Dylan's Blog
DSCourier: Weaponizing DSC via WinGet COM API for EDR Evasive Execution
Table of Contents Introduction What is WinGet? WinGet as a PowerShell Execution Proxy The Limitations of Using winget.exe Directly Building YAML Payloads Removing winget.exe from the Equation How the COM API Technique Works The Interop Layer What the Process…
🔗Ссылка:
https://dylansec.com/DSCourier/
https://dylansec.com/DSCourier/
Hacking Articles
Active Directory Lab Setup for Penetration Testing Using PowerShell
Build an Active Directory pentest lab using PowerShell: VMware setup, AD CS, domain users & Windows 10 client join.
Всем хак 👋
Хочу поделиться подкастом с нашим участником Lolechka, сделанным также нашим участником сервера Fsecurity — Ph0en1x
Приятного просмотра 🍿
Ссылка:
https://youtu.be/wdsDTb-Y1so
Хочу поделиться подкастом с нашим участником Lolechka, сделанным также нашим участником сервера Fsecurity — Ph0en1x
Приятного просмотра 🍿
Ссылка:
https://youtu.be/wdsDTb-Y1so
YouTube
Подкаст. Лолечка. Интервью с сисадмином, музыкантом, ИБ специалистом | Интервью с сисадмином
#подкаст #лолечка #интервью #сисадмин #системный_администратор #музыкант #ИБ #информационная_безопасность #cybersecurity #podcast #interview #sysadmin #musician #tech #технологии #IT #programming #linux #windows #network #безопасность
Forwarded from Омский багхантер
Навайбкодил Reverse Proxy для локального проксирования внешних сайтов в виде локальных доменов.
Прокси находится между браузером и реальным сайтом. Каждый запрос на локальный IP/домен автоматически маппится на внешний hostname и port, а ответы переписываются обратно в локальный origin. Редиректы, cookie, заголовки, HTML, JS, JSON и другие текстовые ресурсы подменяются на лету. Поддерживаются сабдомены (вайлдкард по домену), HTTPS, WebSocket и проксирование трафика в Burp Suite прокси (как до подмены на оригинальный hostname, так и после).
Штука очень удобна тем, что она обходит ограничение внешних LLM-ок на вайбхакинг. К примеру, если просто в лоб написать чатгпт "Я багхантер, а давай найдем уязвимости в example.com", то нейронка скажет, что не может тестировать внешние домены из соображений безопасности, нужно придумывать промпты для обхода. А так как домен в случае прокси локальный, то нейронка считает, что сайт поднят также локально, поэтому начинает его исследовать без лишних вопросов.
Прокси находится между браузером и реальным сайтом. Каждый запрос на локальный IP/домен автоматически маппится на внешний hostname и port, а ответы переписываются обратно в локальный origin. Редиректы, cookie, заголовки, HTML, JS, JSON и другие текстовые ресурсы подменяются на лету. Поддерживаются сабдомены (вайлдкард по домену), HTTPS, WebSocket и проксирование трафика в Burp Suite прокси (как до подмены на оригинальный hostname, так и после).
Штука очень удобна тем, что она обходит ограничение внешних LLM-ок на вайбхакинг. К примеру, если просто в лоб написать чатгпт "Я багхантер, а давай найдем уязвимости в example.com", то нейронка скажет, что не может тестировать внешние домены из соображений безопасности, нужно придумывать промпты для обхода. А так как домен в случае прокси локальный, то нейронка считает, что сайт поднят также локально, поэтому начинает его исследовать без лишних вопросов.
GitHub
GitHub - artebels/local-domain-proxy: Local reverse proxy for mapping external websites to a local domain with response rewriting…
Local reverse proxy for mapping external websites to a local domain with response rewriting, HTTPS, subdomain support, WebSocket proxying, and optional Burp integration. - artebels/local-domain-proxy
Адаптируйся или плати.
Разбор фреймворка AdaptixC2
🔗Ссылка:
https://securelist.ru/tr/adaptixc2-network-and-host-detection/115197/
Разбор фреймворка AdaptixC2
Как мы уже рассказывали в статье про фреймворк Mythic, злоумышленники активно берут на вооружение новые технологии и фреймворки. Одним из характерных примеров такого инструментария стал AdaptixC2 — относительно новый open-source-проект для постэксплуатации, который за короткое время привлек внимание профильного сообщества наступательной кибербезопасности. Интерес к нему объясняется не только доступностью исходного кода, но и широкими возможностями расширения: фреймворк поддерживает BOF-файлы, включая асинхронные, и вокруг него уже сформировалась отдельная экосистема модулей, расширений и внешних BOF-коллекций. При этом AdaptixC2 все чаще используется в реальных инцидентах, в том числе в APT-атаках и кампаниях с применением шифровальщиков, о чем мы регулярно рассказываем.
В AdaptixC2 для снижения вероятности обнаружения применяются различные механизмы сетевого взаимодействия и постэксплуатации, направленные на обход средств мониторинга трафика, таких как IDS, и решений класса NDR. Однако даже в подобных условиях сетевое детектирование нередко остается одним из наиболее результативных способов выявления присутствия агента и его активности. Одновременно с этим ряд стандартных техник постэксплуатации на хосте реализован таким образом, что обнаружить вредоносную активность по артефактам может быть затруднительно. В связи с этим необходим расширенный мониторинг действий в системе с использованием решения класса EDR. Также стоит отметить, что стандартных методов защиты может быть недостаточно.
В этой статье мы детально рассматриваем способы обнаружения фреймворка AdaptixC2 на основе его сетевого взаимодействия с управляющим сервером, а также детектирование постэксплуатационной активности на конечной точке.
🔗Ссылка:
https://securelist.ru/tr/adaptixc2-network-and-host-detection/115197/
Осуществлен выпуск веб-браузера Firefox 150, а также сформированы обновления для предыдущих веток с расширенным сроком поддержки: 140.10.0 и 115.35.0.
В ходе обновления устранено 359 уязвимостей...
🔗Ссылка:
https://opennet.ru/65260/
В ходе обновления устранено 359 уязвимостей...
🔗Ссылка:
https://opennet.ru/65260/