WDEG - Bypassing The ASR
Introduction: Most of us have heard about what’s called ( Windows Defender Exploit Guard ) and its components.
This article will illustrate the main idea of Windows Defender Exploit Guard and one of its components and its bypass.
What is Windows Defender Exploit Guard? Windows Defender Exploit Guard is a software which’s being part of the Windows Defender Security Center that protects Windows OS mainly from Malware and other attacks.
WDEG - Bypassing The ASR
السلام عليكم ورحمة الله وبركاته معظمنا واجه او سمع عن الـ Windows Defender Exploit Guard وعناصره. في هذي المقالة راح يتم شرح عن المفهوم الرئيسي وشرح احد العناصر مع احد التخطيات لها.
What is Windows Defender Exploit Guard? هو عبارة عن software كجزء من Windows Defender Security Center والذي بدوره يقوم بحماية انظمة تشغيل ويندوز من الـ malware ومن عدة هجمات على المستخدم
ايضا تم تصميم WDEG وعناصره الاربع لأغلاق الجهاز ضد اي تهديد او هجوم شائع عن طريق حظره في مراحل مختلفة من الـ Kill chain WDEG Components: Attack Surface Reduction (ASR) - يستفيد من برنامج مكافحة الفيروسات Windows Defender (WDAV) لتعطيل الهجمات التي يتم استخدامها بشكل شائع حماية الشبكة - يحظر التهديدات التي تؤدي إلى إنشاء اتصال خارجي او IPS غير موثوق بها.
Detailed Static/Dynamic Analysis For (CVE-2022-21661)
Introduction: Most likely in such cases where we have a CVE ID number and we want to investigate more about it either to write a working POC or any other purposes one of our approaches is to start from the action that the vendor’s dev team has taken in order to patch the vulnerability.
For this case ( CVE-2022–21661 - SQL injection in the Core of Wordpress ) the Wordpress developers team action to patch this issue can be seen in the following commit:
Detailed Static/Dynamic Analysis For (CVE-2022-21661)
Introduction: السلام عليكم ورحمة الله وبركاته في أغلب الأوقات إذا كان فيه CVE ID number وكان الهدف الوصول إلى كتابة إستغلال هناك طرق وأساليب مختلفة أحدها هو الطريقة المستخدمة اليوم والفكرة هنا نبدأ من حيث إنتهى فريق المطورين الخاص بالمنتج المصاب. بما معناه نشوف وش كانت طريقة الفريق في عمل patching للثغرة ونبدأ من هناك في حالتنا اليوم ( CVE-2022–21661 - SQL injection in the Core of Wordpress ) قام فريق المطورين بـ Worddpress بعمل الحل التالي Investigation: مثل ماشفنا بالصورة فوق.
Infiltrating CS Beacon throughout different mediums
Introduction السلام عليكم سمعنا كثير عن طرق تستخدم لنقل الملفات لجهاز التارقت ولكن معظم هذه الطرق صارت منتشرة إلى درجة أنها صارت سهلة الإنكشاف. في Confidential قمنا بعمل طريقة في نقل الملفات تجعل أمر إكتشافها أصعب الى حدٍ ما. مقالة اليوم تتكلم عن طريقة نقل CS beacon عن طريق أكثر من medium. Brief في البداية قسمنا الـ CS beacon الى عدة أجزاء ليتم نقلها في وقت لاحق عن طريق أكثر من medium (DNS TXT record, HTTP response header, and SMTP server's banner) وفي نهاية المقالة بإذن الله راح يكون فيه ديمو بسيط لـ Executable agent لأداة من عمل الفريق.