Хабр
В ПО Samsung Magician для мониторинга SSD устранена уязвимость CVE-2025-57836, позволяющая повысить привилегии в Windows
Разработчики фирменной утилиты Samsung Magician сообщили об устранении уязвимости CVE-2025-57836 , позволяющей выполнять процесс повышения привилегий обычному пользователю в ОС в Windows 11 с помощью...
🔗Ссылка:
https://habr.com/ru/news/983440/
https://habr.com/ru/news/983440/
Forwarded from Whitehat Lab
Обновление невидимого сетевого сниффера, предназначенного для поиска уязвимостей в сетевом оборудовании. Основан на анализе сетевого трафика, поэтому не создает никакого шума в эфире. Построен на библиотеке Scapy.
Данный инструмент будет полезен не только пентестерам, но и инженерам по сетевой безопасности.
Поддерживаемые сетевые протоколы:
MACSec (802.1X AE)
EAPOL (Checking 802.1X versions)
ARP (Host Discovery)
CDP (Cisco Discovery Protocol)
DTP (Dynamic Trunking Protocol)
LLDP (Link Layer Discovery Protocol)
VLAN (802.1Q)
S7COMM (Siemens) (SCADA)
OMRON (SCADA)
TACACS+ (Terminal Access Controller Access Control System Plus)
ModbusTCP (SCADA)
STP (Spanning Tree Protocol)
OSPF (Open Shortest Path First)
EIGRP (Enhanced Interior Gateway Routing Protocol)
BGP (Border Gateway Protocol)
VRRP (Virtual Router Redundancy Protocol)
HSRP (Host Standby Redundancy Protocol)
GLBP (Gateway Load Balancing Protocol)
IGMP (Internet Group Management Protocol)
LLMNR (Link Local Multicast Name Resolution)
NBT-NS (NetBIOS Name Service)
MDNS (Multicast DNS)
DHCP (Dynamic Host Configuration Protocol)
DHCPv6 (Dynamic Host Configuration Protocol v6)
ICMPv6 (Internet Control Message Protocol v6)
SSDP (Simple Service Discovery Protocol)
MNDP (MikroTik Neighbor Discovery Protocol)
SNMP (Simple Network Management Protocol)
В
sudo apt update && sudo apt install above
Работает в двух режимах:
Hot mode - работа непосредственно с сетевым интерфейсом и возможностью включить захват пакетов по таймеру
Cold mode - анализ дампов сетевого трафика
sudo above --interface eth0 --timer 120 --output above.pcap
above --input ospf-md5.cap
#above #sniffer #soft #python #network
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Whitehat Lab
Мой список инструментов, которыми пользуюсь на постоянной основе. Кто какие использует ?
#pivot #soft #network
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Стабильный релиз Wine 11.0
После года разработки и 25 экспериментальных версий представлен стабильный релиз открытой реализации Win32 API - Wine 11.0, который вобрал в себя более 6300 изменений и 600 исправлений ошибок. Из ключевых достижений в Wine 11.0 выделяется полная поддержка…
🔗Ссылка:
https://opennet.ru/64604/
https://opennet.ru/64604/
Forwarded from RedTeam brazzers (Миша)
Всем привет!
Делюсь с вами долгожданной третьей частью Impacket Programming Guide! В этой части мы разобрали основные концепции библиотеки, рассмотрели несколько MSRPC протоколов, а в конце я создал инструмент, который использует кастомный RPC сервер для исполнения команд, что может стать полезным для бокового перемещения : )
Помимо того, реализовал функционал скачивания/загрузки файлов, ползанья по файловой системе и все это — в интерактивном шелле!
Статья: https://medium.com/@cicada-8/impacket-developer-guide-part-3-make-your-own-lateral-movement-a2f8181f657b
POC: https://github.com/CICADA8-Research/RpcMotion
@RedTeamBro
Делюсь с вами долгожданной третьей частью Impacket Programming Guide! В этой части мы разобрали основные концепции библиотеки, рассмотрели несколько MSRPC протоколов, а в конце я создал инструмент, который использует кастомный RPC сервер для исполнения команд, что может стать полезным для бокового перемещения : )
Помимо того, реализовал функционал скачивания/загрузки файлов, ползанья по файловой системе и все это — в интерактивном шелле!
Статья: https://medium.com/@cicada-8/impacket-developer-guide-part-3-make-your-own-lateral-movement-a2f8181f657b
POC: https://github.com/CICADA8-Research/RpcMotion
@RedTeamBro
Forwarded from purple shift
Предполагается, что Windows Defender, или Защитник Windows, должен защищать пользователей OC Windows от вредоносных программ. Неудивительно, что злоумышленники ищут способы вырубить этот встроенный антивирус.
В 2025 году появилось несколько новых атак, позволяющих это сделать. Летом мы рассказывали о техниках с использованием уязвимого драйвера (BYOVD). А осенью исследователи из Zero Salarium обнародовали метод отключения Windows Defender без всякого дополнительного ПО — через символическую ссылку (symlink).
Как устроена атака:
Windows Defender хранит свою исполняемую часть в такой папке:
Каждый раз, когда Defender обновляется, создаётся новая подпапка с номером версии, и служба Defender запускается именно из неё.
Прав Администратора недостаточно для создания и изменения файлов в директориях Defender, в том числе и в директории Platform. Однако администратор может в ней создать другую папку. А также создать символическую ссылку на подконтрольную директорию.
Это приведёт к тому, что после успешной подмены пути Defender начинает использовать файлы из папки под контролем атакующего, что позволяет:
— внедрять свои библиотеки (DLL sideloading);
— исполнять произвольный код в контексте службы Defender;
— изменять или удалять исполняемые файлы Defender;
— просто ломать работу Defender (удаление символической ссылки делает невозможным запуск службы MS Defender).
Проще говоря, злоумышленник может полностью нейтрализовать или контролировать Defender без использования каких-либо сторонних инструментов. Для этого ему нужно:
1) Скопировать последнюю версию Defender из
2) В каталоге
3) Перезагрузить Windows.
После перезагрузки будет использоваться якобы новая версия Defender, обновятся абсолютные пути в реестре, которые через символическую ссылку будут указывать на директорию
Как защищаться:
Поскольку создание символических ссылок не логируется системой, нужно выявлять их создание, отлавливая командные строки с аргументами
В 2025 году появилось несколько новых атак, позволяющих это сделать. Летом мы рассказывали о техниках с использованием уязвимого драйвера (BYOVD). А осенью исследователи из Zero Salarium обнародовали метод отключения Windows Defender без всякого дополнительного ПО — через символическую ссылку (symlink).
Как устроена атака:
Windows Defender хранит свою исполняемую часть в такой папке:
%PROGRAMDATA%\Microsoft\Windows Defender\Platform\[номер_версии]
Каждый раз, когда Defender обновляется, создаётся новая подпапка с номером версии, и служба Defender запускается именно из неё.
Прав Администратора недостаточно для создания и изменения файлов в директориях Defender, в том числе и в директории Platform. Однако администратор может в ней создать другую папку. А также создать символическую ссылку на подконтрольную директорию.
Это приведёт к тому, что после успешной подмены пути Defender начинает использовать файлы из папки под контролем атакующего, что позволяет:
— внедрять свои библиотеки (DLL sideloading);
— исполнять произвольный код в контексте службы Defender;
— изменять или удалять исполняемые файлы Defender;
— просто ломать работу Defender (удаление символической ссылки делает невозможным запуск службы MS Defender).
Проще говоря, злоумышленник может полностью нейтрализовать или контролировать Defender без использования каких-либо сторонних инструментов. Для этого ему нужно:
1) Скопировать последнюю версию Defender из
Platform в другую папку — допустим, в C:\temp\999 2) В каталоге
Platform создать символическую ссылку с именем, соответствующим более поздней версии (например, для текущей версии 4.18.25020.1009-0 дать название 5.18.25020.1009-0). Для этого выполнить команду: mklink /D "C:\ProgramData\Microsoft\Windows Defender\Platform\5.18.25020.1009-0" "C:\temp\999"
3) Перезагрузить Windows.
После перезагрузки будет использоваться якобы новая версия Defender, обновятся абсолютные пути в реестре, которые через символическую ссылку будут указывать на директорию
C:\temp\999. Удаление этой ссылки приведет к тому, что Defender перестанет запускаться. Как защищаться:
Поскольку создание символических ссылок не логируется системой, нужно выявлять их создание, отлавливая командные строки с аргументами
mklink, New-SymLink, symboliclink и директорией \Windows Defender\Platform\Forwarded from AP Security
#defensive
Mjolnir CVE tracker🌎
Компактное веб-приложение, позволяющая отслеживать угрозы и уровень активности их эксплуатации, фильтровать уязвимости по популярным приложениям.
Mjolnir CVE tracker
Компактное веб-приложение, позволяющая отслеживать угрозы и уровень активности их эксплуатации, фильтровать уязвимости по популярным приложениям.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1🤝1
Forwarded from Threat Hunting Father 🦔
Inside China’s Hosting Ecosystem: 18,000+ Malware C2 Servers Mapped Across Major ISPs
Hunt.io проанализировали китайскую хостинг-инфраструктуру и залинковали 18 000+ активных C2-серверов с 48 провайдерами.
84% артефактов - C2, основной объём приходится на China Unicom, Alibaba Cloud и Tencent.
Доминируют фреймворки Mozi, ARL, Cobalt Strike, Mirai, Vshell.
В одних сетях сосуществуют commodity-малварь, фишинг и APT-активность, что очень интересно🔍
🔗 https://hunt.io/blog/china-hosting-malware-c2-infrastructure
🦔 THF
Hunt.io проанализировали китайскую хостинг-инфраструктуру и залинковали 18 000+ активных C2-серверов с 48 провайдерами.
84% артефактов - C2, основной объём приходится на China Unicom, Alibaba Cloud и Tencent.
Доминируют фреймворки Mozi, ARL, Cobalt Strike, Mirai, Vshell.
В одних сетях сосуществуют commodity-малварь, фишинг и APT-активность, что очень интересно
🦔 THF
Please open Telegram to view this post
VIEW IN TELEGRAM
hunt.io
Inside China’s Hosting Ecosystem: 18,000+ Malware C2 Servers Mapped Across Major ISPs
Discover how we mapped over 18,000 active malware C2 servers across Chinese ISPs and cloud providers using host-centric telemetry. See which providers are most frequently abused and what it means for global threat monitoring.
Forwarded from CyberSecrets
Задача для собеседования №4
Праздники закончились и теперь можно немного размять мозги. Ниже представлен сценарий, который может встретиться в реальных проектах.
Сценарий
После сбора информации было обнаружено, что группа доменных пользователей имеет привилегии на запись в директорию групповой политики
Дополнительные условия
- Есть доменная учетная запись пользователя.
- На всех хостах в сети установлены последние обновления.
- На директорию групповой политики установлено наследование.
Цель
- Получить привилегии доменного администратора.
Решение будет опубликовано через пару дней.
#Внутрянка #Задачи
Праздники закончились и теперь можно немного размять мозги. Ниже представлен сценарий, который может встретиться в реальных проектах.
Сценарий
После сбора информации было обнаружено, что группа доменных пользователей имеет привилегии на запись в директорию групповой политики
SMB SIGNING, сама политика устанавливает smb подпись на всех хостах принадлежащие OU WORKSTATION. В OU входит рабочая станция администратора I.IVANOV.Дополнительные условия
- Есть доменная учетная запись пользователя.
- На всех хостах в сети установлены последние обновления.
- На директорию групповой политики установлено наследование.
Цель
- Получить привилегии доменного администратора.
Решение будет опубликовано через пару дней.
#Внутрянка #Задачи