Forwarded from s0ld13r ch. (s0ld13r)
Ghost Calls: Abusing Web Conferencing for Covert Command & Control 😎
Август выдался жарким не только по погоде — на Black Hat USA ресерчеры из Praetorian показали необычную технику, получившую название Ghost Calls🔥
Она позволяет туннелировать трафик C2-агентов через сервисы видеоконференций (MS Teams, Zoom), маскируя его под обычные звонки🎩
❗️ Как работает?
Red Team оператор использует протоколы и инфраструктуру звонков TURN серверов для передачи данных, благодаря чему трафик выглядит как легитимный VoIP-трафик. Даже внимательный SOC-аналитик может принять его за рабочую коммуникацию, что в свою очередь позволит коммуницировать с C2 в более тихом режиме и обходить системы обнаружения.
🔗 Research: https://www.praetorian.com/blog/ghost-calls-abusing-web-conferencing-for-covert-command-control-part-1-of-2/
🔗 Tool: https://github.com/praetorian-inc/turnt
P.S Доклад с BlackHat прикрепил в комментах к посту
Eng. version
This August was hot not just in weather — at Black Hat USA, researchers from Praetorian presented a new technique called Ghost Calls🔥
It allows an attacker to tunnel C2 agent traffic through video conferencing services (MS Teams, Zoom), disguising it as legitimate calls🎩
❗️ How it works?
Red Team operators leverage call protocols and infrastructure of TURN servers to transfer data, making traffic appear like normal VoIP communications. Even an experienced SOC analyst might mistake it for routine work traffic, this can allow to establish more evasive and silent C2 channels and bypass detection systems
🔗 Tool: https://github.com/praetorian-inc/turnt
P.S Presentation from BlackHat is attached in comments
🧢 s0ld13r
Август выдался жарким не только по погоде — на Black Hat USA ресерчеры из Praetorian показали необычную технику, получившую название Ghost Calls
Она позволяет туннелировать трафик C2-агентов через сервисы видеоконференций (MS Teams, Zoom), маскируя его под обычные звонки
Red Team оператор использует протоколы и инфраструктуру звонков TURN серверов для передачи данных, благодаря чему трафик выглядит как легитимный VoIP-трафик. Даже внимательный SOC-аналитик может принять его за рабочую коммуникацию, что в свою очередь позволит коммуницировать с C2 в более тихом режиме и обходить системы обнаружения.
🔗 Research: https://www.praetorian.com/blog/ghost-calls-abusing-web-conferencing-for-covert-command-control-part-1-of-2/
🔗 Tool: https://github.com/praetorian-inc/turnt
P.S Доклад с BlackHat прикрепил в комментах к посту
Eng. version
This August was hot not just in weather — at Black Hat USA, researchers from Praetorian presented a new technique called Ghost Calls
It allows an attacker to tunnel C2 agent traffic through video conferencing services (MS Teams, Zoom), disguising it as legitimate calls
Red Team operators leverage call protocols and infrastructure of TURN servers to transfer data, making traffic appear like normal VoIP communications. Even an experienced SOC analyst might mistake it for routine work traffic, this can allow to establish more evasive and silent C2 channels and bypass detection systems
🔗 Tool: https://github.com/praetorian-inc/turnt
P.S Presentation from BlackHat is attached in comments
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Три месяца назад было обновление скрипта certipy, а вот теперь вышло обновление и для Certify.
Blog: https://specterops.io/blog/2025/08/11/certify-2-0/
Wiki: https://github.com/GhostPack/Certify/wiki/4-%E2%80%90-Escalation-Techniques
#ad #pentest #redteam #adcs
Blog: https://specterops.io/blog/2025/08/11/certify-2-0/
Wiki: https://github.com/GhostPack/Certify/wiki/4-%E2%80%90-Escalation-Techniques
#ad #pentest #redteam #adcs
SpecterOps
Certify 2.0
Certify 2.0 features a suite of new capabilities and usability enhancements. This blogpost introduces changes and features additions.
Хабр
Pentest award: Итоги награждения лучших этичных хакеров России 2025
Pentest award уже третий год отмечает талантливых специалистов, которые делают огромную работу по поиску уязвимостей, оставаясь за кадром. С каждым разом в проекте появляется больше номинаций,...
🔗Ссылка:
https://habr.com/ru/news/934070/
https://habr.com/ru/news/934070/
www.opennet.ru
Выпуск языка программирования Go 1.25
После шести месяцев разработки представлен релиз языка программирования Go 1.25, развиваемого компанией Google при участии сообщества. Язык сочетает высокую производительность, свойственную компилируемым языкам, с такими достоинствами скриптовых языков, как…
🔗 Ссылка:
https://opennet.ru/63721/
https://opennet.ru/63721/
www.opennet.ru
Уязвимость в реализациях протокола HTTP/2, упрощающая проведение DoS-атак
Представлена новая техника атаки на реализации протокола HTTP/2, упрощающая проведение атак для вызова отказа в обслуживании через исчерпание ресурсов сервера. Уязвимость получила кодовое имя MadeYouReset и позволяет через манипуляции управляющими кадрами…
🔗Ссылка:
https://opennet.ru/63726/
https://opennet.ru/63726/
🔥1
Forwarded from Whitehat Lab
GitHub
GitHub - olafhartong/BamboozlEDR: A comprehensive ETW (Event Tracing for Windows) event generation tool designed for testing and…
A comprehensive ETW (Event Tracing for Windows) event generation tool designed for testing and research purposes. - olafhartong/BamboozlEDR
Генератор различных событий (EventID) для тестирования EDR
Microsoft-Windows-Antimalware - Threat detection events (Event ID 48)
Microsoft-Windows-Antimalware-RTP - Real-time protection events (Event IDs 27, 14)
Microsoft-Windows-LDAP-Client - LDAP search and authentication events
Microsoft-Windows-TCPIP - TCP/IP connection events
Microsoft-Windows-WMI-Activity - WMI query and execution events (Event IDs 22, 11)
Microsoft-Windows-AMSI - AMSI scan events
Microsoft-Windows-Defender - Windows Defender events (Event IDs 5000, 5001, 1116, 1117)
Microsoft-Windows-DotNETRuntime - .NET runtime events
Microsoft-Windows-Crypto-DPAPI-Events - DPAPI access events
Microsoft-Windows-Security-Auditing - Security audit events (Event ID 4688)
Microsoft-Windows-PowerShell - PowerShell commandlet and AMSI events
Microsoft-Windows-RPC - RPC function trace events (Event ID 14)
Microsoft-Windows-CodeIntegrity - Code Integrity events (Event IDs 3023, 3036, 3076, 3077)
Microsoft-Windows-AppLocker - AppLocker events (Event IDs 8003, 8004, 8006, 8007, 8021, 8022, 8024, 8025)
Microsoft-Windows-NTLM - NTLM blocking events (Event ID 8001)
#edr #golang
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1
Forwarded from Похек
Пентест без пароля: как обходить механизмы аутентификации в реальных условиях
#pentest #пентест #MFA #2FA
Рабочие техники обхода
Один из самых устойчивых и эффективных методов обхода, который используют злоумышленники — атака на сессии. Предсказуемые идентификаторы и отсутствие XSS-защиты упрощают перехват или подделку токенов аутентификации. Особенно уязвимы WebSocket-соединения, где данные часто передаются без шифрования и валидации, что позволяет получить несанкционированный доступ к аккаунтам.
Слабая конфигурация JWT — еще один частый вектор взлома. На практике все еще встречаются маркеры с алгоритмом “none”, предсказуемыми секретными ключами вроде “secret” или “123456”, а также с отсутствием валидации поля “kid”. Распространенный способ атаки — замена RS256 на HS256 с использованием публичного ключа как HMAC-секрета.
Уязвимости проявляются и при несогласованности процессов. Например, сеанс начинается раньше, чем завершается проверка данных, особенно в микросервисной архитектуре. Отдельное внимание требует механизм восстановления доступа: в ряде случаев возможна повторная отправка одного и того же кода, либо отсутствует подтверждение принадлежности почты конкретному пользователю.
🔗 Читать далее
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#pentest #пентест #MFA #2FA
Системы аутентификации стали сложнее: к традиционным логину и паролю добавилось активное использование токенов, управление сессиями и интеграция комплексной бизнес-логики. Но чем сложнее механизм, тем больше шансов допустить ошибку. В реальных пентестах даже крупные компании сталкиваются с критическими уязвимостями в архитектуре и настройке систем аутентификации. Специально для Cyber Media Сергей Зыбнев, ведущий специалист отдела по работе с уязвимостями ИС Бастион, разбирает техники пентеста, которые позволяют отработать защиту на практике.
Рабочие техники обхода
Один из самых устойчивых и эффективных методов обхода, который используют злоумышленники — атака на сессии. Предсказуемые идентификаторы и отсутствие XSS-защиты упрощают перехват или подделку токенов аутентификации. Особенно уязвимы WebSocket-соединения, где данные часто передаются без шифрования и валидации, что позволяет получить несанкционированный доступ к аккаунтам.
Слабая конфигурация JWT — еще один частый вектор взлома. На практике все еще встречаются маркеры с алгоритмом “none”, предсказуемыми секретными ключами вроде “secret” или “123456”, а также с отсутствием валидации поля “kid”. Распространенный способ атаки — замена RS256 на HS256 с использованием публичного ключа как HMAC-секрета.
Уязвимости проявляются и при несогласованности процессов. Например, сеанс начинается раньше, чем завершается проверка данных, особенно в микросервисной архитектуре. Отдельное внимание требует механизм восстановления доступа: в ряде случаев возможна повторная отправка одного и того же кода, либо отсутствует подтверждение принадлежности почты конкретному пользователю.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1🥰1
Forwarded from SecuriXy.kz
Кто забил или забыл обновиться на базе MS Windows, пока не наступила пятница - самое время сделать это.
Уж больно много дыр латают именно после DefCon и других конф.
Такие дыры как: CVE-2025-50154, CVE-2025-50167, CVE-2025-30406, CVE-2025-50171, CVE-2025-53772, CVE-2025-53773, CVE-2025-53783
и другая красота 35 RCE, 44 привеска и др.
Хотя если смотреть статистику по CVSS Score, то заметен спад обнаружения высоких и критичных, каникулы небось или балы еще не расставили…
Уж больно много дыр латают именно после DefCon и других конф.
Такие дыры как: CVE-2025-50154, CVE-2025-50167, CVE-2025-30406, CVE-2025-50171, CVE-2025-53772, CVE-2025-53773, CVE-2025-53783
и другая красота 35 RCE, 44 привеска и др.
Хотя если смотреть статистику по CVSS Score, то заметен спад обнаружения высоких и критичных, каникулы небось или балы еще не расставили…
Forwarded from RedTeam brazzers (Миша)
Всем привет!
Сегодняшним утром хотелось бы обратить внимание на новый способ утечки NetNTLM-хеша системы, даже если вы работаете от лица низкопривилегированной УЗ.
Все основывается на глубинах RPC.... Что-ж! Разбираемся. В RPC есть обычные конечные точки (
Теперь следует скорректировать некоторую неточность. RPC-сервер не весь регистрируется на динамической конечной точке, а его конкретный интерфейс. А в интерфейсе уже находятся методы, доступные клиентам для вызова. Подробнее этот механизм , с примерами кода, я разбирал в статье.
А что если зарегистрировать свой интерфейс раньше, чем легитимный RPC-сервер? Таким вопросом задался исследователь из SafeBreach и нашел CVE-2025-49760 . Логика работы эксплойта заключается в том, чтобы обогнать регистрацию легитимного интерфейса службы Storage Service, а затем дождаться обращения другой службы — Delivery Optimization Service. Вторая служба дернет RPC-метод SvcGetStorageDeviceInfo(), а в ответе мы вернем UNC-путь! И служба Delivery Optimization Service пройдет по этому пути, оставив учетные данные компьютера.
Презентацию с DEF CON 33 можно увидеть тут
RTB
Сегодняшним утром хотелось бы обратить внимание на новый способ утечки NetNTLM-хеша системы, даже если вы работаете от лица низкопривилегированной УЗ.
Все основывается на глубинах RPC.... Что-ж! Разбираемся. В RPC есть обычные конечные точки (
Well-Known Enpoints) и динамические. Динамические нужны, чтобы конечную точку RPC-серверу назначала сама система, а не он сам. Например, RPC-сервер просто говорит, что хочет работать поверх TCP, а порт назначается системой. Клиенты, чтобы узнать целевой порт для подключения, обращаются к специальной службе RPC Endpoint Mapper, которая и сообщает, что целевой сервер работает на таком-то порту. Теперь следует скорректировать некоторую неточность. RPC-сервер не весь регистрируется на динамической конечной точке, а его конкретный интерфейс. А в интерфейсе уже находятся методы, доступные клиентам для вызова. Подробнее этот механизм , с примерами кода, я разбирал в статье.
А что если зарегистрировать свой интерфейс раньше, чем легитимный RPC-сервер? Таким вопросом задался исследователь из SafeBreach и нашел CVE-2025-49760 . Логика работы эксплойта заключается в том, чтобы обогнать регистрацию легитимного интерфейса службы Storage Service, а затем дождаться обращения другой службы — Delivery Optimization Service. Вторая служба дернет RPC-метод SvcGetStorageDeviceInfo(), а в ответе мы вернем UNC-путь! И служба Delivery Optimization Service пройдет по этому пути, оставив учетные данные компьютера.
Презентацию с DEF CON 33 можно увидеть тут
RTB
❤1
Forwarded from Caster
Я начал работу над собственным блогом, где буду публиковать своё творчество: статьи, инструменты, тизеры и другие материалы.
Уже добавил несколько достойных работ из прошлых релизов.
https://caster0x00.com
Уже добавил несколько достойных работ из прошлых релизов.
https://caster0x00.com
Forwarded from Волосатый бублик
Если вы думаете что в пятницу можно уже расслабиться и готовиться к выходным, то вот вам работа:
Cisco Secure Firewall Management Center Software RADIUS Remote Code Execution Vulnerability
could allow an unauthenticated, remote attacker to inject arbitrary shell commands that are executed by the device
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-radius-rce-TNBKf79
Cisco Secure Firewall Management Center Software RADIUS Remote Code Execution Vulnerability
could allow an unauthenticated, remote attacker to inject arbitrary shell commands that are executed by the device
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-radius-rce-TNBKf79
Forwarded from NetStalkers
➡️ Hack The Box. Уровень Easy:
• Прохождение Traceback. Бэкдор, LUA, SSH.
• Прохождение Omni. Ломаем легенький Windows IoT.
• Прохождение Buff. RCE в CMS Gym и в CloudMe.
• Прохождение Tabby. RCE в Tomcat, и повышаем привилегии через LXD.
• Прохождение Blunder. Ломаем Bludit CMS.
• Прохождение Remote. NFS, RCE в CMS Umbraco и LPE через UsoSvc.
• Прохождение Sauna. LDAP, AS-REP Roasting, AutoLogon, DCSync атака.
• Прохождение Nest. NTFS потоки, реверс C# и бродилка по SMB.
• Прохождение Traverxec. RCE в веб-сервере nostromo, техника GTFOBins.
• Прохождение Forest. AS-REP Roasting, атаки DCSync и Pass-The-Hash.
• Прохождение Postman. Redis и WebMin.
➡️ Hack The Box. Уровень Medium:
• Прохождение лаборатории Professional Offensive Operations. Пентест Active Directory.
• Прохождение Monteverde. Брут SMB и LPE через Azure Admins.
• Прохождение OpenKeys. Ломаем виртуалку OpenBSD.
• Прохождение SneakyMailer. Фишинговая рассылка, LPE через PyPI и GTFOBins pip3.
• Прохождение Fuse. RPC, принтеры и опасная привилегия SeLoadDriverPrivilege.
• Прохождение Cache. RCE в OpenEMR, memcached и docker.
• Прохождение Admirer. Уязвимость в Admirer и RCE через подмену переменной среды.
• Прохождение Magic. Password spraying. Mysqldump и LPE через sysinfo.
• Прохождение Cascade. LDAP и удаленные объекты Active Directory.
• Прохождение Book. XSS to LFI через PDF и LPE через Logrotate.
• Прохождение Resolute. Password spraying. От DnsAdmin до SYSTEM.
• Прохождение Obscurity. OS Command Injection и Race Condition.
• Прохождение Mango. NoSQL инъекция и LPE через JJS.
• Прохождение Sniper. RFI и вредоносный CHM документ.
• Прохождение Bitlab. Слабая JS обфускация, GIT и реверс Windows приложения.
➡️ Hack The Box. Уровень Hard:
• Прохождение Compromised. RCE LiteCart и бэкдор pam_unix.
• Прохождение Unbalanced. Rsync, EncFS, Squid, XPath инъекция и RCE в Pi-hole.
• Прохождение Intanse. Flask, атака HLE, SQL инъекция, SNMP to RCE, Ret2Libc.
• Прохождение Blackfield. Захват контроллера домена через SMB и RPC, LPE через теневую копию.
• Прохождение Travel. Memcache+SSRF=RCE, LPE через LDAP.
• Прохождение Quick. QUIC HTTP/3, XSLT инъекция, Race condition.
• Прохождение Oouch. OAuth2, RCE в uWSGI и LPE через DBUS.
• Прохождение Forwardslash. LFI, backup и шифрованный том.
• Прохождение Control. SQL инъекция и LPE через права на службу.
• Прохождение Registry. Docker, RCE в CMS Bolt и Restic.
• Прохождение Scavenger. DNS, FTP и следы другого взлома.
• Прохождение Zetta. FXP, IPv6, rsync, Postgres и SQLi.
• Прохождение RE. Metasploit, нагрузка в офисном документе, Zip Slip атака, немного о PowerSploit и токенах.
➡️ Hack The Box. Уровень Insane:
• Прохождение Laser. Jetdirect, RPC и кража SSH.
• Прохождение Dyplesher. Memcached, Gogs, RCE через создание плагина и LPE через AMQP.
• Прохождение Multimaster. Burp+Sqlmap. AD users from MSSQL. Уязвимость в VSCode. AMSI bypass и CVE ZeroLogon.
• Прохождение Fatty. Реверс и рекомпиляция клиент-серверного приложения. Java десериализация.
• Прохождение PlayerTwo. Twirp, 2FA bypass, Off-By-One атака.
• Прохождение Rope. PWN. Форматные строки и ROP используя pwntools.
• Прохождение Bankrobber. XSS, SQL инъекция, CSRF, port forwarding.
#article #doc #pentest #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM