S0LD13R - Offensive YARA 😄

🚨 Caution: Use for educational purposes only, author is not responsible for your actions 🚨

В классическом представлении YARA — это инструмент для поиска вредоносных файлов и индикаторов компрометации (IoC). Но в реальности YARA может стать отличным помощником на этапах пентеста и Red Team операций 🕺

T1552.001 Unsecured Credentials: Credentials In Files - техника применяемая для поиска паролей и ключей для получения доступов в различные системы. Пентестер проникает на хост и ищет креды для повышения привилегий или бокового перемещения. Данный этап можно автоматизировать при помощи Yara сигнатур, осуществляя поиск по файлам в директориях и строкам в них 🥂

PoC:

rule ClearTextPasswords_Search_Extended
{
    strings:
        $password1 = "password"
        $password2 = "pwd"
        $password3 = "пароль"
        $password4 = "Password"
        $password6 = "Пароль"

    condition:
        any of them and (filesize < 5MB)
}

Command line 👩‍💻

.\yara64.exe .\rule.yar C:\

Детект 🛡

Регулярный мониторинг на стороне EDR, так как поведение может быть аномальным для хоста и легко обнаруживается.

Применять строго в целях тестирования и с разрешения собственника системы

@s0ld13r_ch

Привет, похекеры!👋 По просьбам трудящихся 1. Сегодня у нас история о том, как обычный аквариум превратился в джекпот для киберпреступников. Готовы? Поехали!
#IoTSecurity #Casino #CyberSecurity #SmartDevices #IoT #Казино

➡️ Рыбки, термометр и база данных
В 2017 году неназванное казино в Северной Америке стало жертвой необычной кибератаки. Хакеры проникли в сеть казино через... умный термометр в аквариуме, установленном в лобби. Да-да, вы не ослышались – обычный термометр для рыбок стал ключом к базе данных VIP-клиентов.

➡️Как это работало?
▪️Термометр был подключен к интернету для удаленного мониторинга температуры воды.
▪️Хакеры обнаружили уязвимость в прошивке устройства.
▪️Используя эту уязвимость, они получили доступ к внутренней сети казино.
▪️Найдя базу данных хайроллеров, злоумышленники выгрузили около 10 гигабайт данных.
▪️Информация была передана через тот же термометр на удаленный сервер в Финляндии.

➡️Почему это сработало?
▪️IoT-устройства часто имеют слабую защиту. Почему? Потому что если бы устройство за 5$ имело бы стойкую защиту, оно бы стоило 50$
▪️Производители фокусируются на функциональности, а не на безопасности. Потому что дешевле не запариваться над безопасностью)
▪️Традиционные системы защиты не всегда покрывают IoT-девайсы.

➡️Последствия
Казино потеряло конфиденциальную информацию о своих самых ценных клиентах. А учитывая, что такие клиенты особенно пекутся о конфенданциальности своих походах, то я думаю они не были рады)

➡️Рекомендации
▪️Подключайте к сети только необходимые устройства или грамотно сегментируйте сеть. Термометру, датчику движения или любой другой штуке не нужен доступ к базе данных или кассовому оборудованию.
▪️Смена дефолтных паролей.
▪️Обновление прошивок, даже для "неважных" устройств.

p.s. кто заметил отсылку?)

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Orange Security обновили свой roadmap по пентесту Active Directory

Для тех кто не в теме, это самый популярный roadmap по пентесту AD в интернете!

https://orange-cyberdefense.github.io/ocd-mindmaps/img/mindmap_ad_dark_classic_2025.03.excalidraw.svg

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

👨‍💻 Привет!

У нас у всех сейчас плотный график работы (ну вы знаете, эти пентесты), поэтому стараемся выкладывать посты, как можем.

Сегодня я хочу показать, почему плохо использовать Notepad++ для создания временных пометок. Под капотом он раскидывает информацию из несохраненных вкладок по файлам в %appdata%\notepad++\backup\, а на практике многие забывают удалять конфиденциальную информацию, так и оставив её висеть в файле. На гифке 🔗 PoC (куда же без него?) - стиллер этих файлов

Давайте все будем секурными и почистим папку backup 😼

P. S. Я сейчас работаю над одной мега-штукой для канала. Должно получится круто, ждите новостей :)