کاش انقدر ک کشور ما روی انرژی هسته ای هزینه و انرژی سرمایه گذاری میکنه
بیا و روی سیپیو کوانتومی سرمایه گذاری کنه
نسل جدید توازن قدرت در اینده بنظرم روی این میچرخه
بیا و روی سیپیو کوانتومی سرمایه گذاری کنه
نسل جدید توازن قدرت در اینده بنظرم روی این میچرخه
👍12😐5❤1
Forwarded from ZeroSec ( reza)
Critical vulnerability in Windows Server 2025 allows attackers with KDS root key access to generate passwords for all dMSA/gMSA accounts forest-wide. New research reveals design flaw in ManagedPasswordId structure - only 1,024 possible combinations makes brute-force trivial.
https://github.com/Semperis/GoldenDMSA
https://www.semperis.com/blog/golden-dmsa-what-is-dmsa-authentication-bypass/
@zerosec_group
https://github.com/Semperis/GoldenDMSA
https://www.semperis.com/blog/golden-dmsa-what-is-dmsa-authentication-bypass/
@zerosec_group
GitHub
GitHub - Semperis/GoldenDMSA: This tool exploits Golden DMSA attack against delegated Managed Service Accounts.
This tool exploits Golden DMSA attack against delegated Managed Service Accounts. - Semperis/GoldenDMSA
https://hackerone.com/reports/216330
بچه ها یه ریپورت کاملا ساده و مفهومی
بخونید و لذت ببرید:))
@matitanium
بچه ها یه ریپورت کاملا ساده و مفهومی
بخونید و لذت ببرید:))
@matitanium
HackerOne
Legal Robot disclosed on HackerOne: Big XSS vulnerability!
@3xp1r3_pr1nc3 was banned for this report.
🗿5👍2😐1
سلام
کسی تجربه SAST و سورس کد اسکن داره؟
سورس کد PHP اگر تجربه دارید ممنون میشم اعلام کنید
کسی تجربه SAST و سورس کد اسکن داره؟
سورس کد PHP اگر تجربه دارید ممنون میشم اعلام کنید
CyberSecurity
سلام کسی تجربه SAST و سورس کد اسکن داره؟ سورس کد PHP اگر تجربه دارید ممنون میشم اعلام کنید
من با semgrep انجام دادم خوب بود
ابزارای دیگه رو تجربه نکردم که نظر جامع بدم
ولی تا حدی کار راه انداخت
ابزارای دیگه رو تجربه نکردم که نظر جامع بدم
ولی تا حدی کار راه انداخت
👍4
دویست ساعت تجربه بهترین هکرها.pdf
441.3 KB
اینو بخونید حتما
مصاحبه با تاپ تن هانتراس و مقایسه میکنه چطور اونا باگ خفن میزنن ولی خیلیا نه
مصاحبه با تاپ تن هانتراس و مقایسه میکنه چطور اونا باگ خفن میزنن ولی خیلیا نه
❤2
Forwarded from Safe Defense 🇮🇷 (Reza Olfat)
معرفی MITRE AADAPT (چارچوب امنیتی ویژه رمزارز و Web3)
حتما نام MITRE ATT&CK رو شنیدید، یک پایگاه دانش قدرتمند برای تحلیل و مستندسازی تاکتیکها و تکنیکهای مهاجمان سایبری.
حالا MITRE با گسترش فعالیت خودش به دنیای داراییهای دیجیتال، چارچوب جدیدی به نام AADAPT ارائه کرده.
اما MITRE AADAPT چیست؟
این AADAPT مخفف Adversarial Actions in Digital Asset Payment Technologies هست و یک پایگاه دانش تخصصی برای تحلیل حملات، تکنیکها و رفتار مهاجمان در حوزه رمزارز، کیفپول دیجیتال، صرافیهای رمزارز، قراردادهای هوشمند و بهطور کلی Web3 بهشمار میره.
این چارچوب دقیقا شبیه ATT&CK ساخته شده اما کاملاً با محوریت داراییهای دیجیتال، یعنی تاکتیکها و تکنیکها در این فضا تعریف شدند.
ماتریس AADAPT شامل:
ستونهایی از تاکتیکها (مثل دسترسی اولیه، اجرا، فرار از شناسایی، انتقال دارایی و...).
ردیفهایی از تکنیکها (مثلاً حمله به کیفپول، استفاده از تراکنشهای جعلی، دراپ کردن توکنهای مخرب و...).
برخی تکنیکها که هم در دنیای IT سنتی و هم در بلاکچین کاربرد دارند، با علامت & مشخص شدهاند و از چارچوب ATT&CK به AADAPT ارجاع داده شدند.
https://aadapt.mitre.org/
@safe_defense
حتما نام MITRE ATT&CK رو شنیدید، یک پایگاه دانش قدرتمند برای تحلیل و مستندسازی تاکتیکها و تکنیکهای مهاجمان سایبری.
حالا MITRE با گسترش فعالیت خودش به دنیای داراییهای دیجیتال، چارچوب جدیدی به نام AADAPT ارائه کرده.
اما MITRE AADAPT چیست؟
این AADAPT مخفف Adversarial Actions in Digital Asset Payment Technologies هست و یک پایگاه دانش تخصصی برای تحلیل حملات، تکنیکها و رفتار مهاجمان در حوزه رمزارز، کیفپول دیجیتال، صرافیهای رمزارز، قراردادهای هوشمند و بهطور کلی Web3 بهشمار میره.
این چارچوب دقیقا شبیه ATT&CK ساخته شده اما کاملاً با محوریت داراییهای دیجیتال، یعنی تاکتیکها و تکنیکها در این فضا تعریف شدند.
ماتریس AADAPT شامل:
ستونهایی از تاکتیکها (مثل دسترسی اولیه، اجرا، فرار از شناسایی، انتقال دارایی و...).
ردیفهایی از تکنیکها (مثلاً حمله به کیفپول، استفاده از تراکنشهای جعلی، دراپ کردن توکنهای مخرب و...).
برخی تکنیکها که هم در دنیای IT سنتی و هم در بلاکچین کاربرد دارند، با علامت & مشخص شدهاند و از چارچوب ATT&CK به AADAPT ارجاع داده شدند.
https://aadapt.mitre.org/
@safe_defense
👌4
Forwarded from Network Security Channel
باج افزار BERT تهدید جدی برای دیتای شما! خیلی راحت رمزنگاری میکنه و داده ها رو ارسال میکنه! ⚠️ خیلی جاها رو آلوده کرده تا امروز ⚠️⛔️
تشخیص و کاهش اثر باجافزار BERT در محیطهای ویندوز و لینوکس/ESXi
باجافزار BERT یک تهدید سایبری پیشرفته است که از آوریل ۲۰۲۵ محیطهای ویندوز و لینوکس/ESXi را هدف قرار داده است. این باجافزار با رمزگذاری فایلها (با پسوندهایی مانند .encryptedbybert یا .hellofrombert)، استخراج دادهها و ارسال به سرورهای فرمان و کنترل (C2) با آدرسهای IP مانند 185.100.157.74 و 82.115.223.89، و غیرفعالسازی ماشینهای مجازی ESXi، از مدل double-extortion بهره میبرد. BERT با استفاده از ابزارهای قانونی مانند PowerShell و rclone، فعالیتهای خود را مخفی نگه میدارد.
🔐 راهکارهای کاهش اثر تهدید
- محدودسازی دسترسیها: غیرفعالسازی دسترسیهای غیرضروری به Remote Desktop Protocol (RDP) و پیادهسازی احراز هویت چندمرحلهای (MFA).
- ایجاد نسخههای پشتیبان امن: تهیه نسخههای پشتیبان آفلاین و آزمایش فرآیندهای بازیابی بهصورت دورهای.
- پایش لاگهای امنیتی: بررسی رویدادهای Sysmon (با شناسههای EventID 1 و 11) و لاگهای syslog برای شناسایی دستورات مشکوک مانند esxcli vm process kill.
- استفاده از رول Sigma: رول Sigma با شناسه b2c3d4e5-f6a7-8901-bcde-2345678901fe برای تشخیص فرآیندهای مخرب، فایلهای رمزگذاریشده، و اتصالات شبکه به سرورهای C2 طراحی شده است.
- آموزش کارکنان: برگزاری برنامههای آموزشی برای شناسایی ایمیلهای فیشینگ و اجتناب از باز کردن پیوستهای مشکوک.
- بهکارگیری ابزارهای امنیتی: استفاده از راهحلهای تشخیص و پاسخ نقطه پایانی (EDR) و ابزارهای تحلیل شبکه مانند Zeek برای شناسایی رفتارهای مشکوک.
🕵️ نحوه تشخیص تهدید
رول Sigma طراحیشده برای شناسایی فعالیتهای BERT در محیطهای ویندوز و لینوکس/ESXi، بر موارد زیر تمرکز دارد:
اجرای فرآیندهای مخرب مانند powershell.exe، newcryptor.exe، و payload.exe.
دستورات PowerShell مشکوک مانند DisableRealtimeMonitoring یا .downloadstring(.
فایلهای رمزگذاریشده با پسوندهایی مانند .encryptedbybert و یادداشتهای باجخواهی.
فعالیتهای مخرب در ESXi مانند اجرای دستور esxcli vm process kill.
اتصالات شبکه به آدرسهای IP سرورهای C2 (185.100.157.74، 82.115.223.89) و پورتهای 3030 و 80.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
تشخیص و کاهش اثر باجافزار BERT در محیطهای ویندوز و لینوکس/ESXi
باجافزار BERT یک تهدید سایبری پیشرفته است که از آوریل ۲۰۲۵ محیطهای ویندوز و لینوکس/ESXi را هدف قرار داده است. این باجافزار با رمزگذاری فایلها (با پسوندهایی مانند .encryptedbybert یا .hellofrombert)، استخراج دادهها و ارسال به سرورهای فرمان و کنترل (C2) با آدرسهای IP مانند 185.100.157.74 و 82.115.223.89، و غیرفعالسازی ماشینهای مجازی ESXi، از مدل double-extortion بهره میبرد. BERT با استفاده از ابزارهای قانونی مانند PowerShell و rclone، فعالیتهای خود را مخفی نگه میدارد.
🔐 راهکارهای کاهش اثر تهدید
- محدودسازی دسترسیها: غیرفعالسازی دسترسیهای غیرضروری به Remote Desktop Protocol (RDP) و پیادهسازی احراز هویت چندمرحلهای (MFA).
- ایجاد نسخههای پشتیبان امن: تهیه نسخههای پشتیبان آفلاین و آزمایش فرآیندهای بازیابی بهصورت دورهای.
- پایش لاگهای امنیتی: بررسی رویدادهای Sysmon (با شناسههای EventID 1 و 11) و لاگهای syslog برای شناسایی دستورات مشکوک مانند esxcli vm process kill.
- استفاده از رول Sigma: رول Sigma با شناسه b2c3d4e5-f6a7-8901-bcde-2345678901fe برای تشخیص فرآیندهای مخرب، فایلهای رمزگذاریشده، و اتصالات شبکه به سرورهای C2 طراحی شده است.
- آموزش کارکنان: برگزاری برنامههای آموزشی برای شناسایی ایمیلهای فیشینگ و اجتناب از باز کردن پیوستهای مشکوک.
- بهکارگیری ابزارهای امنیتی: استفاده از راهحلهای تشخیص و پاسخ نقطه پایانی (EDR) و ابزارهای تحلیل شبکه مانند Zeek برای شناسایی رفتارهای مشکوک.
🕵️ نحوه تشخیص تهدید
رول Sigma طراحیشده برای شناسایی فعالیتهای BERT در محیطهای ویندوز و لینوکس/ESXi، بر موارد زیر تمرکز دارد:
اجرای فرآیندهای مخرب مانند powershell.exe، newcryptor.exe، و payload.exe.
دستورات PowerShell مشکوک مانند DisableRealtimeMonitoring یا .downloadstring(.
فایلهای رمزگذاریشده با پسوندهایی مانند .encryptedbybert و یادداشتهای باجخواهی.
فعالیتهای مخرب در ESXi مانند اجرای دستور esxcli vm process kill.
اتصالات شبکه به آدرسهای IP سرورهای C2 (185.100.157.74، 82.115.223.89) و پورتهای 3030 و 80.
Please open Telegram to view this post
VIEW IN TELEGRAM
😐3
Forwarded from APT IRAN مرکز تحقیقاتی
سازمانی که حتی امنیت خودش را نمیتواند تامین کند، دم از صدور گواهی امنیتی میزند!
اما چه خوشبینانه است اگر فکر کنیم آن باگ واقعی، فقط یک هانیپات محدود شده بوده؛ انگار میخواهند با این ترفند، ضعف امنیتی بزرگ را به بازی بگیرند!😭
#ارسالی_شما
اما چه خوشبینانه است اگر فکر کنیم آن باگ واقعی، فقط یک هانیپات محدود شده بوده؛ انگار میخواهند با این ترفند، ضعف امنیتی بزرگ را به بازی بگیرند!
#ارسالی_شما
Please open Telegram to view this post
VIEW IN TELEGRAM
👌6
Forwarded from Dagen (security)
یه وبسایت جذاب برای دامین دیسکاوریه . کافیه اسم دامنه رو بهش بدی تا دامین های مشابه واست پیدا کنه توی نتایج ایمیل های کمپانی و دامین هایی که به اون دارایی وابسته ان رو بهت نمایش میده .
اگه میخوای یه واید ریکان بزرگ انجام بدی گزینه مناسبیه .
link : https://website.informer.com
@Dagen_security
اگه میخوای یه واید ریکان بزرگ انجام بدی گزینه مناسبیه .
link : https://website.informer.com
@Dagen_security
❤4
Forwarded from localhost
اونایی که گیر پیدا کردن ساب دامین هستن یه سر به این سایت بزنن
( البته هیچ ابزاری 100% تمام ساب دامینا رو براتون پیدا نمیکنه )
https://www.merklemap.com
( البته هیچ ابزاری 100% تمام ساب دامینا رو براتون پیدا نمیکنه )
https://www.merklemap.com
❤8👏2
https://medium.com/@GhasemiAsli/exploring-the-security-challenges-of-decentralized-applications-dapps-843e72e6cc29
اینو رایتاپ راجب باگ های وب 3 هستش و کمی شمارو با وب مدرن و آسیب پذیری هاش آشنا میکنه
اینو رایتاپ راجب باگ های وب 3 هستش و کمی شمارو با وب مدرن و آسیب پذیری هاش آشنا میکنه
Medium
Exploring the Security Challenges of Decentralized Applications (DApps)
When people think about Web3 security, the conversation almost always starts with smart contracts. That makes sense: a single bug in a…
بعد از دسترسی به سیستم عامل ویندوز و بررسی Privilege ها اگر این دو Privilege برای یوزرتون فعال بود:
شرایط مهیا هستش یا یوزرتون رو به System اسکلیشن کنید.
این پریویلیج به شما اجازه میده با توکن یوزر دیگه پروسز و ترد باز کنید!
حالا این که چطور توکن یوزر System رو بدست بیاریم یکم بحث مفصل تریه میتونین راجب اکسپلویت خانواده potato و نحوه کارش مطالعه کنید.
🔴 نکته:
IIS , SQL Server
بصورت دیفالت این Privilege هارو فعال دارن!
🖇 یه مقاله هم اضافه کردم برای مطالعه عمیق:
https://usersince99.medium.com/windows-privilege-escalation-token-impersonation-seimpersonateprivilege-364b61017070
@matitanium
شرایط مهیا هستش یا یوزرتون رو به System اسکلیشن کنید.
این پریویلیج به شما اجازه میده با توکن یوزر دیگه پروسز و ترد باز کنید!
حالا این که چطور توکن یوزر System رو بدست بیاریم یکم بحث مفصل تریه میتونین راجب اکسپلویت خانواده potato و نحوه کارش مطالعه کنید.
🔴 نکته:
IIS , SQL Server
بصورت دیفالت این Privilege هارو فعال دارن!
🖇 یه مقاله هم اضافه کردم برای مطالعه عمیق:
https://usersince99.medium.com/windows-privilege-escalation-token-impersonation-seimpersonateprivilege-364b61017070
@matitanium
❤7
🔴 اولین باجافزار هوش مصنوعی کشف شد؛ تهدیدی جدی به نام PromptLock
▪️همه این روزها درباره فرصتهای عجیبوغریب هوش مصنوعی حرف میزنن، اما حالا روی دیگهی ماجرا نمایان شده! محققان امنیتی شرکت ESET برای اولین بار از شناسایی باجافزاری به اسم PromptLock خبر دادن
▪️بدافزاری که از مدلهای زبانی برای ساخت کدهای مخرب استفاده میکنه و هر بار یک اسکریپت متفاوت تولید میشه ؛ این باجافزار میتونه فایلها رو فهرستبرداری کنه، اطلاعات رو استخراج کنه و دادهها رو رمزگذاری کنه!
▪️همه این روزها درباره فرصتهای عجیبوغریب هوش مصنوعی حرف میزنن، اما حالا روی دیگهی ماجرا نمایان شده! محققان امنیتی شرکت ESET برای اولین بار از شناسایی باجافزاری به اسم PromptLock خبر دادن
▪️بدافزاری که از مدلهای زبانی برای ساخت کدهای مخرب استفاده میکنه و هر بار یک اسکریپت متفاوت تولید میشه ؛ این باجافزار میتونه فایلها رو فهرستبرداری کنه، اطلاعات رو استخراج کنه و دادهها رو رمزگذاری کنه!
😈3
👻 روحی که جایگزین DLL شد!
🧠 Phantom DLL چیه دقیقاً
ایدهی اصلی اینه:
🔧 یه DLL قانونی رو لود میکنی،
🧼 بعدش محتواشو پاک میکنی،
🧠 بعد شلکدتو میریزی جای اون...
اما هنوز از بیرون، همهچی به نظر اوکیه. چون فایل اصلی رو با Delete on Close باز کردی
💡 چرا بهش میگن Phantom؟
چون وقتی سیستم فایل DLL رو میخونه، میبینه هست.
ولی وقتی پروسس بسته بشه، DLL از روی دیسک پاک میشه…
یعنی عملاً یه فایل بیجسم داری که فقط تو حافظه هست.
⚒️ چجوری انجامش میدن؟
1 با CreateFile یا API مشابه، فایل DLL رو با فلگ FILE_FLAG_DELETE_ON_CLOSE باز کن
2 از CreateFileMapping برای مپ کردن محتواش تو حافظه استفاده کن
3 از MapViewOfFile برای دسترسی به حافظه
4 محتوا رو با VirtualProtect قابل نوشتن کن
5 کلش رو پاک کن و Shellcode یا DLL مخرب خودتو بریز
6 از CreateRemoteThread یا LoadLibrary جعلی برای اجرا استفاده کن
🔥 چرا خفنتر از Process Hollowing؟
خیلی از آنتیویروسها فقط دنبال PEهای اجراشده یا فایلهای روی دیسکن
اینجا فایلی وجود نداره! (حداقل نه وقتی پروسس بسته شه)
لاگهایی مثل Event ID 7 (Sysmon) چیزی نشون نمیدن چون DLL از روی دیسک نیست
🧪 تشخیص چیه؟
✅ بررسی PEهای لود شده با مقایسه بین هَش فایل روی دیسک و محتوای در حافظه
✅ ابزارهایی مثل PE-sieve، Volatility و Cuckoo میتونن شناسایی کنن:
pe-sieve64.exe /pid <pid> /shellc /imp
🔍 همچنین میتونی با بررسی inconsistency بین module path و state حافظه پیداش کنی.
🎯 کجا استفاده میشه؟
APTهای جدی مثل FIN7، Lazarus و حتی بعضی rootkitها توی مراحل نهایی استفادهش میکنن برای payload injection توی DLL قانونی
🧠 جمعبندی:
> Phantom DLL Hollowing = تزریق نامرئی!
نه فایل هست، نه رد پای واقعی… فقط یه شبح توی حافظه که کار خودشو میکنه
🧠 Phantom DLL چیه دقیقاً
ایدهی اصلی اینه:
🔧 یه DLL قانونی رو لود میکنی،
🧼 بعدش محتواشو پاک میکنی،
🧠 بعد شلکدتو میریزی جای اون...
اما هنوز از بیرون، همهچی به نظر اوکیه. چون فایل اصلی رو با Delete on Close باز کردی
💡 چرا بهش میگن Phantom؟
چون وقتی سیستم فایل DLL رو میخونه، میبینه هست.
ولی وقتی پروسس بسته بشه، DLL از روی دیسک پاک میشه…
یعنی عملاً یه فایل بیجسم داری که فقط تو حافظه هست.
⚒️ چجوری انجامش میدن؟
1 با CreateFile یا API مشابه، فایل DLL رو با فلگ FILE_FLAG_DELETE_ON_CLOSE باز کن
2 از CreateFileMapping برای مپ کردن محتواش تو حافظه استفاده کن
3 از MapViewOfFile برای دسترسی به حافظه
4 محتوا رو با VirtualProtect قابل نوشتن کن
5 کلش رو پاک کن و Shellcode یا DLL مخرب خودتو بریز
6 از CreateRemoteThread یا LoadLibrary جعلی برای اجرا استفاده کن
🔥 چرا خفنتر از Process Hollowing؟
خیلی از آنتیویروسها فقط دنبال PEهای اجراشده یا فایلهای روی دیسکن
اینجا فایلی وجود نداره! (حداقل نه وقتی پروسس بسته شه)
لاگهایی مثل Event ID 7 (Sysmon) چیزی نشون نمیدن چون DLL از روی دیسک نیست
🧪 تشخیص چیه؟
✅ بررسی PEهای لود شده با مقایسه بین هَش فایل روی دیسک و محتوای در حافظه
✅ ابزارهایی مثل PE-sieve، Volatility و Cuckoo میتونن شناسایی کنن:
pe-sieve64.exe /pid <pid> /shellc /imp
🔍 همچنین میتونی با بررسی inconsistency بین module path و state حافظه پیداش کنی.
🎯 کجا استفاده میشه؟
APTهای جدی مثل FIN7، Lazarus و حتی بعضی rootkitها توی مراحل نهایی استفادهش میکنن برای payload injection توی DLL قانونی
🧠 جمعبندی:
> Phantom DLL Hollowing = تزریق نامرئی!
نه فایل هست، نه رد پای واقعی… فقط یه شبح توی حافظه که کار خودشو میکنه
🗿3
CyberSecurity
👻 روحی که جایگزین DLL شد! 🧠 Phantom DLL چیه دقیقاً ایدهی اصلی اینه: 🔧 یه DLL قانونی رو لود میکنی، 🧼 بعدش محتواشو پاک میکنی، 🧠 بعد شلکدتو میریزی جای اون... اما هنوز از بیرون، همهچی به نظر اوکیه. چون فایل اصلی رو با Delete on Close باز کردی 💡…
نهایتن این کار برای دور زدن آنتی ویروس هاست
جوری که ردپای زیادی نداشته باشیم
یک dll که بصورت قانونی روی مموری لود شدرو بر میداریم کامل خالی میکنیم🗿
بعد InMemory بدون درگیری با دیسک محتوای خودمونو جایگزینش میکنیم…
جوری که ردپای زیادی نداشته باشیم
یک dll که بصورت قانونی روی مموری لود شدرو بر میداریم کامل خالی میکنیم🗿
بعد InMemory بدون درگیری با دیسک محتوای خودمونو جایگزینش میکنیم…
🗿3