iDeFense

♨️ دور زدن AMSI با استفاده از VEH (Vectored Exception Handler) 💀 این تکنیک از یک Handler (مدیریت‌کننده) Vectored Exception (VEH) برای جلوگیری از شناسایی توسط نرم‌افزارهای آنتی‌ویروس هنگام اجرای اسکریپت‌های بالقوه مخرب در PowerShell استفاده می‌کند 💢 برخلاف روش‌های معمول، این روش شامل دستکاری دستورالعمل‌های اسمبلی، هوکینگ توابع یا تغییر جدول آدرس نمی‌شود. در عوض، از نقاط وقفه سخت‌افزاری بر روی تابع AmsiScanBuffer و مدیریت استثناها برای دستکاری جریان اجرایی استفاده می‌کند 📚 تابع AmsiScanBuffer در PowerShell مسئول اسکن محتوای اسکریپت‌ها برای شناسایی بدافزارها است آنتی‌ویروس‌ها از این تابع برای بررسی و تشخیص بدافزارها استفاده می‌کنند 🔺 در این تکنیک با تنظیم یک نقطه وقفه سخت‌افزاری بر روی تابع AmsiScanBuffer که در تمام رشته‌های (threads) فرآیند PowerShell انجام میشود ،وقتی کد به این نقطه می‌رسد، یک وقفه ایجاد می‌شود که می‌تواند توسط برنامه مدیریت شود.

📚مکانیزم VEH (Vectored Exception Handler) چیست؟

مدیریت‌کننده استثنا برداری یا VEH یک مکانیزم پیشرفته برای مدیریت خطاها و استثناهای برنامه‌ها است. این مکانیزم به برنامه‌ها اجازه می‌دهد که یک تابع مخصوص ثبت کنند که همه استثناها و خطاها را نظارت یا مدیریت کند.

🚩 در این فرایند یک DLL خاص مورد استفاده VEH به PowerShell تزریق می‌شود که وظیفه مدیریت این وقفه‌ها را دارد و هر زمانی که یک اسکریپت در PowerShell اجرا شود و به تابع AmsiScanBuffer برسد، وقفه ایجاد شده و dll مذکور لود میشود

این مورد می تواند با تزریق DLL یا از طریق DLL hijacking انجام شود

⭕️ در اینجا VEH به جای اجرای کد اصلی تابع AmsiScanBuffer، مستقیماً کنترل را به دست می‌گیرد و نتیجه این تابع را بدون اجرا کردن واقعی آن به مقدار AMSI_RESULT_CLEAN تغییر می‌دهد که به معنی این است که اسکریپت بدون بدافزار تشخیص داده شده است ☠️ سپس کنترل به PowerShell برمی‌گردد و اسکریپت بدون هیچ مانعی اجرا می‌شود. 👁‍🗨 https://github.com/vxCrypt0r/AMSI_VEH #RedTeam #AMSI #Bypass @iDeFense

⭕️ تست نفوذ شبکه‌های بی‌سیم یکی از اجزای کلیدی در پروژه‌های pentest و red teaming است. با این حال، تمرکز بیشتر این تست‌ها بر روی شبکه‌های Wi-Fi است و کمتر به آسیب‌پذیری‌های بلوتوث توجه می‌شود ♨️ ابزار BlueToolkit یک فریمورک قدرتمند برای تست نفوذ و red teaming در زمینه شبکه‌های بی‌سیم، به ویژه بلوتوث است 🔷 این فریمورک شامل 43 اکسپلویت برای بهره‌برداری از آسیب‌پذیری‌های Bluetooth Classic و BLE می‌باشد 🌀با نصب بر روی سیستم‌عامل‌های Ubuntu/Debian یا VM، این ابزار امکان بررسی و شناسایی آسیب‌پذیری‌ها در دستگاه‌های بلوتوثی مختلف مانند تلویزیون‌ها، پرینترها، سنسورها و دیگر دستگاه‌های IoT را فراهم می‌کند 🔷 این ابزار با ارائه توضیحات دقیق درباره هر باگ، شرایط بهره‌برداری و تجهیزات مورد نیاز، ابزاری کارآمد برای تست نفوذ در پروژه‌های مختلف به حساب می آید 🌐 https://github.com/sgxgsx/BlueToolkit?tab=readme-ov-file#results #RedTeam @iDeFense

🔥 سرور ابری ویراک ✔️ ۳۰۰ هزار تومان شارژ بیشتر برای هر یک میلیون تومان واریزی ✔️ تا ۹۸۰Mbps پهنای باند ✔️ ترافیک یک به یک 🔔 هر ۱۰ روز یه تخفیف جذاب دریافت کن 👇👇 🌎 Panel.virakcloud.com مشاوره تلفنی: ☎️ ۰۲۱۹۱۵۵۵۵۳۰ ➖➖➖➖➖

💢حتی قوی‌ترین رمزگذاری هم وقتی کلیدش دست همه باشه، شبیه در بازه!🧐 📚 قابلیت Group Policy Preferences (GPP) توی ویندوز به مدیران سیستم اجازه می‌دهد که تنظیمات خاصی رو برای همه کامپیوترهای شبکه تعیین کنن. یکی از این تنظیمات می‌تونه اضافه کردن کاربران محلی باشه وقتی مدیران سیستم از این قابلیت برای تنظیم رمزهای عبور استفاده می‌کردند، این رمزها در فایل‌های XML ذخیره می‌شدند که توی یه پوشه‌ای به نام SYSVOL روی سرور اصلی شبکه (کنترلر دامنه) ذخیره می‌شن و هر کسی که به شبکه وصله می‌تونه به این پوشه دسترسی داشته باشه 🚩 اگرچه این رمزها رمزگذاری می‌شدند، اما مشکل اینجا بود که کلید رمزگشایی این رمزها (کلید AES) به صورت عمومی منتشر شده بود! ‼️ زمانی که GPP معرفی شد، مایکروسافت به اشتباه کلید AES مورد استفاده برای رمزگذاری رمزهای عبور را به صورت عمومی در یکی از مستندات فنی خود منتشر کرد! 👁‍🗨 این مستندات به منظور توضیح نحوه عملکرد GPP و تنظیمات مربوط به آن بود، اما شامل کلید رمزگشایی AES نیز می‌شد! بنابراین، هر کسی که به فایل‌های XML دسترسی پیدا می‌کرد، می‌توانست به راحتی رمزها را رمزگشایی کند! 👽 پس از انتشار این کلید، ابزارها و اسکریپت‌های مختلفی توسط جامعه امنیتی توسعه یافتند تا فرآیند استخراج و رمزگشایی رمزهای عبور GPP را ساده‌تر کنند برخی از این ابزارها شامل موارد زیر می‌شوند: 💀 Metasploit: این چارچوب قدرتمند برای تست نفوذ دارای ماژولی برای جمع‌آوری و رمزگشایی رمزهای عبور GPP است 💀 Get-GPPPassword: یک اسکریپت PowerShell که برای استخراج و رمزگشایی رمزهای عبور GPP استفاده می‌شود 💀 gpprefdecrypt. py: یک اسکریپت پایتون برای رمزگشایی رمزهای عبور GPP 🚑 پچ امنیتی MS14-025: مایکروسافت در سال 2014 با انتشار پچ MS14-025 این مشکل را برطرف کرد. این پچ باعث شد تا امکان تنظیم رمزهای عبور از طریق GPP متوقف شود ⚠️ با این حال، سازمان‌هایی که این پچ را اعمال نکرده‌اند یا هنوز از GPP استفاده می‌کنند، در معرض خطر هستند #Detection ✅ دستور مهاجمان برای پیدا کردن فایل‌های XML توی پوشه SYSVOL:

dir /s *.xml

✅ ایجاد حساب تله: یه حساب کاربری تله درست کن و اطلاعاتش رو توی یه فایل XML توی پوشه SYSVOL بذار ✅ مانیتور کردن: استفاده از این حساب کاربری رو زیر نظر داشته باش تا اگه کسی خواست ازش استفاده کنه، بفهمی @iDeFense 🌐 https://attack.mitre.org/techniques/T1552/006/ 🔬 https://adsecurity.org/?p=2288 #T1552.006 #SOC #RedTeam #BlueTeam

🔖 گزارشی درباره حمله هدفمند سایبری که در آن از فریم‌ورک Mythic با نام اجرایی Athena استفاده شده است: 🦠 ورودی حمله: مهاجمان از طریق ایمیل‌های فیشینگ با پیوست‌های فشرده WinRAR برای دستیابی اولیه به سیستم‌ها استفاده کردند. 🧨 محتوای پیوست: فایل‌های داخل این Winrar شامل یک فایل PDF و یک فایل با همان نام ولی با پسوند .cmd (در واقع دو فایل با اسم یکسان ولی یکی با، یک فاصله بعد از pdf) بود که از آسیب‌پذیری CVE-2023-38831 در WinRAR تا نسخه 6.22 بهره‌برداری می‌کرد. 🔗 فایل .cmd، که در واقع یک فایل اجرایی بود، محتوایی داشت که PowerShell را از طریق Base64 دانلود و اجرا می‌کرد. این PowerShell ابتدا یک PDF تقلبی را دانلود کرده و نمایش می‌داد تا توجه را از فعالیت‌های مخرب اصلی‌شان منحرف کند. 🕷 سپس یک فایل اجرایی به نام aimp2.exe که به عنوان “Athena” یکی از عوامل Mythic C2 Framework شناخته شده است را در مسیر \AppData\Local\MicrosoftWindows\Ringtone\ ایجاد و یک وظیفه برنامه‌ریزی شده ( Task Scheduler ) را برای اجرای آن در هر 10 دقیقه تعبیه کردند. 👁‍🗨 فریم‌ورک Mythic با نام اجرایی Athena در حالت self-contained ساخته شده بود به این معنی که به همراه کد اصلی خود یک محیط اجرایی .NET را هم در خود جای داده بود، و حجم این فایل را به حدود 34 مگابایت رسانده بود. 🕸 در نهایت، برای مخفی‌کاری بیشتر در ارتباطات شبکه‌ای، از یک ابزار C3 (Custom Command and Control) استفاده کردند که از ارتباطات مخصوص به Discord برای ارسال دستورات به Agent استفاده می‌کند. 📚 به طور کلی، C3 به عنوان یک ابزار پیشرفته C2، امکانات گسترده‌ای برای مدیریت حملات سایبری فراهم می‌کند و این شامل استفاده از Discord، Slack و Telegram به عنوان روش‌های ارتباطی است که به تیم‌های امنیتی اجازه می‌دهد تا برنامه‌ریزی، اجرا و مخفی‌کاری در فعالیت‌هایشان را بهبود بخشند. #Doc #Mythic_Agents https://github.com/MythicAgents/ #C3 https://github.com/WithSecureLabs/C3 #Winrar https://www.mcafee.com/blogs/other-blogs/mcafee-labs/exploring-winrar-vulnerability-cve-2023-38831 @iDeFense https://cyble.com/blog/threat-actor-deploys-mythics-athena-agent-to-target-russian-semiconductor-suppliers/

🔺 ابزار Mythic یک پلتفرم چند نفره، فرماندهی و کنترل برای تیم‌های امنیتی است که در آن با استفاده از GoLang و Docker، می‌توانید عوامل نفوذ (مثل تروجان‌ها و ابزارهای جاسوسی) را به راحتی ایجاد و مدیریت کنید. 🦠 با استفاده از GoLang، می‌توانید یک برنامه کوچک و کارآمد بنویسید که حجم کمی دارد و به راحتی اجرا می‌شود. سپس با Docker، این برنامه را در یک محیط ایزوله قرار می‌دهید و به صورت بسته‌بندی شده در اختیار تیم خود قرار می‌دهید. 🌀 در اینجا Docker به شما این امکان را می‌دهد که این برنامه را روی هر سیستمی اجرا کنید بدون نگرانی از تداخل با دیگر برنامه‌ها و این یعنی شما و تیم‌تان می‌توانید به راحتی برنامه‌ها و ابزارهای خود را بدون نیاز به تنظیمات پیچیده به اشتراک بگذارید و اجرا کنید. ♦️ در نهایت، همه اعضای تیم می‌توانند از طریق رابط وب Mythic به این ابزار دسترسی داشته باشند و با هم هماهنگ شوند، مثل این که دارید در یک اتاق فرماندهی واقعی کار می‌کنید. 👁‍🗨 github.com/its-a-feature/Mythic 🔻 www.youtube.com/playlist?list=PLHVFedjbv6sNLB1QqnGJxRBMukPRGYa-H 📚 https://docs.mythic-c2.net #C2 #RedTeam #Tools @iDeFense

♨️ یک اسکریپت bash برای nmap برای اسکن ماشین‌های آسیب‌پذیر CVE-2024-6387 با توجه به ورژن آسیب پذیر OpenSSH

nmap -sV -Pn -p22 -iL servers.txt | awk '/Nmap scan report/{ip=$5} /OpenSSH/ {
    if ($5 >= "8.5p1" && $5 < "9.8p1") {
        status = "Vulnerable to CVE-2024-6387"
    } else if ($5 >= "4.4p1" && $5 < "8.5p1") {
        status = "Not vulnerable to CVE-2024-6387 (patched for CVE-2006-5051)"
    } else if ($5 < "4.4p1") {
        status = "Vulnerable to regreSSHion (unless patched for CVE-2006-5051 and CVE-2008-4109)"
    }
    if (status) {
        print "Server: "ip"\t", "OpenSSH Version: "$5"\t", "Status: "status
        status = ""
    }
}'

#POC #CVE_2024_6387 #iDeFense

♨️ یک اسکریپت bash برای nmap برای اسکن ماشین‌های آسیب‌پذیر CVE-2024-6387 با توجه به ورژن آسیب پذیر OpenSSH nmap -sV -Pn -p22 -iL servers.txt | awk '/Nmap scan report/{ip=$5} /OpenSSH/ { if ($5 >= "8.5p1" && $5 < "9.8p1") { status = "Vulnerable to CVE-2024-6387" } else if ($5 >= "4.4p1" && $5 < "8.5p1") { status = "Not vulnerable to CVE-2024-6387 (patched for CVE-2006-5051)" } else if ($5 < "4.4p1") { status = "Vulnerable to regreSSHion (unless patched for CVE-2006-5051 and CVE-2008-4109)" } if (status) { print "Server: "ip"\t", "OpenSSH Version: "$5"\t", "Status: "status status = "" } }' #POC #CVE_2024_6387 #iDeFense

🔺 بازگشت یک آسیب‌پذیری مهم در OpenSSH: RegreSSHion🔺

🔒 کشف یک تهدید بزرگ توسط Qualys: CVE-2024-6387

⭕️ واحد تحقیقاتی تهدیدهای Qualys یک نقص امنیتی شدید و خطرناک که نیازمند توجه فوری و اعمال پچ‌های امنیتی برای جلوگیری از بهره‌برداری مهاجمان است در سرور OpenSSH (sshd) در سیستم‌های لینوکس مبتنی بر glibc را کشف کرده است. ⭕️ این آسیب‌پذیری که با نام "RegreSSHion" شناخته می‌شود و شناسه CVE-2024-6387 را دارد، به عنوان یک نقص رقابتی در مدیریت سیگنال‌ها در سرور OpenSSH شناسایی شده است.

⚠️ این نقص امکان اجرای کد از راه دور بدون نیاز به احراز هویت را به مهاجمان می‌دهد، به گونه‌ای که می‌توانند به صورت روت در سیستم‌های لینوکس مبتنی بر glibc کد مخرب خود را اجرا کنند

📝 سیگنال‌ها ابزارهایی در سیستم‌عامل هستند که برای اطلاع‌رسانی به فرآیندها در مورد وقایع خاص (مثل وقفه‌ها یا خطاها) استفاده می‌شوند. 📚 اگر سیگنال‌ها به طور همزمان و نادرست مدیریت شوند، ممکن است عملیات‌های مختلف به ترتیب صحیح اجرا نشوند و وقتی چندین عملیات به طور همزمان تلاش می‌کنند به یک منبع دسترسی پیدا کنند،( در حالی که اگر همزمانی به درستی مدیریت نشود) ، نقص رقابتی رخ می‌دهد و به این معناست که یک سیگنال ممکن است در حالی که عملیات دیگری در حال اجرا است، فراخوانی شود و مهاجم می‌تواند از این وضعیت بهره‌برداری کرده و کدی را به عنوان کاربر روت اجرا کند. 🛑 این آسیب‌پذیری روی نسخه‌های 8.5p1 تا 9.7p1 از OpenSSH تأثیر می‌گذارد. 🛑 نسخه‌های قبلی نیز در صورتی که برای CVE-2006-5051 و CVE-2008-4109 پچ نشده باشند، در معرض خطر قرار دارند. 🔰 برای محافظت از سیستم‌ها در برابر این آسیب‌پذیری، توصیه می‌شود: 🛠 بروزرسانی OpenSSH: آخرین پچ‌های امنیتی را نصب کنید. 🛠 محدود کردن دسترسی SSH 🛠 تقسیم‌بندی شبکه 🦠 https://github.com/zgzhang/cve-2024-6387-poc 🦠 #OpenSSH #CVE_2024_6387 #POC #Exploit @iDeFense