Forwarded from Threat Hunting Father 🦔
Первый публичный кейс, где Nezha используется для веб-компрометаций (Huntress, октябрь 2025).
Актор с «китайским следом» через уязвимый phpMyAdmin и трюк log poisoning (MariaDB) записал PHP-вебшелл (China Chopper-style) прямо в лог → управлял им через AntSword → установил Nezha-агент → доставил Ghost RAT.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Атака, использующая GitHub Copilot для извлечения данных из приватных репозиториев
Исследователи из компании Legit Security разработали технику атаки на GitHub Copilot, позволяющую извлечь содержимое из приватных репозиториев при использовании чатбота для анализа присылаемых pull-запросов. В качестве примера продемонстрирована возможность…
🔗Ссылка:
https://opennet.ru/64030/
https://opennet.ru/64030/
Forwarded from Похек
Impacket: взгляд red team и blue team
#impacket #AD #база
Impacket — это мощная библиотека на Python, ориентированная на работу с сетевыми протоколами на низком уровне, а также набор примеров и утилит, удобных для пентестеров и злоумышленников.
➡️ Impacket сочетает в себе две взаимодополняющие части:
- Библиотечный (API) уровень — классы, функции для создания, парсинга и взаимодействия с протоколами (Ethernet, IP, TCP/UDP, SMB, MSRPC и др.).
- Утилитарный (инструментальный) уровень — готовые Python-скрипты (например,
Impacket ≠ набор скриптов.
Это фреймворк, который реализует внутренние структуры пакетов, ASN.1-деревья, Netlogon RPC, Kerberos AP_REQ/AP_REP/TGS_REQ, SMB2_COM_TREE_CONNECT и пр.
Его сила — в возможности передавать бинарные протоколы как Python-объекты и строить поверх них любые цепочки атак.
Ниже — глубокий разбор архитектуры, ключевых механизмов, техник злоупотребления и методов обнаружения.
🔗 blog.poxek
🌚 @poxek | MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#impacket #AD #база
Impacket — это мощная библиотека на Python, ориентированная на работу с сетевыми протоколами на низком уровне, а также набор примеров и утилит, удобных для пентестеров и злоумышленников.
- Библиотечный (API) уровень — классы, функции для создания, парсинга и взаимодействия с протоколами (Ethernet, IP, TCP/UDP, SMB, MSRPC и др.).
- Утилитарный (инструментальный) уровень — готовые Python-скрипты (например,
psexec.py, wmiexec.py, secretsdump.py и др.), демонстрирующие применение библиотеки в задачах пентеста, постэксплуатации, перемещения по сети и вытягивания учетных данных.Impacket ≠ набор скриптов.
Это фреймворк, который реализует внутренние структуры пакетов, ASN.1-деревья, Netlogon RPC, Kerberos AP_REQ/AP_REP/TGS_REQ, SMB2_COM_TREE_CONNECT и пр.
Его сила — в возможности передавать бинарные протоколы как Python-объекты и строить поверх них любые цепочки атак.
Ниже — глубокий разбор архитектуры, ключевых механизмов, техник злоупотребления и методов обнаружения.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from BEAR-C2
Это моделирование атаки (adversary simulation) группы APT RicochetChollima, нацеленное на активистов, занимающихся вопросами Северной Кореи. Кампания началась в марте 2025 года и стартовала с целевого фишинга (spear-phishing): в письме содержалась ссылка на Dropbox, ведущая к архиву, в котором был вредоносный ярлык (LNK). После распаковки и запуска этот LNK активировал дополнительное вредоносное ПО, содержащее ключевое слово «toy». Содержимое было замаскировано под приглашение на академический форум от южнокорейского аналитического центра по национальной безопасности, чтобы повысить доверие.
Репозиторий GitHub: https://github.com/S3N4T0R-0X0/APTs-Adversary-Simulation/tree/main/North%20Koreans%20APT/Ricochet%20Chollima
Репозиторий GitHub: https://github.com/S3N4T0R-0X0/APTs-Adversary-Simulation/tree/main/North%20Koreans%20APT/Ricochet%20Chollima
Forwarded from s0i37_channel
Когда хакер атакует какой либо сервис, например брутит пароли, то обычно на такое реагируют блокированием его IP:
Но целеустремленного хакера этим врядли остановишь. Так почему бы не дать ему того что он хочет - пусть атакует, только немного не того кого ожидает...
Всего двумя правилами на фаерволе мы можем повернуть вредоносный трафик вспять и направить атаку на сам источник:
В отличие от блокировки порта такой трюк практически незаметен для хакера, ведь целевой порт как был открыт так и остался (изменится только баннер и удвоится IP.ttl). Но после ввода этих команд хакер будет подбирать пароли уже сам у себя (скрин), думая что атакует ваш сервер. И в случае если подберёт пароль установит себе криптомайнер, или что там они устанавливают.
iptables -A INPUT -s $attacker -j DROPНо целеустремленного хакера этим врядли остановишь. Так почему бы не дать ему того что он хочет - пусть атакует, только немного не того кого ожидает...
Всего двумя правилами на фаерволе мы можем повернуть вредоносный трафик вспять и направить атаку на сам источник:
iptables -t nat -I PREROUTING -p tcp --dport 22 -j DNAT --to-destination $hacker:22
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -I POSTROUTING -p tcp --dport 22 -d $hacker -j MASQUERADE
В отличие от блокировки порта такой трюк практически незаметен для хакера, ведь целевой порт как был открыт так и остался (изменится только баннер и удвоится IP.ttl). Но после ввода этих команд хакер будет подбирать пароли уже сам у себя (скрин), думая что атакует ваш сервер. И в случае если подберёт пароль установит себе криптомайнер, или что там они устанавливают.
Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
❤2
Forwarded from #memekatz
This media is not supported in your browser
VIEW IN TELEGRAM
Как на самом деле читают документы по ИБ
👎2👍1
www.opennet.ru
Google меняет политику публикации исправлений уязвимостей в Android
Проект GrapheneOS, разрабатывающий альтернативную свободную прошивку Android, нацеленную на усиление безопасности и обеспечение конфиденциальности, сообщил о внесении компанией Google изменений в политику публикации исправлений уязвимостей для платформы Android…
🔗Ссылка:
https://opennet.ru/64039/
https://opennet.ru/64039/
Forwarded from вольтаж
WAPPALYZER В ТЕРМИНАЛЕ
🍭 s0md3v/wappalyzer-next
~год искал CLI тулзу, что сможет раскрывать tech stack столь же хорошо как wappalyzer расширение в браузере
как оказалось, легче запускать headless firefox с wappalyzer, чем пытаться сделать open source wappalyzer-like сканеры (1 2)
~год искал CLI тулзу, что сможет раскрывать tech stack столь же хорошо как wappalyzer расширение в браузере
как оказалось, легче запускать headless firefox с wappalyzer, чем пытаться сделать open source wappalyzer-like сканеры (1 2)
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from вольтаж
httpx использует собственную разработку projectdiscovery, о которой также сказано в посте — wappalyzergo
знаешь как она определеяет стек?
оно отправляет один запрос и смотрит на ответ
об этом даже issue создавали
https://github.com/projectdiscovery/httpx/issues/959
в то же время, благодаря headless firefox, wappalyzer успевает захватить все подгружаемые JS и определить полный стек
знаешь как она определеяет стек?
оно отправляет один запрос и смотрит на ответ
об этом даже issue создавали
https://github.com/projectdiscovery/httpx/issues/959
в то же время, благодаря headless firefox, wappalyzer успевает захватить все подгружаемые JS и определить полный стек
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Evasion-Kit for Cobalt Strike
Blog: https://rastamouse.me/crystal-kit/
Soft: https://github.com/rasta-mouse/Crystal-Kit
#maldev #cs #pentest #redteam
Blog: https://rastamouse.me/crystal-kit/
Soft: https://github.com/rasta-mouse/Crystal-Kit
#maldev #cs #pentest #redteam
Rasta Mouse
Crystal Kit
tl;dr - repo here.
The Crystal Kit is an experimental project designed to replace Cobalt Strike's Sleepmask. The Sleepmask (and BeaconGate) are key to Beacon's runtime evasion strategy - not only does it mask Beacon's memory, it also acts as an API proxy…
The Crystal Kit is an experimental project designed to replace Cobalt Strike's Sleepmask. The Sleepmask (and BeaconGate) are key to Beacon's runtime evasion strategy - not only does it mask Beacon's memory, it also acts as an API proxy…
🔥1