Network Security Channel

مروری بر یک حفره خطرناک و بی توجهی مایکروسافت : یک محقق ژاپنی چندین بار است حفره ای در Patchguard یا همان KPP ویندوز پیدا می‌کند ولی مایکروسافت با ذکر اینکه استفاده از این حفره نیاز به سطح دسترسی ادمین دارد؛ آنرا امنیتی نمیداند و اصلاح آنرا پس از مدتی طولانی انجام می‌دهد. اما باید توجه داشت اصولا طراحی KPP برای حفاظت در برابر پچ کردن کرنل ویندوز توسط پراسس های با دسترسی بالا انجام شد. ** پچ کردن کرنل : امکان دستکاری برنامه ها در کرنل ویندوز . درسال ۲۰۰۵ ویندوز در نسخه ۶۴ بیتی این امکان را با KPP از بین برد . https://therecord.media/poc-published-for-new-microsoft-patchguard-kpp-bypass @Engineer_Computer

یک تکنیک جدید جهت احراز هویت اجباری ADCS https://github.com/decoder-it/ADCSCoercePotato https://decoder.cloud/2024/02/26/hello-im-your-adcs-server-and-i-want-to-authenticate-against-you/ #ردتیم @Engineer_Computer

password dumping via nplogongnotify() https://github.com/gtworek/PSBits/tree/master/PasswordStealing/NPPSpy2 @Engineer_Computer

بصورت اتفاقی از یک سایت خرید کردم و یه مقدار کنجکاو شدم و تست Double Spending انجام دادم و این مشکل امنیتی وجود داشت نه تنها اشتراک را فعال کرد بلکه میتوانستیم به اعضای هر درخواست یه ماه تمدید کرد و برای کاربران دیگر هم قابل استفاده بود مشکل امنیتی را به وب سایت گزارش دادم میتوانید ویدیو را مشاهده کنید متوجه میشوید . "میثم منصف کارشناس امنیت" @Engineer_Computer

Red Team Tactics Hunting for Persistence in Linux Part 1 - Auditd, Sysmon, Osquery, Webshells https://pberba.github.io/security/2021/11/22/linux-threat-hunting-for-persistence-sysmon-auditd-webshell Part 2 - Account Creation and Manipulation https://pberba.github.io/security/2021/11/23/linux-threat-hunting-for-persistence-account-creation-manipulation Part 3 - Systemd, Timers, and Cron https://pberba.github.io/security/2022/01/30/linux-threat-hunting-for-persistence-systemd-timers-cron Part 4 - Initialization Scripts and Shell Configuration https://pberba.github.io/security/2022/02/06/linux-threat-hunting-for-persistence-initialization-scripts-and-shell-configuration Part 5 - Systemd Generators https://pberba.github.io/security/2022/02/07/linux-threat-hunting-for-persistence-systemd-generators @Engineer_Computer

Dusting Off Old Fingerprints: NSO Group’s Unknown MMS Hack https://www.enea.com/insights/dusting-off-old-fingerprints-nso-groups-unknown-mms-hack/ @Engineer_Computer

Azure Devops Zero-Click CI/CD Vulnerability https://www.legitsecurity.com/blog/azure-devops-zero-click-ci/cd-vulnerability @Engineer_Computer

GitHub - ak1t4/CVE-2023-36845: CVES https://github.com/ak1t4/CVE-2023-36845 @Engineer_Computer

https://trustedsec.com/blog/a-beginners-guide-to-mobile-application-testing @Engineer_Computer

ChatGPT Account Takeover - Wildcard Web Cache Deception https://nokline.github.io/bugbounty/2024/02/04/ChatGPT-ATO.html @Engineer_Computer

GitHub - 0x999-x/jsluicepp: jsluice++ is a Burp Suite extension designed for passive and active scanning of JavaScript traffic using the CLI tool jsluice https://github.com/0x999-x/jsluicepp @Engineer_Computer

جریان =! تو اسپلانک هست. اون ۴۴ درصد جالبه @Engineer_Computer

⭕️ ابزاری برای Malware Detection و Threat Hunting توسعه داده شده که قابلیت جمع آوری موارد مورد نیاز و شناسایی بد افزار های اجرایی را دارد. از قبیل تکنیک های قابل شناسایی میتوان به موارد زیر اشاره کرد:

replaced/injected PEs, shellcodes, hooks, and other in-memory patches. Detects inline hooks, Process Hollowing, Process Doppelgänging, Reflective DLL Injection, etc.

PE-sieve is meant to be a light-weight engine dedicated to scan a single process at the time. It can be built as an EXE or as a DLL. The DLL version exposes a simple API and can be easily integrated with other applications.

#BlueTeam #MalwareAnalysis #Forensics @Engineer_Computer

⭕️ اگر علاقه مند به توسعه RootKit در محیط ویندوز هستید پروژه ای توسعه داده شده که به مطالعه آن میپردازیم. از ویژگی های این پروژه میتوان به موارد زیر اشاره کرد:

Kill processes ZwTerminateProcess is simply called from kernel land to terminate any process. Additionally, you can bury a process to avoid it to restart by setting a kernel callback to process creation: If the target process is created, Banshee will set the CreationStatus of the target process to STATUS_ACCESS_DENIED. Change protection levels This is done by modifying the EPROCESS structure, which is an kernel object that describes a processes attributes. It also holds a value that specifies the protection level of the process. We can directly modify this value (aka Direct Kernel Object Modification or DKOM), since we are operating in Ring 0. Elevate any process token to SYSTEM EPROCESS also holds a pointer to the current access token, so we can just make it point to e.g. the token of process 4 (SYSTEM) to elevate any process to SYSTEM Enumerating and erasing kernel callbacks For now, only Process- and Thread-Creation kernel callbacks are enumerated, by parsing the PsSetCreateNotifyProcess/ThreadRoutine routine to reach the private Psp* routine and then parsing the address of the array, where kernel callbacks are stored. Protecting the driver file By hooking the NTFS filesystem's IRP_MJ_CREATE handler, we can block any process from opening a handle to our driver file Hide Process by PID Again, EPROCESS comes to help here - it contains a LIST_ENTRY of a doubly linked list called ActiveProcessLink which is queried by Windows to enumerate running processes. If we simply unlink an entry here, we can hide our process from tools like Process Monitor or Task Manager.

#RedTeam #RootKit #MalDev @Engineer_Computer

#HTML #Smuggling Attack for #Bypass #SOC در مرکز عملیات امنیت، کارشناسان در تلاش هستند که بواسطه بررسی رویداد های مبتنی بر سیستم عامل و ارتباطات مبتنی بر شبکه، تهدیدات را شکار نمایند. همچنین بواسطه تکنولوژی DPI یا نظارت عمیق بر پکت ها، تیم امنیت دفاعی سعی خواهد کرد تا نوع ترافیک در جریان را تشخیص بدهد. ویژگی تکنیک HTML Smuggling این است که بر بستر ترافیک Legitimate یا مشروع، Stage های بد افزار را میتوان بصورت نا محسوس انتقال داد. مانند تصویر پست که Stage بدافزار را که مبتنی بر فایل فرمت PE است، اول Compress و Encrypt با رمز مشخص میکند و در ادامه بواسطه تکنیک Polyglot با یک فرمت غیر حساس مانند PNG ادغام میکند. این ادغام به این صورت است که امضای اول فایل PNG دست نخورده و در ادامه داده های Chunk که XOR شده مقادیر فرمت ZIP هستند را باز نویسی میکند. نهایتا فایل PNG در یک دامنه ای قرار گرفته و در یک صفحه HTML بواسطه جاوا اسکریت src شده و بر روی سیستم قربانی بارگزاری میشود. فایل HTML پایه میتواند بر روی CDN نیز قرار گرفته شده و IP خط کنترل و فرمان مهاجم نیز پنهان شود.