Fsecurity | HH pinned «Новый ролик на канале 🍷 🔗Ссылка: https://youtu.be/yel3iS7Hy6E»
Forwarded from purple shift
Летом наши эксперты расследовали целый ряд атак, основанных на эксплуатации уязвимости CVE-2023-48788 в продуктах FortiClient EMS. Попробуем разобраться, как ловить подобные атаки по пост-активностям на хосте.
Суть атаки сводится к эксплуатации SQL-инъекции в контексте Microsoft SQL Server. Таким образом атакующий может применить любой удобный способ для выполнения команд ОС из запросов SQL, с последующей загрузкой своего вредоносного ПО. Одним из наиболее частых примеров является использование хранимой процедуры xp_cmdshell.
На что смотреть защитникам:
1) Включение xp_cmdshell. EventID 15457. Обязательно к включению. Везде.
2) Application лог MSSQL с EventID 15281 с фильтром на компонент xp_cmdshell. Там будут заблокированные попытки использования еще выключенного xp_cmdshell.
3) Смотреть в старты необычных процессов от MSSQL: cmd, powershell, lolbins, ... И конечно, поведение дочерних объектов, инициирующих внешние коммуникации. Такие активности на практике отлавливаются довольно часто, это могут быть:
3.1) дискавери (whoami, tasklist, net)
3.2) закрепление (schtasks)
3.3) дженерик-тактики с использованием cmd и powershell.
4) Ну и в целом, рекомендуем настроить ваши аудиты MSSQL на детектирование подозрительных активностей.
Суть атаки сводится к эксплуатации SQL-инъекции в контексте Microsoft SQL Server. Таким образом атакующий может применить любой удобный способ для выполнения команд ОС из запросов SQL, с последующей загрузкой своего вредоносного ПО. Одним из наиболее частых примеров является использование хранимой процедуры xp_cmdshell.
На что смотреть защитникам:
1) Включение xp_cmdshell. EventID 15457. Обязательно к включению. Везде.
2) Application лог MSSQL с EventID 15281 с фильтром на компонент xp_cmdshell. Там будут заблокированные попытки использования еще выключенного xp_cmdshell.
3) Смотреть в старты необычных процессов от MSSQL: cmd, powershell, lolbins, ... И конечно, поведение дочерних объектов, инициирующих внешние коммуникации. Такие активности на практике отлавливаются довольно часто, это могут быть:
3.1) дискавери (whoami, tasklist, net)
3.2) закрепление (schtasks)
3.3) дженерик-тактики с использованием cmd и powershell.
4) Ну и в целом, рекомендуем настроить ваши аудиты MSSQL на детектирование подозрительных активностей.
Forwarded from #memekatz
This media is not supported in your browser
VIEW IN TELEGRAM
Когда пишешь пэйлоады с помощью ChatGPT
😁3
Forwarded from ESCalator
Эволюция инструментов Dark Caracal 🐱
В первом квартале 2024 года в поле зрения сотрудников департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) попал вредоносный семпл.
Целевой аудиторией атаки стали испаноговорящие пользователи — это понятно по содержимому вредоносных вложений и по языку фишинговых писем, используемых для доставки ВПО. Сообщество назвало вредонос Poco RAT — по наименованию используемых библиотек POCO для C++. На момент обнаружения семпл не был атрибутирован ни к одной известной группировке.
🤨 Исследование семпла выявило определенный набор функций для удаленного управления устройством жертвы, включая загрузку файлов, снятие скриншотов, выполнение команд, управление процессами и файлами.
Дополнительный анализ тактик, техник и процедур, цепочки атак и географии кампании позволил связать активность с группировкой Dark Caracal, известной использованием вредоносного ПО Bandook. При этом была выявлена схожесть дропперов Poco RAT и Bandook.
Подробнее о Dark Caracal, ее методах и новых инструментах вы можете прочитать в исследовании на нашем сайте👽
#TI #APT #malware
@ptescalator
В первом квартале 2024 года в поле зрения сотрудников департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) попал вредоносный семпл.
Целевой аудиторией атаки стали испаноговорящие пользователи — это понятно по содержимому вредоносных вложений и по языку фишинговых писем, используемых для доставки ВПО. Сообщество назвало вредонос Poco RAT — по наименованию используемых библиотек POCO для C++. На момент обнаружения семпл не был атрибутирован ни к одной известной группировке.
Дополнительный анализ тактик, техник и процедур, цепочки атак и географии кампании позволил связать активность с группировкой Dark Caracal, известной использованием вредоносного ПО Bandook. При этом была выявлена схожесть дропперов Poco RAT и Bandook.
Подробнее о Dark Caracal, ее методах и новых инструментах вы можете прочитать в исследовании на нашем сайте
#TI #APT #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Выпуск дистрибутива Proxmox Mail Gateway 8.2
Компания Proxmox, известная разработкой дистрибутива Proxmox Virtual Environment для развертывания инфраструктур виртуальных серверов, представила релиз дистрибутива Proxmox Mail Gateway 8.2, который преподносится как готовое решение для быстрого создания…
🔗Ссылка:
https://opennet.ru/62810/
https://opennet.ru/62810/
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Про байпас AMSI в 2025. Что-то еще актуально, а что-то уже нет)
https://en.r-tec.net/r-tec-blog-bypass-amsi-in-2025.html
#pentest #redteam #bypass #ad
https://en.r-tec.net/r-tec-blog-bypass-amsi-in-2025.html
#pentest #redteam #bypass #ad