Вже доступно! Дослідження Telegram за 2025 — головні інсайти року 
APT ANALYSIS
Відкрити в Telegram
Анализ APT с фокусом на моделирование, обнаружение и управление сложными атаками. Предоставление точных данных и решений для прогнозирования угроз с реальным опытом в области безопасности.
Показати більше1 725
Підписники
-2524 години
-207 днів
-82230 день
Архів дописів
1 725
🛡CrystalDump
🔖Dump lsass using only NTAPI functions by hand-crafting Minidump files without MiniDumpWriteDump
💥Repo : https://github.com/ricardojoserf/NativeDump/tree/crystal-flavour
💥Blog : https://ricardojoserf.github.io/nativedump
⭐️@APTANALYSIS
1 725
🛡Killing Windows Kernel Mitigations
💥Blog/PoC : https://wetw0rk.github.io/posts/0x01-killing-windows-kernel-mitigations/
⭐️@APTANALYSIS
1 725
🛡Metasploit Weekly Wrap-Up 12/13/2024
💥Blog : https://blog.rapid7.com/2024/12/13/metasploit-weekly-wrap-up-12-13-2024/
⭐️@APTANALYSIS
1 725
📦SuperdEye is the implementation of HellHall (a revised version of TartarusGate) in pure Go and Go Assembler.
The purpose is to scan hooked NTDLL and retrieve the Syscall number to then do an indirect Syscall with it, thus allowing the bypass of AV/EDR that put hooks on functions.
🔗https://github.com/almounah/superdeye
📦Exfiltration of personal information from ChatGPT via prompt
injection
🔗https://arxiv.org/pdf/2406.00199
📦Bootkitty: Analyzing the first UEFI bootkit for Linux
🔗https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux/
📦Process Inject Kit
This is a port of Cobalt Strike's Process Inject Kit from C to the C++ BOF template.
🔗https://github.com/rasta-mouse/process-inject-kit
📦CVE-2024-38144
🔗https://ssd-disclosure.com/ssd-advisory-ksthunk-sys-integer-overflow-pe/
🔍@APTANALYSIS
1 725
طبق بررسی های صورت گرفته آسیب پذیری از نرم افزار 7-zip با شناسه CVE-2024-11477 در نسخه های < 24.07 این نرم افزار وجود دارد و به احتمال زیاد با در نظر گرفتن اینکه DEP و ASLR برای آزمایش در حالت ایمن قابل بایپس بوده و به shell injection از طریق Integer Underflow برسد. البته این در شرایطی ممکن است که داده ها قابل کنترل باشند اما بنظر میرسد این احتمال بسیار بالا باشد. ما در محیط آزمایشگاهی خود بخشی از ساختار این نرم افزار را جداسازی و بی نیاز کردیم و داده های خراب که به برنامه داده شد معادل عدد منفی شده_ Unit64 در بازه 18446744073709551596 (2^64) ، شکست در طول داده ( decompress ) رخ میدهد. بعد از شکست به main - تابع __libc_start_call_main که ابتدا و انتهای اجرای برنامه قرار دارد برخورد میکند و پایان اجرای کد را نشان میدهد که ارتباط مستقیم با خود برنامه ندارد . این اسیب پذیری در نسخه های جدید patch شده است و نسخه های قبلی نیز اصلاح شده اند . درحالی که 7-zip در تلاش است که استفاده از این اسیب پذیری را به حداقل برساند ما احتمال میدهیم تا این لحظه بهره برداری از این اسیب پذیری توسط تیم هایی انجام شده باشد و درحال استفاده از آن با ورودی های آلوده باشند.
نکته : ما بروزرسانی به نسخه های بالاتر این نرم افزار را پیشنهاد نمیکنیم لذا با توجه به بررسی های انجام شده توصیه میشود فعلا از این نرم افزار در لبه ، مراکز حساس استفاده نشود در واقع این اسیب پذیری یک تلنگر بزرگ به سازمان هایی است که بعد از انتشار poc برای winrar به سراغ 7-zip رفته بودند و آن را تبلیغ هم میکردند ، منظور ما سازمان های خارجی است =)
1 725
📝CVE-2024-11477 Writeup (7-zip)
🔗GIT : https://github.com/TheN00bBuilder/cve-2024-11477-writeup
📄Note :
In the end, the researcher tried to almost deny the existence of code execution in 7-zip based on his analysis. But since this vulnerability has been identified and confirmed based on reliable sources, it cannot be said that this vulnerability does not exist.🔍@APTANALYSIS
1 725
📝Dissecting JA4H for improved Sliver C2 detections
🔗Blog : https://blog.webscout.io/dissecting-ja4h-for-improved-sliver-c2-detections
🔍@APTANALYSIS
