🔗Ссылка:
https://codeby.net/threads/powershell-dlya-red-team-skripty-dlya-obkhoda-antivirusov-i-post-ekspluatatsii-lotl.92537/

🔗Ссылка:
https://github.com/oxfemale/KillChain

Weaponizing and Abusing Hidden Functionalities Contained in Office Document Properties🛡️📄

Несколько месяцев назад Microsoft выпустила статью, в которой сообщалось, что в приложениях Microsoft Office, использующих макросы, будут внедрены изменения. 🔄

Это изменение поведения затрагивает Office LTSC, Office 2021, Office 2019, Office 2016 и Office 2013. Учитывая эти меры защиты, которые внедряет Microsoft, я хотел поделиться техникой, которую я использую уже давно и которая работает до сих пор. ⏳ Хотя не стоит ожидать, что эта уязвимость останется навсегда, так как в какой-то момент Microsoft, вероятно, закроет этот обход. Прежде чем я расскажу детали о том, как работает эта техника, нам нужно понять, как она была выявлена и как мы смогли ее использовать. 🔍

Этот Proof of Concept был протестирован с использованием последней версии Windows 11 и Microsoft Office 2021. 💻

⚠️ Информация 2022 года, однако остаётся полезной

🔗 Ссылка:
https://www.offsec.com/blog/macro-weaponization/

Благодарю за подарок на канал 👾
P.s. пропустил этот момент

🔗Ссылка:
https://blog.talosintelligence.com/qilin-edr-killer/

🔗Ссылка:
https://blog.talosintelligence.com/an-overview-of-ransomware-threats-in-japan-in-2025-and-early-detection-insights-from-qilin-cases/

🔗Ссылка:
https://www.securitylab.ru/news/571078.php

🔗Ссылка:
https://github.com/K2SOsint/Legendary_OSINT

🔗Ссылка:
https://tproger.ru/news/ii-vpervye-napisal-polnyj-eksploit-dlya-yadra-os---ot-uyazvimosti-d

🔗 Ссылка:
https://github.com/ekonwang/GeoVista

Всем хак! 👾

Обновил Obsidian Pentest

Если данный репозиторий оказался полезным, не поленитесь поставить ⭐

Ого, благодарю 😁
P.s. я имел ввиду ⭐ на репозиторий

🔗Ссылка:
https://www.bleepingcomputer.com/news/security/claude-code-leak-used-to-push-infostealer-malware-on-github/

🔗Ссылка:
https://www.opennet.ru/65146/

🔗Ссылка:
https://www.securitylab.ru/news/571235.php

🔗Ссылка:
https://www.securitylab.ru/news/571234.php

Чтобы сделать вредоносные файлы невидимыми для систем защиты, атакующие используют различные техники. Самые известные — это руткиты и буткиты. Но иногда достаточно и более простых механизмов. Недавно мы наткнулись на технику маскировки процессов в Linux через bind mount поверх /proc.

Когда утилита для монтирования файловых систем mount запускается с флагом bind, это позволяет "приклеить" одну директорию или файл в другую точку файловой системы. При этом исходные данные в целевой точке становятся невидимыми; фактически, они перекрываются содержимым примонтированного пути.

Атакующий с root-доступом может использовать это для маскировки процессов.

Например, процесс с PID 1234 можно спрятать через mount:

mount --bind /tmp/empty /proc/1234 

После этого содержимое настоящего /proc/1234 перекрывается пустой директорией. Утилиты вроде ps, top или htop читают данные именно из /proc, поэтому для них процесс как будто исчезает. При этом сам процесс продолжает работать: слушает порты, выполняет код, держит соединения.

Иногда делают еще аккуратнее: поверх /proc/<pid>/exe или /proc/<pid>/cmdline монтируют другой файл. Тогда процесс вроде бы виден, но его бинарь или аргументы подменены.

Как ловить атаку?

Проверка mount-таблицы помогает обнаружить сокрытие процесса. Утилиты mount или findmnt покажут bind mounts внутри /proc. В нормальной системе их там почти не бывает.

С точки зрения правил обнаружения для SOC, отслеживаем запуски утилиты mount с соответствующими аргументами: "--bind", "-B", "-o bind" и "/proc")

Также имеет смысл мониторить системный вызов mount на уровне ядра. Например, для auditd простейшее правило аудита может выглядеть так:

auditctl -a always,exit -F arch=b64 -S mount -k mount_monitor 

В файле /var/log/audit/audit.log будут фиксироваться события монтирования, включая bind mounts. При анализе стоит обращать внимание на операции, где точкой монтирования выступают пути внутри /proc.