Forwarded from Ralf Hacker Channel (Ralf Hacker)
GitHub
GitHub - RWXstoned/GimmeShelter: Situational Awareness script to identify how and where to run implants
Situational Awareness script to identify how and where to run implants - RWXstoned/GimmeShelter
Пожалуй добавлю к другим сканерам памяти процессов))
Soft: https://github.com/RWXstoned/GimmeShelter
Blog: https://rwxstoned.github.io/2024-12-06-GimmeShelter/
Да, для более тщательного изучения есть та же Moneta, но почему бы и нет))
#maldev #blueteam
Soft: https://github.com/RWXstoned/GimmeShelter
Blog: https://rwxstoned.github.io/2024-12-06-GimmeShelter/
Что проверяет, судя по описанию:
* есть ли сборка dotNet
* вероятные DLL hijacking/sideloading
* использует ли процесс wininet.dll или winhttp.dll
* установлен ли Control Flow Guard
* секции и частную память с разрешениями RWX
Да, для более тщательного изучения есть та же Moneta, но почему бы и нет))
#maldev #blueteam
www.opennet.ru
Ошибка в обработчике GitHub Actions привела к публикации вредоносных релизов Ultralytics
Злоумышленники смогли выполнить код с правами обработчика GitHub Actions в репозитории Python-библиотеки Ultralytics, применяемой для решения задач компьютерного зрения, таких как определение объектов на изображениях и сегментирование изображений. После получения…
🔗Ссылка:
https://opennet.ru/62365/
https://opennet.ru/62365/
Forwarded from RedTeam brazzers (Миша)
Вредоносные конфигурации VPN клиентов
Каждый час приближает нас к использованию альтернативных фишинговых нагрузок взамен привычным макросам. Выходили исследования про LNK, ZIP, RAR, REG, MSIX и множеству других файловых форматов, каждый из которых предлагал новый оригинальный способ получения заветного шелла. Этим все не ограничилось, и не так давно стала популярна тема вредоносных VPN-конфигураций или даже полноценных VPN-серверов, как продемонстрировал нам NachoVPN.
Однако инструмент направлен на серьезные коммерческие VPN-решения: Cisco, SonicWall, PaloAlto, PulseSecure. Они удобны, но возможность их покупки несколько ограничена в последнее время)))) Поэтому в инфраструктуре встречаются WireGuard и OpenVPN. Как можно атаковать их?
Для OpenVPN существуют ключевые слова up и down, которые позволяют исполнять команду при поднятии и выключении интерфейса соответственно. Для WireGuard аналогично — PostUp / PostDown. На фотографиях доказательство успешной эксплуатации, а здесь можно найти примеры конфигурационных файлов.
Каждый час приближает нас к использованию альтернативных фишинговых нагрузок взамен привычным макросам. Выходили исследования про LNK, ZIP, RAR, REG, MSIX и множеству других файловых форматов, каждый из которых предлагал новый оригинальный способ получения заветного шелла. Этим все не ограничилось, и не так давно стала популярна тема вредоносных VPN-конфигураций или даже полноценных VPN-серверов, как продемонстрировал нам NachoVPN.
Однако инструмент направлен на серьезные коммерческие VPN-решения: Cisco, SonicWall, PaloAlto, PulseSecure. Они удобны, но возможность их покупки несколько ограничена в последнее время)))) Поэтому в инфраструктуре встречаются WireGuard и OpenVPN. Как можно атаковать их?
Для OpenVPN существуют ключевые слова up и down, которые позволяют исполнять команду при поднятии и выключении интерфейса соответственно. Для WireGuard аналогично — PostUp / PostDown. На фотографиях доказательство успешной эксплуатации, а здесь можно найти примеры конфигурационных файлов.
❤2
www.opennet.ru
Уязвимости, позволяющие подменить образы и выполнить код на ASU-серверах проекта OpenWrt
В развиваемом проектом OpenWrt инструментарии ASU (Attended SysUpgrade) выявлены критические уязвимости (CVE-2024-54143), позволяющие скомпрометировать сборочные артефакты, распространяемые через сервис sysupgrade.openwrt.org или сторонние ASU-серверы, и…
🔗Ссылка:
https://opennet.ru/62371/
https://opennet.ru/62371/
Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Fsecurity | HH
Делать такие записи ? 🤔
Сделаю сегодня ещё посты👾
Хочу узнать ваше мнение 🤔
Хочу узнать ваше мнение 🤔
При проверке файла можно заметить подобные строки (скрин кода), из-за чего, скорее всего, будет происходить детектирование.
Мой случай на 2 скрине.
Потратил еще время и нашел такое:
Обновление для первой записи...
Мой случай на 2 скрине.
Потратил еще время и нашел такое:
https://www.cs.ru.nl/bachelors-theses/2023/Jorn_Heibrink___1040183___Antivirus_and_EDR_bypasses_for_initial_access.pdf
🗿2
Смог получить возможность потрогать Windows 11 Enterprise — это корпоративная версия операционной системы от Microsoft, предназначенная для предприятий и корпоративных пользователей
Хочу выразить огромную благодарность Лолечке за предоставленную возможность поработать с Windows 11 Enterprise
P.S.Чувствую, что битва будет на жизнь, а насмерть, и скорее всего я проиграю эту битву.
На ней и будет проходить тестирование обхода AV. Антивирусное программное обеспечение, также известное как Antivirus, представляет собой компьютерную программу, используемую для предотвращения, обнаружения и удаления вредоносных программ.
Я прочитал PDF-ку Antivirus and EDR bypasses for initial access и понял, что не смогу остановиться на одном ките для Cobalt Strike. Придется изучать еще больше. Я так и думал, но сейчас точно уверен в этом.
Главное — не распыляться на все киты до кроличьей норы. Буду брать методы и комбинировать их, чтобы достичь наилучших результатов.
Хочу выразить огромную благодарность Лолечке за предоставленную возможность поработать с Windows 11 Enterprise
P.S.
На ней и будет проходить тестирование обхода AV. Антивирусное программное обеспечение, также известное как Antivirus, представляет собой компьютерную программу, используемую для предотвращения, обнаружения и удаления вредоносных программ.
Я прочитал PDF-ку Antivirus and EDR bypasses for initial access и понял, что не смогу остановиться на одном ките для Cobalt Strike. Придется изучать еще больше. Я так и думал, но сейчас точно уверен в этом.
Главное — не распыляться на все киты до кроличьей норы. Буду брать методы и комбинировать их, чтобы достичь наилучших результатов.
🔥3
Forwarded from Заметки Слонсера (Slonser)
Сегодня вышла новая версия DOMPurify решающая проблему о которой я сообщал разработчикам ранее
Может быть полезно если вы встречали санитизацию svg, но не знали как это обойти
https://github.com/cure53/DOMPurify/releases/tag/3.2.3
https://blog.slonser.info/posts/dompurify-dirty-namespace-bypass/
Может быть полезно если вы встречали санитизацию svg, но не знали как это обойти
https://github.com/cure53/DOMPurify/releases/tag/3.2.3
https://blog.slonser.info/posts/dompurify-dirty-namespace-bypass/
GitHub
Release DOMPurify 3.2.3 · cure53/DOMPurify
Fixed two conditional sanitizer bypasses discovered by @parrot409 and @Slonser
Updated the attribute clobbering checks to prevent future bypasses, thanks @parrot409
Updated the attribute clobbering checks to prevent future bypasses, thanks @parrot409
Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
GitHub
GitHub - qeeqbox/social-analyzer: API, CLI, and Web App for analyzing and finding a person's profile in 1000 social media \ websites
API, CLI, and Web App for analyzing and finding a person's profile in 1000 social media \ websites - qeeqbox/social-analyzer
API, CLI и веб-приложение для анализа и поиска профиля человека в 1000 социальных сетях и веб-сайтах
🔗Ссылка:
https://github.com/qeeqbox/social-analyzer
🔗Ссылка:
https://github.com/qeeqbox/social-analyzer