Forwarded from #memekatz
This media is not supported in your browser
VIEW IN TELEGRAM
Когда на пентесте уложил прод заказчику (уже неделю чинят)
😁1
InfoGuard Labs
CVE-2025-13176: Local Privilege Escalation in ESET Inspect EDR - InfoGuard Labs
Local Privilege Escalation (LPE) in ESET Inspect Connector for Windows via OpenSSL configuration (openssl.cnf).
Forwarded from purple shift
Недавний кейс из нашей практики — отличный пример того, как атакующие комбинируют легитимные инструменты для устойчивого удалённого доступа.
После получения повышенных привилегий на хосте злоумышленники установили Velociraptor, указав в
После базового Discovery они скачали Visual Studio Code (Insiders) и установили VS Code Tunnel в режиме Install as a service. Важно понимать, что под капотом это не «настоящий сервис», а запись в Run-ключе:
Далее — ещё немного Discovery, но уже через VS Code Server, и следующим шагом появляется Cloudflare Tunnel.
Однако и этого атакующим оказалось недостаточно: финальным штрихом стал Zoho Assist в режиме Unattended Remote Session, позволяющий подключаться к системе без какого-либо подтверждения со стороны пользователя.
Итог: четыре независимых канала удалённого доступа к одному хосту. При этом три из них — Velociraptor, VS Code Tunnel\Server и Zoho Assist — встречаются не так уж часто.
Что здесь можно детектировать?
— Velociraptor. Если вы его не используете, любое появление этого сервиса уже будет красным флагом. А если используете — контролируйте список допустимых серверов, так как обращения к посторонним
— VS Code Tunnel. Обращайте внимание на установку сервиса, будут примерно такие команды:
Также смотрите на Run-ключ:
И ещё обращайте внимание на активность от процессов VS Code Server, расположенных по пути
— Cloudflare Tunnel. При старте/остановке сервиса и запуске туннеля генерируется EventID: 1 в журнале Application (Source: Cloudflared) — это удобная точка для алертов.
— Zoho Assist. Для его использования в режиме Unattended требуется запуск сервиса Zoho Assist – Unattended Support, реализованного в файле
После получения повышенных привилегий на хосте злоумышленники установили Velociraptor, указав в
server_urls свой C2-сервер. С этого момента дальнейшее управление системой осуществлялось уже через него. После базового Discovery они скачали Visual Studio Code (Insiders) и установили VS Code Tunnel в режиме Install as a service. Важно понимать, что под капотом это не «настоящий сервис», а запись в Run-ключе:
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run Далее — ещё немного Discovery, но уже через VS Code Server, и следующим шагом появляется Cloudflare Tunnel.
Однако и этого атакующим оказалось недостаточно: финальным штрихом стал Zoho Assist в режиме Unattended Remote Session, позволяющий подключаться к системе без какого-либо подтверждения со стороны пользователя.
Итог: четыре независимых канала удалённого доступа к одному хосту. При этом три из них — Velociraptor, VS Code Tunnel\Server и Zoho Assist — встречаются не так уж часто.
Что здесь можно детектировать?
— Velociraptor. Если вы его не используете, любое появление этого сервиса уже будет красным флагом. А если используете — контролируйте список допустимых серверов, так как обращения к посторонним
server_urls выглядят крайне подозрительно. — VS Code Tunnel. Обращайте внимание на установку сервиса, будут примерно такие команды:
code-insiders.exe tunnel --accept-server-license-terms service install
code-tunnel.exe tunnel service uninstall
Также смотрите на Run-ключ:
key: Visual Studio Code - Insiders Tunnel
value: ...\code-insiders.exe --verbose --cli-data-dir C:\Windows\system32\config\systemprofile\.vscode-insiders\cli tunnel service internal-run --log-to-file C:\Windows\system32\config\systemprofile\.vscode-insiders\cli\tunnel-service.log
И ещё обращайте внимание на активность от процессов VS Code Server, расположенных по пути
.vscode\cli\servers\ или .vscode-insiders\cli\servers\. — Cloudflare Tunnel. При старте/остановке сервиса и запуске туннеля генерируется EventID: 1 в журнале Application (Source: Cloudflared) — это удобная точка для алертов.
— Zoho Assist. Для его использования в режиме Unattended требуется запуск сервиса Zoho Assist – Unattended Support, реализованного в файле
...\ZohoMeeting\UnAttended\ZohoMeeting\ZohoURSService.exe.Forwarded from Whitehat Lab
Набор техник для получения первоначального доступа к AD инфраструктуре
The complete red team guide to Initial Access: Payload Development (DLL Sideloading, Shellcode Loaders, Syscalls), HTML Smuggling, Phishing (QR Code Quishing, Teams Phishing), AitM/MFA Bypass (Evilginx, Device Code Phishing), Password Spraying, Exploiting Public-Facing Applications, Vishing, Physical Access (Rubber Ducky, Bash Bunny), Supply Chain attacks with real-world APT case studies
Каждая техника в этом руководстве соответствует MITRE ATT&CK Tactic TA0001 Initial Access
#windows #redteam #initial #phishing #ad
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 🕷 BugBountyRu
Одна из проблем техник байпаса WAF — они быстро устаревают. То, что работало вчера, сегодня уже режется сигнатурами.
Gareth Heyes из PortSwigger подошёл к этому системно: поддерживает актуальную шпаргалку на базе Shazzer, которая помогает тестировать XSS-фильтры через мутации и нестандартные конструкции.
Что внутри полезного:
Главная идея — не «волшебный пэйлоад», а системная генерация мутаций, которые помогают найти слабое место.
Для тестирования кодировок и трансформаций удобно использовать Hackvertor — ускоряет ресёрч и помогает автоматизировать вариации.
Please open Telegram to view this post
VIEW IN TELEGRAM