This media is not supported in your browser
VIEW IN TELEGRAM
#Powershell HTTP/S Reverse Shell
یه ابزار بسیار خوب در بحث ساخت RAT های مختلف مبتنی بر فایل فرمت های رایج که در تصویر مشخصه.
این ابزار در خصوص شبیه سازی عملیات تیم قرمز میتونه یک گزینه خوبی باشه که در مقابل مکانیم های IDS و IPS و AV تونسته ناشناس یا Evasion باشه، برای ساخت پیلود میتونید از فرمان زیر بصورت مستقیم استفاده کنید...
@Unk9vvN
یه ابزار بسیار خوب در بحث ساخت RAT های مختلف مبتنی بر فایل فرمت های رایج که در تصویر مشخصه.
این ابزار در خصوص شبیه سازی عملیات تیم قرمز میتونه یک گزینه خوبی باشه که در مقابل مکانیم های IDS و IPS و AV تونسته ناشناس یا Evasion باشه، برای ساخت پیلود میتونید از فرمان زیر بصورت مستقیم استفاده کنید...
powershell -ep bypass "iwr -useb https://raw.githubusercontent.com/3v4Si0N/HTTP-revshell/master/Revshell-Generator.ps1 | iex"
https://github.com/3v4Si0N/HTTP-revshell@Unk9vvN
#PSGumshoe #Powershell #Forensics #Collections
یک مجموعه اسکریپت هایی با زبان پاورشل نوشته شده است که تا حد امکان از API سیستم عامل ویندوز برای کمک به امر شکار تهدید بهره گرفته شده.
از ویژگی های جالب این اسکریپت ها میشه به سر شماری کاربرها در موقعیت های مختلف اشاره داشت، یا ماژول هایی که در خصوص تسهیل استفاده از ابزار Sysmon وجود داره که از دریافت Event برای ایجاد یک پردازش گرفته تا بررسی دسترسی های خام بر روی حافظه یک پردازش.
از موارد دیگهه میشه به دریافت Event از COM های مختلف سیستم عامل مثل ScheduleTask و BitsAdmin اشاره داشت که بسیار در بحث شکار یک APT میتواند مفید واقع شود، همچنین شکار تکنیک هایی مثل Process Injection هم در ماژول ها دیده میشه و حتی نشست های سیستم عامل هم براحتی قابلیت دریافت دارد.
یکی از جالب ترین مجموعه ابزار های است که در خصوص مباحث جرم شناسی و شکار تهدید طراحی و عمومی شده است.
https://github.com/PSGumshoe/PSGumshoe
@Unk9vvN
یک مجموعه اسکریپت هایی با زبان پاورشل نوشته شده است که تا حد امکان از API سیستم عامل ویندوز برای کمک به امر شکار تهدید بهره گرفته شده.
از ویژگی های جالب این اسکریپت ها میشه به سر شماری کاربرها در موقعیت های مختلف اشاره داشت، یا ماژول هایی که در خصوص تسهیل استفاده از ابزار Sysmon وجود داره که از دریافت Event برای ایجاد یک پردازش گرفته تا بررسی دسترسی های خام بر روی حافظه یک پردازش.
از موارد دیگهه میشه به دریافت Event از COM های مختلف سیستم عامل مثل ScheduleTask و BitsAdmin اشاره داشت که بسیار در بحث شکار یک APT میتواند مفید واقع شود، همچنین شکار تکنیک هایی مثل Process Injection هم در ماژول ها دیده میشه و حتی نشست های سیستم عامل هم براحتی قابلیت دریافت دارد.
یکی از جالب ترین مجموعه ابزار های است که در خصوص مباحث جرم شناسی و شکار تهدید طراحی و عمومی شده است.
https://github.com/PSGumshoe/PSGumshoe
@Unk9vvN
#Defense_Evasion #Powershell_Crypter
در روش های سنتی سالهای دور همواره استفاده از تکنیک رمزنگاری شلکد اصلی و بازگردانی آن در حافظه به واسطه تعریف یک stub محبوب ترین روشی بود که برای دور زدن آنتی ویروس ها استفاده میشد،
اما امروزه اون تکنیک های PE Injection که بر بستر فایل فرمت PE عملیاتی میشد، نمیتونه روش خوبی برای دور زدن مکانیزم های شناسایی کننده باشه، اما این روش در مواجه با روش های Stageless امکان بکارگیری مجدد رو داره، و همین موضوع میتونه محل مؤثری برای Evasion کردن ابزارهای محبوبی مثل Mimikatz باشه،
اگر به کد پاورشلی تصویر مربوط به تعریف رمزنگاری CBC نگاه کنید میبینید که باز هم اسکریپت ورودی هکر بعد از یک دور فشرده شدن با Gzip میره برای رمز شدن به واسطه تعریف یک Cipher key بر مبنای یک IV Padding و معماری رمزنگاری CBC یا ECB
در تصویر دوم هم تعریف یک stub در اسکریپت خروجی رو مشاهده میکنید که به محض بارگذاری کد بر روی حافظه عملیات بازگردانی رمزنگاری رو انجام داده و اسکریپت مد نظر رو به اجرا در میاره،
https://github.com/the-xentropy/xencrypt
@Unk9vvN
در روش های سنتی سالهای دور همواره استفاده از تکنیک رمزنگاری شلکد اصلی و بازگردانی آن در حافظه به واسطه تعریف یک stub محبوب ترین روشی بود که برای دور زدن آنتی ویروس ها استفاده میشد،
اما امروزه اون تکنیک های PE Injection که بر بستر فایل فرمت PE عملیاتی میشد، نمیتونه روش خوبی برای دور زدن مکانیزم های شناسایی کننده باشه، اما این روش در مواجه با روش های Stageless امکان بکارگیری مجدد رو داره، و همین موضوع میتونه محل مؤثری برای Evasion کردن ابزارهای محبوبی مثل Mimikatz باشه،
اگر به کد پاورشلی تصویر مربوط به تعریف رمزنگاری CBC نگاه کنید میبینید که باز هم اسکریپت ورودی هکر بعد از یک دور فشرده شدن با Gzip میره برای رمز شدن به واسطه تعریف یک Cipher key بر مبنای یک IV Padding و معماری رمزنگاری CBC یا ECB
در تصویر دوم هم تعریف یک stub در اسکریپت خروجی رو مشاهده میکنید که به محض بارگذاری کد بر روی حافظه عملیات بازگردانی رمزنگاری رو انجام داده و اسکریپت مد نظر رو به اجرا در میاره،
https://github.com/the-xentropy/xencrypt
@Unk9vvN
#Microsoft #Exchange #Powershell #Remoting
در سال های اخیر MS Exchange آسیب پذیری های روز صفر زیادی رو داشته که با نام های Proxyshell و ProxyNotShell مشهور بوده و مصوب حملات زیادی بوده است.
آیا منطق رخداد این آسیب پذیری در فرایند های صحبت CAS با Backend Services در معماری Exchange وصله شده و امن است؟
محققین Offensivecon میگویند خیر چرا؟ چون تعامل این دو منطقه که پیشتر اشاره کردم، دارای Functionality های بسیاری بوده و نحوه محدود سازی مقادیر Serialize و کلاس های محدود شده راه کار مناسبی برای پیش گیری نبوده.
یعنی محققین میتوانند با ساخت Gadget هایی از کلاس های متعدد دیگری در ساختار Backend Services وصله لیست سیاه کلاس ها را دور بزنند.
این مشکل هم به نوع داده کلاس ها برگشت داده میشود هم به ظرفیت هایی که کلاس ها داشته است، که در راستای تحقیقاتی انجام شده بیش از 10 آسیب پذیری روز صفر دوباره کشف شده است از جمله CVE-2023-21529, CVE-2023-32031, CVE-2023-36756 بوده.
کنترل داده ها و نوع داده ها در تعاملات و معماری نرم افزار های تحت وب Large Scale یکی از حاصل خیز ترین بخش های کشف آسیب پذیری روز صفر است.
@Unk9vvN
در سال های اخیر MS Exchange آسیب پذیری های روز صفر زیادی رو داشته که با نام های Proxyshell و ProxyNotShell مشهور بوده و مصوب حملات زیادی بوده است.
آیا منطق رخداد این آسیب پذیری در فرایند های صحبت CAS با Backend Services در معماری Exchange وصله شده و امن است؟
محققین Offensivecon میگویند خیر چرا؟ چون تعامل این دو منطقه که پیشتر اشاره کردم، دارای Functionality های بسیاری بوده و نحوه محدود سازی مقادیر Serialize و کلاس های محدود شده راه کار مناسبی برای پیش گیری نبوده.
یعنی محققین میتوانند با ساخت Gadget هایی از کلاس های متعدد دیگری در ساختار Backend Services وصله لیست سیاه کلاس ها را دور بزنند.
این مشکل هم به نوع داده کلاس ها برگشت داده میشود هم به ظرفیت هایی که کلاس ها داشته است، که در راستای تحقیقاتی انجام شده بیش از 10 آسیب پذیری روز صفر دوباره کشف شده است از جمله CVE-2023-21529, CVE-2023-32031, CVE-2023-36756 بوده.
کنترل داده ها و نوع داده ها در تعاملات و معماری نرم افزار های تحت وب Large Scale یکی از حاصل خیز ترین بخش های کشف آسیب پذیری روز صفر است.
@Unk9vvN