www.opennet.ru
Атака Pixnapping, определяющая содержимое экрана для перехвата 2FA-кодов в Android
Группа исследователей из четырёх американских университетов разработала технику атаки Pixnapping (CVE-2025-48561), позволяющую из непривилегированных Android-приложений, не запрашивающих дополнительных полномочий, определить содержимое, выводимое на экран…
🔗Ссылка:
https://opennet.ru/64045/
https://opennet.ru/64045/
www.opennet.ru
Уязвимость в Samba, позволяющая удалённо выполнить код на сервере
Опубликованы корректирующие выпуски пакета Samba 4.23.2, 4.22.5 и 4.21.9 с устранением уязвимости (CVE-2025-10230) в реализации сервера разрешения имён WINS, позволяющей добиться удалённого выполнения своего кода на сервере без прохождения аутентификации.…
🔗Ссылка:
https://opennet.ru/64062/
https://opennet.ru/64062/
www.opennet.ru
Уязвимость в обработчике GitHub Actions, позволявшая скомпрометировать пакеты в Nixpkgs
Раскрыты сведения об уязвимостях в обработчиках GitHub Actions, автоматически вызываемых при отправке pull-запросов в репозиторий пакетов Nixpkgs, применяемый в дистрибутиве NixOS и в экосистеме, связанной с пакетным менеджером Nix. Уязвимость позволяла постороннему…
🔗Ссылка:
https://opennet.ru/64059/
https://opennet.ru/64059/
Forwarded from Threat Hunting Father 🦔
🕵️ PhantomVAI Loader
PhantomVAI Loader — .NET-лоадер, маскирующий DLL внутри изображений (стеганография) и доставляющий популярные infostealers (Katz Stealer, AsyncRAT, XWorm, FormBook, DCRat).
Формат атаки: Фишинг → JS/VBS → PowerShell → загрузка GIF с Base64-вшитым DLL → .NET PhantomVAI Loader → process hollowing в целевой процесс (в наблюдениях чаще MSBuild.exe).
Новые особенности:
• Стеганография с маркерами <<sudo_png>> / <<sudo_odt>> для извлечения Base64-DLL.
• Метод VAI() выполняет три функции: анти-VM, персистентность (Task Scheduler / RunKey / wscript), загрузка финального payload’а.
• VM-детект основан на GitHub-проекте VMDetector.
• Основная цель — MaaS-стилеры: Katz Stealer, AsyncRAT, XWorm, FormBook, DCRat.
🔗https://unit42.paloaltonetworks.com/phantomvai-loader-delivers-infostealers/
🦔 THF
PhantomVAI Loader — .NET-лоадер, маскирующий DLL внутри изображений (стеганография) и доставляющий популярные infostealers (Katz Stealer, AsyncRAT, XWorm, FormBook, DCRat).
Формат атаки: Фишинг → JS/VBS → PowerShell → загрузка GIF с Base64-вшитым DLL → .NET PhantomVAI Loader → process hollowing в целевой процесс (в наблюдениях чаще MSBuild.exe).
Новые особенности:
• Стеганография с маркерами <<sudo_png>> / <<sudo_odt>> для извлечения Base64-DLL.
• Метод VAI() выполняет три функции: анти-VM, персистентность (Task Scheduler / RunKey / wscript), загрузка финального payload’а.
• VM-детект основан на GitHub-проекте VMDetector.
• Основная цель — MaaS-стилеры: Katz Stealer, AsyncRAT, XWorm, FormBook, DCRat.
🔗https://unit42.paloaltonetworks.com/phantomvai-loader-delivers-infostealers/
🦔 THF
Forwarded from Whitehat Lab
TCP туннель через файл
Bypassing a firewall:
# Host A
ft.exe -L 5000:127.0.0.1:3389 --write "\\server\share\1.dat" --read "\\server\share\2.dat"
# Host B
ft.exe --read "\\server\share\1.dat" --write "\\server\share\2.dat"
Tunnel TCP through RDP:
# Host A
ft.exe -L 5000:192.168.1.50:8888 --write "C:\Temp\1.dat" --read "C:\Temp\2.dat"
# Host B
ft.exe --read "\\tsclient\c\Temp\1.dat" --write "\\tsclient\c\Temp\2.dat"
#windows #filetunnel
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
В Firefox реализована возможность одновременного просмотра двух вкладок
В ночных сборках Firefox, на основе которых 9 декабря будет сформирован релиз Firefox 146, началось тестирование режима "Split View" для просмотра бок о бок в одном окне двух вкладок. Режим активируется через параметр "browser.tabs.splitView.enabled" на странице…
🔗Ссылка:
https://opennet.ru/64068/
https://opennet.ru/64068/
Forwarded from s0i37_channel
Сегодня существует большое слепое пятно безопасности - беспроводные сети. Ещё один периметр, который есть почти у каждой компании и который практически никогда ни чем не охраняется. В итоге все мы привыкли к тому что все атаки на этом поле невидимы и хакеру все сходит с рук.
В своих постах, а так же в статье (https://xakep.ru/2025/01/10/wireless-self-defence/) я показал, что это может быть не так, и продемонстрировал как детектить все актуальные атаки на wifi.
Но сейчас я хотел бы поделиться тем, как можно активно мешать хакеру.
И это будет маленький цикл постов про предотвращение/смягчение атак на wifi.
Что бы помешать хакеру провести захват WPA handshake через деаутентификацию, в момент детекта атаки мы можем начать отправлять в радиоэфир фейковые хэши. И что бы хакерский софт среагировал, достаточно отправить пакеты: beacon, EAPOL m1 и m2. А собрать произвольный handshake мы можем примерно так:
Добавив вызов этого prevent-скрипта (https://github.com/s0i37/defence/blob/main/wifi/prevent/m2.py) в detect-скрипт (https://github.com/s0i37/defence/blob/main/wifi/deauth.py) мы получаем готовое решение для автоматического реагирования на атаку деаутентификации (скрин).
В своих постах, а так же в статье (https://xakep.ru/2025/01/10/wireless-self-defence/) я показал, что это может быть не так, и продемонстрировал как детектить все актуальные атаки на wifi.
Но сейчас я хотел бы поделиться тем, как можно активно мешать хакеру.
И это будет маленький цикл постов про предотвращение/смягчение атак на wifi.
Что бы помешать хакеру провести захват WPA handshake через деаутентификацию, в момент детекта атаки мы можем начать отправлять в радиоэфир фейковые хэши. И что бы хакерский софт среагировал, достаточно отправить пакеты: beacon, EAPOL m1 и m2. А собрать произвольный handshake мы можем примерно так:
import hmac,hashlib
import random
def PRF_512(key,A,B):
return b''.join(hmac.new(key,A+chr(0).encode()+B+chr(i).encode(),hashlib.sha1).digest() for i in range(4))[:64]
def get_rand(n):
o = b''
for _ in range(n):
o += int(random.random()*255).to_bytes(1, 'big')
return o
pmk = hashlib.pbkdf2_hmac('sha1', password.encode(), essid.encode(), 4096, 32)
snonce = get_rand(32)
ptk = PRF_512(pmk, b"Pairwise key expansion", min(b(ap),b(sta))+max(b(ap),b(sta))+min(anonce,snonce)+max(anonce,snonce))
kck = ptk[0:16]
mic = hmac.new(kck, b"\x01\x03\x00\x75" + bytes(eapol_data_4[:77]) + bytes.fromhex("00000000000000000000000000000000") + bytes(eapol_data_4[93:]), hashlib.sha1).digest()[0:16]
eapol_data_4[77:77+16] = mic
Добавив вызов этого prevent-скрипта (https://github.com/s0i37/defence/blob/main/wifi/prevent/m2.py) в detect-скрипт (https://github.com/s0i37/defence/blob/main/wifi/deauth.py) мы получаем готовое решение для автоматического реагирования на атаку деаутентификации (скрин).