Forwarded from Threat Hunting Father 🦔
This media is not supported in your browser
VIEW IN TELEGRAM
D3FEND CAD
MITRE выкатили D3FEND CAD — визуальный инструмент для построения графов защитных мер по онтологии D3FEND. Можно вручную собрать цепочку атаки, привязать к ней артефакты, техники защиты, и увидеть, какие контрмеры уместны против конкретного TTP. Всё это — через drag’n’drop прямо в браузере.
Главное преимущество — инференция: ты добавляешь технику атаки, а инструмент сам предлагает защиту, артефакты и связи из базы знаний D3FEND. Подходит для SOC, инженеров детектов, CTI и тех, кто хочет красиво и логично представить защиту на языке MITRE.
Пощупать:🔗 https://d3fend.mitre.org/cad
Посмотреть:🔗
https://youtu.be/9UHxOnfpAWc
🦔 THF
MITRE выкатили D3FEND CAD — визуальный инструмент для построения графов защитных мер по онтологии D3FEND. Можно вручную собрать цепочку атаки, привязать к ней артефакты, техники защиты, и увидеть, какие контрмеры уместны против конкретного TTP. Всё это — через drag’n’drop прямо в браузере.
Главное преимущество — инференция: ты добавляешь технику атаки, а инструмент сам предлагает защиту, артефакты и связи из базы знаний D3FEND. Подходит для SOC, инженеров детектов, CTI и тех, кто хочет красиво и логично представить защиту на языке MITRE.
Пощупать:
Посмотреть:
https://youtu.be/9UHxOnfpAWc
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 1N73LL1G3NC3
Defendnot
The improved version of no-defender, a tool that interacts with WSC api to disable window defender.
How it works:
The improved version of no-defender, a tool that interacts with WSC api to disable window defender.
How it works:
There's a WSC (Windows Security Center) service in Windows which is used by antiviruses to let Windows know that there's some other antivirus in the hood and it should disable Windows Defender.
This WSC API is undocumented and furthermore requires people to sign an NDA with Microsoft to get its documentation.
The initial implementation of no-defender used thirdparty code provided by other AVs to register itself in the WSC, while defendnot interacts with WSC directly.
Forwarded from hx0110
watchtowr
Сегодня вышел еще один классный ресерч у watchtowr. На самом деле очень люблю читать их ресерчи, очень близок их подход к написанию и в целом то, как они показывают весь процесс поиска уяз
https://labs.watchtowr.com/sysowned-your-friendly-rce-support-ticket/
#web #research
Сегодня вышел еще один классный ресерч у watchtowr. На самом деле очень люблю читать их ресерчи, очень близок их подход к написанию и в целом то, как они показывают весь процесс поиска уяз
https://labs.watchtowr.com/sysowned-your-friendly-rce-support-ticket/
#web #research
watchTowr Labs
SysOwned, Your Friendly Support Ticket - SysAid On-Premise Pre-Auth RCE Chain (CVE-2025-2775 And Friends)
It’s… another week, and another vendor who is apparently experienced with ransomware gangs but yet struggles with email.
In what we've seen others term "the watchTowr treatment", we are once again (surprise, surprise) disclosing vulnerability research that…
In what we've seen others term "the watchTowr treatment", we are once again (surprise, surprise) disclosing vulnerability research that…
Forwarded from Kali Linux
🔍 Linkook — инструмент OSINT для поиска связанных аккаунтов
Linkook — это мощный инструмент для автоматического поиска связанных аккаунтов в соцсетях и связанных email по одному
▪ Основные возможности
• Поиск аккаунтов по заданному
• Рекурсивное обнаружение альтернативных никнеймов и связанных аккаунтов
• Проверка email на утечки через HudsonRock’s Cybercrime Intelligence Database или API Have I Been Pwned
• Экспорт данных в JSON (совместим с Neo4j для визуализации графа связей)
▪ Установка
▪ Быстрый старт и ключевые опции
▪ Чем отличается от Sherlock?
В отличие от Sherlock, который ищет аккаунты только по идентичному username, Linkook:
• Автоматически ищет связанные аккаунты даже при смене никнеймов
• Собирает взаимосвязи между аккаунтами и email
• Поддерживает экспорт в Neo4j для построения графов связей и глубокого анализа
▪ Техническая информация
• Язык: Python (100%)
• Лицензия: MIT
• Актуальная версия: v1.1.2 (5 марта 2025)
• GitHub: ★ 693 Forks 69
🔗 GitHub
Linkook — это мощный инструмент для автоматического поиска связанных аккаунтов в соцсетях и связанных email по одному
username. Полезен для OSINT-расследований, аудита и мониторинга цифрового следа.▪ Основные возможности
• Поиск аккаунтов по заданному
username на множестве популярных платформ • Рекурсивное обнаружение альтернативных никнеймов и связанных аккаунтов
• Проверка email на утечки через HudsonRock’s Cybercrime Intelligence Database или API Have I Been Pwned
• Экспорт данных в JSON (совместим с Neo4j для визуализации графа связей)
▪ Установка
# Быстрая установка через pipx
pipx install linkook
# Или установка из исходников
git clone https://github.com/JackJuly/linkook
cd linkook
python setup.py install
▪ Быстрый старт и ключевые опции
linkook <username>
• --show-summary — вывод сводки после завершения сканирования
• --concise — компактный вывод
• --check-breach — проверка email через HudsonRock DB (отмечает «(breach detected)»)
• --hibp — проверка через Have I Been Pwned (API-ключ обязателен)
• --neo4j — экспорт в neo4j_export.json для Neo4j
• Другие: --silent, --scan-all, --print-all, --no-color, --browse, --debug, --output, --local, --version, --update
▪ Чем отличается от Sherlock?
В отличие от Sherlock, который ищет аккаунты только по идентичному username, Linkook:
• Автоматически ищет связанные аккаунты даже при смене никнеймов
• Собирает взаимосвязи между аккаунтами и email
• Поддерживает экспорт в Neo4j для построения графов связей и глубокого анализа
▪ Техническая информация
• Язык: Python (100%)
• Лицензия: MIT
• Актуальная версия: v1.1.2 (5 марта 2025)
• GitHub: ★ 693 Forks 69
🔗 GitHub
Forwarded from Pentest Notes
🚨Очередная критическая RCE уязвимость в модулях Bitrix (BDU:2025-03006)
На этот раз уязвимость нашли в плагинах «Экспорт/Импорт товаров в Excel». Эксплуатация уязвимости позволяет выполнять произвольные команды на сервере путём отправки специально сформированного POST-запроса.
Данной RCE уязвимости потенциально подвержены более 6000 веб-ресурсов.
Критичность - 8,8/10 CVSS 3.0
Подробнее рассказал тут
#bitrix #rce
💫 @pentestnotes
На этот раз уязвимость нашли в плагинах «Экспорт/Импорт товаров в Excel». Эксплуатация уязвимости позволяет выполнять произвольные команды на сервере путём отправки специально сформированного POST-запроса.
Данной RCE уязвимости потенциально подвержены более 6000 веб-ресурсов.
Критичность - 8,8/10 CVSS 3.0
Подробнее рассказал тут
#bitrix #rce
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from Threat Hunting Father 🦔
Earth Kasha Updates TTPs in Latest Campaign Targeting Taiwan and Japan
Фокус: Тайвань и Япония
Методы: фишинг, ROAMINGMOUSE, ANEL (BOF), NOOPDOOR (DoH), SharpHide
Kill Chain & TTPs:
Initial Access:
Execution & Dropper:
Detection & Hunting Tips:
Рекомендации:
🔗 https://www.trendmicro.com/en_us/research/25/d/earth-kasha-updates-ttps.html
🦔 THF
Фокус: Тайвань и Япония
Методы: фишинг, ROAMINGMOUSE, ANEL (BOF), NOOPDOOR (DoH), SharpHide
Kill Chain & TTPs:
Initial Access:
spear-фишинг с OneDrive-ссылками на ZIP-архив. Внутри — Excel с макросами.
Примеры тем писем:
«修正済み履歴書» (Revised Resume)
«臺日道路交通合作...» (Taiwan-Japan Transport Report)
«應徵研究助理...» (Research Assistant Application)
Execution & Dropper:
Макрос-дроппер
ROAMINGMOUSE
(теперь Excel, не Word)
Распаковывает ZIP → дропает:
Легитимный EXE (например,
JSLNTOOL.exe, подписан JustSystems)
DLL
JSFC.dll(loader ANELLDR)
Зашифрованный ANEL payload
Выполняется через WMI:
explorer.exe legitimate.exe
Defense Evasion & Persistence:
DLL sideloading (EXE +
JSFC.dllв одном каталоге)
Если обнаружен McAfee — автозапуск через
.batв startup
SharpHide
: скрытный запуск NOOPDOOR через
hstart64.exeи
MSBuild.exe
Примеры команд:
cmd /c C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe C:\ProgramData\ctac.xml
C:\WINDOWS\system32\msiexec.exe action=create keyvalue="C:\ProgramData\hstart64.exe" arguments="/NOCONSOLE \"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe C:\ProgramData\ctac.xml\""
Payload (Stage 1) — ANEL:
Декодируется и исполняется в памяти (AES-256 + LZO)
Версия теперь зашифрована
Добавлена поддержка
BOF (Beacon Object File)
исполнения
Recon & Target Check:
ANEL выполняет:
tasklist /v
net localgroup administrators
net user
Скриншоты. Цель — убедиться, что жертва соответствует интересам.
Payload (Stage 2) — NOOPDOOR:
Вторичная RAT Earth Kasha с 2021
Новая версия поддерживает
DNS over HTTPS (DoH)
Использует Google, Cloudflare, DGA и HTTPS для скрытого разрешения C2-доменов
После выполнения — удаление следов:
rd /s /q "C:\Users\<REDACTED>\AppData\Local\Microsoft\Media Player\Transcoded Files Cache\<RANDOM>"
rd /s /q "C:\Users\<REDACTED>\AppData\Local\Microsoft\Windows\<RANDOM>"Detection & Hunting Tips:
• Запуск
MSBuild.exeс
ctac.xmlиз
ProgramData
• Внезапное появление
hstart64.exe
• Нетипичные вызовы DoH к
dns.google/
cloudflare-dns.com
• DLL sideloading от JustSystems
Рекомендации:
• Zero trust к OneDrive-ссылкам в почте
• Отключение макросов из интернета
• Мониторинг DoH
• Использование EDR/XDR с охватом на sideloading и скрытые процессы
🦔 THF
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM