Fsecurity | HH

🔗Ссылка: https://github.com/mazen160/secrets-patterns-db/

Задача для собеседования №4 Праздники закончились и теперь можно немного размять мозги. Ниже представлен сценарий, который может встретиться в реальных проектах. Сценарий После сбора информации было обнаружено, что группа доменных пользователей имеет привилегии на запись в директорию групповой политики SMB SIGNING, сама политика устанавливает smb подпись на всех хостах принадлежащие OU WORKSTATION. В OU входит рабочая станция администратора I.IVANOV. Дополнительные условия - Есть доменная учетная запись пользователя. - На всех хостах в сети установлены последние обновления. - На директорию групповой политики установлено наследование. Цель - Получить привилегии доменного администратора. Решение будет опубликовано через пару дней. #Внутрянка #Задачи

Inside China’s Hosting Ecosystem: 18,000+ Malware C2 Servers Mapped Across Major ISPs Hunt.io проанализировали китайскую хостинг-инфраструктуру и залинковали 18 000+ активных C2-серверов с 48 провайдерами. 84% артефактов - C2, основной объём приходится на China Unicom, Alibaba Cloud и Tencent. Доминируют фреймворки Mozi, ARL, Cobalt Strike, Mirai, Vshell. В одних сетях сосуществуют commodity-малварь, фишинг и APT-активность, что очень интересно 🔍 🔗 https://hunt.io/blog/china-hosting-malware-c2-infrastructure 🦔 THF

🔗Ссылка: https://habr.com/ru/post/962214

#defensive Mjolnir CVE tracker🌎 Компактное веб-приложение, позволяющая отслеживать угрозы и уровень активности их эксплуатации, фильтровать уязвимости по популярным приложениям.

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

Предполагается, что Windows Defender, или Защитник Windows, должен защищать пользователей OC Windows от вредоносных программ. Неудивительно, что злоумышленники ищут способы вырубить этот встроенный антивирус. В 2025 году появилось несколько новых атак, позволяющих это сделать. Летом мы рассказывали о техниках с использованием уязвимого драйвера (BYOVD). А осенью исследователи из Zero Salarium обнародовали метод отключения Windows Defender без всякого дополнительного ПО — через символическую ссылку (symlink). Как устроена атака: Windows Defender хранит свою исполняемую часть в такой папке:

%PROGRAMDATA%\Microsoft\Windows Defender\Platform\[номер_версии] 

Каждый раз, когда Defender обновляется, создаётся новая подпапка с номером версии, и служба Defender запускается именно из неё. Прав Администратора недостаточно для создания и изменения файлов в директориях Defender, в том числе и в директории Platform. Однако администратор может в ней создать другую папку. А также создать символическую ссылку на подконтрольную директорию. Это приведёт к тому, что после успешной подмены пути Defender начинает использовать файлы из папки под контролем атакующего, что позволяет: — внедрять свои библиотеки (DLL sideloading); — исполнять произвольный код в контексте службы Defender; — изменять или удалять исполняемые файлы Defender; — просто ломать работу Defender (удаление символической ссылки делает невозможным запуск службы MS Defender). Проще говоря, злоумышленник может полностью нейтрализовать или контролировать Defender без использования каких-либо сторонних инструментов. Для этого ему нужно: 1) Скопировать последнюю версию Defender из Platform в другую папку — допустим, в C:\temp\999 2) В каталоге Platform создать символическую ссылку с именем, соответствующим более поздней версии (например, для текущей версии 4.18.25020.1009-0 дать название 5.18.25020.1009-0). Для этого выполнить команду:

mklink /D "C:\ProgramData\Microsoft\Windows Defender\Platform\5.18.25020.1009-0" "C:\temp\999"

3) Перезагрузить Windows. После перезагрузки будет использоваться якобы новая версия Defender, обновятся абсолютные пути в реестре, которые через символическую ссылку будут указывать на директорию C:\temp\999. Удаление этой ссылки приведет к тому, что Defender перестанет запускаться. Как защищаться: Поскольку создание символических ссылок не логируется системой, нужно выявлять их создание, отлавливая командные строки с аргументами mklink, New-SymLink, symboliclink и директорией \Windows Defender\Platform\

🔗Ссылка: https://www.securitylab.ru/news/567851.php?r=1

🔗Ссылка: https://www.securitylab.ru/news/567983.php

Всем привет! Делюсь с вами долгожданной третьей частью Impacket Programming Guide! В этой части мы разобрали основные концепции библиотеки, рассмотрели несколько MSRPC протоколов, а в конце я создал инструмент, который использует кастомный RPC сервер для исполнения команд, что может стать полезным для бокового перемещения : ) Помимо того, реализовал функционал скачивания/загрузки файлов, ползанья по файловой системе и все это — в интерактивном шелле! Статья: https://medium.com/@cicada-8/impacket-developer-guide-part-3-make-your-own-lateral-movement-a2f8181f657b POC: https://github.com/CICADA8-Research/RpcMotion @RedTeamBro

🔗Ссылка: https://opennet.ru/64604/

🔗Ссылка: https://github.com/lk-geimfari/mimesis

🔗Ссылка: https://github.com/edoardottt/cariddi

🔗Ссылка: https://habr.com/ru/articles/983556/

↔️ Пивотинг Мой список инструментов, которыми пользуюсь на постоянной основе. Кто какие использует ? 😹 Reverse SSH 😹 Neo-reGeorg 😹 Ligolo-MP 😹 sshuttle 😹 Chisel #pivot #soft #network ✈️ Whitehat Lab 💬Chat

🔗Ссылка: https://github.com/RevoltSecurities/ShodanX

🔗Ссылка: https://habr.com/ru/companies/flowwow/articles/969798/

🔗Ссылка: https://github.com/0xNinjaCyclone/AsmLdr

🔗Ссылка: https://github.com/hahwul/dalfox

🖥️ Above v2.8.1 Обновление невидимого сетевого сниффера, предназначенного для поиска уязвимостей в сетевом оборудовании. Основан на анализе сетевого трафика, поэтому не создает никакого шума в эфире. Построен на библиотеке Scapy. Данный инструмент будет полезен не только пентестерам, но и инженерам по сетевой безопасности. Поддерживаемые сетевые протоколы:

MACSec (802.1X AE) EAPOL (Checking 802.1X versions) ARP (Host Discovery) CDP (Cisco Discovery Protocol) DTP (Dynamic Trunking Protocol) LLDP (Link Layer Discovery Protocol) VLAN (802.1Q) S7COMM (Siemens) (SCADA) OMRON (SCADA) TACACS+ (Terminal Access Controller Access Control System Plus) ModbusTCP (SCADA) STP (Spanning Tree Protocol) OSPF (Open Shortest Path First) EIGRP (Enhanced Interior Gateway Routing Protocol) BGP (Border Gateway Protocol) VRRP (Virtual Router Redundancy Protocol) HSRP (Host Standby Redundancy Protocol) GLBP (Gateway Load Balancing Protocol) IGMP (Internet Group Management Protocol) LLMNR (Link Local Multicast Name Resolution) NBT-NS (NetBIOS Name Service) MDNS (Multicast DNS) DHCP (Dynamic Host Configuration Protocol) DHCPv6 (Dynamic Host Configuration Protocol v6) ICMPv6 (Internet Control Message Protocol v6) SSDP (Simple Service Discovery Protocol) MNDP (MikroTik Neighbor Discovery Protocol) SNMP (Simple Network Management Protocol)

В 🐧 Kali Linux находится в репозиториях и устанавливается одной командой:

sudo apt update && sudo apt install above

Работает в двух режимах:

Hot mode - работа непосредственно с сетевым интерфейсом и возможностью включить захват пакетов по таймеру Cold mode - анализ дампов сетевого трафика

sudo above --interface eth0 --timer 120 --output above.pcap
above --input ospf-md5.cap

😹 Repo 🔗 Kali tools #above #sniffer #soft #python #network ✈️ Whitehat Lab 💬Chat