Forwarded from Whitehat Lab
GitHub
GitHub - synacktiv/GroupPolicyBackdoor: Group Policy Objects manipulation and exploitation framework
Group Policy Objects manipulation and exploitation framework - synacktiv/GroupPolicyBackdoor
Инструмент пост эксплуатации для различных манипуляций с GPO. Написан на
Впервые представлена на DEFCON 33
Примеры:
#backup
python3 gpb.py restore backup -d 'corp.com' -o './my_backups' --dc ad01-dc.corp.com -u 'john' -p 'Password1!' -n 'TARGET_GPO'
#inject
python3 gpb.py gpo inject --domain 'corp.com' --dc 'ad01-dc.corp.com' -k --module modules_templates/ImmediateTask_create.ini --gpo-name 'TARGET_GPO'
Пример ini:
[MODULECONFIG]
name = Scheduled Tasks
type = computer
[MODULEOPTIONS]
task_type = immediate
program = cmd.exe
arguments = /c "whoami > C:\Temp\poc.txt"
[MODULEFILTERS]
filters =
[{
"operator": "AND",
"type": "Computer Name",
"value": "ad01-srv1.corp.com"
}]
GPO creation, deletion, backup and injections
Various injectable configurations, with, for each, customizable options (see list in the wiki)
Possibility to remove injected configurations from the target GPO
Possibility to revert the actions performed on client devices
GPO links manipulation
GPO enumeration / user privileges enumeration on GPOs
#gpo #redteam #windows
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Атака на браузерные дополнения с менеджерами паролей, использующая кликджекинг
На конференции DEF CON 33 представлен метод атаки на браузерные дополнения, подставляющие свои элементы интерфейса в просматриваемую страницу. Применение атаки к дополнениям с менеджерами паролей может привести к утечке хранимой в менеджерах паролей информации…
🔗Ссылка:
https://opennet.ru/63754/
https://opennet.ru/63754/
Forwarded from Adaptix Framework
В версии 0.8 будет добавлен Targets Manager (скрин 3).
Заполнять его можно из AxScript, например, написав пост хук для BOF ldapsearch (скрин 1 и 2), или выгрузив из любого коллектора (API
Еще можно добавить сканер, но это уже не сейчас))
Заполнять его можно из AxScript, например, написав пост хук для BOF ldapsearch (скрин 1 и 2), или выгрузив из любого коллектора (API
/targets/add на сервере).Еще можно добавить сканер, но это уже не сейчас))
Forwarded from s0ld13r ch. (s0ld13r)
Netlify as malware delivery service 🙂
На днях, в ходе очередных Threat Intelligence исследований собрал паттерны активных серваков по доставке ВПО, в целом все как обычно - Powershell скрипты, VBS/BAT файлы и EXE🤷♂️
Из интересного, в скриптах больше всего встречался домен netlify.app для стейджа малвари, это легитимный сервис в первую очередь предназначенный для деплоя веб приложений. Однако, как и любые легитимные сервисы он тоже активно эксплуатируется в атаках❗️
Ниже описал варианты детектирования в логах DNS, запросы в Shodan для проактивного поиска серверов/IoC и сами сханченные индикаторы компрометации🔥
🔍 Shodan
http.title:"Index of /" http.html:".ps1"
http.title:"Index of /" http.html:".bat"
http.title:"Index of /" http.html:".py"
http.title:"Index of /" http.html:".exe"
🛡 Detection
🛡 Indicators of Compromise (IoC's)
115.187.41[.]77
118.31.165[.]46
134.122.48[.]158
cyber-cryptor.netlify[.]app
extraordinary-malasada-f7721f.netlify[.]app
github[.]com/Khanzadaofficial/newss/tree/main
c0272f76195c0c20273644b5cf8948aa9a7ce1ee
a625351957b052b1af617bc8196855bc922d9252
e5dc572b9cdba19c7b6865a74ffa41bbb9744fdc
Happy hunting, hunters!
🧢 s0ld13r
На днях, в ходе очередных Threat Intelligence исследований собрал паттерны активных серваков по доставке ВПО, в целом все как обычно - Powershell скрипты, VBS/BAT файлы и EXE
Из интересного, в скриптах больше всего встречался домен netlify.app для стейджа малвари, это легитимный сервис в первую очередь предназначенный для деплоя веб приложений. Однако, как и любые легитимные сервисы он тоже активно эксплуатируется в атаках
Ниже описал варианты детектирования в логах DNS, запросы в Shodan для проактивного поиска серверов/IoC и сами сханченные индикаторы компрометации
http.title:"Index of /" http.html:".ps1"
http.title:"Index of /" http.html:".bat"
http.title:"Index of /" http.html:".py"
http.title:"Index of /" http.html:".exe"
dns.question.name: *.netlify.app and source.ip: *
115.187.41[.]77
118.31.165[.]46
134.122.48[.]158
cyber-cryptor.netlify[.]app
extraordinary-malasada-f7721f.netlify[.]app
github[.]com/Khanzadaofficial/newss/tree/main
c0272f76195c0c20273644b5cf8948aa9a7ce1ee
a625351957b052b1af617bc8196855bc922d9252
e5dc572b9cdba19c7b6865a74ffa41bbb9744fdc
Happy hunting, hunters!
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Threat Hunting Father 🦔
the-defenders-advantage.pdf
4 MB
The Defender’s Advantage — это книга от Google Cloud и Mandiant о том, как защитникам использовать своё ключевое преимущество: знание собственной инфраструктуры. В ней собраны практики по шести ключевым направлениям (разведка, обнаружение, реагирование, валидация, охота, управление), которые помогают выстраивать системную и проактивную киберзащиту.
🔗 https://cloud.google.com/security/resources/defenders-advantage
🦔 THF
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Доступны анализатор трафика Zeek 8.0 и сетевой сканер Nmap 7.98
Опубликован релиз системы анализа трафика и выявления сетевых вторжений Zeek 8.0.0, ранее распространявшейся под именем Bro. Zeek представляет собой платформу для анализа трафика, ориентированную в первую очередь на отслеживание событий, связанных с безопасностью…
🔗Ссылка:
https://opennet.ru/63772/
https://opennet.ru/63772/
Forwarded from AP Security
#tools
Golden DMSA💻
В новой версии Windows Server 2025 обнаружена уязвимость Golden dMSA.
🔤 Проблема кроется в архитектуре функции Delegated Managed Service Accounts (dMSA), предназначенной для безопасной замены устаревших сервисных учётных записей. Microsoft внедрила dMSA как способ противодействия атакам Kerberoasting, при которых злоумышленники получают хэши паролей сервисов через Kerberos-билеты. Нововведение позволяет привязывать сервисную учётную запись строго к конкретному устройству в домене, исключая возможность её кражи или использования с других машин.
Однако выяснилось, что в конструкции, отвечающей за генерацию паролей для этих учётных записей, используется структура с предсказуемыми компонентами. Время инициализации учитывается с точностью до секунды, а общее количество возможных комбинаций ограничено 1024. Это делает атаку методом перебора крайне простой — при наличии исходного криптографического материала.
🔤 Американская компания Semperis выпустила открытый инструмент для демонстрации атаки Golden dMSA. По словам авторов, даже единичная успешная атака может привести к установлению долговременного контроля над всеми сервисами в корпоративной сети, поскольку полученный доступ фактически не имеет срока действия.
Golden DMSA
В новой версии Windows Server 2025 обнаружена уязвимость Golden dMSA.
Однако выяснилось, что в конструкции, отвечающей за генерацию паролей для этих учётных записей, используется структура с предсказуемыми компонентами. Время инициализации учитывается с точностью до секунды, а общее количество возможных комбинаций ограничено 1024. Это делает атаку методом перебора крайне простой — при наличии исходного криптографического материала.
Please open Telegram to view this post
VIEW IN TELEGRAM
www.itsec.ru
В новой версии Windows Server 2025 обнаружена уязвимость Golden dMSA
Проблема кроется в архитектуре функции Delegated Managed Service Accounts (dMSA), предназначенной для безопасной замены устаревших сервисных учётных записей.
Forwarded from APT
🎯 SpearSpray
Advanced password spraying tool for Active Directory environments. Combines LDAP user enumeration with intelligent pattern-based password generation. Uses Kerberos pre-authentication and leverages user-specific data (pwdLastSet, displayName) to create personalized passwords per user.
🔗 Source:
https://github.com/sikumy/spearspray
#ad #password #spraying #kerberos #bloodhound
Advanced password spraying tool for Active Directory environments. Combines LDAP user enumeration with intelligent pattern-based password generation. Uses Kerberos pre-authentication and leverages user-specific data (pwdLastSet, displayName) to create personalized passwords per user.
🔗 Source:
https://github.com/sikumy/spearspray
#ad #password #spraying #kerberos #bloodhound
Forwarded from Похек
Разбираем свежий крит в Docker Desktop для Windows и macOS, которая позволяет контейнерам полностью похекать хостовую систему.
CVE-2025-9074 (CVSS 9.3) - это container escape уязвимость в Docker Desktop, исправленная в версии 4.44.3. Проблема в том, что любой контейнер может подключиться к Docker Engine API по адресу
192.168.65.7:2375 без какой-либо аутентификации.Исследователь Felix Boulet показал, что эксплуатация тривиальна:
Шаг 1: POST-запрос к
/containers/create с JSON payload, который монтирует диск C:\ хоста в папку контейнера /mnt/host/c:/host_rootШаг 2: POST-запрос к
/containers/{id}/start для запуска контейнера с полным доступом к файловой системе хостаРезультат: Полная компрометация хоста с правами администратора
Windows: Контейнер получает полный доступ к файловой системе, может читать любые файлы, перезаписывать системные DLL и эскалировать привилегии до администратора.
macOS: Docker Desktop имеет дополнительный слой изоляции, монтирование пользовательских директорий требует разрешения. Но злоумышленник все равно получает полный контроль над Docker и может бэкдорить конфигурацию приложения.
Linux: Буква ю - .... Использует named pipe вместо TCP-сокета для API. Линь снова оказалась самой безопасной ОСью))
Помимо вредоносного контейнера, уязвимость можно эксплуатировать через SSRF:
- Если приложение позволяет проксировать HTTP-запросы
- Особенно опасно, если SSRF поддерживает
POST/PATCH/DELETE методы- Можно достучаться до Docker socket через уязвимое приложение
По словам исследователя Philippe Dugre (zer0x64), это была "простая недоработка" - внутренний HTTP API Docker был доступен из любого контейнера без аутентификации или контроля доступа.
Enhanced Container Isolation (ECI) не защищает от этой уязвимости, что делает её особенно опасной.
Немедленно: Обновиться до Docker Desktop 4.44.3+
Проверка версии: docker --version
Мониторинг: Отслеживать подозрительные HTTP-запросы к
192.168.65.7:2375Аудит: Проверить контейнеры на наличие подозрительных примонтированных дисков
- HackerNews
- NIST
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
В Ubuntu по умолчанию задействован sudo-rs, написанный на Rust
В ежедневно обновляемых экспериментальных сборках Ubuntu, отражающих развитие осеннего выпуска Ubuntu 25.10, вместо утилиты sudo по умолчанию задействован проект sudo-rs, написанный на языке Rust. Решение использовать sudo-rs в Ubuntu было принято в мае,…
🔗Ссылка:
https://opennet.ru/63779/
https://opennet.ru/63779/