APT ANALYSIS

🛡CrystalDump 🔖Dump lsass using only NTAPI functions by hand-crafting Minidump files without MiniDumpWriteDump 💥Repo : https://github.com/ricardojoserf/NativeDump/tree/crystal-flavour 💥Blog : https://ricardojoserf.github.io/nativedump ⭐️@APTANALYSIS

All details

🛡Killing Windows Kernel Mitigations 💥Blog/PoC : https://wetw0rk.github.io/posts/0x01-killing-windows-kernel-mitigations/ ⭐️@APTANALYSIS

🛡Metasploit Weekly Wrap-Up 12/13/2024 💥Blog : https://blog.rapid7.com/2024/12/13/metasploit-weekly-wrap-up-12-13-2024/ ⭐️@APTANALYSIS

🛡Team82 Research 💥Blog : https://claroty.com/team82 ⭐️@APTANALYSIS

📦SuperdEye is the implementation of HellHall (a revised version of TartarusGate) in pure Go and Go Assembler. The purpose is to scan hooked NTDLL and retrieve the Syscall number to then do an indirect Syscall with it, thus allowing the bypass of AV/EDR that put hooks on functions. 🔗https://github.com/almounah/superdeye 📦Exfiltration of personal information from ChatGPT via prompt injection 🔗https://arxiv.org/pdf/2406.00199 📦Bootkitty: Analyzing the first UEFI bootkit for Linux 🔗https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux/ 📦Process Inject Kit This is a port of Cobalt Strike's Process Inject Kit from C to the C++ BOF template. 🔗https://github.com/rasta-mouse/process-inject-kit 📦CVE-2024-38144 🔗https://ssd-disclosure.com/ssd-advisory-ksthunk-sys-integer-overflow-pe/ 🔍@APTANALYSIS

طبق بررسی های صورت گرفته آسیب پذیری از نرم افزار 7-zip با شناسه CVE-2024-11477 در نسخه های < 24.07 این نرم افزار وجود دارد و به احتمال زیاد با در نظر گرفتن اینکه DEP و ASLR برای آزمایش در حالت ایمن قابل بایپس بوده و به shell injection از طریق Integer Underflow برسد. البته این در شرایطی ممکن است که داده ها قابل کنترل باشند اما بنظر میرسد این احتمال بسیار بالا باشد. ما در محیط آزمایشگاهی خود بخشی از ساختار این نرم افزار را جداسازی و بی نیاز کردیم و داده های خراب که به برنامه داده شد معادل عدد منفی شده_ Unit64 در بازه 18446744073709551596 (2^64) ، شکست در طول داده ( decompress ) رخ میدهد. بعد از شکست به main - تابع __libc_start_call_main که ابتدا و انتهای اجرای برنامه قرار دارد برخورد میکند و پایان اجرای کد را نشان میدهد که ارتباط مستقیم با خود برنامه ندارد . این اسیب پذیری در نسخه های جدید patch شده است و نسخه های قبلی نیز اصلاح شده اند . درحالی که 7-zip در تلاش است که استفاده از این اسیب پذیری را به حداقل برساند ما احتمال میدهیم تا این لحظه بهره برداری از این اسیب پذیری توسط تیم هایی انجام شده باشد و درحال استفاده از آن با ورودی های آلوده باشند. نکته : ما بروزرسانی به نسخه های بالاتر این نرم افزار را پیشنهاد نمیکنیم لذا با توجه به بررسی های انجام شده توصیه میشود فعلا از این نرم افزار در لبه ، مراکز حساس استفاده نشود در واقع این اسیب پذیری یک تلنگر بزرگ به سازمان هایی است که بعد از انتشار poc برای winrar به سراغ 7-zip رفته بودند و آن را تبلیغ هم میکردند ، منظور ما سازمان های خارجی است =)

📝CVE-2024-11477 Writeup (7-zip) 🔗GIT : https://github.com/TheN00bBuilder/cve-2024-11477-writeup 📄Note :

In the end, the researcher tried to almost deny the existence of code execution in 7-zip based on his analysis. But since this vulnerability has been identified and confirmed based on reliable sources, it cannot be said that this vulnerability does not exist.

🔍@APTANALYSIS

📝Dissecting JA4H for improved Sliver C2 detections 🔗Blog : https://blog.webscout.io/dissecting-ja4h-for-improved-sliver-c2-detections 🔍@APTANALYSIS