Forwarded from Threat Hunting Father 🦔
Inside China’s Hosting Ecosystem: 18,000+ Malware C2 Servers Mapped Across Major ISPs
Hunt.io проанализировали китайскую хостинг-инфраструктуру и залинковали 18 000+ активных C2-серверов с 48 провайдерами.
84% артефактов - C2, основной объём приходится на China Unicom, Alibaba Cloud и Tencent.
Доминируют фреймворки Mozi, ARL, Cobalt Strike, Mirai, Vshell.
В одних сетях сосуществуют commodity-малварь, фишинг и APT-активность, что очень интересно🔍
🔗 https://hunt.io/blog/china-hosting-malware-c2-infrastructure
🦔 THF
Hunt.io проанализировали китайскую хостинг-инфраструктуру и залинковали 18 000+ активных C2-серверов с 48 провайдерами.
84% артефактов - C2, основной объём приходится на China Unicom, Alibaba Cloud и Tencent.
Доминируют фреймворки Mozi, ARL, Cobalt Strike, Mirai, Vshell.
В одних сетях сосуществуют commodity-малварь, фишинг и APT-активность, что очень интересно
🦔 THF
Please open Telegram to view this post
VIEW IN TELEGRAM
hunt.io
Inside China’s Hosting Ecosystem: 18,000+ Malware C2 Servers Mapped Across Major ISPs
Discover how we mapped over 18,000 active malware C2 servers across Chinese ISPs and cloud providers using host-centric telemetry. See which providers are most frequently abused and what it means for global threat monitoring.
Forwarded from CyberSecrets
Задача для собеседования №4
Праздники закончились и теперь можно немного размять мозги. Ниже представлен сценарий, который может встретиться в реальных проектах.
Сценарий
После сбора информации было обнаружено, что группа доменных пользователей имеет привилегии на запись в директорию групповой политики
Дополнительные условия
- Есть доменная учетная запись пользователя.
- На всех хостах в сети установлены последние обновления.
- На директорию групповой политики установлено наследование.
Цель
- Получить привилегии доменного администратора.
Решение будет опубликовано через пару дней.
#Внутрянка #Задачи
Праздники закончились и теперь можно немного размять мозги. Ниже представлен сценарий, который может встретиться в реальных проектах.
Сценарий
После сбора информации было обнаружено, что группа доменных пользователей имеет привилегии на запись в директорию групповой политики
SMB SIGNING, сама политика устанавливает smb подпись на всех хостах принадлежащие OU WORKSTATION. В OU входит рабочая станция администратора I.IVANOV.Дополнительные условия
- Есть доменная учетная запись пользователя.
- На всех хостах в сети установлены последние обновления.
- На директорию групповой политики установлено наследование.
Цель
- Получить привилегии доменного администратора.
Решение будет опубликовано через пару дней.
#Внутрянка #Задачи
Forwarded from 1N73LL1G3NC3
ConfigManBearPig
PowerShell collector for adding SCCM attack paths to BloodHound with OpenGraph.
Blog: https://specterops.io/blog/2026/01/13/introducing-configmanbearpig-a-bloodhound-opengraph-collector-for-sccm
PowerShell collector for adding SCCM attack paths to BloodHound with OpenGraph.
Blog: https://specterops.io/blog/2026/01/13/introducing-configmanbearpig-a-bloodhound-opengraph-collector-for-sccm
www.opennet.ru
Let's Encrypt начал выдавать сертификаты для IP-адресов и 6-дневные сертификаты
Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, начал выдавать бесплатные сертификаты для IP-адресов, а также предоставил возможность получения TLS-сертификатов, время…
🔗Ссылка:
https://opennet.ru/64628/
https://opennet.ru/64628/
Forwarded from SecuriXy.kz
Парни сделали LOLAI - нечто похожее на LOLBins / LOLBAS / LOLDrivers.
LOLAI это база знаний которая описывает:
Attack Vectors: How these agents can be weaponized
Capabilities: What system access and permissions they have
Detection: Artifacts, logs, and IOCs for blue teams
MITRE ATT&CK Mapping: Aligned with industry frameworks
🖱 🔜 lolai-project.github.io
🦔 THF
Всегда поддерживаем хорошие идеи, колабы и порядочных и целеустремленных людей и товарищей по цеху. Максимальный репост друзья, дадим жизнь проекту‼️
LOLAI это база знаний которая описывает:
Attack Vectors: How these agents can be weaponized
Capabilities: What system access and permissions they have
Detection: Artifacts, logs, and IOCs for blue teams
MITRE ATT&CK Mapping: Aligned with industry frameworks
Всегда поддерживаем хорошие идеи, колабы и порядочных и целеустремленных людей и товарищей по цеху. Максимальный репост друзья, дадим жизнь проекту
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecuriXy.kz
🔥 Готовы впитать в себя 1.1 квадриллион NTLMv1-хэшей?
Google и Mandiant вывалили 8.6 ТБ предрасчитанных радужных таблиц - 1,122,334,455,667,788 паролей.
💀 NetNTLMv1: конец эпохи
💻 < $600 железа → < 12 часов → ключ в кармане.
🛠️Что нужно? - gsutil, DownThemAll, и много свободного места.
📦
Google и Mandiant вывалили 8.6 ТБ предрасчитанных радужных таблиц - 1,122,334,455,667,788 паролей.
💀 NetNTLMv1: конец эпохи
💻 < $600 железа → < 12 часов → ключ в кармане.
🛠️Что нужно? - gsutil, DownThemAll, и много свободного места.
📦
https://console.cloud.google.com/storage/browser/net-ntlmv1-tables/tables;tab=objects?pageState=("StorageObjectListTable":("f":"%255B%255D"))&pli=1&prefix=&forceOnObjectsSortingFiltering=falseForwarded from REDtalk (Alexey)
Привет! ⭐️
Первого января редтимерам сделали подарок на НГ и выпустили Sliver 1.6 🥳. Данная версия долго находилась на стадии разработки и не предполагалась для использования "на проде". Все последние релизы были на 1.5.*
В основные изменения версии 1.6 можно отнести:
*️⃣ Полностью переработанный CLI. Изменения очень понравились, особенно оценил фикс проблемы постоянных случайных выходов нажатием CTRL+C
*️⃣ Возможности работы одновременно с несколькими имплантами
*️⃣ Большое количество багфиксов и обновления зависимостей.
*️⃣ Обновление криптографии на клиент-сервере и импланте
Так как список изменений показан в виде 300+ пунктов, я решил структурировать их, особенно интересные выделил жирным.
Статистика (посчитана нейросетью, похожа на правду):
Багфиксы: ~120
Мажорные обновления: ~25
Обновления клиента/сервера: ~70
Обновления импланта: ~55
Обновления зависимостей: ~140
1️⃣ Общие изменения
*️⃣ Добавлены профили HTTP
*️⃣ Улучшена работа с логами
*️⃣ На официальную вики добавлены туториалы по использованию
*️⃣ Добавлена компиляция на Zig (Написано, что для кросс-компиляции, но я еще не смотрел подробно)
*️⃣ Расширенная конфигурация sliver-extentions (В частности, наконец-то поддержка self-hosted armory, для хранения бофов в закрытом виде)
*️⃣ Улучшена работа с криптографией (просмотр сертификатов, переделана генерация nonce)
2️⃣ Изменения импланта
*️⃣ Добавлен стейджер RC4
*️⃣ Возможность создания импланта в виже службы Windows
*️⃣ Добавлен враппер на системный вызов NtCreateThreadEx ( Один коммит с одной измененной строчкой, при этом сам вызов по-умолчанию не используется 👾 )
*️⃣ Создание процесса теперь работает в спрятанном окне, вместо совсем не подозрительного cmd.exe на весь рабочий стол ⌨️
*️⃣ Несколько важных фич, связанных с передачей трафика по DNS
3️⃣ Изменения клиента/сервера
*️⃣ Улучшено взаимодействие с msf при создании стейджера
*️⃣ Новая система консольного интерфейса (фреймворком так и осталась go cobra, но сам интерфейс очень сильно переделан)
*️⃣ Улучшенная работа с профилями
*️⃣ Добавлен листинг командной оболочки сливера
*️⃣ Улучшен socks прокси (интерфейс клиента, автоудаление)
*️⃣ Добавлена возможность мультиплеера через сеть Tailscale
*️⃣ Добавлены команды по работы с файлами (head, tail, upload (директорий), grep)
*️⃣ Поддержка запуска одной задачи для нескольких имплантов сразу
*️⃣ Поддержка сторонних систем сборок импланта
*️⃣ Добавлено редактирование прав доступа операторов
Первого января редтимерам сделали подарок на НГ и выпустили Sliver 1.6 🥳. Данная версия долго находилась на стадии разработки и не предполагалась для использования "на проде". Все последние релизы были на 1.5.*
В основные изменения версии 1.6 можно отнести:
Так как список изменений показан в виде 300+ пунктов, я решил структурировать их, особенно интересные выделил жирным.
Статистика (посчитана нейросетью, похожа на правду):
Багфиксы: ~120
Мажорные обновления: ~25
Обновления клиента/сервера: ~70
Обновления импланта: ~55
Обновления зависимостей: ~140
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Захват контроля над snap-пакетами, связанными с просроченными доменами
Алан Поуп (Alan Pope), бывший менеджер по инжинирингу и взаимодействию с сообществом в компании Canonical, обратил внимание на новую волну атак на пользователей каталога приложений Snap Store. Вместо регистрации новых учётных записей злоумышленники начали…
🔗Ссылка:
https://opennet.ru/64641/
https://opennet.ru/64641/