Fsecurity | HH

🔗Ссылка: https://habr.com/ru/articles/910840/

🔗Ссылка: https://habr.com/ru/articles/912432/

🔗Ссылка: https://www.securitylab.ru/news/559638.php

🔗Ссылка: https://spy-soft.net/mobsf-analyze-apk/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.securitylab.ru/news/559633.php?r=2

Параноидальная безопасность или необходимость? 😠 Если тебе надоело объяснять бизнесу, для чего нужен XDR, пуляй это видео 😶 Видео safebdv про сравнение EDR/XDR/SIEM/SOAR

00:00 Введение в XDR • Видео обсуждает важность обнаружения и реагирования на хакерские атаки в современных условиях. • Упоминается, что в 2023 году в России было совершено около 680 000 преступлений с использованием информационных технологий, ущерб от которых превысил 156 миллиардов рублей. 01:52 XDR и его преимущества • XDR (Extended Detection and Response) - это инструмент, который автоматизирует работу существующей команды безопасности и помогает выявить больше техник и тактик хакеров, чем все другие продукты. • XDR сокращает время обнаружения хакера, выявляет точки входа и помогает правильно среагировать на атаки. 02:14 Что нужно бизнесу Как можно быстрее узнать, что у тебя в сети хакеры и как можно быстрее удалить их из сети. 03:02 Dwell time = MTTD + MTTR После обнаружения хакера в сети требуется как можно быстрее разобраться где все точки входа и не упустить ни одной. 03:17 Устраняем причины скрытной работы хакера Мы не видим хакера, потому что он работает от имени легитимного пользователя легитимными утилитами. 04:37 Киберучения позволяют разобраться в том как бороться с хакерами 04:49 EDR, NDR, XDR сокращают время обнаружения хакера 05:27 XDR это EDR, который получил информацию от сетевых сенсоров и достаточно мощное хранилище с быстрым доступом • XDR может быть использован в различных ситуациях, включая атаки шифровальщиков, когда хакеры могут быть обнаружены и заблокированы. • XDR также может быть полезен для обнаружения и реагирования на неизвестные угрозы, включая использование неизвестных уязвимостей. 06:00 Таблица сравнения задач SIEM, SOAR, TIP, XDR, EDR, NDR 06:20 Обоснуем необходимость XDR для бизнеса • XDR может быть особенно полезен для компаний с большим количеством компьютеров и сотрудников, так как он помогает быстро обнаруживать и реагировать на угрозы. • XDR также может помочь в обнаружении и блокировании неизвестных угроз, что особенно важно в условиях быстрого развития технологий и появления новых уязвимостей. 09:22 Могут найти неизвестные еще техники атак • Продукты класса EDR (Endpoint Detection and Response) могут предотвратить использование уязвимостей и неизвестных угроз в операционных системах компании. • EDR может обнаруживать и останавливать атаки, даже если они используют неизвестные техники. • EDR также может автоматически получать информацию о найденных уязвимостях от других заказчиков. 10:20 Общая база атак от поставщика спасает все компании • EDR может защитить машины с уязвимыми версиями операционных систем, которые не обновляются. • EDR не загружает память и процессор рабочих станций, что делает его более выгодным для использования. • EDR может выявлять и останавливать продвинутые атаки, не зная о них, и помогает выявить все точки входа хакера. 11:02 EDR, NDR, XDR автоматически простраивают цепочки атак На графе видно как хакер зашел в сеть и как перемещался по ней до своего обнаружения одним их сенсоров. 12:33 EDR помогает централизованно находить файлы злоумышленника Во время расследования вы можете искать любые объекты на хостах с EDR из единой системы управления. 13:06 Как проводится реагирование на атаки 13:26 Логично защиту начинать с сетевых сенсоров На вебкамеры, принтеры и роутеры агенты EDR поставить не получится. 13:37 Выводы по EDR и XDR 14:32 Различие XDR и SIEM • EDR и SIEM имеют разные подходы к обнаружению угроз. • EDR фокусируется на быстром обнаружении и реагировании на угрозы, в то время как CM больше ориентирован на мониторинг и аудит. • EDR предоставляет больше возможностей для автоматического реагирования на угрозы, в то время как SIEM чаще используется для оповещения о событиях и ручного реагирования. • EDR и SIEM дополняют друг друга и могут использоваться вместе для обеспечения комплексной защиты IT-инфраструктуры. 16:01 В зрелой компании всегда будет XDR

🦔THF

🔗Ссылка: https://github.com/Anon-Exploiter/sliver-cheatsheet

🔗Ссылка: https://www.securitylab.ru/news/559598.php

🔗Ссылка: https://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/

🔗Ссылка: https://github.com/sophron/wifiphisher

🔗Ссылка: https://securelist.ru/dero-miner-infects-containers-through-docker-api/112645/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/companies/pt/articles/911246/

🔗Ссылка: https://habr.com/ru/companies/solarsecurity/articles/911592/

🔗Ссылка: https://www.crowdstrike.com/en-us/blog/2025-latam-threat-landscape-report-deep-dive

Вот такой крутой ресерч сегодня подъехал. От учетных записей dMSA до администратора домена. А с учетом того, что dMSA можно создать самому (при определенных, но часто встречающихся условиях), это прям крутой Low Fruit. Особенно с учетом того, что Майкрософт пока не собирается это исправлять. https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory Но! Стоит также отметить, что dMSA появились только на Windows Server 2025)) #pentest #redteam #ad #privesc

🖥️ ZigStrike (ZST) Отличный инструмент для помощи при байпасе AV, NGAV и XDR/EDR 💻 Home 😉 Research #redteam #pentest ✈️ Whitehat Lab 💬 Chat

DBatLoader (aka ModiLoader) атакует пользователей в Турции через фишинг Infostealer / LOLBIN abuse / Telegram C2 В мае 2025 AhnLab ASEC зафиксировал атаку с использованием DBatLoader, распространяемого через фишинговые письма от имени турецких банков. Злоумышленники используют цепочку BAT- и PIF-файлов, маскирующихся под системные утилиты, для установки инфостилера SnakeKeylogger, написанного на .NET. Этапы атаки: 1. Инициация через e-mail ZIP-вложение содержит .bat`-файл, который извлекает и запускает `x.exe — загрузчик DBatLoader, закодированный в Base64. 2. Уклонение от детектирования DLL sideloading: запускается easinvoker.exe, подгружающий вредоносный netutils.dll. Process injection: SnakeKeylogger внедряется в процесс wxiygomE.pif (на деле это loader.exe от Mercury Mail). LOLBIN abuse: esentutl.exe копирует cmd.exe как alpha.pif extrac32.exe копирует powershell.exe как xkn.pif Скрипт neo.cmd добавляет путь в Defender исключения через PowerShell Используются дополнительные вспомогательные скрипты (`5696.cmd`, 8641.cmd, `neo.cmd`) с обфускацией и отложенным удалением артефактов. 3. Сбор и передача данных SnakeKeylogger крадёт нажатия клавиш, буфер обмена и системную информацию. Все данные отправляются через Telegram Bot API (`api.telegram.org/bot.../sendDocument`) с заранее заданным токеном и chat\_id. Детек: Мониторинг запуска esentutl.exe, extrac32.exe, cmd.exe, powershell.exe в пользовательских путях. Охота по нестандартным .pif, .cmd, .bat артефактам. Контроль Telegram API-трафика и телеметрии процессов .NET. 🔗 https://asec.ahnlab.com/ko/87980/ 🦔 THF

🔗Ссылка: https://www.securitylab.ru/news/559544.php