Forwarded from Social Engineering
• Недавно в блоге Operation Zero (компания которая покупает уязвимости в различном ПО\устройствах) была опубликована хорошая статья, которая описывает архитектуру современных браузеров и их эксплуатации на примере Chrome.
• Вы сможете изучить, как устроены подсистемы браузера, как обеспечивается их безопасность и как она нарушается с помощью уязвимостей, примитивов, обходов защит, эксплоитов и их цепочек. Каждая статья будет практической, поэтому с самого начала авторы кратко анализируют несколько известных эксплоитов, компилируют их благодаря публичному репозиторию и пробивают Chrome 130-й версии для Windows.
• Учитывайте, что на данный момент опубликована только первая часть на английском языке. Позже будет опубликовано продолжение, так что следите за блогом. Ну и еще обещают перевод на русский язык, но это не точно.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Доступен дистрибутив Proxmox Backup Server 4.0
Компания Proxmox, известная разработкой продуктов Proxmox Virtual Environment и Proxmox Mail Gateway, опубликовала выпуск дистрибутива Proxmox Backup Server 4.0, который преподносится как готовое решение для резервного копирования и восстановления виртуальных…
🔗Ссылка:
https://opennet.ru/63693/
https://opennet.ru/63693/
Forwarded from ESCalator
Operation Tartaria Part 2
Помимо пассивного бэкдора
🫣 Как и в предыдущем случае, мы имеем дело с двухмодульным бэкдором. Коннектор внедряется в процесс
При успешном старте исследуемый образец подключается к блогу на
Помимо Yandex Cloud, бэкдор поддерживает возможность общения через Microsoft Graph и Dropbox:
Общение происходит посредством чтения и перезаписи файлов в заданной папке в облаке. Сами файлы защищены шифром простой замены, а структура сообщений отличается в зависимости от выполняемой команды. Однако везде используется один и тот же
☝️ Примечательны следующие функции бэкдора:
• возможность получать шеллкоды и PE-файлы, внедряя их в процессы
• выполнение WMI-запросов для получения информации о системе:
• отключение всех сетевых соединений API WNetCancelConnection2W;
• изменение параметров входа в учетную запись или пароля через API NetUserSetInfo.
C2:
✅ Рекомендации:
• запрет DevTunnels с помощью групповой политики;
• поиск скрытых задач;
• поиск задач с параметром:
• поиск идентификатора
Happy hunting!
@ptescalator
#dfir #ti #apt #reverse #malware
Помимо пассивного бэкдора
PlugX, нам удалось обнаружить еще одну его версию, которая мимикрировала под запуск Яндекс Браузера.{"TaskId":"[REDACTED]","TaskName":"Yandexstart_Server","TaskRegistryPath":"\\Yandexstart_Server","TaskAuthor":"[REDACTED]","IsHiddenTask":false,"IsMissingOnFS":true,"Action":{"Context":"Author","Properties":[{"Id":"","ActionName":"Execution","Arguments":"-d restart","Command":"C:\\PROGRA~1\\Yandex\\browser\\Yandex.exe","WorkingDirectory":"","Flags":0}],"Version":3},"Triggers":[{"TriggerType":"Boot","Comment":"Boot"}],"CreatedTime":"2024-12-11T01:11:34Z","LastRunTime":"2025-06-23T06:37:17Z","LastErrorCode":1223,"Timeline":"2024-12-11T01:11:34Z"}
Yandex.exe оказался уязвимым для техники DLL Side-Loading, выполняемой утилитой Umdh.exe (User-Mode Dump Heap), которая подгружает вредоносную библиотеку dbghelp.dll под пакером VMProtect с кастомным названием секций; нагрузка хранится в файле desktop.ini.🫣 Как и в предыдущем случае, мы имеем дело с двухмодульным бэкдором. Коннектор внедряется в процесс
choice.exe, а интерпретатор команд — в mspaint.exe. Процессы общаются через pipe .\\PIPE\\[%d].При успешном старте исследуемый образец подключается к блогу на
livejournal.com (скриншот 1) и на ok.ru (скриншоты 2-3). Далее парсит содержимое ответа и ищет последовательность, которая начинается с R241223 и заканчивается на R251223 и внутри которой находится зашифрованный токен для API Yandex Cloud. Далее коммуникация бэкдора происходит через API. Аналогичный образец был описан в «CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации».Помимо Yandex Cloud, бэкдор поддерживает возможность общения через Microsoft Graph и Dropbox:
cloud-api.yandex.net
graph.microsoft.com
content.dropboxapi.com
Общение происходит посредством чтения и перезаписи файлов в заданной папке в облаке. Сами файлы защищены шифром простой замены, а структура сообщений отличается в зависимости от выполняемой команды. Однако везде используется один и тот же
header:0 2 6 10 14
| command | msg size | short answer | ticketcount |
☝️ Примечательны следующие функции бэкдора:
• возможность получать шеллкоды и PE-файлы, внедряя их в процессы
TSTheme.exe и msiexec.exe;• выполнение WMI-запросов для получения информации о системе:
SELECT * FROM Win32_OperatingSystem
SELECT * FROM Win32_TimeZone
SELECT * FROM Win32_ComputerSystem
SELECT * FROM Win32_QuickFixEngineering
• отключение всех сетевых соединений API WNetCancelConnection2W;
• изменение параметров входа в учетную запись или пароля через API NetUserSetInfo.
C2:
devtunnels.ms
https://anddes.livejournal.com/511.html
https://ok.ru/profile/587950172233/statuses/157023463517001
✅ Рекомендации:
• запрет DevTunnels с помощью групповой политики;
• поиск скрытых задач;
• поиск задач с параметром:
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks" /s | findstr "2D00720065006D006F0074006500200075007000"
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks" /s | findstr "2d00640020007200650073007400610072007400"
• поиск идентификатора
PlugX:reg query HKEY_LOCAL_MACHINE\SOFTWARE\Clients\Mail\cf
Happy hunting!
@ptescalator
#dfir #ti #apt #reverse #malware
Forwarded from Threat Hunting Father 🦔
threat-hunters-cookbook.pdf
4.3 MB
The Threat Hunter's Cookbook🔥
🍳 Что внутри Cookbook:
🐱 Готовые SPL-запросы — бери как есть или настраивай под себя
🛠 Методологии и стратегии охоты: от выбора техники до построения гипотез
🧰 Рекомендованные приложения, ресурсы и утилиты для прокачки SecOps
🎯 Идеально подойдёт тем, кто уже:
• использует Splunk в охоте
• хочет формализовать поиск по PEAK
• ищет примеры, которые не теоретические, а боевые
🔗 https://www.splunk.com/en_us/form/threat-hunters-cookbook.html
🦔 THF
• использует Splunk в охоте
• хочет формализовать поиск по PEAK
• ищет примеры, которые не теоретические, а боевые
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from BEAR-C2
This media is not supported in your browser
VIEW IN TELEGRAM
Симуляция атаки группы APT Stardust Chollima
Это симуляция атаки группы APT Stardust Chollima, нацеленной на межбанковскую сеть Чили. Кампания атаки была активна в декабре 2018 года и использовала PowerRatankba — вариант вредоносного ПО на базе PowerShell, который во многом схож с оригинальным имплантом Ratankba. Корпоративная сеть Redbanc была заражена версией PowerRatankba, которая не определялась антивирусным программным обеспечением.
По данным компании Flashpoint, злоумышленники доставили вредоносное ПО следующим образом: доверенный IT-специалист Redbanc кликнул по ссылке для подачи заявки на вакансию, найденную в социальной сети LinkedIn.
Репозиторий на GitHub: https://github.com/S3N4T0R-0X0/APT-Attack-Simulation/tree/main/North%20Koreans%20APT%2FStardust%20Chollima
Это симуляция атаки группы APT Stardust Chollima, нацеленной на межбанковскую сеть Чили. Кампания атаки была активна в декабре 2018 года и использовала PowerRatankba — вариант вредоносного ПО на базе PowerShell, который во многом схож с оригинальным имплантом Ratankba. Корпоративная сеть Redbanc была заражена версией PowerRatankba, которая не определялась антивирусным программным обеспечением.
По данным компании Flashpoint, злоумышленники доставили вредоносное ПО следующим образом: доверенный IT-специалист Redbanc кликнул по ссылке для подачи заявки на вакансию, найденную в социальной сети LinkedIn.
Репозиторий на GitHub: https://github.com/S3N4T0R-0X0/APT-Attack-Simulation/tree/main/North%20Koreans%20APT%2FStardust%20Chollima
Forwarded from 🕷 BugBountyRu
В разведке все методы хороши, особенно когда речь идет о больших скоупах. Reverse DNS и анализ SSL-сертификатов — тот самый необходимый минимум.
$ echo 173.0.84.0/24 | dnsx -silent -resp-only -ptr
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SHADOW:Group
James Kettle дропнул свой ресерч про новые классы атак через HTTP Request Smuggling и, к моему большому респекту, подкрепил все это доступной лабой на Portswigger. Публичного решения нет, но лаба довольно простая. Теперь можно убивать HTTP/1.1 на реальных целях.
Forwarded from RedTeam brazzers (Миша)
Друзья, всем привет!
В моей голове давно была хотелка создать некоторую документацию по Impacket. Быть может, даже цикл статей, который бы достаточно понятным языком, с обилием примеров, описывал механизмы работы этого замечательного инструмента.
И у меня наконец-то дошли руки этим заняться! Я выкладываю первую часть из цикла статей про Impacket. В ней мы разберемся с основами RPC, изучим парочку базовых терминов, а также напишем собственный RPC клиент и сервер.
https://cicada-8.medium.com/impacket-developer-guide-part-1-rpc-4df4fe6d79d7
А цикл статей завершится инструментом (а может даже несколькими) для бокового перемещения : )
RTB
В моей голове давно была хотелка создать некоторую документацию по Impacket. Быть может, даже цикл статей, который бы достаточно понятным языком, с обилием примеров, описывал механизмы работы этого замечательного инструмента.
И у меня наконец-то дошли руки этим заняться! Я выкладываю первую часть из цикла статей про Impacket. В ней мы разберемся с основами RPC, изучим парочку базовых терминов, а также напишем собственный RPC клиент и сервер.
https://cicada-8.medium.com/impacket-developer-guide-part-1-rpc-4df4fe6d79d7
А цикл статей завершится инструментом (а может даже несколькими) для бокового перемещения : )
RTB
❤1
Forwarded from Proxy Bar
Forwarded from Adaptix Framework
Вот такое расширение AxScript подкинули, для удобства разработки скриптов в VS Code.
https://github.com/5P34R/axs-extension
https://github.com/5P34R/axs-extension