#Article #Kernel
Finding Bugs in Windows Drivers
Part 1 – WDM
پیدا کردن آسیبپذیریها در درایورهای ویندوز همیشه هدفی بسیار مطلوب برای بازیگران تهدید، نویسندگان Cheat در بازی ها و تیمهای قرمز بوده است. در این سری از مقالات نویسنده به آسیب پذیری های درایور های WDM خواهد پرداخت.
مدل درایور ویندوز (WDM) قدیمیترین و همچنان پرکاربردترین چارچوب برای توسعه درایورها است و با سادهسازی فرآیند توسعه و رفع برخی از مشکلات فنی متعدد WDM، توسعه درایورها را آسانتر میکند.
🦅 کانال بایت امن | گروه بایت امن
_
Finding Bugs in Windows Drivers
Part 1 – WDM
پیدا کردن آسیبپذیریها در درایورهای ویندوز همیشه هدفی بسیار مطلوب برای بازیگران تهدید، نویسندگان Cheat در بازی ها و تیمهای قرمز بوده است. در این سری از مقالات نویسنده به آسیب پذیری های درایور های WDM خواهد پرداخت.
مدل درایور ویندوز (WDM) قدیمیترین و همچنان پرکاربردترین چارچوب برای توسعه درایورها است و با سادهسازی فرآیند توسعه و رفع برخی از مشکلات فنی متعدد WDM، توسعه درایورها را آسانتر میکند.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤5👍5
#Article
DLL Sideloading
DLL Sideloading is a technique that enables the attacker to execute custom malicious code from within legitimate – maybe even signed – windows binaries/processes.
تکنیک DLL Sideloading به مهاجمان این امکان را میدهد که کد مخرب خود را از داخل برنامههای قانونی ویندوز (حتی برنامههای امضا شده) اجرا کنند. به جای اینکه کد مخرب را بهطور مستقیم اجرا کنند، آن را در کنار کد قانونی بارگذاری میکنند، که این موضوع میتواند به راحتی به مهاجم اجازه دهد کنترل سیستم را بهدست بگیرد.
در این مقاله با مباحث زیر آشنا خواهید شد.
1. What is a DLL
2. What is DLL Hijacking
3. Explaining DLL search order
4. Showcasing DLL Hijacking
5. DLL Sideloading
6. What is DLL Proxying?
7. Conducting DLL Proxying
8. Weaponizing DLL Proxying
🦅 کانال بایت امن | گروه بایت امن
_
DLL Sideloading
DLL Sideloading is a technique that enables the attacker to execute custom malicious code from within legitimate – maybe even signed – windows binaries/processes.
تکنیک DLL Sideloading به مهاجمان این امکان را میدهد که کد مخرب خود را از داخل برنامههای قانونی ویندوز (حتی برنامههای امضا شده) اجرا کنند. به جای اینکه کد مخرب را بهطور مستقیم اجرا کنند، آن را در کنار کد قانونی بارگذاری میکنند، که این موضوع میتواند به راحتی به مهاجم اجازه دهد کنترل سیستم را بهدست بگیرد.
در این مقاله با مباحث زیر آشنا خواهید شد.
1. What is a DLL
2. What is DLL Hijacking
3. Explaining DLL search order
4. Showcasing DLL Hijacking
5. DLL Sideloading
6. What is DLL Proxying?
7. Conducting DLL Proxying
8. Weaponizing DLL Proxying
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤17🔥2👍1
#Magazine
Paged Out! is a free magazine about programming, hacking, security hacking, retro computers, modern computers, electronics, demoscene, and other amazing topics.
تا به امروز 4 شماره از این نشریه الکترونیکی منتشره شده که در هر شماره به موضوعات مرتبط با برنامه نویسی، مهندسی معکوس، ویندوز اینترنالز ، امنیت، سخت افزار و ... پرداخته شده است.
📃 Paged Out! #4 (web PDF) (14MB)
📃 Paged Out! #3 (web PDF) (23MB)
📃 Paged Out! #2 (web PDF) (8MB)
📃 Paged Out! #1 (web PDF) (12MB)
🦅 کانال بایت امن | گروه بایت امن
_
Paged Out! is a free magazine about programming, hacking, security hacking, retro computers, modern computers, electronics, demoscene, and other amazing topics.
تا به امروز 4 شماره از این نشریه الکترونیکی منتشره شده که در هر شماره به موضوعات مرتبط با برنامه نویسی، مهندسی معکوس، ویندوز اینترنالز ، امنیت، سخت افزار و ... پرداخته شده است.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🔥5❤3
#Article #Exploiting
64 Assembly & Shellcoding Series
1. x64 Essentials: Registers
2. NULL bytes
3. Removing Null bytes
4. Basic encoding
این مجموعه به صورت گامبهگام شما را در یادگیری توسعه شلکد با زبان برنامهنویسی اسمبلی x64 همراهی میکند و منابع و دانش لازم را برای تسلط بر این مهارت فراهم میآورد.
🦅 کانال بایت امن | گروه بایت امن
_
64 Assembly & Shellcoding Series
1. x64 Essentials: Registers
2. NULL bytes
3. Removing Null bytes
4. Basic encoding
این مجموعه به صورت گامبهگام شما را در یادگیری توسعه شلکد با زبان برنامهنویسی اسمبلی x64 همراهی میکند و منابع و دانش لازم را برای تسلط بر این مهارت فراهم میآورد.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤20👍3🔥2
#Article
Under The Hood Of Executables
An in-depth exploration of how C programs transform from source code to executable binaries.
یک بررسی عمیق از فرآیند تبدیل کد منبع زبان C به فایلهای اجرایی. این مخزن شامل یک راهنمای جامع برای درک مراحل لینک کردن، بارگذاری و فرمتهای اجرایی است. لازم به ذکر هست که مثال ها در محیط سیستم عامل لینوکس هستند.
در این مجموعه، فرآیند تبدیل سورسکد به باینری را بررسی کرده و با ساختار ELF، نکات پایه و پیشرفته در مورد لینکر و داینامیک لینک آشنا خواهید شد.
🦅 کانال بایت امن | گروه بایت امن
_
Under The Hood Of Executables
An in-depth exploration of how C programs transform from source code to executable binaries.
یک بررسی عمیق از فرآیند تبدیل کد منبع زبان C به فایلهای اجرایی. این مخزن شامل یک راهنمای جامع برای درک مراحل لینک کردن، بارگذاری و فرمتهای اجرایی است. لازم به ذکر هست که مثال ها در محیط سیستم عامل لینوکس هستند.
در این مجموعه، فرآیند تبدیل سورسکد به باینری را بررسی کرده و با ساختار ELF، نکات پایه و پیشرفته در مورد لینکر و داینامیک لینک آشنا خواهید شد.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21👍2
#Tools
HE - Hardware Read & Write utility is a powerful utility for hardware engineers, BIOS engineers, driver developers, QA engineers, performance test engineers, diagnostic engineers… etc.
با استفاده از این ابزار به طیف گسترده ایی از سخت افزار دسترسی خواهید داشت. HE یک ابزار قدرتمند برای مهندسین سختافزار، مهندسین BIOS، توسعهدهندگان درایور، مهندسین کنترل کیفیت (QA)، مهندسین تست عملکرد و مهندسین عیبیابی است.
دسترسی به سخت افزارهایی همچون :
PCI (PCI Express), PCI Index/Data, Memory, Memory Index/Data, I/O Space, I/O Index/Data, Super I/O, DIMM SPD, CPU MSR Registers, S.M.A.R.T monitor, HDD physical sector , ATA Identify Data, ACPI Tables Dump, ACPI AML Code Disassemble, Embedded Controller, USB Information, SMBIOS Structures, PCI Option ROMs and MP Configuration Table.
🦅 کانال بایت امن | گروه بایت امن
_
HE - Hardware Read & Write utility is a powerful utility for hardware engineers, BIOS engineers, driver developers, QA engineers, performance test engineers, diagnostic engineers… etc.
با استفاده از این ابزار به طیف گسترده ایی از سخت افزار دسترسی خواهید داشت. HE یک ابزار قدرتمند برای مهندسین سختافزار، مهندسین BIOS، توسعهدهندگان درایور، مهندسین کنترل کیفیت (QA)، مهندسین تست عملکرد و مهندسین عیبیابی است.
دسترسی به سخت افزارهایی همچون :
PCI (PCI Express), PCI Index/Data, Memory, Memory Index/Data, I/O Space, I/O Index/Data, Super I/O, DIMM SPD, CPU MSR Registers, S.M.A.R.T monitor, HDD physical sector , ATA Identify Data, ACPI Tables Dump, ACPI AML Code Disassemble, Embedded Controller, USB Information, SMBIOS Structures, PCI Option ROMs and MP Configuration Table.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17❤3👍1
#Article #FlareOn11
Flare-On 11 Write-Up By SuperFashi
رایت آپ چالش های مهندسی معکوس مسابقه Flare-On 11 توسط رتبه پنجم این مسابقات (SuperFashi)
بروزرسانی :
💠 سایر رایت آپ ها در این پست قرار خواهند گرفت.
1. https://0xdf.gitlab.io/flare-on-2024
2. https://eversinc33.com/posts/flareon11.html
3. https://cloud.google.com/blog/topics/threat-intelligence/flareon-11-challenge-solutions?linkId=11636252 by Mandiant
4. https://nullablevoidptr.github.io/flareon-11/
🔗 دانلود چالش ها و رایت آپ رسمی Mandiant
🦅 کانال بایت امن | گروه بایت امن
_
Flare-On 11 Write-Up By SuperFashi
رایت آپ چالش های مهندسی معکوس مسابقه Flare-On 11 توسط رتبه پنجم این مسابقات (SuperFashi)
بروزرسانی :
1. https://0xdf.gitlab.io/flare-on-2024
2. https://eversinc33.com/posts/flareon11.html
3. https://cloud.google.com/blog/topics/threat-intelligence/flareon-11-challenge-solutions?linkId=11636252 by Mandiant
4. https://nullablevoidptr.github.io/flareon-11/
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16❤1🤩1
#Tools
Windows inside a Docker container
Docker Compose:
🦅 کانال بایت امن | گروه بایت امن
_
Windows inside a Docker container
Docker Compose:
services:
windows:
image: dockurr/windows
container_name: windows
environment:
VERSION: "win11"
devices:
- /dev/kvm
cap_add:
- NET_ADMIN
ports:
- 8006:8006
- 3389:3389/tcp
- 3389:3389/udp
stop_grace_period: 2m
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16❤3👍3
#Article #ReverseEngineering
Minesweeper Reverse #1
در این مقاله نویسنده با استفاده از فرآیند مهندسی معکوس و برنامه Cheat Engine مرحله به مرحله مهندسی معکوس رو انجام میده. در سری اول مقاله هدف بررسی چیت در زمان برنامه است و بعد موقعیت بمب ها در خانه ها.
لینک دانلود بازی Minesweeper
🦅 کانال بایت امن | گروه بایت امن
_
Minesweeper Reverse #1
در این مقاله نویسنده با استفاده از فرآیند مهندسی معکوس و برنامه Cheat Engine مرحله به مرحله مهندسی معکوس رو انجام میده. در سری اول مقاله هدف بررسی چیت در زمان برنامه است و بعد موقعیت بمب ها در خانه ها.
لینک دانلود بازی Minesweeper
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15👍2🔥2
#Article #MalwareAnalysis #ReverseEngineering
Mobile Malware Analysis Series
1. Leveraging Accessibility Features to Steal Crypto Wallet
2. MasterFred
3. Pegasus
4. Intro to iOS Malware Detection
5. Analyzing an Infected Device
6. Xenomorph
7. Blackrock
مجموعه مقالات تحلیل بدافزار های موبایل از وب سایت 8ksec
سایر آموزش ها :
1. Advanced Frida Series for mobile security Enthusiasts
2. ARM64 Reversing and Exploitation Blog Series
3. Dissecting Windows Malware Series
🦅 کانال بایت امن | گروه بایت امن
_
Mobile Malware Analysis Series
1. Leveraging Accessibility Features to Steal Crypto Wallet
2. MasterFred
3. Pegasus
4. Intro to iOS Malware Detection
5. Analyzing an Infected Device
6. Xenomorph
7. Blackrock
مجموعه مقالات تحلیل بدافزار های موبایل از وب سایت 8ksec
سایر آموزش ها :
1. Advanced Frida Series for mobile security Enthusiasts
2. ARM64 Reversing and Exploitation Blog Series
3. Dissecting Windows Malware Series
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16❤1👍1
EP01 Nick Harbour - Early Days of Incident Response, Mandiant History…
Josh Stroschein
#Podcast
🔊 Behind the Binary By Google Cloud Security - EP01
⚜️ پادکست: پشت پرده باینری (Behind the Binary) - توسط Google Cloud Security
🖥 در اولین قسمت از پادکست "پشت پرده باینری"، جاش استروشاین (Josh Stroschein) میزبان گفتگویی با نیک هاربر (Nick Harbour) است. در این اپیزود، نیک به مسیر کاری خود از نیروی هوایی ایالات متحده تا عضویت در تیم امنیتی Mandiant میپردازد و تجربههای ارزشمند خود را در زمینه مهندسی معکوس باینری و تحلیل بدافزارها به اشتراک میگذارد.
🦅 کانال بایت امن | گروه بایت امن
_
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18❤1👍1
کانال بایت امن
#Article #Exploiting 64 Assembly & Shellcoding Series 1. x64 Essentials: Registers 2. NULL bytes 3. Removing Null bytes 4. Basic encoding این مجموعه به صورت گامبهگام شما را در یادگیری توسعه شلکد با زبان برنامهنویسی اسمبلی x64 همراهی میکند و منابع…
#Article #Exploiting
پارت پنجم این مجموعه مقالات قرار گرفت.
5. x64 Assembly & Shellcoding 101 - Part 5
This Part Include :
🦅 کانال بایت امن | گروه بایت امن
_
پارت پنجم این مجموعه مقالات قرار گرفت.
5. x64 Assembly & Shellcoding 101 - Part 5
This Part Include :
Locate Kernel32 and collect PE Export Table info
Dynamically Locate GetProcAddress
Use the handle to GetProcAddress to locate the address for LoadLibraryA
Use the handle to GetProcAddress to locate ExitProcess
Use the handle to LoadLibraryA to load user32.dll
Use the handle to user32.dll to locate the address of MessageBoxA within user32.dll using GetProcAddress
Pop the messagebox (not a literal assembly pop operation )
call ExitProcess to exit gracefully!
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤17🔥2🤩1
#Article #Exploiting
Introduction to x64 Linux Binary Exploitation Series
1. Basic Buffer Overflow
2. Return into libc
3. RoP Chains
4. Stack Canaries
5. ASLR
در این مجموعه مقالات به برخی تکنیکهای پایه ایی جهت اکسپلویت کردن باینریهای x64 لینوکس پرداخته میشود. ابتدا با غیرفعال کردن تمامی مکانیزمهای حفاظتی مانند ASLR، DEP/NX، Canary Stack و غیره شروع میشود.
🦅 کانال بایت امن | گروه بایت امن
_
Introduction to x64 Linux Binary Exploitation Series
1. Basic Buffer Overflow
2. Return into libc
3. RoP Chains
4. Stack Canaries
5. ASLR
در این مجموعه مقالات به برخی تکنیکهای پایه ایی جهت اکسپلویت کردن باینریهای x64 لینوکس پرداخته میشود. ابتدا با غیرفعال کردن تمامی مکانیزمهای حفاظتی مانند ASLR، DEP/NX، Canary Stack و غیره شروع میشود.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17❤2👍1
#References #ReverseEngineering
Reversing Bits Cheatsheets
مجموعهای جامع از برگههای تقلب (Cheatsheets) برای مهندسی معکوس، تحلیل باینری و ابزارهای برنامهنویسی اسمبلی. این مخزن بهعنوان مرجع یکپارچهای برای پژوهشگران امنیت، مهندسی معکوس و برنامهنویسان سطح پایین به شمار می آید.
🦅 کانال بایت امن | گروه بایت امن
_
Reversing Bits Cheatsheets
مجموعهای جامع از برگههای تقلب (Cheatsheets) برای مهندسی معکوس، تحلیل باینری و ابزارهای برنامهنویسی اسمبلی. این مخزن بهعنوان مرجع یکپارچهای برای پژوهشگران امنیت، مهندسی معکوس و برنامهنویسان سطح پایین به شمار می آید.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15👍3🔥1
#Article #Unpacking
Breaking Control Flow Flattening: A Deep Technical Analysis
تکنیک تسطیح جریان کنترل (Control Flow Flattening - CFF) نوعی مبهمسازی کد است که به جای پیچیده کردن عملیاتها، کل جریان اجرای برنامه (یا حداقل جریان یک تابع) را مخفی میکند.
برای دستیابی به این هدف، تمامی بلوکهای پایه کد منبع مانند بدنه توابع، حلقهها و شاخههای شرطی را جدا میکند و همه آنها را در یک حلقه بینهایت قرار میدهد که جریان برنامه را با استفاده از یک دستور switch کنترل میکند.
در این پست نویسنده با ابزاری که برای Ninja Binary مینویسد CFF را شناسایی و آن را از بین میبرد.
این پست برای علاقه مندان به مباحث آنپکینگ و تحلیل بدافزار مفید است.
🦅 کانال بایت امن | گروه بایت امن
_
Breaking Control Flow Flattening: A Deep Technical Analysis
تکنیک تسطیح جریان کنترل (Control Flow Flattening - CFF) نوعی مبهمسازی کد است که به جای پیچیده کردن عملیاتها، کل جریان اجرای برنامه (یا حداقل جریان یک تابع) را مخفی میکند.
برای دستیابی به این هدف، تمامی بلوکهای پایه کد منبع مانند بدنه توابع، حلقهها و شاخههای شرطی را جدا میکند و همه آنها را در یک حلقه بینهایت قرار میدهد که جریان برنامه را با استفاده از یک دستور switch کنترل میکند.
در این پست نویسنده با ابزاری که برای Ninja Binary مینویسد CFF را شناسایی و آن را از بین میبرد.
این پست برای علاقه مندان به مباحث آنپکینگ و تحلیل بدافزار مفید است.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19❤1👍1
#Article #Exploiting #Shellcode
From C to shellcode (simple way)
شلکد (Shellcode) در زمینه توسعه بدافزار، به قطعه کدی مستقل از کد ماشین گفته میشود که میتوان آن را به هر نقطهای تزریق کرد و اجرا نمود، بدون اینکه نیازی به نگرانی درباره وابستگیها، DLLها، چیدمان پشته یا سایر متغیرها باشد.
آیا واقعاً میتوان کدی در زبان C نوشت که به عنوان شلکد مستقل استفاده شود؟
این دقیقا موضوع مقاله هست که سعی دارد به روشی ساده پیاده سازی را انجام بده.
🦅 کانال بایت امن | گروه بایت امن
_
From C to shellcode (simple way)
شلکد (Shellcode) در زمینه توسعه بدافزار، به قطعه کدی مستقل از کد ماشین گفته میشود که میتوان آن را به هر نقطهای تزریق کرد و اجرا نمود، بدون اینکه نیازی به نگرانی درباره وابستگیها، DLLها، چیدمان پشته یا سایر متغیرها باشد.
آیا واقعاً میتوان کدی در زبان C نوشت که به عنوان شلکد مستقل استفاده شود؟
این دقیقا موضوع مقاله هست که سعی دارد به روشی ساده پیاده سازی را انجام بده.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16❤1👍1🤩1
#Article #MalwareAnalysis
Understanding RedLine Stealer: The Trojan Targeting Your Data
در این پست بهصورت مرحلهبهمرحله به آنالیز تروجان RedLine Stealer پرداخته شده است.
این تروجان پس از نصب در سیستم قربانی، شروع به جمعآوری اطلاعاتی نظیر Login Credentials، تمامی اطلاعاتی که در فرمهای مرورگر بهصورت AutoFill ذخیره شدهاند، کلیدهای کیف پولهای ارزهای دیجیتال، اطلاعات مربوط به سیستمعامل و سختافزار، و همچنین فایلها و اسناد موجود میکند.
🦅 کانال بایت امن | گروه بایت امن
_
Understanding RedLine Stealer: The Trojan Targeting Your Data
در این پست بهصورت مرحلهبهمرحله به آنالیز تروجان RedLine Stealer پرداخته شده است.
این تروجان پس از نصب در سیستم قربانی، شروع به جمعآوری اطلاعاتی نظیر Login Credentials، تمامی اطلاعاتی که در فرمهای مرورگر بهصورت AutoFill ذخیره شدهاند، کلیدهای کیف پولهای ارزهای دیجیتال، اطلاعات مربوط به سیستمعامل و سختافزار، و همچنین فایلها و اسناد موجود میکند.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤17👍2🔥2
Forwarded from OS Internals (Abolfazl Kazemi)
سرقت توکن پروسهها در ویندوز به کمک WinDbg
توکن یا به صورت کاملتر Access Token در ویندوز، یک شی است که شرایط امنیتی که یک پروسه یا نخ تحت آن میتوانند کار کنند را مشخص میکند. توکن با احراز هویت موفق یک کاربر ایجاد شده و هر پروسهای که توسط کاربر ایجاد شود، یک نسخه از آنرا خواهد داشت.
ویندوز از توکن در زمانیکه یک نخ تلاشی برای دسترسی به یک شی میکند استفاده میکند که کاربر را تشخیص داده و بررسی کند که آیا کاربر مجوز دسترسی به شی مورد نظر را دارد یا خیر. به عنوان مثال فرض کنید که با notepad قصد باز کردن یک فایل را داشته باشید. در این مثال پروسهی notepad توسط کاربر شما ایجاد شده و در نتیجه توکن آنرا خواهد داشت. شی مورد دسترسی نیز فایلی است که برای آن دسترسی خاصی تعریف شده و باید بررسی شود که آیا توکن مورد نظر مجوز دسترسی به فایل را دارد یا باید جلوی این دسترسی توسط ویندوز گرفته شود.
برخی از اطلاعاتی که توسط توکن مشخص میشوند عبارتند از: شناسه یا SID کاربر. شناسهی گروههایی که کاربر عضوی از آنهاست. شناسهی نشست جاری. لیستی از مجوزهایی که کاربر یا گروههای آن دارند.
یکی از کارهایی که با توکنها قابل انجام بوده و در سرویسها کاربرد زیادی دارد impersonation است. در این مدل، یک نخ با توکن متفاوتی از توکن اصلی خود اجرا شده و در نتیجه مجوزهای متفاوتی خواهد داشت. به عنوان مثال فرض کنید یک File Server دارید که فایلهای آن محدودیتهای دسترسی متفاوتی دارند. در این مثال، سرور با انجام impersonation درخواست هر کلاینت را با توکن همان کلاینت پاسخ داده و در نتیجه هر کاربر تنها به فایلهای خود دسترسی خواهد داشت.
یکی از کارهایی که بدافزارها از آن بهره میبرند همین بحث impersonation و دسترسی به منابع مختلف، مثل dump اطلاعات کاربران، است. در این حالت بدافزار توکن یک پروسه با دسترسی بالا را دزدیده و از آن برای مقاصد خود استفاده میکند.
در این ویدئو به کمک WinDbg مفهوم توکن و شیوهی دزدیدن و قرار دادن آن بر روی پروسهی دلخواهی شرح داده میشود که هم با موضوع توکن آشنا شده و هم به صورت عملی ببینیم که بدافزارها چطور میتوانند از impersonation سواستفاده کنند.
لینک ویدئو در یوتیوب:
https://youtu.be/NTPVeauBDe4
لینک ویدئو در آپارات:
https://www.aparat.com/v/cvyprh5
#ShortWinInternals #windows #internals #token #WinDbg #impersonation #kernel
توکن یا به صورت کاملتر Access Token در ویندوز، یک شی است که شرایط امنیتی که یک پروسه یا نخ تحت آن میتوانند کار کنند را مشخص میکند. توکن با احراز هویت موفق یک کاربر ایجاد شده و هر پروسهای که توسط کاربر ایجاد شود، یک نسخه از آنرا خواهد داشت.
ویندوز از توکن در زمانیکه یک نخ تلاشی برای دسترسی به یک شی میکند استفاده میکند که کاربر را تشخیص داده و بررسی کند که آیا کاربر مجوز دسترسی به شی مورد نظر را دارد یا خیر. به عنوان مثال فرض کنید که با notepad قصد باز کردن یک فایل را داشته باشید. در این مثال پروسهی notepad توسط کاربر شما ایجاد شده و در نتیجه توکن آنرا خواهد داشت. شی مورد دسترسی نیز فایلی است که برای آن دسترسی خاصی تعریف شده و باید بررسی شود که آیا توکن مورد نظر مجوز دسترسی به فایل را دارد یا باید جلوی این دسترسی توسط ویندوز گرفته شود.
برخی از اطلاعاتی که توسط توکن مشخص میشوند عبارتند از: شناسه یا SID کاربر. شناسهی گروههایی که کاربر عضوی از آنهاست. شناسهی نشست جاری. لیستی از مجوزهایی که کاربر یا گروههای آن دارند.
یکی از کارهایی که با توکنها قابل انجام بوده و در سرویسها کاربرد زیادی دارد impersonation است. در این مدل، یک نخ با توکن متفاوتی از توکن اصلی خود اجرا شده و در نتیجه مجوزهای متفاوتی خواهد داشت. به عنوان مثال فرض کنید یک File Server دارید که فایلهای آن محدودیتهای دسترسی متفاوتی دارند. در این مثال، سرور با انجام impersonation درخواست هر کلاینت را با توکن همان کلاینت پاسخ داده و در نتیجه هر کاربر تنها به فایلهای خود دسترسی خواهد داشت.
یکی از کارهایی که بدافزارها از آن بهره میبرند همین بحث impersonation و دسترسی به منابع مختلف، مثل dump اطلاعات کاربران، است. در این حالت بدافزار توکن یک پروسه با دسترسی بالا را دزدیده و از آن برای مقاصد خود استفاده میکند.
در این ویدئو به کمک WinDbg مفهوم توکن و شیوهی دزدیدن و قرار دادن آن بر روی پروسهی دلخواهی شرح داده میشود که هم با موضوع توکن آشنا شده و هم به صورت عملی ببینیم که بدافزارها چطور میتوانند از impersonation سواستفاده کنند.
لینک ویدئو در یوتیوب:
https://youtu.be/NTPVeauBDe4
لینک ویدئو در آپارات:
https://www.aparat.com/v/cvyprh5
#ShortWinInternals #windows #internals #token #WinDbg #impersonation #kernel
YouTube
Token Stealing using WinDbg in Local Kernel Debugging [PER]
توکن یا به صورت کاملتر Access Token در ویندوز، یک شی است که شرایط امنیتی که یک پروسه یا نخ تحت آن میتوانند کار کنند را مشخص میکند. توکن با احراز هویت موفق یک کاربر ایجاد شده و هر پروسهای که توسط کاربر ایجاد شود، یک نسخه از آنرا خواهد داشت.
ویندوز از…
ویندوز از…
❤13👍1🔥1
#Article #LOTL #ReverseEngineering
Living Off the Land: Reverse Engineering Methodology + Tips & Tricks (Cmdl32 Case Study)
در این مقاله، نویسنده با استفاده از تکنیک LOTL به بررسی یک باینری خاص به نام Cmdl32.exe پرداخته است که بهعنوان یکی از دشوارترین اهداف برای مهندسی معکوس شناخته شده (در واقع، به گفته نویسنده، سختترین موردی که تا به حال تحلیل کرده است).
کلمه LOTL مخفف Living Off The Land است و به تکنیکی اشاره دارد که در آن مهاجم به جای استفاده از ابزارها و بدافزارهای خارجی، از برنامهها و قابلیتهای از پیش نصب شده در سیستم قربانی برای انجام حملات خود استفاده میکند.
این تکنیک به دلیل استفاده از ابزارها و باینریهای قابل اعتماد سیستم، تشخیص و شناسایی حمله را برای راهکارهای امنیتی مانند آنتیویروسها و EDRها دشوارتر میکند.
اگر به این نوع حملات علاقه دارید، چندین پروژه مرتبط وجود دارد که میتوانید از طریق لینکهای زیر آنها را بررسی کنید:
➡️ GTFOBins
➡️ LOLBAS
➡️ LOLAPPS
➡️ LOLDRIVERS
➡️ LOLAD
➡️ LOLESXi
➡️ LOOBins
🦅 کانال بایت امن | گروه بایت امن
_
Living Off the Land: Reverse Engineering Methodology + Tips & Tricks (Cmdl32 Case Study)
در این مقاله، نویسنده با استفاده از تکنیک LOTL به بررسی یک باینری خاص به نام Cmdl32.exe پرداخته است که بهعنوان یکی از دشوارترین اهداف برای مهندسی معکوس شناخته شده (در واقع، به گفته نویسنده، سختترین موردی که تا به حال تحلیل کرده است).
کلمه LOTL مخفف Living Off The Land است و به تکنیکی اشاره دارد که در آن مهاجم به جای استفاده از ابزارها و بدافزارهای خارجی، از برنامهها و قابلیتهای از پیش نصب شده در سیستم قربانی برای انجام حملات خود استفاده میکند.
این تکنیک به دلیل استفاده از ابزارها و باینریهای قابل اعتماد سیستم، تشخیص و شناسایی حمله را برای راهکارهای امنیتی مانند آنتیویروسها و EDRها دشوارتر میکند.
اگر به این نوع حملات علاقه دارید، چندین پروژه مرتبط وجود دارد که میتوانید از طریق لینکهای زیر آنها را بررسی کنید:
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16🔥4👍2
#Course #ReverseEngineering
Reverse engineering focusing on x64 Windows.
دوره رایگان مهندسی معکوس با تمرکز بر باینریهای ۶۴ بیتی ویندوز به همراه ابزارها و فایلهای پروژه
1. Introduction
2. BinaryBasics
3. Assembly
4. Tools
5. BasicReversing
6. DLL
7. Windows
8. Generic Table
🦅 کانال بایت امن | گروه بایت امن
_
Reverse engineering focusing on x64 Windows.
دوره رایگان مهندسی معکوس با تمرکز بر باینریهای ۶۴ بیتی ویندوز به همراه ابزارها و فایلهای پروژه
1. Introduction
2. BinaryBasics
3. Assembly
4. Tools
5. BasicReversing
6. DLL
7. Windows
8. Generic Table
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23❤2👍1