#OS_Binraries ( Windows & Linux )
آیا علاقمند هستید تا Executer های سیستم عامل های لینوکس و ویندوز رو بشناسید؟
و راه حل های خلاقانه در خصوص چگونگی پیاده سازی پیلودها بر بستر نوع API یا ساختار رفتاری آنها طراحی کنید تا با استفاده از این روش بسیاری از مکانیزم های Detection رو دور زده و یک اجرای shell بصورت Evasion رو شاهد باشید,
البته ناگفته نمونه که این منبع میتونه در خصوص نوشتن برخی Post Explotation های کار آمد هم مؤثر عمل کنه...
#Windows
https://lolbas-project.github.io
#Linux
https://gtfobins.github.io
@Unk9vvN
آیا علاقمند هستید تا Executer های سیستم عامل های لینوکس و ویندوز رو بشناسید؟
و راه حل های خلاقانه در خصوص چگونگی پیاده سازی پیلودها بر بستر نوع API یا ساختار رفتاری آنها طراحی کنید تا با استفاده از این روش بسیاری از مکانیزم های Detection رو دور زده و یک اجرای shell بصورت Evasion رو شاهد باشید,
البته ناگفته نمونه که این منبع میتونه در خصوص نوشتن برخی Post Explotation های کار آمد هم مؤثر عمل کنه...
#Windows
https://lolbas-project.github.io
#Linux
https://gtfobins.github.io
@Unk9vvN
#Windows 10 Threat #Mitigation
DEP / NX
SEHOP
Mandatory ASLR
Terminate on Heap Corruption
High Entropy ASLR
Disable Win32k System Calls
Arbitrary Code Guard
Control Flow Guard
Code Integrity Guard
Only Allow Microsoft Signed Binaries
Block Remote Image Loads
Block Low Label Image Loads
Return Flow Guard
Enforce Signing Level for Dependent Modules / Loader Integrity Continuity
Only Allow Control Flow Guard Enabled Binaries / Strict CFG
ROP Stack Pivot Detection
ROP Caller Detection
ROP Gadget Detection / ROP SimExec
Export Address Filter Plus
Block Child Process Creation
Import Address Filter
Restrict Indirect Branch Prediction
Memory Disambiguation Disable
Control-flow Enforcement Technology (CET) Shadow Stacks
Module Tampering Protection
Dependent Modules Dont Inherit Tamper Protection
Allow Threads Opt Out Of Arbitrary Code Guard
Allow Non Exported Call Targets
Allow Store Signed Binaries
Restrict Set Thread Context
Win32k Filtering
@Unk9vvN
DEP / NX
SEHOP
Mandatory ASLR
Terminate on Heap Corruption
High Entropy ASLR
Disable Win32k System Calls
Arbitrary Code Guard
Control Flow Guard
Code Integrity Guard
Only Allow Microsoft Signed Binaries
Block Remote Image Loads
Block Low Label Image Loads
Return Flow Guard
Enforce Signing Level for Dependent Modules / Loader Integrity Continuity
Only Allow Control Flow Guard Enabled Binaries / Strict CFG
ROP Stack Pivot Detection
ROP Caller Detection
ROP Gadget Detection / ROP SimExec
Export Address Filter Plus
Block Child Process Creation
Import Address Filter
Restrict Indirect Branch Prediction
Memory Disambiguation Disable
Control-flow Enforcement Technology (CET) Shadow Stacks
Module Tampering Protection
Dependent Modules Dont Inherit Tamper Protection
Allow Threads Opt Out Of Arbitrary Code Guard
Allow Non Exported Call Targets
Allow Store Signed Binaries
Restrict Set Thread Context
Win32k Filtering
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#Attack on #Windows Defender #ETW #Sessions
همانطور که میدونید بسیاری از EDR ها از Event Tracing for Windows استفاده میکنند برای دریافت رویداد های سیستم عامل و با تحلیل شاخصه های رفتاری یا Indicator of Behavior ، امکان شناسایی و پاسخ به حادثه مهیا خواهد شد.
اما نکته که میتونه جالب توجه باشه اینه که این ویژگی در سطح هسته، آسیب پذیر هم میتونه باشه و اگر مهاجم بتونه اون رو از کار بندازه، عملا دیگه محصولاتی از جمله EDR نخواهند توانست به ماهیت عملکردی خودشون ادامه بدهند، در نظر داشته باشید که EDR ها در طراحی خودشون بسیار از API های ETW در سطح هسته بهره میبرند.
در کنفرانس BlackHat 2021 ارائه ای انجام شد، راجب بدافزار های که امکان خاموش کردن ETW یا پاک کردن نشست اقدام کنند و بی آنکه مکانیزم های دفاعی سطح هسته مثل KPP بتونند رهگیری ای و مقاومت از خودشون نشون بدن.
فرایند های حمله به NT Kernel Logger Session مطرح شده است بطوری که مانیتور کردن یک Process رو کاملا مختل خواهد کرد. حمله دوم متمرکز بر ETW Logger Session خواهد بود که مبتنی بر Windows Defender فعال میشه.
@Unk9vvN
همانطور که میدونید بسیاری از EDR ها از Event Tracing for Windows استفاده میکنند برای دریافت رویداد های سیستم عامل و با تحلیل شاخصه های رفتاری یا Indicator of Behavior ، امکان شناسایی و پاسخ به حادثه مهیا خواهد شد.
اما نکته که میتونه جالب توجه باشه اینه که این ویژگی در سطح هسته، آسیب پذیر هم میتونه باشه و اگر مهاجم بتونه اون رو از کار بندازه، عملا دیگه محصولاتی از جمله EDR نخواهند توانست به ماهیت عملکردی خودشون ادامه بدهند، در نظر داشته باشید که EDR ها در طراحی خودشون بسیار از API های ETW در سطح هسته بهره میبرند.
در کنفرانس BlackHat 2021 ارائه ای انجام شد، راجب بدافزار های که امکان خاموش کردن ETW یا پاک کردن نشست اقدام کنند و بی آنکه مکانیزم های دفاعی سطح هسته مثل KPP بتونند رهگیری ای و مقاومت از خودشون نشون بدن.
فرایند های حمله به NT Kernel Logger Session مطرح شده است بطوری که مانیتور کردن یک Process رو کاملا مختل خواهد کرد. حمله دوم متمرکز بر ETW Logger Session خواهد بود که مبتنی بر Windows Defender فعال میشه.
@Unk9vvN
#Windows #DHCPv6 Server #RCE
یک آسیب پذیری با شناسه CVE-2023-28231 ثبت شده است که از درجه حساسیت 9.8 برخوردار بوده، که بر روی سرویس DHCPv6 ویندوز رخ داده است.
این آسیب پذیری از نوع Heap-Based Buffer Overflow بوده و از راه دور قابلیت Trigger کردن داشته است. پروتکل DHCP برای مدیریت خودکار در خصوص تخصیص آدرس های IP در یک شبکه است.
در فرایند تخصص نوع آدرس IPv6 بر روی Port های 546 و 547، یک پردازش در خصوص پیام های Relay-Forward وجود داشته است که توسط تابع
این تابع یک بافر در Heap را با اندازه 1664 بایت، مقدار دهی اولیه میکند که آرایه 32 از ساختمان 52 بایت برای هر پیام Relay-forward تو در تو خواهد بود.
حال، هیچ اعتبارسنجی برای اطمینان از اینکه شمارنده از حداکثر تعداد مورد انتظار، 32 تجاوز نکند، انجام نمیشود. بنابراین اگر بیش از 32 پیام تو در تو در یک پیام Relay-forward گنجانده شود، تابع در یک افست مینویسد و از اندازه بافر تخصیص داده شده فراتر میرود که منجر به سرریز بافر میشود.
@Unk9vvN
یک آسیب پذیری با شناسه CVE-2023-28231 ثبت شده است که از درجه حساسیت 9.8 برخوردار بوده، که بر روی سرویس DHCPv6 ویندوز رخ داده است.
این آسیب پذیری از نوع Heap-Based Buffer Overflow بوده و از راه دور قابلیت Trigger کردن داشته است. پروتکل DHCP برای مدیریت خودکار در خصوص تخصیص آدرس های IP در یک شبکه است.
در فرایند تخصص نوع آدرس IPv6 بر روی Port های 546 و 547، یک پردازش در خصوص پیام های Relay-Forward وجود داشته است که توسط تابع
ProcessRelayForwardMessage در dhcpssvc.dll پردازش میشود.این تابع یک بافر در Heap را با اندازه 1664 بایت، مقدار دهی اولیه میکند که آرایه 32 از ساختمان 52 بایت برای هر پیام Relay-forward تو در تو خواهد بود.
حال، هیچ اعتبارسنجی برای اطمینان از اینکه شمارنده از حداکثر تعداد مورد انتظار، 32 تجاوز نکند، انجام نمیشود. بنابراین اگر بیش از 32 پیام تو در تو در یک پیام Relay-forward گنجانده شود، تابع در یک افست مینویسد و از اندازه بافر تخصیص داده شده فراتر میرود که منجر به سرریز بافر میشود.
@Unk9vvN