S.E.Book

👨‍💻 Active Directory Attack. 2024. • В этой статье мы рассмотрим популярные способы атак на AD, рассмотрим актуальные инструменты, рекомендации и ознакомимся с другими полезными ресурсами, которые актуальны в 2024 году. ➡ https://cybersecuritynews.com/active-directory-checklist/ #AD #Пентест #ИБ

Shadowserver сообщает (об очередной атаке на цепочку мудаков), что более 1400 серверов CrushFTP остаются уязвимы для атак (из 5232 открытых в Интернете, по данным Shodan), нацеленных на ошибку внедрения шаблонов на стороне сервера (SSTI) критической серьезности, ранее использовавшуюся в качестве 0-day. Поставщик описывает CVE-2024-4040 как выход из «песочницы» VFS в своем ПО для управляемой передачи файлов, приводящий к произвольному чтению файлов. Но на деле же неаутентифицированные злоумышленники могут использовать ее для реализации RCE в непропатченных системах. В пятницу компания предупредила клиентов о необходимости немедленного обновления, но воз и ныне там. Тем временем Rapid7 подтвердила серьезность уязвимости, заявив, что она полностью не аутентифицирована и может быть проэксплутирована без особых трудностей. Успешная эксплуатация позволяет не только читать произвольный файл от имени пользователя root, но также обходить аутентификацию для доступа к учетной записи администратора и полностью удаленно выполнять код. В свою очередь, CrowdStrike выкатил отчет с раскрытием реальных атак на ряд организации в США с целью кибершпионажа. Будем следить.

✅ Изучите тонкости и важные параметры MySQL на практическом открытом уроке «MySQL: оптимизация производительности» от OTUS 🔹На практическом занятии разберём основные способы оптимизации производительности СУБД MySQL. Научимся диагностировать нагрузку, анализировать запросы. Поговорим о настройке важнейших параметров конфигурации. 🔹В результате урока вы сможете понять причины проблем производительности, научитесь проводить анализ нагрузки и  параметры конфигурации MySQL. 👉 Регистрация https://otus.pw/TdcW/?erid=LjN8K7R1s

Исследователи GReAT из Лаборатории Касперского выкатили вторую часть аналитики по резонансному инциденту с бэкдором в XZ Utils. Основной акцент в исследовании сделан на социоинженерном аспекте атаки с подробным разбором личностей и хронологии активности участников, провернувших настоящую многолетнюю операцию по вытеснению мейнтейнера XZ Utils и троянизации пакета. Исследователи отмечают, что высококлассные APT-группы проводят весьма продуманные кампании социнженерии для проникновения в хорошо защищенные цели, как в случае с продвижением имплантатов Green Lambert на Ближний Восток. И, судя по всему, подход к внедрению XZ Utils, скорее всего, также имел тщательно спланированный и долгосрочный характер, правда, был несколько неуклюже реализован. Конечная цель заключалась в том, чтобы скрытно внедрить бэкдор, нацелившись на процесс сборки XZ Utils. После чего имплиментировать зашифрованный код в основные дистрибутивы Linux в рамках крупномасштабной атаки на цепочку поставок. Безусловно, такой подход в социнженерии, возможно, не является чем-то новым, но обращает на себя внимание другое - потрясающе тонкая вставка вредоносного кода в процессе сборки - до этого нечто подобное было замечена в наделавшем шуму инциденте с SolarWinds. Только на этот раз в процессе сборки участвовал человек, а продолжительный доступ к исходному коду/среде разработки был получен с помощью социнженерии и дополнен взаимодействиями с вымышленными личностями. Все подробности, откуда нарисовались парни из Сингапура, Индии и Германии в истории с XZ Utils и как удалось провернуть аферу - в отчете на securelist.

👨‍💻 OSCP Cheat Sheet. • Commands, Payloads and Resources for the OffSec Certified Professional Certification (OSCP). - Basics; - Information Gathering; - Vulnerability Analysis; - Web Application Analysis; - Database Assessment; - Password Attacks; - Exploitation Tools; - Post Exploitation; - Exploit Databases; - CVEs; - Payloads; - Wordlists; - Social Media Resources; - Commands. #OSCP #CheatSheet

Бизоны рассказали о том, как новая планируемая Scaly Wolf кампания потерпела фиаско из-за загрузчика, который не смог. Как и в прошлых атаках, Scaly Wolf полагались на фишинговые письма с прикрепленным легитимным документом якобы от имени федерального ведомства, нацеливаясь таким образом на российские промышленные, логистические и государственные компании. Для достижения своих кибершпионских намерений APT задействует последние версии стилера White Snake. Но в отличие от предыдущих атак, в мартовской кампании в отношении российских и белорусских компаний злоумышленники попробовали реализовать новый способ внедрения вредоносного ПО в инфраструктуру. Раньше они просто укладывали стилер в защищенный паролем архив, теперь же они воспользовались вредоносным загрузчиком под названием in2al5d p3in4er (invalid printer). При открытии архива printer проверял, не попал ли в виртуальную среду, и в случае успеха внедрял внедрял вредоносную нагрузку в адресное пространство процесса explorer.exe. Проверка осуществлялась с использованием библиотеки dxgi.dll, которая сверяла идентификаторы производителей графических карт, используемых системой. Не найдя Nvidia, AMD или Intel, вредоносный файл прекращал выполнение. Особенностью загрузчика является то, что он не использует WinAPI‑вызовы для обращения к ядру Windows. Вместо этого функции вызываются напрямую с помощью syscall с требуемыми аргументами. Также стоит отметить, что загрузчик во время выполнения пытается открыть множество случайных несуществующих в системе файлов и записать в них случайные данные. Для определения процесса explorer.exe загрузчик перебирает структуры запущенных процессов и сравнивает контрольную сумму от имени процесса с сохраненным значением. После обнаружения нужного копирует в него расшифрованную вредоносную нагрузку, после чего изменяет контекст процесса для выполнения внедренного шелл-кода. Полезная нагрузка представляет собой шелл-код, полученный с помощью утилиты с открытым исходным кодом Donut, позволяющей выполнять в памяти исполняемые файлы (в том числе .NET). Однако из-за ошибки в коде скопировался легитимный explorer.exe, без внедренного шелл-кода, сводя на нет всю цепочку заражения. Обновленный перечень IOC и и детальное описание TTPs - в отчете.

👨‍💻 Pwning the Domain: Credentialess/Username. • Reconnaissance; • DHCP; • DNS; • NBT-NS; • Responder analyze mode; • LDAP; • RPC; • SMB null session; • Finding usernames; • SMB; • RPC; • LDAP; • Kerberos; • What is LLMNR/NBTNS/MDNS Poisoning; • How to Perform LLMNR/NBTNS poisoning via SMB; • What is ARP Spoofing (Address Resolution Protocol); • How Does the attack works? • What is DNS poisoning; • What is DHCP Poisoning? • How Does the attack works? • What is WSUS Poisoning; • What is ASREPRoasting; • How Does this attack works? • Net-NTLM relay Attacks; • MS SQL Relay Attack; • ASREPRoasting; • Bruteforcing; • Vulnerabilities; • ProxyShell; • ProxyLogon; • EternalBlue; • SMBGhost; • Zerologon; • PetitPotam; • Reference. #Пентест

Обучение по DevOps для разработчиков, сисадминов и тестировщиков — прокачайте свое резюме для крутых проектов Изучите актуальный стек технологий, расширьте портфолио и увеличьте востребованность и доход всего за 5 месяцев Живые онлайн-лекции с опытными экспертами, огромное количество практики и доступные условия 🗓 Старт 30 мая 🎁 В честь предстоящих праздников мы дарим скидку по промокоду MAY2024 (-15% с 28.04 по 01.05.2024 включительно) 💻 Пройдите вступительный тест, чтобы забронировать скидку Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

👨‍💻 Как хакнуть chess.com детским эксплойтом. • История обнаружения XSS-уязвимости на крупнейшем шахматном сайте интернета со 100 миллионами участников – Chess.com ➡️ Оригинал: https://skii.dev/rook-to-xss/ ➡️ Перевод: https://habr.com/post/790330/ #ИБ #web

erid: LjN8K3nbi 😱 В 2023 году было зафиксировано 290 утечек персональных данных россиян.  Чтобы уменьшить эту статистику, подпишитесь на канал Компании Индид и оставайтесь в курсе передовых технологий для информационной безопасности. Кроме того, внутри канала: различные экспертные материалы по ИБ, разбор решений для защиты доступа к ИТ-системам, новости с полей информационной безопасности и даже тематические мемы. Если вы работаете в ИБ или интересуетесь сферой, то этот канал для вас — @indeed_company