Fsecurity | HH

🛡 Application Attack Matrix — созданная сообществом MITRE-подобная матрица тактик, техник и процедур используемых злоумышленниками при атаках на веб-приложения. 🟡Матрица включает 41 технику, сгруппированную по 7 тактикам, которые, в свою очередь, организованы по 4 фазам атак на веб-приложения. 🟡В качестве основной причины создания отдельной матрицы заявляется то, что MITRE ATT&CK фокусируется на техниках, покрывающих инфраструктуру и конечные точки/технологии (ОС, сети, облака, мобильные устройства и контейнеры), "не заглядывая" на уровень веб-приложений. При этом в самой матрице описано половина техник, присутствующих в "материнской" матрице. 🟡Для каждой (ну почти) техники есть описание, возможные подтехники, примеры процедур, меры противодействия, методы обнаружения. 🟡Есть разбор (довольно неплохой) 24 "громких" атак (Regression,PyLoose, XZ-Utils Backdoor, и т.п.). 🟡Авторы обещают поддерживать и развивать проект. #mitre #matrix #appsec #application #ttp #mitigation

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

#Мем

🧪 When Installers Turn Evil: The Pascal Script Behind Inno Setup Malware Campaign ⚙️ Delivery: злоупотребление Inno Setup Малварь маскируется под инсталлятор: idp.dll — legit плагин idp.exe — 7za.exe (распаковка) ImageConverter.exe — фейк-декой .iss Pascal script: скрытый запуск, WMI-чек, скачивание архива 🛡 Anti-analysis & sandbox evasion XOR-обфускация строк (процессы, пользователи, модели VM) WMI-запросы: Win32_Process, Win32_ComputerSystem Проверка имён типа application_stable_release, detection VM/AV 🌐 Next-stage: rentry[.]org + TinyURL TinyURL → rentry[.]org (auth header rentry-auth) Ответ: ссылка на package.zip Распаковка: idp.exe x -p<password> (T1027.015) ⛓ Persistence через планировщик (T1053) Создание задачи: schtasks /Create /xml lang WhatsAppSyncTaskMachineCore /f Файл taskshostw.exe → %localappdata%\Programs\Common\ с hidden-атрибутами 💣 DLL sideloading → Shellcode → HijackLoader ScoreFeedbackTool.exe загружает троянизированный QtGuid4.dll Дешифруется periphyton.ics → shellcode Shellcode тянет HijackLoader из glucoprotein.php (PNG-like, XOR + LZNT1) Распаковка через RtlDecompressBuffer(), поиск IDAT-чанков 🧠 HijackLoader → MSBuild → RedLine Инжект в MSBuild.exe (T1127.001) Модификация .text в системных DLL Использует: Call Stack Spoofing, Hollowing, Heaven’s Gate Payload — RedLine Stealer (.NET) 🔍 RedLine Stealer Обфускация Constant unfolding (T1027.010) Браузеры (Chrome, Edge, Brave, Iridium, etc.) Расширения криптокошельков (MetaMask, Binance, TRONLink) Chrome с --no-sandbox, --user-data-dir (T1497) IE -extoff для загрузки страниц без расширений (T1562.001) WMI: OS, процессор, память, видео 🛡 Detection идеи (Splunk rules) 📍 Доступ к Chrome Local State из non-chrome процессов 🧱 Unsigned DLL sideloading 📅 Hidden scheduled tasks 🧩 Chrome с --no-sandbox и --user-data-dir 🧬 IE -extoff вызовы 🧩 Цепочка построена на легитимных инструментах — Inno, Pascal, 7za, WMI, MSBuild, DLL — для обхода детекта. Эффективный hunting требует поведенческого анализа, контроля сетевых запросов к paste-сервисам и runtime-анализа планировщика/библиотек. 🔗https://www.splunk.com/en_us/blog/security/inno-setup-malware-redline-stealer-campaign.html 🦔 THF

#Мем

🔗Ссылка: https://www.securitylab.ru/news/561284.php

Novel C2 abusing Exchange Web Services and Steganography 👾 Люблю нетривиальные реализации TA0011 Command and Control, особенно со стегой 🎩 Команда Unit 42 разобрали бэкдор RDAT, связанный с группой OilRig. В свежих сэмплах — новая C2-инфра и интересный флоу 🥳 Как работает: • Иcпользует API Exchange Web Service как C2 канал 📧 • Снижает WINHTTP_OPTION_AUTOLOGON_POLICY до Low → автологин на Exchange через креды текущего юзера 🪟 • Создаёт inbox rule → письма с C2 адресов летят в junk 🗑 • Мониторит спам и вытаскивает команды из BMP-вложений 🖼 📤 Эксфильтрация — тоже через BMP, упакованные в черновики и отправленные с заражённого хоста на почту оператора 🔗 Research: https://unit42.paloaltonetworks.com/oilrig-novel-c2-channel-steganography/ 🧢 s0ld13r

🔗Ссылка: https://habr.com/ru/articles/862598/

🔗Ссылка: https://habr.com/ru/articles/926014/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🦠 Attacking EDRs Подборка материалов по атакам на EDR системы (англ.) ➡️ Intro & Security Analysis of EDR Drivers ➡️ Driver Analysis Results ➡️ One Bug to Stop them all ➡️ Fuzzing Defender's Scanning and Emulation Engine #edr #analysis #windows ✈️ Whitehat Lab 💬Chat

💡 Фича-флаги для багхантера Обращайте внимание на всё, что в HTML содержит featureFlag или просто flag. Часто разработчики проводят A/B-тесты, и фичи «выключены» у вас на глазах. Иногда достаточно: ▪️поменять false на true, ▪️или добавить строку в массив через match-and-replace в Burp. ⚙️ Больше включённых фич → больше функциональности → шире зона охвата → больше уязвимостей. Проверяйте скрытые возможности — они любят ломаться первыми.

Мемы на выходные 👾

🔗Ссылка: https://habr.com/ru/companies/beget/articles/925990/

Простой в использовании инструмент управления делами IR (incident response) для отслеживания и документирования расследований. 🔗Ссылки: https://findevil.io/Kanvas-page https://github.com/WithSecureLabs/Kanvas

🔗Ссылка: https://habr.com/ru/companies/tomhunter/articles/925676/

🔗Ссылка: https://opennet.ru/63566/

🔗Ссылку: https://www.securitylab.ru/news/561226.php

🔗Ссылка: https://habr.com/ru/articles/926614/

🔗Ссылка: https://jorianwoltjer.com/blog/p/research/nonce-csp-bypass-using-disk-cache