⭕️ سوءاستفاده از Eventual Consistency در AWS IAM برای Persistence

ویژگی Eventual Consistency در سرویس AWS IAM، یک بازه زمانی تقریبی ۴ ثانیه‌ای ایجاد می‌کند که طی آن، Access Keyهای حذف‌شده هنوز ممکن است معتبر و قابل استفاده باقی بمانند.
در این پست میخونید که هکرها چگونه از این ویژگی برای حفظ دسترسی و ماندگاری در محیط استفاده می‌کنند و راه‌های Mitigation آن چیست.

https://www.offensai.com/blog/aws-iam-eventual-consistency-persistence

#AWS #IAM
@securation

⭕️ شبکه 12 اسرائیل:

📍هکرهای ایرانی مدعی هستند که موفق شده‌اند تلفن همراه نخست‌وزیر سابق، نفتالی بنت را هک کنند و توانسته‌اند مکاتبات، تصاویر و لیست مخاطبین او را از آن استخراج کنند/در نهادهای امنیتی این نگرانی وجود دارد که شماره‌های تلفن‌ همراه ارشدترین افراد کشور لو رفته باشد؛ همانطور که می‌دانید نفتالی بنت نخست‌وزیر و وزیر دفاع بوده و اکنون این شماره‌ها در حال پخش شدن هستند/یک نگرانی دیگر این است که فایل‌هایی که در حال انتشار هستند – و الان حتی در واتس‌اپ‌ مثل آتش در خرمن در حال پخش شدن هستند – این فایل‌ها هم آلوده شده باشند؛ یعنی هکرهایی که این ماجرا را کلید زده‌اند، در این فایل‌ها هم بدافزار جاسازی کرده‌اند، این ماجرا یک دردسر عظیم است...

@securation

⭕️ حمله فیشینگ برای دستیابی به اعتبارنامه‌های AWS از طریق جریان فرمان جدید aws login

خط فرمان جدید aws login در AWS که برای ارائه اعتبارنامه‌های موقت جهت توسعه محلی طراحی شده است، می‌تواند توسط مهاجمان برای انجام حمله فیشینگ مورد سوءاستفاده قرار گیرد.
این روش حتی می‌تواند مکانیزم‌های MFA امن شده در برابر فیشینگ را نیز دور بزند.

https://medium.com/@adan.alvarez/phishing-for-aws-credentials-via-the-new-aws-login-flow-39f6969b4eae

#AWS #CLI
@securation

⭕️سرویس Docker Hardened Images (DHI) ، شامل Base Imageهای ایمن‌سازی‌شده (Hardened) و مینیمال است که با هدف کاهش آسیب‌پذیری‌ها (CVEs) توسعه یافته‌اند.

محصولات DHI با ارائه SBOM (لیست مواد نرم‌افزاری) شفاف و قابل تأیید و همچنین Provenance در سطح SLSA Level 3، امنیت Software Supply Chain را تضمین می‌کنند.
مهاجرت به این Image ها بسیار ساده (Drop-in) است و نیاز به تغییر Workflow شما ندارد.
اگر در کوبرنتیز ، CI CD یا پروداکت های خودتون با Docker کار می‌کنید بنظرم وقتشه نگاهی به Hardened Images بندازید.

با کمک این سرویس دیگه تیم DevSecOps تحول بسیار جدیدی در سازمان شما ایجاد می‌کند.

https://www.docker.com/products/hardened-images/

#Docker #DevSecOps #CVE
@securation

تنها گیم توی زندگیم داشتم سالها پیش بود یه ماه اینو بازی کردم که فقط اخرشو فیلم بگیرم ببرم مدرسه نشون دوستام بدم که دیگه انقدر حرف از بازی نزنن:))
فکر کن بازی ای داری که گلوله هات تموم نمیشن هرگز😒

#IGI
@securation

⭕️ آسیب‌پذیری جدید با شناسه (CVE-2025-37164) برای HPE OneView (
پلتفرم مدیریت جامع سرورها، ذخیره‌سازی و شبکه) اومده که مهاجم بدون لاگین میتونه از راه دور کد دلخواه اجرا کنه.
آسیب پذیری امتیاز 10 از 10 گرفته و هنوز راه فیکس کردنی بصورت رسمی برای این مورد نیومده.

تحلیل فنی آسیب پذیری :
https://attackerkb.com/topics/ixWdbDvjwX/cve-2025-37164/rapid7-analysis
#RESTAPI #RCE #HPE
@securation

⭕️ برای دور زدن Elastic EDR در فرآیند Lateral Movement، مهاجم باید زنجیره‌ای از تکنیک‌های پنهان‌سازی را به کار بگیرد. ابتدا برای انتقال فایل از طریق SMB، باید Magic Bytes لودر تغییر یابد و فایل با پسوند غیرحساسی مانند .png منتقل شود تا هشدارهای اولیه صادر نگردد. در مرحله بعد، به جای تغییر نام به .exe که مشکوک است، از پسوند .scr (فایل اسکرین‌سیور) استفاده می‌شود که در ویندوز ماهیت اجرایی دارد اما اغلب قوانین شناسایی را دور می‌زند. همچنین، به جای پروتکل WMI که به شدت مانیتور می‌شود، تکنیک scshell برای اجرای راه دور از طریق سرویس‌های ویندوز به کار گرفته می‌شود تا از شناسایی فعالیت‌های مشکوک جلوگیری شود.

علاوه بر این، استفاده از مسیرهای استثنا شده (Exclusion) مانند C:\ProgramData\Microsoft\Search نقشی حیاتی دارد، زیرا اجرای فایل از این پوشه‌ها باعث می‌شود EDR هشداری صادر نکند. برای نهایی کردن حمله و تغییر پسوند در سیستم مقصد نیز، به جای روش‌های معمول که باعث ایجاد فرآیندهای مشکوک می‌شوند، از یک Unmanaged PowerShell Runspace در داخل فرآیند قانونی msiexec.exe استفاده می‌شود. این رویکرد باعث می‌شود بارگذاری DLL های اتوماسیون کاملا عادی به نظر برسد و در نهایت اتصال Beacon بدون فعال شدن هشدارهای امنیتی برقرار گردد.


#RedTeam #Evasion
@securation

عزیزان لطفا مراقب خودتون و خانواده هاتون باشید.

⭕️ افتا: هشدار باش سایبری

۱۴۰۴/۱۲/۹

🔴 با توجه به شرایط فعلی کشور ضروری است اقدامات زیر انجام و هرگونه رخداد سایبری مشکوک، سریعا به مرکز افتا اعلام شود:

🔻 1. در دسترس بودن متولیان فنی سایبری و پیمانکاران سامانه‌های حیاتی برای مقابله با حوادث احتمالی

🔻 2.قطع فیزیکی تمامی پورت‌های مدیریتی از جمله ILO و IPMI و مدیریت ذخیره‌ساز‌ها (Storage)

🔻 3.حصول اطمینان از جداسازی فیزیکی شبکه مدیریتی تجهیزات (OOB) از سایر شبکه‌ها

🔻 4.قطع هرگونه دسترسی از راه دور و دسترسی‌های غیر ضروری به سامانه‌ها، تجهیزات و سرویس‌های حیاتی

🔻 5.حصول اطمینان از جداسازی شبکه های OT از سایر شبکه‌ها

🔻 6.ممنوعیت نصب هر نوع سامانه یا تجهیز جدید و یا هرگونه اقدام نگهداری و به‌روزرسانی بر روی سامانه‌ها و تجهیزات موجود

🔻 7.حصول اطمینان از تغییر رمز عبور کاربران در سطح مدیریتی برای سامانه‌ها و تجهیزات فناوری و صنعتی

🔻 8.شناسایی و حذف حساب‌های کاربری غیرضروری در سامانه‌ها، تجهیزات و سرویس‌های حیاتی

🔻 9.بروز بودن، صحت و اطمینان از نگهداری نسخه‌های پشتیبان در خارج از سازمان

🔻 10.حصول اطمینان از ذخیره مطمئن و متمرکز انواع لاگ‌های امنیتی

🔻 11.هر گونه تماس یا ارسال پیامک از سرشماره‌های ناشناس، No Number و یا Private برای اقدام بر روی سامانه‌ها و زیرساخت مورد تایید نیست و نیاز به اخذ تاییدیه از مرکز افتاست.

@securation

پاینده باد ایران من
به امید روزهای خوب برای ایران و ایرانیان ❤️

لینک کانال در مسنجر بله رو داشته باشید عضو بشید :

ble.ir/join/C2vvPXSTV5

⭕️ جنگ الکترونیک و ایجاد پارازیت GPS گسترده در منطقه غرب آسیا به مرکزیت الشارجه امارات

@securation