Posts by tag
tool
โดยปกติแล้วเรามักจะใช้งาน msfvenom ซึ่งเป็นเครื่องมือตัวหนึ่งในชุด Metasploit Framework แต่ทีนี้ถ้าหากเราต้องการจะหาเครื่องมือซักตัวที่ไม่ผูกกับ framework ตัวไหนเลยล่ะ จะเป็นตัวไหนดี พอดีผมเจอ “Shellab” มาก็เลยเอามาแชร์ต่อครับ เพราะตัว shellab นั้นทำงานได้ทุกอย่างเหมือนกับตัว Msfvenom เลยนั่นเอง โดย Shellab ทำได้ทั้ง
หากใครสนใจก็ไปตามใน link นี้ได้เลยครับ Source:: Shellab
|
1 2 3 4 5 6 7 |
- Encode shellcode with custom encoder - Generate stagers and egghunters (including sandwich and omelette egghunter) - Inject shellcode into PE files - Run shellcode on Linux - Remove bad characters and null-bytes Perform experimental size reduction (by instructions replacement) - Export shellcode in different executable formats (C, C#, Python, Powershell, hex, raw etc.) - Add custom instructions, NOP slides and specific system calls |
JPCert มักจะเป็นองค์กรที่ออกเครื่องมือและคู่มือสำหรับการรับมือภัยคุกคามอยู่เสมอ ล่าสุดออกเครื่องมือสำหรับการวิเคราะห์ Sysmon เพื่อให้ง่ายต่อการหาการโจมตีหรือวิเคราะห์การโจมตีที่เกิดขึ้นได้ง่ายๆ นั่นคือเครื่องมือที่ชื่อว่า SysmonSearch วิธีการติดตั้งมี 2 ทางคือการ setup เองและการใช้งาน docker image หลังจากนั้นก็ส่ง log ไปยังเครื่องดังกล่าวด้วย Winlogbeat Source:: SysmonSearch
เราทราบกันดีว่า nmap เวลา scan ออกมามันจะเป็นผลแบบ console output ทีนี้หากเราต้องการให้ออกมาดูดี ดูสวย ใช้งานง่ายๆ ก็จำเป็นต้องใช้ตัวช่วยกันหน่อย โดย post นี้จะมาดูกันว่าใช้ tool ตัวไหนได้บ้างครับ 1. xsltproc วิธีการใช้งานก็ไม่มีอะไรมากครับ เริ่มจากการ scan nmap แล้วให้ save ผลออกมาเป็น XML เช่น
จากนั้นจึงทำการแปลงให้เป็น HTML…
|
1 |
nmap -A target -oX ~/Desktop/metaspliot2-nmap-scan.xml |
หลายๆครั้งที่มีการส่งเมล์ไปมาหากันแล้วเราต้องการตรวจสอบว่า Mail หรือ Message นั้นถูกส่งมาจากที่ไหน จากใครและส่งต่อไปยังจุดไหนอะไรยังไงกันแน่ ซึ่งจริงๆเราจะอ่านเองก็ได้ แต่มันก็จะเสียเวลาไง ใช้เครื่องมืออาจจะเร็วกว่าและมีความชัดเจน ไม่อ่านผิด และไม่พลาดอะไรไป เครื่องมือที่ว่าคือ “Message Header Analyzer” (https://testconnectivity.microsoft.com/MHA/Pages/mha.aspx) ของทาง Microsoft นั่นเองครับ เป็นเว็บไซด์ที่เราสามารถเอา Mail Header ไป analyzer ได้เลยครับ จากตัวอย่าง
จะกลายเป็น
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
From: Media Temple user (mt.kb.user@gmail.com) Subject: article: How to Trace a Email Date: January 25, 2011 3:30:58 PM PDT To: user@example.com Return-Path: <mt.kb.user@gmail.com> Envelope-To: user@example.com Delivery-Date: Tue, 25 Jan 2011 15:31:01 -0700 Received: from po-out-1718.google.com ([72.14.252.155]:54907) by cl35.gs01.gridserver.com with esmtp (Exim 4.63) (envelope-from <mt.kb.user@gmail.com>) id 1KDoNH-0000f0-RL for user@example.com; Tue, 25 Jan 2011 15:31:01 -0700 Received: by po-out-1718.google.com with SMTP id y22so795146pof.4 for <user@example.com>; Tue, 25 Jan 2011 15:30:58 -0700 (PDT) Received: by 10.141.116.17 with SMTP id t17mr3929916rvm.251.1214951458741; Tue, 25 Jan 2011 15:30:58 -0700 (PDT) Received: by 10.140.188.3 with HTTP; Tue, 25 Jan 2011 15:30:58 -0700 (PDT) Dkim-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from:to :subject:mime-version:content-type; bh=+JqkmVt+sHDFIGX5jKp3oP18LQf10VQjAmZAKl1lspY=; b=F87jySDZnMayyitVxLdHcQNL073DytKRyrRh84GNsI24IRNakn0oOfrC2luliNvdea LGTk3adIrzt+N96GyMseWz8T9xE6O/sAI16db48q4Iqkd7uOiDvFsvS3CUQlNhybNw8m CH/o8eELTN0zbSbn5Trp0dkRYXhMX8FTAwrH0= Domainkey-Signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:to:subject:mime-version:content-type; b=wkbBj0M8NCUlboI6idKooejg0sL2ms7fDPe1tHUkR9Ht0qr5lAJX4q9PMVJeyjWalH 36n4qGLtC2euBJY070bVra8IBB9FeDEW9C35BC1vuPT5XyucCm0hulbE86+uiUTXCkaB 6ykquzQGCer7xPAcMJqVfXDkHo3H61HM9oCQM= Message-Id: <c8f49cec0807011530k11196ad4p7cb4b9420f2ae752@mail.gmail.com> Mime-Version: 1.0 Content-Type: multipart/alternative; boundary="----=_Part_3927_12044027.1214951458678" X-Spam-Status: score=3.7 tests=DNS_FROM_RFC_POST, HTML_00_10, HTML_MESSAGE, HTML_SHORT_LENGTH version=3.1.7 X-Spam-Level: *** |
ไปเจอ post การ clone certificate เลยเอามาเก็บไว้เผื่อได้ใช้ในอนาคตครับ โดยการใช้งาน apostille จะเป็นเครื่องมือสำหรับการเข้าเว็บไซด์ใดๆที่เป็น https แล้วเอารายละเอียดของ public key (certificate) ของเว็บนั้นมาทำการสร้าง certificate ใหม่ครับ โดยขั้นตอนการทำคือ 1. Install required application
2. Download Apostille
3. ใช้งาน Apostille…
|
1 |
apt install -y maven default-jdk git |
|
1 |
git clone https://github.com/sensepost/apostille |
ก่อนหน้านี้เราเคยพูดถึง Certificate Transparency ที่ Google ร่วมกับองค์กรต่างๆร่วมกันทำขึ้นมาไปแล้ว ซึ่งก็มีเครื่องมืออย่าง CertStream ที่ออกมาเพื่อใช้ประโยชน์ของข้อมูลดังกล่าว ล่าสุดก็มี CertStreamMonitor ออกมา ซึ่งเป็นตัวที่ต่อยอดมาจาก CertStream คือการที่นอกเหนือจากการตรวจสอบ Cert ว่ามีชื่อตรงกับที่ monitor ไว้มั้ย ก็ยังมีการคอยดูด้วยว่า cert นั้นถูกนำไปใช้ในเว็บไซด์จริงๆอีกหรือเปล่าด้วย อีกทั้งยังสามารถแจ้งเตือนได้อีกด้วยครับ เหมาะสำหรับ SOC ที่จะนำไปทำเป็น Blacklist Domain มากเลยครับ Source::…
admin ไปเจอ open source อันนึงมา concept มันเจ๋งมาก คือการเทสว่า SIEM ของเรารับมือกับภัยคุกคามหรือ malware ได้มั้ย โดยเครื่องมือที่ว่าคือ ypsilon เป็นการรวมเอา SIEM (Splunk, ELK) + Malware Analysis(Cuckoo) + Automation Deployment (Ansible) มาผูกด้วยกัน โดยสิ่งที่ Ansible จะ deploy…
Security Researcher ที่ชื่อว่า Dane Stuckey ได้ออก powershell script และ Vagrant file สำหรับการทำ Windows 10 ให้พร้อมกับการทำ Analysis ต่างๆ ทำให้เราไม่ต้องเตรียมเครื่องมือสำหรับการทำ malware analysis และการ reverse engineer ต่างๆครับ https://medium.com/@cryps1s/darksurgeon-a-windows-10-packer-project-for-defenders-1a57759856b6
เราต่างทราบกันดีว่าช่วงปี 2015-2018 เป็นปีอันรุ่งเรืองของ Ransomware มีบริษัทจำนวนมากที่ตกเป็นเหยื่อและจำใจต้องจ่ายค่าไถ่แสนแพง (ระดับแสนบาทอัพ) ทีนี้พอเป็นแบบนั้นก็มีบริษัทมากมายที่สร้าง Anti Ransomware solution ออกมามากมาย ทีนี้เราจะทราบได้อย่างไรล่ะว่า Anti Ransomware solution นั้นเวิร์คจริง หรือหาก SOC (Security Operation Center) ต้องการจะจำลองเหตุการณ์การถูกโดนโจมตี Ransomware จะทำยังไง วันนี้ก็เลยเอา program จำลอง Ransomware เหล่านั้นมาฝากกันครับ 1. RanSim…
พอดีไปเจอเว็บไซด์สำหรับเหล่า Malware Analyzer ก็เลยเอามาแชร์ให้ดูครับ โดยเว็บไซด์ดังกล่าวมีทั้งแหล่ง download, share ผลการวิเคราะห์ malware และการแชร์เครื่องมือหรือเทคนิคในการวิเคราะห์ malware อีกด้วย หากใครเป็นสายแนว malware analysis ลองแวะเข้าไปดูได้ครับ https://malwareanalysisforums.com/
LINE@Techsuii.com
Recent Comments