название каждой главы как вид искусства. Оценка критичности и стоимости активов через ransomware )))

Риторический вопрос, зачем Тензор (сбис) при установке своих продуктов добавляет каталоги и бинари в исключения Defenderа?
powershell -executionpolicy bypass -command add-MpPreference -ExclusionPath C:\Program Files (x86)\Tensor Company Ltd\Saby Plugin\sbis3plugin.exe

powershell.exe -NonInteractive -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath 'C:\Program Files (x86)\СБИС Престо'"

powershell -executionpolicy bypass -command add-MpPreference -ExclusionPath '%ProgramData%\Sbis3Plugin

В связи с повышением стоимости утечек ПДН... срочно разыскиваю сотрудников ИБ ФССП РФ или же их куратора.

Решил раскрыть небольшой набег на сервис туннелинга
https://telegra.ph/dzhihad-v-trube-06-21

сижу ломаю голову по поводу CVE-2025-49144, тестирую и думаю откуда там возьмется system? мы сами запускаем бинарь от имени администратора и дочерний бинарь regsvr32.exe так же будет запущен от имени пользователя с привилегиями админа...откуда system? Тестил кто? как из админа в system попасть понятно, но так как описывают сразу в system вроде не получается? с чего это вообще lpe если мы запускаем от имени админа (binary planting чистой воды)?

вот вам тоже страшный страшный зирозирозироудей lpe в rustdesk.exe который ищет cmd.exe рядом с собой (..\AppData\Local\rustdesk\cmd.exe). Если запустите rustdesk от system то cmd.exe точно запустится от system))))

посвящается LPE CVE-2025-49144 и другим подобным

Хорошо что не 200

Chatgpt советует правильные методы проверки наличия sql injection. Дропнуть таблицу users....
беды ждут chatgpt пентестеров:)))

Всем привет!

Сегодня мы рассмотрим технику OS Credential Dumping: NTDS (T1003.003). Уверен, вы видели, как злоумышленники используют esentutl для получения копии NTDS.dit, но что насчёт wbadmin?

Думаю, вы видели много отчётов о недавних атаках с использованием программы-вымогателя Akira, связанных с SonicWall. Согласно этому отчёту, злоумышленник использовал wbadmin для выгрузки NTDS.dit, а также файлов реестра SYSTEM и SECURITY:

"C:\Windows\system32\wbadmin.exe" start backup -backupTarget:\\localhost\c$\ProgramData\ -include:C:\Windows\NTDS\NTDS.dit C:\Windows\System32\config\SYSTEM C:\Windows\System32\config\SECURITY -quiet

Если мы хотим найти попытки выгрузки NTDS.dit, можем использовать следующий запрос:

event_type: "processcreatewin"

AND

proc_file_path: "wbadmin.exe"

AND

cmdline: "ntds.dit"

Увидимся завтра!

English version

боролись с мошенниками...боролись и заборолись )) скам через max уже тут, тот самый безопасный max =/

Чтение sam/system/... прямым чтением с диска
https://github.com/Workday/raw-disk-parser

Даже интересно, насколько это правда....должен быть самый большой оборотный траф (штраф):)))

ну комменты как бы говорят сами за себя)))) походу очередной взлом кремля (https://t.me/true_sec/133)

Давно не писал — работа, работа.

Наткнулся на одну штуку (https://github.com/craviee/zabbix-temperature-monitor-windows) и решил написать про персист через неё. Часто Zabbix-агенты используются с каким-то дополнительным ПО; это дополнительное ПО, так же как и агент на Windows, зачастую запускается от имени SYSTEM.
Утилита OpenHardwareMonitor используется для сбора метрик о состоянии железа и отлично подходит под DLL-hijacking. Подробности — на скрине: пути, куда можно положить DLL c именем atiadlxx.dll и оставаться в закрепе от SYSTEM (все пути из $PATH).