Forwarded from Threat Hunting Father 🦔
🕵️ PhantomVAI Loader
PhantomVAI Loader — .NET-лоадер, маскирующий DLL внутри изображений (стеганография) и доставляющий популярные infostealers (Katz Stealer, AsyncRAT, XWorm, FormBook, DCRat).
Формат атаки: Фишинг → JS/VBS → PowerShell → загрузка GIF с Base64-вшитым DLL → .NET PhantomVAI Loader → process hollowing в целевой процесс (в наблюдениях чаще MSBuild.exe).
Новые особенности:
• Стеганография с маркерами <<sudo_png>> / <<sudo_odt>> для извлечения Base64-DLL.
• Метод VAI() выполняет три функции: анти-VM, персистентность (Task Scheduler / RunKey / wscript), загрузка финального payload’а.
• VM-детект основан на GitHub-проекте VMDetector.
• Основная цель — MaaS-стилеры: Katz Stealer, AsyncRAT, XWorm, FormBook, DCRat.
🔗https://unit42.paloaltonetworks.com/phantomvai-loader-delivers-infostealers/
🦔 THF
PhantomVAI Loader — .NET-лоадер, маскирующий DLL внутри изображений (стеганография) и доставляющий популярные infostealers (Katz Stealer, AsyncRAT, XWorm, FormBook, DCRat).
Формат атаки: Фишинг → JS/VBS → PowerShell → загрузка GIF с Base64-вшитым DLL → .NET PhantomVAI Loader → process hollowing в целевой процесс (в наблюдениях чаще MSBuild.exe).
Новые особенности:
• Стеганография с маркерами <<sudo_png>> / <<sudo_odt>> для извлечения Base64-DLL.
• Метод VAI() выполняет три функции: анти-VM, персистентность (Task Scheduler / RunKey / wscript), загрузка финального payload’а.
• VM-детект основан на GitHub-проекте VMDetector.
• Основная цель — MaaS-стилеры: Katz Stealer, AsyncRAT, XWorm, FormBook, DCRat.
🔗https://unit42.paloaltonetworks.com/phantomvai-loader-delivers-infostealers/
🦔 THF
Forwarded from Whitehat Lab
TCP туннель через файл
Bypassing a firewall:
# Host A
ft.exe -L 5000:127.0.0.1:3389 --write "\\server\share\1.dat" --read "\\server\share\2.dat"
# Host B
ft.exe --read "\\server\share\1.dat" --write "\\server\share\2.dat"
Tunnel TCP through RDP:
# Host A
ft.exe -L 5000:192.168.1.50:8888 --write "C:\Temp\1.dat" --read "C:\Temp\2.dat"
# Host B
ft.exe --read "\\tsclient\c\Temp\1.dat" --write "\\tsclient\c\Temp\2.dat"
#windows #filetunnel
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
В Firefox реализована возможность одновременного просмотра двух вкладок
В ночных сборках Firefox, на основе которых 9 декабря будет сформирован релиз Firefox 146, началось тестирование режима "Split View" для просмотра бок о бок в одном окне двух вкладок. Режим активируется через параметр "browser.tabs.splitView.enabled" на странице…
🔗Ссылка:
https://opennet.ru/64068/
https://opennet.ru/64068/
Forwarded from s0i37_channel
Сегодня существует большое слепое пятно безопасности - беспроводные сети. Ещё один периметр, который есть почти у каждой компании и который практически никогда ни чем не охраняется. В итоге все мы привыкли к тому что все атаки на этом поле невидимы и хакеру все сходит с рук.
В своих постах, а так же в статье (https://xakep.ru/2025/01/10/wireless-self-defence/) я показал, что это может быть не так, и продемонстрировал как детектить все актуальные атаки на wifi.
Но сейчас я хотел бы поделиться тем, как можно активно мешать хакеру.
И это будет маленький цикл постов про предотвращение/смягчение атак на wifi.
Что бы помешать хакеру провести захват WPA handshake через деаутентификацию, в момент детекта атаки мы можем начать отправлять в радиоэфир фейковые хэши. И что бы хакерский софт среагировал, достаточно отправить пакеты: beacon, EAPOL m1 и m2. А собрать произвольный handshake мы можем примерно так:
Добавив вызов этого prevent-скрипта (https://github.com/s0i37/defence/blob/main/wifi/prevent/m2.py) в detect-скрипт (https://github.com/s0i37/defence/blob/main/wifi/deauth.py) мы получаем готовое решение для автоматического реагирования на атаку деаутентификации (скрин).
В своих постах, а так же в статье (https://xakep.ru/2025/01/10/wireless-self-defence/) я показал, что это может быть не так, и продемонстрировал как детектить все актуальные атаки на wifi.
Но сейчас я хотел бы поделиться тем, как можно активно мешать хакеру.
И это будет маленький цикл постов про предотвращение/смягчение атак на wifi.
Что бы помешать хакеру провести захват WPA handshake через деаутентификацию, в момент детекта атаки мы можем начать отправлять в радиоэфир фейковые хэши. И что бы хакерский софт среагировал, достаточно отправить пакеты: beacon, EAPOL m1 и m2. А собрать произвольный handshake мы можем примерно так:
import hmac,hashlib
import random
def PRF_512(key,A,B):
return b''.join(hmac.new(key,A+chr(0).encode()+B+chr(i).encode(),hashlib.sha1).digest() for i in range(4))[:64]
def get_rand(n):
o = b''
for _ in range(n):
o += int(random.random()*255).to_bytes(1, 'big')
return o
pmk = hashlib.pbkdf2_hmac('sha1', password.encode(), essid.encode(), 4096, 32)
snonce = get_rand(32)
ptk = PRF_512(pmk, b"Pairwise key expansion", min(b(ap),b(sta))+max(b(ap),b(sta))+min(anonce,snonce)+max(anonce,snonce))
kck = ptk[0:16]
mic = hmac.new(kck, b"\x01\x03\x00\x75" + bytes(eapol_data_4[:77]) + bytes.fromhex("00000000000000000000000000000000") + bytes(eapol_data_4[93:]), hashlib.sha1).digest()[0:16]
eapol_data_4[77:77+16] = mic
Добавив вызов этого prevent-скрипта (https://github.com/s0i37/defence/blob/main/wifi/prevent/m2.py) в detect-скрипт (https://github.com/s0i37/defence/blob/main/wifi/deauth.py) мы получаем готовое решение для автоматического реагирования на атаку деаутентификации (скрин).
Forwarded from s0i37_channel
Вполне закономерно, что хакер начнёт захватывать огромное количество handshake. На скрине можно видеть что bettercap захватывает их от того самого клиента которого он деаутентицировал. С виду и не скажешь что это фейковые handshake. Аналогичное поведение будет и у других инструментов: hcxdumptool, airodump-ng.
Дальше начинается самое интересное. Подготовку к брутфорсу хакер может проводить разными способами. Так если хакер выберет aicrack-ng, то увидит последний принятый handshake, а если hcxpcapngtool, то по дефолту он извлекает первый. Следовательно в каждом случае мы можем просто перезаписать легитимный handshake, защитив тем самым точку доступа и послать хакера брутить левый хэш.
Дальше начинается самое интересное. Подготовку к брутфорсу хакер может проводить разными способами. Так если хакер выберет aicrack-ng, то увидит последний принятый handshake, а если hcxpcapngtool, то по дефолту он извлекает первый. Следовательно в каждом случае мы можем просто перезаписать легитимный handshake, защитив тем самым точку доступа и послать хакера брутить левый хэш.
Forwarded from s0i37_channel
Но если же хакер извлечёт все захваченные handshake, то он сбрутит все теже самые пароли что мы отправляли в радиоэфир (скрин).
Нам ни чего не мешает отправить сотни, тысячи таких handshake. Каждый из подобранных паролей это трата времени хакера на проверку актуальности.
Отправка заведомо брутабельного handshake лишь одна из тактик. Которая может найти применение если защищаемая wifi сеть имеет слабый пароль. Так мы хотя-бы имеем шанс затерять реальный подобранный handshake среди сотен фейковых.
Другой же тактикой может быть отправка не брутабельных handshake. Ведь каждый такой хэш поставленный на брутфорс снижает общую производительность, снижая тем самым и шансы на успешность взлома легитимного handshake.
Наконец отправка любого (брутабельного или нет) фейкового handshake в туже секунду что и отправка deauth пакетов не даст хакеру понимания был ли захвачен легитимный handshake или нет.
Нам ни чего не мешает отправить сотни, тысячи таких handshake. Каждый из подобранных паролей это трата времени хакера на проверку актуальности.
Отправка заведомо брутабельного handshake лишь одна из тактик. Которая может найти применение если защищаемая wifi сеть имеет слабый пароль. Так мы хотя-бы имеем шанс затерять реальный подобранный handshake среди сотен фейковых.
Другой же тактикой может быть отправка не брутабельных handshake. Ведь каждый такой хэш поставленный на брутфорс снижает общую производительность, снижая тем самым и шансы на успешность взлома легитимного handshake.
Наконец отправка любого (брутабельного или нет) фейкового handshake в туже секунду что и отправка deauth пакетов не даст хакеру понимания был ли захвачен легитимный handshake или нет.
Forwarded from REDtalk (Alexey)
Привет! ⌨️
Когда-то давно я делал🔗 пост про сертификаты и замочек в браузере слева от адресной строки. В комментариях был вопрос про виды защит браузера от mitm-атак. Не прошло и года (прошло), как я сделал стенд для их проверки. Далее покажу простой перехват https-трафика практически без использования специализированных инструментов, а также посмотрим на сработки встроенных механизмов защиты в браузер.
Стенд состоит из двух машин - Windows 10 и управляемый роутер из линукса:
На счет роутера я преувеличил. В данном случае это сетевой мост (перенаправляет трафик с одного интерфейса на другой) превратить linux в сетевой мост очень просто:
Мост готов, на винде тоже ставим адрес 10.13.37.11/24 и будет выход и интернет.
Теперь можно перехватывать https:
Как показано на гифке, перезагрузки страницы работает mitm-прокси, из-за чего браузер на уже посещенную страницу выдает ошибку net::ERR_CERT_AUTHORITY_INVALID и не даёт более ничего сделать, а вот на непосещенную ранее страницу алертит на самоподписанный сертификат, и ничего более.
В 9 случаев из 10 пользователь скорее всего проигнорирует это предупреждение. А если это какой-то внутренний ресурс, у которого тоже самоподписанный сертификат, то тут соответствие никто и проверить не будет😏
Когда-то давно я делал
Стенд состоит из двух машин - Windows 10 и управляемый роутер из линукса:
[Windows10] - (ens37)[Linux](ens33) - [Интернет] # роутер используется для MITM-атак.
На счет роутера я преувеличил. В данном случае это сетевой мост (перенаправляет трафик с одного интерфейса на другой) превратить linux в сетевой мост очень просто:
# Включаем редирект
echo 1 > /proc/sys/net/ipv4/ip_forward
# Чистим таблицы
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
# Создаем NAT и перенаправление трафика между интерфейсами
iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE
iptables -A FORWARD -i ens37 -o ens33 -j ACCEPT
iptables -A FORWARD -i ens33 -o ens37 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Ставим ip-адрес на ens37. ens33 Получает его по dhcp
ip addr add 10.13.37.10/24 dev ens37
# Примечание. NetworkManager может сбрасывать заданный адрес, поэтому
# на время эксперимента его лучше отключить
Мост готов, на винде тоже ставим адрес 10.13.37.11/24 и будет выход и интернет.
Теперь можно перехватывать https:
# Редиректим любой 443 порт на 127.0.0.1:443
iptables -t nat -A PREROUTING -i ens37 -p tcp --dport 443 -j REDIRECT --to-port 443
# Запускаем mitmproxy на прослушку и редирект трафика на read.pyfffe.site и смотрим на вывод
# 212.67.10.54 это ip read.pyfffe.site
mitmproxy -p 443 --mode reverse:https://212.67.10.54:443 --showhost --ssl-insecure
Как показано на гифке, перезагрузки страницы работает mitm-прокси, из-за чего браузер на уже посещенную страницу выдает ошибку net::ERR_CERT_AUTHORITY_INVALID и не даёт более ничего сделать, а вот на непосещенную ранее страницу алертит на самоподписанный сертификат, и ничего более.
В 9 случаев из 10 пользователь скорее всего проигнорирует это предупреждение. А если это какой-то внутренний ресурс, у которого тоже самоподписанный сертификат, то тут соответствие никто и проверить не будет
Please open Telegram to view this post
VIEW IN TELEGRAM
Всем хак 👾
Все знакомы или хотя бы слышали про BloodHound?
BloodHound — инструмент для анализа связей в Active Directory. У него есть две версии:
Legacy — старая версия с классическим интерфейсом и ограниченной функциональностью.
CE (Community Edition) — обновлённая бесплатная версия с улучшённым UI, новыми возможностями и активной поддержкой сообщества.
Новички не всегда знают о разнице между версиями.
Раньше в Kali по умолчанию стояла Legacy-версия. Вчера мне понадобился BloodHound, и по привычке я установил пакет; пришлось немного поколдовать с запуском, и в итоге вместо ожидаемой Legacy получил CE-версию.
Мой вывод: имеет смысл переходить на современные, обновлённые инструменты — они чаще поддерживаются, содержат исправления безопасности и новые полезные функции. (Но есть исключения)
Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Все знакомы или хотя бы слышали про BloodHound?
BloodHound — инструмент для анализа связей в Active Directory. У него есть две версии:
Legacy — старая версия с классическим интерфейсом и ограниченной функциональностью.
CE (Community Edition) — обновлённая бесплатная версия с улучшённым UI, новыми возможностями и активной поддержкой сообщества.
Новички не всегда знают о разнице между версиями.
Раньше в Kali по умолчанию стояла Legacy-версия. Вчера мне понадобился BloodHound, и по привычке я установил пакет; пришлось немного поколдовать с запуском, и в итоге вместо ожидаемой Legacy получил CE-версию.
Мой вывод: имеет смысл переходить на современные, обновлённые инструменты — они чаще поддерживаются, содержат исправления безопасности и новые полезные функции. (Но есть исключения)
Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
❤1
www.opennet.ru
Опубликована платформа Node.js 25.0.0
Состоялся релиз Node.js 25.0.0, платформы для выполнения сетевых приложений на языке JavaScript. Node.js 25.0 отнесён к промежуточным веткам, сопровождение которых осуществляется в течение 7 месяцев (до июня 2026 года). В ближайшие дни будет завершена стабилизация…
🔗Ссылка:
https://opennet.ru/64077/
https://opennet.ru/64077/