www.opennet.ru
Google представил проект OSS Rebuild для выявления скрытых изменений в пакетах
Компания Google представила проект OSS Rebuild, предназначенный для выявления скрытых изменений в готовых пакетах, публикуемых в репозиториях. Работа OSS Rebuild основана на концепции воспроизводимых сборок и сводится к проверке соответствия размещённого…
🔗Ссылка:
https://opennet.ru/63613/
https://opennet.ru/63613/
Forwarded from Threat Hunting Father 🦔
F6 - Phobos ransomware decryptor
https://github.com/f6-dfir/Ransomware/tree/main/Phobos/PhobosDecryptor
https://github.com/f6-dfir/Ransomware/tree/main/Phobos/PhobosDecryptor
GitHub
Ransomware/Phobos/PhobosDecryptor at main · f6-dfir/Ransomware
A structured, continuously updated threat-intelligence repository focused on ransomware families and threat actors. - f6-dfir/Ransomware
www.opennet.ru
Релиз Firefox 141
Состоялся релиз web-браузера Firefox 141 и сформированы обновления прошлых веток с длительным сроком поддержки - 140.1.0, 115.26.0 и 128.13.0. На стадию бета-тестирования переведена ветка Firefox 142, релиз которой намечен на 19 августа.
🔗Ссылка:
https://opennet.ru/63615/
https://opennet.ru/63615/
Forwarded from Threat Hunting Father 🦔
Another quick and dirty Linux hunt for Velociraptor. 🔍
LD_PRELOAD is well known technique to hijack execution flow and inject malicious code into every dynamically linked process.
ATT&CK - https://attack.mitre.org/techniques/T1574/006/
1. Parses /etc/ld.so.preload
2. Parses all /proc/<pid>/environ for any LD_PRELOAD= entries
🦖 Linux.Persistence.LdPreload - https://docs.velociraptor.app/exchange/artifacts/pages/ldpreload/
🦔 THF
LD_PRELOAD is well known technique to hijack execution flow and inject malicious code into every dynamically linked process.
ATT&CK - https://attack.mitre.org/techniques/T1574/006/
1. Parses /etc/ld.so.preload
2. Parses all /proc/<pid>/environ for any LD_PRELOAD= entries
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Похек
Революция в кибератаках: хакеры используют AI для внедрения вредоносов в DNS
Исследователи DomainTools обнаружили принципиально новый метод кибератак, при котором злоумышленники используют искусственный интеллект для внедрения вредоносного кода непосредственно в систему доменных имён. Этот подход позволяет обходить современные системы защиты и создает невидимую инфраструктуру для доставки малвари.
➡️ Как работает атака
Методика основана на фрагментации исполняемых файлов и их сокрытии в DNS TXT записях:
1. Разбиение файла: Вредоносный .exe файл разбивается на сотни мелких фрагментов
2. Энкодинг: Каждый фрагмент кодируется в шестнадцатеричном формате
3. Распределение: Фрагменты размещаются в TXT записях отдельных субдоменов
4. Нумерация: Используются целочисленные значения субдоменов для отслеживания последовательности
➡️ Пример структуры:
❓ Роль искусственного интеллекта
AI используется для автоматизации процесса сборки:
• Генерация скриптов для извлечения фрагментов из DNS
• Автоматическая сборка файла в правильной последовательности
• Адаптация под различные DNS-конфигурации
• Обход детекции через вариативность запросов
🪲 Реальные примеры
DomainTools обнаружили активное использование этой техники:
▪️ Случай 1: Joke Screenmate малварь
• Домены: felix.stf.whitetreecollective.com и аналогичные
• SHA256 хеши:
• Сотни субдоменов с фрагментами исполняемого файла
▪️ Случай 2: Covenant C2 стейджер
• Домен: drsmitty.com
• PowerShell скрипт в TXT записи субдомена
• Подключение к C2 серверу cspg.pw через эндпоинт
➡️ Технические преимущества атаки
1. Обход фильтрации: DNS-трафик редко подвергается глубокому анализу
2. Стойкость: Файлы персистентны до удаления DNS записей
3. Скрытность: Маскировка под легитимный DNS-трафик
4. Масштабируемость: Возможность хранения больших файлов через фрагментацию
➡️ Обнаружение атак
Исследователи использовали regex-паттерны для поиска magic bytes исполняемых файлов:
Этот паттерн ищет заголовки различных типов файлов в шестнадцатеричном формате в начале TXT записей.
❗️ Защитные меры
1. Мониторинг DNS:
• Анализ аномально длинных TXT записей
• Поиск паттернов шестнадцатеричного кодирования
• Отслеживание массовых запросов к субдоменам
2. Поведенческий анализ:
• Мониторинг последовательных DNS-запросов к нумерованным субдоменам
• Анализ размеров и структуры TXT записей
• Корреляция DNS-активности с исполнением процессов
3. Технические решения:
• Внедрение DNS Security Extensions (DNSSEC)
• Фильтрация подозрительных TXT записей
• Ограничение размеров TXT записей
➡️ Значение для индустрии
Эта техника представляет серьёзный вызов для традиционных систем безопасности:
• DNS-инфраструктура становится новым вектором атак
• AI позволяет автоматизировать сложные многоэтапные атаки
• Необходимость пересмотра подходов к мониторингу DNS-трафика
• Важность анализа не только сетевого трафика, но и DNS-записей
Метод уже активно эксплуатируется в дикой природе с 2021-2022 годов, что говорит о его эффективности и стойкости к обнаружению.
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
Исследователи DomainTools обнаружили принципиально новый метод кибератак, при котором злоумышленники используют искусственный интеллект для внедрения вредоносного кода непосредственно в систему доменных имён. Этот подход позволяет обходить современные системы защиты и создает невидимую инфраструктуру для доставки малвари.
Методика основана на фрагментации исполняемых файлов и их сокрытии в DNS TXT записях:
1. Разбиение файла: Вредоносный .exe файл разбивается на сотни мелких фрагментов
2. Энкодинг: Каждый фрагмент кодируется в шестнадцатеричном формате
3. Распределение: Фрагменты размещаются в TXT записях отдельных субдоменов
4. Нумерация: Используются целочисленные значения субдоменов для отслеживания последовательности
1.felix.stf.whitetreecollective.com TXT "4d5a90000300000004000000ffff0000..."
2.felix.stf.whitetreecollective.com TXT "b800000000000000400000000000000..."
...
500.felix.stf.whitetreecollective.com TXT "..."
AI используется для автоматизации процесса сборки:
• Генерация скриптов для извлечения фрагментов из DNS
• Автоматическая сборка файла в правильной последовательности
• Адаптация под различные DNS-конфигурации
• Обход детекции через вариативность запросов
DomainTools обнаружили активное использование этой техники:
• Домены: felix.stf.whitetreecollective.com и аналогичные
• SHA256 хеши:
7ff0ecf2953b8662ede1577e330a514f09992c18aa3c14ed77cf2ffc115b0866• Сотни субдоменов с фрагментами исполняемого файла
• Домен: drsmitty.com
• PowerShell скрипт в TXT записи субдомена
15392.484f5fa5d2.dnsm.in• Подключение к C2 серверу cspg.pw через эндпоинт
/api/v1/nps/payload/stage11. Обход фильтрации: DNS-трафик редко подвергается глубокому анализу
2. Стойкость: Файлы персистентны до удаления DNS записей
3. Скрытность: Маскировка под легитимный DNS-трафик
4. Масштабируемость: Возможность хранения больших файлов через фрагментацию
Исследователи использовали regex-паттерны для поиска magic bytes исполняемых файлов:
^"((ffd8ffe[0-9a-f].{12,})|(89504e47.{12,})|(47494638[79]61.{8,})|(255044462d.{10,})|(504b0304.{12,})|(4d5a.{16,59}|4d5a.{61,})|(7f454c46.{12,})|(c[ef]faedfe.{12,})|(1f8b08.{14,})|(377abcaf271c.{8,})|(526172211a07.{8,}))Этот паттерн ищет заголовки различных типов файлов в шестнадцатеричном формате в начале TXT записей.
1. Мониторинг DNS:
• Анализ аномально длинных TXT записей
• Поиск паттернов шестнадцатеричного кодирования
• Отслеживание массовых запросов к субдоменам
2. Поведенческий анализ:
• Мониторинг последовательных DNS-запросов к нумерованным субдоменам
• Анализ размеров и структуры TXT записей
• Корреляция DNS-активности с исполнением процессов
3. Технические решения:
• Внедрение DNS Security Extensions (DNSSEC)
• Фильтрация подозрительных TXT записей
• Ограничение размеров TXT записей
Эта техника представляет серьёзный вызов для традиционных систем безопасности:
• DNS-инфраструктура становится новым вектором атак
• AI позволяет автоматизировать сложные многоэтапные атаки
• Необходимость пересмотра подходов к мониторингу DNS-трафика
• Важность анализа не только сетевого трафика, но и DNS-записей
Метод уже активно эксплуатируется в дикой природе с 2021-2022 годов, что говорит о его эффективности и стойкости к обнаружению.
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
В http-сервере Apache 2.4.65 устранена проблема, ломающая работу mod_rewrite
Представлен релиз HTTP-сервера Apache 2.4.65, в котором исправлена критическая ошибка в mod_rewrite из-за которой условия, заданные через выражение "RewriteCond", всегда возвращали значение "true", т.е. правила всегда срабатывали, независимо от проверяемых…
🔗Ссылка:
https://opennet.ru/63621/
https://opennet.ru/63621/
Forwarded from CyberSecrets
This media is not supported in your browser
VIEW IN TELEGRAM
BloodHound Legacy и HoundLoader (demo)
В своей работе я использую BloodHound Legacy. Для меня этот инструмент очень удобный и понятный. Так же у меня есть возможность менять его под свои желания. С выходом BloodHound CE поддержка BloodHound Legacy была остановлена. И тут самой большой проблемой стала возможность загружать данные из SharpHound новой версии (частично изменился формат JSON файлов).
В принципе, мне достаточно старой версией SharpHound для сбора основной информации об инфраструктуре Active Directory, а остальные данные при необходимости загружаю с помощью скриптов. Сейчас новая версия SharpHound собирает большое количество полезной информации, и я уже начал задумываться о переходе на BloodHound CE. Попробовав его пару раз, пришел к выводу, что мне неудобно в нем работать. При всей красоте построения графов и наличия нормальной строки для Cypher запросов остальное вызывает у меня отторжение, возможно, дело привычки.
Год назад мне пришла мысль, а что, если загружать данные в BloodHound CE потом делать резервную копию базы данных и переносить ее в BloodHound Legacy. Метод, надо признать, не самый лучший, но вариант рабочий. Однако, данные резервной копии будут содержать узлы и связи, которые BloodHound Legacy не умеет отображать, но добавить их в код не большая проблема. (Тут должна была быть реклама =))
Месяц назад мои коллеги из отдела разработки (Аркадий, привет!) для своих нужд выдернули из исходников BloodHound CE функции парсера и загрузчика данных SharpHound и собрали приложение, которое получило название HoundLoader. Приложение показало хорошие результаты, но опять не без косяков.
Постоянно просить разработчиков что-то добавлять или менять мне не хотелось, а go я не знаю. Поэтому я решил погрузиться в исходные коды BloodHound Legacy, чтобы понять, как он добавляет данные в neo4j.
Никогда не понимал, зачем собирать данные в JSON чтобы потом их парсить в Cypher и уже загружать данные в базу. Почему сразу не сохранять данные в виде Cypher запросов? Но надо признать, алгоритм достаточно простой и тут возник вопрос обновлять JS в BloodHound Legacy или сделать все с нуля. Читать и изменять чужой код занятие непростое, поэтому я принял решение написать HoundLoader на PowerShell.
Данные нормально, загружаются в базу, но еще не тестировались на больших инфраструктурах. И есть большая задача по установке связей между объектами после загрузки данных.
Пока моя версия BloodHound Legacy и HoundLoader находятся на стадии тестирования и доработки, но надеюсь осенью поделиться своими наработками с сообществом.
#BloodHound #Powershell
В своей работе я использую BloodHound Legacy. Для меня этот инструмент очень удобный и понятный. Так же у меня есть возможность менять его под свои желания. С выходом BloodHound CE поддержка BloodHound Legacy была остановлена. И тут самой большой проблемой стала возможность загружать данные из SharpHound новой версии (частично изменился формат JSON файлов).
В принципе, мне достаточно старой версией SharpHound для сбора основной информации об инфраструктуре Active Directory, а остальные данные при необходимости загружаю с помощью скриптов. Сейчас новая версия SharpHound собирает большое количество полезной информации, и я уже начал задумываться о переходе на BloodHound CE. Попробовав его пару раз, пришел к выводу, что мне неудобно в нем работать. При всей красоте построения графов и наличия нормальной строки для Cypher запросов остальное вызывает у меня отторжение, возможно, дело привычки.
Год назад мне пришла мысль, а что, если загружать данные в BloodHound CE потом делать резервную копию базы данных и переносить ее в BloodHound Legacy. Метод, надо признать, не самый лучший, но вариант рабочий. Однако, данные резервной копии будут содержать узлы и связи, которые BloodHound Legacy не умеет отображать, но добавить их в код не большая проблема. (Тут должна была быть реклама =))
Месяц назад мои коллеги из отдела разработки (Аркадий, привет!) для своих нужд выдернули из исходников BloodHound CE функции парсера и загрузчика данных SharpHound и собрали приложение, которое получило название HoundLoader. Приложение показало хорошие результаты, но опять не без косяков.
Постоянно просить разработчиков что-то добавлять или менять мне не хотелось, а go я не знаю. Поэтому я решил погрузиться в исходные коды BloodHound Legacy, чтобы понять, как он добавляет данные в neo4j.
Никогда не понимал, зачем собирать данные в JSON чтобы потом их парсить в Cypher и уже загружать данные в базу. Почему сразу не сохранять данные в виде Cypher запросов? Но надо признать, алгоритм достаточно простой и тут возник вопрос обновлять JS в BloodHound Legacy или сделать все с нуля. Читать и изменять чужой код занятие непростое, поэтому я принял решение написать HoundLoader на PowerShell.
Данные нормально, загружаются в базу, но еще не тестировались на больших инфраструктурах. И есть большая задача по установке связей между объектами после загрузки данных.
Пока моя версия BloodHound Legacy и HoundLoader находятся на стадии тестирования и доработки, но надеюсь осенью поделиться своими наработками с сообществом.
#BloodHound #Powershell
Forwarded from Похек
CVE-2025-32023: Критическая уязвимость в Redis и Valkey
#redis #valkey #брокерсообщений #СУБД
Обнаружена критическая уязвимость в популярных СУБД Redis и Valkey, потенциально приводящая к удаленному выполнению кода через переполнение буфера в HyperLogLog операциях.
➡️ Технические детали
Тип уязвимости: Integer Overflow to Buffer Overflow (CWE-680)
CVSS Score: 7.0 HIGH
Вектор атаки: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
➡️ Затронутые версии
Redis: >= 2.8 до 8.0.3, 7.4.5, 7.2.10, 6.2.19
Valkey: до 8.1.3, 8.0.4
➡️ Корень проблемы
Уязвимость находится в обработке HyperLogLog структур данных в файле
Проблемный код в функции
➡️ Механизм эксплуатации
1. Создание malformed HLL: Злоумышленник создает специально сформированную HyperLogLog структуру с некорректными run lengths
2. Integer overflow: Сумма run lengths превышает максимальное значение int, вызывая переполнение в отрицательную область
3. Out-of-bounds write: Отрицательное значение i позволяет записывать данные за пределы выделенного буфера
4. RCE: Перезапись критических структур данных приводит к выполнению произвольного кода
➡️ Детали эксплуатации (по данным PoC)
Стандартная схема эксплуатации Redis:
1. Коррупция
2. Спрей
3. Дамп heap через поврежденный
4. Создание
5. Удаление
Функции под угрозой
▪️
▪️
▪️ Все операции с HyperLogLog командами (
➡️ Условия эксплуатации
▪️ Аутентифицированный доступ к Redis/Valkey
▪️ Возможность выполнения HyperLogLog команд
▪️ Отсутствие ACL ограничений на HLL команды
➡️ Защитные меры
1. Обновление до исправленных версий:
Redis 8.0.3+, 7.4.5+, 7.2.10+, 6.2.19+
Valkey 8.1.3+, 8.0.4+
2. Временное решение через ACL:
3. Мониторинг подозрительной активности:
▪️ Аномальные HyperLogLog операции
▪️ Неожиданные падения Redis процессов
▪️ Попытки выполнения HLL команд с большими данными
4. Сетевые ограничения:
▪️ Ограничение доступа к Redis только доверенным источникам
▪️ Использование Redis AUTH и ACL систем
▪️ Мониторинг сетевого трафика к Redis портам
➡️ Первоисточники:
🔗 GitHub Security Advisory
🔗 PoC
🔗 NVD
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#redis #valkey #брокерсообщений #СУБД
Обнаружена критическая уязвимость в популярных СУБД Redis и Valkey, потенциально приводящая к удаленному выполнению кода через переполнение буфера в HyperLogLog операциях.
Тип уязвимости: Integer Overflow to Buffer Overflow (CWE-680)
CVSS Score: 7.0 HIGH
Вектор атаки: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Redis: >= 2.8 до 8.0.3, 7.4.5, 7.2.10, 6.2.19
Valkey: до 8.1.3, 8.0.4
Уязвимость находится в обработке HyperLogLog структур данных в файле
src/hyperloglog.c. При итерации по sparse HLL кодировке происходит переполнение целочисленной переменной int i, которая отслеживает общую длину.Проблемный код в функции
hllMerge():while(p < end) {
if (HLL_SPARSE_IS_ZERO(p)) {
runlen = HLL_SPARSE_ZERO_LEN(p);
i += runlen; // Переполнение здесь!
p++;
}
// ...
while(runlen--) {
if (regval > max[i]) max[i] = regval; // Out-of-bounds write
i++;
}
}1. Создание malformed HLL: Злоумышленник создает специально сформированную HyperLogLog структуру с некорректными run lengths
2. Integer overflow: Сумма run lengths превышает максимальное значение int, вызывая переполнение в отрицательную область
3. Out-of-bounds write: Отрицательное значение i позволяет записывать данные за пределы выделенного буфера
4. RCE: Перезапись критических структур данных приводит к выполнению произвольного кода
Стандартная схема эксплуатации Redis:
1. Коррупция
sds объекта в jemalloc heap для увеличения его длины2. Спрей
embstr объектов для создания fake module объекта3. Дамп heap через поврежденный
sds объект для поиска целевого embstr и утечки адресов4. Создание
fake module объекта в целевом embstr объекте5. Удаление
fake module объекта, вызывающее деструктор и получение RCEФункции под угрозой
hllMerge() - stack-allocated HLL структурыhllSparseToDense() - heap-allocated HLL структурыPFADD, PFCOUNT, PFMERGE)1. Обновление до исправленных версий:
Redis 8.0.3+, 7.4.5+, 7.2.10+, 6.2.19+
Valkey 8.1.3+, 8.0.4+
2. Временное решение через ACL:
# Запретить HyperLogLog команды
ACL SETUSER username -pfadd -pfcount -pfmerge
3. Мониторинг подозрительной активности:
4. Сетевые ограничения:
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1