوز (در این مورد SCM) دسترسی دارند و این دسترسی از چه نوعی است

🔴 scmanager:
[Service Control Manager (SCM)]
🔘 این بخش از ویندوز مسئول مدیریت سرویس‌ها است، یعنی سرویس‌هایی که به‌صورت خودکار با شروع ویندوز اجرا می‌شوند، یا سرویس‌هایی که توسط نرم‌افزارها در حین اجرای ویندوز راه‌اندازی می‌شوند.

🔴 D:(A;;KA;;;WD)
🔘 این بخش بیان می‌کند که همه کاربران (WD که به معنای "World" است) دسترسی کامل (KA - Key All Access) به سرویس کنترل منیجر دارند.

🔻 با اعمال این تغییر، هر کاربری روی سیستم (حتی کاربران محدود) می‌تواند سرویس‌ها را شروع، متوقف یا تغییر دهد

🔺 این یعنی یک مهاجم می‌تواند از این دسترسی بدون نیاز به فایل‌های اضافی برای اجرای بدافزارها، تغییر تنظیمات سیستم یا راه‌اندازی سرویس‌های مخرب بدون نیاز به دسترسی ادمین استفاده کند و یک راه نفوذ دائمی (backdoor) ایجاد کند

#Local_Privilege_Escalation
#backdoor
#persistence

@iDeFense

⭕️ این مخزن به گردآوری از منابع و ابزارهای خاص tunneling شبکه پرداخته است

👁‍🗨 https://github.com/anderspitman/awesome-tunneling

📚 تانلینگ (tunneling) به معنای ایجاد یک کانال مجازی برای انتقال داده‌ها بین دو نقطه است که می‌تواند در موارد مختلفی مفید واقع شود

🔍 ابزارهای تانلینگ (tunneling)
✅ در اینجا به معرفی ابزارهایی می‌پردازد که برای تانلینگ استفاده می‌شوند. برخی از ابزارهای معروف در این حوزه عبارتند از:

➰ ابزار ngrok 1.0: نسخه اصلی ngrok که دیگر توسعه نمی‌یابد و به جای آن نسخه 2.0 تجاری توصیه می‌شود.

➰ ابزار frp: یک جایگزین جامع برای ngrok با پشتیبانی از UDP، حالت P2P، و قابلیت‌های پیشرفته مانند QUIC و KCP

➰ ابزار localtunnel: نوشته شده به زبان Node.js، برای ایجاد تونل‌های HTTP برای سرویس‌های محلی

➰ ابزار chisel: استفاده از SSH برای تانلینگ اما با یک کلاینت سفارشی. پشتیبانی از گواهی‌های خودکار از Let's Encrypt

➰ ابزار sshuttle: پروژه‌ای متن‌باز برای تانلینگ بدون نیاز به دسترسی ریشه بر روی سرور. طراحی شده برای جلوگیری از مشکلات TCP-over-TCP

➰ ابزار rathole: مشابه frp اما با عملکرد بهبود یافته و مصرف منابع کمتر، نوشته شده به زبان Rust

➰ ابزار expose: جایگزین ngrok نوشته شده به زبان PHP

➰ ابزار sish: جایگزین ngrok/serveo که بر اساس SSH و با استفاده از سرور سفارشی نوشته شده به زبان Go طراحی شده است.

➰ ابزار wstunnel: پروکسی‌سازی از طریق WebSockets که تمرکز بر روی پروکسی‌سازی از پشت شبکه‌هایی که پروتکل‌های خاصی را مسدود می‌کنند داد، نوشته شده به زبان Rust

➰ ابزار gost: گزینه‌ای جامع برای تانلینگ TCP و UDP. پشتیبانی از بارگذاری متعادل، TAP/TUN devices و API وب نوشته شده به زبان Go

💢 مزایای تانلینگ

✔️ افزایش امنیت: با ایجاد تونل‌های امن، می‌توان داده‌ها را از حملات و نفوذهای احتمالی محافظت کرد
✔️ دسترسی به شبکه‌های خصوصی: تانلینگ به کاربران امکان می‌دهد به شبکه‌های خصوصی یا منابع داخلی دسترسی پیدا کنند
✔️ عبور از فایروال‌ها و مسدودیت‌ها: با استفاده از تانلینگ می‌توان محدودیت‌های جغرافیایی و مسدودیت‌های فایروال را دور زد

ادامه دارد...APT!

#APT

@iDeFense

🔴 مرکز افتای ریاست جمهوری وضعیت قرمز و نارنجی سایبری را اعلام کرد !

🔺 اعلام آماده باش سایبری
آماده‌باش قرمز، برای حوزه‌های پولی ومالی و ارتباطات و آماده باش نارنجی برای سایر حوزه‌ها اعلام می‌شود.

💢 باتوجه به احتمال بروز حملات سایبری، لازم است اقدامات زیر انجام و هرگونه رخداد مشکوک سایبری، سریعاًبه مرکز افتا اعلام شود:

1- در دسترس بودن و آماده باش متخصصین فنی و سایبری و تیم واکنش سریع بصورت شبانه روزی

2- خد‌ماتی که نیازمند دسترسی بین المللی نیستند،بصورت Iran Access ارائه شوند
3- رابطین پیمانکاران سامانه‌های حیاتی، در دسترس و پاسخگو باشند

4- بر مراجعات و دسترسی پیمانکاران کنترل و نظارت بیشتری اعمال شود

5- پیش از هرگونه قطع یا عدم دسترسی به خدمات الکترونیکی با هدف نگهداری یابه‌روزرسانی، با مرکز  افتا هماهنگی شود.

@IDeFense

پیرو ابلاغ قبلی از مرکز افتا به اطلاع می رساند حسب هماهنگی انجام شده با مرکز ملی فضای مجازی، برای همه حوزه‌ها در سراسر کشور تا ۴۸ ساعت آینده، آماده باش سطح قرمز اعلام می‌شود.

@iDeFense

استفاده از باینری های ذاتی سیستم عامل مک برای نفوذ در این سیستم عامل


https://www.securonix.com/blog/detecting-macos-loobins-attack-activity-using-security-analytics/

🔰به نقل از itsn: گوگل موقعیت مکانی شما را "هر 15 دقیقه" ردیابی می کند - "حتی با غیرفعال بودن GPS"
منبع

📌‌ اف‌بی‌آی (FBI) توکن NexFundAI را راه‌اندازی کرد

‌🖥 اف‌بی‌آی (FBI) توکن NexFundAI را راه‌اندازی کرده تا از طریق آن مجرمان فعال در بازار ارزهای دیجیتال را دستگیر کند.

مطالعه مطلب

منبع: نوبیتکس

🔴حمله سایبری منجر به مسدود شدن سرویس وب سایت داخل رژيم صهيونيستی شد

تیم الطاهره با هدف قرار دادن یک آژانس رسانه ای اطلاعات دشمن صهیونیستی که از طریق تلگرام و از طریق یک وب سایت پخش می شود، حمله سایبری را انجام داد.

اف‌بی‌آی با ایجاد توکن جعلی، ۱۸ مظنون به کلاهبرداری ارزهای دیجیتال را دستگیر کرد

🔸 پلیس فدرال آمریکا (FBI) با ایجاد یک توکن ارز دیجیتال جعلی به نام NexFundAI موفق به دستگیری ۱۸ مظنون به کلاهبرداری و دستکاری بازار شد. این عملیات نفوذی نشان‌دهنده رویکرد جدید و خلاقانه اف‌بی‌آی در مبارزه با جرایم مالی در حوزه ارزهای دیجیتال است. مقامات با ایجاد این توکن ساختگی توانستند فعالیت‌های مجرمانه را ردیابی کرده و شواهد لازم برای دستگیری متهمان را جمع‌آوری کنند. این اقدام اف‌بی‌آی نشان می‌دهد که نهادهای قانونی در حال سازگاری با چالش‌های جدید در عصر دیجیتال هستند و از روش‌های نوآورانه برای مقابله با کلاهبرداری‌های ارز دیجیتال استفاده می‌کنند.

https://github.com/patchstack/vulnerability-playground

کدهای آسیب پذیر php

💢 مراحل نفوذ مهاجم در شبکه و تعقیب و گریز از SOC به روایت حیات وحش😅

#fun
#threat_hunting
#SOC
#Incident_Response

@iDeFense

https://portswigger.net/research/trace-desync-attack

توصیه میشود مطالعه کنید

⭕️ یک مطالعه فنی در مورد یک کمپین APT با هدف قرار دادن نهادهای فرانسوی در صنایع ساخت و ساز، املاک و صنایع دولتی در مارس 2022، یک ماه قبل از انتخابات ریاست جمهوری فرانسه

🔬 https://github.com/VirtualSamuraii/serpent_group

🌐 https://www.proofpoint.com/us/blog/threat-insight/serpent-no-swiping-new-backdoor-targets-french-entities-unique-attack-chain

#APT
#C2
#Anaconda
#Macro
#initial_access (MITRE T1566.001)

@iDeFense

🔴 بروز رسانی امنیتی CVE-2024-38812

🔺 VMware Releases vCenter Server Update to Fix Critical RCE Vulnerability

💢 CVE-2024-38812 (CVSS score: 9.8)

♨ این آسیب‌پذیری به مهاجمان با دسترسی به شبکه امکان می‌دهد که با ارسال بسته‌های شبکه‌ای خاص، سرور vCenter را هدف قرار داده و کدهای دلخواه خود را روی آن اجرا کنند. در این نوع حملات با دسترسی به سیستم قربانی، مهاجم می‌تواند کنترل کامل سرور را به‌دست بگیرد و اقدامات مخربی مانند سرقت داده‌ها یا غیرفعال کردن سیستم‌ها را انجام دهد.

🔘 مشکل اصلی در این آسیب پذیری مربوط به مدیریت نادرست حافظه در پروتکل DCE/RPC است
سرریز بافر در این پروتکل به مهاجمان اجازه می‌دهد که حافظه سرور را با داده‌های نادرست پر کرده و به این ترتیب از اجرای کد سوءاستفاده کنند.

❗آسیب‌پذیری CVE-2024-38812 شباهت زیادی با دو آسیب‌پذیری دیگر به نام‌های CVE-2024-37079 و CVE-2024-37080 دارد که در ژوئن 2024 شناسایی و رفع شده بودند.
هر دو این آسیب‌پذیری‌ها نیز امتیاز 9.8 در CVSS داشتند و به مهاجمان اجازه اجرای کد از راه دور را می‌دادند.

🔰vCenter Server 8.0 (fixed in 8.0 U3b);
🔰vCenter Server 7.0 (fixed in 7.0 U3s);
🔰VMware Cloud Foundation 5.x (fix available for 8.0 U3b);
🔰VMware Cloud Foundation 4.x (fixed in 7.0 U3s).

♨ https://thehackernews.com/2024/10/vmware-releases-vcenter-server-update.html

@iDeFense

♨ شرکت Fortinet یک آسیب‌پذیری بحرانی را بیش از یک هفته مخفی نگه داشته است!

🔻 در حالی که گزارش‌هایی وجود دارد مبنی بر اینکه مهاجمان از این آسیب‌پذیری برای اجرای کدهای مخرب روی سرورهای مورد استفاده سازمان‌های حساس استفاده می‌کنند، نمایندگان Fortinet به سوالات ارسال شده از طریق ایمیل پاسخ نداده‌اند و هنوز هیچ اطلاعیه عمومی درباره جزئیات این آسیب‌پذیری یا نرم‌افزار خاصی که تحت تأثیر قرار گرفته است منتشر نکرده‌اند!

🔴 طبق یک پست در Reddit، آسیب‌پذیری مربوط به FortiManager است و اعلام کرده که نسخه‌های خاص آسیب‌پذیر شامل FortiManager نسخه‌های زیر هستند:
• 7.6.0 and below
• 7.4.4 and below
• 7.2.7 and below
• 7.0.12 and below
• 6.4.14 and below

🔻 تاکنون Fortigate هیچ‌گونه اطلاعیه عمومی یا شماره CVE برای ردیابی این آسیب‌پذیری zero-day منتشر نکرده است.

#FortiManager
#fortigate
#CVE
#APT

@iDeFense

♨ طبق یک نظر حذف‌شده در Reddit که بیان کرده بود این آسیب‌پذیری zero-day به مهاجمان این امکان را می‌دهد تا یک گواهینامه Fortigate را از هر دستگاه Fortigate سرقت کنند، و با آن در FortiManager ثبت‌نام کرده و به آن دسترسی پیدا کنند

🔺 به نظر میرسد مشکل این آسیب‌پذیری از یک تنظیم پیش‌فرض در FortiManager ناشی می‌شود که به دستگاه‌هایی با شماره سریال ناشناس یا غیرمجاز اجازه می‌دهد تا در داشبورد FortiManager ثبت‌نام کنند

⭕مراحل حمله
1. سرقت گواهینامه دیجیتال: مهاجمان از این آسیب‌پذیری برای دزدیدن گواهینامه دیجیتال استفاده می‌کنند. این گواهینامه‌ها اساساً نقش یک "تأیید هویت" را ایفا می‌کنند که دستگاه‌ها را به عنوان اعضای معتبر شبکه تأیید می‌کند

2. بارگذاری روی دستگاه خود: مهاجمان پس از سرقت گواهینامه، آن را روی دستگاه خودشان بارگذاری می‌کنند

3. ثبت در شبکه قربانی: سپس دستگاه خود را با استفاده از گواهینامه سرقت شده در شبکه قربانی ثبت می‌کنند، به‌گونه‌ای که دستگاه آن‌ها به عنوان یک دستگاه معتبر شناخته می‌شود

🔴 استفاده مجدد از گواهینامه‌ها: مهاجم می‌تواند یک گواهینامه از یک دستگاه FortiGate واقعی سرقت کند و از آن بارها برای ثبت‌نام دستگاه جعلی خود در هر FortiManager استفاده کند

🔻 آسیب‌پذیری در FortiManager:
پس از ثبت‌نام دستگاه جعلی، آسیب‌پذیری به مهاجم اجازه می‌دهد کد مخرب را به‌صورت راه دور بر روی خود FortiManager اجرا کند.

از FortiManager، مهاجم می‌تواند دستگاه‌های FortiGate واقعی را که تحت مدیریت FortiManager هستند، کنترل کند.
این شامل مشاهده فایل‌های پیکربندی، دزدیدن اطلاعات احراز هویت و تغییر تنظیمات میشود.

💢 در حملات گزارش شده مهاجمان از نام "localhost" برای دستگاه‌های جعلی خود استفاده می‌کنند تا به نظر برسد که این دستگاه بخشی از شبکه محلی است

🔘 بر اساس گزارش ها و شواهد موجود به‌نظر می‌رسد، هکرهای وابسته به دولت چین از اوایل سال جاری از این آسیب‌پذیری برای نفوذ به شبکه‌های داخلی استفاده کرده‌اند
#FortiManager
#fortigate
#CVE
#APT

@iDeFense