Fsecurity | HH

🔗Ссылка: https://3xploit666.com/post/whatdog-killer-byovd-0cb155a0

🔗Ссылка: https://opennet.ru/63891/

🔒 weakpass — онлайн ресурс с огромной коллекцией словарей для брутфорса, которую ежедневно используют пентестеры со всего мира! Доступ к ресурсу абсолютно бесплатен, без лимитов на использование и без раздражающих капч. Поиск происходит на стороне клиента, без отправки данных на сервер 😎 Сервис также предлагает API для интеграции и автоматизации работы ваших инструментов. Более того, вы можете загрузить все словари для создания внутренних решений, которые помогут регулярно проверять соответствие парольной политике вашей компании. 📂 Сохраняем #soft #pentest

Sekoia.io рапортует об интересной цепочке APT28 APT28 в 2025 использует гибрид open-source + легитимные облачные сервисы для скрытого C2: старт — weaponized Office (Signal ⟶ макросы) → COM-hijack DLL (prnfldr.dll) → извлечение shellcode из PNG (стеганография) → запуск .NET Grunt HTTP Stager (Covenant) → Koofr как C2 (C2Bridge) → последующие модули (PlaySndSrv.dll + sample-03.wav) декриптят и ставят BeardShell (icedrive C2). Параллельно обнаружен SlimAgent (keylogger/screenshots). Технично, стабильно, хитро — используют regsvr32 / COM hijack, PNG LSB-стеганографию, в-памяти загрузку .NET, ChaCha20-Poly1305 для BeardShell. Интересные техники, к прочтению: 🔗https://blog.sekoia.io/apt28-operation-phantom-net-voxel/ 🦔 THF

Kali Linux на флешке Всем привет! Очень много работы навалилось, но мы стараемся не забывать про наш канал 👨‍💻 На следующей неделе планируем выкатить что-то особенно интересное, так что оставайтесь с нами 😛

Обычно Kali запускают в виртуалках или ставят на отдельный диск.

Есть вариант поинтереснее: Kali Linux Live с сохранением (Persistence) на флешке. Вдруг кто не знал 🙂 USB\SSD\HDD Флешка становится переносной полноценной системой: загружается на любом ПК, все изменения сохраняются на ней. Если нужно — флешку «сбрасываешь»/выбрасываешь🧛, и хост остаётся в исходном состоянии (с собственной ОС или без неё). С чего начать? Скачать обязательно LIVE образ Kali: тык Дальше можно записать образ не только на флешку, но и на SSD или даже HDD — тут особой разницы нет. Я, например, использовал BalenaEtcher: она без проблем видит не только обычные флешки, но и SSD-диски, так что образ я зашивал именно на SSD. После записи остаётся просто загрузиться с носителя и при старте выбрать пункт

Live system (persistence)

Важно: перед этим нужно отключить Secure Boot, иначе система просто не запустится. Создаём раздел для сохранения Смотрим разделы, чтоб определить где размечен наш Linux

lsblk

После записи на флешке появится свободное место. Используем gparted или fdisk: sudo fdisk /dev/sdb создаём новый раздел (например, /dev/sdb3). форматируем его в ext4 и называем persistence:

sudo mkfs.ext4 -L persistence /dev/sdb3

Настраиваем Persistence

sudo mount /dev/sdb3 /mnt

Создаём файл persistence.conf:

echo "/ union" | sudo tee /mnt/persistence.conf

и размонитруем:

sudo umount /mnt

Перезагружаемся и теперь можно работать как с обычной ОС! Ну или вот подробный гайд Зачем это нужно специалисту по безопасности? 🔫 Тестирование инфраструктуры — можно прийти на объект, загрузиться со своей флешки и не трогать локальную систему. 😑 Анонимность — после извлечения флешки на компе не остаётся следов. 🍩 Удобство — все любимые инструменты (Metasploit, nmap, Burp Suite) всегда под рукой. 🗃Мобильность — одна флешка заменяет ноутбук с софтом. Но и без минусов не обойдется: Нужны современные порты USB 3.0, чтобы скорость работы была адекватной. Я, например, взял SSD и внешний бокс под 3.0, и система работает вполне шустро. Износ носителя — SSD, конечно, живут дольше, чем флешки, но при активной записи (логи, обновления, сканы) они тоже постепенно изнашиваются. Secure Boot — если на устройстве стоит вторая система Windows, придётся постоянно переключать этот параметр в BIOS. Kali Live — не всегда идеально дружит с драйверами Wi-Fi, видеокарт и тачпадов, иногда нужны дополнительные настройки.

🔗Ссылка: https://www.securitylab.ru/news/563555.php

🔗Ссылка: https://opennet.ru/63884/

🔗Ссылка: https://habr.com/ru/companies/pt/articles/945672/

Velociraptor Deployment Automation System This system provides automated deployment of Velociraptor clients across enterprise environments for live incident response and threat hunting when traditional dead disk acquisition is not feasible. The automation eliminates manual deployment complexity while maintaining operational security requirements. Key Functions: • Interactive prompts for OS selection (Windows/Linux/Both) and client configuration • Downloads latest Velociraptor releases from GitHub API (with HTML scrape fallback) • Repacks Windows MSI/EXE installers with your custom client.config.yaml • Builds Linux packages (.deb/.rpm) or raw binaries with systemd services • Creates structured web repository with manifest.json metadata for automation • Automatically starts HTTP server (default port 9999) and installs systemd service 🔗https://github.com/N1ghtFury74/Scripts/tree/main/VDA 🦔THF

🔗Ссылка: https://habr.com/ru/companies/bitrix/articles/944926/

🔗Ссылка: https://habr.com/ru/articles/946180/

Все вокруг так носятся с искусственным интеллектом, что будет даже странно, если это массовое увлечение не станет популярным вектором атак. Можно также наванговать, что значительная часть атак будет организована по классике: через вредоносные расширения и разнообразные "посреднические" сервисы для работы с модными LLM-приложениями. Например, такие атаки могут проводиться с использованием MCP-серверов. Протокол Model Context Protocol (MCP), разработанный компанией Anthropic, является открытым стандартом для подключения ИИ-ассистентов к внешним источникам данных и инструментам, без необходимости индивидуальной интеграции для каждого из них. Варианты эксплуатации этого "посредника" разнообразны. Злоумышленник может зарегистрировать вредоносный MCP-сервер с именем, похожим на легитимное. При поиске нужного инструмента ИИ-агент обнаружит мошеннический сервер вместо легитимного — и передаст ему конфиденциальные данные. Эта "почти человеческая" уязвимость MCP связана с тем, что ИИ-агенты "говорят" на естественном языке, и в поиске ориентируются на текстовые имёна (а не на точные криптографические сигнатуры, например). Более продвинутый вариант атаки: злоумышленник публикует и рекламирует MCP-сервер как полезный инструмент для работы с Cursor, Claude Desktop или другими LLM-приложениями. После установки инструмент действительно демонстрирует заявленную функциональность — однако параллельно производятся скрытые вредоносные действия (например, шпионаж). Чтобы смоделировать такую угрозу и разработать меры защиты, наши эксперты создали MCP-сервер, который был упакован как пакет PyPI и предлагал полезные для разработчиков функции: анализ проектов, проверка безопасности конфигурации и настройка окружения. Но одновременно с этими полезными делами, запускался вредоносный модуль сбора данных. Главный вывод: установка MCP-сервера фактически дает ему разрешение выполнять код на вашей машине с вашими привилегиями. Подробности этого эксперимента, а также рекомендации по обнаружению и предотвращению подобных атак — в статье Мохамеда Гобаши.

🔗Ссылка: https://www.securitylab.ru/analytics/540150.php

🔗Ссылка: https://spy-soft.net/hack-librenms-rce-template/

#pentest Windows Persistence 💻 В представленной статье представлены методы закрепления на хосте Windows через реестр с использованием DLL-библиотек AppInit, пакетов LSASS, перехвата Winlogon и ключей Office. Эти методы также устойчивы к перезагрузке. Актуально как для пентестеров, так и защитникам ✅

CK-X Simulator - web-based симулятор экзаменов для Kubernetes. Инструмент спокойно разворачивается на локальной системе и позволяет пройти экзамены по: CKAD, CKA, CKS. При этом есть подсказки, контроль времени, автоматическая проверка результатов.

Ещё одна любопытная вещь, которую мы можем узнать об атакующем по его трафику, реализуется через анализ IP.id. Я уже писал ранее об этом поле в пакете (https://t.me/s0i37_channel/43), что оно часто является глобально инкрементируемым, а значит что анализируя его изменение мы можем видеть сколько пакетов источник трафика отправляет куда то ещё кроме нас. Иными словами мы можем заключить - является ли атака таргетированной или веерной на множество хостов. Еще один скрипт из моей defence-коллекции (https://github.com/s0i37/defence/blob/main/ip_id.py) автоматически делает это. По каждому входящему сетевому пакету мы можем видеть страну, город, имя сети, ОС, а так же количество пакетов генерируемых хостом куда то ещё кроме нас. Как можем видеть на примере первый источник трафика имеет слабый инкремент, свидетельствующий что практически ни куда кроме нашего узла он пакеты не посылает — это говорит о вероятно таргетированной атаке. Второй узел помимо нас успевает отправить от нескольких сотен до тысячи пакетов — это говорит о вероятной веерной атаке сразу на множество узлов.

🔗Ссылка: https://github.com/shellphish/how2heap

🔗Ссылка: https://www.yeswehack.com/learn-bug-bounty/ultimate-guide-csrf-vulnerabilities