Forwarded from Whitehat Lab
Мой список инструментов, которыми пользуюсь на постоянной основе. Кто какие использует ?
#pivot #soft #network
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Стабильный релиз Wine 11.0
После года разработки и 25 экспериментальных версий представлен стабильный релиз открытой реализации Win32 API - Wine 11.0, который вобрал в себя более 6300 изменений и 600 исправлений ошибок. Из ключевых достижений в Wine 11.0 выделяется полная поддержка…
🔗Ссылка:
https://opennet.ru/64604/
https://opennet.ru/64604/
Forwarded from RedTeam brazzers (Миша)
Всем привет!
Делюсь с вами долгожданной третьей частью Impacket Programming Guide! В этой части мы разобрали основные концепции библиотеки, рассмотрели несколько MSRPC протоколов, а в конце я создал инструмент, который использует кастомный RPC сервер для исполнения команд, что может стать полезным для бокового перемещения : )
Помимо того, реализовал функционал скачивания/загрузки файлов, ползанья по файловой системе и все это — в интерактивном шелле!
Статья: https://medium.com/@cicada-8/impacket-developer-guide-part-3-make-your-own-lateral-movement-a2f8181f657b
POC: https://github.com/CICADA8-Research/RpcMotion
@RedTeamBro
Делюсь с вами долгожданной третьей частью Impacket Programming Guide! В этой части мы разобрали основные концепции библиотеки, рассмотрели несколько MSRPC протоколов, а в конце я создал инструмент, который использует кастомный RPC сервер для исполнения команд, что может стать полезным для бокового перемещения : )
Помимо того, реализовал функционал скачивания/загрузки файлов, ползанья по файловой системе и все это — в интерактивном шелле!
Статья: https://medium.com/@cicada-8/impacket-developer-guide-part-3-make-your-own-lateral-movement-a2f8181f657b
POC: https://github.com/CICADA8-Research/RpcMotion
@RedTeamBro
Forwarded from purple shift
Предполагается, что Windows Defender, или Защитник Windows, должен защищать пользователей OC Windows от вредоносных программ. Неудивительно, что злоумышленники ищут способы вырубить этот встроенный антивирус.
В 2025 году появилось несколько новых атак, позволяющих это сделать. Летом мы рассказывали о техниках с использованием уязвимого драйвера (BYOVD). А осенью исследователи из Zero Salarium обнародовали метод отключения Windows Defender без всякого дополнительного ПО — через символическую ссылку (symlink).
Как устроена атака:
Windows Defender хранит свою исполняемую часть в такой папке:
Каждый раз, когда Defender обновляется, создаётся новая подпапка с номером версии, и служба Defender запускается именно из неё.
Прав Администратора недостаточно для создания и изменения файлов в директориях Defender, в том числе и в директории Platform. Однако администратор может в ней создать другую папку. А также создать символическую ссылку на подконтрольную директорию.
Это приведёт к тому, что после успешной подмены пути Defender начинает использовать файлы из папки под контролем атакующего, что позволяет:
— внедрять свои библиотеки (DLL sideloading);
— исполнять произвольный код в контексте службы Defender;
— изменять или удалять исполняемые файлы Defender;
— просто ломать работу Defender (удаление символической ссылки делает невозможным запуск службы MS Defender).
Проще говоря, злоумышленник может полностью нейтрализовать или контролировать Defender без использования каких-либо сторонних инструментов. Для этого ему нужно:
1) Скопировать последнюю версию Defender из
2) В каталоге
3) Перезагрузить Windows.
После перезагрузки будет использоваться якобы новая версия Defender, обновятся абсолютные пути в реестре, которые через символическую ссылку будут указывать на директорию
Как защищаться:
Поскольку создание символических ссылок не логируется системой, нужно выявлять их создание, отлавливая командные строки с аргументами
В 2025 году появилось несколько новых атак, позволяющих это сделать. Летом мы рассказывали о техниках с использованием уязвимого драйвера (BYOVD). А осенью исследователи из Zero Salarium обнародовали метод отключения Windows Defender без всякого дополнительного ПО — через символическую ссылку (symlink).
Как устроена атака:
Windows Defender хранит свою исполняемую часть в такой папке:
%PROGRAMDATA%\Microsoft\Windows Defender\Platform\[номер_версии]
Каждый раз, когда Defender обновляется, создаётся новая подпапка с номером версии, и служба Defender запускается именно из неё.
Прав Администратора недостаточно для создания и изменения файлов в директориях Defender, в том числе и в директории Platform. Однако администратор может в ней создать другую папку. А также создать символическую ссылку на подконтрольную директорию.
Это приведёт к тому, что после успешной подмены пути Defender начинает использовать файлы из папки под контролем атакующего, что позволяет:
— внедрять свои библиотеки (DLL sideloading);
— исполнять произвольный код в контексте службы Defender;
— изменять или удалять исполняемые файлы Defender;
— просто ломать работу Defender (удаление символической ссылки делает невозможным запуск службы MS Defender).
Проще говоря, злоумышленник может полностью нейтрализовать или контролировать Defender без использования каких-либо сторонних инструментов. Для этого ему нужно:
1) Скопировать последнюю версию Defender из
Platform в другую папку — допустим, в C:\temp\999 2) В каталоге
Platform создать символическую ссылку с именем, соответствующим более поздней версии (например, для текущей версии 4.18.25020.1009-0 дать название 5.18.25020.1009-0). Для этого выполнить команду: mklink /D "C:\ProgramData\Microsoft\Windows Defender\Platform\5.18.25020.1009-0" "C:\temp\999"
3) Перезагрузить Windows.
После перезагрузки будет использоваться якобы новая версия Defender, обновятся абсолютные пути в реестре, которые через символическую ссылку будут указывать на директорию
C:\temp\999. Удаление этой ссылки приведет к тому, что Defender перестанет запускаться. Как защищаться:
Поскольку создание символических ссылок не логируется системой, нужно выявлять их создание, отлавливая командные строки с аргументами
mklink, New-SymLink, symboliclink и директорией \Windows Defender\Platform\Forwarded from AP Security
#defensive
Mjolnir CVE tracker🌎
Компактное веб-приложение, позволяющая отслеживать угрозы и уровень активности их эксплуатации, фильтровать уязвимости по популярным приложениям.
Mjolnir CVE tracker
Компактное веб-приложение, позволяющая отслеживать угрозы и уровень активности их эксплуатации, фильтровать уязвимости по популярным приложениям.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1🤝1
Forwarded from Threat Hunting Father 🦔
Inside China’s Hosting Ecosystem: 18,000+ Malware C2 Servers Mapped Across Major ISPs
Hunt.io проанализировали китайскую хостинг-инфраструктуру и залинковали 18 000+ активных C2-серверов с 48 провайдерами.
84% артефактов - C2, основной объём приходится на China Unicom, Alibaba Cloud и Tencent.
Доминируют фреймворки Mozi, ARL, Cobalt Strike, Mirai, Vshell.
В одних сетях сосуществуют commodity-малварь, фишинг и APT-активность, что очень интересно🔍
🔗 https://hunt.io/blog/china-hosting-malware-c2-infrastructure
🦔 THF
Hunt.io проанализировали китайскую хостинг-инфраструктуру и залинковали 18 000+ активных C2-серверов с 48 провайдерами.
84% артефактов - C2, основной объём приходится на China Unicom, Alibaba Cloud и Tencent.
Доминируют фреймворки Mozi, ARL, Cobalt Strike, Mirai, Vshell.
В одних сетях сосуществуют commodity-малварь, фишинг и APT-активность, что очень интересно
🦔 THF
Please open Telegram to view this post
VIEW IN TELEGRAM
hunt.io
Inside China’s Hosting Ecosystem: 18,000+ Malware C2 Servers Mapped Across Major ISPs
Discover how we mapped over 18,000 active malware C2 servers across Chinese ISPs and cloud providers using host-centric telemetry. See which providers are most frequently abused and what it means for global threat monitoring.
Forwarded from CyberSecrets
Задача для собеседования №4
Праздники закончились и теперь можно немного размять мозги. Ниже представлен сценарий, который может встретиться в реальных проектах.
Сценарий
После сбора информации было обнаружено, что группа доменных пользователей имеет привилегии на запись в директорию групповой политики
Дополнительные условия
- Есть доменная учетная запись пользователя.
- На всех хостах в сети установлены последние обновления.
- На директорию групповой политики установлено наследование.
Цель
- Получить привилегии доменного администратора.
Решение будет опубликовано через пару дней.
#Внутрянка #Задачи
Праздники закончились и теперь можно немного размять мозги. Ниже представлен сценарий, который может встретиться в реальных проектах.
Сценарий
После сбора информации было обнаружено, что группа доменных пользователей имеет привилегии на запись в директорию групповой политики
SMB SIGNING, сама политика устанавливает smb подпись на всех хостах принадлежащие OU WORKSTATION. В OU входит рабочая станция администратора I.IVANOV.Дополнительные условия
- Есть доменная учетная запись пользователя.
- На всех хостах в сети установлены последние обновления.
- На директорию групповой политики установлено наследование.
Цель
- Получить привилегии доменного администратора.
Решение будет опубликовано через пару дней.
#Внутрянка #Задачи