#PURPLETEAM #SOC #BYPASS
Оказывается Elastic EDR слеп перед простой кодировкой base64 🤦♂️
Пример чтения /etc/shadow файла:
А ваш SIEM детектит? )
UPDATE:
Правило детекта в KQL:
Оказывается Elastic EDR слеп перед простой кодировкой base64 🤦♂️
Пример чтения /etc/shadow файла:
eval "$(echo c3VkbyBjYXQgL2V0Yy9zaGFkb3cgPiAvdG1wL1QxMDAzLjAwOC50eHQ7IGNhdCAvdG1wL1QxMDAzLjAwOC50eHQ= | base64 --decode)"
А ваш SIEM детектит? )
UPDATE:
Правило детекта в KQL:
(process.args: *base64* AND (process.args: *--decode* OR process.args: *-d*) AND NOT process.parent.name: (apt-key)) OR
(process.args: *base32* AND (process.args: *--decode* OR process.args: *-d*) AND NOT process.parent.name: (apt-key)) OR
(process.args: *xxd* AND process.args: *-r* AND NOT process.parent.name: (apt-key))
Forwarded from BI.ZONE
Наши эксперты уже рассказали о Python, администрировании, веб-безопасности и криптографии.
Настало время разобраться с реверс-инжинирингом. Вот записи по этому блоку:
А вот тут смотрите лекции предыдущих блоков.
Сохраняйте пост, чтобы не потерять.
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Реверс инжиниринг. Часть 1 | Кружок CTF МИФИ&BI.ZONE
Записи встреч CTF-кружка, проводимого при сотрудничестве НИЯУ МИФИ и компании BI.ZONE. В восемнадцатом видео Илья Титов, выпускник кафедры, участник CTF-команды SPRUSH, аналитик отдела поиска и анализа новых киберугроз, BI.ZONE, проводит реверс байт кода…
Forwarded from Offensive-SEC
#packt | Malware Development for Ethical Hackers: Learn how to develop various types of malware to strengthen cybersecurity
More : https://www.packtpub.com/en-in/product/malware-development-for-ethical-hackers-9781801810173
More : https://www.packtpub.com/en-in/product/malware-development-for-ethical-hackers-9781801810173
🔥4
Forwarded from MEDET TURIN
Первая книга из Казахстана и на таком высоком уровне!
Я думаю нам необходимо поддержать нашего ресерчера.
Сделать это можно купив книгу здесь.
Я думаю нам необходимо поддержать нашего ресерчера.
Сделать это можно купив книгу здесь.
Packt
Malware Development for Ethical Hackers | Security | Paperback
Learn how to develop various types of malware to strengthen cybersecurity . 9 customer reviews. Top rated Security products.
Forwarded from SecuriXy.kz
rockyou2024_printable_8-40.7z.002
3.7 GB
https://cybernews.com/security/rockyou2024-largest-password-compilation-leak/
Мы его скачали, немного отфильтровали, а теперь делимся с Вами результатами
ZIP-архив в 45 гигов в распакованном виде выдаёт текстовый файл размером 155 ГБ.
При открытии с помощью
less будет уведомление, что он выглядит как бинарный файл. В нём по какой-то причине добавлено приличное количество мусора...Вычистив его, получаем на выходе файл размером в 144 ГБ. Но даже в нём, достаточно бесполезных строк (Хотя если кому надо, можем выложить и его).
Отфильтровали ещё немного, оставив только строки без пробелов длиной от 8 до 40 символов и вуаля - 25 гигабайт приемлемого вордлиста).
Пользуйтесь
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2⚡1❤1👍1
Forwarded from Cybred
Red Team Interview Questions
Репозиторий, охватывающий широкий спектр тем и вопросов для кандидатов на собеседование, которые готовятся работать пентестерами в составе красной команды.
1. Initial Access
2. Windows Network
3. Active Directory
4. OS Language Programming
5. PowerShell
6. Windows Internals
7. DNS Server
8. Windows API
9. Macro Attack
10. APT Groups
11. EDR and Antivirus
12. Malware Development
13. System & Kernel Programming
14. Privilege Escalation
15. Post-exploitation (and Lateral Movement)
16. Persistence
17. Breaking Hash
18. C&C (Command and Control)
19. DLL
20. DNS Rebinding
21. LDAP
22. Evasion
23. Steganography
24. Kerberoasting and Kerberos
25. Mimikatz
26. RDP
27. NTLM
28. YARA Language
29. Windows API And DLL Difference
30. Antivirus and EDR Difference
31. NTDLL
32. Native API
33. Windows Driver
34. Tunneling
35. Shadow File
36. SAM File
37. LSA
38. LSASS
39. WDIGEST
40. CredSSP
41. MSV
42. LiveSSP
43. TSpkg
44. CredMan
45. EDR NDR XDR
46. Polymorphic Malware
47. Pass-the-Hash, Pass-the-Ticket or Build Golden Tickets
48. Firewall
49. WinDBG (Windows Debugger)
50. PE (Portable Executable)
51. ICMP
52. Major Microsoft frameworks for Windows
53. Services and Processes
54. svchost
55. CIM Class
56. CDB, NTSD, KD, Gflags, GflagsX, PE Explorer
57. Sysinternals Suite (tools)
58. Undocumented Functions
59. Process Explorer vs Process Hacker
60. CLR (Common Language Runtime)
Другие посты, которые я публиковал ранее
— вопросы на разные темы от действующего сотрудника Google
— 33 вопроса о веб-уязвимостях для самоподготовки
Репозиторий, охватывающий широкий спектр тем и вопросов для кандидатов на собеседование, которые готовятся работать пентестерами в составе красной команды.
1. Initial Access
2. Windows Network
3. Active Directory
4. OS Language Programming
5. PowerShell
6. Windows Internals
7. DNS Server
8. Windows API
9. Macro Attack
10. APT Groups
11. EDR and Antivirus
12. Malware Development
13. System & Kernel Programming
14. Privilege Escalation
15. Post-exploitation (and Lateral Movement)
16. Persistence
17. Breaking Hash
18. C&C (Command and Control)
19. DLL
20. DNS Rebinding
21. LDAP
22. Evasion
23. Steganography
24. Kerberoasting and Kerberos
25. Mimikatz
26. RDP
27. NTLM
28. YARA Language
29. Windows API And DLL Difference
30. Antivirus and EDR Difference
31. NTDLL
32. Native API
33. Windows Driver
34. Tunneling
35. Shadow File
36. SAM File
37. LSA
38. LSASS
39. WDIGEST
40. CredSSP
41. MSV
42. LiveSSP
43. TSpkg
44. CredMan
45. EDR NDR XDR
46. Polymorphic Malware
47. Pass-the-Hash, Pass-the-Ticket or Build Golden Tickets
48. Firewall
49. WinDBG (Windows Debugger)
50. PE (Portable Executable)
51. ICMP
52. Major Microsoft frameworks for Windows
53. Services and Processes
54. svchost
55. CIM Class
56. CDB, NTSD, KD, Gflags, GflagsX, PE Explorer
57. Sysinternals Suite (tools)
58. Undocumented Functions
59. Process Explorer vs Process Hacker
60. CLR (Common Language Runtime)
Другие посты, которые я публиковал ранее
— вопросы на разные темы от действующего сотрудника Google
— 33 вопроса о веб-уязвимостях для самоподготовки
Forwarded from RedTeam brazzers (Миша)
Всем привет! В продолжение темы про NetNTLM-хешики, кражу сессий и эксплойты :))
Тут на днях вышел FakePotato, который пофиксил один супер интересный вектор повышения привилегий - через установку обоев.
Ранее у ncc group выходила крутая статья про то, как изменение обоев может привести к утечке NetNTLM-хеша. Там было достаточно много требований, ограничивающих атаку: Webdav Redirector, DNS-запись....
Однако decoder.cloud достаточно прозрачно намекнул, что нашел функционал, позволяющий изменить обои привилегированного пользователя с использованием специального COM-объекта.
Поэтому приходится вскрывать карты :)
Я выложил инструмент LeakedWallpaper , который позволяет получить NetNTLM-хеши ЛЮБОГО пользователя, чья сессия присутствует на хосте. Требования по правам: любые.
Способ до установки июньского фикса KB5040434 будет работать безотказно.
Демо можно найти тут
Тут на днях вышел FakePotato, который пофиксил один супер интересный вектор повышения привилегий - через установку обоев.
Ранее у ncc group выходила крутая статья про то, как изменение обоев может привести к утечке NetNTLM-хеша. Там было достаточно много требований, ограничивающих атаку: Webdav Redirector, DNS-запись....
Однако decoder.cloud достаточно прозрачно намекнул, что нашел функционал, позволяющий изменить обои привилегированного пользователя с использованием специального COM-объекта.
"I played with the Desktop Wallpaper and was able to change the desktop background image of Adminstrator"
Поэтому приходится вскрывать карты :)
Я выложил инструмент LeakedWallpaper , который позволяет получить NetNTLM-хеши ЛЮБОГО пользователя, чья сессия присутствует на хосте. Требования по правам: любые.
Способ до установки июньского фикса KB5040434 будет работать безотказно.
Демо можно найти тут
Forwarded from Order of Six Angles
Хотите вы этого или нет, но теперь в Linkin Park вместо Честера будет вокалистка - Emily Armstrong.
🔥🔥🔥 - горящие пуканы олдов.
https://www.youtube.com/live/IL1nlWOciL0?feature=shared
🔥🔥🔥 - горящие пуканы олдов.
https://www.youtube.com/live/IL1nlWOciL0?feature=shared
YouTube
Linkin Park: FROM ZERO (Livestream)
From Zero (Deluxe Edition) - Out Now: https://lprk.co/fromzerodlx
From Zero World Tour 2025
Tickets On Sale Now: http://lprk.co/tour
00:00: Intro
02:33: The Emptiness Machine
05:47: Somewhere I Belong
09:30: Band Introductions
10:17: Crawling
13:42: Lying…
From Zero World Tour 2025
Tickets On Sale Now: http://lprk.co/tour
00:00: Intro
02:33: The Emptiness Machine
05:47: Somewhere I Belong
09:30: Band Introductions
10:17: Crawling
13:42: Lying…
🔥4❤2🤯2😱2💔1
Forwarded from Yevgeniy Goncharov
Open SysConf'24 🦄 - Три недели до встречи
Почти три недели + готово три доклада = шестой Open SysConf'24
С радостью сообщаю, что подготовка идет, и есть три темы:
🔹 Три системы, которые ты захочешь развернуть и настроить
🔹 На превью, я уже захотел это сделать, скажу по секрету мне стало понятнее, как работает Kerberos
🔹 Рефакторинг легаси 10-летней давности
🔹 Стейджинг процесса рефакторинга начинающегося от кода и заканчивающегося брендом, как надо и не надо
- Внедрение вредоносного кода в Android приложения
🔹 Точно знаю, что после этого доклада, ты три раза подумашь испольльзовать левый приклад на своих Адроидах или нет
Очень радостно, видеть, что труд ведется, есть самоконтроль, самоосознанность и ответсвенность докладчиков, за что большое спасибо!🤝
С нашей стороны, постараемся обеспечить каждого докладчика фирменной футболкой, хорошим звуком и трансляцией доклада в Интернет, ну и конечно ламповой атмосферой!💡
Регистрация там же. Welcome - sysconf.io/2024
Почти три недели + готово три доклада = шестой Open SysConf'24
С радостью сообщаю, что подготовка идет, и есть три темы:
- Внедрение вредоносного кода в Android приложения
Очень радостно, видеть, что труд ведется, есть самоконтроль, самоосознанность и ответсвенность докладчиков, за что большое спасибо!
С нашей стороны, постараемся обеспечить каждого докладчика фирменной футболкой, хорошим звуком и трансляцией доклада в Интернет, ну и конечно ламповой атмосферой!
Регистрация там же. Welcome - sysconf.io/2024
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Forwarded from Yevgeniy Goncharov
Время идет вперед и мы вместе с ним! Кто не стоит на месте, не катает вату, а изыскивает, изучает, тот становится лучше, мудрее, опытнее.
Мы помогаем получить возможно многолетний опыт за один день. С радостью анонсирую еще три подтвержденных доклада:
- AppSec из Open Source
-- Название еще не утверждено, но можно быть убежденным - это актуально как никогда, прикладной доклад от эксперта в области пентеста и ресерча.
- Как злоумышленники могут получать персональные данные
-- Название говорит само за себя. Ресерч от автора множества статей и книг, "Malware Development for Ethical Hackers" одна из многих.
- Как я строил инфру под PCI DSS v4
-- Итог ресерча, работы и как финал - сертификация созданного по PCI DSS. Эксперт и ресерчер предметных областей, теперь это PCI..
Кто-то платит деньги, что бы получить знание, кто-то смотрит рекламу, что бы узнать что-то новое. У нас нет такого, приходи, внимай, знакомься, спрашивай. Единственная просьба - отметься в форме, нам это нужно знать для планирования мест в зале:
Нужную кнопку найдешь здесь - https://sysconf.io/2024
Welcome ✌️
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Threat Hunting Father 🦔
Prot_Det_Mit_AD.pdf
3 MB
"Detecting and mitigating Active Directory compromises", 2024.
This guidance – authored by the Australian Signals Directorate (ASD), the Cybersecurity and Infrastructure Security
Agency (CISA), the National Security Agency (NSA), the Canadian Centre for Cyber Security (CCCS), the New Zealand
National Cyber Security Centre (NCSC-NZ), and the United Kingdom’s National Cyber Security Centre (NCSC-UK) – aims
to inform organisations about 17 common techniques used to target Active Directory as observed by the authoring
agencies. This guidance provides an overview of each technique and how it can be leveraged by malicious actors, as
well as recommended strategies to mitigate these techniques. By implementing the recommendations in this
guidance, organisations can significantly improve their Active Directory security, and therefore their overall network
security, to prevent intrusions by malicious actors.
This guidance – authored by the Australian Signals Directorate (ASD), the Cybersecurity and Infrastructure Security
Agency (CISA), the National Security Agency (NSA), the Canadian Centre for Cyber Security (CCCS), the New Zealand
National Cyber Security Centre (NCSC-NZ), and the United Kingdom’s National Cyber Security Centre (NCSC-UK) – aims
to inform organisations about 17 common techniques used to target Active Directory as observed by the authoring
agencies. This guidance provides an overview of each technique and how it can be leveraged by malicious actors, as
well as recommended strategies to mitigate these techniques. By implementing the recommendations in this
guidance, organisations can significantly improve their Active Directory security, and therefore their overall network
security, to prevent intrusions by malicious actors.