Fsecurity | HH

🔗Ссылка: https://habr.com/ru/articles/931292

Fire Ant — гипервизорная APT-угроза👽 С начала 2025 года Sygnia расследует масштабную шпионскую кампанию, нацеленную на инфраструктурный уровень: • VMware vCenter • VMware ESXi • Сетевые устройства (F5, Linux pivot-хосты) Главный вектор — эксплуатация уязвимостей в гипервизоре и инфраструктуре. Это позволяет атакующим: • обойти EDR/AV • двигаться между сегментами сети • сохранять доступ после зачистки Этапы атаки ⌨️ 1. Первичный доступ CVE‑2023‑34048 (vCenter RCE) • Атака через DCERPC → OOB Write → RCE без аутентификации • Краш vmdird зафиксирован до начала активности Подделка сессии в vCenter UI • Скрипт vCenter_GenerateLoginCookie.py • Использует сертификаты, извлечённые с хоста • Позволяет получить админ-доступ без логина или логов аутентификации (сессия создаётся через поддельный cookie, это критично) Кража учётных данных vpxuser • Служебный аккаунт с root-доступом к ESXi • Не отключается Lockdown Mode’ом 2. Устойчивость в инфраструктуре Backdoor в vCenter (ksmd) • Путь: /usr/libexec/setconf/ksmd • TCP порт 7475 • Позволяет выполнять команды и передавать файлы • Связан с семейством VIRTUALPITA Malicious VIBs на ESXi • Установлены вручную с флагом --force • Прописывают исполняемые файлы в /bin, скрипты в rc.local.d/ • Бесподписные, уровень доверия — "partner" Backdoor autobackup.bin • Прописывается в /etc/rc.local.d/local.sh для автозапуска • Запускает web-сервер на порту 8888 • Поддерживает RCE, загрузку и скачивание файлов • Совместим с Python 2/3, работает как background-демон через double-fork и редирект stdout/stderr в /dev/null Отключение логов (vmsyslogd) • Убийство процесса лишает ESXi логирования • Нет ни локальных, ни удалённых журналов 3. Атаки на гостевые ВМ с гипервизора CVE‑2023‑20867 (VMware Tools) • Позволяет выполнять команды внутри ВМ без логина • Используется PowerCLI и Invoke-VMScript • Команды исполняются через vmtoolsd.exe Патчинг VMX-процесса через ELF tools • Модификация памяти ESXi-хоста • Отключает необходимость аутентификации гостя Дамп хэшей из памяти ВМ • Snapshot с vim-cmd, затем анализ .vmem с UpdateApp (Volatility fork) • Извлекаются NTLM-хэши, в том числе с DC EDR tampering (updatelog.exe) • Вызывается через vmtoolsd.exe • Нарушает работу SentinelOne Нарушает видимость процессов у EDR без его остановки — агент остаётся активен, но ничего не видит V2Ray туннель (update.exe) • Устанавливает прослушку на TCP 58899 • Используется как C2 и обход прокси/фильтров Незарегистрированные ВМ (vmx -x) • Прямой запуск VM без vCenter • MAC spoofing → не отслеживается админкой • Только через L2-инвентаризацию можно отследить 4. Сетевая экспансия и туннелирование F5 Load Balancer: CVE‑2022‑1388 • Выполнение команд без логина • Webshell в /xui/common/css/css.php Туннель Neo-reGeorg • Устанавливается на внутренних веб-серверах • Создаёт HTTPS-туннель через firewall Medusa Rootkit на Linux pivot-хостах • Скрытый shell • Логгирует SSH-пароли в remote.txt netsh portproxy на admin-хостах • Проброс портов к системам • Используется для обхода ACL и firewall IPv6 bypass • В большинстве сетей IPv6 не фильтруется • Атакующий использует этот канал для туннелей 5. Устойчивость к зачистке • Повторный вход после очистки • Переименование малвари под forensic-инструменты • Отслеживание действий защитников и адаптация • Только одновременная, скоординированная зачистка эффективна 🗺Детект и защита Что искать • Внезапное отключение vmsyslogd • Старт процессов от vmtoolsd.exe внутри ВМ • Новые бинарники в /tmp, /scratch, /bin, /etc • ВМ без регистрации в vCenter (через vmx -x) • ВМ активна, но EDR не отдаёт телеметрию 🔐Как защититься • Патчить: vCenter, ESXi, F5, VMware Tools • Включить Lockdown Mode и Secure Boot • Доступ к vCenter — только через jump/PAM • Регулярная ротация паролей, хранение в vault • Включить syslog и форвардить логи централизованно 🔗 https://www.sygnia.co/blog/fire-ant-a-deep-dive-into-hypervisor-level-espionage 🦔 THF

AdaptixC2 v0.7 is out https://github.com/Adaptix-Framework/AdaptixC2 * Поддержка скриптов AxScript * Менеджер учетных данных * Поддержка BOF в агенте gopher * Новые BOF: potato-dcom, nanodump, noconsolation Полная информация по обновлению: https://adaptix-framework.gitbook.io/adaptix-framework/changelog-and-updates/v0.6-greater-than-v0.7

Утилита sudo даёт пользователям Linux и UNIX-подобных систем возможность выполнять команды от имени суперпользователя root, если это нужно для решения определённых задач. В норме такое повышение привилегий контролируется админами через правила конфигурации sudo и не создаёт проблем. Однако этим летом в sudo были найдены уязвимости CVE-2025-32462 и CVE-2025-32463, которые позволяют атакующему производить локальное повышение привилегий. В новых версиях sudo обе уязвимости исправлены. Но sudo инсталлируется по умолчанию на большинстве популярных дистрибутивов Linux – и не исключено, что вы ещё используете неисправленную версию. Поэтому рекомендуем изучить наши инструкции по детектированию и защите. Что такое CVE-2025-32462? Данной уязвимости подвержены версии sudo с 1.8.8 до 1.9.17. Опция -h / --host используется при запуске sudo в сочетании с ключом -l (просмотр привилегий) для проверки привилегий на удаленном хосте. Однако в уязвимых версиях эту опцию можно использовать с любой командой. Поэтому, если в конфигурациях sudoers параметр "host" выставлен в значение, отличное от ALL или имени текущего хоста, атакующий может при вызове sudo указать любой хост и обойти ограничение правил sudoers, связанных с именем хоста. Как защититься: – Установить версию, в которой исправлена данная уязвимость – sudo 1.9.17p1; – Проверить правила в /etc/sudoers*, использующие привязку к узлу, и по возможности переписать их на другие виды, не использующие host-параметр, например, на групповые правила (%group). Как детектировать эксплуатацию: Отслеживайте попытки выполнить sudo с ключом -h / --host без применения ключа -l в командной строке запуска процессов sudo. Например, так будет выглядеть попытка эксплуатации, ведущая к запуску whoami:

sudo -h random-hostname whoami

Что такое CVE-2025-32463? Эта уязвимость затрагивает версии sudo с 1.9.14 по 1.9.17. Уязвимость связана с опцией -R / --chroot. При выполнении команды в chroot-окружении файл конфигурации /etc/nsswitch.conf загружается не в контексте системного каталога, а в контексте корневого каталога, которым может послужить любой пользовательский каталог с размещенным там файлом /etc/nsswitch.conf. Файл /etc/nsswitch.conf (Name Service Switch configuration) в Linux и UNIX-подобных системах определяет порядок и источники, из которых система будет получать информацию о пользователях, группах, хостах, именах доменов, паролях, сетевых сервисах и других ресурсах. Атакующий может создать вредоносную библиотеку libnss_*.so в любом каталоге, к которому текущий пользователь имеет доступ (например /tmp), и там же разместить поддельный файл /etc/nsswitch.conf с настройками для запуска этой библиотеки. Если после этого запустить команду sudo с ключом -R / --chroot и указанием расположения каталога с подменённой конфигурацией и вредоносной библиотекой, произойдёт выполнение вредоноса с правами root. Как защититься: – Установить версию, в которой исправлена данная уязвимость – sudo 1.9.17p1; – По возможности ограничить доступ для непривилегированных пользователей к общедоступным каталогам в части опций mount, nosuid, nodev, noexec; – Опционально добавить параметр Defaults !use_chroot в файл /etc/sudoers, отвечающий за отключение возможности использования chroot для sudo, и пересмотреть правила runchroot=*, отвечающие за разрешение использования chroot. Как детектировать попытки атак: – Обращайте внимание на запуск sudo с ключами --chroot / -R; – Отслеживайте активности, связанные с компиляцией библиотек с паттерном libnss_*.so в имени. Например, атакующий может использовать набор компиляторов gcc для компиляции вредоносной библиотеки непосредственно на атакованном узле. Пример такой команды:

gcc -shared -fPIC -Wl,-init,test -o libnss_/test.so.2 test.c;

– Мониторьте попытки создания конфигурационного файла nsswitch.conf и библиотек libnss_*.so в директориях, отличных от расположения легитимных файлов системы; – Отслеживайте активности, связанные с переименованием файлов, где целевое имя файла содержит паттерн libnss_*.so.

🔗Ссылка: https://github.com/alexandreborges/malwoverview

🕷 Как скраулить список целей и отфильтровать статические файлы с помощью нескольких флагов katana: ▪️-d: максимальная глубина сканирования ▪️-kf: включает сканирование известных файлов ▪️-jc: включает разбор и сканирование эндпоинтов в JS-файлах ▪️-fx: извлекает элементы форм, поля ввода, текстовые области и выпадающие списки ▪️-ef: фильтрует вывод по указанным расширениям ▪️-o: имя выходного файла

katana -u subdomains_alive.txt -d 5 -kf -jc -fx -ef woff, css, png, svg, jpg, woff2, jpeg, gif, svg -o allurls.txt

Новый ролик 👾🍿 🔒 Фишинг атака — это опасный метод взлома, который может привести к потере личных данных и финансов. В этом видео я расскажу о том, как работают фишинговые схемы, почему они представляют серьезную угрозу и как защитить себя от них. Узнайте, как распознать фишинг и предотвратить взлом ваших аккаунтов. Не дайте мошенникам шанса! 🔗Ссылка: https://youtu.be/Gr7q4aBNWbg

🔗Ссылка: https://habr.com/ru/companies/deiteriylab/articles/930858/

🔗Ссылка: https://habr.com/ru/companies/deiteriylab/articles/920064/

🔗Ссылка: https://habr.com/ru/articles/931284/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/articles/930458/

💻 How to recover from a Golden gMSA attack

This article describes an approach to repairing the credentials of a group Managed Service Account (gMSA) that are affected by a domain controller database exposure incident

🔗 Link #windows #ad #gmsa ✈️ Whitehat Lab 💬Chat

Crystal-Loaders A small collection of Crystal Palace PIC loaders designed for use with Cobalt Strike. Read more about Crystal Palace and the Tradecraft Garden here.

#Мем

🔗Ссылка: https://opennet.ru/63635/

🔗Ссылка: https://github.com/redcanaryco/atomic-red-team

🔗Ссылка: https://www.securitylab.ru/blog/personal/SimlpeHacker/354107.php