kaveh

چهلم رو به تمام عزیزانی که عزیزانشون از دست دادند تسلیت عرض میکنم 🥀🕊🖤

به کسایی که سا‌کتن واکنش نشون بدین.بگردین ببینین کدوم چنل‌ها این مدت حرفی نزدن، یقه‌شون کنین.تحریمشون کنین، لفت بدین،ریپورت کنین،هرکاری می‌تونین بکنین ولی بی‌واکنش نباشین.نذارین فکر کنن که حاشیه‌ی امنی براشون وجود داره. خفه‌خونی که گرفتن،ارزون تموم نشه.هیچ حاشیه‌ای رو امن نذارین!

به یادگار دلیران ، پاینده است نام و یاد آنها 🖤🥀 زمستون ....

خب ToneShell payload به C2 روی TCP/443 متصل می‌شود و با هدرهای fake TLS ترافیک را پنهان می‌کند، قابلیت‌های remote shell/command exec و انتقال فایل را دارد. 6/6

درایور بدافزار دو shellcode دارد: یکی برای حفاظت از خود درایور و دیگری برای بارگذاری ToneShell. این روش باعث stealth و persistence بیشتر می‌شود. 5/6

0x30 - mkdir /site_backups; mount -t nfs ip:/ /site_backup : در فاز Lateral Movement برای مانت NFS. مفید برای دسترسی به فایل‌های شرشده و collection داده در شبکه‌های یونیکس. شما به عنوان ردتیمر واقعی، توی عملیات‌هاتون کدوم یکی از این دستورات بیشترین بار استفاده شده؟ 31/31

0x29 - showmount -e ip : در فاز Reconnaissanceبرای لیست export NFS. کمک به شناسایی شرهای(shares) قابل دسترسی بدون احراز هویت. 30/31

0x27 - echo "1" /proc/sys/net/ipv4/ip forward : در فاز Command and Control برای فعال کردن IP forwarding. اجازه میده سیستم به عنوان روتر عمل کنه برای pivoting. 28/31

0x26 - tcpkill host ip and port port: در فاز Impact برای اختلال در اتصالات خاص. در ردتیمینگ، برای denial of service یا redirection ترافیک در عملیات پیشرفته. 27/31

0x25 - /var/log/messages I grep DHCP : در فاز Collectionبرای استخراج تاریخچه DHCP. مفید برای پیدا کردن IPهای تخصیص‌ یافته و reconnaissance داخلی شبکه.

0x24 - ip addr add ip | cidr aev eth0: در فاز Defense Evasion برای اضافه کردن IP مخفی. کمک به ایجاد اینترفیس‌های موازی بدون ریبوت، برای persistence. 25/31