⭕️ یکی از تکنیکهای MITRE ATT&CK که در تاکتیک Credential Access جای میگیرد، Forced Authentication است.
از تکنیک جدیدی که میتوان به منظور Forced Authentication بهرهبرداری نمود، و نیز از ابزارهای پیشفرض Microsoft بوده و ذیل باینریهای LOLBIN است، ابزار comp.exe است.
این ابزار به منظور مقایسه فایل به شکل byte-to-byte استفاده میشود.
یکی از قابلیتهای این نرمافزار، دریافت و مقایسه یک فایل از SMB Share است.
با توجه به اینکه میبایست احراز هویت در SMB را به منظور دریافت فایل انجام دهد، میتوان NTLM Hash را با استفاده از یک Rogue SMB مانند Responder به سرقت برد.
لینک مربوط به تکنیک در گیتهاب LOLBAS:
https://github.com/LOLBAS-Project/LOLBAS/pull/341/files
#Redteam #SMBhash #ForcedAuthentication
@securation
از تکنیک جدیدی که میتوان به منظور Forced Authentication بهرهبرداری نمود، و نیز از ابزارهای پیشفرض Microsoft بوده و ذیل باینریهای LOLBIN است، ابزار comp.exe است.
این ابزار به منظور مقایسه فایل به شکل byte-to-byte استفاده میشود.
یکی از قابلیتهای این نرمافزار، دریافت و مقایسه یک فایل از SMB Share است.
با توجه به اینکه میبایست احراز هویت در SMB را به منظور دریافت فایل انجام دهد، میتوان NTLM Hash را با استفاده از یک Rogue SMB مانند Responder به سرقت برد.
لینک مربوط به تکنیک در گیتهاب LOLBAS:
https://github.com/LOLBAS-Project/LOLBAS/pull/341/files
#Redteam #SMBhash #ForcedAuthentication
@securation
GitHub
Adding Comp.exe technique by kousha1999 · Pull Request #341 · LOLBAS-Project/LOLBAS
Living Off The Land Binaries And Scripts - (LOLBins and LOLScripts) - Adding Comp.exe technique by kousha1999 · Pull Request #341 · LOLBAS-Project/LOLBAS
⭕️ اگر علاقه مند به توسعه RootKit در محیط ویندوز هستید پروژه ای توسعه داده شده که به مطالعه آن میپردازیم.
از ویژگی های این پروژه میتوان به موارد زیر اشاره کرد:
#RedTeam #RootKit #MalDev
@securation
از ویژگی های این پروژه میتوان به موارد زیر اشاره کرد:
Kill processes
ZwTerminateProcess is simply called from kernel land to terminate any process. Additionally, you can bury a process to avoid it to restart by setting a kernel callback to process creation: If the target process is created, Banshee will set the CreationStatus of the target process to STATUS_ACCESS_DENIED.
Change protection levels
This is done by modifying the EPROCESS structure, which is an kernel object that describes a processes attributes. It also holds a value that specifies the protection level of the process.
We can directly modify this value (aka Direct Kernel Object Modification or DKOM), since we are operating in Ring 0.
Elevate any process token to SYSTEM
EPROCESS also holds a pointer to the current access token, so we can just make it point to e.g. the token of process 4 (SYSTEM) to elevate any process to SYSTEM
Enumerating and erasing kernel callbacks
For now, only Process- and Thread-Creation kernel callbacks are enumerated, by parsing the PsSetCreateNotifyProcess/ThreadRoutine routine to reach the private Psp* routine and then parsing the address of the array, where kernel callbacks are stored.
Protecting the driver file
By hooking the NTFS filesystem's IRP_MJ_CREATE handler, we can block any process from opening a handle to our driver file
Hide Process by PID
Again, EPROCESS comes to help here - it contains a LIST_ENTRY of a doubly linked list called ActiveProcessLink which is queried by Windows to enumerate running processes. If we simply unlink an entry here, we can hide our process from tools like Process Monitor or Task Manager.
#RedTeam #RootKit #MalDev
@securation
GitHub
GitHub - eversinc33/Banshee: Experimental Windows x64 Kernel Rootkit with anti-rootkit evasion features.
Experimental Windows x64 Kernel Rootkit with anti-rootkit evasion features. - eversinc33/Banshee
⭕️ ابزاری برای Malware Detection و Threat Hunting توسعه داده شده که قابلیت جمع آوری موارد مورد نیاز و شناسایی بد افزار های اجرایی را دارد.
از قبیل تکنیک های قابل شناسایی میتوان به موارد زیر اشاره کرد:
#BlueTeam #MalwareAnalysis #Forensics
@securation
از قبیل تکنیک های قابل شناسایی میتوان به موارد زیر اشاره کرد:
replaced/injected PEs, shellcodes, hooks, and other in-memory patches.
Detects inline hooks, Process Hollowing, Process Doppelgänging, Reflective DLL Injection, etc.
PE-sieve is meant to be a light-weight engine dedicated to scan a single process at the time. It can be built as an EXE or as a DLL. The DLL version exposes a simple API and can be easily integrated with other applications.
#BlueTeam #MalwareAnalysis #Forensics
@securation
GitHub
GitHub - hasherezade/pe-sieve: Scans a given process. Recognizes and dumps a variety of potentially malicious implants (replaced/injected…
Scans a given process. Recognizes and dumps a variety of potentially malicious implants (replaced/injected PEs, shellcodes, hooks, in-memory patches). - hasherezade/pe-sieve
گروه " عدالت علی "
هکرهای عدالتخواه یا دعوای مافیای سیاستمداران وطنی؟
دفعه اولی که عدالت علی کانال ساخته بود و ادعا کرد زندان اوین رو هک کرده ، داخل همین کانال نوشتم که عدالت علی گروه هکری نیست، به قطع یقین آدمی که سیاست های روز ایران رو پیگیری کرده باشه متوجه میشه دعوای زرگری و مسگرهایی که نقش طلا رو میزنند روی جنس قلابی شون.
ژست هکری گرفتن و فاز مردمی برداشتن قرار نیست کار افتضاح این گروه رو جبران کنه.
با منتشر کردن اطلاعات مردم ایران لابه لاش چندتایی هم از مسئولین و چرندیات همیشگی جوک های توییتر که مومن نسب از تلگرام شکایت کرده باشه و فلان مسئول بابت اختلاس و دزدی از اون یکی مسئول دزد و فاسد شکایت کرده که چرا تو بیشتر دزدی کردی..
اما خب مافیای این گروه های سیاسی داخل ایران که با هم نمیسازن داره بصورت جدی خروجی های خیلی اشتباهی رو در بر میگیره که تنها خروجی ضربه زدن به خودِ مردم ایران هست. نه تمام مسئولانی که پاسپورت و هشتاد درصد منابع مالی خودشون رو در یک کشور اروپایی و آمریکایی ذخیره دارند و توی مجلس و پشت تریبون ها میگن مرگ بر دوتابعیتی ها:)
گروه عدالت علی انگار میخواست نارضایتی عمومی ایجاد کنه اما اومد مستقیم مردم رو نشونه گرفت و عده ای نادان خوشحال از این کار عدالت علی ..
اون عزیز که خوشحاله از این کار باید بدونی که این وسط شما مردم بازیچه ی دست گروه های سیاسی داخلی هستید و اطلاعات شما که کمه ، زندگی شما پشیزی ارزش نداره و اگر لازم باشه عدالت علی فیلم سر بریدن مردم رو هم منتشر میکنه تا به نیت گروه سیاسی/امنیت خودشون برسه.
من همچنان اعتقاد دارم گروه عدالت علی مافیای سیاسی امنیتی هستن که درحال هشدار و دعوای زرگری با بقیه گروه های مخالف هستن و اینسایدر گذاشتن داخل تمام سازمان ها و شرکتها و نفوذ بصورت حضوری در تمامی دولت ایران دارن.
چیزی بیشتر از یک گروه هکری و کانال و توییتر زدن و سایتی که زندگی مردم رو هدف گرفته و ژست هکری گرفته.
#عدالت_علی
@securation
هکرهای عدالتخواه یا دعوای مافیای سیاستمداران وطنی؟
دفعه اولی که عدالت علی کانال ساخته بود و ادعا کرد زندان اوین رو هک کرده ، داخل همین کانال نوشتم که عدالت علی گروه هکری نیست، به قطع یقین آدمی که سیاست های روز ایران رو پیگیری کرده باشه متوجه میشه دعوای زرگری و مسگرهایی که نقش طلا رو میزنند روی جنس قلابی شون.
ژست هکری گرفتن و فاز مردمی برداشتن قرار نیست کار افتضاح این گروه رو جبران کنه.
با منتشر کردن اطلاعات مردم ایران لابه لاش چندتایی هم از مسئولین و چرندیات همیشگی جوک های توییتر که مومن نسب از تلگرام شکایت کرده باشه و فلان مسئول بابت اختلاس و دزدی از اون یکی مسئول دزد و فاسد شکایت کرده که چرا تو بیشتر دزدی کردی..
اما خب مافیای این گروه های سیاسی داخل ایران که با هم نمیسازن داره بصورت جدی خروجی های خیلی اشتباهی رو در بر میگیره که تنها خروجی ضربه زدن به خودِ مردم ایران هست. نه تمام مسئولانی که پاسپورت و هشتاد درصد منابع مالی خودشون رو در یک کشور اروپایی و آمریکایی ذخیره دارند و توی مجلس و پشت تریبون ها میگن مرگ بر دوتابعیتی ها:)
گروه عدالت علی انگار میخواست نارضایتی عمومی ایجاد کنه اما اومد مستقیم مردم رو نشونه گرفت و عده ای نادان خوشحال از این کار عدالت علی ..
اون عزیز که خوشحاله از این کار باید بدونی که این وسط شما مردم بازیچه ی دست گروه های سیاسی داخلی هستید و اطلاعات شما که کمه ، زندگی شما پشیزی ارزش نداره و اگر لازم باشه عدالت علی فیلم سر بریدن مردم رو هم منتشر میکنه تا به نیت گروه سیاسی/امنیت خودشون برسه.
من همچنان اعتقاد دارم گروه عدالت علی مافیای سیاسی امنیتی هستن که درحال هشدار و دعوای زرگری با بقیه گروه های مخالف هستن و اینسایدر گذاشتن داخل تمام سازمان ها و شرکتها و نفوذ بصورت حضوری در تمامی دولت ایران دارن.
چیزی بیشتر از یک گروه هکری و کانال و توییتر زدن و سایتی که زندگی مردم رو هدف گرفته و ژست هکری گرفته.
#عدالت_علی
@securation
⭕️ گروه عدالت علی ، همراه مردم یا همکار کلاهبردارها و فیشینگ ها ؟
طبق اعلام رسمی سالهای گذشته نزدیک به 20 میلیون نفر "بیسواد مطلق" و "کم سواد" داریم.
اگر فرض بر این رو بگیرید که بقیه مردم یعنی 65 میلیون نفر دیگه جز باسوادها و اگاه به این موضوعات رسانه ای و فیشینگ و کلاهبرداری ها باشیم ، گروه عدالت علی مستقیم زندگی 20 میلیون نفر رو میتونه تباه کنه و خسارتی که به زندگی مردم ساده و فقیر میزنه جبران ناپذیر هست.
پخش کردن اطلاعات خصوصی مردم فقط کلاهبرداری و فیشینگ با تماس/SMS رو چندین میلیون بیشتر میکنه ، نه به زندگی سیاستمدار آسیب زده میشه نه اون احمق دولتی که میاد سریع تکذیب میکنه که قوه قضاییه هک نشده.
#فیشینگ #کلاهبرداری #عدالت_علی
@securation
طبق اعلام رسمی سالهای گذشته نزدیک به 20 میلیون نفر "بیسواد مطلق" و "کم سواد" داریم.
اگر فرض بر این رو بگیرید که بقیه مردم یعنی 65 میلیون نفر دیگه جز باسوادها و اگاه به این موضوعات رسانه ای و فیشینگ و کلاهبرداری ها باشیم ، گروه عدالت علی مستقیم زندگی 20 میلیون نفر رو میتونه تباه کنه و خسارتی که به زندگی مردم ساده و فقیر میزنه جبران ناپذیر هست.
پخش کردن اطلاعات خصوصی مردم فقط کلاهبرداری و فیشینگ با تماس/SMS رو چندین میلیون بیشتر میکنه ، نه به زندگی سیاستمدار آسیب زده میشه نه اون احمق دولتی که میاد سریع تکذیب میکنه که قوه قضاییه هک نشده.
#فیشینگ #کلاهبرداری #عدالت_علی
@securation
⭕️ شرکت نرم افزاری چارگون که اتوماسیون اداری برای اکثر شرکتها و سازمانهای دولتی و دانشگاهی استفاده میشه هک شده و هشدار برای تمامی مشتری ها ارسال شده.
@securation
@securation
Media is too big
VIEW IN TELEGRAM
⭕️ حل چالش مهندسی معکوس اندروید با موبایل در مسابقات #RavinCTF
Android SecureNote-1 چالش
#Reverse #CTF #Android
@securation
Android SecureNote-1 چالش
#Reverse #CTF #Android
@securation
Media is too big
VIEW IN TELEGRAM
⭕️ حل چالش مهندسی معکوس اندروید با موبایل در مسابقات #RavinCTF
Android SecureNote-2 چالش دوم
#reverse #Android #CTF
@securation
Android SecureNote-2 چالش دوم
#reverse #Android #CTF
@securation
⭕️ اگر با C2 معروف Cobalt Strike کار کرده باشید با Beacon Object File (BOF) ها آشنا هستید.BOF ای توسعه داده شده که جایگزینی برای دستورات Spawnas و Inject است که با دستور spawn_with [pid] [listener] از آن میتوان استفاده کرد.
حال به فرایند آن میپردازیم:
#RedTeam #Beacon #C2
@securation
حال به فرایند آن میپردازیم:
Obtain a handle to the target process.
Obtain a handle to the process' primary token.
Duplicate the primary token to an impersonation token.
Get the Beacon spawnto value.
Attempt to spawn a new process with the duplicated token using CreateProcessWithTokenW.
If this attempt fails, try CreateProcessAsUserW.
Inject the Beacon shellcode into the spawned process.
Link to the Beacon in the case of P2P.
#RedTeam #Beacon #C2
@securation
GitHub
GitHub - rasta-mouse/SpawnWith
Contribute to rasta-mouse/SpawnWith development by creating an account on GitHub.
⭕️در این مقاله محقق امنیتی مکانیزم امنیتی "run-as" که وظیفه چک کردن debuggable بودن برنامه هارو به عهده داره توسط تزریق newline به فایل packages.list رو بایپس میکنه، این آسیب پذیری که در کرنل اندروید های 12 و 13 یافته شده به مهاجم این امکان رو میده که با adb shell توسط این آسیب پذیری تحت context هر برنامه غیر سیستمی که نصب شده کد اجرا کنه و به مهاجم این توانایی رو میده که هر کاری که برنامه مورد نظر میتونه انجام بده و یا پرمیژن مورد نیازش رو داره، دسترسی پیدا کنه.
مثل دسترسی به فایل های شخصی یا حتی خوندن اطلاعات و کردنشیال حساب کاربری که در اکانت منیجر گوشی ذخیره شده.
https://rtx.meta.security/exploitation/2024/03/04/Android-run-as-forgery.html
#vulnerability #android #adb #shell
@securation
مثل دسترسی به فایل های شخصی یا حتی خوندن اطلاعات و کردنشیال حساب کاربری که در اکانت منیجر گوشی ذخیره شده.
https://rtx.meta.security/exploitation/2024/03/04/Android-run-as-forgery.html
#vulnerability #android #adb #shell
@securation
⭕️ این خانم و گروه هوش مصنوعی و برنامه نویسی آیولرن و آیوکاپ همگی شیاد و کلاهبردار هستند.
به هیچ وجه گول این بی شرف ها را نخورید.
گوگل اسپانسر هیچ جایی در ایران نشده و با وجود آخوند ها هرگز برنامه و همچین چرندیاتی نخواهد داشت.
#iocup #iogroup #iolearn
@securation
به هیچ وجه گول این بی شرف ها را نخورید.
گوگل اسپانسر هیچ جایی در ایران نشده و با وجود آخوند ها هرگز برنامه و همچین چرندیاتی نخواهد داشت.
#iocup #iogroup #iolearn
@securation
👍1
⭕️آنالیز کردن اپ های اندرویدی توسط ابزار APKDeepLens و نصب آن در ترموکس:
لیست خروجی ابزار:
Package name
Build version code
Compiled SDK version
Permissions
Dangerous permissions
Activities
Exported Activities
Services
Exported services
Receivers
Exported receivers
Providers
File paths
Hard-coded secrets (IP addresses, tokens, API keys, private keys, etc.)
Insecure connections (http, ftp, smtp, JavaScript)
#Android #Reverse
@Securation
لیست خروجی ابزار:
Package name
Build version code
Compiled SDK version
Permissions
Dangerous permissions
Activities
Exported Activities
Services
Exported services
Receivers
Exported receivers
Providers
File paths
Hard-coded secrets (IP addresses, tokens, API keys, private keys, etc.)
Insecure connections (http, ftp, smtp, JavaScript)
git clone https://github.com/d78ui98/APKDeepLens.githttps://www.mobile-hacker.com/2024/03/11/analyze-installed-android-applications-for-security-risks-in-termux/
cd /APKDeepLens
python3 -m venv venv
source venv/bin/activate
pip3 install -r requirements.txt
https://www.mobile-hacker.com/2024/03/11/analyze-installed-android-applications-for-security-risks-in-termux/
#Android #Reverse
@Securation
Media is too big
VIEW IN TELEGRAM
⭕️ حل چالش سوم و سخت ترین چالش مهندسی معکوس اپلیکیشن اندروید در مسابقات #RavinCTF
چالش Secure Note 3
#CTF #Reverse #Android
@securation
چالش Secure Note 3
#CTF #Reverse #Android
@securation
به چندین فروغ و به چندین چراغ
بیاراسته چون به نوروز باغ.
نگه دارد این فال جشن سده
همان فر نوروز و آتشکده.
به جمشید بر گوهر افشاندند
مران روز را روز نو خواندند
سر سال نو هرمز فرودین
بر آسوده از رنج روی زمین.
بزرگان به شادی بیاراستند
می و جام و رامشگران خواستند
چنین جشن فرخ از آن روزگار
به ما ماند از آن خسروان یادگار.
نوروز بر همگی مبارک باد
نەورۆز لە ھەموو لایەک پیرۆز بێت ❤️💐💐🌺
بیاراسته چون به نوروز باغ.
نگه دارد این فال جشن سده
همان فر نوروز و آتشکده.
به جمشید بر گوهر افشاندند
مران روز را روز نو خواندند
سر سال نو هرمز فرودین
بر آسوده از رنج روی زمین.
بزرگان به شادی بیاراستند
می و جام و رامشگران خواستند
چنین جشن فرخ از آن روزگار
به ما ماند از آن خسروان یادگار.
نوروز بر همگی مبارک باد
نەورۆز لە ھەموو لایەک پیرۆز بێت ❤️💐💐🌺
⭕️ در این مقاله محقق امنیتی نحوه آنالیز داینامیک لایبرری Native توسط r2frida و در نهایت اوتومیشن کردن پروسه پچ کردن لایبرری در ران تایم توسط r2pipe را آموزش میدهد.
در این مقاله به صورت داینامیک در ران تایم فانکشن native که مربوط به چک کردن پسورد یک اپ crackMe هست را بایپس میکند.
لینک مقاله
لینک مقاله های مشابه
رفرنس رسمی اسکریپت نویسی توسط r2pipe
#Android #Reverse #r2frida #r2pipe
@Securation
در این مقاله به صورت داینامیک در ران تایم فانکشن native که مربوط به چک کردن پسورد یک اپ crackMe هست را بایپس میکند.
لینک مقاله
لینک مقاله های مشابه
رفرنس رسمی اسکریپت نویسی توسط r2pipe
#Android #Reverse #r2frida #r2pipe
@Securation
⭕️ 3 روش برای بارگذاری داینامیک کد در اندروید
بارگذاری کد داینامیک در اندروید از روشهایی است که بدافزار ها برای پنهان کردن رفتار مخرب خود از دید آنتی ویروس ها استفاده میکنند.
در این مقاله محقق امنیتی 3 روش مختلف برای لود داینامیک کد ها مثال زده است
1️⃣DexClassLoader
2️⃣PathClassLoader
3️⃣InMemoryDexClassLoader
🔗 Blog Post |
Github
#Android #Malware
@Securation
بارگذاری کد داینامیک در اندروید از روشهایی است که بدافزار ها برای پنهان کردن رفتار مخرب خود از دید آنتی ویروس ها استفاده میکنند.
در این مقاله محقق امنیتی 3 روش مختلف برای لود داینامیک کد ها مثال زده است
1️⃣DexClassLoader
2️⃣PathClassLoader
3️⃣InMemoryDexClassLoader
🔗 Blog Post |
Github
#Android #Malware
@Securation