iDeFense
🔶 اخبار امنیت سایبری 🔴 بررسی و تحلیل آسیب پذیری ها و حفره های امنیتی 🔵 بررسی راه های تشخیص و جلوگیری از نفوذ 🎥 کانال آپارات ⚜️ aparat.com/iDeFense 🎥 کانال یوتیوب ⚜️ youtube.com/@_iDeFense 💾 کانال بکاپ ⚜️ @iDeF3nse 🔱 @iDeFense_Tester
Ko'proq ko'rsatish- Kanalning o'sishi
- Post qamrovi
- ER - jalb qilish nisbati
Ma'lumot yuklanmoqda...
Ma'lumot yuklanmoqda...
📚مکانیزم VEH (Vectored Exception Handler) چیست؟
مدیریتکننده استثنا برداری یا VEH یک مکانیزم پیشرفته برای مدیریت خطاها و استثناهای برنامهها است. این مکانیزم به برنامهها اجازه میدهد که یک تابع مخصوص ثبت کنند که همه استثناها و خطاها را نظارت یا مدیریت کند.🚩 در این فرایند یک DLL خاص مورد استفاده VEH به PowerShell تزریق میشود که وظیفه مدیریت این وقفهها را دارد و هر زمانی که یک اسکریپت در PowerShell اجرا شود و به تابع AmsiScanBuffer برسد، وقفه ایجاد شده و dll مذکور لود میشود
این مورد می تواند با تزریق DLL یا از طریق DLL hijacking انجام شود⭕️ در اینجا VEH به جای اجرای کد اصلی تابع AmsiScanBuffer، مستقیماً کنترل را به دست میگیرد و نتیجه این تابع را بدون اجرا کردن واقعی آن به مقدار AMSI_RESULT_CLEAN تغییر میدهد که به معنی این است که اسکریپت بدون بدافزار تشخیص داده شده است ☠️ سپس کنترل به PowerShell برمیگردد و اسکریپت بدون هیچ مانعی اجرا میشود. 👁🗨 https://github.com/vxCrypt0r/AMSI_VEH #RedTeam #AMSI #Bypass @iDeFense
dir /s *.xml✅ ایجاد حساب تله: یه حساب کاربری تله درست کن و اطلاعاتش رو توی یه فایل XML توی پوشه SYSVOL بذار ✅ مانیتور کردن: استفاده از این حساب کاربری رو زیر نظر داشته باش تا اگه کسی خواست ازش استفاده کنه، بفهمی @iDeFense 🌐 https://attack.mitre.org/techniques/T1552/006/ 🔬 https://adsecurity.org/?p=2288 #T1552.006 #SOC #RedTeam #BlueTeam
At Black Hat and DEF CON this year, I spoke about ways attackers go from Domain User to Domain Admin in modern enterprises. Every Windows computer has a built-in Administrator account with an associated password. Changing this password is a security requirement in most organizations, though the method for doing so is not straight-forward. A ...
CRIL analyzes Mythic's Athena Agent targeting Russian Semiconductor suppliers via spear-phishing emails. Click here to know more!
nmap -sV -Pn -p22 -iL servers.txt | awk '/Nmap scan report/{ip=$5} /OpenSSH/ { if ($5 >= "8.5p1" && $5 < "9.8p1") { status = "Vulnerable to CVE-2024-6387" } else if ($5 >= "4.4p1" && $5 < "8.5p1") { status = "Not vulnerable to CVE-2024-6387 (patched for CVE-2006-5051)" } else if ($5 < "4.4p1") { status = "Vulnerable to regreSSHion (unless patched for CVE-2006-5051 and CVE-2008-4109)" } if (status) { print "Server: "ip"\t", "OpenSSH Version: "$5"\t", "Status: "status status = "" } }'#POC #CVE_2024_6387 #iDeFense
nmap -sV -Pn -p22 -iL servers.txt | awk '/Nmap scan report/{ip=$5} /OpenSSH/ {
if ($5 >= "8.5p1" && $5 < "9.8p1") {
status = "Vulnerable to CVE-2024-6387"
} else if ($5 >= "4.4p1" && $5 < "8.5p1") {
status = "Not vulnerable to CVE-2024-6387 (patched for CVE-2006-5051)"
} else if ($5 < "4.4p1") {
status = "Vulnerable to regreSSHion (unless patched for CVE-2006-5051 and CVE-2008-4109)"
}
if (status) {
print "Server: "ip"\t", "OpenSSH Version: "$5"\t", "Status: "status
status = ""
}
}'
#POC
#CVE_2024_6387
#iDeFense🔒 کشف یک تهدید بزرگ توسط Qualys: CVE-2024-6387⭕️ واحد تحقیقاتی تهدیدهای Qualys یک نقص امنیتی شدید و خطرناک که نیازمند توجه فوری و اعمال پچهای امنیتی برای جلوگیری از بهرهبرداری مهاجمان است در سرور OpenSSH (sshd) در سیستمهای لینوکس مبتنی بر glibc را کشف کرده است. ⭕️ این آسیبپذیری که با نام "RegreSSHion" شناخته میشود و شناسه CVE-2024-6387 را دارد، به عنوان یک نقص رقابتی در مدیریت سیگنالها در سرور OpenSSH شناسایی شده است.
⚠️ این نقص امکان اجرای کد از راه دور بدون نیاز به احراز هویت را به مهاجمان میدهد، به گونهای که میتوانند به صورت روت در سیستمهای لینوکس مبتنی بر glibc کد مخرب خود را اجرا کنند📝 سیگنالها ابزارهایی در سیستمعامل هستند که برای اطلاعرسانی به فرآیندها در مورد وقایع خاص (مثل وقفهها یا خطاها) استفاده میشوند. 📚 اگر سیگنالها به طور همزمان و نادرست مدیریت شوند، ممکن است عملیاتهای مختلف به ترتیب صحیح اجرا نشوند و وقتی چندین عملیات به طور همزمان تلاش میکنند به یک منبع دسترسی پیدا کنند،( در حالی که اگر همزمانی به درستی مدیریت نشود) ، نقص رقابتی رخ میدهد و به این معناست که یک سیگنال ممکن است در حالی که عملیات دیگری در حال اجرا است، فراخوانی شود و مهاجم میتواند از این وضعیت بهرهبرداری کرده و کدی را به عنوان کاربر روت اجرا کند. 🛑 این آسیبپذیری روی نسخههای 8.5p1 تا 9.7p1 از OpenSSH تأثیر میگذارد. 🛑 نسخههای قبلی نیز در صورتی که برای CVE-2006-5051 و CVE-2008-4109 پچ نشده باشند، در معرض خطر قرار دارند. 🔰 برای محافظت از سیستمها در برابر این آسیبپذیری، توصیه میشود: 🛠 بروزرسانی OpenSSH: آخرین پچهای امنیتی را نصب کنید. 🛠 محدود کردن دسترسی SSH 🛠 تقسیمبندی شبکه 🦠 https://github.com/zgzhang/cve-2024-6387-poc 🦠 #OpenSSH #CVE_2024_6387 #POC #Exploit @iDeFense
a signal handler race condition in OpenSSH's server (sshd) - zgzhang/cve-2024-6387-poc
Joriy rejangiz faqat 5 ta kanal uchun analitika imkoniyatini beradi. Ko'proq olish uchun, iltimos, boshqa reja tanlang.