Network Security Channel

یکی از پرکاربردترین ابزارهای مورد استفاده در شکار تهدیدات سایبری Sysmon نام دارد که به صورت سرویس یا درایور بر روی ویندوز نصب می‌شود.  با استقاده از این ابزار می‌توان وقایع سیستمی، رهگیری Processها، تغییرات روی فایل‌ها و ارتباطات شبکه‌ای را ثبت و به منظور تحلیل به SIEM ارسال کرد. لاگ‌های Sysmon با شناسه 27 و 28 اخیرا به لیست Sysmon اضافه شده است. لاگ با شناسه 27 زمانی ایجاد می‌شود که Sysmon ایجاد فایل‌های اجرایی مشکوک را شناسایی و مسدود ‌کند. لاگ با شناسه 28 زمانی ایجاد می‌شود که رفتار مخربی بر روی فایل به نام File Shredding رخ دهد. تکنیک File Shredding جهت تکه کردن فایل است که پس از حذف تکه های ایجاد شده، امکان بازیابی فایل وجود ندارد. #sysmon #soorin #soc #security @Engineer_Computer

👾 آسیب پذیری با شناسه CVE-2023-27363 بر روی Foxit PDF Reader مهاجم را قادر به اجرای کد مخرب دلخواه بر روی سیستم کاربر میسازد. 🦠 در این آسیب پذیری که از متد ExportsData روی داده های xfa pdf استفاده میکند,مهاجم میتواند با اجرای کد مخرب جاسازی شده در پی دی اف(در اینجا جاوااسکریپت)، دسترسی خود را دائمی و شل معکوس از قربانی بگیرد. https://www.zerodayinitiative.com/advisories/ZDI-23-491/ @Engineer_Computer

A $1,000,000 bounty? The KuCoin User Information Leak https://corben.io/blog/hacking-kucoin @Engineer_Computer

A new #vulnerability has been found in the Mac version of #Telegram that allows an attacker to access your camera and microphone. This vulnerability was found by an engineer in #Google, it was reported to Telegram and as usual Telegram did not handle it. #آسیب‌پذیری جدیدی در نسخه مک #تلگرام پیدا شده که مهاجم می‌تواند به دوربین و میکروفون شما دسترسی داشته باشد. این اسیب پذیری توسط یک مهندس در #گوگل پیدا شده است، به تلگرام گزارش شده و طبق معمول تلگرام به آن رسیدگی نکرده. https://danrevah.github.io/2023/05/15/CVE-2023-26818-Bypass-TCC-with-Telegram @Engineer_Computer

⭕️در پروسه Domain escalation از سرویس هایی که میتوان مورد هدف ما باشد ADDS یا همان Active Directory Certificate Services است. ابزاری برای خودکار سازی پروسه کشف و ایجاد دسترسی با استفاده از misconfiguration های احتمالی نوشته شده که پروسه را برایمان راحت تر میکند.(البته باید موضوع شناسایی نشدن توسط مکانیزم های امنیتی را در نظر گرفت) ویژگی های این ابزار را میتوان مثال زد: جمع آوری Domain Admin ها توسط LDAP جمع آوری DC ها توسط LDAP جمع آوری Certificate Authorities توسط Certipy و در آخر اکسپلویت کردن ESC1 و ESC8 البته چون اسکریپت پایتونی است میتوان مدل های دیگر اکسپلویت هم به آن اضافه کرد. https://github.com/grimlockx/ADCSKiller #RedTeam #ADCS @Engineer_Computer

⭕اگر با حملات لایه 2 و 3 شبکه درگیر شده باشید احتمالا با ابزار هایی مثل Yersina و Loki کار کردید حال ابزار جدیدی اخیرا به وجود آمده که با تجمیع از این دو ابزار و ابزار های دیگر اقدام به بررسی امنیتی پروتکل های زیر را تا حد امکان بدون noisy بودن میکند: MACSec DTP EDP CDP LLDP MNDP OSPF EIGRP VRRP HSRP ESRP GLBP STP PVST LLMNR NBT-NS MDNS DHCPv6 https://github.com/c4s73r/Above #RedTeam #Mitm @Engineer_Computer

⭕️ شبیه سازی IoT Firmware اگر قصد تست امنیت یه hardware product رو دارید و اما نمی تونید physical device رو داشته باشید میتونید از یه شبیه ساز مثل QEMU استفاده کنید. https://boschko.ca/qemu-emulating-firmware/ #IoT #emulator @Engineer_Computer

⭕️ Discovery of an XSS on Opera هانتر تو این مقاله از متدولوژی خودش که باهاش تونسته رو Opera آسیب پذیری XSS پیدا کنه میگه. https://infosecwriteups.com/discovery-of-an-xss-on-opera-f029f6522ec5 Quickly Subdomain Discovery - https://subdomainfinder.c99.nl/ Subdomain Brute Force - https://github.com/guelfoweb/knock Content Discovery - https://github.com/projectdiscovery/katana/ - https://github.com/tomnomnom/waybackurls #BugBounty #XSS #Recon @Engineer_Computer

⚙️ Optimize Web Fuzzing ۲ تا نکته برای بهنیه کردن Fuzzing در وب سرور و API: ۱. نکته اول Fuzz کردن مسیر های 403: اگر برای مثال به روت وب سروری درخواست زدید و به شما 403 داد بیاید به یک مسیر یونیک که مطمئن هستید وجود نداره درخواست بزنید مثلا: /uniquePathUnique اگر این مسیر هم به شما 403 داد Fuzz کردن رو این وب سرور میتونه کار بیهوده ای باشه:‌ چون ادمین ممکن هست وب سرور رو به پشت VPN منتقل کرده باشه یا هر مسیری رو ممنوع کرده باشه اگر قصد دارید فازینگ شما بهینه باشه و کمبود زمان و منابع دارید این نوع تارگت هارو بیخیال بشید یا در اولویت پایین تری برای Fuzz بذارید. ۲. نکته دوم Fuzz کردن مسیر در API: در وب سرور ها مثل Apache اگر به دایرکتوری موجودی درخواست بزنید برای مثال دایرکتوری files/ ماژول mod_dir شمارو به /files/ ریدایرکت میکنه. این ماژول کارش trailing slash redirect هست یعنی یه / به آخر اسم دایرکتوری اضافه میکنه و دایرکتوری رو برای شما serve میکنه. به / آخر trailing slash میگیم. اما در API ها به این گونه نیست عموما. در API دو مسیر زیر /auth/login/ /auth/login میتونند دو اندپوینت کاملا متفاوت از هم باشند و دو function جدا از هم یا اگر فانکشن لاگین در /auth/login/ باشد و شما به auth/login/ درخواست بزنید ممکن است 404 بگیرید. این موضوع قابل کنترل هم هست برای مثال فریمورک flask در حالت عادی مثل سناریو بالا عمل میکنه اما اگر ما مقدار strict_slashes رو در Routing برابر False قرار بدیم مثل زیر @app.route('/auth/login/', strict_slashes=False) تفاوتی بین /auth/login/ و auth/login/ نخواهد بود. برای بهینه سازی Fuzzing در اینجا شما باید اندپوینت های موجود رو Analyze کنید و مشاهده کنید برنامه نویس از کدوم style برای مسیر دهی استفاده کرده مثلا اگر تمام اندپوینت های API با trailing slash تمام می شوند شما نیز در Fuzzing خود از trailing slash استفاده کنید و اگر تمام اندپوینت ها بدون / تمام می شوند شما هم از trailing slash استفاده نکنید. #web_security #fuzzing #API @Engineer_Computer

#هوش_مصنوعی یک وبسایت عالی، تبدیل متن به ویدئو با هوش مصنوعی میتونید سناریو بنویسید و به کلیپ تبدیل كنيد و یا اینکه یک عکس رو بدید و بگید به چه صورت اجرا بشه ، فوق العاده‌س این ابزار https://app.kaiber.ai/ @Engineer_Computer

Threat Research Outlook Patch Analysis Reveals Important Flaw in Windows API https://www.akamai.com/blog/security-research/important-outlook-vulnerability-bypass-windows-api @Engineer_Computer

How to bypass Cloudflare, Incapsula, SUCURI and another WAF https://miloserdov.org/?p=2960 @Engineer_Computer

https://www.fo-sec.com/articles/compromising-mdatp-endpoint @Engineer_Computer

🔰 دانستن اینکه چه چیزی در پردازش های ویندوز عادی است، به کاهش نویز در فرآیند جستجوی بدافزار احتمالی کمک میکند. 🔱 https://sansorg.egnyte.com/dl/oQm41D67D6 🔴 از این اطلاعات به عنوان مرجع برای پردازش های عادی ویندوز استفاده کنید و توجه خودتون رو به موارد دیگر معطوف کنید. @Engineer_Computer

✨Three projects will help you a lot in Malware Analysis✨ ✨سه پروژه به شما در تجزیه و تحلیل بدافزار کمک زیادی می کند✨ 1️⃣https://filesec.io/# لیستی از پسوندهای فایل است که می تواند توسط مهاجمان برای phishing, execution, و ماکروها و غیره استفاده شود. این منبع خوبی برای درک موارد استفاده مخرب از file extentionsرایج و راه هایی است که می توانید در برابر آنها دفاع کنید. 2️⃣ Windows LOLBINS >> https://lolbas-project.github.io/# کلمه LOLBins اصطلاح اختصاری Living Off the Land Binaries است. این سایت باینری هایی با ماهیت غیر مخرب، که برای سیستم عامل شناخته شده و قانونی هستند را نشان میدهد که توسط مجرمان سایبری برای استتار فعالیت های مخرب خود قابل استفاده و بهره برداری قرار است. 3️⃣ Linux GTFOBINS >> https://gtfobins.github.io/ این GTFOBins پروژه‌ای است که توابع قانونی باینری‌های یونیکس را جمع‌آوری می‌کند که می‌توان از آن برای گرفتن شل، افزایش یا حفظ امتیازات بالا، انتقال فایل‌ها، spawn bind و reverse shell‌ها و تسهیل سایر وظایف پس از بهره‌برداری سوء استفاده کرد. #blueteam #redteam #soc #forensiceanal #ioc #threatintelligence #threathunting @Engineer_Computer

⭕️ Building a Red Team Infrastructure in 2023 https://www.securesystems.de/blog/building-a-red-team-infrastructure-in-2023/ #RedTeam @Engineer_Computer