#Article

Hells Hollow: A new SSDT Hooking technique

در پست قبلی درباره‌ی تکنیک‌های AltSyscall صحبت کردم. امروز در ادامه‌ی همون موضوع، قصد دارم یک تکنیک جدید با نام غیررسمی Hell's Hollow رو معرفی کنم.

این تکنیک با تکیه بر قابلیت‌های AltSys و انجام تغییراتی روی ساختار حساس KTRAP_FRAME، امکان Hook کردن SSDT رو به شکلی متفاوت فراهم می‌کنه. یعنی به جای دست‌کاری کپی‌هایی از Trap Frame، این بار مستقیماً سراغ نسخه‌ی واقعی اون می‌ریم. نتیجه‌ی این کار، توانایی در کنترل و تغییر مسیر تمام System Callها در سطح بسیار پایین و حساس سیستم‌عامله.

POC Link : Hell's Hollow is a Windows 11 compatible rootkit technique that is equivalent to a modern (PatchGuard and HyperGuard) resistant technique to effectively perform SSDT Hooking (System Service Dispatch Table) - bypassing all previous defence mechanisms put in the kernel.

🦅 کانال بایت امن | گروه بایت امن
_

#Article

جاسوس افزار ایرانی در قالب فیلتر شکن و ارتباط آن با حسین آقا

اگر قصد نوشتن بدافزار از هر نوع و قالبی هستید مخصوصا APT, حداقل کاری که می تونید انجام بدین حذف متاتگ ها به خصوص بعد از لینک و کامپایل شدن هست. حتی اگر از سورس OpenVPN میخواید استفاده کنید.

C:/Users/hossein/AndroidStudioProjects/Comodo/VPN_vector/
C:\Users\HOSSEIN\AndroidStudioProjects\MyApplication5\build.gradle

🦅 کانال بایت امن | گروه بایت امن
_

#Article #Security

نصب Kali Linux در macOS, اما با محدودیت

در رویداد WWDC 2025، اپل از فریم‌ورک جدیدی برای کانتینرسازی رونمایی کرد که به دستگاه‌های مجهز به Apple Silicon (مثل مک‌های M1، M2، M3 و ...) اجازه می‌دهد سیستم‌عامل‌های لینوکسی ایزوله‌شده را در یک محیط مجازی اجرا کنند. این قابلیت مشابه WSL2 در ویندوز است و تجربه‌ای سریع‌تر و سبک‌تر نسبت به ماشین‌های مجازی سنتی ارائه می‌دهد.

با این حال، اجرای Kali Linux از طریق این روش همچنان با محدودیت‌هایی همراه است. به‌ویژه در نسخه‌ی macOS Sequoia 15، مشکلاتی مانند عدم دریافت آدرس IP یا نبود دسترسی به شبکه گزارش شده است. همچنین، برخی از قابلیت‌های پیشرفته‌ی Kali که نیاز به دسترسی مستقیم به سخت‌افزار (hardware passthrough) دارند، به دلیل ایزوله بودن کانتینر قابل استفاده نیستند.

🦅 کانال بایت امن | گروه بایت امن
_

#Note #GameHacking

تجربه شخصی از تحلیل چندین Anti-Cheat

چند وقت پیش یک تسک داشتم که مربوط می‌شد به بررسی یه سری آنتی‌چیت کرنل‌مد. می‌دونستم با چی قراره روبرو بشم، ولی این یکی بیش از حد سخت‌گیرانه بود و بیشتر شبیه یه agent امنیتی بود تا یه سیستم ضدتقلب ساده!

واقعیت اینه که سیستم‌های DRM و Anti-Cheat که قبلاً فقط برای جلوگیری از کپی یا تقلب طراحی شده بودن، حالا به ابزارهای مانیتورینگ سطح پایین سیستم تبدیل شدن. یعنی خیلی جدی‌تر از چیزی که شاید انتظار داشته باشید.

روی پردازنده‌های AMD، این نوع دسترسی از طریق تکنولوژی SVM یا همون AMD-V انجام میشه. سمت اینتل هم با VT-x برای مجازی‌سازی و VT-d برای کنترل امن ورودی/خروجی، راه برای آنتی‌چیت‌ها باز شده تا بتونن به جاهایی از سیستم دسترسی داشته باشن که نرم‌افزارهای عادی حتی بهش فکر هم نمی‌کنن.

یعنی از لایه های پایینتر میتونن :

حافظه بازی رو لحظه‌به‌لحظه زیر نظر بگیرن
پردازش‌هایی که مشکوک به نظر میان رو شناسایی کنن
امضاهای رفتاری بسازن

و حتی با روش هایی مثل Kernel Hooking یا Syscall Hooking تقلب ها رو شناسایی کنند اما این روش ها حتی یک لایه ساده تر از تکنولوژی هایی هست که بالاتر گفتم.

از طرفی این‌جور دسترسی‌ها یه روی خطرناک هم داره. کافیه یه باگ کوچیک یا تداخل با یه درایور دیگه اتفاق بیفته، به‌راحتی ممکنه سیستم کرش کنه، BSOD بده یا حتی اطلاعات کاربر از بین بره.

یا تشخیص بین کاربر حرفه‌ای و متقلب واقعی خیلی سخت بشه. ممکنه یه برنامه‌نویس یا دیباگر دقیقاً همون کارهایی رو بکنه که یه چیتر می‌کنه. پس اگر این الگوریتم‌ها درست طراحی نشن، پر از False Positive می‌شن و کاربر رو مثل متقلب بلاک می‌کنن.

🦅 کانال بایت امن | گروه بایت امن
_

#Tools #ReverseEngineering #Android

dalvikus : Android reverse-engineering tool / smali editor

یک ابزار جدید، مدرن و همه‌کاره برای مهندسی معکوس و ویرایش اپلیکیشن‌های اندروید برای توسعه‌دهندگان و پژوهشگرانی که می‌خواهند به‌سادگی اپلیکیشن‌های اندروید را بررسی، ویرایش و بازسازی کنند

با Dalvikus می‌تونید به‌سادگی فایل‌های APK و DEX رو باز کنید، کدهای smali رو ویرایش کنید

امکانات کلیدی Dalvikus:

ویرایش مستقیم فایل‌های APK و DEX بدون نیاز به اکسترکت کردن
ادیتور قدرتمند Smali با هایلایت و تکمیل خودکار هنگام تایپ
پشتیبانی از چندین دیکامپایلر برای تحلیل دقیق کد های Dalvik
ابزار داخلی برای امضای مجدد (apksig و zipalign)
اجرای مستقیم اپلیکیشن روی دیوایس از طریق ADB
جستجوی پیشرفته برای رشته‌ها، متدها، فیلدها و ارجاع‌ها
مرور منابع، فایل‌های XML و resource IDs با apktool داخلی
پشتیبانی از تم‌های روشن و تیره برای تجربه کاربری بهتر

🦅 کانال بایت امن | گروه بایت امن
_

#Source

مایکروسافت سورس‌کد Microsoft BASIC 6502 رو منتشر کرد

سال 1975 بیل گیتس و پل آلن اولین محصول مایکروسافت رو نوشتن: BASIC برای Altair 8800.

یک سال بعد، گیتس و ریک ویلند نسخه مخصوص پردازنده 6502 رو ساختن.

در 1977 شرکت Commodore با پرداخت 25,000 دلار لایسنس BASIC رو خرید و اون رو در کامپیوترهای PET، VIC-20 و Commodore 64 قرار داد.

فروش میلیونی این سیستم‌ها باعث شد کامپیوتر شخصی در دسترس میلیون‌ها نفر قرار بگیره.

این نسخه حتی شامل اصلاحات اصلی Garbage Collector و یک ایستراگ مخفی از بیل گیتسه
حالا همه می‌تونن کد رو مطالعه کنن، تغییر بدن و حتی روی شبیه‌سازها و سخت‌افزارهای مدرن اجراش کنن.

ممکنه شما هم تاریخ ایجاد ریپو براتون جالب باشه در واقع داره اشاره به قدمت این موضوع میکنه چون گیتهاب خودش 18-17 سال هست که دامنه اش ثبت شده

🦅 کانال بایت امن | گروه بایت امن
_

#Tools

پلاگین GhidraGPT

یک پلاگین قدرتمند برای Ghidra که مدل‌های زبانی بزرگ (LLMs) را برای ارتقا فرآیند مهندسی معکوس به کار می‌گیرد و تحلیل و بهبود کد را هوشمندانه‌تر می‌کند.

ویژگی‌ها:

بهبود کد: تغییر نام توابع و متغیرها با کمک AI برای افزایش خوانایی

توضیح کد: ارائه تحلیل دقیق از منطق و عملکرد توابع

تحلیل امنیتی: شناسایی آسیب‌پذیری‌ها و بررسی مسائل امنیتی

پشتیبانی چندگانه: سازگار با بیش از ۸ ارائه‌دهنده شامل OpenAI، Anthropic، Google Gemini، Cohere، Mistral AI، DeepSeek، Grok (xAI) و

🦅 کانال بایت امن | گروه بایت امن
_

#UPDATE

تو آپدیت جدید دوره مهندسی معکوس نرم‌افزار، ما علاوه بر استفاده از n8n، به صورت مستقیم هم از LLMها بهره می‌بریم تا پلاگین‌هایی که برای دیباگرها و دیس‌اسمبلرها توسعه می‌دهیم، قابلیت استفاده از هوش مصنوعی را داشته باشند.

سید علیرضا جعفری، از دوستان قدیمی من است و در زمینه هوش مصنوعی تجربه و مهارت قابل توجهی دارد.

🦅 کانال بایت امن | گروه بایت امن
_

#Note #Tools

چرا LSASS (Local Security Authority Subsystem Service) هدف جذابی برای مهاجمان است؟

پروسس LSASS مسئول مدیریت احراز هویت، توکن‌ها و کلیدهای سیستم عامل است. دسترسی به حافظه آن یعنی دسترسی به مجموعه‌ای از اسرار معتبر سیستم که می‌تواند برای حملات و تکینیک هایی همچون حرکت جانبی (lateral movement)، فرار از تشخیص (Evasion) و ارتقای امتیازات (privilege escalation) مورد سوءاستفاده قرار گیرد.

چه داده‌هایی در حافظهٔ LSASS یافت می‌شوند؟

🏷هش : NTLM hashes (NT hash) | قابل استفاده برای تکنیک‌های Pass-the-Hash

🏷تکیت : Kerberos tickets (TGT / Service Tickets) | قابل استفاده برای تکنیک Pass-the-Ticket.

🏷گذرواژه‌ها و اعتبارنامه‌های متنی (plaintext credentials)| بسته به نسخه/پچ و پیکربندی احراز هویت، ممکن است username/password به‌صورت متن خوانا در حافظه حضور داشته باشند.

🏷کلید: DPAPI master keys و سایر کلیدهای مرتبط | برای بازکردن داده‌های رمزنگاری‌شده محلی یا سرویس‌ها.

🏷سایر داده‌های حساس نظیر LSA secrets, cached credentials و credential blobs که توسط credential providers / SSPها نگهداری می‌شوند.


✒️حالا در این ریپازیتوری با نحوه دامپ گرفتن از پروسس LSASS به چندین روش مختلف آشنا خواهید شد.

🦅 کانال بایت امن | گروه بایت امن
_

#Tools

انجام عملیات Patch Diffing و تحلیل فایل های باینری به کمک هوش مصنوعی

ابزار چند منظوره diffalayze جهت خودکارسازی Patch Diffing و تحلیل فایل‌های باینری است که با کمک مدل‌های زبانی بزرگ (LLMs) نتایج تحلیل را عمیق‌تر و کاربردی‌تر می‌سازد.

این ابزار به‌طور ویژه برای تیم‌های امنیتی، پژوهشگران آسیب‌پذیری و مهندسان معکوس طراحی شده و قادر است:

🏷تغییرات نرم‌افزاری و به‌روزرسانی‌های پچ را ردیابی کند.

🏷اصلاحات احتمالی مرتبط با امنیت را برجسته کند.

🏷خروجی‌هایی دقیق و قابل استفاده برای تحلیل‌های امنیتی ارائه دهد.

با استفاده از diffalayze، فرایند تحلیل آسیب‌پذیری‌ها سریع‌تر، دقیق‌تر و هوشمندتر انجام می‌شود.

🦅 کانال بایت امن | گروه بایت امن
_

#n8n #AI #Security

بیش از ۱۰۰ ورک‌فلو آماده در n8n برای امنیت سایبری!

در این ریپو، ورک‌فلوهای n8n برای گروه‌های مختلف امنیت سایبری جمع‌آوری شده و با استفاده از این ورک‌فلوها می‌تونید ایده‌های کاربردی برای پیاده‌سازی AI Agent در حوزه‌های مختلف امنیتی پیدا کنید و اون‌ها رو اجرا کنید.

30 ورک‌فلو Red Team & Pentest
35 ورک‌فلو Blue Team / SOC / DFIR
25 ورک‌فلو Application Security / DevSecOps
10 ورک‌فلو Platform & General Security

🦅 کانال بایت امن | گروه بایت امن
_

#Article

چگونه یک مدل یادگیری ماشین برای شناسایی DLL hijacking آموزش دادیم

تصمیم گرفتم این مقاله رو با Notebooklm برای شما تبدیل کنم تا متوجه بشید غول های تکنولوژی به چه صورت از LLM ها و ML استفاده می کنند تا یکسری کارها به صورت فرآیند خودکار انجام بشه.

تکنیک DLL hijacking یک تکنیک عملیات رایج است که در آن مهاجمان کتابخانه‌ای (DLL) را که توسط یک فرایند قانونی فراخوانی می‌شود با یک کتابخانه‌ی مخرب جایگزین می‌کنند. این روش هم توسط سازندگان بدافزارهای با تاثیر وسیع (مثل stealerها و تروجان‌های بانکی) و هم توسط گروه‌های APT و جرایم سایبری که پشت حملات هدفمند هستند، استفاده می‌شود. در سال‌های اخیر تعداد حملات DLL hijacking به‌طور قابل توجهی افزایش یافته است.

برای جزئیات فنی و نتایج آزمایش‌ها می‌توانید مقالهٔ کامل Kaspersky را در Securelist مطالعه کنید.

پاورقی : ترجمه به فارسی برخی لغات همچنان مشکل داره ولی، قابل قبول هست 😊😉

🦅 کانال بایت امن | گروه بایت امن
_

#Security #Embedded

پروژه MITRE EMB3D یک مدل از تهدیدها بر علیه دستگاه‌های امبدد (Embedded) است که توسط MITRE، Red Balloon Security و Narf Industries توسعه یافته است. هدف این پروژه ارائه یک پایگاه دانش جامع از تهدیدات سایبری مرتبط با دستگاه‌های امبدد و فراهم آوردن مکانیزم‌های امنیتی برای کاهش این تهدیدات است.

آخرین به‌روزرسانی: نسخه ۲.۰، در ۲۲ آوریل ۲۰۲۵ منتشر شد که شامل نمایه‌سازی مدل به فرمت STIX برای ادغام با ابزارها و افزودن ویژگی‌ها و تهدیدات جدید بود.

🦅 کانال بایت امن | گروه بایت امن
_