วิธีการ bypass certificate pinning ใน Android ด้วย Frida

ก่อนหน้านี้เราเคยทำ certificate pinning bypass กันมาแล้วใน iOS ซึ่งมาคราวนี้ก็เป็น Android บ้าง แต่ถ้าถามว่ามันแตกต่างกันมั้ยก็ตอบได้เลยว่าไม่ครับ lol เอาเป็นว่ามาดูวิธีการทำกันดีกว่าครับ 1. ทำการ root Android Phone ซึ่งก็แล้วแต่ค่ายนะครับ 2. ที่เครื่อง Android, Run frida server บนเครื่อง Android (ติดตั้ง frida ตาม official…
View Post

พบวิธีการรันคำสั่งผ่านไฟล์นามสกุล SettingContent.ms และเริ่มถูกรันใน Malicious Doc แล้ว

เมื่อประมาณเดือนก่อนทาง Matt Nelson จาก SpecterOps ซึ่งเป็น security researcher ได้พบวิธีการใช้งานไฟล์สกุล .SettingContent.ms ซึ่งเป็นไฟล์ shortcut สำหรับ Control Panel ซึ่งสามาถใช้ได้ใน Windows 10 พบว่าสามารถนำมา execute command ได้โดยใช้ feature ที่ชื่อว่า DeepLink เมื่อ user  ทำการเปิดไฟล์ดังกล่าว ไฟล์ .SettingContent.ms นั้นเป็นไฟล์ xml ก็จะกลายเป็นการรันคำสั่งใดๆ จากการเปิดเผยของทาง…
View Post

Process Doppelgänging วิธีใหม่ในการหลบเลี่ยง Antivirus

นักวิจัยทางด้าน security พบวิธีการหลบเลี่ยงการตรวจจับของ Antivirus และ Forensic Tool ใหม่โดยใช้ชื่อว่า Process Doppelgänging Process Doppelgänging เป็นการกระทำแบบ fileless กล่าวคือไม่มีการสร้างไฟล์ในเครื่อง ซึ่งเป็นการใช้ built-in Windows function แล้วไปโหลดใน Windows process loader แทน โดยบริษัทที่เป็นผู้ที่ค้นพบวิธีการนี้คือ Ensilo นักวิจัยที่เจอคือ Tal Liberman และ Eugene Kogan, ซึ่งได้นำเสนอวิธีการนี้ในงาน…
View Post

พบวิธีการ bypass Kaspersky Antivirus ใน ATM ได้ง่ายๆด้วยไฟล์ malware ขนาดใหญ่ๆ

พบช่องโหว่ใน Kasersky Lab’ Security Software ในเครื่อง ATM และ Embedded System อื่นๆ ที่จะทำให้ Hacker สามารถ bypass ได้ง่ายๆ Georgy Zaytsev จาก Positive Technologies Researcher พบช่องโหว่ในส่วนการควบคุมการรัน Application ของ Kaspersky Embedded Systems ใน version…
View Post

วิธีการ bypass whitelist application โดยวิธีต่างๆ

SubTee สุดยอดนักหาวิธีการ bypass Application Whitelist(เช่น การป้องกันการรันโปรแกรมโดยใช้ AppLocker เป็นต้น) ได้ทำสรุปวิธีการ bypass ต่างๆไว้ใน Github สามารถไปติดตามกันได้เลยครับ บอกได้เลยว่าแต่ละวิธีแจ่มๆทั้งนั้น เรียนรู้เพื่อทั้งสำหรับการทำ Penetration testing และสำหรับการป้องกัน Protection ด้วยครับ Source:: SubTee Github  
View Post

พบทริคที่ทำให้อาจเกิด command injection ใน cmd.exe ได้

นาย Julian Horoszkiewicz พบพฤติกรรมแปลกๆของ cmd.exe ที่มีการอ่านไฟล์ .bat ที่อาจนำไปสู่ command injection ได้ โดยนาย Julian พบว่าหากมีการเขียนในไฟล์ .bat โดยใช้เป็น ASCII Substitute Character (Code 26) ตัว cmd.exe จะมองว่าเป็น command separator (ตัวแยกคำสั่ง)ได้ (ซึ่งเปรียบเสมือน & ,…
View Post