Всем привет!

Глобально существует несколько видов кейлоггеров:
- На хуках (SetWindowsHookEx()) - винда сама будет уведомлять о нажатии;
- На GetAsyncKeyState() - бесконечный опрос нажатой клавиши;
- На GetInputData() - рисуется большое окно, внутри которого идет обработка нажатий клавиш;
- На ETW (только экранная клавиатура. POC)

Мне показалось этого мало, плюс, давно хотелось поглубже изучить графику в Windows. Посему взор упал на фреймворк MS UIA (User Interface Automation). Изначально он задумывался для людей с ограниченными возможностями, чтобы разработчики ПО могли озвучивать элементы на экране или осуществлять некоторое иное представление графики. Впрочем, это не мешает использовать фреймворк для слежки за пользователями :)

С помощью MS UIA вы можете делать абсолютно любые действия. Ровно как если бы вы сидели перед компьютером собственной персоной: нажатие кнопок, работа с окнами, вызов менюшек. И самое главное, конечно, чтение текста : )

Так появился небольшой инструмент Spyndicapped и статья с описанием : )) POC успешно хватает сообщения в Telegram, Whatsapp, Slack и , вишенкой на торте, осуществляет кражу паролей из KeePass. Всё это — средствами MS UIA, что потенциально чуть более скрытно, чем ранее известные методы.

Такие дела 🙂

Параллельно получилось обрести знания в области программирования для людей с ограниченными возможностями, так что если у вас будет шабашка............... 😁

🔗Ссылка:
https://opennet.ru/62516/

Приветствую Вас в новом 2025 году дорогие подписчики!
Надеемся, что все в здравии и в бодрости духа приступили к рабочей неделе 😉

Хотим Вам предложить очередное чтиво, о кратком расследовании недавнего инцидента по просьбе товарища.

https://www.clevergod.net/1725cf4c2b3e80c8a0fbdb9a445f408d

Приятного чтения, вскоре добавим еще одну статью с подобным заражением, но с большим охватом.

🔗Ссылка:
https://opennet.ru/62520/

🔗Ссылка:
https://habr.com/ru/companies/pt/articles/867146/

Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈

Просто новость: в NetExec добавили аутентификацию по сертификату... классно же)

#pentest #soft #ad

GodPotato на Rust нужен кому-нибудь?))

https://github.com/safedv/RustPotato

Пусть будет...

#potato #pentest #redteam #git

🔗Ссылка:
https://github.com/mzfr/liffy

🔗Ссылка:
https://portswigger.net/research/top-ten-web-hacking-techniques-of-2024-nominations-open

Админ возращается с отдыха👾🎄
P.s. только вот заболел
Сейчас буду восстанавливаться

🔗Ссылка:
https://www.securitylab.ru/news/555276.php

Когда-то мы рассказывали на канале о таком ресурсе как HackTricks. Там был раздел, посвященный Kubernetes Security, однако потом он переехал на отдельный ресурс HackTricks Cloud.

Сегодня мы хотим поделиться AI Assistant от создателя этих ресурсов – HackTricks Assistant. По сути это чат-бот, который натренирован на информации с HackTricks. В том числе, по Kubernetes Security.

Однако, по правде сказать – ничего особенного, этакая замена привычному поиску по сайту.

CVE-2024-43405 - Nuclei's template signature verification bypass

Начнем первый рабочий день с обзора уязвимости CVE-2024-43405 (оценка по CVSS=7.8) в Nuclei, которая может привести к RCE на сервере сканера. С версии Nuclei 3.0 появилась возможность выполнения кода на хостовой ОС с помощью code protocol, что позволяет создавать шаблоны с более сложной логикой и существенно расширяет возможности сканера. В этом же релизе была анонсирована возможность подписывать и проверять темплейты. Суть данной уязвимости в возможности обхода этого механизма для добавления вредоносного кода и его выполнении из подписанного шаблона.

Относительно технических деталей, опубликованных в блоге исследователей из Wiz, уязвимость возникает из-за неправильной интерпретации управляющих символов \r\n используемыми парсерами. Для парсинга YAML содержимого темплейта используется библиотека gopkg.in/yaml.v2, которая интерпретирует x0A (\n), x0D (\r) или комбинацию (\r\n) как конец строки. А механизм проверки подписи использует regex (?m)^#\\sdigest:\s.+$ для проверки подписи после # digest:

А так как логика для проверки подписи предполагает, что проверяется только первое вхождение и символы \\r будут интерпретироваться regex парсером как часть строки, а YAML парсер будет считать их указанием на перенос строки🙈 а механизм проверки перед подсчетом хеша удаляет все строки с # digest: поэтому можно вставить вредоносный код во второе вхождение и он успешно пройдет проверку и будет выполнен:

# digest: <valid-signature>
# digest: <injected-signature>\rcode:\r\r engine:\r - sh\r source: |\r echo "This is injected and executed!" > /tmp/payload.txt

Таким образом, обновляемся до версии Nuclei 3.3.2 и выше, а лучше вообще никогда не используем чужие темплейты без дополнительной верификации содержимого, особенно если это всякие агрегаторы сommunity темплейтов😁

А вот и привет из 2025! Я тут совсем недавно столкнулась с мошенничеством на платформе перепродажи. Не, к самой платформе ресейла претензий никаких, а вот хитросделанных пассажиров встерить довелось.

И тут рраз, и попадается мне чеклист по self security (не знаю, можно ли так назвать). Залипла.
Логика, кстати, похожа на BSIMM и иже с ним - разные уровни зрелости, разные домены, в которых ты можешь поразмышлять и поработать.
В целом, как развлечение выглядит хорошечно! Да и не только:) Все таки, лишний раз проверить то, насколько ты защищен - никогда не лишний раз.

P.S. А так как мы с вами еще и часто отвечаем за безопасность компании - это хороший поинт для того, чтобы проверить ваших сотрудников🫰

🔗Ссылка:
https://opennet.ru/62530/

🔗Ссылка:
https://www.securitylab.ru/news/555297.php

🔗Ссылка:
https://www.securitylab.ru/news/555294.php