Codeby

​​SYSENTER – скрытый запуск Native-API Многоуровневое разграничение прав в системах класса Windows, накладывает свой отпечаток на систему безопасности в целом. Разработчикам логичней было создать один защитный пласт и закрыть его на большой замок, но они раскромсали его на мелкие части, в результате чего появилось множество дыр и обходных путей на разных уровнях. В данной статье рассматривается одна из таких лазеек, а точнее – скрытый запуск ядерных API-функций, что даёт возможность прямо под юзером обходить различные гуарды, мониторы безопасности, API-шпионы, антивирусы и прочие силовые структуры. Не сказать, что тема новая.. просто она незаслуженно забыта, и в силу своей сложности всё реже встречается в защитных механизмах наших дней. Читать: https://codeby.net/threads/sysenter-skrytyj-zapusk-native-api.75264/ #asm #sys #api

​Razer для повышения прав в Windows В Twitter был опубликован пост, раскрывающий уязвимость Razer Synapse. При подключении мыши или клавиатуры Razer к Windows 10 или Windows 11, ОС автоматически устанавливает на компьютер Razer Synapse. По словам компании, уязвимую программу используют более чем 100 миллионов пользователей. Эксперт обнаружил уязвимость нулевого дня в ПО Razer Synapse для получения привилегий SYSTEM. Привилегии SYSTEM дают полный контроль над системой. Эксперт написал об этом Razer, но так и не получив ответа, опубликовал свою находку в Twitter, подробно объяснив, как работает эта ошибка. Уязвимость заключается в указании пути для программы. При определённых действиях, диалоговое окно позволяет открыть PowerShell, который запускается с привилегиями SYSTEM. После того, как эта уязвимость привлекла широкое внимание в Twitter, компания Razer сообщила, что выпустит исправление. Источник #infosec #razer #exploit

​​Программирование HDD/SSD. Часть.2 – практика Прикладная программа общается с физ.устройством через его драйвер, т.к. запросы должны преодолеть запретную черту из юзера в кернел. Как-правило, одно устройство (в нашем случае диск) на разном уровне обслуживает сразу несколько связанных в цепочку драйверов – в литературе, эту цепочку назвали "стеком-драйверов". В то-же время, пользователь не может вызывать функции драйвера напрямую, поэтому система подключает посредников, в лице диспетчера ввода-вывода I/O Manager (по требованию юзера формирует пакеты запроса на ввод-вывод IRP), и диспетчера объектов Object Manager (прописывает символические ссылки на каждый из драйверов в системном пространстве имён). Читать: https://codeby.net/threads/programmirovanie-hdd-ssd-chast-2-praktika.74805/ #programming #asm #ioctl

​​​Пароли под защитой GPG Хранить пароли в гугл-хроме очень удобно. Можно залогиниться с любого устройства под своим аккаунтом и получить доступ ко всем сайтам и паролям. Круто? Круто. До тех пор, пока вы не поймаете стилер. Проприетарные менеджеры так же удобны. Но концепция хранения моих паролей где-то там, на каких-то серверах меня не впечатляет. А мы сегодня будем использовать связку gpg + pass + browserpass. Читать: https://codeby.net/threads/paroli-pod-zaschitoj-gpg.70288/ #gpg #pass #web

​😈 Постэксплуатация. Подборка инструментов.

🖖🏻 Приветствую тебя user_name.

• Эксплуатация представляет собой последовательность действий, которая помогает атакующему получить доступ к исследуемой системе, используя уязвимость или ошибку в настройках. • Постэксплуатация — это один из этапов взлома компьютерных систем, позволяющий собирать дальнейшую информацию о целевой системе, получить дальнейший доступ к сети и хранящимся данным. Фаза постэксплуатации позволяет идентифицировать такие вещи, как дополнительные подсети, маршрутизаторы, названия серверов, сетевых служб и установленных приложений. • Как известно, идеальных систем не бывает — всегда найдется уязвимое место, где можно закрепиться и продвинуться вглубь. Но если у тебя одна-единственная точка входа, то каждый твой шаг должен быть досконально продуман и каждое решение должно быть тщательно взвешено. • В этом посте я собрал для тебя подборку инструментов для постэксплуатации, описание каждого инструмента и всю необходимую информацию, ты найдешь перейдя по ссылке нужного инструмента: • 3snake • Apfell • Backdoorme • CatTails • Cloudy-kraken • Covenant • CrackMapExec • CredCrack • Creddump • DBC2 • DET • DNSlivery • Dnsteal • Empire • Enumdb • EvilOSX • Fireaway • FruityC2 • GetVulnerableGPO • Ghost In The Logs • HoneyBadger • HoneypotBuster • Iodine • Koadic • Mallory • Mimikatz • Mimikittenz • NoPowerShell • Orc • P0wnedShell • PacketWhisper • Paragon • Pivoter • Poet • PoshC2 • PowerOPS • ProcessHider • Pupy • Pwnat • Pypykatz • RedGhost • RemoteRecon • RottenPotatoNG • Rpc2socks • SafetyKatz • Shad0w • SharpC2 • SocksOverRDP • SpYDyishai • SprayWMI • Tgcd • TheFatRat • WCE • Weasel • • Ценность взломанной системы определяется весомостью фактических данных, хранящихся в ней, и тем, как ты можешь их использовать в своих целях. ‼️ Дополнительный материал, ты сможешь найти по хештегу #Пентест #ИБ #Hack и #tools. Твой S.E.

​​Сказание о том, как Игорь начинал выполнять челленджи HTB Тёплые, ясные летние вечера лета начинают становиться прохладными и более тёмными. Ночь и прохладная тьма мало-помалу начинают господствовать над силами света. В одну из таких ночей Игорь не спал. Бессонница истязала его в тот момент, это было частое явление. Работа в качестве сетевого админа часто выматывала его. Эх, если бы невозможность уснуть была единственной причиной того, почему в эту ночь он не спал. Читать: https://codeby.net/threads/skazanie-o-tom-kak-igor-nachinal-vypolnjat-chellendzhi-htb.74543/ #ctf #forensic

​​Атака на Microsoft Exchange с помощью ProxyShell Новая группа вымогателей, именуемая как LockFile, занимается взломом серверов Microsoft Exchange и шифрованием доменов Windows с использованием недавно обнаруженных уязвимостей ProxyShell. ProxyShell - это атака на Microsoft Exchange с помощью трёх (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), связанных между собой, уязвимостей. Она позволяет удалённо выполнять код без аутентификации. Microsoft устранила эти уязвимости ещё в мае 2021 года, но недавно были раскрыты дополнительные технические детали, которые дали эксплойту вторую жизнь. Злоумышленники начали активно сканировать и взламывать сервера компании. После использования сервера Exchange, киберпреступники загружали веб-шелл на него, который давал доступ для более обширных действий. При проникновении в сеть, LockFile сначала получала доступ к серверу Exchange, используя атаку ProxyShell, а после использовала уязвимость PetitPotam для захвата доменов Windows и шифрования устройств. Чтобы исправить уязвимости ProxyShell, необходимо установить последние обновления Microsoft Exchange. Атаку PetitPotam устранить не так просто, поскольку обновления безопасности Microsoft не исправляют все векторы уязвимостей. Чтобы заблокировать этот вектор атаки ретрансляции NTLM, можно установить неофициальный патч от 0patch, либо же применить фильтры NETSH RPC, которые блокируют доступ к уязвимым функциям в MS-EFSRPC API. Источник #infosec #microsoft #exploit

​Cloudflare предотвратила крупнейшую DDoS-атаку Компания Cloudflare, специализирующаяся на веб-инфраструктуре и безопасности веб-сайтов, в четверг сообщила о том, что ей удалось предотвратить крупнейшую на сегодняшний день DDoS атаку. Атака, запущенная через ботнет Mirai, как сообщается, была направлена на одного из клиентов Cloudflare финансовой отрасли в прошлом месяце. "В течение нескольких секунд ботнет атаковал Cloudflare более чем 330 миллионами запросов", - отметили в компании. В какой-то момент атака достигла рекордной отметки в 17,2 миллиона запросов в секунду (rps), что в три раза превышает ранее зарегистрированные HTTP DDoS-атаки. В данном конкретном инциденте трафик исходил от более чем 20 000 ботов в 125 странах мира, причем почти 15% атаки исходило из Индонезии, за которой следуют Индия, Бразилия, Вьетнам и Украина. Более того, только 17,2 млн оборотов составили 68% от среднего показателя оборотов легитимного HTTP-трафика, обработанного Cloudflare во втором квартале 2021 года, который составляет 25 млн оборотов HTTP. Кроме того, ботнет, созданный на основе Mirai-варианта, запустил более десятка DDoS-атак на основе UDP и TCP, пик которых несколько раз превышал 1 Тбит/с. Компания сообщила, что неудачные атаки были направлены на игровую компанию и крупного азиатско-тихоокеанского поставщика интернет-услуг, телекоммуникаций и хостинга. "Хотя большинство атак являются небольшими и короткими, мы продолжаем наблюдать, что подобные объемные атаки возникают все чаще", - заявили в Cloudflare. "Важно отметить, что эти объемные атаки с короткими всплесками могут быть особенно опасны для устаревших систем защиты от DDoS или организаций без активной, постоянно включенной облачной защиты". Источник #infosec #ddos #cloudflare

​​Интернет-безопасность: советы по защите конфиденциальности от хакеров и шпионов Конфиденциальность отличает нас от животных. Люди часто не думают о своих правах до тех пор, пока они не понадобятся им - будь то арест во время акции протеста или при остановке авто на дороге. Наблюдение является частью сегодняшней жизни, и оно становится все более агрессивным. Правительство прослушивает людей, а осуществляется это в секретности, и наблюдение становится локализованным. Совершенной безопасности не бывает. Но, независимо от того, кто вы и где находитесь в мире, вы можете сделать вещи, многие из которых просты, чтобы защитить себя в это неспокойное время. Читать: https://codeby.net/threads/internet-bezopasnost-sovety-po-zaschite-konfidencialnosti-ot-xakerov-i-shpionov.74767/ #security #network #infosec

​​Пишем Bruteforce для панели PHPmyadmin с нуля: работаем, используя Python3 Доброго времени суток, коллеги, сегодня мы с вами будем писать небольшую программу для брутфорс атаки на панель авторизации, на замечательном языке Python3.Мы с вами постараемся придерживаться парадигмы ООП в ее самом простом виде, так как поддержка и расширение функционала даже в маленьком приложении без применения этого может стать весьма затруднительным делом. Читать: https://codeby.net/threads/pishem-bruteforce-dlja-paneli-phpmyadmin-s-nulja-rabotaem-ispolzuja-python3.74434/ #python #bruteforce #datebase

​​​​Группа киберпреступников предлагает сотрудникам компаний установить вредоносное ПО за вознаграждение Нигерийский злоумышленник пытался завербовать сотрудников, предлагая им миллион долларов в биткоинах за развертывание программ-вымогателей Black Kingdom в сетях компаний. «Отправитель говорит сотруднику, что если он сможет развернуть вредоносное ПО на компьютере компании или сервере Windows, ему заплатят миллион долларов в биткоинах, или 40% от выкупа в размере 2,5 миллиона долларов», — говорится в отчете Abnormal Security. «Сотруднику говорят, что он может запустить программу-вымогатель с места или удаленно. Отправитель предоставил два способа связаться с ним, если сотрудник заинтересован: почта Outlook и имя в Telegram. Black Kingdom, также известный как DemonWare и DEMON, привлек внимание в марте этого года, когда были обнаружены злоумышленники, использующие недостатки ProxyLogon, влияющие на серверы Microsoft Exchange, чтобы заразить непропатченные системы. Abnormal Security, которая обнаружила фишинговые электронные письма, связалась с мошенником в Telegram, создав фиктивную учетку и узнала, что письмо включает две ссылки на исполняемую полезную нагрузку программы-вымогателя, которую сотрудник мог загрузить из WeTransfer или Mega.nz. «Мошенник также поручил нам избавиться от . EXE файлов и удалить их из корзины. Основываясь на ответах мошенника, понятно, что он: 1) ожидает, что сотрудник будет иметь доступ к серверу 2) он не очень знаком с цифровой криминалистикой», — сказал директор по разведке угроз Abnormal Security. Также следует отметить метод использования LinkedIn для сбора корпоративных адресов электронной почты руководителей высшего звена, еще раз подчеркивая, как атаки компрометации деловой электронной почты (BEC), исходящие из Нигерии, продолжают развиваться и подвергать предприятия сложным атакам, таким как программы-вымогатели. Идея недовольного сотрудника как угрозы кибербезопасности не нова. До тех пор, пока организациям требуются сотрудники, всегда будет какой-то инсайдерский риск. Обещание получить долю выкупа может показаться привлекательным, но нет никакой гарантии, что соучастие будет вознаграждено, и весьма вероятно, что принявший предложение злоумышленника будет пойман. Источник #infosec #ransomware

​​Программа конференции ZeroNights 2021 В Петербурге пройдет ZeroNights, конференция по практическим аспектам кибербезопасности На ZeroNights будут представлены уникальные исследования признанных экспертов-практиков в сфере информационной безопасности. Дата и время: 25 августа, 09:00-22:30 (МСК) Место: Санкт-Петербург, Севкабель Порт Программа конференции включает в себя доклады разных секций и тематические активности. Основная программа Основная программа – доклады о новейших методах атак, безопасности прошивок, десктопных и мобильных устройств и ОС. • «Data-only атаки на UEFI BIOS» — Александр Ермолов, Дмитрий Фролов • «Исследуя Galaxy: построение эмуляторов для поиска уязвимостей в современных телефонах» — Александр Тарасиков • «Эксплуатация checkm8 с неизвестным SecureROM на примере чипа T2» — Алексей Коврижных • «Chip Red Pill: Как нам удалось выполнить произвольный микрокод внутри процессоров Intel Atom» — Марк Ермолов, Максим Горячий • «LPE в Ring -3 / Intel ME» — Дмитрий Турченков • «Weird proxies/2 и немного магии» — Алексей Тюрин • «Доработка эксплойта для уязвимости CVE-2021-26708 в ядре Linux с целью обхода LKRG» — Александр Попов • «8 способов шпионить за вашими консолями» — Иван Агарков • «Hacking KaiOS» — Алексей Россовский • «Автоматизация перемещения внутри периметра» — Андрей Жуков • «Трояны и бэкдоры в кнопочных мобильных телефонах российской розницы» — ValdikSS, Unnamed user • «0day баг в Apache, о котором никто до сих пор не знает и который был исправлен случайно» — Макс Дмитриев • «Спасибо, что пользуетесь сократителями URL: теперь я знаю все о ваших клиентах» — Александр Колчанов Web Village Это секция о веб-приложениях, их уязвимостях, обходах механизмов безопасности и о программах Bug Bounty. • «31337» — Антон Лопаницын • «Sentry и (не)приватный просмотр эксепшенов» — Тимур Абдуллин • «Приключения хакера на сайтах знакомств» — Алексей Морозов • «Фантастические баги и где они обитают» — Валерий Шевченко • «HotPics 2021» — Эмиль Лернер • «PD%00» — Павел Сорокин • «Новые пути вызывать alert: Prototype Pollution» — Сергей Бобров, Никита Ступин • «Уязвимости dApp’ов» — Омар Ганиев • «ЖВМячни Отаке» — Paul Axe Defensive Track Defensive Track посвящен безопасной разработке, DevSecOps и обнаружению инцидентов. • «О метриках с практической точки зрения» — Денис Рыбин • «Побег из контейнера: Kubernetes» — Дмитрий Евдокимов • «Опыт внедрения статического анализа в большой организации» — Евгений Проценко, Александр Каледа, Алексей Мещеряков • «CVEhound: проверка исходников Linux на известные CVE» — Денис Ефремов • «IPMI backdoor не своими руками» — Илья Зуев • «Атаки на микросервисные приложения: методы и практические советы» —Александр Барабанов • «Лезем невидимой рукой аппсека в релизные сборки» — Дмитрий Терешин Воркшопы на ZeroNights Воркшопы — это мастер-классы, которые дают возможность перейти от теории к практике под руководством профессионалов в сфере кибербезопасности. • «Red Team 101» — Corporation 9 • «Комплексное обучение атакам на приложения» — Александр Савельев (Академия Digital Security) • «Практический интенсив по взлому веб-приложений» — Омар Сантос, Джозеф Млодзяновски (WebSploit) • «Воркшоп по SELinux» — Иван Агарков Hardware Zone Эта секция организована для любителей железа и для тех, кому интересно послушать доклады, попробовать свои силы в тематических конкурсах и просто пообщаться с единомышленниками. • «Реверс AVR для начинающих» — Zen • «Как мы делаем Flipper Zero» — Павел Жовнер • «Воркшоп по беспроводному протоколу Zigbee» — Егор Литвинов Также участники смогут принять участие в тематических активностях, например, в конкурсе «Hack to be hired» от Академии Digital Security, баг-баунти от Bitaps, активностях от ЦФТ и от комьюнити-партнеров. Обратите внимание, что в программе могут быть изменения. Следите за обновлениями в Telegram-канале конференции.

​​Три правила, которых требуется придерживаться при удаленной работе При первом переходе к работе из дома многие компании внесли огромные коррективы в этот способ организации процесса. IT-отделы по всему миру творили чудеса, обеспечивая персоналу доступ ко всему, что им нужно, где бы они ни находились, для поддержания бизнеса в рабочем состоянии. Но, как вам скажет любой айтишник: битва еще не окончена. Одно дело - все наладить, а другое - поддерживать его в рабочем состоянии. Читать: https://codeby.net/threads/tri-pravila-kotoryx-trebuetsja-priderzhivatsja-pri-udalennoj-rabote.74766/ #rules #network #security

​​​​Воскрешение уязвимости PHPUnit RCE Как только патч для ПО выпущен, мы думаем, что проблема решена, и баг теперь не работает. В большинстве случаев это не так. Для решения этой проблемы от всех разработчиков требуется использование последней версии патча. Поскольку обновление не является особенно тривиальным действием, разработчикам необходимо планировать заранее и вставлять изменения через процесс разработки, планируя подходящее время для применения. В примерах, приведённых ниже, вы увидите, что иногда, даже этого недостаточно. Читать: https://codeby.net/threads/voskreshenie-ujazvimosti-phpunit-rce.73241/ #php #rce #cve

​​Отказ Cisco от старых VPN-маршрутизаторов Cisco сообщила о том, что не планирует исправлять уязвимвость сервиса UPnP (Universal Plug-and-Play) в нескольких VPN-маршрутизаторах для малого бизнеса, для которых истёк срок эксплуатации. Ошибка нулевого дня (отслеживаемая как CVE-2021-34730 и имеющая рейтинг 9,8/10) вызвана неправильной проверкой входящего UPnP-трафика и была обнаружена одним из экспертов исследовательской лаборатории IoT Inspector. Неавторизованные злоумышленники удалённо могут использовать данную уязвимость для перезапуска взломанных устройств, или выполнения вредоносного кода от имени пользователя root в операционной системе. "Маршрутизаторы Cisco Small Business RV110W, RV130, RV130W и RV215W вышли из эксплуатации". Компания просит пользователей, которые все еще используют эти модели маршрутизаторов, перейти на более новые маршрутизаторы Cisco Small Business RV132W, RV160 или RV160W, которые все еще получают обновления безопасности. Источник #news #cisco #exploit

​​Взлом паролей для предотвращения Credential stuffing Мы знаем, что пароли - отстой. Если вы этого не понимаете, вбейте в гугл "почему пароли - отстой", и я избавлю вас от нескольких страниц текста. На протяжении многих лет, веб-сайты требовали от пользователей создавать все более сложные пароли, пытаясь не дать злоумышленнику получить доступ к учетной записи жертвы, путем брутфорса. Каждый сайт имеет свой собственный смехотворный набор правил, в результате чего пароли трудно запоминаются. Читать: https://codeby.net/threads/vzlom-parolej-dlja-predotvraschenija-credential-stuffing.70211/ #analyze #password

​​ASM – техники из старого сундука [2] Когда-то я начал разговор о том, как развлекалось наше старшее поколение, какие придумывали техники обхода дизассемблеров, и как противостояли отладчикам. Сейчас вот выбралось пару свободных деньков и решил продолжить эту тему, собрав в ней наиболее интересные на мой взгляд моменты. Читать: https://codeby.net/threads/asm-texniki-iz-starogo-sunduka-2.78287/ #asm #disassembler

​​Ошибка Fortinet позволяет взломать файрволл В брандмауэре веб-приложений (WAF) компании Fortinet, известной как FortiWeb, была обнаружена уязвимость, связанная с внедрением вредоносного кода. Эксперты полагают, что данная уязвимость может позволить злоумышленникам получить полный контроль над устройством жертвы. FortiWeb - это платформа защиты кибербезопасности, ориентированная на защиту критически важных для бизнеса веб-приложений от атак, направленных на уязвимости. Ошибка существует в интерфейсе управления FortiWeb (v.6.3.11 и предыдущие) и получила оценку CVSSv3 в 8,7 баллов из 10, что делает данную проблему очень серьезной. Она может позволить злоумышленнику на расстоянии внедрять вредоносный код в систему через страницу конфигурации сервера SAML. Ущерб может быть еще больше, если интерфейс управления открыт для доступа в Интернет. Компания Fortinet планирует выпустить исправление проблемы в версии FortiWeb 6.4.1 в конце августа. На данный момент пользователям предлагают отключить интерфейс управления устройством FortiWeb в ненадежных сетях и интернете. Источник #news #firewall #bug #exploit

​​Offensive OSINT часть 5.1 – OSINT и Корпоративный шпионаж, Щупальца Mindgeek В этой статье мы рассмотрим корпоративную структуру компании Mindgeek - лидера в области доставки контента, SEO, рекламы, хостинга и общих технологических инноваций. Они работают по всему миру, а принадлежащие им сайты создают сотни миллионов посещений в день и имеют большую пропускную способность, чем Twitter, Amazon или Facebook. Может быть, вы не знаете эту компанию, но я уверен, что они знают вас. Читать: https://codeby.net/threads/offensive-osint-chast-5-1-osint-i-korporativnyj-shpionazh-schupalca-mindgeek.73688/ #osint #network