https://vmallet.github.io/ida-plugins/

Поисковик по плагинам для IDA Pro. C описанием, ЯП и разбивкой на категории. Обновляется часто.

Эпичные стримы с реверсом прошивки видеокарт AMD 7900XTX от Джорджа Хотца (тот самый, кто первым разлочил оригинальные айфоны и взломал PlayStation 3), и его противостояние с компанией.

Не нужно нанимать меня, просто откройте исходный код 7900XTX + опубликуйте документацию и уберите проверку подписи. Мы будем относиться к этому как к созданию собственного чипа, получать сборки в CI, проводить HITL-тестирование, фаззинг и т. д...

Сейчас он собирает свои компьютеры TinyBox, заточенные под работу с AI, которые работают на шести таких видеокартах. Работают нестабильно, вызывают краши, поэтому он просит открыть сорцы, чтобы нормально отлаживаться.

writing a fuzzer and not getting triggered when the AMD GPU crashes UMR
documenting the AMD 7900XTX so we can understand why it crashes | RDNA 3
same thing we do every weekend, documenting the AMD 7900XTX | Part 1
same thing we do every weekend documenting the AMD 7900XTX Part2

Satellite Hacking Demystified

C&DH (Command and Data Handling System) — важная подсистема, которая используется в спутниках, космических кораблях и других аппаратах, работающих в космосе.

Основной ее задача — обработка бортовых команд и управление потоком данных. Не смотря на новые термины, взлом остается классическим — но импакт позволяет заполучить контроль над собственным аппаратом из космоса.

Подробности о векторах атаки на протоколы, которые используются в спутниках: https://redteamrecipe.com/satellite-hacking-demystified

Space Attacks and Countermeasures Engineering Shield или база знаний ATT&CK® для космических систем: https://spaceshield.esa.int/

Райтапы для ежегодного CTF по взлому спутников, Hack-A-Sat: https://github.com/solar-wine/writeups

Восьмичасовая запись конференции Hack Space Con '24: https://www.youtube.com/watch?v=aWvNLJnqObQ

https://github.com/YuriiCrimson/ExploitGSM/

Эксплойт для повышения привилегий через драйвер n_gsm для версий ядра Linux 5.15 - 6.5.

Cтатья, которая была опубликована на английском The tale of a GSM Kernel LPE, и активно распространялась в сети, на самом деле перевод райтапа от Yurii Crimson, — студента, который пытался продать 0day, чтобы купить новый компьютер (на самом деле), и отправил подробности с PoC'ом до того, как ему перечислили $5 000.

Не совершаем ошибок:
— zeronomi.com
— zerodium.com
— zerodayinitiative.com
— pwnables.com
— nsogroup.com
— ssd-disclosure.com

Рансомварщики HelloKitty опубликовали пароли к архивам с исходниками игр Ведьмак 3 (включая next-gen версию), Гвинт, и Thronebreaker: The Witcher Tales.

Magnet: magnet:?xt=urn:btih:44134e7ade0f85e0ee940c33a7bfed5204587b93&dn=funnytorrent&tr=udp://tracker.openbittorrent.com:80&tr=udp://tracker.opentrackr.org:1337/announce

w3: oJX&S5678536Y8as%23
gwent: GyrS^&4A89x,
w3rtx: NIh\\*AS^8x0Xppw
thronebreaker: AN87*-2047UIOSh78^X

Spy.pet

Discord — это, по сути, святой Грааль в мире парсинга. Они пытаются сделать все, чтобы не допустить массового сбора данных. Мне нравится обходить защиту, собирать данные, архивировать их и бросать себе вызов.

Сервис, который в реальном времени индексирует сообщения и участников Discord-серверов. Можно найти все, что писал конкретный пользователь, и где он состоит.

В настоящее время:
— находится на 6 тысячах серверов
— хранит более 4 миллиардов сообщений
— отслеживает около 256 миллионов пользователей

Позволяет делать нужные выгрузки в .csv.

Can you hack your government?

Департамент обороны США был одним из первых, кто релизнул свою Bug Bounty программу, среди государственных организаций.

Сегодня на его странице в H1 больше 27к репортов, и другие правительства тоже понемногу начинают официально принимать уязвимости.

В репозитории полный их список.

CVE-2024-2448

RCE в балансировщике LoadMaster, который широко используется в Amazon, Disney, ASOS, и других компаниях.

Ресерч: https://rhinosecuritylabs.com/research/cve-2024-2448-kemp-loadmaster/

CVE-2024-21111

Повышение привилегий до SYSTEM с помощью VirtualBox. Эксплуатация Arbitrary File Write/Delete с помощью симлинков, \RPC Control\, в связке с DLL Hijacking.

Ресерч: https://www.mdsec.co.uk/2024/04/cve-2024-21111-local-privilege-escalation-in-oracle-virtualbox/

https://github.com/badkeys/badkeys

Опенсорсная утилита, которая проверяет публичные ключи на наличие известных уязвимостей, с помощью которых можно было бы восстановить приватные ключи.

Успешные примеры использования:
— атака Ферма на RSA: слабые RSA-ключи, сгенерированные прошивкой принтера, были тривиально взломаны с помощью алгоритма факторизации Ферма.
— сертификаты с ключами ROCA: публичные ключи, которые использовала Yahoo, были уязвимы для атаки ROCA.
— сертификаты с тестовыми ключами OpenSSL: утилита нашла сертификаты, для которых были известны приватные ключи.

Существует веб-версия https://badkeys.info/

ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices

Кто-то ломает Cisco, Cisco Talos бьет тревогу. Некий правительственный актор (как предполагает компания, китайцы или россияне) уже пять месяцев терроризирует промышленную инфраструктуру, взламывая брандмауэры ASA (CVE-2024-20353) и FTD (CVE-2024-20359).

Получив доступ, внутри разворачиватся имплант Line Dancer, который отключает системные логи, хукает hash dump процесс (чтобы заблокировать создание дампа), и устанавливает бекдор, — который переопределяет указатель со стандартного кода host-scan-reply (участвует при создании сеанса SSL VPN) на собственный интерпретатор шеллкода.

В январе уже массово взламывали сервера Ivanti Connect Secure, которые некоторые связывают с этой же группой.

The Kubenomicon

Матрица угроз в стиле MITRE ATTACK для Kubernetes, ориентированная на наступательную безопасность. С акцентом на то, как использовать каждую атаку.

1. Initial access
— Using cloud credentials
— Compromised image In registry
— Kubeconfig file
— Application vulnerability
— Exposed sensitive interfaces
— SSH server running inside container

2. Execution
— Exec inside container
— New container
— Application exploit (RCE)
— Sidecar injection

3. Persistence
— Backdoor container
— Writable hostPath mount
— Kubernetes cronjob
— Malicious admission controller
— Container service account
— Static pods

4. Privilege escalation
— Privileged container
— Cluster-admin binding
— hostPath mount
— Access cloud resources

5. Defense evasion
— Clear container logs
— Delete events
— Pod name similarity
— Connect from proxy server

6. Credential access
— List K8S secrets
— Access node information
— Container service account
— Application credentials in configuration files
— Access managed identity credentials
— Malicious admission controller

7. Discovery
— Access Kubernetes API server
— Access Kubelet API
— Network mapping
— Exposed sensitive interfaces
— Instance Metadata API

8. Lateral movement
— Access cloud resources
— Container service account
— Cluster internal networking
— Application credentials in configuration files
— Writable hostPath mount
— CoreDNS poisoning
— ARP poisoning and IP spoofing

9. Collection
— Images from a private registry
— Collecting data from pod

Godot RE Tools

Godot RE Tools — инструмент для реверс-инжиниринга игр, написанных на Godot Engine. Принимает на вход саму игру, в формате pck/exe/apk, на выходе возвращает восстановленный проект, готовый для импорта в игровой движок.

Пример использования
gdre_tools --headless --recover=game.exe

Cheatsheet: Linux Forensics Analysis

Шпаргалка по исследованию потенциально взломанной системы Linux для сбора артефактов. По сути, это готовый copy/paste список действий, которые необходимо выполнить в определенном порядке.

Validate compromised
— Interviewing client/user/administrator

Live response and triage script
— Linux-CatScale
— UAC
— Fennec

Live response commands
— General information
— Logon activities
— Review processes
— Recover deleted process’s binary
— Review network
— Review activities
— Hunting unusual files
— Installed programs
— File investigation
— Persistent mechanisms
— Unusual system resources

Compromised assestment scanning
— THOR Lite

Hunting rootkit
— To hunt via 3rd party software
— Hunting and check files, processes
— Investigate loaded kernel modules

Collect evidences
— Disk imaging using dd

Memory acquisition
— AVML
— LIME

Investigation and analysis
— Live response and triage script analysis
— Memory analysis with Volatility

Disk analysis
— Directories and Files Analysis
— Log analysis
— Privilege escalation hunting ideas
— File recovery
— Generate Timeline analysis

https://github.com/P1sec/QCSuper

У процессоров Qualcomm есть полностью проприетарный протокол Diag, DM, или QCDM — который расшифровывается как Qualcomm Diagnostic monitor.

Этот протокол обычно используют для отладки, и в Android-смартфонах он тоже есть, — там он представлен интерфейсом /dev/diag.

Умеет он много, например:
— отдавать информацию об устройстве
— выполнять команды, связанные с вызовами и сообщениями
— взаимодействовать с GPS
— работать с протоколами 2G/3G/4G
— менеджить файлы на крошечной EFS
— читать и писать в постоянную и энергозависимой память

QCSuper — это утилита, которая позволяет взаимодействовать с ним, и использовать некоторые его фичи — например, перехватывать сырой 2G/3G/4G трафик, чтобы проанализировать его в Wireshark.

Достаточно иметь рутованный смартфон и подключиться по ADB, вот пример использования
sudo ./qcsuper.py --adb --wireshark-live

О том, как это работает низкоуровневого, и что можно увидеть в трафике, читаем тут Presenting QCSUPER: A tool for capturing your 2G/3G/4G air traffic on QUALCOMM-based phones.

A recent security incident involving Dropbox Sign

Злоумышленники взломали учетную запись службы в бэкенде Sign, у которой были привилегии для выполнения различных действий в продакшн среде. Затем они использовали этот доступ для получения доступа к базе данных клиентов.

В ходе расследования выяснилось, что злоумышленники получили доступ к данным, включая информацию о клиентах: электронную почту, имена пользователей, номера телефонов и хэшированные пароли.

Кроме того, были скомпрометированы настройки информация о настройках, и информация об аутентификации, например, API-ключи, OAuth-токены и данные о многофакторной аутентификации пользователей.

Dropbox Sign взломали и слили всю базу, включая секреты для TOTP. Sign — это сервис, через через который можно шарить и подписывать документы онлайн.

The Secret Parameter, LFR, and Potential RCE in NodeJS Apps

Ставишь ExpressJs с шаблонизатором Handlebars:

npx express-generator
express --view hbs

Бонусом получаешь LFR и, потенциально, RCE.

Пример непримечательного кода

var express = require('express');
var router = express.Router();

router.post('/', function(req, res, next) {
  var profile = req.body.profile
   res.render('index', profile)
});

module.exports = router;

А теперь эксплойт для LFR, чтобы прочитать исходники

curl -X 'POST' -H 'Content-Type: application/json' --data-binary $'{\"profile\":{"layout\": \"./../routes/index.js\"}}' 'http://localhost:9090/'

Внутри миддлвары, в процессе рендера, на самом деле существует параметр layout, который получается переопределить, благодаря нашему переданному словарю.

С точки зрения кода, вместо

res.render('index', profile)

Правильно использовать

res.render('index', { profile })

Но даже так остается риск эксплуатации с помощью классического Prototype Pollution.

До того, как многие узнали о спортиках и начали наблюдать за их "творчеством" в Telegram, существовал отдельный сервис, определивший эту эпоху.

Началось еще все в далеком 2002 году, когда появился минималистичный сайт, который назвали Pastebin. Там можно было делиться длинными текстами, но была цензура.

Те, кому не нравилось, как их тексты удаляли, а аккаунты банили, начали создавать свои аналоги. Со временем, Pastebin стал не просто сайтом, а отдельной категорией друг на друга похожих сервисов, куда ты мог написать что угодно.

Потом появился знаменитый Exposed от "русских хакеров", а с его закрытием расцвел Doxbin. Его отличало то, что он был доступен из клирвеба, был анонимным (как потом выяснилось, это было не так), а значит и не выдавал инфу о своих пользователях (ее ведь не было?).

Благодаря этому, он быстро набрал популярность у теневых групп и стал одним из самых известных сайтов для доксинга, — места, где каждый день десятками страниц выкладывался компромат на кого угодно, и это поощрялось.

Дошло все до того, что в 2019 всеми известный журналист Брайан Кребс, который и сам любит делать нечто похожее, пожаловался на то, как там "белые супрематисты" призывают к терроризму, взламывают всякое и выкладывают данные агентов ФБР.

На днях Doxbin "закрыли". Опубликованное фото создателя, скорее всего, постановочное. А сам сервис, вероятно, возродится, как и BreachForums (напомню, его уже арестовывают не в первый раз).

Однако, это всего один сайт. Тот самый Pastebin без запрещенки, куча его клонов, и клонов Doxbin'а, все еще продолжают существовать.

И за то время, пока они существуют, начиная с двухтысячных, там скопилось много по-настоящему любопытной информации.

Вот небольшая подборка поисковиков по этим сервисам:
— RedHunt Labs Online IDE Search — полезен, чтобы искать NDA-исходники закрытых сервисов (когда разработчики ими делятся друг с другом), ищет более чем на 40 сайтов
— Pasta — многопоточный утилита на Python для поиска утечек по Pastebin со множеством опций
— Pastebin Search Engines — веб-поисковик от Cipher387, ориентированный на поиск дампов, API-ключей, токенов и персональных данных
— Sniff Paste — как Pasta, но для поиска в режиме реального времени, полезно использовать в процессе Threat Intelligence
— Pastebin Bisque — скрипт для дампа профилей с Pastebin.
— Awesome Pastebin — большой каталог сайтов из категории Pastebin.

CVE-2024-22120 ToolKit

Из админки Zabbix пользователь может выполнять заранее созданные скрипты (по умолчанию, ping и traceroute).

После выполнения скрипта, событие записывается в Audit Log. В событии есть поле с клиентским IP. Из-за того, что он не санитизируется, это приводит к SQL-инъекции.

https://support.zabbix.com/browse/ZBX-24505

Скрипт получает сессию админа и прокидывает реверс-шелл.

https://github.com/gh2o/bash_tls/

Минимальная (<1000 строк кода) реализация TLS 1.2 на чистом Bash.

Хорошее дополнением к теории The Illustrated TLS 1.2 Connection. Читаем и сравниваем.