Revil Ransomware New Model RAAS
Ransomware As A Service
TTP & mitigation with MITRE ATT&CK
#ransomware
#Revil
#RAAS
#TTP
#mitigation
#MITRE
Ransomware As A Service
TTP & mitigation with MITRE ATT&CK
#ransomware
#Revil
#RAAS
#TTP
#mitigation
#MITRE
SoheilSec
Kubernetes.jpg
APT28
• CVE-2020-0688 - Microsoft Exchange Validation Key Remote Code Execution Vulnerability
• CVE-2020-17144 - Microsoft Exchange Remote Code Execution Vulnerability
https://thehackernews.com/2021/07/nsa-fbi-reveal-hacking-methods-used-by.html?m=1#click=https://t.co/ZosC6L4IlY
• CVE-2020-0688 - Microsoft Exchange Validation Key Remote Code Execution Vulnerability
• CVE-2020-17144 - Microsoft Exchange Remote Code Execution Vulnerability
https://thehackernews.com/2021/07/nsa-fbi-reveal-hacking-methods-used-by.html?m=1#click=https://t.co/ZosC6L4IlY
Pwnfox PwnFox is a Firefox/Burp extension that provide usefull tools for your security audit.
https://github.com/yeswehack/PwnFox
قابلیت ها:
Single click BurpProxy
Containers Profiles
PostMessage Logger
#infosec
#pentesr
#redteam
https://github.com/yeswehack/PwnFox
قابلیت ها:
Single click BurpProxy
Containers Profiles
PostMessage Logger
#infosec
#pentesr
#redteam
GitHub
GitHub - yeswehack/PwnFox: PwnFox is a Firefox/Burp extension that provide usefull tools for your security audit.
PwnFox is a Firefox/Burp extension that provide usefull tools for your security audit. - yeswehack/PwnFox
1-click meterpreter exploit chain with BeEF and AV/AMSI bypass
#beef فریمورک قدرتمند برای مهندسی اجتماعی
https://medium.com/@bluedenkare/1-click-meterpreter-exploit-chain-with-beef-and-av-amsi-bypass-96b0eb61f1b6
The method showcased here is quite simple and does not take a lot of efforts, which meets penetration testing requirements where you usually do not have a lot of time to prepare things or build fancy tools. Note that the technique that has been shown here to bypass AV is just one of the many ways that could be used in order to do so.
پ.ن برای تست نفوذ نیاز به ابزار خارق العاده یا متد پرایویت یا اکسپلویت 0day نداریم .
چند تا نکته داره
علاوه بر اینکه سایت xss داره میتونید از beef استفاده کنید
در شبکه محلی با ابزار مثل bettercap
sslstrip 1&2
قابلیت hook کردن همه سیستم عامل ها رو داریم.
#infosec
#pentest
#redteam
#beef فریمورک قدرتمند برای مهندسی اجتماعی
https://medium.com/@bluedenkare/1-click-meterpreter-exploit-chain-with-beef-and-av-amsi-bypass-96b0eb61f1b6
The method showcased here is quite simple and does not take a lot of efforts, which meets penetration testing requirements where you usually do not have a lot of time to prepare things or build fancy tools. Note that the technique that has been shown here to bypass AV is just one of the many ways that could be used in order to do so.
پ.ن برای تست نفوذ نیاز به ابزار خارق العاده یا متد پرایویت یا اکسپلویت 0day نداریم .
چند تا نکته داره
علاوه بر اینکه سایت xss داره میتونید از beef استفاده کنید
در شبکه محلی با ابزار مثل bettercap
sslstrip 1&2
قابلیت hook کردن همه سیستم عامل ها رو داریم.
#infosec
#pentest
#redteam
Medium
1-click meterpreter exploit chain with BeEF and AV/AMSI bypass
The goal of this article is to demonstrate a working exploit chain step-by-step. The idea is to provide a small guide for multi staged…
During a #supplychain attack, hackers compromised the website of Mongolian Certificate Authority and replaced legitimate MonPass CA client #software with a backdoored version to distribute #malware.
#supplychainattack
این نوع حمله یکی از خطرناک ترین حملات می باشد هک شرکت های ثالث یا برندهای خاص که نرم افزارهای مثل solarwinds یا حتی دستکاری ریپازیتوری های گیت هاب که معروف هستند برای لایبری در توسعه #android استفاده می شند و بکدور گذاشتن علاوه بر تاثیر منفی روی شرکت شرکت هایی که در ارتباط هستند و همچنین کلاینت ان ها به شدت اسیب میبینن.
پ.ن گوگل اخیرا فریمورک salsa ارایه کرد برای کنترل روند توسعه ارزیابی برای دولپرها که بسیار کاربردی هست همچنین اپدیت جدید scorecards ارایه کردند.
https://thehackernews.com/2021/07/mongolian-certificate-authority-hacked.html
#scorecards
https://github.com/ossf/scorecard/releases/tag/v2.0.0
#slsa
https://security.googleblog.com/2021/06/introducing-slsa-end-to-end-framework.html?m=1
#infosec
#cybersecurity
#hacking
#supplychainattack
این نوع حمله یکی از خطرناک ترین حملات می باشد هک شرکت های ثالث یا برندهای خاص که نرم افزارهای مثل solarwinds یا حتی دستکاری ریپازیتوری های گیت هاب که معروف هستند برای لایبری در توسعه #android استفاده می شند و بکدور گذاشتن علاوه بر تاثیر منفی روی شرکت شرکت هایی که در ارتباط هستند و همچنین کلاینت ان ها به شدت اسیب میبینن.
پ.ن گوگل اخیرا فریمورک salsa ارایه کرد برای کنترل روند توسعه ارزیابی برای دولپرها که بسیار کاربردی هست همچنین اپدیت جدید scorecards ارایه کردند.
https://thehackernews.com/2021/07/mongolian-certificate-authority-hacked.html
#scorecards
https://github.com/ossf/scorecard/releases/tag/v2.0.0
#slsa
https://security.googleblog.com/2021/06/introducing-slsa-end-to-end-framework.html?m=1
#infosec
#cybersecurity
#hacking
.NET Core Remote Code Execution Vulnerability CVE-2021-26701
پچش :
https://github.com/PowerShell/PowerShell/releases/tag/v7.1.3
توضیحات microsoft:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26701
https://github.com/advisories/GHSA-ghhp-997w-qr28
#RCE
#windows
#infosec
#Powershell7
پچش :
https://github.com/PowerShell/PowerShell/releases/tag/v7.1.3
توضیحات microsoft:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26701
https://github.com/advisories/GHSA-ghhp-997w-qr28
#RCE
#windows
#infosec
#Powershell7
GitHub
Release v7.1.3 Release of PowerShell · PowerShell/PowerShell
7.1.3 - 2021-03-11
Engine Updates and Fixes
Remove the 32K character limit on the environment block for Start-Process (#14111)
Fix webcmdlets to properly construct URI from body when using -NoProx...
Engine Updates and Fixes
Remove the 32K character limit on the environment block for Start-Process (#14111)
Fix webcmdlets to properly construct URI from body when using -NoProx...
SoheilSec
C# LPE implementation released CVE-2021-1675 0day SharpPrintNightmare Local Privilege Escalation Edition of CVE-2021-1675 https://github.com/cube0x0/CVE-2021-1675/tree/main/SharpPrintNightmare https://github.com/hlldz/CVE-2021-1675-LPE printnightmare add to…
پچ غیر رسمی فعلا ارایه شده !
گزارش مرکز CERT امریکا
https://us-cert.cisa.gov/ncas/current-activity/2021/06/30/printnightmare-critical-windows-print-spooler-vulnerability
گزارش مایکروسافت تغییر از CVE-2021-1675 به CVE-202134527
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
تنها راه حلی که گفته تا زمان پچ سرویس print Spool را Disable کنید حتی اگر پشت فایروال هستید و ..... حتی دیگر اگر یک وب شل از شما داشته باشن امکان Add کردن یوزر با قدرت ادمین و port forwarding و ادامه ماجرا وجود دارد ! کافیه C++ کامپایل کنند :)
مقاله کامل در مورد علت وقوع آسیب پذیری و همچنین اکسپلویت ها گذاشته البته امکان داره مایکروسافت پاک کنه از گیت هاب
https://doublepulsar.com/zero-day-for-every-supported-windows-os-version-in-the-wild-printnightmare-b3fdb82f840c
پچ unoffecial توسط 0ptach
طبق گفته خودشون باید در سایت ثبت نام کنید exe میدند ران میکنید بدون ریستارت پچ میشه! که توصیه نمیشه تا زمانی که مایکروسافت خودش زحمت بکشه پچ ارایه کنه !
https://blog.0patch.com/2021/07/free-micropatches-for-printnightmare.html
اکسپلویت در یک ماژول ارایه شده
https://github.com/calebstewart/CVE-2021-1675
روی ویندوز 11 چک کردم LPE جواب داد
خود ایمپورت کردن دسترسی ادمین میخواد ! مگه با سوشیال بچ فایل
set-executionpolicy byass
توسط ادمین زده بشه حواستون باشه که همچین کاری نکنید !
وین پان بعد از میمکتز nightmareprint به ابزار اضافه کرد
#winpwn
یک اسکریپت برای Post Exploitation و Privilege escalation می باشد که تشکیل شده از mimikatz powersploit nishang و ...
https://github.com/S3cur3Th1sSh1t/WinPwn/
#LPE #windows #RCE #0day #winpwn #postexploit #exploit
گزارش مرکز CERT امریکا
https://us-cert.cisa.gov/ncas/current-activity/2021/06/30/printnightmare-critical-windows-print-spooler-vulnerability
گزارش مایکروسافت تغییر از CVE-2021-1675 به CVE-202134527
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
تنها راه حلی که گفته تا زمان پچ سرویس print Spool را Disable کنید حتی اگر پشت فایروال هستید و ..... حتی دیگر اگر یک وب شل از شما داشته باشن امکان Add کردن یوزر با قدرت ادمین و port forwarding و ادامه ماجرا وجود دارد ! کافیه C++ کامپایل کنند :)
مقاله کامل در مورد علت وقوع آسیب پذیری و همچنین اکسپلویت ها گذاشته البته امکان داره مایکروسافت پاک کنه از گیت هاب
https://doublepulsar.com/zero-day-for-every-supported-windows-os-version-in-the-wild-printnightmare-b3fdb82f840c
پچ unoffecial توسط 0ptach
طبق گفته خودشون باید در سایت ثبت نام کنید exe میدند ران میکنید بدون ریستارت پچ میشه! که توصیه نمیشه تا زمانی که مایکروسافت خودش زحمت بکشه پچ ارایه کنه !
https://blog.0patch.com/2021/07/free-micropatches-for-printnightmare.html
اکسپلویت در یک ماژول ارایه شده
https://github.com/calebstewart/CVE-2021-1675
روی ویندوز 11 چک کردم LPE جواب داد
خود ایمپورت کردن دسترسی ادمین میخواد ! مگه با سوشیال بچ فایل
set-executionpolicy byass
توسط ادمین زده بشه حواستون باشه که همچین کاری نکنید !
وین پان بعد از میمکتز nightmareprint به ابزار اضافه کرد
#winpwn
یک اسکریپت برای Post Exploitation و Privilege escalation می باشد که تشکیل شده از mimikatz powersploit nishang و ...
https://github.com/S3cur3Th1sSh1t/WinPwn/
#LPE #windows #RCE #0day #winpwn #postexploit #exploit
SoheilSec
Revil Ransomware New Model RAAS Ransomware As A Service TTP & mitigation with MITRE ATT&CK #ransomware #Revil #RAAS #TTP #mitigation #MITRE
BleepingComputer
REvil ransomware hits 1,000+ companies in MSP supply-chain attack
A massive REvil ransomware attack affects multiple managed service providers and their clients through a reported Kaseya supply-chain attack.
❤1
همان طور که می دونید تو دنیای امنیت اطلاع از یک آسیب پذیری جهت PATCH یا Mitigation شما را می تونه از یک فاجعه مثل باج افزار یا افشای اطلاعات نجات بده . SECMON این کمک می کنه تمامی CVE که کشف شده اند در یک جا جمع کرده قابلیت سرچ بر اساس Vendor رو نیز فراهم کرده.
SECMON: web-based tool for the automation of infosec watching and vulnerability management
Mail alerting when a new CVE is published and which concerns your product list
Mail alerting when “cyber-security” news is published: new threats, recent attacks, events, etc.
Visualize the high-security risk products present on your IT infrastructure
Download CVE Excel report by date range
Display top cybersecurity subject (Light cyber landscape)
Logs easy to integrate into a SIEM (verified on Splunk and Graylog)
View the latest CVE and latest news related to cybersecurity are published
Assign a buffer of management status of a CVE
Search all the details of a CVE
Check if there is an exploit on Github or Exploit-DB concerning a CVE
Search for vulnerabilities for a specified product
Manage your product list: search/add/delete a product, display your referenced product list
Monitor the sources used by pollers
https://github.com/Guezone/SECMON/blob/master/DOCS.md
#Secmon
#CVE
#vulnerablity
#blueteam
SECMON: web-based tool for the automation of infosec watching and vulnerability management
Mail alerting when a new CVE is published and which concerns your product list
Mail alerting when “cyber-security” news is published: new threats, recent attacks, events, etc.
Visualize the high-security risk products present on your IT infrastructure
Download CVE Excel report by date range
Display top cybersecurity subject (Light cyber landscape)
Logs easy to integrate into a SIEM (verified on Splunk and Graylog)
View the latest CVE and latest news related to cybersecurity are published
Assign a buffer of management status of a CVE
Search all the details of a CVE
Check if there is an exploit on Github or Exploit-DB concerning a CVE
Search for vulnerabilities for a specified product
Manage your product list: search/add/delete a product, display your referenced product list
Monitor the sources used by pollers
https://github.com/Guezone/SECMON/blob/master/DOCS.md
#Secmon
#CVE
#vulnerablity
#blueteam
GitHub
SECMON/DOCS.md at master · Guezone/SECMON
SECMON is a web-based tool for the automation of infosec watching and vulnerability management with a web interface. - SECMON/DOCS.md at master · Guezone/SECMON
SoheilSec
Revil Ransomware New Model RAAS Ransomware As A Service TTP & mitigation with MITRE ATT&CK #ransomware #Revil #RAAS #TTP #mitigation #MITRE
Seems #Kaseya VSA as a cloud-based patch management solution has become a #victim of another #SupplyChain attack (almost a year after the discovery of #SolarWinds hack) via #REvil #ransomware that targeted #MSPs with thousands of customers. #Russia
کاسیا که یک پلتفورم ابری Patch management می باشد نیز قربانی Supply chain Attack شده است بعد از گذشت یک سال از هک solarwinds یکی از بزرگترین حمله بوده است.
همچنین توسط Revil کلیه اطلاعات بیش از هزاران مشتری رمز شده است .
رد پای هکرهای روسی پشت REVIL است.
https://www.zdnet.com/article/kaseya-urges-customers-to-immediately-shut-down-vsa-servers-after-ransomware-attack/
کاسیا که یک پلتفورم ابری Patch management می باشد نیز قربانی Supply chain Attack شده است بعد از گذشت یک سال از هک solarwinds یکی از بزرگترین حمله بوده است.
همچنین توسط Revil کلیه اطلاعات بیش از هزاران مشتری رمز شده است .
رد پای هکرهای روسی پشت REVIL است.
https://www.zdnet.com/article/kaseya-urges-customers-to-immediately-shut-down-vsa-servers-after-ransomware-attack/
ZDNet
Kaseya urges customers to immediately shut down VSA servers after ransomware attack
Victims are already seeing ransom demands ranging from $45,000 to $5 million.
2FA Bypass Techniques.xmind
368.3 KB
2FA Bypass Techniques
تکنیک های بایپس احراز هویت دو مرحله ای
Credit : https://www.xmind.net/m/8Hkymg/#
#2FA
#bypasstechniques
#mind
تکنیک های بایپس احراز هویت دو مرحله ای
Credit : https://www.xmind.net/m/8Hkymg/#
#2FA
#bypasstechniques
#mind
نشت اطلاعات بیش از 1.6 میلیون رکورد مرسدس بنز از طریق بستر کلاد
https://www.cybersecurity-insiders.com/mercedes-benz-data-breach-details/
#Mercedes
#Leak
#DataBreach
https://www.cybersecurity-insiders.com/mercedes-benz-data-breach-details/
#Mercedes
#Leak
#DataBreach
Cybersecurity Insiders
Mercedes Benz Data Breach details - Cybersecurity Insiders
An independent security researcher reported on June 11th,2021 that a data breach on a cloud platform has leaked over 1.6 million records belonging to customers of Mercedes Benz USA. And as soon as the luxury carmaker learned about the incident it launched…
SoheilSec
2FA Bypass Techniques.xmind
Taking over Uber accounts through voicemail
https://blog.assetnote.io/2021/06/27/uber-account-takeover-voicemail/
https://blog.assetnote.io/2021/06/27/uber-account-takeover-voicemail/
This is a list of victim organizations that #REvil ransomware gang has posted on its leaked blog on the #DarkWeb.
A total of 273 victims they claim are posted on their darkweb leak blog site. REvil ransomware gang's Tor Network Infrastructure on Darkweb. They run 1 leak blog site and 22 data hosting sites on the DarkWeb.
لیست قربانیان Revil و لیست بلاگهای دارک وب
هکرا درخواست 70 میلیون دلار بیت کوین برای تحویل Decryptor کردند!
Credit : https://darktracer.com/
A total of 273 victims they claim are posted on their darkweb leak blog site. REvil ransomware gang's Tor Network Infrastructure on Darkweb. They run 1 leak blog site and 22 data hosting sites on the DarkWeb.
لیست قربانیان Revil و لیست بلاگهای دارک وب
هکرا درخواست 70 میلیون دلار بیت کوین برای تحویل Decryptor کردند!
Credit : https://darktracer.com/
Scour - AWS Exploitation Framework
https://github.com/grines/scour
onaws is a simple tool to check if an IP/hostname belongs to the AWS IP space or not. It uses the AWS IP address ranges data published by AWS to perform the search.
https://github.com/amalmurali47/onaws
Lightspin AWS IAM Vulnerability Scanner
https://github.com/lightspin-tech/red-shadow
#AWS #Explotation #Framework
https://github.com/grines/scour
onaws is a simple tool to check if an IP/hostname belongs to the AWS IP space or not. It uses the AWS IP address ranges data published by AWS to perform the search.
https://github.com/amalmurali47/onaws
Lightspin AWS IAM Vulnerability Scanner
https://github.com/lightspin-tech/red-shadow
#AWS #Explotation #Framework
GitHub
GitHub - grines/scour
Contribute to grines/scour development by creating an account on GitHub.
Invoke-DNSteal is a Simple & Customizable DNS Data Exfiltrator.
https://github.com/JoelGMSec/Invoke-DNSteal
Exfiltrator یا Covert channel
روش هایی جهت انتقال اطلاعات به بیرون از شبکه می باشند و برای دور زدن فایروال DLP استفاده می شوند.
اطلاعات بیشتر:
https://en.wikipedia.org/wiki/Covert_channel
https://attack.mitre.org/tactics/TA0010/
#Exfiltration #Covertchannel #DNS
https://github.com/JoelGMSec/Invoke-DNSteal
Exfiltrator یا Covert channel
روش هایی جهت انتقال اطلاعات به بیرون از شبکه می باشند و برای دور زدن فایروال DLP استفاده می شوند.
اطلاعات بیشتر:
https://en.wikipedia.org/wiki/Covert_channel
https://attack.mitre.org/tactics/TA0010/
#Exfiltration #Covertchannel #DNS
GitHub
GitHub - JoelGMSec/Invoke-DNSteal: Simple & Customizable DNS Data Exfiltrator
Simple & Customizable DNS Data Exfiltrator. Contribute to JoelGMSec/Invoke-DNSteal development by creating an account on GitHub.
SoheilSec
Invoke-DNSteal is a Simple & Customizable DNS Data Exfiltrator. https://github.com/JoelGMSec/Invoke-DNSteal Exfiltrator یا Covert channel روش هایی جهت انتقال اطلاعات به بیرون از شبکه می باشند و برای دور زدن فایروال DLP استفاده می شوند. اطلاعات بیشتر: http…
Post Exploit :
mimikatz new version Workgroup and Domain now .... !
https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20210704
Rubeus is a C# toolset for raw Kerberos interaction and abuses.
Source :
https://github.com/GhostPack/Rubeus
Binary :
https://github.com/r3motecontrol/Ghostpack-CompiledBinaries
PS1 :
https://github.com/LuemmelSec/Pentest-Tools-Collection/tree/main/tools
Post Exploit Collection :
https://github.com/LuemmelSec/Pentest-Tools-Collection
Awesome Post Exploit include #printnightmare :
https://github.com/S3cur3Th1sSh1t/WinPwn
For Convert exe to PS1
https://github.com/cfalta/PowerShellArmoury
#postexploit #kerberos #mimikatz
mimikatz new version Workgroup and Domain now .... !
https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20210704
Rubeus is a C# toolset for raw Kerberos interaction and abuses.
Source :
https://github.com/GhostPack/Rubeus
Binary :
https://github.com/r3motecontrol/Ghostpack-CompiledBinaries
PS1 :
https://github.com/LuemmelSec/Pentest-Tools-Collection/tree/main/tools
Post Exploit Collection :
https://github.com/LuemmelSec/Pentest-Tools-Collection
Awesome Post Exploit include #printnightmare :
https://github.com/S3cur3Th1sSh1t/WinPwn
For Convert exe to PS1
https://github.com/cfalta/PowerShellArmoury
#postexploit #kerberos #mimikatz
👍1