Forwarded from Know Your Adversary
Всем привет!
Сегодня мы рассмотрим технику OS Credential Dumping: NTDS (T1003.003). Уверен, вы видели, как злоумышленники используют
Думаю, вы видели много отчётов о недавних атаках с использованием программы-вымогателя Akira, связанных с SonicWall. Согласно этому отчёту, злоумышленник использовал
Если мы хотим найти попытки выгрузки
Увидимся завтра!
English version
Сегодня мы рассмотрим технику OS Credential Dumping: NTDS (T1003.003). Уверен, вы видели, как злоумышленники используют
esentutl для получения копии NTDS.dit, но что насчёт wbadmin?Думаю, вы видели много отчётов о недавних атаках с использованием программы-вымогателя Akira, связанных с SonicWall. Согласно этому отчёту, злоумышленник использовал
wbadmin для выгрузки NTDS.dit, а также файлов реестра SYSTEM и SECURITY:"C:\Windows\system32\wbadmin.exe" start backup -backupTarget:\\localhost\c$\ProgramData\ -include:C:\Windows\NTDS\NTDS.dit C:\Windows\System32\config\SYSTEM C:\Windows\System32\config\SECURITY -quiet
Если мы хотим найти попытки выгрузки
NTDS.dit, можем использовать следующий запрос:event_type: "processcreatewin"
AND
proc_file_path: "wbadmin.exe"
AND
cmdline: "ntds.dit"
Увидимся завтра!
English version
👍5❤1
image_2025-08-19_11-24-19.png
94.2 KB
боролись с мошенниками...боролись и заборолись )) скам через max уже тут, тот самый безопасный max =/
😁10
Чтение sam/system/... прямым чтением с диска
https://github.com/Workday/raw-disk-parser
https://github.com/Workday/raw-disk-parser
GitHub
GitHub - Workday/raw-disk-parser: A tool to interact with Windows drivers to perform a raw disk read and parse out target files…
A tool to interact with Windows drivers to perform a raw disk read and parse out target files without calling standard Windows file APIs - Workday/raw-disk-parser
🔥1
Forwarded from Адовый UX
This media is not supported in your browser
VIEW IN TELEGRAM
Компания Мираторг запустила сервис по пробиву данных
😁59🔥8
ну комменты как бы говорят сами за себя)))) походу очередной взлом кремля (https://t.me/true_sec/133)
😁11🔥7
Давно не писал — работа, работа.
Наткнулся на одну штуку (https://github.com/craviee/zabbix-temperature-monitor-windows) и решил написать про персист через неё. Часто Zabbix-агенты используются с каким-то дополнительным ПО; это дополнительное ПО, так же как и агент на Windows, зачастую запускается от имени SYSTEM.
Утилита OpenHardwareMonitor используется для сбора метрик о состоянии железа и отлично подходит под DLL-hijacking. Подробности — на скрине: пути, куда можно положить DLL c именем atiadlxx.dll и оставаться в закрепе от SYSTEM (все пути из $PATH).
Наткнулся на одну штуку (https://github.com/craviee/zabbix-temperature-monitor-windows) и решил написать про персист через неё. Часто Zabbix-агенты используются с каким-то дополнительным ПО; это дополнительное ПО, так же как и агент на Windows, зачастую запускается от имени SYSTEM.
Утилита OpenHardwareMonitor используется для сбора метрик о состоянии железа и отлично подходит под DLL-hijacking. Подробности — на скрине: пути, куда можно положить DLL c именем atiadlxx.dll и оставаться в закрепе от SYSTEM (все пути из $PATH).
👍13🔥6
Forwarded from Cybred
🔥 10/10 React4shell
В официальном блоге React только что выкатили пост про CVE-2025-55182, которая позволяет в один запрос получить RCE. Уязвимы версии 19.0.0, 19.1.0, 19.1.1, 19.2.0, а еще фреймворки Next.JS, Vite, Parcel, и Waku.
Сам баг находится в RSC-рантайме, который принимает данные и небезопасно десериализует их. Запатчиться сейчас почти никто не успел, а уязвимость можно считать одной из самых критичных, которые находили в React за все время.
В официальном блоге React только что выкатили пост про CVE-2025-55182, которая позволяет в один запрос получить RCE. Уязвимы версии 19.0.0, 19.1.0, 19.1.1, 19.2.0, а еще фреймворки Next.JS, Vite, Parcel, и Waku.
Just when I thought the day was over… CVE-2025-55182 shows up 🫠
Сам баг находится в RSC-рантайме, который принимает данные и небезопасно десериализует их. Запатчиться сейчас почти никто не успел, а уязвимость можно считать одной из самых критичных, которые находили в React за все время.
react.dev
Critical Security Vulnerability in React Server Components – React
The library for web and native user interfaces
🔥2❤1
lpe через ненастроенный zabbix agent.
Если в файле конфигурации (zabbix_agentd.conf) в директиве Server указан адрес 127.0.0.1 (иногда его оставляют с реальным адресом zabbix server через запятую), то существует возможность локально через zabbix_get выполнять различные запросы к ОС.
В linux это, как правило, пользователь zabbix (а там иногда sudoers, запуски всяких bash скриптов и тп),
в Windows это system. А дальше уже смотрим приколы с ключами
проверил на большом количестве компаний, в 90% случаев запуск zabbix_agent в windows от "nt authority\система" или "nt authority\system".
примеры команд:
Если в файле конфигурации (zabbix_agentd.conf) в директиве Server указан адрес 127.0.0.1 (иногда его оставляют с реальным адресом zabbix server через запятую), то существует возможность локально через zabbix_get выполнять различные запросы к ОС.
В linux это, как правило, пользователь zabbix (а там иногда sudoers, запуски всяких bash скриптов и тп),
в Windows это system. А дальше уже смотрим приколы с ключами
проверил на большом количестве компаний, в 90% случаев запуск zabbix_agent в windows от "nt authority\система" или "nt authority\system".
примеры команд:
zabbix_get.exe -s 127.0.0.1 -k "system.run[whoami]"
zabbix_get.exe -s 127.0.0.1 -k "vfs.file.contents[C:\temp\test.txt]"
🔥11❤3