Forwarded from infosecurity
• Разбираем новый мобильный банковский троянец SoumniBot, эксплуатирующий баги в парсере манифестов Android с целью затруднить обнаружение и анализ.
#Отчет
Please open Telegram to view this post
VIEW IN TELEGRAM
• Расширения для браузера могут сыграть большую роль для специалистов в области #OSINT и #СИ, не говоря уже о повышении производительности в работе. • В этом репозитории собраны 40+ полезных расширений Google Chrome и Firefox, которые помогут анализировать данные из открытых источников и пригодятся в работе:
#OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи F.A.C.C.T. обнаружили на VirusTotal вредоносный файл, связанный с кибершпионской Core Werewolf, который был загружен 15 апреля из армянского города Гюмри, в котором дислоцируется 102-ая российская военная база.
Найденное ВПО представляло собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа UltraVNC, которую с иконкой приложения OneDrive обычно использует Core Werewolf.
В качестве документа-приманки использовалось ходатайство о награждении военнослужащих с указанием их звания, ФИО и личного номера, отличившихся в ходе СВО, в том числе Орденами Мужества.
Как известно, Core Werewolf (PseudoGamaredon) с 2021 года активно атакует российские организации, связанные с ОПК, а также объекты КИИ. В марте они атаковали НИИ, задействованный в военных разработких, а в апреле - оборонный завод.
На этот раз судя по дате и времени последней модификации содержащихся файлов в 7zSFX-архиве, можно предположить, что новая наблюдаемая атака могла начаться раньше даты загрузки на VirusTotal.
В качестве C2 злоумышленники использовали домен mailcommunity[.]ru, который был зарегистрирован год назад одновременно с другим доменом группы Core Werewolf, который использовался в кампании в 2023 году.
За день до истечения срока жизни домена злоумышленники продлили его еще на год и в этот же день начали использовать его для проведения атак.
Стоит отметить, что разворачиваемый образец UltraVNC, его конфигурационный файл и адрес C2 такие же, как и в ранее раскрытых атаках.
Также специалисты F.A.C.C.T. нашли на VirusTotal загруженные из России в марте и апреле этого года вредоносные исполняемые файлы, которые представляют собой ранее неописанные дропперы, реализованные на языке Go.
Они имеют идентичные функциональные возможности и они предназначены для скрытой установки и запуска клиента UltraVNC.
Причем конфигурационный файл и клиент UltraVNC совпадают по хеш-суммам с описанными выше файлами, а в качестве C2 используется тот же домен: mailcommunity[.]ru:443.
Технический обзор атаки и IOC - в отчете F.A.C.C.T.
Найденное ВПО представляло собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа UltraVNC, которую с иконкой приложения OneDrive обычно использует Core Werewolf.
В качестве документа-приманки использовалось ходатайство о награждении военнослужащих с указанием их звания, ФИО и личного номера, отличившихся в ходе СВО, в том числе Орденами Мужества.
Как известно, Core Werewolf (PseudoGamaredon) с 2021 года активно атакует российские организации, связанные с ОПК, а также объекты КИИ. В марте они атаковали НИИ, задействованный в военных разработких, а в апреле - оборонный завод.
На этот раз судя по дате и времени последней модификации содержащихся файлов в 7zSFX-архиве, можно предположить, что новая наблюдаемая атака могла начаться раньше даты загрузки на VirusTotal.
В качестве C2 злоумышленники использовали домен mailcommunity[.]ru, который был зарегистрирован год назад одновременно с другим доменом группы Core Werewolf, который использовался в кампании в 2023 году.
За день до истечения срока жизни домена злоумышленники продлили его еще на год и в этот же день начали использовать его для проведения атак.
Стоит отметить, что разворачиваемый образец UltraVNC, его конфигурационный файл и адрес C2 такие же, как и в ранее раскрытых атаках.
Также специалисты F.A.C.C.T. нашли на VirusTotal загруженные из России в марте и апреле этого года вредоносные исполняемые файлы, которые представляют собой ранее неописанные дропперы, реализованные на языке Go.
Они имеют идентичные функциональные возможности и они предназначены для скрытой установки и запуска клиента UltraVNC.
Причем конфигурационный файл и клиент UltraVNC совпадают по хеш-суммам с описанными выше файлами, а в качестве C2 используется тот же домен: mailcommunity[.]ru:443.
Технический обзор атаки и IOC - в отчете F.A.C.C.T.
Хабр
Кибершпионы из Core Werewolf пытались атаковать российскую военную базу в Армении
Специалисты Threat Intelligence компании F.A.C.C.T. обнаружили на платформе VirusTotal загруженный из Армении (г. Гюмри) вредоносный файл, связанный с группировкой кибершпионов Core Werewolf . Он...
👤 Приватность: рождение и смерть. 3000 лет истории приватности в картинках.
• В эпоху ИТ и быстрого развития технологий понятие «приватности» превратилось в фикцию. Глобальные информационные сети и множество сервисов незаметно собирают о пользователях терабайты данных, да и сами пользователи постоянно выкладывают свою жизнь на всеобщее обозрение в социальных сетях. Но всё же многие из нас считают свои ПК, смартфоны и поведение в сети «приватными», или хотя бы стремятся к этому. А как вообще появилось понятие «приватности» в человеческой культуре?
• Приватности, в том смысле, в котором мы ее понимаем, всего лишь около 150 лет. Однако, в течение 3000 лет удобство и богатство оставались более приоритетными. В первой части статьи мы рассмотрим, как зарождалась приватность, и во второй части увидим, как передовые технологии в здравоохранении заставят людей выбирать между ранней, экономически неэффективной смертью, и миром без какого-либо подобия частной жизни. Учитывая исторические тенденции, вероятнее всего, мы откажемся от приватности и вернемся к традиционному открытому существованию:
➡️ https://habr.com/post/348922/
#Приватность #Разное
• В эпоху ИТ и быстрого развития технологий понятие «приватности» превратилось в фикцию. Глобальные информационные сети и множество сервисов незаметно собирают о пользователях терабайты данных, да и сами пользователи постоянно выкладывают свою жизнь на всеобщее обозрение в социальных сетях. Но всё же многие из нас считают свои ПК, смартфоны и поведение в сети «приватными», или хотя бы стремятся к этому. А как вообще появилось понятие «приватности» в человеческой культуре?
• Приватности, в том смысле, в котором мы ее понимаем, всего лишь около 150 лет. Однако, в течение 3000 лет удобство и богатство оставались более приоритетными. В первой части статьи мы рассмотрим, как зарождалась приватность, и во второй части увидим, как передовые технологии в здравоохранении заставят людей выбирать между ранней, экономически неэффективной смертью, и миром без какого-либо подобия частной жизни. Учитывая исторические тенденции, вероятнее всего, мы откажемся от приватности и вернемся к традиционному открытому существованию:
#Приватность #Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
🔪 Sharpening Techniques with Impacket.
• При аудите Windows - инфраструктур Impacket является швейцарским ножом, позволяя активно взаимодействовать с устройствами по сети, для которых проприетарным (родным) инструментом, конечно же, является, #PowerShell.
• Impacket — это набор классов Python для работы с сетевыми протоколами, и в первую очередь с Active Directory. Предустановлен в #Kali и аналогичных ему специализированных дистрибутивах.
• Пакет Impacket включает впечатляющий набор скриптов, название которых зачастую говорит само за себя. Например, mimikatz.py – python реализация одноимённого инструмента, являющего де-факто стандартным в наборе программ аудита Windows.
• По ссылке ниже Вы найдете краткое описание, необходимые ссылки и полный список скриптов, которые включает в себя Impacket:
➡ https://redteamrecipe.com/sharping-techniques-with-impacket/
#Пентест #ИБ #Impacket
• При аудите Windows - инфраструктур Impacket является швейцарским ножом, позволяя активно взаимодействовать с устройствами по сети, для которых проприетарным (родным) инструментом, конечно же, является, #PowerShell.
• Impacket — это набор классов Python для работы с сетевыми протоколами, и в первую очередь с Active Directory. Предустановлен в #Kali и аналогичных ему специализированных дистрибутивах.
• Пакет Impacket включает впечатляющий набор скриптов, название которых зачастую говорит само за себя. Например, mimikatz.py – python реализация одноимённого инструмента, являющего де-факто стандартным в наборе программ аудита Windows.
• По ссылке ниже Вы найдете краткое описание, необходимые ссылки и полный список скриптов, которые включает в себя Impacket:
#Пентест #ИБ #Impacket
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Social Engineering
📦 Hack The Box. Прохождение машин с разным уровнем сложности.
• Поделюсь с Вами ссылками на видеоматериал, где автор описывает прохождение машин Hack The Box и подробно объясняет каждый свой шаг. Подача материала заслуживает отдельного внимания. Вот некоторые выпуски (остальные найдете на канале автора):
• Прохождение машины ANALYTICS: машина Linux начального уровня сложности с открытыми службами HTTP и SSH. Исследование веб-сайта выявляет Metabase, который уязвим для выполнения удаленного кода без аутентификации CVE-2023-38646, что используется для получения доступа внутри контейнера Docker. При перечислении в контейнере Docker мы видим, что установленные переменные среды содержат учетные данные, которые могут быть использованы для доступа по SSH к хосту. Последующее исследование машины выявляет, что версия ядра, работающая на хосте, уязвима для GameOverlay, что используется для получения прав суперпользователя.
• Прохождение Linux-машины средней сложности SANDWORM: это машина средней сложности на Linux, которая содержит веб-приложение с сервисом проверки PGP, уязвимым к инъекции шаблонов на стороне сервера (SSTI), что приводит к выполнению удалённого кода (RCE) внутри изоляции Firejail. В этой изоляции можно обнаружить текстовые учетные данные, позволяющие получить доступ по SSH к машине от имени одного из пользователей. Далее обнаруживается cron-задача, которая компилирует и запускает бинарник на Rust. Программа использует настраиваемый внешний модуль логирования, к которому у пользователя есть доступ на запись, что затем используется для получения шелл от имени пользователя atlas, запускающего cron-задачу. Наконец, используется недавний эксплойт Firejail (CVE-2022-31214) для создания песочницы, в которой атакующий может выполнить команду su и получить оболочку root на целевой системе.
• Прохождение Linux-машины DRIVE: это сложная(средняя) машина Linux, которая включает в себя сервис обмена файлами, подверженный уязвимости IDOR (Insecure Direct Object Reference), через который обнаруживается простой текстовый пароль, приводящий к доступу по SSH к системе. Далее обнаруживаются заархивированные резервные копии баз данных, которые открываются с использованием жёстко заданного пароля, обнаруженного в репозитории Gitea. Хэши внутри резервных копий взламываются, что приводит к доступу к другому пользователю в системе, у которого есть доступ к исполняемому файлу, принадлежащему root, с установленным битом SUID. Программа подвергается реверс инженерии, что раскрывает наличие SQL инъекции в запросе к SQLite3. Далее мы обходим фильтр параметра и через встроенную функцию LOAD_EXTENSION, подключив динамическую библиотеку для вызова шелла суперпользователя, получаем финальный флаг.
• Напомню, что дополнительный материал по прохождению HTB есть в этой подборке: https://t.me/Social_engineering/2035
S.E. ▪️ infosec.work ▪️ VT
• Поделюсь с Вами ссылками на видеоматериал, где автор описывает прохождение машин Hack The Box и подробно объясняет каждый свой шаг. Подача материала заслуживает отдельного внимания. Вот некоторые выпуски (остальные найдете на канале автора):
• Прохождение машины ANALYTICS: машина Linux начального уровня сложности с открытыми службами HTTP и SSH. Исследование веб-сайта выявляет Metabase, который уязвим для выполнения удаленного кода без аутентификации CVE-2023-38646, что используется для получения доступа внутри контейнера Docker. При перечислении в контейнере Docker мы видим, что установленные переменные среды содержат учетные данные, которые могут быть использованы для доступа по SSH к хосту. Последующее исследование машины выявляет, что версия ядра, работающая на хосте, уязвима для GameOverlay, что используется для получения прав суперпользователя.
• Прохождение Linux-машины средней сложности SANDWORM: это машина средней сложности на Linux, которая содержит веб-приложение с сервисом проверки PGP, уязвимым к инъекции шаблонов на стороне сервера (SSTI), что приводит к выполнению удалённого кода (RCE) внутри изоляции Firejail. В этой изоляции можно обнаружить текстовые учетные данные, позволяющие получить доступ по SSH к машине от имени одного из пользователей. Далее обнаруживается cron-задача, которая компилирует и запускает бинарник на Rust. Программа использует настраиваемый внешний модуль логирования, к которому у пользователя есть доступ на запись, что затем используется для получения шелл от имени пользователя atlas, запускающего cron-задачу. Наконец, используется недавний эксплойт Firejail (CVE-2022-31214) для создания песочницы, в которой атакующий может выполнить команду su и получить оболочку root на целевой системе.
• Прохождение Linux-машины DRIVE: это сложная(средняя) машина Linux, которая включает в себя сервис обмена файлами, подверженный уязвимости IDOR (Insecure Direct Object Reference), через который обнаруживается простой текстовый пароль, приводящий к доступу по SSH к системе. Далее обнаруживаются заархивированные резервные копии баз данных, которые открываются с использованием жёстко заданного пароля, обнаруженного в репозитории Gitea. Хэши внутри резервных копий взламываются, что приводит к доступу к другому пользователю в системе, у которого есть доступ к исполняемому файлу, принадлежащему root, с установленным битом SUID. Программа подвергается реверс инженерии, что раскрывает наличие SQL инъекции в запросе к SQLite3. Далее мы обходим фильтр параметра и через встроенную функцию LOAD_EXTENSION, подключив динамическую библиотеку для вызова шелла суперпользователя, получаем финальный флаг.
• Напомню, что дополнительный материал по прохождению HTB есть в этой подборке: https://t.me/Social_engineering/2035
S.E. ▪️ infosec.work ▪️ VT
• Почти 4 часа обучения работе с curl. Напомню, что этот инструмент популярен в сфере автоматизации и скриптов благодаря широкому диапазону функций и поддерживаемых протоколов.
• По ссылке ниже вы можете найти тайм коды, что позволит изучить материал в более удобном формате.
#curl #Курс #Видео #Eng
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Mastering the curl command line with Daniel Stenberg
The slides = https://www.slideshare.net/DanielStenberg7/mastering-the-curl-command-linepdf
0:00 Mastering the curl command line
0:16 Daniel Stenberg
0:36 curl support by wolfSSL
0:56 setup
02:20 questions
02:52 agenda
05:25 The project
05:42 take-off
07:42…
0:00 Mastering the curl command line
0:16 Daniel Stenberg
0:36 curl support by wolfSSL
0:56 setup
02:20 questions
02:52 agenda
05:25 The project
05:42 take-off
07:42…
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from infosecurity
• В этой статье поговорим о туннелировании трафика, сохранении доступа к скомпрометированной инфраструктуре и краже данных.
#Отчет
Please open Telegram to view this post
VIEW IN TELEGRAM
securelist.ru
ToddyCat: инструменты туннелирования трафика и извлечения данных
Продолжаем рассказывать об APT-группе ToddyCat. В этой статье поговорим о туннелировании трафика, сохранении доступа к скомпрометированной инфраструктуре и краже данных.
Forwarded from SecAtor
Героем новой серии Ivanti Zero-Days вслед за CISA стала другая небезызвестная американская структура - MITRE, также вынужденная рапортовать о киберинцидленте.
Как оказалось, ее сеть исследований и разработок NERVE взломала еще в начале января неназванная APT благодаря тем самым нулям в Ivanti, но заметить нападение удалось только недавно.
Атакующие за это время успешно препарировали сетевую среду экспериментирования, исследований и виртуализации MITRE NERVE для совместной работы, которая используется для исследований, разработок и прототипирования.
В ходе предварительного расследования MITRE установила, что атака включала эксплуатацию двух уязвимостей в устройствах Ivanti Connect Secure VPN для первоначального доступа.
Злоумышленники провели разведку, воспользовались нулями в Ivanti и обошли его систему многофакторной аутентификации с помощью перехвата сеанса.
После чего глубоко проникли в инфраструктуру VMware сети, используя скомпрометированную учетную запись администратора. А для обеспечения устойчивости и сбора учетных данных задействовали комбинацию сложных бэкдоров и веб-шеллов.
CVE-2023-46805 и CVE-2024-21887 на момент атаки относились к категории 0-day и 10 января благодаря Volexity стало известно об их активной эксплуатации.
Тогда Ivanti выкатила бесполезные меры по смягчению, а исправления смогла представить лишь спустя три недели.
В связи с чем, заложенный Ivanti временной лаг был реализован хакерами, которые развернули широкомасштабную кампанию по эксплуатации нулей. Вероятно, в тот момент и MITRE попала под раздачу.
Расследование MITRE продолжается, но на данный момент пока не получено никаких свидетельств, что инцидент затронул основную корпоративную сеть или системы партнеров.
Но будем посмотреть.
Как оказалось, ее сеть исследований и разработок NERVE взломала еще в начале января неназванная APT благодаря тем самым нулям в Ivanti, но заметить нападение удалось только недавно.
Атакующие за это время успешно препарировали сетевую среду экспериментирования, исследований и виртуализации MITRE NERVE для совместной работы, которая используется для исследований, разработок и прототипирования.
В ходе предварительного расследования MITRE установила, что атака включала эксплуатацию двух уязвимостей в устройствах Ivanti Connect Secure VPN для первоначального доступа.
Злоумышленники провели разведку, воспользовались нулями в Ivanti и обошли его систему многофакторной аутентификации с помощью перехвата сеанса.
После чего глубоко проникли в инфраструктуру VMware сети, используя скомпрометированную учетную запись администратора. А для обеспечения устойчивости и сбора учетных данных задействовали комбинацию сложных бэкдоров и веб-шеллов.
CVE-2023-46805 и CVE-2024-21887 на момент атаки относились к категории 0-day и 10 января благодаря Volexity стало известно об их активной эксплуатации.
Тогда Ivanti выкатила бесполезные меры по смягчению, а исправления смогла представить лишь спустя три недели.
В связи с чем, заложенный Ivanti временной лаг был реализован хакерами, которые развернули широкомасштабную кампанию по эксплуатации нулей. Вероятно, в тот момент и MITRE попала под раздачу.
Расследование MITRE продолжается, но на данный момент пока не получено никаких свидетельств, что инцидент затронул основную корпоративную сеть или системы партнеров.
Но будем посмотреть.
Medium
Advanced Cyber Threats Impact Even the Most Prepared
Written by Lex Crumpton and Charles Clancy.
• История обнаружения XSS-уязвимости на крупнейшем шахматном сайте интернета со 100 миллионами участников – Chess.com
#ИБ #web
Please open Telegram to view this post
VIEW IN TELEGRAM
• Reconnaissance;
• DHCP;
• DNS;
• NBT-NS;
• Responder analyze mode;
• LDAP;
• RPC;
• SMB null session;
• Finding usernames;
• SMB;
• RPC;
• LDAP;
• Kerberos;
• What is LLMNR/NBTNS/MDNS Poisoning;
• How to Perform LLMNR/NBTNS poisoning via SMB;
• What is ARP Spoofing (Address Resolution Protocol);
• How Does the attack works?
• What is DNS poisoning;
• What is DHCP Poisoning?
• How Does the attack works?
• What is WSUS Poisoning;
• What is ASREPRoasting;
• How Does this attack works?
• Net-NTLM relay Attacks;
• MS SQL Relay Attack;
• ASREPRoasting;
• Bruteforcing;
• Vulnerabilities;
• ProxyShell;
• ProxyLogon;
• EternalBlue;
• SMBGhost;
• Zerologon;
• PetitPotam;
• Reference.
#Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Бизоны рассказали о том, как новая планируемая Scaly Wolf кампания потерпела фиаско из-за загрузчика, который не смог.
Как и в прошлых атаках, Scaly Wolf полагались на фишинговые письма с прикрепленным легитимным документом якобы от имени федерального ведомства, нацеливаясь таким образом на российские промышленные, логистические и государственные компании.
Для достижения своих кибершпионских намерений APT задействует последние версии стилера White Snake.
Но в отличие от предыдущих атак, в мартовской кампании в отношении российских и белорусских компаний злоумышленники попробовали реализовать новый способ внедрения вредоносного ПО в инфраструктуру.
Раньше они просто укладывали стилер в защищенный паролем архив, теперь же они воспользовались вредоносным загрузчиком под названием in2al5d p3in4er (invalid printer).
При открытии архива printer проверял, не попал ли в виртуальную среду, и в случае успеха внедрял внедрял вредоносную нагрузку в адресное пространство процесса explorer.exe.
Проверка осуществлялась с использованием библиотеки dxgi.dll, которая сверяла идентификаторы производителей графических карт, используемых системой.
Не найдя Nvidia, AMD или Intel, вредоносный файл прекращал выполнение.
Особенностью загрузчика является то, что он не использует WinAPI‑вызовы для обращения к ядру Windows. Вместо этого функции вызываются напрямую с помощью syscall с требуемыми аргументами.
Также стоит отметить, что загрузчик во время выполнения пытается открыть множество случайных несуществующих в системе файлов и записать в них случайные данные.
Для определения процесса explorer.exe загрузчик перебирает структуры запущенных процессов и сравнивает контрольную сумму от имени процесса с сохраненным значением.
После обнаружения нужного копирует в него расшифрованную вредоносную нагрузку, после чего изменяет контекст процесса для выполнения внедренного шелл-кода.
Полезная нагрузка представляет собой шелл-код, полученный с помощью утилиты с открытым исходным кодом Donut, позволяющей выполнять в памяти исполняемые файлы (в том числе .NET).
Однако из-за ошибки в коде скопировался легитимный explorer.exe, без внедренного шелл-кода, сводя на нет всю цепочку заражения.
Обновленный перечень IOC и и детальное описание TTPs - в отчете.
Как и в прошлых атаках, Scaly Wolf полагались на фишинговые письма с прикрепленным легитимным документом якобы от имени федерального ведомства, нацеливаясь таким образом на российские промышленные, логистические и государственные компании.
Для достижения своих кибершпионских намерений APT задействует последние версии стилера White Snake.
Но в отличие от предыдущих атак, в мартовской кампании в отношении российских и белорусских компаний злоумышленники попробовали реализовать новый способ внедрения вредоносного ПО в инфраструктуру.
Раньше они просто укладывали стилер в защищенный паролем архив, теперь же они воспользовались вредоносным загрузчиком под названием in2al5d p3in4er (invalid printer).
При открытии архива printer проверял, не попал ли в виртуальную среду, и в случае успеха внедрял внедрял вредоносную нагрузку в адресное пространство процесса explorer.exe.
Проверка осуществлялась с использованием библиотеки dxgi.dll, которая сверяла идентификаторы производителей графических карт, используемых системой.
Не найдя Nvidia, AMD или Intel, вредоносный файл прекращал выполнение.
Особенностью загрузчика является то, что он не использует WinAPI‑вызовы для обращения к ядру Windows. Вместо этого функции вызываются напрямую с помощью syscall с требуемыми аргументами.
Также стоит отметить, что загрузчик во время выполнения пытается открыть множество случайных несуществующих в системе файлов и записать в них случайные данные.
Для определения процесса explorer.exe загрузчик перебирает структуры запущенных процессов и сравнивает контрольную сумму от имени процесса с сохраненным значением.
После обнаружения нужного копирует в него расшифрованную вредоносную нагрузку, после чего изменяет контекст процесса для выполнения внедренного шелл-кода.
Полезная нагрузка представляет собой шелл-код, полученный с помощью утилиты с открытым исходным кодом Donut, позволяющей выполнять в памяти исполняемые файлы (в том числе .NET).
Однако из-за ошибки в коде скопировался легитимный explorer.exe, без внедренного шелл-кода, сводя на нет всю цепочку заражения.
Обновленный перечень IOC и и детальное описание TTPs - в отчете.
BI.ZONE
Новый загрузчик Scaly Wolf оказался непригодным для атак
Специалисты BI.ZONE Threat Intelligence обнаружили свежую кампанию группировки, нацеленную на российские и белорусские организации
• Commands, Payloads and Resources for the OffSec Certified Professional Certification (OSCP).
- Basics;
- Information Gathering;
- Vulnerability Analysis;
- Web Application Analysis;
- Database Assessment;
- Password Attacks;
- Exploitation Tools;
- Post Exploitation;
- Exploit Databases;
- CVEs;
- Payloads;
- Wordlists;
- Social Media Resources;
- Commands.
#OSCP #CheatSheet
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи GReAT из Лаборатории Касперского выкатили вторую часть аналитики по резонансному инциденту с бэкдором в XZ Utils.
Основной акцент в исследовании сделан на социоинженерном аспекте атаки с подробным разбором личностей и хронологии активности участников, провернувших настоящую многолетнюю операцию по вытеснению мейнтейнера XZ Utils и троянизации пакета.
Исследователи отмечают, что высококлассные APT-группы проводят весьма продуманные кампании социнженерии для проникновения в хорошо защищенные цели, как в случае с продвижением имплантатов Green Lambert на Ближний Восток.
И, судя по всему, подход к внедрению XZ Utils, скорее всего, также имел тщательно спланированный и долгосрочный характер, правда, был несколько неуклюже реализован.
Конечная цель заключалась в том, чтобы скрытно внедрить бэкдор, нацелившись на процесс сборки XZ Utils.
После чего имплиментировать зашифрованный код в основные дистрибутивы Linux в рамках крупномасштабной атаки на цепочку поставок.
Безусловно, такой подход в социнженерии, возможно, не является чем-то новым, но обращает на себя внимание другое - потрясающе тонкая вставка вредоносного кода в процессе сборки - до этого нечто подобное было замечена в наделавшем шуму инциденте с SolarWinds.
Только на этот раз в процессе сборки участвовал человек, а продолжительный доступ к исходному коду/среде разработки был получен с помощью социнженерии и дополнен взаимодействиями с вымышленными личностями.
Все подробности, откуда нарисовались парни из Сингапура, Индии и Германии в истории с XZ Utils и как удалось провернуть аферу - в отчете на securelist.
Основной акцент в исследовании сделан на социоинженерном аспекте атаки с подробным разбором личностей и хронологии активности участников, провернувших настоящую многолетнюю операцию по вытеснению мейнтейнера XZ Utils и троянизации пакета.
Исследователи отмечают, что высококлассные APT-группы проводят весьма продуманные кампании социнженерии для проникновения в хорошо защищенные цели, как в случае с продвижением имплантатов Green Lambert на Ближний Восток.
И, судя по всему, подход к внедрению XZ Utils, скорее всего, также имел тщательно спланированный и долгосрочный характер, правда, был несколько неуклюже реализован.
Конечная цель заключалась в том, чтобы скрытно внедрить бэкдор, нацелившись на процесс сборки XZ Utils.
После чего имплиментировать зашифрованный код в основные дистрибутивы Linux в рамках крупномасштабной атаки на цепочку поставок.
Безусловно, такой подход в социнженерии, возможно, не является чем-то новым, но обращает на себя внимание другое - потрясающе тонкая вставка вредоносного кода в процессе сборки - до этого нечто подобное было замечена в наделавшем шуму инциденте с SolarWinds.
Только на этот раз в процессе сборки участвовал человек, а продолжительный доступ к исходному коду/среде разработки был получен с помощью социнженерии и дополнен взаимодействиями с вымышленными личностями.
Все подробности, откуда нарисовались парни из Сингапура, Индии и Германии в истории с XZ Utils и как удалось провернуть аферу - в отчете на securelist.
Securelist
Social engineering aspect of the XZ incident
In this article we analyze social engineering aspects of the XZ backdoor incident. Namely pressuring the XZ maintainer to pass on the project to Jia Cheong Tan, and then urging major downstream maintainers to commit the backdoored code to their projects.
Forwarded from SecAtor
Shadowserver сообщает (об очередной атаке на цепочку мудаков), что более 1400 серверов CrushFTP остаются уязвимы для атак (из 5232 открытых в Интернете, по данным Shodan), нацеленных на ошибку внедрения шаблонов на стороне сервера (SSTI) критической серьезности, ранее использовавшуюся в качестве 0-day.
Поставщик описывает CVE-2024-4040 как выход из «песочницы» VFS в своем ПО для управляемой передачи файлов, приводящий к произвольному чтению файлов.
Но на деле же неаутентифицированные злоумышленники могут использовать ее для реализации RCE в непропатченных системах.
В пятницу компания предупредила клиентов о необходимости немедленного обновления, но воз и ныне там.
Тем временем Rapid7 подтвердила серьезность уязвимости, заявив, что она полностью не аутентифицирована и может быть проэксплутирована без особых трудностей.
Успешная эксплуатация позволяет не только читать произвольный файл от имени пользователя root, но также обходить аутентификацию для доступа к учетной записи администратора и полностью удаленно выполнять код.
В свою очередь, CrowdStrike выкатил отчет с раскрытием реальных атак на ряд организации в США с целью кибершпионажа.
Будем следить.
Поставщик описывает CVE-2024-4040 как выход из «песочницы» VFS в своем ПО для управляемой передачи файлов, приводящий к произвольному чтению файлов.
Но на деле же неаутентифицированные злоумышленники могут использовать ее для реализации RCE в непропатченных системах.
В пятницу компания предупредила клиентов о необходимости немедленного обновления, но воз и ныне там.
Тем временем Rapid7 подтвердила серьезность уязвимости, заявив, что она полностью не аутентифицирована и может быть проэксплутирована без особых трудностей.
Успешная эксплуатация позволяет не только читать произвольный файл от имени пользователя root, но также обходить аутентификацию для доступа к учетной записи администратора и полностью удаленно выполнять код.
В свою очередь, CrowdStrike выкатил отчет с раскрытием реальных атак на ряд организации в США с целью кибершпионажа.
Будем следить.
X (formerly Twitter)
The Shadowserver Foundation (@Shadowserver) on X
We are now sharing CrushFTP CVE-2024-4040 (CrushFTP VFS Sandbox Escape Vulnerability) vulnerable instances. At least 1400 vulnerable on 2024-04-24. CVE-2024-4040 is currently exploited in the wild & on @CISACyber KEV.
Top affected: US, Germany, Canada
…
Top affected: US, Germany, Canada
…
• В этой статье мы рассмотрим популярные способы атак на AD, рассмотрим актуальные инструменты, рекомендации и ознакомимся с другими полезными ресурсами, которые актуальны в 2024 году.
#AD #Пентест #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
WPScan предупреждает о начале активной эксплуатации ошибки плагина WP-Automatic для создания подконтрольных учетных записей администратора и захвата уязвимых сайтов WordPress.
Применяемая при этом CVE-2024-27956 связана с SQL-инъекцией (SQLi) и имеет оценку CVSS 9,9 из максимальных 10, затрагивая все версии до 3.9.2.0.
Злоумышленники могут использовать ее для получения несанкционированного доступа к веб-сайтам, создания учетных записей пользователей с правами админа, загрузки вредоносных файлов и потенциально получения полного контроля над затронутыми сайтами.
Проблема кроется в механизме аутентификации пользователей плагина, который можно тривиально обойти, выполняя произвольные SQL-запросы к базе данных с помощью специально созданных запросов.
В наблюдаемых к настоящему времени атаках CVE-2024-27956 используется для реализации запросов к базе данных и создания новых админских учеток на уязвимых сайтах WordPress, которые затем можно задействовать для установки плагинов загрузки файлов или модификации кода.
После взлома сайта WordPress злоумышленники обеспечивают персистентность, создавая бэкдоры и запутывая код.
При этом чтобы избежать обнаружения, злоумышленники переименовавают уязвимый файл WP‑Automatic (с /wp‑content/plugins/wp‑automatic/inc/csv.php на wp‑content/plugins/wp‑automatic/inc/csv65f82ab408b3.php), в том числе для блокировки атак со стороны других коллег.
Недостаток был публично раскрыт Patchstack 13 марта 2024 года.
С тех пор было обнаружено более 5,5 миллионов попыток атак с целью использования этой уязвимости.
Применяемая при этом CVE-2024-27956 связана с SQL-инъекцией (SQLi) и имеет оценку CVSS 9,9 из максимальных 10, затрагивая все версии до 3.9.2.0.
Злоумышленники могут использовать ее для получения несанкционированного доступа к веб-сайтам, создания учетных записей пользователей с правами админа, загрузки вредоносных файлов и потенциально получения полного контроля над затронутыми сайтами.
Проблема кроется в механизме аутентификации пользователей плагина, который можно тривиально обойти, выполняя произвольные SQL-запросы к базе данных с помощью специально созданных запросов.
В наблюдаемых к настоящему времени атаках CVE-2024-27956 используется для реализации запросов к базе данных и создания новых админских учеток на уязвимых сайтах WordPress, которые затем можно задействовать для установки плагинов загрузки файлов или модификации кода.
После взлома сайта WordPress злоумышленники обеспечивают персистентность, создавая бэкдоры и запутывая код.
При этом чтобы избежать обнаружения, злоумышленники переименовавают уязвимый файл WP‑Automatic (с /wp‑content/plugins/wp‑automatic/inc/csv.php на wp‑content/plugins/wp‑automatic/inc/csv65f82ab408b3.php), в том числе для блокировки атак со стороны других коллег.
Недостаток был публично раскрыт Patchstack 13 марта 2024 года.
С тех пор было обнаружено более 5,5 миллионов попыток атак с целью использования этой уязвимости.
WPScan
New Malware Campaign Targets WP-Automatic Plugin
A few weeks ago a critical vulnerability was discovered in the plugin WP-Automatic. This vulnerability, a SQL injection (SQLi) flaw, poses a severe threat as attackers can exploit it to gain unauth…