📡 WSUS: твой сервер обновлений или хакерский шлюз?

Lorenzo Meacci разобрал, как WSUS превращается в хакерский хайвей для LPE, lateral movement и C2-доставки. Windows Server 2022 под ударом, и вот почему админам пора пить кофе покрепче. 🍺

Как ломают WSUS:
1️⃣ MITM + ARP Spoof = Game Over
Забыл HTTPS? Поздравляю, через HTTP твой WSUS качает фейковый .cab с PsExec. Новый юзер в local admins? Легко.
💥 Pro tip: без TLS твой WSUS — это просто хакерский FTP.

2️⃣ WSUS Admin Abuse? Пфф, детская шалость
С доступом к WSUS (SharpWSUS или консоль) пихаем "легит" апдейт: net user eviladmin /add. Аппрувим и вуаля — клиент выполняет. HTTPS? Не спасает, подпись никто не проверяет.

3️⃣ LPE через сам WSUS
WSUS-сервер в GPO как клиент? Загружаем "обновление", триггерим вручную — получаем SYSTEM shell.

4️⃣ Stealth Payloads для OPSEC
Забудь шумный PsExec. Берем ADCS, запрашиваем код-сигн сертификат, подписываем свой шелл, п(sign) → pywsus → reverse shell. EDR спит, ведь сертификат "легит". 😉

5️⃣ NTLM Relay + RBCD = DCSync
Перехватываем NTLM, релеим на ADCS (ESC8) или цепляем RBCD через msDS-AllowedToActOnBehalfOfOtherIdentity. Итог? Полный домен твой

🧨 Реальность:
Работает, если GPO кривые, HTTP включен, а ADCS открыт для всех. Но если звёзды сошлись — ты уже в DC, пока Blue Team ищет логи.

🛡 Detection:
- Event ID 364, wusa.exe, подозрительные .cab — лови в SIEM.
- GPO: бан для "intranet signed updates".
- HTTPS only, аудит аппрувов, лок на WSUS Admin.
- EDR/XDR с нормальным мониторингом certsrv и net user.

📖 https://lorenzomeacci.com/wsus-exploitation-all-you-need-to-know
🦔 THF

Good news, free TI, give me two 🎧

Threat Intelligence in ANY.RUN continues to evolve — not only by adding more features, but by making the right ones easier to use. We’ve simplified access to ANY.RUN Threat Intelligence with a free version of TI Lookup.  
You now can explore Public Samples, TTPs, Suricata rules, and malware trends inside our Threat Intelligence product in a cleaner, faster way. 
It’s about putting existing value in the right place, for the right audience. For analysts and teams starting with ANY.RUN in a Threat Intelligence context, this is a much better entry point. 
It’s a step to help you do less — so you can focus on more. 

•Alex Lapshin

🔗 https://any.run/cybersecurity-blog/threat-intelligence-lookup-new-plan/

🦔 THF

🧠 UAC-0001 и LAMEHUG: атаки с LLM-поддержкой
🎯 Цель: госструктуры и оборонный сектор Украины
🔍 Источник: CERT-UA #16039

📥 MITRE: Initial Access
🎣 Фишинговые письма якобы от министерств
Вложение: Додаток.pdf.zip → Додаток.pif
Распространение через скомпрометированный email boroda70@meta.ua

⚙️ Execution / Command & Control
.pif — скомпилированный PyInstaller-лоадер на Python
Выполняет LAMEHUG — малварь, использующая LLM Qwen 2.5-Coder-32B-Instruct через api.huggingface.co
LLM генерирует команды Windows на основе описания (вшитого в код)

🧰 Примеры задач, которые выполняет LAMEHUG
📂 Сбор и сохранение инфы в %PROGRAMDATA%\info\info.txt:
systeminfo, tasklist, net start, ipconfig /all, whoami, wmic, dsquery — полный инвентарь машины
📁 Рекурсивный поиск .doc/.pdf/.txt в Desktop/Downloads/Documents
🚀 Передача данных:
Варианты: SFTP (на 144.126[.]202[.]227:22) или HTTP POST на stayathomeclasses[.]com/slpw/up[.]php

📡 C2 & Exfiltration
Использование LLM API как C2-канал
Команды формируются динамически, обходя статический анализ
Утечка идёт через обычные каналы (HTTP, SFTP) с легитимных (но взломанных) хостов

🐾 Атрибуция и версии
CERT-UA приписывает атаку группировке UAC-0001 (APT28)
Найдены несколько версий LAMEHUG:
AI_generator_uncensored_Canvas_PRO_v0.9.exe
AI_image_generator_v0.95.exe
image.py

🧠 Почему это опасно
Первое зафиксированное использование LLM для real-time генерации команд на целевой машине
LLM позволяет:
динамически адаптировать поведение
маскировать C2
эволюционировать технику без апдейта самой малвари

🧷 Detection & Hunting
🐱 IOC (файлы, хосты, сети):
%PROGRAMDATA%\info\info.txt, cmd.exe /c "mkdir ... && systeminfo >> ..."
C2, stayathomeclasses[.]com,

📊 Поведенческие признаки:
Подозрительные вызовы dsquery, wmic, массовые операции в cmd.exe
Обращения к API HuggingFace с систем Windows

🚧 Detection tips
detection:
selection:
ParentImage: '*\cmd.exe'
CommandLine|contains:
- 'wmic'
- 'dsquery'
- 'systeminfo'
condition: selection

Рекомендации
🔐 Блокировать .pif и .zip во вложениях(не ломать логику бизнеса)
🌐 Контроль outbound-трафика на api[.]huggingface[.]co
⚠️ Мониторинг Python/LLM-процессов с сетевой активностью

Вывод 💀
LAMEHUG — первый задокументированный пример использования LLM как инструмента интерактивного C2. Это качественный сдвиг: теперь ИИ не только генерирует фишинг и deepfake, но и сам рулит заражённой машиной в режиме реального времени.
Динамичные, контекстные атаки — новая реальность.
Будьте готовы к эпохе LLM-as-a-backdoor.

🔗 https://cert.gov.ua/article/6284730
🦔 THF

Limited THF мерч drop🛸

Ну что threat hunter’ы, решил порадовать вас 😃

Условия розыгрыша максимально простые:

1️⃣ Подписка на канал THF

2️⃣ Оставить коммент, под постами, которые показались весьма информативными

3️⃣ Улыбнуться 🦔


🗓 Победителям удачи, выберем с помощью рандомайзера.

Поддержать THF 👇
https://t.me/boost/ThreatHuntingFather

Удачи, охотник! 😵

🐧 Linux Threat Hunting Persistence

Автор статьи демонстрирует, как искать признаки присутствия злоумышленника (persistence) в Linux с помощью open source инструментов и стандартных средств ОС

Рассмотренные методы сохранения доступа:

▪️SSH Keys
▪️Crontab
▪️Bashrc
▪️APT
▪️Privileged user & SUID bash
▪️Malicious Systemd
▪️Hunting LKM Rootkits
▪️LD_PRELOAD rootkit
▪️PAM Backdoor
▪️ACL
▪️init.d
▪️Motd
▪️Mount process for hide any pid
▪️Webshells
▪️rc.local

🔗 Article

#linux #persistence #threathunting

✈️ Whitehat Lab 💬Chat

Another quick and dirty Linux hunt for Velociraptor. 🔍

LD_PRELOAD is well known technique to hijack execution flow and inject malicious code into every dynamically linked process.
ATT&CK - https://attack.mitre.org/techniques/T1574/006/

1. Parses /etc/ld.so.preload
2. Parses all /proc/<pid>/environ for any LD_PRELOAD= entries

🦖Linux.Persistence.LdPreload - https://docs.velociraptor.app/exchange/artifacts/pages/ldpreload/
🦔THF

🎉 Результаты розыгрыша:

🏆 Победители:
1. Stump (@Fa1dar)
2. YErbol (@nurdauletove)

✔️Проверить результаты


Но если вы не выиграли, не расстраивайтесь! Еще будет новый розыгрыш)

Scanner for the SharePoint CVE-2025-53770 RCE zero day vulnerability.

🔗 https://github.com/hazcod/CVE-2025-53770
Extra info: https://github.com/ZephrFish/CVE-2025-53770-Scanner
🦔THF

🔍 Mac Forensics: Артефакты Apple 🍎

Windows давно стал стандартом в судебной экспертизе, но атакующие идут туда, где их не ждут. Всё чаще — на macOS.
Форензика Mac требует другой методологии.
Здесь нет Prefetch, Registry, SRUM.
Но это не чёрный ящик — если знаешь, куда смотреть.
🎯 Ключевые артефакты macOS:
• Unified Logs (/var/db/diagnostics/, /var/db/uuidtext/) — аналог Windows Event Logs от Apple: подробные системные логи, но в сжатом бинарном формате, синхронизированы с загрузкой системы.
• TCC.db — отслеживает разрешения приложений (например, доступ Terminal к микрофону). Отлично подходит для выявления злоупотреблений приватностью и подозрительных бинарников.
• Quarantine Events (атрибут com.apple.quarantine) — фиксирует загрузки файлов и URL-источники, помогает в анализе малвари.
• Spotlight Metadata (.store.db) — быстрый способ получить представление об активности на диске без полного парсинга файловой системы.
• KnowledgeC.db — настоящий клад для DFIR: отслеживает активность приложений, разблокировки экрана, подключения USB и многое другое.
⚙️ Инструменты для сбора и анализа:
• mac_apt (Mac Artifact Parsing Tool) — мощный инструмент для пакетной выгрузки plist, логов и SQLite-баз.
• Velociraptor — поддерживает охоту за артефактами на macOS в масштабах всей инфраструктуры, отлично подходит для live response.
• APOLLO (от MITRE) — специализирован на KnowledgeC и других базах данных Apple.
• FileVault 2 — важно: для снятия образа требуется расшифрованный доступ — либо live response, либо Target Disk Mode и учётные данные пользователя.
🧪 Пример из практики:
При компрометации MacBook разработчика стандартные логи EDR почти не помогли.
С помощью mac_apt был извлечён KnowledgeC.db, где обнаружилось:
• запуск Terminal в 02:13
• монтирование USB в 02:14
• активность scp сразу после
Сопоставив это с Unified Logs, подтвердили попытку эксфильтрации через shell-скрипты и определили dwell timeатакующего — менее 6 минут.

Вывод:
Mac — не экзотика, а полноправная часть корпоративной поверхности атаки.
Убедитесь, что ваш forensic-плейбук включает экосистему Apple.

🦔THF

Fire Ant — гипервизорная APT-угроза👽
С начала 2025 года Sygnia расследует масштабную шпионскую кампанию, нацеленную на инфраструктурный уровень:
• VMware vCenter
• VMware ESXi
• Сетевые устройства (F5, Linux pivot-хосты)
Главный вектор — эксплуатация уязвимостей в гипервизоре и инфраструктуре. Это позволяет атакующим:
• обойти EDR/AV
• двигаться между сегментами сети
• сохранять доступ после зачистки
Этапы атаки ⌨️
1. Первичный доступ
CVE‑2023‑34048 (vCenter RCE)
• Атака через DCERPC → OOB Write → RCE без аутентификации
• Краш vmdird зафиксирован до начала активности
Подделка сессии в vCenter UI
• Скрипт vCenter_GenerateLoginCookie.py
• Использует сертификаты, извлечённые с хоста
• Позволяет получить админ-доступ без логина или логов аутентификации (сессия создаётся через поддельный cookie, это критично)

Кража учётных данных vpxuser
• Служебный аккаунт с root-доступом к ESXi
• Не отключается Lockdown Mode’ом

2. Устойчивость в инфраструктуре
Backdoor в vCenter (ksmd)
• Путь: /usr/libexec/setconf/ksmd
• TCP порт 7475
• Позволяет выполнять команды и передавать файлы
• Связан с семейством VIRTUALPITA
Malicious VIBs на ESXi
• Установлены вручную с флагом --force
• Прописывают исполняемые файлы в /bin, скрипты в rc.local.d/
• Бесподписные, уровень доверия — "partner"
Backdoor autobackup.bin
• Прописывается в /etc/rc.local.d/local.sh для автозапуска
• Запускает web-сервер на порту 8888
• Поддерживает RCE, загрузку и скачивание файлов
• Совместим с Python 2/3, работает как background-демон через double-fork и редирект stdout/stderr в /dev/null
Отключение логов (vmsyslogd)
• Убийство процесса лишает ESXi логирования
• Нет ни локальных, ни удалённых журналов

3. Атаки на гостевые ВМ с гипервизора
CVE‑2023‑20867 (VMware Tools)
• Позволяет выполнять команды внутри ВМ без логина
• Используется PowerCLI и Invoke-VMScript
• Команды исполняются через vmtoolsd.exe
Патчинг VMX-процесса через ELF tools
• Модификация памяти ESXi-хоста
• Отключает необходимость аутентификации гостя
Дамп хэшей из памяти ВМ
• Snapshot с vim-cmd, затем анализ .vmem с UpdateApp (Volatility fork)
• Извлекаются NTLM-хэши, в том числе с DC
EDR tampering (updatelog.exe)
• Вызывается через vmtoolsd.exe
• Нарушает работу SentinelOne
Нарушает видимость процессов у EDR без его остановки — агент остаётся активен, но ничего не видит
V2Ray туннель (update.exe)
• Устанавливает прослушку на TCP 58899
• Используется как C2 и обход прокси/фильтров
Незарегистрированные ВМ (vmx -x)
• Прямой запуск VM без vCenter
• MAC spoofing → не отслеживается админкой
• Только через L2-инвентаризацию можно отследить

4. Сетевая экспансия и туннелирование
F5 Load Balancer: CVE‑2022‑1388
• Выполнение команд без логина
• Webshell в /xui/common/css/css.php
Туннель Neo-reGeorg
• Устанавливается на внутренних веб-серверах
• Создаёт HTTPS-туннель через firewall
Medusa Rootkit на Linux pivot-хостах
• Скрытый shell
• Логгирует SSH-пароли в remote.txt
netsh portproxy на admin-хостах
• Проброс портов к системам
• Используется для обхода ACL и firewall
IPv6 bypass
• В большинстве сетей IPv6 не фильтруется
• Атакующий использует этот канал для туннелей

5. Устойчивость к зачистке
• Повторный вход после очистки
• Переименование малвари под forensic-инструменты
• Отслеживание действий защитников и адаптация
• Только одновременная, скоординированная зачистка эффективна

🗺Детект и защита
Что искать
• Внезапное отключение vmsyslogd
• Старт процессов от vmtoolsd.exe внутри ВМ
• Новые бинарники в /tmp, /scratch, /bin, /etc
• ВМ без регистрации в vCenter (через vmx -x)
• ВМ активна, но EDR не отдаёт телеметрию
🔐Как защититься
• Патчить: vCenter, ESXi, F5, VMware Tools
• Включить Lockdown Mode и Secure Boot
• Доступ к vCenter — только через jump/PAM
• Регулярная ротация паролей, хранение в vault
• Включить syslog и форвардить логи централизованно

🔗 https://www.sygnia.co/blog/fire-ant-a-deep-dive-into-hypervisor-level-espionage
🦔 THF

🧐 RuleSetRAT: кастомные YARA-правила и анализ RAT-билдеров

Что делать, если нужного сэмпла нет на VirusTotal, а сигнатуры не ловят специфический билд RAT'а? RuleSetRAT — это лабораторный репозиторий с реверсом, CAPA-анализом и YARA-правилами под каждую вариацию.

🎯 Цель проекта —

This repository provides a curated set of variant-specific YARA detection rules and detailed static analysis reports for various Remote Access Trojan (RAT) families and builder samples. The goal is to support professionals in the cybersecurity field with actionable intelligence, reverse engineering insights, and precision detection capabilities.

📦 Что внутри:
• Builder.yara — правило под конкретный билд
• CAPA/ — извлеченные фичи поведения
• DIE/ — PE-структура, метки, офускации
• Все сэмплы сгенерированы вручную через билдеры в QEMU-песочнице

🧬 Важное:
• Образцы не публикуются, только метаданные
• Все правила тестируются вручную
• Поддержка traceable коммитов — видно эволюцию правил и анализа

🔖 Документация:
• Методология генерации
• Внутренние политики хэшей
• YARA шаблоны
• Анализ билдов типа Z_dem0n10

🔐 Этический фреймворк:
• Только для защиты, аналитики и обучения
• Никаких боевых payload'ов

• This project is strictly intended for educational, academic, and ethical cybersecurity research purposes.

☝️ https://github.com/GokbakarE/RuleSetRAT

Если ты охотишься за малварью и пишешь кастомные сигнатуры — этот проект тебе в закладки. Идеальный референс для понимания, как из билдера рождается RAT и как его поймать до первого beacon'а.

🦔 THF 🚀

🦔 site: chatgpt. com/share api key 🔓