Forwarded from Threat Hunting Father 🦔
ELF-малварь атакует облако
🧠 Unit 42 раскрывает активную адаптацию Linux ELF-бинарников для атак на облачные окружения.
📌 Контекст
😵 70–90% облачных инстансов используют Linux
☠️ Злоумышленники адаптируют ELF-малварь под:
Backdoors
Droppers
RAT
Wipers
Exploit-бинарники
🔍 Техники злоумышленников
🧬 LD_PRELOAD hijacking — внедрение в процессы через dynamic linker
💉 Внедрение в
📡 SOCKS5-прокси и обратные шеллы
🧪 Runtime-инъекции, ICMP-knocking, cron persistence
🗂️ Использование .so-библиотек как малвари
Семейства ELF-малвари
1. NoodleRAT (Linux/Windows)
Backdoor, способный выполнять широкий набор C2-операций:
🧰 Возможности:
Обратный шелл (reverse shell)
SOCKS-прокси (tunneling)
Шифрование трафика
Планировщик задач (scheduled execution)
Загрузка/выгрузка файлов
Маскировка под системные процессы (process name spoofing)
📌 Варианты под Windows и Linux (ELF)
🎯 Цели: Тайланд, Индия, Япония, Малайзия, Тайвань
🕵️ Задействованные акторы: Rocke, Cloud Snooper
2. Winnti
Бэкдор, загружаемый через
🧰 Возможности:
Выполнение удалённых команд
Эксфильтрация файлов
Прокси-соединения через SOCKS5
📦 Структура:
🕵️ Задействованные APT-группы:
Starchy Taurus (aka Winnti Group, BARIUM)
Nuclear Taurus (Tumbleweed Typhoon, THORIUM, Bronze Vapor)
3. SSHdInjector
Модифицирует SSH-демон в рантайме для получения постоянного доступа.
🧰 Возможности:
Кража SSH-учёток
Выполнение удалённых команд
Загрузка дополнительной малвари
Доступ к файловой системе
Обратный шелл
Эксфильтрация данных
🕵️ Задействованные группы:
Digging Taurus (aka Daggerfly, Evasive Panda)
🎯 Цели: госучреждения, телеком, разведка
4. Pygmy Goat
Изначально найден на Sophos XG, использует уязвимость
📍 Внедрение в SSH через
🧰 Возможности:
Обратный шелл
Сниффинг трафика (packet capture)
Создание cron-задач
Туннелирование через SOCKS5
Активация по ICMP-пакетам ("port knocking") или "магическим байтам" в SSH
🎯 Цели: Азиатский госсектор, НПО, здравоохранение, транспорт
5. AcidRain / AcidPour (Sandworm / Razing Ursa)
🔨 Wiper-малварь для Linux-устройств:
AcidRain: под MIPS (роутеры, модемы)
AcidPour: под x86 (облачные хранилища, ICS)
🧰 Возможности:
Использует IOCTL для стирания данных
Удаляет себя после выполнения (defense evasion)
📌 Могут применяться в облаке при доступе к shell через webshell или container escape
🔗 https://unit42.paloaltonetworks.com/elf-based-malware-targets-cloud/
🦔 THF
☠️ Злоумышленники адаптируют ELF-малварь под:
Backdoors
Droppers
RAT
Wipers
Exploit-бинарники
🧬 LD_PRELOAD hijacking — внедрение в процессы через dynamic linker
💉 Внедрение в
sshd, перехват SSH-коммуникаций📡 SOCKS5-прокси и обратные шеллы
🧪 Runtime-инъекции, ICMP-knocking, cron persistence
🗂️ Использование .so-библиотек как малвари
Семейства ELF-малвари
1. NoodleRAT (Linux/Windows)
Backdoor, способный выполнять широкий набор C2-операций:
Обратный шелл (reverse shell)
SOCKS-прокси (tunneling)
Шифрование трафика
Планировщик задач (scheduled execution)
Загрузка/выгрузка файлов
Маскировка под системные процессы (process name spoofing)
📌 Варианты под Windows и Linux (ELF)
🎯 Цели: Тайланд, Индия, Япония, Малайзия, Тайвань
🕵️ Задействованные акторы: Rocke, Cloud Snooper
2. Winnti
Бэкдор, загружаемый через
LD_PRELOAD, без изменения легитимных бинарей.Выполнение удалённых команд
Эксфильтрация файлов
Прокси-соединения через SOCKS5
📦 Структура:
libxselinux (основной ELF)libxselinux.so (подгружаемая библиотека)🕵️ Задействованные APT-группы:
Starchy Taurus (aka Winnti Group, BARIUM)
Nuclear Taurus (Tumbleweed Typhoon, THORIUM, Bronze Vapor)
3. SSHdInjector
Модифицирует SSH-демон в рантайме для получения постоянного доступа.
Кража SSH-учёток
Выполнение удалённых команд
Загрузка дополнительной малвари
Доступ к файловой системе
Обратный шелл
Эксфильтрация данных
🕵️ Задействованные группы:
Digging Taurus (aka Daggerfly, Evasive Panda)
🎯 Цели: госучреждения, телеком, разведка
4. Pygmy Goat
Изначально найден на Sophos XG, использует уязвимость
libsophos.so (CVE-2022-1040).📍 Внедрение в SSH через
LD_PRELOAD, перехват SSH-сессийОбратный шелл
Сниффинг трафика (packet capture)
Создание cron-задач
Туннелирование через SOCKS5
Активация по ICMP-пакетам ("port knocking") или "магическим байтам" в SSH
🎯 Цели: Азиатский госсектор, НПО, здравоохранение, транспорт
5. AcidRain / AcidPour (Sandworm / Razing Ursa)
🔨 Wiper-малварь для Linux-устройств:
AcidRain: под MIPS (роутеры, модемы)
AcidPour: под x86 (облачные хранилища, ICS)
Использует IOCTL для стирания данных
Удаляет себя после выполнения (defense evasion)
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3
Forwarded from s0i37_channel
Добавил к своей defence коллекции крошечный скрипт (https://github.com/s0i37/defence/blob/main/services.py) который показывает какой протокол пытается найти у вас удалённая сторона.
Скриптик просто сверяется по базе nmap какой payload вам отправили и на что он больше всего похож.
Скриптик просто сверяется по базе nmap какой payload вам отправили и на что он больше всего похож.
www.opennet.ru
Google прекратил публикацию кода для поддержки устройств Pixel в репозитории с кодом Android
Разработчики Android-прошивки CalyxOS, не привязанной к сервисам Google, обратили внимание на прекращение публикации компанией Google исходного кода, связанного с поддержкой устройств Pixel в платформе Android. В день релиза Android 16 компания Google разместила…
🔗Ссылка:
https://opennet.ru/63399/
https://opennet.ru/63399/
Forwarded from Заметки Слонсера (Slonser)
Думаю многим багхантерам знакома ситуация когда нашел Self-XSS и её не сдать по правилам программы
Используя современные возможности браузеров я попытался исправить эту ситуацию
Читайте в моем последнем ресерче
https://blog.slonser.info/posts/make-self-xss-great-again/
Используя современные возможности браузеров я попытался исправить эту ситуацию
Читайте в моем последнем ресерче
https://blog.slonser.info/posts/make-self-xss-great-again/
blog.slonser.info
Make Self-XSS Great Again
Disclaimer: This article is intended for security professionals conducting authorized testing within the scope of a contract. The author is not responsible for any damage caused by the application of the provided information. The distribution of malicious…
Forwarded from 3side кибербезопасности
«Ваше лицо скомпрометировано!»
В одной из бизнес-центров, где расположен офис наших партнеров, внедрили две системы пропусков:
1. По одноразовому QR-коду
2. По биометрии, а именно лицу
И если с первой всё окей, работает как часы и вполне надежно, то со второй есть проблемы. Терминал с камерой для QR и лица - один и тот же, и лицо, как и QR, распознаются, судя по всему, одним ПО! Уже чувствуете подвох?
Для проверки QR достаточно считать пиксели и проверить одноразовый код в базе, а вот для проверки лица этого явно недостаточно. Ведь основа биометрии не секретность, как мы писали неоднократно ранее. Основа биометрии — качество проверки, умение отличить настоящее лицо от подделки!
Отличить настоящего человека от:
- Фотки на телефоне
- Распечатанного фото
- Человека в накладной маске
- Человека в тонкой (проводящей тепло) маске
И иных способов мимикрии.
Как вы понимаете, уже первую строчку терминал БЦ не прошел, бликующей фотографии лица на экране телефона оказалось достаточно, чтоб войти в БЦ. Никакой проверки на «живость» в помине нет. Притом что сотрудник уже входил и обратно не выходил. Малейший антифрод тоже отсутствовал.
Партнеры предъявили это охране, и как они отреагировали?
Заблокировали вход сотруднику по лицу, мотивировав тем, что «Ваше лицо скомпрометировано!». Видимо считая, что каждый должен ходить в парандже и приоткрывать свое секретное лицо исключительно на входе в БЦ.
Когда нам рассказали, мне было очень смешно, и я предложил в будущем сфоткать лицо начальника охраны и «скомпрометировать» и его. Интересно, какая будет реакция?
В одной из бизнес-центров, где расположен офис наших партнеров, внедрили две системы пропусков:
1. По одноразовому QR-коду
2. По биометрии, а именно лицу
И если с первой всё окей, работает как часы и вполне надежно, то со второй есть проблемы. Терминал с камерой для QR и лица - один и тот же, и лицо, как и QR, распознаются, судя по всему, одним ПО! Уже чувствуете подвох?
Для проверки QR достаточно считать пиксели и проверить одноразовый код в базе, а вот для проверки лица этого явно недостаточно. Ведь основа биометрии не секретность, как мы писали неоднократно ранее. Основа биометрии — качество проверки, умение отличить настоящее лицо от подделки!
Отличить настоящего человека от:
- Фотки на телефоне
- Распечатанного фото
- Человека в накладной маске
- Человека в тонкой (проводящей тепло) маске
И иных способов мимикрии.
Как вы понимаете, уже первую строчку терминал БЦ не прошел, бликующей фотографии лица на экране телефона оказалось достаточно, чтоб войти в БЦ. Никакой проверки на «живость» в помине нет. Притом что сотрудник уже входил и обратно не выходил. Малейший антифрод тоже отсутствовал.
Партнеры предъявили это охране, и как они отреагировали?
Заблокировали вход сотруднику по лицу, мотивировав тем, что «Ваше лицо скомпрометировано!». Видимо считая, что каждый должен ходить в парандже и приоткрывать свое секретное лицо исключительно на входе в БЦ.
Когда нам рассказали, мне было очень смешно, и я предложил в будущем сфоткать лицо начальника охраны и «скомпрометировать» и его. Интересно, какая будет реакция?
Forwarded from Похек
Интересное видео с демонстрацией Account Takeover через punycode
https://youtu.be/Cj1sOFHDClM
А также статья с примером, как багхантер получил баунти за такую багу
https://infosecwriteups.com/the-most-underrated-0-click-account-takeover-using-punycode-idn-attacks-c0afdb74a3dc
🌚 @poxel
https://youtu.be/Cj1sOFHDClM
А также статья с примером, как багхантер получил баунти за такую багу
https://infosecwriteups.com/the-most-underrated-0-click-account-takeover-using-punycode-idn-attacks-c0afdb74a3dc
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
The Most Underrated 0-Click Account Takeover Exploit Using Punycode IDN Attacks | Bug bounty
IF you Enjoyed the video, don't forget to Like 👍, Subscribe, and turn on the Notification Bell 🔔 to stay updated!
🎭 WHO AM I ?
I'm Coffinxp, a hacker & Security Researcher and aspiring Cybersecurity Specialist and Bug Hunter. With a strong passion for…
🎭 WHO AM I ?
I'm Coffinxp, a hacker & Security Researcher and aspiring Cybersecurity Specialist and Bug Hunter. With a strong passion for…