Fsecurity | HH
前往频道在 Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
显示更多2 008
订阅者
-224 小时
无数据7 天
-1230 天
帖子存档
2 009
Repost from purple shift
Новые-старые подходы вымогателей: использование BitLocker. Это встроенное в Windows средство шифрования по идее должно защищать пользовательские данные от кражи – но может с таким же успехом защитить компьютер от его владельца! Наши эксперты проанализировали новую атаку, где злоумышленники научились ещё лучше прятать ключи криптозащиты и затруднять работу реагирования на инцидент.
Интересно, что перед шифрованием злоумышленники конфигурируют машину в очень безопасное состояние. Примерно так и нужно конфигурировать компьютер для защиты… а здесь это делают атакующие, чтобы "защитить" захваченную машину:
fDenyTSConnections = 1: отключает удалённый доступ по RDP
scforceoption = 1: требует аутентификацию по смарт-карте
UseAdvancedStartup = 1: требует BitLocker PIN для перезагрузки
UsePIN = 2: требует стартовый PIN с доверенным модулем (TPM)
... и так далее.
Отсюда удивительный совет для защитников: ловите изменения в реестре, которые выглядят как слишком хороший харденинг. Особенно подозрительно, если после такой безопасной конфигурации с компьютера перестала переходить телеметрия.
Подробности работы трояна-шифровальщика на основе BitLocker:
https://securelist.com/ransomware-abuses-bitlocker/112643/2 009
Repost from Proxy Bar
Фанатам крэкнутого BurpSuite Pro чутка напрячься
в одной из сборок найдет стиллер
#сыр800
2 009
Repost from Life-Hack - Хакер
Продолжаем, погружаться в мир #OSINT с нашим бесплатным теоретическим курсом "OSINT для новичков"!
#статья #обучениеOSINT
Первая серия материалов: "Введение в OSINT"
Преимущества и проблемы OSINT.
LH | Новости | Курсы | Мемы
2 009
Хочу также посоветовать:
1 - Наш discord сервер! Где можно пообщаться 👾
2 - Мой Github 🦑
Наш второй канал [Ximera-Chan]
2 009
Repost from purple shift
Представьте, что вы проводите Red Teaming, и уже получили сетевой доступ к контроллеру домена. Для развития атаки можно посмотреть в сторону доменных учётных записей со слабыми паролями. Но как их выявить, не привлекая внимания санитаров специалистов SOC?
Вы можете точечно проверить отдельные дефолтные аккаунты, такие как
test или it-admin. Однако устроить перебор всех возможных доменных пользователей не так просто. Можно попробовать преаутентификацию в Kerberos – но это слишком шумно, и вас точно засекут.
Есть менее заметный метод. Давайте обратимся к древнему интерфейсу MS-NRPC, используя уровень доступа RPC_C_AUTHN_LEVEL_NONE (то есть без авторизации). А затем вызовем функцию Opnum 34 (DsrGetDcNameEx2) – которая проводит проверку существования указанного аккаунта в домене. Скормив этой функции дефолтный список всевозможных имён, получим список существующих доменных аккаунтов. Обнаружить такую активность совсем непросто, поскольку она не оставляет какого-либо специального типа события в журнале безопасности Windows.
Дальше остаётся только устроить перебор паролей (password spraying) по полученному списку аккаунтов. Наверняка хоть кто-нибудь использовал P@$$w0rd или May_2024.
Более подробный анализ безопасности MSRPC-интерфейсов – в исследовании Хайдара Кабибо.
Автор исследования также написал утилиту для демонстрации описанных возможностей:
https://github.com/klsecservices/NauthNRPC2 009
Repost from AP Security
#cve #poc
🕷CVE-2024-21683: Confluence Data Center RCE
Эта уязвимость позволяет неавторизованному злоумышленнику удаленно выполнить произвольный код на уязвимом сервере Confluence. Баг существует из-за некорректной проверки пользовательского ввода в Confluence REST API. Это позволяет злоумышленнику внедрить вредоносный код на сервер Confluence
Proof-Of-Concept
2 009
Repost from Cybred
ChatGPT помог заработать $28 000 на 0-day.
Базовый XXE-пейлоад выглядит как-то так
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<stockCheck><productId>&xxe;</productId></stockCheck>
Можно залить файл с таким содержимым на сервер и, если у либы, которая его распарсит, включена поддержка внешних сущностей, на выходе мы получим содержимое /etc/passwd.
Это касается библиотек, но не браузеров. Если вы откроете нечто подобное у себя в Chrome, то ничего не сработает, т.к. в нем external entities отключены по дефолту.
Но выяснился забавный факт.
Помимо XML, современные браузеры поддерживают еще много форматов, например, XSL. Это старая спека, которая является надстройкой над XML со своими директивами.
О нем и о том, что там тоже можно объявлять внешние сущности, почему-то все забыли, но напомнил ChatGPT. Он подсказал, что это можно делать с помощью директивы, вроде
<xsl:copy-of select="document('file:///etc/passwd')"/>
которая подгрузит содержимое, вопреки всем запретам.
Поэтому полная цепочка выглядит так:
1. Создаем XSL пейлоад с функцией document()
2. Импортируем полученное содержимое как внешнюю сущность в XML
3. Готовый XML-пейлоад вставляем в SVG-картинку и используем по назначению ;)
💰 Выплаты
Apple (CVE-2023-40415): $25 000
Google (CVE-2023-4357): $3 0002 009
Repost from Кибердом
Как же порой лень подключаться из дома к корпоративному VPN, чтобы зайти на внутренние ресурсы компании. А там еще двухфакторная аутентификация по СМС, да и сделать это надо во время рабочей встречи.
Может, не так и нужен рабочий VPN? А что, если от него отказаться?
Тогда все наши данные, составляющие коммерческую тайну (ПДн, тайна связи и банковская тайна), внутренние сервисы и инфраструктура станут доступны любому пользователю интернета.
Все подключения сотрудников к внутренней инфраструктуре можно будет отследить и взломать с помощью атаки типа «человек посередине». Злоумышленник подключится к соединению и увидит все данные, которыми вы обмениваетесь с вашей компанией, подменит их или просто унесет с собой.
Любому желающему откроется новый мир того, что мы так тщательно скрывали от окружающих – данным компании.
Но злоумышленники – ребята не простые. Они считают, что нельзя просто так взять и забрать что-то ценное – нужно еще навредить. Поэтому как только они вытащат всю нужную им информацию, они, скорее всего, зашифруют всё, до чего смогут дотянуться. Само собой, оставят сообщение для нас с адресом своего криптокошелька, чтобы с радостью нам помочь решить проблему.
Но и этим дело не закончится. Помимо того, что всё будет пошифровано (скорее всего безвозвратно), вторженцы также попытаются везде оставить потайные пути на случай, если мы одумаемся и настроим корпоративные VPN. Они называются бэкдорами, и цель их максимально проста – в нужный момент дать своему «владельцу» возможность пробраться обратно туда, где бэкдоры были установлены.
Что в итоге мы имеем? Глобальная утечка чувствительных данных компании, полностью зашифрованная инфраструктура, отключенные сервисы и лежащие сайты, зараженные сервисы и железо, и на сладкое – те самые репутационные издержки, из-за которых с нами теперь не хочет работать ни один партнер или пользователь.
Радует одно – можно не мучаться с корпоративным VPN каждый день.
#Роман_Панин
#а_что_если
Пакет безопасности
🏠 Подписаться на Кибердом & Бизнес
2 009
Repost from no system is safe // cybersec
🌎 AutoPWN Suite - это проект для автоматического сканирования уязвимостей и использования систем.
AutoPWN Suite использует сканирование nmap TCP-SYN для перечисления хоста и обнаружения версии программного обеспечения, запущенного на нем.
🦠 После сбора достаточной информации о хосте AutoPWN Suite автоматически генерирует список "ключевых слов" для поиска базы данных уязвимостей NIST.
↘️ https://github.com/GamehunterKaan/AutoPWN-Suite
#tool // nsis
现已上线!2025 年 Telegram 研究 — 年度关键洞察 
