Fsecurity | HH

🔗Ссылка: https://habr.com/ru/articles/931808/

🔗Ссылка: https://github.com/wddadk/Offensive-OSINT-Tools

🔗Ссылка: https://opennet.ru/63665/

🔗Ссылка: https://github.com/TheSleekBoyCompany/AnsibleHound

📂 Forensics: подборка полезных ссылок Для проведения работ по исследованию и сбору цифровых доказательств необходимо придерживаться принципов неизменности, целостности, полноты информации и ее надежности. Для этого необходимо следовать рекомендациям к ПО и методам проведения расследований. Конверторы

1. CyberChef — мультиинструмент для кодирования, декодирования, сжатия и анализа данных. 2. DateDecode — конвертирование бинарных данных.

Анализ файлов

1.

010 Editor Templates

— тимплейты для редактора 010. 2.

Contruct formats

— парсер различных видов файлов на python. 3.

HFSPlus Grammars

— HFS+ составляющие для Synalysis 4.

Sleuth Kit file system grammars

— составляющие для различных файловых систем. 5.

Synalyse It! Grammars

— файловые составляющие для Synalyze It! 6.

WinHex Templates

— файловые составляющие для WinHex и X-Ways.

Обработка образов дисков

1.

imagemounter

— утилита командной строки для быстрого монтирования образов дисков 2.

libewf

— Libewf библиотека и утилиты доступа и обработки форматов EWF, E01. 3.

xmount

— конвертирования образов дисков.

#Converter #Analysis #File #Tools #Forensic 🧿 OSINT | Форензика

WSL-Payloads A small How-To on creating your own weaponized WSL file

Read “Famous Chollima APT Adversary Simulation“ on Medium: https://medium.com/@S3N4T0R/famous-chollima-apt-adversary-simulation-58fbdf241d0e

🐈‍⬛ [2/2] Обзор ключевых изменений в Hashcat 7.0.0 1.5. Поддержка Docker Хотя основное назначение Docker-образа — это создание чистой и воспроизводимой среды для сборки Hashcat (включая кросс-компиляцию для Windows), его можно с небольшими изменениями превратить и в среду для запуска. Это упрощает развертывание и управление зависимостями. ➡️2. Новые алгоритмы и улучшения производительности 2.1. Поддержка Argon2 на GPU Одним из самых долгожданных нововведений стала эффективная реализация Argon2 (победителя конкурса Password Hashing Competition) для GPU. Ранее этот "GPU-устойчивый" алгоритм можно было атаковать только на CPU. Используя специальные инструкции warp shuffle, доступные на современных GPU, разработчикам удалось реализовать высокопроизводительную версию, которая хранит целый блок данных (1024 байта) в регистрах GPU. Это обеспечивает значительное ускорение по сравнению с CPU-реализациями. 2.2. Общий прирост производительности Благодаря полной переработке движка автотюнинга (Autotune) и механизмов управления памятью, многие алгоритмы получили значительный прирост скорости. ▪️scrypt: до +320% на NVIDIA и +60% на AMD. ▪️bcrypt: +11% на NVIDIA. ▪️Whirlpool: +113% на AMD. ▪️SHA1: +16.48% на NVIDIA благодаря поддержке новых низкоуровневых инструкций. ▪️NTLM на CPU: Впервые преодолен барьер в 10 GH/s на потребительском процессоре (AMD Ryzen 9 9900X). ➡️3. Улучшения существующих функций 3.1. Переработка движка автотюнинга (Autotune Refactorization) Движок автотюнинга, отвечающий за подбор оптимальных параметров запуска для максимальной производительности, был полностью переписан. Новый трехэтапный процесс (теоретический и измерительный) позволяет более точно и гибко настраивать параметры, избегая проблем старых версий. 3.2. Переработка управления памятью (Memory Management Refactorization) Был снят жесткий лимит в 4 ГБ памяти на одно устройство. Новая динамическая система, названная "Downtuner", анализирует реальные характеристики оборудования (количество вычислительных блоков, объем памяти) и подбирает оптимальные параметры, чтобы избежать ошибок нехватки памяти как на устройстве, так и на хосте. 3.3. Переработка Scrypt Обработка алгоритмов на основе scrypt была значительно переработана. Логика вынесена в общую библиотеку для упрощения разработки плагинов. Новая динамическая стратегия тюнинга позволяет на лету вычислять оптимальные параметры, что делает работу более адаптивной и надежной. 3.4. Улучшения движка правил (Rule Engine) Движок правил был расширен за счет добавления команд для классов символов, синтаксис которых аналогичен используемому в John the Ripper. Это позволяет создавать более сложные и гибкие правила для мутации паролей. 🔖Заключение Hashcat 7.0.0 — это не просто очередное обновление, а качественный скачок, который определяет будущее инструмента на годы вперед. Внедрение Assimilation Bridge открывает практически безграничные возможности для гибридного хешкракинга. Поддержка Argon2 на GPU решает одну из самых актуальных задач в области. А глубокая переработка внутренних механизмов, таких как автотюнинг и управление памятью, обеспечивает значительный прирост производительности и стабильности. 👍 Это обновление, безусловно, стоило трех лет ожидания)) 🔗 ТУТ можете почитать changelog более полно на англ 🔗 Скачать последнюю версию 🐈‍⬛ 🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

🐈‍⬛ [1/2] Обзор ключевых изменений в Hashcat 7.0.0 Выход Hashcat 7.0.0 знаменует собой значительный скачок в развитии инструмента. В работе над релизом приняли участие 105 контрибьюторов, было изменено около 900 000 строк кода. Обновление не только вводит новые мощные функции, но и серьезно перерабатывает и улучшает уже существующие. Основные нововведения можно сгруппировать по следующим категориям: ▪️Новые возможности: Радикально новые функции, расширяющие горизонты применения Hashcat. ▪️Новые алгоритмы: Поддержка современных и востребованных алгоритмов хеширования. ▪️Улучшения производительности: Значительный прирост скорости на различном оборудовании. ▪️Совершенствование существующих функций: Глубокая переработка внутренних механизмов для повышения эффективности и стабильности. ➡️1. Новые функции: расширение границ возможного 1.1. Assimilation Bridge: Революционная концепция Это, пожалуй, самое важное нововведение в Hashcat 7.0.0. Assimilation Bridge — это новая архитектура, которая позволяет интегрировать в Hashcat внешние вычислительные ресурсы, выходя за рамки традиционных бэкендов, таких как OpenCL и CUDA. Теперь можно подключать: ▪️FPGA (Программируемые пользователем вентильные матрицы) ▪️Удаленные TPM (Trusted Platform Modules) ▪️Скриптовые языки (например, Python) Ключевая идея — гибридное исполнение. Части одного и того же алгоритма могут выполняться на разном оборудовании. Например, в scrypt часть PBKDF2 может обрабатываться на GPU, а ресурсоемкая по памяти часть SMix — на FPGA или CPU. Одним из ярких примеров реализации моста является Python Bridge. Он позволяет писать логику для новых или редких алгоритмов хеширования прямо на Python, без необходимости перекомпиляции ядра Hashcat или написания сложного кода для GPU. Это значительно упрощает эксперименты и решение задач в рамках CTF-соревнований. 1.2. Виртуальные устройства (Virtual Devices) Эта функция позволяет Hashcat разделять одно физическое устройство (например, GPU) на несколько виртуальных. Это решает проблему асинхронной работы и разных скоростей при использовании Assimilation Bridge. Каждое виртуальное устройство может обрабатывать данные в своем темпе, что исключает простои и повышает общую эффективность. Управлять этим можно с помощью новых ключей -Y (количество виртуальных устройств) и -R (привязка к физическому устройству). 1.3. Новые бэкенды: HIP и Metal Hashcat 7.0.0 вводит официальную поддержку двух новых вычислительных API: ▪️AMD HIP: Аналог CUDA для видеокарт AMD. Поддержка HIP была и ранее, но теперь она считается стабильной и во многих случаях показывает лучшую производительность, чем OpenCL на тех же устройствах. ▪️Apple Metal: Низкоуровневый API для устройств Apple. Учитывая, что Apple отказалась от поддержки OpenCL, интеграция Metal является критически важным шагом для поддержания высокой производительности на macOS и устройствах с чипами Apple Silicon (M1, M2 и т.д.). Интеграция Metal привела к колоссальному росту производительности: например, для Argon2 скорость выросла на 4550%. 1.4. Автоматическое определение режима хеширования Для повышения удобства использования теперь не обязательно указывать режим хеширования с помощью параметра -m. Hashcat может автоматически проанализировать входной хеш и определить соответствующий режим. Если хеш соответствует нескольким режимам, Hashcat выведет список для выбора. Для принудительной идентификации без запуска атаки можно использовать новую опцию --identify. 🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

🔗Ссылка: https://xakep.ru/2025/07/25/chemia-encrypthub/

🔗Ссылка: https://opennet.ru/63662/

🔗Ссылка: https://opennet.ru/63663/

🔗Ссылка: https://habr.com/ru/companies/cdnnow/articles/837012/

🔗Ссылка: https://securelist.ru/cobalt-strike-attacks-using-quora-github-social-media/113139/

🔗Ссылка: https://xakep.ru/2025/07/31/raspberry-pi-heist/

Маленькие хакерские секреты простых вещей. Как на пентесте быстро и просто увидеть что цель это ханипот. И при этом даже не спускаясь с сетевого уровня до уровня приложения. Все дело в том что, многие производители ханипотов часто забывают эмулировать стэк ОС для соответствующих специфичных сервисов. Видим типичный набор портов Windows, а сетевой стэк Linux.

🔗Ссылка: https://opennet.ru/63651/

🔗Ссылка: https://opennet.ru/63649/

EXEfromCER Download an executable from a public SSL certificate Brief:

This is a proof of concept to deliver a binary payload via an X.509 TLS certificate. It embeds a full Windows executable inside a custom extension of an X.509 certificate and serves it via HTTPS. The client extracts the payload from the certificate and executes it. 1 Generate a certificate with a custom OID extension containing your binary. (openssl req -new -x509 -days 365 -config cert.ini -keyout srkey.pem -out srcert.pem -nodes) 2 Serve it over TLS (e.g., with OpenSSL). 3 Python client connects to the SSL server, extracts the binary, writes it to disk, and runs it.

Github Repository 🔗 @hackern0tes

🍏macOS ClickFix: фишинг через AppleScript без загрузки файлов 🖥ClickFix 2.0 (теперь без explorer у windows) нацеливается на macOS — жертве показывается фейковая CAPTCHA и сообщение: "Обнаружена подозрительная активность. Вставьте эту команду в Terminal для восстановления." команда: echo 'BASE64' | base64 -d | bash 🎹 Что делает payload: • крадёт данные браузеров (Firefox, Chrome, Brave) • собирает кошельки MetaMask, BNB, IndexedDB • копирует cookies Safari, заметки, keychain • ворует документы (.txt, .pdf, .docx и др.) Всё упаковывается в /tmp/out.zip (через ditto) и отправляется на http://C2/log через curl. После этого скрипт удаляет временные файлы, включая сам архив. 🌐Инфраструктура можно поискать на hunt.io: • обнаружено более 50 серверов • подозрительный порт 3333 с панелью (отдаёт 404 по умолчанию) • SSH и iperf3 на 5201 • CORS-заголовки позволяют любой Origin и Cookie — можно красть сессии 😡Evasion: • не требует .app/.pkg • не содержит вложений • всё запускается руками жертвы • base64 -d | bash — ключевой индикатор ✍️Рекомендации: • следить за osascript, curl, base64 в Terminal • мониторить Clipboard-to-Terminal поведение • учить пользователей не запускать команды из браузера • ужесточить CORS-политики • отслеживать трафик на нестандартные порты (3333, 5201) 🔗 https://hunt.io/blog/macos-clickfix-applescript-terminal-phishing 🦔THF 🚀 ClickFix на macOS — фишинг без файлов, стилер без скачивания, эксфиль без шума. macOS больше не "безопасная платформа", особенно с такими атаками. Следим за base64 -d | bash — это новый wscript.exe для Mac.