Похек
16.3K subscribers
2.3K photos
117 videos
243 files
3.21K links
All materials published on the channel are for educational and informational purposes only.

Мнение автора ≠ мнение компании, где работает автор

Чат: @poxek_chat

Реклама: @szybnev или
https://telega.in/c/poxek

РКН: https://clck.ru/3FsVhp
Download Telegram
LegacyHive: новый Windows 0-day или обход старой защиты?

Nightmare Eclipse опубликовал LegacyHive — PoC для Windows User Profile Service (ProfSvc), заставляющий службу загрузить чужой реестровый hive UsrClass.dat. Автор заявляет, что техника работает на всех поддерживаемых версиях Windows с обновлениями за июль 2026 года.

Цепочка требует учетные данные второго стандартного пользователя и имя третьего аккаунта-цели, которым может быть администратор. PoC меняет в NTUSER.DAT второго аккаунта значение Local AppData, направляя его в \\.\globalroot\BaseNamedObjects\Restricted. Затем он создает символические ссылки Object Manager, ставит batch oplock на копию UsrClass.dat и вызывает CreateProcessWithLogonW с LOGON_WITH_PROFILE. Когда ProfSvc открывает hive, oplock дает окно для переключения пути на каталог цели. Результат проверяется через RegOpenUserClassesRoot.

Механизм напоминает CVE-2015-0004: тогда junction-атака также позволяла ProfSvc загрузить UsrClass.dat другого пользователя. Microsoft закрыла тот вариант проверками доступа к NTUSER.DAT и UsrClass.dat; LegacyHive, судя по коду, обходит эту защиту через пространство имен Object Manager и гонку на oplock.

Но подтвержденным 0-day это пока не стало. У находки нет CVE, advisory MSRC или независимой технической валидации - и вряд ли он её получит понимая что у него с Microsoft очень натянутые и такие, около судебные отношения.

Блю тиму стоит отслеживать изменения User Shell Folders\Local AppData, объекты в \BaseNamedObjects\Restricted, oplock вокруг UsrClass.dat и нетипичные загрузки профилей. Основная зона риска — RDS-хосты и другие многопользовательские Windows-системы.

🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥4❤‍🔥2
Forwarded from DUCKERZ
На 1️⃣2️⃣3️⃣4️⃣5️⃣6️⃣7️⃣ открылась регистрация на Пляжный сезон!

Пляжный сезон стартует на нашей платформе уже 2 августа и продлится до 31 августа. Этот сезон пройдёт в формате турнира на выбывание с дуэлями 1 на 1.

Регистрация участников на основной этап сезона будет открыта в течение недели, с 15.07 по 22.07. На основании заявок будет отобрано 16 человек, которые будут участвовать в турнире. Все дуэли будут проходить в прямом эфире, участники будут решать задания в реальном времени и транслировать экран, а ведущие комментировать происходящее.

Для участников, не прошедших отбор, а также пользователей платформы, не подававших заявку, во время сезона будут выложены отдельные задания, анонс которых будет проходить на стримах. За решение этих заданий предусмотрен отдельный призовой фонд.

Спонсором сезона выступает 🐂 BI.ZONE Bug Bounty

Призы за турнир:
🐥1 место – мерч от BI.ZONЕ Bug Bounty и секретный суперприз
🐥2 место – мерч от BI.ZONЕ Bug Bounty и DUCKERZ
🐥3 место – мерч от BI.ZONЕ Bug Bounty

Призы за сезонные задания:
🐥 1-3 место – мерч от BI.ZONЕ Bug Bounty

Подать заявку на участие:
👉 Регистрация 👈

🐥 Канал | 🐥 Чат | 🐥 Платформа | 🐂 Спонсор сезона
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍5
RATON RAT: комбайн из стилера, RAT и вымогателя в одном .NET-файле

Decoda Labs разобрала образец RATON RAT. Это .NET-ратник под .NET Framework 4.7.2, которая, судя по всему упаковывает зависимости через Costura.Fody и оставляет на диске один исполняемый файл вместо набора библиотек.

Набор заявленных команд чрезмерно широк: сбор паролей и cookie из Chrome, Edge, Firefox, Brave и Opera, Discord-токены, RDP-учётные данные, кошельки и игровые аккаунты; кейлоггер, снимки экрана, микрофон, буфер обмена; HTTP/SOCKS5-прокси, DDoS, закрепление через Run-ключи и задачи планировщика. В образце также найдены строки, указывающие на шифрование файлов и мини-игру «Сапёр» с угрозой удаления данных при проигрыше.

Но это именно карта возможностей, а не подтверждение каждой ветки. Например, клиппер криптовалютных адресов выводится по строкам и Base58-алфавиту: логику подмены адресов исследователи не восстановили. Признаки process hollowing, скрытого рабочего стола и обхода UAC выглядят убедительно, но для части из них Decoda прямо оставляет статус гипотезы.

Для детектирования здесь полезнее поведенческие сигналы, чем имя семейства: прямое чтение SQLite-баз браузеров, создание задач с /sc ONLOGON и /rl HIGHEST, записи в Run-ключи, отключение Defender, обращение к C:\ChromeAutomationData и аналогичным каталогам. В статье также приведён жёстко зашитый IP 89[.]125[.]120[.]77; его роль не подтверждена, поэтому блокировать индикатор стоит после проверки в своей телеметрии.

🌚 @poxek | 🌚 @poxek_ai | 📲MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
4
Лето CyberCamp 2026

Выступил на главной сцене на тему ИИ для red team и blue team
🔥22👍2
This media is not supported in your browser
VIEW IN TELEGRAM
Первый менеджер паролей с сертификатом ФСТЭК России

Персональные данные, финансовая документация, доступы к инфраструктуре — ошибки стоят слишком дорого. За выбором решения для защиты стоят репутация компании и её будущее.

Пассворк наводит порядок в доступах: централизует их, позволяет безопасно делиться и гибко настраивать права. Устанавливается на ваших серверах или в облаке.

30 апреля Пассворк стал первым менеджером паролей с сертификатом ФСТЭК по 4-му уровню доверия — наивысшему для коммерческого ПО.

Для госсектора это легальная возможность закрыть требования регуляторов, а для бизнеса — железный аргумент для руководства и ИБ-службы при выборе решения.

Пассворк — основа информационной безопасности.

Протестировать можно бесплатно
Подробнее о сертификате
#реклама
О рекламодателе
😁1621
Анализ исходного кода, глазами пентестера
#appsec #pentest

В тестировании с доступом к репозиторию код не заменяет динамическую проверку. Он сокращает путь к тем местам, которые плохо видны извне: альтернативным обработчикам запросов, фоновой обработке данных, неявным границам доверия и разрозненным проверкам прав.

Практичный порядок работы выглядит так:

1. Запустить один широкий SAST-анализ, исключив зависимости, сгенерированный код и тестовые данные.
2. Разобрать только релевантные сигналы: найти точку входа, проследить значение до опасной операции и проверить валидацию, экранирование или контроль доступа по пути.
3. Подтвердить важные цепочки в работающем приложении либо явно зафиксировать ограничение среды.

Это особенно полезно для инъекций, операций с файлами и десериализацией, хранения секретов, контроля прав и бизнес-процессов. Но строка из отчета SAST сама по себе не является находкой: она может относиться к тесту, недостижимому пути или безопасной обертке. В отчет должны попадать только доказуемые цепочки с понятным эффектом и конкретным местом для исправления.

Главный результат анализа кода - не больше алертов, а меньше неопределенности и более точные предложения к исправлению уязвиостей. Хорошая находка отвечает на четыре вопроса: откуда пришли данные, как они достигли опасного участка, что реально получит атакующий и какой контроль нужно добавить или исправить.

🌚 @poxek | 🌚 @poxek_ai | 📲MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
31