Forwarded from purple shift
Недавний кейс из нашей практики — отличный пример того, как атакующие комбинируют легитимные инструменты для устойчивого удалённого доступа.
После получения повышенных привилегий на хосте злоумышленники установили Velociraptor, указав в
После базового Discovery они скачали Visual Studio Code (Insiders) и установили VS Code Tunnel в режиме Install as a service. Важно понимать, что под капотом это не «настоящий сервис», а запись в Run-ключе:
Далее — ещё немного Discovery, но уже через VS Code Server, и следующим шагом появляется Cloudflare Tunnel.
Однако и этого атакующим оказалось недостаточно: финальным штрихом стал Zoho Assist в режиме Unattended Remote Session, позволяющий подключаться к системе без какого-либо подтверждения со стороны пользователя.
Итог: четыре независимых канала удалённого доступа к одному хосту. При этом три из них — Velociraptor, VS Code Tunnel\Server и Zoho Assist — встречаются не так уж часто.
Что здесь можно детектировать?
— Velociraptor. Если вы его не используете, любое появление этого сервиса уже будет красным флагом. А если используете — контролируйте список допустимых серверов, так как обращения к посторонним
— VS Code Tunnel. Обращайте внимание на установку сервиса, будут примерно такие команды:
Также смотрите на Run-ключ:
И ещё обращайте внимание на активность от процессов VS Code Server, расположенных по пути
— Cloudflare Tunnel. При старте/остановке сервиса и запуске туннеля генерируется EventID: 1 в журнале Application (Source: Cloudflared) — это удобная точка для алертов.
— Zoho Assist. Для его использования в режиме Unattended требуется запуск сервиса Zoho Assist – Unattended Support, реализованного в файле
После получения повышенных привилегий на хосте злоумышленники установили Velociraptor, указав в
server_urls свой C2-сервер. С этого момента дальнейшее управление системой осуществлялось уже через него. После базового Discovery они скачали Visual Studio Code (Insiders) и установили VS Code Tunnel в режиме Install as a service. Важно понимать, что под капотом это не «настоящий сервис», а запись в Run-ключе:
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run Далее — ещё немного Discovery, но уже через VS Code Server, и следующим шагом появляется Cloudflare Tunnel.
Однако и этого атакующим оказалось недостаточно: финальным штрихом стал Zoho Assist в режиме Unattended Remote Session, позволяющий подключаться к системе без какого-либо подтверждения со стороны пользователя.
Итог: четыре независимых канала удалённого доступа к одному хосту. При этом три из них — Velociraptor, VS Code Tunnel\Server и Zoho Assist — встречаются не так уж часто.
Что здесь можно детектировать?
— Velociraptor. Если вы его не используете, любое появление этого сервиса уже будет красным флагом. А если используете — контролируйте список допустимых серверов, так как обращения к посторонним
server_urls выглядят крайне подозрительно. — VS Code Tunnel. Обращайте внимание на установку сервиса, будут примерно такие команды:
code-insiders.exe tunnel --accept-server-license-terms service install
code-tunnel.exe tunnel service uninstall
Также смотрите на Run-ключ:
key: Visual Studio Code - Insiders Tunnel
value: ...\code-insiders.exe --verbose --cli-data-dir C:\Windows\system32\config\systemprofile\.vscode-insiders\cli tunnel service internal-run --log-to-file C:\Windows\system32\config\systemprofile\.vscode-insiders\cli\tunnel-service.log
И ещё обращайте внимание на активность от процессов VS Code Server, расположенных по пути
.vscode\cli\servers\ или .vscode-insiders\cli\servers\. — Cloudflare Tunnel. При старте/остановке сервиса и запуске туннеля генерируется EventID: 1 в журнале Application (Source: Cloudflared) — это удобная точка для алертов.
— Zoho Assist. Для его использования в режиме Unattended требуется запуск сервиса Zoho Assist – Unattended Support, реализованного в файле
...\ZohoMeeting\UnAttended\ZohoMeeting\ZohoURSService.exe.Forwarded from Whitehat Lab
Набор техник для получения первоначального доступа к AD инфраструктуре
The complete red team guide to Initial Access: Payload Development (DLL Sideloading, Shellcode Loaders, Syscalls), HTML Smuggling, Phishing (QR Code Quishing, Teams Phishing), AitM/MFA Bypass (Evilginx, Device Code Phishing), Password Spraying, Exploiting Public-Facing Applications, Vishing, Physical Access (Rubber Ducky, Bash Bunny), Supply Chain attacks with real-world APT case studies
Каждая техника в этом руководстве соответствует MITRE ATT&CK Tactic TA0001 Initial Access
#windows #redteam #initial #phishing #ad
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 🕷 BugBountyRu
Одна из проблем техник байпаса WAF — они быстро устаревают. То, что работало вчера, сегодня уже режется сигнатурами.
Gareth Heyes из PortSwigger подошёл к этому системно: поддерживает актуальную шпаргалку на базе Shazzer, которая помогает тестировать XSS-фильтры через мутации и нестандартные конструкции.
Что внутри полезного:
Главная идея — не «волшебный пэйлоад», а системная генерация мутаций, которые помогают найти слабое место.
Для тестирования кодировок и трансформаций удобно использовать Hackvertor — ускоряет ресёрч и помогает автоматизировать вариации.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecuriXy.kz
CrowdStrike-2026-Global-Threat-Report.pdf
15.5 MB
Вышел свежий CrowdStrike 2026 Global Threat Report - "Year of the Evasive Adversary".
Кому сложно многабукафф - вот ключевое:
Скорость атак зашкаливает - среднее время breakout упало до 29 минут (было 48 в 2024), рекорд - 27 секунд. CHATTY SPIDER начинал эксфильтрацию через 4 минуты после первичного доступа.
82% детектов - без малвари. Атакующие работают через валидные учетки, легитимные инструменты и доверенные процессы.
AI в арсенале атакующих - рост атак с использованием ИИ на 89% год к году. FANCY BEAR встроил LLM (Qwen через Hugging Face API) прямо в малварь LAMEHUG для разведки и сбора данных. PUNK SPIDER генерит скрипты через Gemini и DeepSeek. Через npm-пакеты атакующие заставляли локальные CLI-тулы Claude и Gemini на машинах жертв генерировать команды для кражи кред.
Китай наращивает темп - +38% активности, эксплуатация свежих CVE за 2-3 дня после публикации. 40% эксплуатируемых уязвимостей - edge-устройства (VPN, файрволы, шлюзы). WARP PANDA сидел в инфре 22 месяца.
Supply chain - PRESSURE CHOLLIMA (КНДР) украли $1.46 млрд крипты через компрометацию Safe{Wallet}. Через npm распространяли самораспространяющийся стилер ShaiHulud (690 скомпрометированных пакетов).
Ransomware - PUNK SPIDER самый активный (198 инцидентов, +134%). SCATTERED SPIDER обходит EDR через неуправляемые VM, монтируя VMDK контроллера домена. Fake CAPTCHA-приманки выросли на 563%.
Облака под прицелом - +37% cloud-атак, +266% от state-nexus групп. Valid account abuse - 35% облачных инцидентов. COZY BEAR абьюзит легитимные OAuth-потоки Entra ID.
Всего CrowdStrike трекает 281 группировку, 24 новых в 2025 году.
Кому сложно многабукафф - вот ключевое:
Скорость атак зашкаливает - среднее время breakout упало до 29 минут (было 48 в 2024), рекорд - 27 секунд. CHATTY SPIDER начинал эксфильтрацию через 4 минуты после первичного доступа.
82% детектов - без малвари. Атакующие работают через валидные учетки, легитимные инструменты и доверенные процессы.
AI в арсенале атакующих - рост атак с использованием ИИ на 89% год к году. FANCY BEAR встроил LLM (Qwen через Hugging Face API) прямо в малварь LAMEHUG для разведки и сбора данных. PUNK SPIDER генерит скрипты через Gemini и DeepSeek. Через npm-пакеты атакующие заставляли локальные CLI-тулы Claude и Gemini на машинах жертв генерировать команды для кражи кред.
Китай наращивает темп - +38% активности, эксплуатация свежих CVE за 2-3 дня после публикации. 40% эксплуатируемых уязвимостей - edge-устройства (VPN, файрволы, шлюзы). WARP PANDA сидел в инфре 22 месяца.
Supply chain - PRESSURE CHOLLIMA (КНДР) украли $1.46 млрд крипты через компрометацию Safe{Wallet}. Через npm распространяли самораспространяющийся стилер ShaiHulud (690 скомпрометированных пакетов).
Ransomware - PUNK SPIDER самый активный (198 инцидентов, +134%). SCATTERED SPIDER обходит EDR через неуправляемые VM, монтируя VMDK контроллера домена. Fake CAPTCHA-приманки выросли на 563%.
Облака под прицелом - +37% cloud-атак, +266% от state-nexus групп. Valid account abuse - 35% облачных инцидентов. COZY BEAR абьюзит легитимные OAuth-потоки Entra ID.
Всего CrowdStrike трекает 281 группировку, 24 новых в 2025 году.