Fsecurity | HH

Всем привет!

В продолжение анализа на очереди первый по популярности протокол, используемый в NXC, это SMB. В нем принцип определения привилегированности учетной записи основан на подключении к пайпу \svcctl поверх установленного SMB-соединения с последующей попыткой открытия менеджера управления службами с SC_MANAGER_ALL_ACCESS, что, само собой, разрешено только высокопривилегированной УЗ, ведь это право дает полный доступ до управления службами на конечном устройстве.

Для подключения используются функции из протокола MS-SCMR, а именно OpenScManager(). Отмечу, что подключение к svcctl может оказаться роковым в вопросах уклонения от обнаружения (ведь его используют и psexec.py и smbexec.py), поэтому алгоритм следует поменять.

Мы поверх SMB соединения можем подключиться к любому другому пайпу, который имеет какой-нибудь контроль доступа. Можно попробовать и более экзотичные варианты по типу попытки дропа файла на C$. Но мой выбор остановился на протоколе MS-EVEN6. Причем именно его шестой версии потому, что обычный MS-EVEN, который я использовал тут подключается поверх пайпа \pipe\eventlog, а некоторые детектят таким образом коерс через Coercer. Поэтому я переделал функцию под MS-EVEN6, который поддерживает подключение через обычный TCP-коннект. Можно увидеть мой код тут

А как бы меняли логику Вы?

@RedTeambro

95 views08:04

Fsecurity | HH

Спустя два месяца затишья сделал ролик про Adaptix C2 👾 Поддержите видео лайком и комментарием, если оно будет вам полезно! Приятного просмотра: https://youtu.be/nbZxp55qs98

👉🏻

102 views08:06

Fsecurity | HH

permiso.io

Sliding into your DMs: Abusing Microsoft Teams for Malware Delivery

Malware delivery through Microsoft Teams is an emerging threat. Discover how attackers exploit external chats, which regions they target, and key IOCs defenders must track.

🔗Ссылка:
https://permiso.io/blog/sliding-into-your-dms-abusing-microsoft-teams-for-malware-delivery

105 views11:03

Fsecurity | HH

SecurityLab.ru

ИБ — это не только капюшоны: как найти свое место в безопасности и не выгореть за полгода

В информационной безопасности (ИБ) есть странная ловушка: со стороны кажется, что вариантов два. Либо «ломать», либо «проверять бумажки». И если вы не видите себя ни в образе человека в капюшоне, ни в образе вечного аудитора, начинается метание: куда идти…

🔗Ссылка:
https://www.securitylab.ru/analytics/569266.php

118 views13:46

Fsecurity | HH

GitHub

GitHub - wetw0rk/sickle-pdk: Sickle - Payload Development Kit

Sickle - Payload Development Kit. Contribute to wetw0rk/sickle-pdk development by creating an account on GitHub.

🔗Ссылка:
https://github.com/wetw0rk/sickle-pdk

114 views16:35

Fsecurity | HH

GitHub

GitHub - foospidy/payloads: Git All the Payloads! A collection of web attack payloads.

Git All the Payloads! A collection of web attack payloads. - foospidy/payloads

🔗Ссылка:
https://github.com/foospidy/payloads

109 views18:56

Fsecurity | HH

Forwarded from AP Security

Всегда приятно видеть авторские труды российских энтузиастов и специалистов, посвящённые теме кибербезопасности.

Данный гайд - дебютная работа, освещающая для начинающих специалистов теоретические и практические аспекты проведения мероприятий красной командой.

Внутри также описан предлагаемый инструментарий.

Приятного прочтения📔

Please open Telegram to view this post

VIEW IN TELEGRAM

❤3🔥1

109 views08:05

Fsecurity | HH

Forwarded from AP Security

Red Team Recon Guide by Hika.pdf

11.2 MB

🔥2👍1🕊1

102 views08:05

Fsecurity | HH

GitHub

GitHub - vavkamil/awesome-bugbounty-tools: A curated list of various bug bounty tools

A curated list of various bug bounty tools. Contribute to vavkamil/awesome-bugbounty-tools development by creating an account on GitHub.

🔗Ссылка:
https://github.com/vavkamil/awesome-bugbounty-tools

107 views10:41

Fsecurity | HH

Forwarded from PRO:PENTEST

Первые шаги во внутренней настройке и знакомство без купюр в новом выпуске статей проекта - Apteka

#propentest #pro_pentest #пропентест #apteka

95 views14:15

Fsecurity | HH

SecurityLab.ru

Шесть запросов до полного взлома. Ошибка в коде популярной CRM ставит под удар малый бизнес

Разработчики EspoCRM закрыли критическую уязвимость в механизме обработки файлов.

🔗Ссылка:
https://www.securitylab.ru/news/570939.php

105 views17:06

Fsecurity | HH

Forwarded from s0ld13r ch. (s0ld13r)

Massive axios supply chain campaign

👩‍💻

В популярной библиотеке axios (версии 1.14.1 и 0.30.4) был обнаружен опасный троян (RAT), внедренный через взломанный аккаунт одного из мейнтейнеров проекта. Вредонос маскируется под зависимость plain-crypto-js, которая при установке незаметно заражает Windows, macOS и Linux, после чего удаляет свои следы 🚨

Если вы обновляли пакеты 30–31 марта, проверьте наличие вредоносных файлов (полный список ниже) на хостах. Для очистки проекта откатитесь на версии 1.14.0 или 0.30.3 и обязательно сбросьте все секреты (API-ключи, токены), так как они могли быть похищены 😃

🛡 IOC for hunts:

Сетевые индикаторы

sfrclak.com
142.11.206.73
http://sfrclak.com:8000/6202033
packages.npm.org

Оставленные бэкдоры/закрепы

MacOS /Library/Caches/com.apple.act.mond
Windows %PROGRAMDATA%\wt.exe
Linux /tmp/ld.py

SHA суммы вредоносных библиотек
axios@1.14.1 - 2553649f232204966871cea80a5d0d6adc700ca
axios@0.30.4 - d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71
plain-crypto-js@4.2.1 - 07d889e2dadce6f3910dcbc253317d28ca61c766

🔗 Report: https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan

🧢

s0ld13r

Please open Telegram to view this post

VIEW IN TELEGRAM

Please open Telegram to view this post

VIEW IN TELEGRAM

89 views19:36

About

Blog

Apps

Platform