Forwarded from Security Analysis
analyzing-malicious-document-files.pdf
204.2 KB
#malicious #document #malware #analysis #malware_analysis
یه برگه تقلب (#cheatsheet) خیلی خوب از موسسه SANS در خصوص تحلیل فایلهای Document.
@securation
یه برگه تقلب (#cheatsheet) خیلی خوب از موسسه SANS در خصوص تحلیل فایلهای Document.
@securation
بررسی امنیت کافه بازار در مرحله دوم رو اینجا بخونید جالبه :
https://vrgl.ir/QFfBe
#cafebazaar #malware #analysis
@securation
https://vrgl.ir/QFfBe
#cafebazaar #malware #analysis
@securation
ویرگول
بازگشت به کافه بازار: بررسی اجمالی امنیت پلتفرم پس از چند ماه
در کنفرانس شبگرد ۱ وضعیت اپ های موجود در کافه بازار رو بررسی و تحلیل کردیم، بعد از چند ماه مجددا این پلتفرم رو با شیوه ای جدید اسکن کردم
طبق گزارش کسپرسکی، در فروشگاه گوگل پلی بدافزارهایی یافت شده که اکثر اونها در قالب نرم افزارهای ریکاوری، مدیریت تبلیغات و مودپک ماینکرفت هستند و بصورت تعداد قابل توجهی دانلود شده اند، اکثر این بدافزارها اعمال مخرب مختلفی از تبلیغات مکرر و آزار دهنده گرفته، تا سرقت اطلاعات حسابهای شبکههای اجتماعی انجام میدهند.
کارکردهای مختلفِ مخربِ این بدافزارها شامل مواردی مثل:
-- سرقت اطلاعات شبکههای اجتماعی از جمله فیسبوک و توییتر
-- باز کردن مرورگر هر دو دقیقه یکبار
-- پخش خودکار ویدئوهای یوتیوب
-- باز کردن صفحاتی در گوگلپلی
-- پنهان شدن آیکون نرم افزارها
-- تبلیغ تمام صفحه بدون اجازه کاربر
https://usa.kaspersky.com/blog/minecraft-mod-adware-google-play-revisited/24893/
#news #Analysis
#malware #Android
@securation
کارکردهای مختلفِ مخربِ این بدافزارها شامل مواردی مثل:
-- سرقت اطلاعات شبکههای اجتماعی از جمله فیسبوک و توییتر
-- باز کردن مرورگر هر دو دقیقه یکبار
-- پخش خودکار ویدئوهای یوتیوب
-- باز کردن صفحاتی در گوگلپلی
-- پنهان شدن آیکون نرم افزارها
-- تبلیغ تمام صفحه بدون اجازه کاربر
https://usa.kaspersky.com/blog/minecraft-mod-adware-google-play-revisited/24893/
#news #Analysis
#malware #Android
@securation
Kaspersky
Malware disguised as Minecraft mods on Google Play, continued
We found more malicious apps in Google Play disguised as Minecraft mods, social media ad-management apps, and a file recovery utility.
A curated list of Assembly Language / Reversing / Malware Analysis / Game Hacking-resources.
https://gist.github.com/muff-in/ff678b1fda17e6188aa0462a99626121#curated_list #reversing #malware #analysis #hacking
@securation
Gist
A curated list of Assembly Language / Reversing / Malware Analysis / Game Hacking-resources
A curated list of Assembly Language / Reversing / Malware Analysis / Game Hacking-resources - resources.md
This media is not supported in your browser
VIEW IN TELEGRAM
⭕️ دموی تست آسیب پذیری با شناسه ثبت شده ی CVE-2021-40444 در موتور MSHTML که امکان استفاده از این آسیب پذیری جهت هدف قراردادن برنامه Microsoft Office وجود دارد که در قالب کنترلهای جاسازی شده ActiveX در فایل های DOCX انجام می شود در اینجا Poc در دسترس هست و سرو صدای زیادی رو راه انداخته .
یک دمو دیگر اینجا نیز هست که میتونید مشاهده کنید :
لینک
⭕️تا اطلاع ثانوی هرجایی روی این فایلهای ورد کلیک نکنید.
#msoffice #cve2021_40444 #news #analysis
@securation
یک دمو دیگر اینجا نیز هست که میتونید مشاهده کنید :
لینک
⭕️تا اطلاع ثانوی هرجایی روی این فایلهای ورد کلیک نکنید.
#msoffice #cve2021_40444 #news #analysis
@securation
⭕️ در initial access که جزیی از پروسه Red Teaming و در حملات Client access هست، ما تکنیک های متفاوتی میتوانیم اجرا کنیم اعم از macro ها در نرم افزار های گروه آفیس و...
حالا آسیب پذیری RCE را بررسی میکنیم که در ویژگی شبیه macro به اسم remote template که با پروتکلی به اسم MSDT این اتفاق صورت میگیره که باید گفت بر روی wordو teams و Excel و outlook و Foxit PDF صورت میگیره ناگفته نمونه که به تنهایی هم میتوان با استفاده از اکسپلویت و اجرای دستورات هم از این آسیب پذیری بهره ببریم که در واقع ما میتونیم به صورت ریموت یک فایل html را اجرا کنیم , چون ربطی به ماکرو ها نداره ما ماکرو رو هم غیر فعال کنیم ازین تکنیک میتوان استفاده کرد.
حالا نکته ای که هست
با اجرای این خط کامند:
ماشین حساب اجرا میشه
و با اجرای :
اگر جای base64_payload پیلود ما باشه اجرا میشه .
برای اجرای این مورد میتوان از روشهای زیر استفاده کرد :
https://github.com/Hrishikesh7665/Follina_Exploiter_CLI
https://github.com/AchocolatechipPancake/MS-MSDT-Office-RCE-Follina
https://github.com/JohnHammond/msdt-follina
از این ابزار ها میتوان به راحتی استفاده کرد.
https://github.com/rayorole/CVE-2022-30190
این هم فایل HTML مورد نظر هستش
بعد از تست آسیب پذیری میرسه به اینکه باید چکار کرد؟
اول برای تست کردن اینکه آیا فایلی آلوده هست یا خیر , دو راه هست
راه اول اینه که فایل دریافتی را به zip تبدیل کنیم و \word_rels\Document.xml.rels رو بررسی کنیم, برای اینکار ابزاری برای تست فایل ها در این لینک هست.
در ادامه برای جلوگیری از این آسیب پذیری هم در رجیستری مسیر HKEY_CLASSES_ROOT\ms-msdt را حذف میکنیم.
نکته دیگه ای که هست حالا ما برای شناسایی اینکه ایا اجرا شده این اسیب پذیری در سیستممون یا خیر چه باید کنیم؟
اگر به صورت کامندی صورت گرفته باشه باید
در پروسه ها به دنبال msdt و sdiaghost و conhost بگردیم
حالا اگر وردی اجرا شود , پروسه winword و msiexec و mshta و msdt مشکوک میتونه باشه. نکته بعدی که میتونه اهمیت داشته باشه
به هر طریقی که ما اجرا کنیم
یک فایل xml ایجاد میشه که مشخص میکنه این اتفاق افتاده(البته خیلی این مورد اهمیت نداره چونن میتونه هکر بعد از اقدامش پاکشون کنه )
در مسیر appdata/local/diagnostics هستش.
#redteam #follina #exploit #analysis
@securation
حالا آسیب پذیری RCE را بررسی میکنیم که در ویژگی شبیه macro به اسم remote template که با پروتکلی به اسم MSDT این اتفاق صورت میگیره که باید گفت بر روی wordو teams و Excel و outlook و Foxit PDF صورت میگیره ناگفته نمونه که به تنهایی هم میتوان با استفاده از اکسپلویت و اجرای دستورات هم از این آسیب پذیری بهره ببریم که در واقع ما میتونیم به صورت ریموت یک فایل html را اجرا کنیم , چون ربطی به ماکرو ها نداره ما ماکرو رو هم غیر فعال کنیم ازین تکنیک میتوان استفاده کرد.
حالا نکته ای که هست
با اجرای این خط کامند:
msdt /id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=cal?c IT_LaunchMethod=ContextMenu IT_SelectProgram=NotListed IT_BrowseForFile=h$(Start-Process('calc'))i/../../../../../../../../../../../../../../Windows/system32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO\"
ماشین حساب اجرا میشه
و با اجرای :
msdt:/id PCWDiagnostic /skip force /param \\"IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'{base64_payload}'+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe\\"اگر جای base64_payload پیلود ما باشه اجرا میشه .
برای اجرای این مورد میتوان از روشهای زیر استفاده کرد :
https://github.com/Hrishikesh7665/Follina_Exploiter_CLI
https://github.com/AchocolatechipPancake/MS-MSDT-Office-RCE-Follina
https://github.com/JohnHammond/msdt-follina
از این ابزار ها میتوان به راحتی استفاده کرد.
https://github.com/rayorole/CVE-2022-30190
این هم فایل HTML مورد نظر هستش
بعد از تست آسیب پذیری میرسه به اینکه باید چکار کرد؟
اول برای تست کردن اینکه آیا فایلی آلوده هست یا خیر , دو راه هست
راه اول اینه که فایل دریافتی را به zip تبدیل کنیم و \word_rels\Document.xml.rels رو بررسی کنیم, برای اینکار ابزاری برای تست فایل ها در این لینک هست.
در ادامه برای جلوگیری از این آسیب پذیری هم در رجیستری مسیر HKEY_CLASSES_ROOT\ms-msdt را حذف میکنیم.
نکته دیگه ای که هست حالا ما برای شناسایی اینکه ایا اجرا شده این اسیب پذیری در سیستممون یا خیر چه باید کنیم؟
اگر به صورت کامندی صورت گرفته باشه باید
در پروسه ها به دنبال msdt و sdiaghost و conhost بگردیم
حالا اگر وردی اجرا شود , پروسه winword و msiexec و mshta و msdt مشکوک میتونه باشه. نکته بعدی که میتونه اهمیت داشته باشه
به هر طریقی که ما اجرا کنیم
یک فایل xml ایجاد میشه که مشخص میکنه این اتفاق افتاده(البته خیلی این مورد اهمیت نداره چونن میتونه هکر بعد از اقدامش پاکشون کنه )
در مسیر appdata/local/diagnostics هستش.
#redteam #follina #exploit #analysis
@securation
Telegram
Security Analysis
- Offensive Security (Red Teaming / PenTesting)
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
🔥11👍5