#SOC #BLUETEAM
https://github.com/cyb3rxp/awesome-soc

Старый хозяин, новые тапки
Новый КЗ, старые грабли
Те же ТЗ: тендеры, бабки
Снова ХЗ, где мы и как мы...

https://www.youtube.com/watch?v=oILUhLIXw0o

#redteam #pentest #evasion #bypass

#SOC #BLUETEAM

Если пропустить рекламу от Solarwinds, это лучший мануал по работе с различными типами логов от .NET, PHP до Windows

https://www.loggly.com/ultimate-guide/

Post-rock ностальгия от любимого лейбла Ninja Tunes

Marie Davidson поставила себе памятник в современной электронной музыке 👏

https://youtu.be/5ehga015ZPM?feature=shared

Так, ну идея понятна... Собираем всё в BloodHound через SOAP, при этом не шумим по LDAP. ADWS (порт 9389) на DC по умолчанию доступен))

https://github.com/FalconForceTeam/SOAPHound

#bloodhound #redteam #pentest #recon

#Redteam #Offensive

Offensive .NET Tools

OpSec
Should I blindly deploy any of these binaries during real-life engagements?
F*ck no ...


https://github.com/Flangvik/SharpCollection

Теперь можно извлекать учетные данные без обращения к диску (Dumping credentials without touching disk) с помощью утилиты #go-secdump которая поддерживает и SOCKS Proxy решая проблему #Impacket

https://github.com/jfjallid/go-secdump

скоро и в Impacket запилят и будет красота
https://github.com/fortra/impacket/pull/1698

Надеваем шапочки из фольги — на GitHub опубликовали слитые секретные данные китайской шпионской компании, сотрудничающей с правительством.

Там буквально все, что вы видели в фильмах про хакеров: приложения для кражи контактов и фотографий с других смартфонов (в том числе Apple, да), инструкции по использованию ботнетов на бытовой технике, и даже гаджеты для перехвата трафика в сетях Wi-Fi, замаскированные под павербанки Xiaomi.

Подробнее можно почитать вот тут, только запаситесь успокоительным.

💀 Anxun Victim List

https://docs.google.com/spreadsheets/d/1MRYMer72YrMl3jD1JXD4awX2LqLrRaE7xDh-rf0-ijk/edit#gid=1874949658

👹 #redteam #c2 #golang

https://github.com/INotGreen/XiebroC2

New The NIST Cybersecurity Framework (CSF) 2.0

Release date - February 26, 2024:

https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf

Первый репозиторий слива iSoon снесли с Github, но тут же опубликовали перевод на английский (вместе с оригиналом на китайском) тут https://github.com/mttaggart/I-S00N/.

Сама компания — ключевой подрядчик китайских спецслужб. Занимается кибершпионажем и атаками, финансируемыми правительством Китая. Связана с APT41.

Внутри слива больше 1000 файлов, включая offensive-арсенал, переписки сотрудников, osint-инструментарий, собственные аппаратные закладки и детали кибератак на кучу стран, начиная от взлома казахского Tele2, заканчивая почтой Столтенберга.

С момента слива прошло пару недель, поэтому собрал небольшое саммари из тех, кто уже посмотрел.

Общий обзор от BushidoToken: Lessons from the iSOON Leaks

Вводные по компании на основе утекших документов: i-SOON: Another Company in the APT41 Network

Как произошел слив, таймлайн: Unmasking I-Soon | The Leak That Revealed China’s Cyber Operations

Развитие событий после слива, деанон сотрудников, и просто хорошее osint-расследование: Memetic Warfare Weekly: MY DATA LEAKS ON GITHUB Edition

Pandora’s box is opened..

https://github.com/xai-org/grok-1

#Windows #L2 #Pivoting
https://blog.exploit.org/witchhammer/

Автор предлагает использовать SoftEther VPN для пивотинга на захваченной Windows машине и реализации L2 атак, но со стороны OPSEC это довольно шумно. Тем не менее идея имеет место быть.

От себя могу порекомендовать утилиту RawCap весит всего 48 kB, для первичного анализа трафика.

CVE-2024-3094 — это всё, как мы тут любим.

Во первых, если вы используете любой современный дистрибутив linux,, срочно убедитесь, что вас эта уязвимость не касается, то бишь xz/liblzma у вас ДО версии 5.6.0.

Во вторых, какая история. Формат xz, использующий алгоритм сжатия LZMA2, был придуман в 2007 году восторженным шифропанком по имени Лассе Коллин. Вообще, он там собирался делать дистрибутив Linux на основе Slackware, помещающийся на один компакт-диск, но, насколько можно судить, до этого дело не дошло. А вот xz пошел в массы и поддерживался Лассе примерно до 2022 года.

То ли по причине своей эмоциональной нестабильности, то ли ещё по каким соображениям, в 2022 году, Лассе был взят в оборот какой-то трёхбуквенной (или, скорее, трёхиегроглифовой) организацией и при помощи нехитрых (но для жертвы весьма неприятных) психологичеких трюков принуждён к передаче проекта неким виртуальным личностям.

Личности эти потом проделали довольно большую и сложную работу, чтобы добавить в xz этот самый бэкдор и хорошо его спрятать. При этом, они старательно работали над самим проектом. Вот, например, они благодарят шведских переводчиков за перевод XZ Utils на шведский.

Отдельно смешно то, что код эксплойта был внедрён в систему сборки проекта через подсистему тестирования. Но Лассе не использовал автоматизированных тестов и всё тестировал на глазок. То есть, злоумышленники написали все тесты сами. С нуля.

Во всём этом есть хорошие новости и есть плохие.

Из хороших: в популярных опенсорс продуктах спрятать бэкдор, даже если ты талантливый маскировщик, не так просто, Впрочем, открытость кода сыграла в расследовании не главную роль. Как мы увидим по ссылкам ниже, всё началось с того, что сотрудник Microsoft Андрес Френд обратил внимание на странное поведение ssh на своих машинах и только потом полез в код разбираться. Причём, получается, что он за несколько часов сломал злоумышленникам почти двухлетнюю работу: широко распространить уязвимую версию им не удалось.

Из плохих новостей всё остальное. Мы без понятия, в скольких ещё проектах эти ребята выступают мэйнтейнерами под другими ничего не означающими именами. Далеко не каждым софтом пользуются въедливые исследователи.

Ну и оказывается, мозг разработчика может быть уязвим ничуть не меньше, чем его код.

Литература:

https://www.opennet.ru/opennews/art.shtml?num=60880 — последовательность событий, приведших к образованию бэкдора
https://mastodon.social/@AndresFreundTec/112180406142695845 — Андрес Френд рассказывает, как он обратил внимание на странности с ssh
https://news.ycombinator.com/item?id=39866275 — ещё одна история про то, как новые мэйнтейнеры xz применяют манипулятивные техники для распространения правильной забэкдоренной версии.