Телеграм канал «Security Analysis»

#Article Hells Hollow: A new SSDT Hooking technique در پست قبلی درباره‌ی تکنیک‌های AltSyscall صحبت کردم. امروز در ادامه‌ی همون موضوع، قصد دارم یک تکنیک جدید با نام غیررسمی Hell's Hollow رو معرفی کنم. این تکنیک با تکیه بر قابلیت‌های AltSys و انجام تغییراتی روی ساختار حساس KTRAP_FRAME، امکان Hook کردن SSDT رو به شکلی متفاوت فراهم می‌کنه. یعنی به جای دست‌کاری کپی‌هایی از Trap Frame، این بار مستقیماً سراغ نسخه‌ی واقعی اون می‌ریم. نتیجه‌ی این کار، توانایی در کنترل و تغییر مسیر تمام System Callها در سطح بسیار پایین و حساس سیستم‌عامله. POC Link : Hell's Hollow is a Windows 11 compatible rootkit technique that is equivalent to a modern (PatchGuard and HyperGuard) resistant technique to effectively perform SSDT Hooking (System Service Dispatch Table) - bypassing all previous defence mechanisms put in the kernel. 🦅 کانال بایت امن | گروه بایت امن _

⭕️ تلویزیون های اسنوا دچار اختلال و قطعی کامل شده اند و هنوز مشخص نیست بخاطر آپدیت نبودن دیوایس هست یا فریمور مشکل پیدا کرده یا هک شده اند. فعلا بصورت انلاین هیچکونه تعمیر/تغییر نرم افزاری برای این تلویزیون ها وجود ندارد. باید منتظر اطلاعیه ی شرکت اسنوا باشیم. #IOT @securation

⭕️ حمله NTLM Relay بر بستر SMB (پورت 445) سال‌هاست که در عملیات‌های Red Team جایگاه دارد، اما همواره با یک محدودیت جدی همراه بوده گیر افتادن در چارچوب پروتکل SMB و عدم امکان استفاده از ابزارهای قدرتمندتر مانند WMI، WinRM یا حتی RDP. از سوی دیگر، هر تلاش برای dump گرفتن از هش‌ها یا اجرای shell، با ریسک بالا و احتمال شناسایی توسط EDR همراه است. تیم SpecterOps در مقاله‌ای با عنوان «Escaping the Confines of Port 445» نگاهی نو به این چالش دارد به‌جای تلاش برای باز کردن پورت‌های بیشتر، از همان SMB بیشترین بهره را ببریم. استفاده از پراکسی ntlmrelayx --socks برای ایجاد یک tunnel امن و دائمی بر بستر SMB. به‌جای ابزارهای نویزی، از ابزارهای native ویندوز مثل sc.exe برای کنترل سرویس‌ها استفاده می‌شود بدون ایجاد آلارم در EDR. سپس سرویس WebClient روی سیستم هدف فعال می‌شود. فعال شدن WebClient منجر به ارسال درخواست WebDAV به سرور ما می‌شود؛ که حالا می‌توان آن را به LDAP یا LDAPS روی Domain Controller رله کرد. از این نقطه به بعد، مسیر برای حملاتی مانند Shadow Credentials یا RBCD باز است حتی بدون نیاز به پورت‌های اضافی یا استخراج هش. #RedTeam #AD #NTLMRELAY @securation

⭕️ یعنی آدم انقدر نوب باشه فکر کنه هک شدن نوبیتکس بخاطر این یوزر پسورد هایی باشه که استیلر ها قبلا به فروش گذاشتن؟ شما شرکت یا سازمانتون white list برای متصل شدن نداره ؟ شما سازمانتون 2fa نداره که حتی با داشتن یوزر پسورد احراز هویت لاگین موفق بزنه؟ شما سازمانتون VPN نداره برای وصل شدن و لاگین شدن به یک سامانه ؟ برخی عزیزان رو لینکدین و تلگرام میبینیم تحلیل‌های حاکر بازی که برای خریدن توجه دارند ادعا می‌کنند یوزر پسورد چندکاربر قدیمی باعث نفوذ شده ، که البته بجز اینکه این یوزرها هیچ نقش در اتفاقات اخیر نداشته اند، بلکه نشون داد شما حتی دانش پایه امنیت شبکه و دانش بلاکچین و دانش امنیت وب و هیچ گونه علمی درمورد Zero trust هایی که اعمال میشه ندارید. خرید جلب توجه با شایعه پراکنی های غیرفنی و غیرعلمی فقط نشون میده نوب بودن و سطحی بودن شما با پر کردن پروفایل های لینکدین از واژه های هکر و محقق در همین حد هست. یه سایت هستی با user : password منقرض شده ی کاربر لاگین کنید هم مدیریت کل سرورها و کیف پول ها حتی بصورت فیزیکال دستته و هم میتونید با یک دکمه چند میلیون دلار پول رو انتقال بدید 🙏 @securation

🔍 قابل توجه علاقه‌مندان به امنیت سیستم‌عامل و توسعه اکسپلویت در لینوکس من همیشه به تدریس علاقه‌مند بوده‌ام؛ نه صرفاً آموزش تئوری، بلکه انتقال واقعی تجربه‌ها و درک عمیق مفاهیم فنی. از سال‌ها پیش، تمرکزم روی internal سیستم‌عامل‌ها—به‌ویژه ویندوز و لینوکس—و مباحث امنیتی بوده و سعی کرده‌ام این مطالب تخصصی را به زبانی ساده، کاربردی و قابل‌فهم برای دیگران ارائه دهم. 🎓 حالا نوبت یک قدم جدید و متفاوت رسیده: «دوره‌ی Exploit Development در لینوکس» از تحلیل آسیب‌پذیری‌ واقعی گرفته تا نوشتن اکسپلویت‌های عملی و کاربردی. اما تصمیم گرفتم یک شرط خاص برای انتشار این دوره بگذارم: 🎯 اگر اعضای کانالم به ۵۰۰۰ نفر برسند، دوره را به صورت کامل و رایگان منتشر می‌کنم. بیش از ۲۰ ساعت ویدئو و تمرین عملی بدون تبلیغات، بدون پرداخت هزینه—صرفاً برای این‌که دانش تخصصی، راحت‌تر و بی‌واسطه به دست کسانی برسه که واقعاً به یادگیری اهمیت می‌دن. 🧠 اگر شما هم به این مسیر علاقه‌مندید یا فکر می‌کنید افراد دیگری در اطرافتان هستند که این محتوا به دردشان می‌خورد، خوشحال می‌شم با معرفی کانالم به دوستان‌تان از این پروژه حمایت کنید. 📎 لینک کانال: https://t.me/OxAA55 ✍️راستی سرفصل دوره رو هم می‌تونید در لینک زیر مشاهده کنید: https://t.me/OxAA55/140

⭕️ اخیرا مقاله ای از TrustedSec نوشته شده که روشی هوشمندانه به جهت ایجاد Covert Channel بین Guest و Host از طریق QEMU Virtualization بدون نیاز به NIC یا ارتباط TCP/IP ارایه شده است. مهاجم با سوءاستفاده از VirtIO queues، Shared memory یا I/O emulation hooks داده‌هایی رو منتقل می‌کند که در سطح Network stack قابل تشخیص نیستند. این تکنیک می‌تواند از QEMU‌ های Patch‌ شده یا حتی از قابلیت‌های Native مثل Virtio-serial برای ارسال داده بین Host و Guest استفاده کند. به طوری که QEMU به‌عنوان یک Hypervisor اجازه‌ی انتقال داده بین Host و Guest رو از طریق Shared memory, Virtio devices یا Custom I/O Handlers می‌دهد. این مسیرها می‌توانند بدون اینکه بسته‌ای در شبکه واقعی رد و بدل بشود، اطلاعات حمل کنند. و از Chardev, -Device virtserialport برای ساخت یک Pipe-like interface بین Host و Guest استفاده می‌شود. که امکان ایجاد Shell خود از طریق این interface روی Guest قرار دهد و روی Host listener بنویسد که داده‌ها رو پردازش کند. و البته QEMU دارای دستورات داخلی مانند QEMU-ga، Guest-set-time, Guest-exec هست که برای مدیریت VM طراحی شدن، ولی می‌تواند به‌عنوان ابزار انتقال داده پنهان استفاده شود. #RedTeam #C2 #Exfiltration @securation

⭕️ امنیت⁩ CI/CD رو امشب در خدمتتون هستیم: ‏🕘 ساعت ۹ ‏💡روشهای نفوذ از طریق CI/CD ‏💡دسترسی به سرورهای تست و پروداکشن ‏💡دسترسی به SECRETها ‏💡اصول امن سازی و توسعه امن نرم افزار meet.google.com/rdr-cutu-qwd #CICD #Security @securation