Forwarded from Cybred
Living Off the Living Off the Land
Сборник всех сайтов, которые посвящены "жизни за счет земли" или процессу, суть которого — заиспользовать легитимные ресурсы, чтобы особо не палиться и злоупотребить ими.
О GTFOBins и LOLBAS вы уже наверняка все знаете, но возможности выходят далеко за их пределы. Все, что перечислено ниже, можно использовать в своих атаках, — вполне успешно и скрытно.
Сборник всех сайтов, которые посвящены "жизни за счет земли" или процессу, суть которого — заиспользовать легитимные ресурсы, чтобы особо не палиться и злоупотребить ими.
О GTFOBins и LOLBAS вы уже наверняка все знаете, но возможности выходят далеко за их пределы. Все, что перечислено ниже, можно использовать в своих атаках, — вполне успешно и скрытно.
Классический LoTL:
— LOLBAS project — Windows
— GTFOBins — Linux
— LOOBins — MacOS
Extended LoTL:
— LOLAPPS — LoTL для 3th-party приложений, таких как VS Code и Discord
— Living Off The Land Drivers — драйвера для обхода средств безопасности и проведения атак
— LOTP — неочевидный RCE-By-Design в CLI-утилитах для разработки
— HijackLibs — проверенный список кандидатов для DLL Hijacking
Администрирование и виртуализация:
— LOLRMM — утилиты удаленного мониторинга и управления
— LOLESXi — скрипты и бинари из VMware ESXi
— LOFL — тактика, позволяющая не запускать бинари на скомпрометированных машинах, о которой я писал тут
Проекты от mrd0x:
— LOTS Project — легитимные сайты для фишинга и эксфильтрации
— MalAPI.io — список WinAPI-функций для Enumeration/Injection/Evasion
— FILESEC.IO — все типы файлов, которые могут быть полезны при атаках
Blue Team:
— WTFBin — GTFOBins и LOLBAS, но для синей команды и написания правил обнаружения
— bootloaders.io — курируемый список известных бутлоадеров
— LoLCerts — фингерпринты ликнутых сертификатов для подписи приложений, которые когда-либо утекали у крупных вендоров
— LOLBins CTI-Driven — наглядный MindMap с APT и компаниями, в которых участвовали те или иные бины
Другое:
— persistence-info — полусотня способов закрепиться в Windows
— LOTHardware — "железо", которое можно использовать для Red Team
— BYOL — пару слов о LoTL от Mandiant
— WADComs — интерактивная шпаргалка с готовыми командами для атак на AD
👍10🔥3❤1
Forwarded from AD_POHEQUE
Как злоупотребить легитимным функционалом и превратить его в свою точку опоры.
Примеры команд, коротко и по делу.
Подписывайся на @ad_poheque, чтобы быть в курсе актуальных методов взлома! 👾
👾 ЖМИ СПЕЙСИНВЕЙДЕРА 👾
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5
Честно сказать, я слегка удивился стоимости 30к за этот девайс.
Вспомнилось мне, что без дела и абсолютно не интересный мне флиппер лежит в шкафу.
Собственно вот, отдам флиппер (чуть чуть поцарапался пластик над экраном) в хорошие руки с пересылкой по РФ тому кто назовёт максимальное количество рабочих утилит и сервисов для туннелинга (ngrok, zrok, chisel и тд).
Писать в бота @flipper_zer0_bot
форматом:
название - линк
итоги подведу 18 ноября. 😜
P.S. не нужно отправлять результаты работы нейронок))) еще и с нерабочими линками
😁11👍7👏4❤1
Конкурс закончен, Artur Lukianov отпишите в личку.
Кто то присылал все что можно было получить через chatgpt, не проверяя что шлет....
Кто то присылал все что можно было получить через chatgpt, не проверяя что шлет....
😁7🔥2👍1
Forwarded from Хатка бобра
В этом посте кратко познакомимся с инструментом atexec-pro (https://github.com/Ridter/atexec-pro). Позволяет выполнять команды (в том числе powershell), загружать-скачивать файлы и выполнять .NET в памяти. Для последних трех ограничение в размере - 1 МБ.
Atexec-pro под капотом использует сервис TSCH против привычного ATSVC и работает через TCP (т.е. пайпы не используем). На мой взгляд примечательно то, что в своей работе он файловую систему практически не трогает (кроме создания самой таски), но при этом позволяет получать нам вывод. Обычно подобные инструменты для этих целей используют промежуточный файл на диске, который затем удаляют (atexec, smbexec, wmiexec). AtExec-pro же для хранения вывода команды использует описание задачи :)
Давайте разберем принцип выполнения отдельной произвольной команды в этом инструменте:
1) Формируются рандомное имя задачи (состоит из 8 символов [A-Za-z]) и рандомный ключ
2) Команда, которую мы хотим исполнить шифруется этим ключом (AES) и в дальнейшем будет записана в описание задачи, думаю этим и вызван максимальный размер.
3) Далее берется шаблон PS скрипта, в нём мы указываем ключ из шага 1, который предварительно конвертировали в base64, и указываем имя задачи. В случае обычной команды это будет https://github.com/Ridter/atexec-pro/blob/main/libs/powershells/cmd.ps1. Сам скрипт по имени задачи дергает описание, расшифровывает его, выполняет команду и далее обновляет описание с выводом этой команды.
4) Далее полученный PS скрипт переводим в base64. Этот скрипт будем выполнять в самой задаче при выполнении через
5) Создаём задачу и запускаем её.
6) Далее в цикле дергаем задачу, ждём её остановки и забираем результат.
7) Удаляем задачу.
Что в итоге имеем на хосте?
Событие 4698 на создание задачи (будет в Action команда powershell.exe -NonInteractive -enc <...>)
События 4688 на запуск процесса
Событие 4104 на выполнение скрипта powershell
Событие 4702 на обновление задачи после выполнения команды (запись вывода)
Событие 4699 на удаление задачи
Наибольшую ценность в плане детекта имеют события 4698 и 4104.
4698 содержит описание созданной задачи, в ней мы можем зацепиться за фиксированное для atexec и atexec-pro строку
4104 в данном случае будет содержать переведенную из Base64 строку (то есть не обфусцированную), именно в ней можно увидеть ранее рассмотренный выше шаблон с заполненными полями. 4104 включается через Script Block Logging, если явно он не включен, то будет логироваться через AMSI (будет логировать только подозрительные на своё усмотрение в журнал Powershell/Operational). На основе этого события можно надергать ключевых элементов для детекта из поля script_block_text.
Если у вас используются RPC-фильтры, то действуем аналогично SCShell (https://t.me/beaverdreamer/169), в данном случае у сервиса UUID 86D35949-83C9-4044-B424-DB363231FD0C.
#rpc #atexec #schtasks
Atexec-pro под капотом использует сервис TSCH против привычного ATSVC и работает через TCP (т.е. пайпы не используем). На мой взгляд примечательно то, что в своей работе он файловую систему практически не трогает (кроме создания самой таски), но при этом позволяет получать нам вывод. Обычно подобные инструменты для этих целей используют промежуточный файл на диске, который затем удаляют (atexec, smbexec, wmiexec). AtExec-pro же для хранения вывода команды использует описание задачи :)
Давайте разберем принцип выполнения отдельной произвольной команды в этом инструменте:
1) Формируются рандомное имя задачи (состоит из 8 символов [A-Za-z]) и рандомный ключ
2) Команда, которую мы хотим исполнить шифруется этим ключом (AES) и в дальнейшем будет записана в описание задачи, думаю этим и вызван максимальный размер.
3) Далее берется шаблон PS скрипта, в нём мы указываем ключ из шага 1, который предварительно конвертировали в base64, и указываем имя задачи. В случае обычной команды это будет https://github.com/Ridter/atexec-pro/blob/main/libs/powershells/cmd.ps1. Сам скрипт по имени задачи дергает описание, расшифровывает его, выполняет команду и далее обновляет описание с выводом этой команды.
4) Далее полученный PS скрипт переводим в base64. Этот скрипт будем выполнять в самой задаче при выполнении через
powershell -enc.5) Создаём задачу и запускаем её.
6) Далее в цикле дергаем задачу, ждём её остановки и забираем результат.
7) Удаляем задачу.
Что в итоге имеем на хосте?
Событие 4698 на создание задачи (будет в Action команда powershell.exe -NonInteractive -enc <...>)
События 4688 на запуск процесса
Событие 4104 на выполнение скрипта powershell
Событие 4702 на обновление задачи после выполнения команды (запись вывода)
Событие 4699 на удаление задачи
Наибольшую ценность в плане детекта имеют события 4698 и 4104.
4698 содержит описание созданной задачи, в ней мы можем зацепиться за фиксированное для atexec и atexec-pro строку
<StartBoundary>2015-07-15T20:35:13.2757294</StartBoundary> в поле TaskContent.4104 в данном случае будет содержать переведенную из Base64 строку (то есть не обфусцированную), именно в ней можно увидеть ранее рассмотренный выше шаблон с заполненными полями. 4104 включается через Script Block Logging, если явно он не включен, то будет логироваться через AMSI (будет логировать только подозрительные на своё усмотрение в журнал Powershell/Operational). На основе этого события можно надергать ключевых элементов для детекта из поля script_block_text.
Если у вас используются RPC-фильтры, то действуем аналогично SCShell (https://t.me/beaverdreamer/169), в данном случае у сервиса UUID 86D35949-83C9-4044-B424-DB363231FD0C.
#rpc #atexec #schtasks
GitHub
GitHub - Ridter/atexec-pro: Fileless atexec, no more need for port 445
Fileless atexec, no more need for port 445. Contribute to Ridter/atexec-pro development by creating an account on GitHub.
С наступающим новым годом. Работы было много, времени для постов мало, извините:)
Будьте здоровы и счастливы. 🍾🍾🍾
Будьте здоровы и счастливы. 🍾🍾🍾
🔥31
Давно ничего не писал, много работы и всяких забот.
Кто знает меня давно, в курсе про моё резко негативное отношение к баг баунти... Но случилось то что случилось, в конце прошлой недели с ребятами залетели на бб по недопустимым событиям где нужно заниматься взломом, а не дрочью клиент сайд уязвимостей. Новая тема называется кибериспытаниями.
За несколько дней взяли две инфраструктуры и реализовали недопустимые события. Эмоции после участия в таком движе очень положительные, есть ощущение что ты делаешь реально полезное дело за адекватные деньги (1 млн за реализацию недопустимого события).
Так как тема новая, есть достаточное количество косяков и непонимания своих нсов со стороны заказчиков. Будем надеяться что тема взлетит, все не скатится в багбаунти, безопасность восторжествует. Ждем новые программы и адекватные НС(не как у позитива). Аминь.
Кто знает меня давно, в курсе про моё резко негативное отношение к баг баунти... Но случилось то что случилось, в конце прошлой недели с ребятами залетели на бб по недопустимым событиям где нужно заниматься взломом, а не дрочью клиент сайд уязвимостей. Новая тема называется кибериспытаниями.
За несколько дней взяли две инфраструктуры и реализовали недопустимые события. Эмоции после участия в таком движе очень положительные, есть ощущение что ты делаешь реально полезное дело за адекватные деньги (1 млн за реализацию недопустимого события).
Так как тема новая, есть достаточное количество косяков и непонимания своих нсов со стороны заказчиков. Будем надеяться что тема взлетит, все не скатится в багбаунти, безопасность восторжествует. Ждем новые программы и адекватные НС(не как у позитива). Аминь.
👍19🔥13🥰4❤2👏1😁1
нашел и решил написать про небольшую фичу (lpe) в BitrixVM:
https://telegra.ph/bitrixvm-lpe-iz-korobki-02-21
https://telegra.ph/bitrixvm-lpe-iz-korobki-02-21
Telegraph
bitrixvm lpe из коробки
Слово bitrix уже как 3 года в переводе с молдаванского означает рукалицо. Сегодня расскажу вам про интересную фичу bitrixvm. Возможно кто то из вас с этим сталкивался, для меня это было новым. После получения доступа к серверу с bitrix мы обычно имеем права…
👏11👍6❤1🔥1
https://t.me/detectioneasy классный канал про обнаружение
Telegram
Detection is easy
chat: https://t.me/+BF4T6DOGv_UwYTBi
contact: @siemmanager
email: manager@detectioneasy.ru
contact: @siemmanager
email: manager@detectioneasy.ru
❤5👍5
В последнее время стали пугать страшными уязвимостями с утечками ntlm хэшей. Не совсем понятно с чем связана эта истерия, жили же до этого как то.... По следам уже нашумевшей по всем иб чатикам CVE-2025-24071 (с рейтингом аж целых 7.5) ловите видос от меня с очередным "зиродеем" ntlm hash leak через lnk файл. Этого добра в винде навалом
🔥8❤1
Forwarded from Detection is easy
Q12025 @detectioneasy.pdf
71.6 MB
Всем привет!) ✌️ 💻
Оформил результаты публикаций за Q1 в небольшой журнал) надеюсь понравится
Оформил результаты публикаций за Q1 в небольшой журнал) надеюсь понравится
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤1👎1
По следам подмены файлов при обновлении на vipnet клиентах (пост), про уязвимости dll hijacking захотелось написать. Что это и с чем это едят можно прочитать тут и просто в гугле. Проблемы с подменой dll есть не только у vipnet, проблемы у многих вендров поИБэ. Примеры на скринах с уязвимыми подписанными бинарями: Клиент VPN Код Безопасности, EDR агент Positive Technologies, антивирус Dr.Web...Ну и чтобы не кукарекали про Российское горе ИБ....checkpoint там же. Проблема намного больше чем кажется...
🔥16❤3👍3👏3
Forwarded from BritLab
Утечка данных у системного интегратора: как НЕ надо работать с SIEM
Хотите знать, как НЕ надо работать с данными? Сегодня у нас поучительная история об одном системном интеграторе (название опустим из этических соображений), который специализируется на:
1️⃣ Защите информации
2️⃣ Интеграции и оптимизации бизнес-процессов
3️⃣ Полном цикле техподдержки
Дела у компании, видимо, настолько прекрасны, что сотрудники решили добавить щепотку экстрима в рутину кибербезопасности и настроили алерты из SIEM прямиком в Telegram 🫡.
Что публиковалось?
🔸 IP-адреса + FQDN хостов
🔸 Имена учетных записей
🔸 Даты инцидентов + их описание
🔸 Ссылки на инциденты
Что пошло не так?
Вместо приватного чата оповещения прилетали в ПУБЛИЧНУЮ группу, которая и привлекла внимание BritLab.
Что было дальше?
1️⃣ После обнаружения утечки в группу было отправлено предупреждение о том, что группа публичная и её содержимое может увидеть любой пользователь сети + рекомендации (см. скрин).
2️⃣Через минуту аккаунт, отправивший предупреждение, заблокировали.
3️⃣Ещё через минуту группу сделали приватной (или удалили).
Вывод
Берегите свои данные, особенно если работаете в сфере ИБ и отвечаете не только за себя, но и за клиентов! Клиенты доверяют вам данные, а не право на слив в публичные чаты.
Если вы обнаружите подобные утечки, не забывайте сразу сообщать о них администраторам каналов.
@ru_vm #BritLab #УтечкаДанных #InfoSec
Хотите знать, как НЕ надо работать с данными? Сегодня у нас поучительная история об одном системном интеграторе (название опустим из этических соображений), который специализируется на:
1️⃣ Защите информации
2️⃣ Интеграции и оптимизации бизнес-процессов
3️⃣ Полном цикле техподдержки
Дела у компании, видимо, настолько прекрасны, что сотрудники решили добавить щепотку экстрима в рутину кибербезопасности и настроили алерты из SIEM прямиком в Telegram 🫡.
Что публиковалось?
🔸 IP-адреса + FQDN хостов
🔸 Имена учетных записей
🔸 Даты инцидентов + их описание
🔸 Ссылки на инциденты
Что пошло не так?
Вместо приватного чата оповещения прилетали в ПУБЛИЧНУЮ группу, которая и привлекла внимание BritLab.
Что было дальше?
1️⃣ После обнаружения утечки в группу было отправлено предупреждение о том, что группа публичная и её содержимое может увидеть любой пользователь сети + рекомендации (см. скрин).
2️⃣Через минуту аккаунт, отправивший предупреждение, заблокировали.
3️⃣Ещё через минуту группу сделали приватной (или удалили).
Вывод
Берегите свои данные, особенно если работаете в сфере ИБ и отвечаете не только за себя, но и за клиентов! Клиенты доверяют вам данные, а не право на слив в публичные чаты.
Если вы обнаружите подобные утечки, не забывайте сразу сообщать о них администраторам каналов.
@ru_vm #BritLab #УтечкаДанных #InfoSec
🔥11👏3❤1😁1