fa
Feedback
Fsecurity | HH

Fsecurity | HH

رفتن به کانال در Telegram

Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb

نمایش بیشتر
2 008
مشترکین
-224 ساعت
اطلاعاتی وجود ندارد7 روز
-1230 روز
آرشیو پست ها

Repost from RedTeam brazzers
Различным антивирусным агентам, SIEM, телеметрии и прочей собирающе-анализирующей штукенции требуется использовать сетевой ст
+1
Различным антивирусным агентам, SIEM, телеметрии и прочей собирающе-анализирующей штукенции требуется использовать сетевой стек винды для обмена данными с определенным управляющим сервером. Некоторые APTшники проводят атаки на цепочку сбора логов, например, ограничивая сетевую видимость хоста, с которого отправляется информация. Как можно эмулировать подобное поведение на проектах? Самым примитивным способом, описанным в прекрасных материалах Conti, было использование netsh с определенными параметрами.
netsh advfirewall firewall add rule name="Block connection to 10.10.10.10:445" dir=out action=block remoteip=10.10.10.10 remoteport=445 protocol=TCP
netsh advfirewall firewall add rule name="Block connection to 10.10.10.10:445" dir=out action=block remoteip=10.10.10.10 remoteport=445 protocol=UDP
Эту тему подхватил исследователь из Altered Security и на днях предоставил видеоролик, на котором виден принцип работы его инструмента (фото 1). С использованием WinAPI появляется возможность блокирования трафика определенного exe-файла. Так как POCа предоставлено не было, то я провел небольшое исследование и собственноручно создал подобный инструмент, добавив в него функционал по блокированию всех exe из указанной пользователем папки (фото 2). С кодом можно ознакомиться тут. Однако, этот метод достаточно известный, как следствие, большинство агентов будут иметь какую-нибудь защиту от такого воздействия. Не стоит отчаиваться, ведь можно посмотреть в сторону WFP (Windows Filtering Platform). Это фреймворк, позволяющий обрабатывать и фильтровать сетевой трафик с помощью компонентов Windows. Примеры использования можно увидеть тут, здесь и вот тут. Можно даже повышать привилегии с помощью WFP :) Смотри NoFilter. Сторона защитников тоже не отстает и разработала инструмент EDRNoiseMaker. Он позволяет обнаруживать настроенные фильтры WFP. И это вновь не все! Если мы хотим полностью вырубить хост, то есть атака ARP-Cage. Опенсурсная реализация есть тут и тут

Repost from Pentest HaT
🖼️ pspy v1.2.1 Отличный инструмент предназначенный для отслеживания процессов без необходимости использования root прав. Он
🖼️ pspy v1.2.1 Отличный инструмент предназначенный для отслеживания процессов без необходимости использования root прав. Он позволяет видеть команды выполняемые другими пользователями, задания cron и т. д. Написан на Go. Постоянно использую при решение машин на 🙃 HTB, 😁 THM и др. платформах. Запуск в 🥸 Debian like: wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.1/pspy64 chmod +x pspy64 ./pspy64
-r - список директорий для отслеживания (по дефолту /usr, /tmp, /etc, /home, /var и /opt)
-i - интервал в мс
-f - события файловой системы
--debug - вывод подробной информации
Готово, рекомендую! 💻 Home #golang #pspy #soft ✈️ // Pentest HaT 🎩

Возможно пропустили: Ролик на канале 🥳 Хочу также посоветовать: 1 - Наш discord сервер! Где можно пообщаться 👾 2 - Мой Github 🦑 Наш второй канал [Ximera-Chan]

Repost from k8s (in)security
В Calico нашли новую CVE-2024-33522 – она аффектит как Open Source версии (v3.27.2 и ниже), Calico Enterprise (v3.19.0-1, v3.18.1, v3.17.3 и ниже), и Calico Cloud (v19.2.0 и ниже). Сценарий эксплуатации довольно редкий – злоумышленник должен попасть на ноду (и при этом не быть root). Проблема возникает из-за некорректной установки SUID бита в сочетании с возможностью контролировать входной бинарный файл для установки CNI Calico, что позволяет злоумышленнику запустить произвольный бинарь с повышенными привилегиями. Интересно, что в Calico находят примерно один баг в год, тогда как в Cilium довольно активное security сообщество (только за 2024-ый год было найдено 5 CVE). Связано ли это в целом с более активным и масштабным коммьюнити Cilium думайте сами 😉

В 🖥 Chrome и 🦊 Firefox нашли опасную уязвимость нулевого дня В браузерах Google Chrome и Mozilla Firefox обнаружили уязвимо
В 🖥 Chrome и 🦊 Firefox нашли опасную уязвимость нулевого дня В браузерах Google Chrome и Mozilla Firefox обнаружили уязвимость нулевого дня CVE-2023-5217, которая позволяет хакерам атаковать пользователей 🖥 Windows, 🍏 macOS и 🖥 Linux. Хакеры уже активно эксплуатируют обнаруженную уязвимость — Google и Mozilla рекомендуют экстренно обновить браузеры.
Уязвимость нашли в популярной системе кодирования мультимедиафайлов WebM. Это может привести к переполнению буфера в кодеках, а также открыть для атак множество программ, связанных с аппаратным обеспечением от NVIDIA, AMD и Logitech, включая браузеры, Skype и VLC.
Формат VP8 WebM используется в значительном количестве ПО, так что, по мнению Mozilla, в дальнейшем это может превратиться в серьезную проблему. Найденная уязвимость, судя по разбору PCWord активируется только при кодировании медиафайлов, а не при декодировании. #news // nsis

Repost from Caster
Релиз моей статьи об обнаружении сетевых атак на Windows с использованием Suricata. В этой работе я продемонстрировал возможн
Релиз моей статьи об обнаружении сетевых атак на Windows с использованием Suricata. В этой работе я продемонстрировал возможности сигнатур Suricata для обнаружения активности инструментов Responder и mitm6. Caster - Neurotransmitter Genre: Defensive Label: exploit.org Release Date: 12 May 2024 Performed by: Caster Written by: Magama Bazarov https://blog.exploit.org/caster-neurotransmitter

Repost from TaipanByte CTF
Облачные хранилища небезопасны Рассказываем, как файлы в облачных хранилищах могут быть проиндексированы поисковыми системами
Облачные хранилища небезопасны Рассказываем, как файлы в облачных хранилищах могут быть проиндексированы поисковыми системами, даже если пользователь не намеревался делиться публично и почему ваши фотографии "Анапа 2012" уже попали к злоумышленникам. 🔗 Читать далее Авторы: @ExZuperi @FaLLenSkiLL

Repost from Kali Linux
💻 Генератор необычных PDF-файлов 🗄Создаёт 10 различных PDF с функцией phone-home (вы можете мониторить, кто и когда открыва
💻 Генератор необычных PDF-файлов 🗄Создаёт 10 различных PDF с функцией phone-home (вы можете мониторить, кто и когда открывает этот файл) Можно использовать с Burp Collaborator или Interact.sh Сфер применений масса — пентестить PDF-конвертеры, сервисы, обрабатывающие PDF, и т.д. 🗄Запуск: python3 malicious-pdf.py burp-collaborator-url 🖥 GitHub @linuxkalii

Возможно пропустили: Ролик на канале 🥳 Хочу также посоветовать: 1 - Наш discord сервер! Где можно пообщаться 👾 2 - Мой Github 🦑 Наш второй канал [Ximera-Chan]

🔴 RedTeam-Tools Этот репозиторий GitHub содержит набор инструментов и ресурсов, которые могут быть полезны для деятельности Red Teaming 🔗Ссылка: https://github.com/A-poc/RedTeam-Tools