Fsecurity | HH

Всем хак! Админ возвращается с отпуска — готов к работе. 👾🍷 Что уже сделал: 1. Обновил Obsidian-Pentest ✅ 2. Обновил ArsenalKit на GitHub — добавил модуль для NetExec от @Hermano (спасибо ему!) ⭐ 3. Обновил закладки для браузера 🔖 Также обновил хранилище 🧰・arsenal — завёз много нового, залетайте и чекайте. Участникам: 🧰・ArsenalKit — проверьте доступы и обновления. Больше можно узнать у нас в Discord сервере!

🔗Ссылка: https://www.securitylab.ru/news/563103.php

🔗Ссылка: https://opennet.ru/63825/

🔗Ссылка: https://github.com/jtesta/ssh-mitm

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

Мы знаем, что публикация больших исследований приносит больше лайков, чем маленькие полезные советы. Но мы ценим минимализм, а потому – очередной пост в жанре «хозяйке на заметку». Атакующие часто применяют встроенные инструменты системы, а ещё они любят скрытые и односимвольные файлы. Типичный пример такого использования Python на Linux представлен на скриншоте выше. Злоумышленники использовали этот однострочник, чтобы загрузить файл с удаленного web-ресурса, сохранить его в скрытый файл .1, назначить ему права executable и запусить этот файл. Мораль: надо следить за такими проявлениями минимализма, как создание и исполнение скрытых и односимвольных файлов, а также за подозрительными командами Python.

🔗Ссылка: https://github.com/MalBeacon/what-is-this-stealer

Если не хочется ставить Katana или LinkFinder - доработал способ поиска ссылок прямо в браузере. Прочитать можно здесь. Ссылка на гит

🦎🔄 AdaptixC2 v0.8 Обзоры UPD 0.8: Изменения ⭐️Возможности:

Server/Client Architecture for Multiplayer Support Cross-platform GUI client Fully encrypted communications Listener and Agents as Plugin (Extender) Client extensibility for adding new tools Task and Jobs storage Files and Process browsers Socks4 / Socks5 / Socks5 Auth support Local and Reverse port forwarding support BOF support Linking Agents and Sessions Graph Agents Health Checker Agents KillDate and WorkingTime control Windows/Linux/MacOs agents support Remote Terminal

⚙️Установка/Запуск 💻:

sudo apt install mingw-w64 make

wget https://go.dev/dl/go1.24.4.linux-amd64.tar.gz -O /tmp/go1.24.4.linux-amd64.tar.gz
sudo rm -rf /usr/local/go /usr/local/bin/go
sudo tar -C /usr/local -xzf /tmp/go1.24.4.linux-amd64.tar.gz
sudo ln -s /usr/local/go/bin/go /usr/local/bin/go

sudo apt install gcc g++ build-essential cmake libssl-dev qt6-base-dev qt6-websockets-dev qt6-declarative-dev

git clone https://github.com/Adaptix-Framework/AdaptixC2.git
cd AdaptixC2
make server
make extenders
make client
cd dist
chmod +x ssl_gen.sh
./ssl_gen.sh

./adaptixserver -profile profile.json
./AdaptixClient

💻 Rep 💻 Extension-Kit 📔 Docs ✈️ Group #adaptixc2 #redteam #soft ✈️ Whitehat Lab 💬Chat

🔗Ссылка: https://habr.com/ru/companies/bastion/articles/937210/

🤨 Крыса! Несколько дней подряд мой сервер обстреливали запросами с разных IP. Узнал я об этом совершенно случайно, когда зашёл через SSH по другой причине и решил посмотреть логи. И тут я просто выпал. Какой-то упёртый товарищ через веб-страницу долбил админку одного сервиса из трёх букв (название опустим, но суть поняли), пытаясь перебрать логины и пароли. Причём без капли стеснения он это делал с 30 запросами в секунду (108к запросов в час). Продолжалось это без остановки с 28 августа 04:09:44 по 2 сентября 12:33:35, а далее затишье. Я сразу решил, что так оставлять нельзя. Вечером того же дня поставил Fail2ban, прописал фильтр и подключил его к логам. И, как по заказу, атакующий снова вылез 2-го сентября в 23:07:56. Но на этот раз всё закончилось для него быстро и печально. Даже секунды не прошло, как IPS повязал ему ручонки (см. скриншот). Ну и я подумал, что из этого можно было бы выкатить простой гайд по установке и настройке Fail2ban.

Fail2Ban – программа для защиты серверов от атак методом грубой силы.

Если кому интересно, как настроить Fail2ban в пару кликов под X-UI (как в моём случае), держите гайд. ➡️1) Обновляем пакеты

sudo apt update

➡️2) Устанавливаем Fail2ban

sudo apt install fail2ban -y

➡️3) Проверяем установку — должно выдать версию Fail2ban

fail2ban-client --version

➡️4) Запускаем сервис и смотрим статус

sudo systemctl enable --now fail2ban

sudo systemctl status fail2ban

➡️5) Fail2ban будет смотреть логи и искать неудачные попытки входа по фильтру. Создаем фильтр в "/etc/fail2ban/filter.d/x-ui.conf"

[Definition]
failregex = WARNING - wrong username: ".*", password: ".*", secret: ".*", IP: "<HOST>"
ignoreregex =

Вставляем как есть, ничего менять не надо. ➡️6) Создаём или редактируем "/etc/fail2ban/jail.local"

[x-ui]
enabled = true
filter = x-ui
logpath = /var/log/kern.log
maxretry = 5
findtime = 600
bantime = 3600
action = iptables[name=x-ui, port=PORT, protocol=tcp]
ignoreip = 127.0.0.1/8 YOUR_IP YOUR_VPN_IP

Пояснение: logpath — файл с логами, куда пишутся предупреждения о неверно введённом логине/пароле. port=PORT — сетевой порт, к которому будет применяться правило блокировки IP через iptables. Здесь ставьте порт, на котором открывается форма авторизации в личный кабинет X-UI. maxretry = 5 — после 5+ провальных попыток выдаётся бан. findtime = 600 — считаем попытки за 10 минут. bantime = 3600 — бан на 1 час. ignoreip — добавляем сюда свой IP и VPN, чтобы случайно не заблокироваться. ➡️7) Перезагружаем службу Fail2ban

sudo systemctl restart fail2ban

➡️8) Смотрим статус Fail2ban. Если запущен, значит ошибок нет и всё работает. Радуемся жизни

sudo systemctl status fail2ban

Теперь можно отслеживать статус Fail2ban, в котором в том числе пишется количество блокировок и какие именно IP-адреса были заблокированы:

sudo fail2ban-client status x-ui

Защищайте свои сервера и будьте здоровы! 😉 И не забудьте перевернуть календарь.

🔗Ссылка: https://spy-soft.net/kali-linux-raspberry-pi-zero/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://opennet.ru/63817/

Действительно захватывающий выпуск от Сесара Сото 🥷❤️‍🔥, руководителя направления имитации противника в Dreamlab Technologies Latam https://youtu.be/w1JpNDop4t0?si=MC-KeUwfvS_PjUv7

🔗Ссылка: https://habr.com/ru/articles/942932/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.securitylab.ru/analytics/563039.php

Всем привет! 💻✌️ Давайте рассмотрим несколько способов закрепления в системе, которые использовали Lazarus 😤 Они использовали уязвимость - Phantom DLL Loading, в службе SessionEnv Для обнаружения такого поведения можем отслеживать создание dll-файлов в директории Windows\System32\ 🔭 Обнаружение:

ProviderName="Microsoft-Windows-Sysmon" and  EventId = 11 and 
(
TargetFilename contains \Windows\System32\TSMSISrv.dll 
or
TargetFilename contains \Windows\System32\TSVIPSrv.dll
)

#detection@detectioneasy #ttp@detectioneasy

🔴 Microsoft вводит обязательный MFA для управления Azure 💡 Почему: MFA стал новым стандартом безопасности. Microsoft в рамках Secure Future Initiative (SFI) повышает защиту от атак, фишинга и кражи токенов (группы вроде Storm-0501 активно атакуют аккаунты без MFA). MFA снижает риск взлома на 98,5%. 📅 Ключевые даты: • Октябрь 2024: MFA обязателен для входа в админ-порталы Azure и Entra. • 1 октября 2025: MFA обязателен для всех операций Create/Update/Delete через CLI, PowerShell, IaC, API и мобильное приложение. • Возможна отсрочка до июля 2026. ⚙️ Что нужно сделать админам: • Обновить инструменты: Azure CLI ≥ 2.76, PowerShell ≥ 14.3. • Перевести автоматизацию на Managed Identity или AppID. • Настроить отчёты и политику MFA через Conditional Access. Подробнее в документации Microsoft