GitHub
GitHub - WithSecureLabs/Kanvas: A simple-to-use IR (incident response) case management tool for tracking and documenting investigations.
A simple-to-use IR (incident response) case management tool for tracking and documenting investigations. - WithSecureLabs/Kanvas
Простой в использовании инструмент управления делами IR (incident response) для отслеживания и документирования расследований.
🔗Ссылки:
https://findevil.io/Kanvas-page
https://github.com/WithSecureLabs/Kanvas
🔗Ссылки:
https://findevil.io/Kanvas-page
https://github.com/WithSecureLabs/Kanvas
Forwarded from 🕷 BugBountyRu
💡 Фича-флаги для багхантера
Обращайте внимание на всё, что в HTML содержит
Иногда достаточно:
▪️ поменять
▪️ или добавить строку в массив через
⚙️ Больше включённых фич → больше функциональности → шире зона охвата → больше уязвимостей. Проверяйте скрытые возможности — они любят ломаться первыми.
Обращайте внимание на всё, что в HTML содержит
featureFlag или просто flag. Часто разработчики проводят A/B-тесты, и фичи «выключены» у вас на глазах.Иногда достаточно:
false на true,match-and-replace в Burp.⚙️ Больше включённых фич → больше функциональности → шире зона охвата → больше уязвимостей. Проверяйте скрытые возможности — они любят ломаться первыми.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Forwarded from Whitehat Lab
InfoGuard Labs
Attacking EDRs Part 1: Intro & Security Analysis of EDR Drivers - InfoGuard Labs
This article gives an overview of the attack surface of EDR software and describes the process to search for attack surface on EDR drivers from a low-privileged user.
Подборка материалов по атакам на EDR системы (англ.)
#edr #analysis #windows
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from s0ld13r ch. (s0ld13r)
Novel C2 abusing Exchange Web Services and Steganography 👾
Люблю нетривиальные реализации TA0011 Command and Control, особенно со стегой🎩
Команда Unit 42 разобрали бэкдор RDAT, связанный с группой OilRig. В свежих сэмплах — новая C2-инфра и интересный флоу🥳
Как работает:
• Иcпользует API Exchange Web Service как C2 канал 📧
• Снижает WINHTTP_OPTION_AUTOLOGON_POLICY до Low → автологин на Exchange через креды текущего юзера🪟
• Создаёт inbox rule → письма с C2 адресов летят в junk🗑
• Мониторит спам и вытаскивает команды из BMP-вложений 🖼
📤 Эксфильтрация — тоже через BMP, упакованные в черновики и отправленные с заражённого хоста на почту оператора
🔗 Research: https://unit42.paloaltonetworks.com/oilrig-novel-c2-channel-steganography/
🧢 s0ld13r
Люблю нетривиальные реализации TA0011 Command and Control, особенно со стегой
Команда Unit 42 разобрали бэкдор RDAT, связанный с группой OilRig. В свежих сэмплах — новая C2-инфра и интересный флоу
Как работает:
• Иcпользует API Exchange Web Service как C2 канал 📧
• Снижает WINHTTP_OPTION_AUTOLOGON_POLICY до Low → автологин на Exchange через креды текущего юзера
• Создаёт inbox rule → письма с C2 адресов летят в junk
• Мониторит спам и вытаскивает команды из BMP-вложений 🖼
📤 Эксфильтрация — тоже через BMP, упакованные в черновики и отправленные с заражённого хоста на почту оператора
🔗 Research: https://unit42.paloaltonetworks.com/oilrig-novel-c2-channel-steganography/
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Threat Hunting Father 🦔
Малварь маскируется под инсталлятор:
idp.dll — legit плагинidp.exe — 7za.exe (распаковка)ImageConverter.exe — фейк-декой.iss Pascal script: скрытый запуск, WMI-чек, скачивание архиваXOR-обфускация строк (процессы, пользователи, модели VM)
WMI-запросы:
Win32_Process, Win32_ComputerSystemПроверка имён типа
application_stable_release, detection VM/AVTinyURL → rentry[.]org (auth header rentry-auth)Ответ: ссылка на
package.zipРаспаковка:
idp.exe x -p<password> (T1027.015)⛓ Persistence через планировщик (T1053)
Создание задачи:
schtasks /Create /xml lang WhatsAppSyncTaskMachineCore /fФайл
taskshostw.exe → %localappdata%\Programs\Common\ с hidden-атрибутами💣 DLL sideloading → Shellcode → HijackLoader
ScoreFeedbackTool.exe загружает троянизированный QtGuid4.dllДешифруется
periphyton.ics → shellcodeShellcode тянет
HijackLoader из glucoprotein.php (PNG-like, XOR + LZNT1)Распаковка через
RtlDecompressBuffer(), поиск IDAT-чанков🧠 HijackLoader → MSBuild → RedLine
Инжект в
MSBuild.exe (T1127.001)Модификация
.text в системных DLLИспользует: Call Stack Spoofing, Hollowing, Heaven’s Gate
Payload — RedLine Stealer (.NET)
🔍 RedLine Stealer
Обфускация Constant unfolding (T1027.010)
Браузеры (Chrome, Edge, Brave, Iridium, etc.)
Расширения криптокошельков (MetaMask, Binance, TRONLink)
Chrome с
--no-sandbox, --user-data-dir (T1497)IE
-extoff для загрузки страниц без расширений (T1562.001)WMI: OS, процессор, память, видео
🛡 Detection идеи (Splunk rules)
📍 Доступ к Chrome
Local State из non-chrome процессов🧱 Unsigned DLL sideloading
📅 Hidden scheduled tasks
🧩 Chrome с
--no-sandbox и --user-data-dir🧬 IE
-extoff вызовы🧩 Цепочка построена на легитимных инструментах — Inno, Pascal, 7za, WMI, MSBuild, DLL — для обхода детекта. Эффективный hunting требует поведенческого анализа, контроля сетевых запросов к paste-сервисам и runtime-анализа планировщика/библиотек.
🦔 THF
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM