? درب پشتی تقریبا نامرئی! (پایدار، بدون فایل)
sc.exe sdset scmanager D:(A;;KA;;;WD)
By Gregorz Tworek

?‍? این دستور تنظیمات امنیتی سرویس کنترل منیجر (SCM) ویندوز را به‌گونه‌ای تغییر می‌دهد که به تمام کاربران (از جمله کاربران غیرادمین) اجازه دسترسی کامل به مدیریت سرویس‌های ویندوز را می‌دهد

⚙ نحوه عملکرد:
? sdset:
(Security Descriptor)
? این توصیفگر یک مجموعه از قوانین است که مشخص می‌کند چه کسانی به یک شیء در ویندوز (در این مورد SCM) دسترسی دارند و این دسترسی از چه نوعی است

? scmanager:
[Service Control Manager (SCM)]
? این بخش از ویندوز مسئول مدیریت سرویس‌ها است، یعنی سرویس‌هایی که به‌صورت خودکار با شروع ویندوز اجرا می‌شوند، یا سرویس‌هایی که توسط نرم‌افزارها در حین اجرای ویندوز راه‌اندازی می‌شوند.

? D:(A;;KA;;;WD)
? این بخش بیان می‌کند که همه کاربران (WD که به معنای "World" است) دسترسی کامل (KA - Key All Access) به سرویس کنترل منیجر دارند.

? با اعمال این تغییر، هر کاربری روی سیستم (حتی کاربران محدود) می‌تواند سرویس‌ها را شروع، متوقف یا تغییر دهد

? این یعنی یک مهاجم می‌تواند از این دسترسی بدون نیاز به فایل‌های اضافی برای اجرای بدافزارها، تغییر تنظیمات سیستم یا راه‌اندازی سرویس‌های مخرب بدون نیاز به دسترسی ادمین استفاده کند و یک راه نفوذ دائمی (backdoor) ایجاد کند

#Local_Privilege_Escalation
#backdoor
#persistence

@iDeFense

X (formerly Twitter)

Grzegorz Tworek (@0gtweet) on X

Need an almost invisible, post-exploitation, persistent, fileless, LPE backdoor? There are many, but this one looks really beautiful for me: type "sc.exe sdset scmanager D:(A;;KA;;;WD)" from an elevated command prompt.

? فریم‌ورک Cyber-Sploit ابزاری در حوزه تست نفوذ و هک اخلاقی است که با هدف فراهم کردن یک پلتفرم جامع و چند‌زبانه برای اجرای ماژول‌های متنوع طراحی شده است. این فریم‌ورک، مشابه Metasploit، اما با تفاوت‌ها و قابلیت‌های منحصربه‌فردی که آن را از سایر ابزارها متمایز می‌کند

? تفاوت‌ها و قابلیت‌های کلیدی Cyber-Sploit نسبت به Metasploit:
پشتیبانی از چندین زبان برنامه‌نویسی: برخلاف Metasploit که بیشتر به زبان Ruby محدود است، Cyber-Sploit عمدتاً از پایتون استفاده می‌کند و در عین حال امکان افزودن ماژول‌هایی به زبان‌های دیگر نظیر Ruby و GoLang نیز وجود دارد. این انعطاف‌پذیری به توسعه‌دهندگان اجازه می‌دهد تا از ابزارهای موجود در زبان‌های مختلف بهره ببرند و ماژول‌های جدیدی را به آسانی اضافه کنند.

? به‌روزرسانی مستمر و افزودن ماژول‌های جدید: Cyber-Sploit یک فریم‌ورک پویا و در حال توسعه است که به طور مداوم به‌روزرسانی شده و ماژول‌های جدیدی به آن اضافه می‌شود. این به‌روزرسانی‌ها نه تنها قابلیت‌های جدیدی را ارائه می‌دهند بلکه بهبودهای امنیتی و کارایی را نیز شامل می‌شوند.

? محیط توسعه مشارکتی: این فریم‌ورک با در نظر گرفتن جامعه توسعه‌دهندگان طراحی شده و از مشارکت کاربران برای افزودن ماژول‌های جدید استقبال می‌کند. هر کسی که علاقه‌مند به تست نفوذ و امنیت سایبری است، می‌تواند در توسعه این ابزار سهیم باشد و ماژول‌های خود را به آن اضافه کند.

♻️ سادگی در استفاده و توسعه: با توجه به استفاده از پایتون به عنوان زبان اصلی، توسعه ماژول‌ها برای Cyber-Sploit نسبت به سایر فریم‌ورک‌ها ساده‌تر و سریع‌تر است. همچنین، مستندات کامل و راهنماهای موجود، فرآیند یادگیری و استفاده از این فریم‌ورک را برای کاربران جدید تسهیل می‌کند.

? پشتیبانی از پروژه‌های متن‌باز: Cyber-Sploit یک پروژه کاملاً متن‌باز است که به کاربران این امکان را می‌دهد تا به صورت مستقیم به کد منبع دسترسی داشته باشند، آن را بررسی کنند و بهبود دهند. این فریم‌ورک همچنین از پروژه‌های دیگر متن‌باز بهره می‌برد و با آنها سازگاری دارد.

? https://github.com/Cyber-Dioxide/Cyber-Sploit

#github
#tools

@iDeFense

GitHub

GitHub - Cyber-Dioxide/Cyber-Sploit: A framework like a metasploit containg a variety of modules for pentesting or ethical hacking.…

A framework like a metasploit containg a variety of modules for pentesting or ethical hacking. This repo willl be updated and new modules will be added time to time. - Cyber-Dioxide/Cyber-Sploit

? امنیت تهاجمی باعث ایجاد امنیت دفاعی می شود ? در اینجا مجموعه‌ای از تکنیک‌های حمله SaaS به اشتراک گذاشته شده تا به مدافعان کمک کند تا تهدیداتی را که با آن مواجه می‌شوند درک کنند ? https://github.com/pushsecurity/saas-attacks ? این پروژه مجموعه‌ای از تکنیک‌های…

YouTube

SAMLjacking a poisoned tenant demo

Find more techniques: https://github.com/pushsecurity/saas-attacks Read our blog post: https://pushsecurity.com/blog/saas-attack-techniques/

⭕️ از سال 2020، گروه‌های هکری وابسته به چین به دستگاه‌های edge مانند فایروال‌ها، VPNها و دستگاه‌های اینترنت اشیا (IoT) در زیرساخت‌های دولتی تایوان نفوذ کردند
این هکرها با استفاده از آسیب‌پذیری‌های (0-day) در دستگاه‌هایی مانند فایروال‌های Sophos و VPNهای Array SSL، از این دستگاه‌ها برای ایجاد بات‌نت‌ها، پخش اطلاعات نادرست و سرقت داده‌های حساس استفاده می‌کنند.

? این حملات شامل تکنیک‌های پیشرفته‌ای مانند بک‌دورهای مبتنی بر port-knocking و سو استفاده از (LoLbin) هستند که به مهاجمان اجازه می‌دهد تا بدون شناسایی توسط نرم‌افزارهای امنیتی به سیستم‌ها نفوذ کنند و کنترل آنها را به دست بگیرند.

♨️ در این ارائه، نمونه‌های واقعی از دستگاه‌های edge که توسط این حملات هدف قرار گرفته‌اند و راه‌های مقابله با این تهدیدات را بررسی خواهد کرد.

? https://www.youtube.com/watch?v=PSaix1C-UMI
Slides: https://teamt5.org/en/posts/black-hat-asia-2024/

#RedTeam
#APT
#Black_Hat_Asia_2024

@iDeFense

YouTube

Chinese APT: A Master of Exploiting Edge Devices

China-nexus actors have compromised edge devices such as firewall, VPN, IoT devices, etc. against Taiwan Government since 2020 during COVID19, and have compromised those devices to build Botnet, spread disinformation, and exfiltrate sensitive data. However…

هر کسی قصد عضویت تو تیم وب رو داره ! یا کانالی برای تبادل داره پیام بده @iDeFense_Tester

♨️ ابزار DriverJack به منظور بارگذاری یک درایور آسیب‌پذیر در سیستم از تکنیک‌های کمتر شناخته شده NTFS استفاده می‌کند. هدف اصلی این ابزار، دور زدن روش‌های معمول برای ثبت و بارگذاری درایورها در سیستم است. این ابزار با ربودن سرویس‌های موجود و جعل مسیرهای درایور، میتواند موفق به پنهان‌سازی درایور مخرب شود.

☠️ مراحل کلیدی حمله

? دور زدن ثبت سرویس درایور
این روش به مهاجم اجازه می‌دهد که بدون نیاز به ثبت سرویس درایور جدید، از سرویس‌های موجود در سیستم سوءاستفاده کند و درایور آسیب‌پذیر را بارگذاری کند

? جعل مسیر درایور
در هنگام بارگذاری درایور، مسیر فایل درایور به‌گونه‌ای جعل می‌شود که به نظر برسد فایل درایور از مسیری دیگر (مثلاً یک فایل ISO نصب شده) بارگذاری شده است. این کار تشخیص درایور مخرب را توسط سیستم‌های نظارتی دشوارتر می‌کند

? سوءاستفاده از سیستم فایل شبیه‌سازی شده (Emulated Filesystem)
ابزار DriverJack همچنین از یک ضعف در سیستم فایل استفاده می‌کند که به آن امکان می‌دهد فایل‌های موجود روی فایل‌سیستم‌های شبیه‌سازی شده (مثل ISO) را به صفحاتی قابل نوشتن (RW) مجدد تبدیل کند و محتوای آن‌ها را تغییر دهد. این تکنیک به عنوان "Read-Only Bypass" شناخته می‌شود و در کتابخانه IoCdfsLib پیاده‌سازی شده است.

? در سیستم‌عامل ویندوز، فایل‌ها و دایرکتوری‌ها می‌توانند به صورت شبیه‌سازی شده (Emulated) بارگذاری شوند. این یعنی فایل‌ها می‌توانند از طریق فایل‌های ایمیج، مانند فایل‌های ISO، به سیستم معرفی شوند و به نظر برسد که بخشی از سیستم فایل عادی هستند. به عنوان مثال، وقتی یک فایل ISO را روی سیستم باز می‌کنید، محتوای آن به صورت یک درایو مجازی (مثل درایو CD) در سیستم نمایش داده می‌شود و این درایو به طور معمول فقط خواندنی (Read-Only) است، یعنی نمی‌توانید محتویات آن را تغییر دهید.
? این ابزار با استفاده از کتابخانه IoCdfsLib ، فایل‌های موجود در این درایو مجازی را از حالت فقط خواندنی به قابل نوشتن تبدیل می‌کند
سپس محتوای این فایل‌ها را تغییر می‌دهد تا درایور مخرب خود را جایگزین فایل‌های معتبر کند.

? پس از دستکاری فایل‌ها، درایور مخرب به عنوان یک فایل معتبر از درایو ISO بارگذاری می‌شود، و این فرآیند به سیستم اجازه می‌دهد تا بدون تشخیص مخرب بودن، این درایور را بارگذاری کند.
?‍? https://github.com/klezVirus/DriverJack

#tools
#RedTeam

@iDeFense

GitHub

GitHub - klezVirus/DriverJack: Hijacking valid driver services to load arbitrary (signed) drivers abusing native symbolic links…

Hijacking valid driver services to load arbitrary (signed) drivers abusing native symbolic links and NT paths - klezVirus/DriverJack

⭕️ PANIX

❌ ابزاری مخرب برای سیستم‌عامل لینوکس
? با رویکرد امنیت، تست، آموزشی
که حتی بدون دسترسی به root هم برخی فرمان‌ها رو اجرا میکنه

?‍? به روشهای مختلفی خودشو زنده نگه میداره
مثلا اگه دستگاه ریستارت شد
دوباره خودشو فراخوانی میکنه
چیزی مشابه ویروس

? https://github.com/Aegrah/PANIX

#tools

@iDeFense

GitHub

GitHub - Aegrah/PANIX: Customizable Linux Persistence Tool for Security Research and Detection Engineering.

Customizable Linux Persistence Tool for Security Research and Detection Engineering. - Aegrah/PANIX