Fsecurity | HH

🥷🏼 Всем привет. Собрал материалы с недавно прошедшей финской сесурити конфы Disobey. В основном оффенсив топики, но есть немного и про безопасную безопасность.

Will It Run? Fooling EDRs with command lines using empirical data
🎬 Видео на YouTube

Adventures in developing a C2 framework
🎬 Видео на YouTube

Infostealer - what a menace, man
🎬 Видео на YouTube

Flipping Bits: Your Credentials Are Certainly Mine
🎬 Видео на YouTube

Hunting for Attack Paths in OpenAPI Documentations
🎬 Видео на YouTube

Web security is fun (or how I stole your Google Drive files)
🎬 Видео на YouTube

Staying Sneaky in Microsoft Azure
🎬 Видео на YouTube

Living off Microsoft Copilot
🎬 Видео на YouTube

Microsoft Entra ID: Gateway to Supply Chain Attacks on a Global Scale
🎬 Видео на YouTube

Cloud Custodian Unleashed: Automate and Dominate Cloud Governance
🎬 Видео на YouTube

Email hacking, attacks and defence today
🎬 Видео на YouTube

Out of Order: protocol confusion attacks in the real world
🎬 Видео на YouTube

Navigating Chaos: A Prison's Struggle with Ransomware and Legacy Systems
🎬 Видео на YouTube

How Fast and Deliberate Swiping Gave Us Access to Very Sensitive Data
🎬 Видео на YouTube

Hacking people and organizations for greater good
🎬 Видео на YouTube

Dissecting the Cicada - In the shadow of the Black Cat
🎬 Видео на YouTube

Playing hide and seek in Java land
🎬 Видео на YouTube

Supercharging Your Security Pipeline
🎬 Видео на YouTube

Is this it: Does DevOps development style decrease the security of software?
🎬 Видео на YouTube

State of Union
🎬 Видео на YouTube

Social Engineering and elicitation techniques of hacking a human being
🎬 Видео на YouTube

Deep fake it till you make it!
🎬 Видео на YouTube

WarGames: Security in Games
🎬 Видео на YouTube

OODA Loops and Building Mental Snowmobiles
🎬 Видео на YouTube

KEYNOTE: SIGINT, COMINT, Hack it
🎬 Видео на YouTube

KEYNOTE: You're in the Army Now
🎬 Видео на YouTube

disobey.fi

Disobey - The Nordic Security Event

220 views18:04

Fsecurity | HH

Window для malware ? 🦠

👉🏻

192 views19:22

Fsecurity | HH

Хабр

Как я вернул доступ к Телеграм аккаунту

Есть несколько похожих статей на эту тему, но пока я пытался восстановить аккаунт, ни разу не видел этого решения поэтому решил выложить, надеюсь кому-либо все же поможет. Сразу скажу...

🔗Ссылка:
https://habr.com/ru/articles/888304/

191 views20:36

Fsecurity | HH

Хабр

Lazarus: история самых успешных хакеров в мире

21 февраля 2025 года, в самую обычную пятницу, тихо и незаметно, произошло крупнейшее ограбление в истории человечества. Выглядело оно под стать времени: неизвестные взломали криптобиржу Bybit и...

🔗Ссылка:
https://habr.com/ru/companies/ddosguard/articles/888908/

198 views08:06

Fsecurity | HH

Fsecurity | HH pinned «Window для malware ? 🦠»

10:01

Fsecurity | HH

SecurityLab.ru

WebKit взломан: масштабная Zero Day затронула всю экосистему Apple

Apple предупреждает о сложных атаках на пользователей.

🔗Ссылка:
https://www.securitylab.ru/news/557237.php

211 views10:06

Fsecurity | HH

Forwarded from true_security

нашел и решил написать про небольшую фичу в BitrixVM:
https://telegra.ph/bitrixvm-lpe-iz-korobki-02-21

Telegraph

bitrixvm lpe из коробки

Слово bitrix уже как 3 года в переводе с молдаванского означает рукалицо. Сегодня расскажу вам про интересную фичу bitrixvm. Возможно кто то из вас с этим сталкивался, для меня это было новым. После получения доступа к серверу с bitrix мы обычно имеем права…

245 views12:24

Fsecurity | HH

Хабр

Bug Bounty: разведка превыше всего

В этой статье поделюсь с вами целым багажом утилит разной направленности и некоторыми ценными сведениями о разведке, как об одном из самых важных аспектов, которыми должен овладеть охотник за баунти....

🔗Ссылка:
https://habr.com/ru/articles/762786/

251 views14:14

Fsecurity | HH

SecurityLab.ru

USB-шпион и 7 Zero Day: как прошел мартовский Patch Tuesday у Microsoft

Что нужно знать о последних обновлениях.

🔗Ссылка:
https://www.securitylab.ru/news/557239.php

212 views16:46

Fsecurity | HH

Хабр

Поиск доступных конфиденциальных API ключей в JS-файлах

Сегодня мы узнаем, как найти открытые API токены в JS файлах. Они представляют риск, поскольку могут предоставить возможность несанкционированного доступа к базе данных компании или платным услугам....

🔗Ссылка:
https://habr.com/ru/articles/886274/

198 views18:04

Fsecurity | HH

Forwarded from s0ld13r ch. (s0ld13r)

Подхватил у @byteoflife идею этого поста и хочу поделиться про довольно популярную технику фингерпринтинга - Favicon Hashing 😸

Цель данной техники заключается в идентификации веб страниц и приложений на основе их значка favicon, в случае если актор использует весьма заметный favicon или не поменял его при деплое C2, то можно попробовать найти его в различных поисковых системах по типу Censys, FOFA 🦅

Для снятия хэша favicon можно использовать данный ресурс: https://faviconhasher.codejavu.tech/

А касательно поста вот и сам favicon hash (FOFA) 😏

icon_hash="-1049861794"

FOFA выдал 20 результатов, с 4 уникальными значениями 🔫

Детектнутые домены и IP 🪨

144[.]91[.]79[.]54
144[.]91[.]92[.]251
partagerapide[.]com
horusprotector[.]help

@s0ld13r_ch

Please open Telegram to view this post

VIEW IN TELEGRAM

Please open Telegram to view this post

VIEW IN TELEGRAM

213 views20:22

Fsecurity | HH

Forwarded from Purple Chronicles (Feyd-Rautha Harkonnen)

👮‍♀

Восстановление паролей из перехваченного трафика Kerberos👮‍♀
Внезапная заметка, которая может помочь вам незаметно получить учетные данные доменного пользователя без необходимости взаимодействия с контроллером домена💻

Представьте, что вы получили доступ к какому-то сетевому устройству (пусть это будет, например, PfSense), и у вас получилось его встроенными (или не совсем) средствами записать трафик, в котором вы позже нашли успешную Kerberos аутентификацию. Выглядеть она будет так, как показано на первом скриншоте😅

Для восстановления пароля пользователя нас интересует этап преаутентификации (AS-REQ), где передаётся зашифрованная секретом пользователя метка времени, которая и подвергнется атаке (а секрет считается из пароля этого пользователя).

Для осуществления атаки подготавливаем среду. В качестве ОС я использую Kali, а средство, которое нам даст требуемые артефакты, — известное ПО для сетевой форензики NetworkMiner.
Первым делом устанавливаем ПО на нашу ОС. Так как NetworkMiner разработан под Windows, для его запуска на Kali используем mono, который также нужно установить:

sudo apt install -y mono-devel

wget https://www.netresec.com/?download=NetworkMiner -O ./networkminer.zip

unzip networkminer.zip

mono NetworkMiner_2-9/NetworkMiner.exe --noupdatecheck

После того, как мы успешно запустили NetworkMiner, импортируем туда файл с трафиком.
Важно: NetworkMiner не умеет обрабатывать файлы с расширением .pcapng, поэтому перед импортом файла убедитесь, что он сконвертирован в нужный формат. Сделать это можно следующим образом:

tshark -F pcap -r traffic.pcapng -w traffic.pcap

После успешного открытия файла идём во вкладку Credentials, где видим извлеченные хэши в удобном для копирования формате (второй скриншот).
Мы будем взламывать именно PreAuth-данные (krb5pa), поэтому правой кнопкой нажимаем на хэш в NetworkMiner и копируем его в буфер обмена.

Далее дело за малым: записать его в файл и натравить HashCat или JtR для атаки:

echo '$krb5pa$18$william.dupond$CATCORP.LOCAL$CATCORP.LOCALwilliam.dupond$fc8b...' > pa.hash

sudo john --wordlist=/usr/share/wordlists/rockyou.txt pa.hash

Результат успешной атаки можно наблюдать на третьем скриншоте.

И это далеко не единственный случай, когда BlueTeam инструменты помогают красным командам достичь своих целей👽