الـ Process injection تكنيك يستخدم من قبل الهكرز لإخفاء الـ Malware بطريقة يصعب اكتشافها
بالثريد هذا راح اشرح الـ Process injection و اشهر انواعه نظريًا ، و بثريد قادم راح نسوي Analysis و Detection لـ جهاز مصاب.
لايك على طريقك وقراءة ممتعة!
وحدة من افضل القنوات العربية بالامن السيبراني ان لم تكن الافضل ، من الاستاذ علي
@ali_alwashali
وصراحة مظلوم جدًا بالدعم و المشاهدات .. نقدر جهدك ونشكرك على المحتوى المميز اللي نادرًا نشوف عرب يقدمونه 👍
من زمان ما كتبت شيء على تويتر :) ف قررت على هذا الصباح الجميل اتكلم شوي عن الـ Kernel Exploitation و تحديدًا طريقة من طرق الـ Local Privilege Escalation على احدث وندوز 10 و بأبسط اسلوب ممكن بأذن الله
بسم الله
استكمالًا لسلسلة الـ Process injection
في هذا الثريد بنحلل المالوير الشهير الذي تسبب بتعطيل المفاعلات النووية الإيرانية
#Stuxnet
عام 2010 وبنركز بشكل اساسي خلال التحليل على سلوك المالوير بالتخفي و طرق كشفه بالميموري
لايك على طريقك وقراءة ممتعة!
في عام 2006م تم نشر ورقة بحثية في مجلة "international Journal of Digital Evidence" بعنوان "Hidden Disk Areas: HPA and DCO" وبعد قراءتي للبحث أود أن أشارككم أهميته للمهتمين #بالتحقيق_الجنائي_الرقمي #والأمن_السيبراني بيكون ثريد خفيف ومهم أيضا!
#معلومة_سيبرانية على السريع
تقدر تعرف مصدر الملف وبالندوز عن طريق قراءة الـ Zone.Identifier للـ (Alternate Data Streams)
اكتب الكود في الباورشل و استبدل [PATH] بمسار الملف المطلوب
Get-Content -path [PATH] -Stream Zone.Identifier
للمزيد من التفاصيل
لي فتره اجهز كورس عن الـ Memory Forensics من الاساسيات الى مرحلة اكتشاف الـ Injections بالميموري، بنشره باليوتيوب اول ما انتهي منه ان شاء الله
(أساسيات فقط)
Modules ⬇️⬇️
تحتاج حلقة برنامج "سين" إلى تحسينات في تقديم المعلومات حول الاختراقات بالامن السيبراني، حيث وجدت الكثير من المعلومات غير واضحة ومبهمة، ولا يمكن تجاهل حقيقة أن الاختراقات في الحلقة قد بدت مبالغ فيها وغير واقعية، وهذا يمكن أن يخلق صورة خاطئة لدى الجمهور عن مدى سهولة الاختراقات…
انتهيت من قراءة الكتاب الأول،
رأيي بناءًا على مستواي و تجربتي .. ممكن تختلف من شخص لشخص، ولكن توقعت معلومات افضل من الكتاب و ما اعتقد اني تعلمت اي شيء جديد منه
الكتاب قديم و يتكلم عن (32b) x86 و تكنيكاته ٨٠٪ منها ما تنفع في ٢٠٢٣ في ظل التطور بمجال الامن السيبراني.
ما انصح فيه
الحمدلله وصولنا للنهائيات من ضمن ١٠ فرق عالميًا و فوزنا بالتصويت بحد ذاته إنجاز .. بفضل من الله ثم دعمكم اخذنا الـ People Choice
The game just started
@0xhatim
@0xHailStorm
@saf4x
@B28___
الامن السيبراني مجال مرن جدًا وما يحتاج شهادات جامعية لتتمكن وتوصل مستوى ممتاز بالامن السيبراني، و الكثير من زملائي طلاب ثانوي و مستواهم افضل من بعض خريجين البكالوريوس، وانا بنفسي تخرجت قبل ٩ شهور من الثانوي وما احتجت اي شهادة جامعية خلال هذه الفتره….
التكملة 🔽
@BassamAssiri
اذا تحب تقرأ عندك Corelan
وعندك Razvioverflow عنده playlist عن Binary Exp
وهذي شرحها جدًا حلو عن الـ Kernel Exploitation وناادر جدًا تحصل مقاطع فيديو عن هذا الموضوع:
وعندك البلوق هذا شرح فيه بالتفصيل الممل احد ثغرات offsec OSEE
فيه Plugin في Volatility قليل جدًا اللي يعرفونها وتتيح لك تتعامل مع الـ Memory Dump عن طريق Python Shell وغالبًا تستخدم بالتحقيقات المتقدمة اللي تحتاج تفكير اكثر و وضوح اكبر.
اسم البلوقن Volshell
Ref:
#معلومة_سيبرانية على السريع
تقدر تعرف مصدر الملف وبالندوز عن طريق قراءة الـ Zone.Identifier للـ (Alternate Data Streams)
اكتب الكود في الباورشل و استبدل [PATH] بمسار الملف المطلوب
Get-Content -path [PATH] -Stream Zone.Identifier
للمزيد من التفاصيل
أبارك لزملائي في #جامعة_الملك_سعود بمناسبة حصولهم على المركز الثالث في مسابقة التقاط العلم بمؤتمر NCCC#، الذي استضافته جامعة الإمام عبدالرحمن بن فيصل.
كل التوفيق لهم في مساعيهم القادمة.
Ran into some issues with the Waveshare v4 screen, but after a long day, meet
@pwnagotchi
Can't wait to write custom plugins and try out the ones from the community
موضوع الثريد اليوم بيكون عن المناطق المخفية بالهارد درايف وليش تُعتبر تهديد سيبراني والأهم من ذلك ليش يهمنا كـ محققين رقميين؟
قبل نبدأ بالثريد فيه أمر يجب توضيحه.. الثريد موجه للمتخصصين لأنه يتحدث عن أمور متقدمة بالحاسب وبذكر أهم المصطلحات وتعاريفها ببداية الثريد. قراءة ممتعة!
للاسف الكثير يعرفون معهد SANS ولكن القليل يعرف عن الاوراق او الـ “cheat sheet” اللي ينشرونها .. فـ جمعت لكم كم ملف لـ ادوات و مواضيع عامة
- جميع الروابط من موقع المعهد
@SANSInstitute
,
@sansforensics
,
@SANSOffensive
👇👇👇👇
يمكن تقسيم اختراق الكاميرا إلى قسمين: الأول يحدث عند منح الموقع "اذن" الوصول إلى الكاميرا، وفي هذه الحالة يعتبر الخطأ مسؤولية المستخدم وليس اختراقًا
أما القسم الثاني فيحدث عند استغلال ثغرات برمجية في النظام أو المتصفح، ويعتبر هذا النوع نادرًا وتم إغلاق العديد من هذه الثغرات…
كانت هذي خطوات الـ Process Hollowing بشكل مفصل تقريبًا ، وان شاء الله بالثريدات القادمة نستعرض طرق اكتشافه وتحليله بالميموري.
وبالختام .. إن أحسنت فمن الله، وإن أسأت أو أخطأت فمن نفسي والشيطان.
@B28___
انصحك بتعلم الشبكات من كورس CCNA وموجود على اليوتيوب و اساسيات الامن السيبراني من كورس +Security و بعدها راح تكتشف تخصصات الامن السيبراني الدقيقة مثل التحقيق الرقمي، اكتشاف الثغرات، الهندسية العكسية وتحدد خطوتك القادمة من هناك
كل التوفيق لك.
ولكن هنا فيه مشكلة بسيطة اللي هي قوقل كروم البروسيس حقه غير ثابت يعني ممكن تقفله ويروح الـ Injection .. فـ بهذي الحالة ممكن نستعين بـ Process ثابته مثل svchost.exe ودائمًا اثناء التحليل او التحقيق تذكر هذي الملاحظة 👍

(2) صار عندنا بروسيس في حالة الـ Suspended حلو ؟ حلو .. الان لازم تسوي unmapping لمحتويات البروسيس او نفرغ اي داتا داخل البروسيس وتكون باستخدام [NtUnmapViewOfSection]

او [ZwUnmapViewOfSection]
الـ Process Injection له انواع كثيرة و تكنيكات مختلفة ومن اشهرهم :
- Dll injection
- PE injection
- Process Hollowing
ولكن راح اركز على Process Hollowing لانه مستخدم بكثره.
@BassamAssiri
فهمتك 👍، صدقني من زمان ادور عن مقاطع مالقيت كثير و صحيح اغلبها يدخل مباشرة بالموضوع بدون توضيح الأساسيات، لانه يتوقع منك انه فاهمه
عمومًا .. بدل ما ارسل لك مقاطع بعلمك تكنيك افضل ..
ابحث عن رايت ابس لـ Pwn2Own
@thezdi
اغلب vm escapes يكتشفونها هنا، و اغلبهم ينشرون رايت اب
في عام 2006م تم نشر ورقة بحثية في مجلة "international Journal of Digital Evidence" بعنوان "Hidden Disk Areas: HPA and DCO" وبعد قراءتي للبحث أود أن أشارككم أهميته للمهتمين #بالتحقيق_الجنائي_الرقمي #والأمن_السيبراني بيكون ثريد خفيف ومهم أيضا!
تخيل معي عندك مالوير وتبي تخفيه داخل بروسيس طبيعية عشان ما تثير الشكوك .. على سبيل المثال اسم المالوير malware.exe و المالوير ظاهر على الـ Task manger فـ بطبيعة الحال راح تشك فيه وتسوي End Task وكذا ما استفدنا شيء
بالبداية يفضل تكون عندك معرفة بسيطة بانظمة التشغيل عشان تفهم الكونسبت بشكل واضح ومعرفة بسيطة بالـ Win32 API وعلمًا راح اذكر عدد من الـ APIs و راح اميزها باستخدام الاقواس [ المربعة ]
اكتشف القوة الخفية للمعلومات مع مسابقة OSINT !💪
برعاية
@CyberhubSa
🫡
انضم إلينا لتكون المحقق الأفضل في جمع وتحليل المعلومات الرقمية 🧐
فرصة للفوز بجوائز قيمة 👀
سجل الآن في المسابقة واكتشف قدراتك :
الـ Process injection تكنيك يستخدم من قبل الهكرز لإخفاء الـ Malware بطريقة يصعب اكتشافها
بالثريد هذا راح اشرح الـ Process injection و اشهر انواعه نظريًا ، و بثريد قادم راح نسوي Analysis و Detection لـ جهاز مصاب.
لايك على طريقك وقراءة ممتعة!

(4) والان نستدعي [WriteProcessMemory] عشان نكتب الكود الضار داخل البروسيس الموثوقه
(5) وبالاخير يتم استدعاء [ResumeThread] عشان نوقف الـ Suspended mode و يكمل البروسيس بشكل طبيعي
وهي بمثالنا الـ notepad.exe
@BassamAssiri
@thezdi
Exploitation Demos By Zdi:
&
وهنا اهم شيء، بتحتار من عدد write ups هنا
وهذي طريقتي بالتعلم، لانك بتوصل مرحلة الكورسات ما تقدم لك اي معلومات مفيدة بشكل كبير .. ف تتعلم من تجارب الناس
طبعًا لو تلاحظون الوقت لـ PID رقم 680 تم إنشاء البروسيس في عام 2010 ممكن يكون دليل على انه البروسيس الحقيقي لـ lsass.exe ولكن هذا افتراض و يحتمل الصواب و الخطأ ، خلونا نتأكد الان ..
مثل ماهو موضح بالتغريدة السابقة الـ parent process لـ 680 هو 624 فـ خلونا الان نشوف هذا البروسيس
اي انه عند مقارنة الـ VAD مع PEB راح نعرف اذا تم عمل hollowing او لا …
الان ننفذ الامر dlllist عشان نستخرج الـ DLLs من الـ PEB ( لم يتم افراغه ) ومثل ماهو موضح بالـ Base 0x1000000 موجود مسار lsass.exe
استكمالًا لسلسلة الـ Process injection
في هذا الثريد بنحلل المالوير الشهير الذي تسبب بتعطيل المفاعلات النووية الإيرانية
#Stuxnet
عام 2010 وبنركز بشكل اساسي خلال التحليل على سلوك المالوير بالتخفي و طرق كشفه بالميموري
لايك على طريقك وقراءة ممتعة!