embed .net, decrypt, load and execute in nim poc

https://gist.github.com/ChoiSG/2caf1c492fda7480e4faa0651ce8fedb

Reversing in action: Golang malware used in the SolarWinds attack

part1
https://www.youtube.com/watch?v=_cL-OwU9pFQ

part2
https://www.youtube.com/watch?v=YRqTrq11ebg

This repository contains Python scripts mainly written for malware research purposes
https://github.com/fboldewin/misc_malware

Cloud Native Live: Hacking Kubernetes – Using fileless malware to breach K8s, bypassing common security tools and stealing your secrets

https://www.cncf.io/online-programs/this-week-in-cloud-native-hacking-kubernetes-using-fileless-malware-to-breach-k8s-bypassing-common-security-tools-and-stealing-your-secrets/


упоминание в подкасте

https://thecyberwire.com/podcasts/research-saturday/177/notes

Wireshark Workshop

https://unit42.paloaltonetworks.com/wireshark-workshop-videos/

Offensive WMI - Reconnaissance & Enumeration (Part 4)

https://0xinfection.github.io/posts/wmi-recon-enum/

Full DLL Unhooking with C++

https://www.ired.team/offensive-security/defense-evasion/how-to-unhook-a-dll-using-c++

Если есть:
1. прямой доступ к системе (445 open)
2. File upload

Можете загрузить scf файл и словить ntlm хеш с помощью responder.

#smb #responder #windows #redteam

https://pentestlab.blog/2017/12/13/smb-share-scf-file-attacks/

ура осень пришла

Иногда надо погуглить статьи по конкретной АПТ группе||семейству малваре и из-за бурной фантазии авторов названий, гугл выдает всякую дичь. Чуваки замутили кастомный гугл поиск по всему, что связано с малварями (ссылка)

Можно взять исходник и дописать туда свои часто посещаемые блоги/сайты/тд

Слева - результат кастомного гугл поиска, справа - обычный

даже вот так может

Module Stomping, No New Thread, HellsGate syscaller, UUID Dropper for x64 Windows 10

https://github.com/boku7/Ninja_UUID_Dropper

Если необходимо автоматизировать добавление бинарного ресурса в уже скомпилированный бинарник, самый простой способ - это воспользоваться ResourceHacker

ResourceHacker.exe -open "C:\targetBinary.exe" -save "C:\result.exe" -action addoverwrite -res .\payload -mask RCDATA,ResName,

*самое главное здесь, чтобы "payload" был без расширения, иначе не получится

Mobile Malware Mimicking Framework на blackhat интересная вещь, автор сказал "The full source code, documentation, and guidance will be published in due time. ", так что будем ждать лол

Interested in disabling DEP in Windows using ROP? Our new post is ready! We explain how to use the new version of our ROP3 tool at https://reversea.me/index.php/disabling-dep-in-windows-7-using-rop3/, do not miss it! Thanks to @ricardojrdez for the contribution ❤️

Resources To Learn And Understand SIGMA Rules

https://github.com/nasbench/SIGMA-Resources

VB2021 localhost Day #1 live track

https://www.youtube.com/watch?v=PAG3M7mWT2c&t=13229s

2 tools for extracting the decimal values from macro sheet and the decoder to string Passwords for the two file is "clean'

https://github.com/PCsXcetra/Xlsm-Data-Extraction

malware sample feeds (new links)

URLhaus
MalwareBazaar