Forwarded from BEAR-C2
Это моделирование атаки (adversary simulation) группы APT RicochetChollima, нацеленное на активистов, занимающихся вопросами Северной Кореи. Кампания началась в марте 2025 года и стартовала с целевого фишинга (spear-phishing): в письме содержалась ссылка на Dropbox, ведущая к архиву, в котором был вредоносный ярлык (LNK). После распаковки и запуска этот LNK активировал дополнительное вредоносное ПО, содержащее ключевое слово «toy». Содержимое было замаскировано под приглашение на академический форум от южнокорейского аналитического центра по национальной безопасности, чтобы повысить доверие.
Репозиторий GitHub: https://github.com/S3N4T0R-0X0/APTs-Adversary-Simulation/tree/main/North%20Koreans%20APT/Ricochet%20Chollima
Репозиторий GitHub: https://github.com/S3N4T0R-0X0/APTs-Adversary-Simulation/tree/main/North%20Koreans%20APT/Ricochet%20Chollima
Forwarded from s0i37_channel
Когда хакер атакует какой либо сервис, например брутит пароли, то обычно на такое реагируют блокированием его IP:
Но целеустремленного хакера этим врядли остановишь. Так почему бы не дать ему того что он хочет - пусть атакует, только немного не того кого ожидает...
Всего двумя правилами на фаерволе мы можем повернуть вредоносный трафик вспять и направить атаку на сам источник:
В отличие от блокировки порта такой трюк практически незаметен для хакера, ведь целевой порт как был открыт так и остался (изменится только баннер и удвоится IP.ttl). Но после ввода этих команд хакер будет подбирать пароли уже сам у себя (скрин), думая что атакует ваш сервер. И в случае если подберёт пароль установит себе криптомайнер, или что там они устанавливают.
iptables -A INPUT -s $attacker -j DROPНо целеустремленного хакера этим врядли остановишь. Так почему бы не дать ему того что он хочет - пусть атакует, только немного не того кого ожидает...
Всего двумя правилами на фаерволе мы можем повернуть вредоносный трафик вспять и направить атаку на сам источник:
iptables -t nat -I PREROUTING -p tcp --dport 22 -j DNAT --to-destination $hacker:22
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -I POSTROUTING -p tcp --dport 22 -d $hacker -j MASQUERADE
В отличие от блокировки порта такой трюк практически незаметен для хакера, ведь целевой порт как был открыт так и остался (изменится только баннер и удвоится IP.ttl). Но после ввода этих команд хакер будет подбирать пароли уже сам у себя (скрин), думая что атакует ваш сервер. И в случае если подберёт пароль установит себе криптомайнер, или что там они устанавливают.
Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
❤2
Forwarded from #memekatz
This media is not supported in your browser
VIEW IN TELEGRAM
Как на самом деле читают документы по ИБ
👎2👍1
www.opennet.ru
Google меняет политику публикации исправлений уязвимостей в Android
Проект GrapheneOS, разрабатывающий альтернативную свободную прошивку Android, нацеленную на усиление безопасности и обеспечение конфиденциальности, сообщил о внесении компанией Google изменений в политику публикации исправлений уязвимостей для платформы Android…
🔗Ссылка:
https://opennet.ru/64039/
https://opennet.ru/64039/
Forwarded from вольтаж
WAPPALYZER В ТЕРМИНАЛЕ
🍭 s0md3v/wappalyzer-next
~год искал CLI тулзу, что сможет раскрывать tech stack столь же хорошо как wappalyzer расширение в браузере
как оказалось, легче запускать headless firefox с wappalyzer, чем пытаться сделать open source wappalyzer-like сканеры (1 2)
~год искал CLI тулзу, что сможет раскрывать tech stack столь же хорошо как wappalyzer расширение в браузере
как оказалось, легче запускать headless firefox с wappalyzer, чем пытаться сделать open source wappalyzer-like сканеры (1 2)
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from вольтаж
httpx использует собственную разработку projectdiscovery, о которой также сказано в посте — wappalyzergo
знаешь как она определеяет стек?
оно отправляет один запрос и смотрит на ответ
об этом даже issue создавали
https://github.com/projectdiscovery/httpx/issues/959
в то же время, благодаря headless firefox, wappalyzer успевает захватить все подгружаемые JS и определить полный стек
знаешь как она определеяет стек?
оно отправляет один запрос и смотрит на ответ
об этом даже issue создавали
https://github.com/projectdiscovery/httpx/issues/959
в то же время, благодаря headless firefox, wappalyzer успевает захватить все подгружаемые JS и определить полный стек
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Evasion-Kit for Cobalt Strike
Blog: https://rastamouse.me/crystal-kit/
Soft: https://github.com/rasta-mouse/Crystal-Kit
#maldev #cs #pentest #redteam
Blog: https://rastamouse.me/crystal-kit/
Soft: https://github.com/rasta-mouse/Crystal-Kit
#maldev #cs #pentest #redteam
Rasta Mouse
Crystal Kit
tl;dr - repo here.
The Crystal Kit is an experimental project designed to replace Cobalt Strike's Sleepmask. The Sleepmask (and BeaconGate) are key to Beacon's runtime evasion strategy - not only does it mask Beacon's memory, it also acts as an API proxy…
The Crystal Kit is an experimental project designed to replace Cobalt Strike's Sleepmask. The Sleepmask (and BeaconGate) are key to Beacon's runtime evasion strategy - not only does it mask Beacon's memory, it also acts as an API proxy…
🔥1
www.opennet.ru
Mozilla тестирует встроенный в Firefox бесплатный VPN
Компания Mozilla начала тестирование Firefox VPN, встроенного в Firefox бесплатного VPN-сервиса, позволяющего обращаться к сайтам не напрямую, а через промежуточные серверы в разных странах, скрывающие IP-адрес пользователя. VPN станет первым сервисом, реализованным…
🔗Ссылка:
https://opennet.ru/64042/
https://opennet.ru/64042/
Forwarded from InfoSec Portal
Открытый инструмент под названием RealBlindingEDR позволяет злоумышленникам «ослеплять», навсегда отключать или завершать работу антивирусного (AV) и EDR-ПО, очищая критические колбэки ядра в системах Windows.
Утилита использует подписанные драйверы для произвольного чтения и записи в память, обходит защиты вроде PatchGuard и нацелена на шесть основных типов колбэков ядра.
Эксплуатируя уязвимые драйверы, такие как echo_driver.sys или dbutil_2_3.sys, RealBlindingEDR получает доступ уровня ядра, не вызывая мгновенного обнаружения.
Читать далее: https://cybersecuritynews.com/realblindingedr-tool/
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Caster
Оборудование производителя Juniper широко распространено по всему миру, поэтому вопрос его безопасности стоит особенно остро.
Я разработал "Noir" - это инструмент для автоматизированного анализа конфигураций JunOS. Он работает на основе анализа конфигурации, поддерживает режим прямого подключения к оборудованию, а также холодный режим для работы с локальными XML-конфигурациями.
Noir выполняет детальный аудит безопасности JunOS, включая анализ учетных записей, механизмов AAA, политик аутентификации, защиты management-интерфейсов и параметров административных протоколов.
Также я реализовал модуль, который сопоставляет версию JunOS с базой уязвимостей NVD и выводит статистику по найденным CVE. Версию можно извлечь из конфигурации автоматически или указать вручную.
Github Link: https://github.com/caster0x00/Noir
Noir Page Link: https://caster0x00.com/Noir
Я разработал "Noir" - это инструмент для автоматизированного анализа конфигураций JunOS. Он работает на основе анализа конфигурации, поддерживает режим прямого подключения к оборудованию, а также холодный режим для работы с локальными XML-конфигурациями.
Noir выполняет детальный аудит безопасности JunOS, включая анализ учетных записей, механизмов AAA, политик аутентификации, защиты management-интерфейсов и параметров административных протоколов.
Также я реализовал модуль, который сопоставляет версию JunOS с базой уязвимостей NVD и выводит статистику по найденным CVE. Версию можно извлечь из конфигурации автоматически или указать вручную.
Github Link: https://github.com/caster0x00/Noir
Noir Page Link: https://caster0x00.com/Noir
❤1
www.opennet.ru
Атака Pixnapping, определяющая содержимое экрана для перехвата 2FA-кодов в Android
Группа исследователей из четырёх американских университетов разработала технику атаки Pixnapping (CVE-2025-48561), позволяющую из непривилегированных Android-приложений, не запрашивающих дополнительных полномочий, определить содержимое, выводимое на экран…
🔗Ссылка:
https://opennet.ru/64045/
https://opennet.ru/64045/