Forwarded from purple shift
Предполагается, что Windows Defender, или Защитник Windows, должен защищать пользователей OC Windows от вредоносных программ. Неудивительно, что злоумышленники ищут способы вырубить этот встроенный антивирус.
В 2025 году появилось несколько новых атак, позволяющих это сделать. Летом мы рассказывали о техниках с использованием уязвимого драйвера (BYOVD). А осенью исследователи из Zero Salarium обнародовали метод отключения Windows Defender без всякого дополнительного ПО — через символическую ссылку (symlink).
Как устроена атака:
Windows Defender хранит свою исполняемую часть в такой папке:
Каждый раз, когда Defender обновляется, создаётся новая подпапка с номером версии, и служба Defender запускается именно из неё.
Прав Администратора недостаточно для создания и изменения файлов в директориях Defender, в том числе и в директории Platform. Однако администратор может в ней создать другую папку. А также создать символическую ссылку на подконтрольную директорию.
Это приведёт к тому, что после успешной подмены пути Defender начинает использовать файлы из папки под контролем атакующего, что позволяет:
— внедрять свои библиотеки (DLL sideloading);
— исполнять произвольный код в контексте службы Defender;
— изменять или удалять исполняемые файлы Defender;
— просто ломать работу Defender (удаление символической ссылки делает невозможным запуск службы MS Defender).
Проще говоря, злоумышленник может полностью нейтрализовать или контролировать Defender без использования каких-либо сторонних инструментов. Для этого ему нужно:
1) Скопировать последнюю версию Defender из
2) В каталоге
3) Перезагрузить Windows.
После перезагрузки будет использоваться якобы новая версия Defender, обновятся абсолютные пути в реестре, которые через символическую ссылку будут указывать на директорию
Как защищаться:
Поскольку создание символических ссылок не логируется системой, нужно выявлять их создание, отлавливая командные строки с аргументами
В 2025 году появилось несколько новых атак, позволяющих это сделать. Летом мы рассказывали о техниках с использованием уязвимого драйвера (BYOVD). А осенью исследователи из Zero Salarium обнародовали метод отключения Windows Defender без всякого дополнительного ПО — через символическую ссылку (symlink).
Как устроена атака:
Windows Defender хранит свою исполняемую часть в такой папке:
%PROGRAMDATA%\Microsoft\Windows Defender\Platform\[номер_версии]
Каждый раз, когда Defender обновляется, создаётся новая подпапка с номером версии, и служба Defender запускается именно из неё.
Прав Администратора недостаточно для создания и изменения файлов в директориях Defender, в том числе и в директории Platform. Однако администратор может в ней создать другую папку. А также создать символическую ссылку на подконтрольную директорию.
Это приведёт к тому, что после успешной подмены пути Defender начинает использовать файлы из папки под контролем атакующего, что позволяет:
— внедрять свои библиотеки (DLL sideloading);
— исполнять произвольный код в контексте службы Defender;
— изменять или удалять исполняемые файлы Defender;
— просто ломать работу Defender (удаление символической ссылки делает невозможным запуск службы MS Defender).
Проще говоря, злоумышленник может полностью нейтрализовать или контролировать Defender без использования каких-либо сторонних инструментов. Для этого ему нужно:
1) Скопировать последнюю версию Defender из
Platform в другую папку — допустим, в C:\temp\999 2) В каталоге
Platform создать символическую ссылку с именем, соответствующим более поздней версии (например, для текущей версии 4.18.25020.1009-0 дать название 5.18.25020.1009-0). Для этого выполнить команду: mklink /D "C:\ProgramData\Microsoft\Windows Defender\Platform\5.18.25020.1009-0" "C:\temp\999"
3) Перезагрузить Windows.
После перезагрузки будет использоваться якобы новая версия Defender, обновятся абсолютные пути в реестре, которые через символическую ссылку будут указывать на директорию
C:\temp\999. Удаление этой ссылки приведет к тому, что Defender перестанет запускаться. Как защищаться:
Поскольку создание символических ссылок не логируется системой, нужно выявлять их создание, отлавливая командные строки с аргументами
mklink, New-SymLink, symboliclink и директорией \Windows Defender\Platform\Forwarded from AP Security
#defensive
Mjolnir CVE tracker🌎
Компактное веб-приложение, позволяющая отслеживать угрозы и уровень активности их эксплуатации, фильтровать уязвимости по популярным приложениям.
Mjolnir CVE tracker
Компактное веб-приложение, позволяющая отслеживать угрозы и уровень активности их эксплуатации, фильтровать уязвимости по популярным приложениям.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1🤝1
Forwarded from Threat Hunting Father 🦔
Inside China’s Hosting Ecosystem: 18,000+ Malware C2 Servers Mapped Across Major ISPs
Hunt.io проанализировали китайскую хостинг-инфраструктуру и залинковали 18 000+ активных C2-серверов с 48 провайдерами.
84% артефактов - C2, основной объём приходится на China Unicom, Alibaba Cloud и Tencent.
Доминируют фреймворки Mozi, ARL, Cobalt Strike, Mirai, Vshell.
В одних сетях сосуществуют commodity-малварь, фишинг и APT-активность, что очень интересно🔍
🔗 https://hunt.io/blog/china-hosting-malware-c2-infrastructure
🦔 THF
Hunt.io проанализировали китайскую хостинг-инфраструктуру и залинковали 18 000+ активных C2-серверов с 48 провайдерами.
84% артефактов - C2, основной объём приходится на China Unicom, Alibaba Cloud и Tencent.
Доминируют фреймворки Mozi, ARL, Cobalt Strike, Mirai, Vshell.
В одних сетях сосуществуют commodity-малварь, фишинг и APT-активность, что очень интересно
🦔 THF
Please open Telegram to view this post
VIEW IN TELEGRAM
hunt.io
Inside China’s Hosting Ecosystem: 18,000+ Malware C2 Servers Mapped Across Major ISPs
Discover how we mapped over 18,000 active malware C2 servers across Chinese ISPs and cloud providers using host-centric telemetry. See which providers are most frequently abused and what it means for global threat monitoring.
Forwarded from CyberSecrets
Задача для собеседования №4
Праздники закончились и теперь можно немного размять мозги. Ниже представлен сценарий, который может встретиться в реальных проектах.
Сценарий
После сбора информации было обнаружено, что группа доменных пользователей имеет привилегии на запись в директорию групповой политики
Дополнительные условия
- Есть доменная учетная запись пользователя.
- На всех хостах в сети установлены последние обновления.
- На директорию групповой политики установлено наследование.
Цель
- Получить привилегии доменного администратора.
Решение будет опубликовано через пару дней.
#Внутрянка #Задачи
Праздники закончились и теперь можно немного размять мозги. Ниже представлен сценарий, который может встретиться в реальных проектах.
Сценарий
После сбора информации было обнаружено, что группа доменных пользователей имеет привилегии на запись в директорию групповой политики
SMB SIGNING, сама политика устанавливает smb подпись на всех хостах принадлежащие OU WORKSTATION. В OU входит рабочая станция администратора I.IVANOV.Дополнительные условия
- Есть доменная учетная запись пользователя.
- На всех хостах в сети установлены последние обновления.
- На директорию групповой политики установлено наследование.
Цель
- Получить привилегии доменного администратора.
Решение будет опубликовано через пару дней.
#Внутрянка #Задачи
Forwarded from 1N73LL1G3NC3
ConfigManBearPig
PowerShell collector for adding SCCM attack paths to BloodHound with OpenGraph.
Blog: https://specterops.io/blog/2026/01/13/introducing-configmanbearpig-a-bloodhound-opengraph-collector-for-sccm
PowerShell collector for adding SCCM attack paths to BloodHound with OpenGraph.
Blog: https://specterops.io/blog/2026/01/13/introducing-configmanbearpig-a-bloodhound-opengraph-collector-for-sccm
www.opennet.ru
Let's Encrypt начал выдавать сертификаты для IP-адресов и 6-дневные сертификаты
Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, начал выдавать бесплатные сертификаты для IP-адресов, а также предоставил возможность получения TLS-сертификатов, время…
🔗Ссылка:
https://opennet.ru/64628/
https://opennet.ru/64628/
Forwarded from SecuriXy.kz
Парни сделали LOLAI - нечто похожее на LOLBins / LOLBAS / LOLDrivers.
LOLAI это база знаний которая описывает:
Attack Vectors: How these agents can be weaponized
Capabilities: What system access and permissions they have
Detection: Artifacts, logs, and IOCs for blue teams
MITRE ATT&CK Mapping: Aligned with industry frameworks
🖱 🔜 lolai-project.github.io
🦔 THF
Всегда поддерживаем хорошие идеи, колабы и порядочных и целеустремленных людей и товарищей по цеху. Максимальный репост друзья, дадим жизнь проекту‼️
LOLAI это база знаний которая описывает:
Attack Vectors: How these agents can be weaponized
Capabilities: What system access and permissions they have
Detection: Artifacts, logs, and IOCs for blue teams
MITRE ATT&CK Mapping: Aligned with industry frameworks
Всегда поддерживаем хорошие идеи, колабы и порядочных и целеустремленных людей и товарищей по цеху. Максимальный репост друзья, дадим жизнь проекту
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecuriXy.kz
🔥 Готовы впитать в себя 1.1 квадриллион NTLMv1-хэшей?
Google и Mandiant вывалили 8.6 ТБ предрасчитанных радужных таблиц - 1,122,334,455,667,788 паролей.
💀 NetNTLMv1: конец эпохи
💻 < $600 железа → < 12 часов → ключ в кармане.
🛠️Что нужно? - gsutil, DownThemAll, и много свободного места.
📦
Google и Mandiant вывалили 8.6 ТБ предрасчитанных радужных таблиц - 1,122,334,455,667,788 паролей.
💀 NetNTLMv1: конец эпохи
💻 < $600 железа → < 12 часов → ключ в кармане.
🛠️Что нужно? - gsutil, DownThemAll, и много свободного места.
📦
https://console.cloud.google.com/storage/browser/net-ntlmv1-tables/tables;tab=objects?pageState=("StorageObjectListTable":("f":"%255B%255D"))&pli=1&prefix=&forceOnObjectsSortingFiltering=false