Fsecurity | HH

Сделаю сегодня ещё посты👾 Хочу узнать ваше мнение 🤔

🔗Ссылка: https://habr.com/ru/companies/otus/articles/861740/

Наш Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

👉

🔗Ссылка: https://opennet.ru/62371/

Вредоносные конфигурации VPN клиентов Каждый час приближает нас к использованию альтернативных фишинговых нагрузок взамен привычным макросам. Выходили исследования про LNK, ZIP, RAR, REG, MSIX и множеству других файловых форматов, каждый из которых предлагал новый оригинальный способ получения заветного шелла. Этим все не ограничилось, и не так давно стала популярна тема вредоносных VPN-конфигураций или даже полноценных VPN-серверов, как продемонстрировал нам NachoVPN. Однако инструмент направлен на серьезные коммерческие VPN-решения: Cisco, SonicWall, PaloAlto, PulseSecure. Они удобны, но возможность их покупки несколько ограничена в последнее время)))) Поэтому в инфраструктуре встречаются WireGuard и OpenVPN. Как можно атаковать их? Для OpenVPN существуют ключевые слова up и down, которые позволяют исполнять команду при поднятии и выключении интерфейса соответственно. Для WireGuard аналогично — PostUp / PostDown. На фотографиях доказательство успешной эксплуатации, а здесь можно найти примеры конфигурационных файлов.

🔗Ссылка: https://habr.com/ru/companies/swordfish_security/articles/864190/

🔗Ссылка: https://opennet.ru/62365/

Пожалуй добавлю к другим сканерам памяти процессов)) Soft: https://github.com/RWXstoned/GimmeShelter Blog: https://rwxstoned.github.io/2024-12-06-GimmeShelter/

Что проверяет, судя по описанию: * есть ли сборка dotNet * вероятные DLL hijacking/sideloading * использует ли процесс wininet.dll или winhttp.dll * установлен ли Control Flow Guard * секции и частную память с разрешениями RWX

Да, для более тщательного изучения есть та же Moneta, но почему бы и нет)) #maldev #blueteam

Наш Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

Моя первая попытка использовать Cobalt Strike и Artifact Kit. Другие киты я пока не собираюсь трогать, чтобы не распыляться между ними. Мне удалось запустить билд и сгенерировать новый beacon, и вы можете увидеть различие в их размерах. Не знаю, насколько это вообще имеет значение. Тестировать на VirusTotal пока не собираюсь. Скорее всего, я попробую запустить на виртуальной машине и проверю, что будет с этими beacon. P.s. Скорее всего, он детектируется даже при использовании какого-то рандома.

Cobalt Strike использует Artifact Kit для создания своих исполняемых файлов и библиотек DLL. Artifact Kit - это платформа с исходным кодом для создания исполняемых файлов и библиотек DLL, которые обходят некоторые антивирусные продукты. Скрипт сборки Artifact Kit создает папку с шаблонами артефактов для каждого метода Artifact Kit. 

Те, кто хочет узнавать на каком этапе я с CobaltStrike, могут кинуть бусты на наш Discord сервер и получит доступ в приватные чаты 👾 Либо пройти набор в PFS Academy

Пентест руками ламера. 🔗Ссылка: https://codeby.net/threads/pentest-rukami-lamera-1-chast.59575/

🔗Ссылка: https://www.securitylab.ru/news/554573.php

🔗Ссылка: https://www.securitylab.ru/news/554576.php

Scout Suite - это инструмент аудита безопасности в нескольких облаках с открытым исходным кодом, который позволяет оценивать уровень безопасности облачных сред. Используя API-интерфейсы, предоставляемые поставщиками облачных услуг, Scout Suite собирает данные о конфигурации для проверки вручную и выявляет области риска. Вместо того чтобы просматривать десятки страниц на веб-консолях, Scout Suite автоматически предоставляет четкое представление о зоне атаки. 🔗Ссылка: https://github.com/nccgroup/ScoutSuite

🔗Ссылка: https://opennet.ru/62364/

😈 Подписанные веб-токены широко используются для аутентификации и авторизации без сохранения состояния в вебе. Самый популярный и знакомый всем формат — JSON Web Tokens (JWT), но за его пределами процветает разнообразная экосистема стандартов, каждый из которых имеет собственную реализацию хранения данных и безопасности. Чтобы помочь оценить их, команда PortSwigger выпустила новое опенсорсное расширение SignSaboteur. Это расширение Burp Suite, которое поддерживает различные типы токенов, включая Django, Flask и Express, оно позволяет редактировать, подписывать, проверять и атаковать эти токены. Инструмент обеспечивает автоматическое обнаружение и встроенное редактирование токенов в HTTP-запросах/ответах и ​​веб-сокетах. Под капотом — готовые словари для секретных ключей и соли по умолчанию, а также поддержка строк в JSON-кодировке и кастомных словарей. Вы также можете сохранять известные ключи для будущих атак и изменять подписанные токены в разделах Proxy и Repeater. 🕷Ключевые фичи: ✅ Автоматическое обнаружение и редактирование: встроенное редактирование токенов в HTTP-запросах/ответах и веб-сокетах. ✅ Готовые словари: включают в себя секретные ключи и соли по умолчанию, а также поддержку кастомных словарей и строк в JSON-кодировке. ✅ Брутфорс атаки: автоматизирует атаки методом перебора с использованием известных ключей и различных методов вывода. ✅ Атаки для обхода авторизации: поддерживает множественные атаки байпаса. ✅ Режим неизвестных подписанных строк: обнаруживает и анализирует неизвестные подписанные токены с использованием различных функций хеширования. Читать подробнее: 🔗 Обзор на YesWeHack 🔗 Анонс на PortSwigger 🔗 GitHub #инструменты