Fsecurity | HH

🔗 Ссылка: https://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packages

Account Takeover by Unicode/Punycode email password reset Уже довольно давно у меня в бэклоге лежала интересная техника, найденная где-то на просторах сети, которой я хочу сегодня поделиться. Punycode / IDN Homograph традиционно используется в проведении фишинговых компаний для получения первоначального доступа во время Red Team и пентестов, но можно также использовать эту технику для тестирования механизмов восстановления пароля/байпаса 2FA через email в рамках багбаунти😎 Сначала немного теории: IDN (Internationalized Domain Name) - это технология, позволяющая использовать в доменных именах символы из национальных алфавитов: кириллицы, китайских иероглифов, арабской письменности и пр. Так как изначально в системе доменных имён были предусмотрены только латинские буквы A-Z, цифры 0-9 и дефис, придумали специальную кодировку - Punycode/Unicode, как способ закодировать домен с не-ASCII символами в ASCII-совместимую форму. Например: домен.рф → xn--d1acufc.xn--p1ai ♦️Тестирование механизмов восстановления пароля/байпаса 2FA через почту по умолчанию в методологии любого пентестера и багхантера, поэтому берём валидный email victim@gmail.com и меняем домен на Unicode-вариант victim@gmáil.com ♦️Добавляем Collaborator victim@gmáil.com.<collab>.burpcollaborator.net, перехватываем запрос → подменяем email жертвы и отправляем дальше. ♦️ Наблюдаем результат → в Collaborator проверяем SMTP отстуки. Если приходит письмо для сброса пароля / 2FA - значит система некорректно обработала Unicode. ♦️Репортим багу как Account Takeover для victim@gmail.com 💸 Вы великолепны! Почему так работает для фишинга абсолютно понятно, латинская a vs кириллическая а визуально практически неотличимы, а вот как можно допустить такую ошибку в механизме восстановления пароля для меня загадка😜 Но тем не менее уже есть кейсы когда багхантеры лутали за эту багу 10k$ в публичных программах.

Привет! 🤥 Недавно я перечитывал свои посты и наткнулся на один из самых старых — про переполнение стека. Вспомнил молодость, словил испанский стыд и решил сделать ремейк, а точнее, полностью переписать пост. Получилось небольшая статья про введение в эксплуатацию бинарных уязвимостей на простом примере задачи в формате ctf. Описаны базовые виды защиты памяти, пошагово создан CTF-таск с подробным решением. Приятного чтения! 🔗Читать Но это еще не всё! Cейчас в тренде импортозамещение, так, что я тоже решил не отставать и создал свой небольшой сайт: 🔗read.pyfffe.site. Туда переехали материалы из Notion, и теперь все гифки в постах нормально загружаются без впн (да, всё было ради гифок 👸). Да и в целом хорошо бы иметь полный контроль над своим ресурсом (просьба не пробовать его получать 👾). Теперь всё, спасибо за внимание!

Как за пару кнопок убить AV/EDR (разных цветов) Из требований: - Наличие прав админа на тачке; - Возможность доставки procmon. А далее всё более чем прозаично. 1. Включение функции "EnableBootLooging"; 2. Создание символической ссылки:

mklink C:\Windows\Procmon.pmb "<Полный путь до файла который требуется перезаписать>"

3. Ребут тачки. Получаем магию. Подробнее: https://www.zerosalarium.com/2025/09/Break-Protective-Shell-Windows-Defender-Folder-Redirect-Technique-Symlink.html?m=1

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

Как я понял по опросу, вы не против личных заметок — поэтому пишу. Выше заметно интересное обновление Adaptix C2. Спросите, что это такое? Объясняю: это C2‑фреймворк, но вам известнее слышать RATка. RAT (Remote Access Trojan) — это программный агент, устанавливаемый на удалённой машине для обеспечения удалённого доступа и управления: выполнение команд, управление файлами, запись клавиатуры, управление камерой/микрофоном и т.д. RAT чаще ориентированы на доступ к отдельной машине и набор базовых функций постэксплуатации. C2 (Command and Control) — это инфраструктура и набор серверных/клиентских компонентов, предназначенных для централизованного управления удалёнными машинами и автоматизации сложных операций в масштабах сети. C2 может включать управление агентами, оркестрацию задач, маршрутизацию команд, устойчивость к отказам и скрытность коммуникаций. Функционал и гибкость таких инструментов впечатляют. Если обычные RATки вроде SheetRat заточены под троллинг и школьников, то C2 создаются для профессионалов — они дают куда больше возможностей. Не отрицаю, что среди RAT есть очень мощные образцы (CraxsRat), но сообщество школьников превратило многие из них в простые игрушки для троллинга и доминирования в сети над такими же школьниками. Очевидно, что такие инструменты используются как Блэчеры, так и ВайтХэт. Примеры отличий C2 от классического RAT:

1. Архитектура:

- RAT: обычно одноагентная модель — клиент на машине жертвы напрямую управляется оператором. - C2: распределённая архитектура с серверной частью, промежуточными узлами (ретрансляторы), несколькими каналами связи и возможностью управления тысячами агентов.

2. Масштабируемость

- RAT: ориентирован на индивидуальные взломы/троллинг, мало возможностей для массовой автоматизации. - C2: рассчитан на массовое развертывание, автоматизацию задач. Спасибо за внимание. 👾

Последние две недели, когда было время, я переписывал клиентскую часть. Хотелось сделать ее более гибкой, динамичной и удобной. Вроде получилось))

🔥 В Microsoft Entra (бывший Azure AD) вскрылась бомба уровня supply-chain: Исследователь Dirk-jan нашел критический баг - устаревший Azure AD Graph API неправильно валидировал служебные Actor-tokens. В связке это позволяло любому, у кого был такой токен, эскалировать привилегии до Global Administrator в любом тенанте. Что это значит простыми словами: потенциальный полный контроль над любым облачным окружением Entra ID (пользователи, почта, SharePoint, OneDrive, SSO, конфигурации). Microsoft уже отключает старый Graph и внедряет контрмеры, но для админов это сигнал тревоги. ✅ Что делать прямо сейчас: 1. Срочно убрать использование graph.windows.net (старый Graph API) → переход на Microsoft Graph. 2. Перепроверить сервис-принципалы и их права (`Directory.ReadWrite.All, Application.ReadWrite.All` и пр.) - минимизировать. 3. Включить Token Protection / Conditional Access для привязки токенов к устройствам. 4. Мониторить журналы: неожиданные S2S-запросы, массовые изменения ролей, аномальные выдачи Global Admin. 5. Ротировать ключи/секреты у SP и приложений. 📌 SOC чек: просканируйте за последние 30 дней все операции повышения ролей и сервисные токены. Любое «левое» назначение Global Admin = инцидент уровня P1. Полный разбор: dirkjanm.io

🔗Ссылка: https://www.securitylab.ru/news/563564.php

🔗Ссылка: https://www.securitylab.ru/news/563578.php

🔗Ссылка: https://www.securitylab.ru/news/563565.php

👉🏻

🔗Ссылка: https://opennet.ru/63897/

🔗Ссылка: https://www.securitylab.ru/news/563555.php

Всем привет! 💻✌️ Команда any.run выпустила интересный материал о применении SVG-файлов в фишинге. Что важно помнить? Файл формата SVG (векторная графика), часто используется злоумышленниками для обхода стандартных механизмов защиты. Такие файлы могут содержать код скриптов 🔭 Обнаружение: 🔤 можем отслеживать создание SVG-файлов в каталогах пользователей:

ProviderName="Microsoft-Windows-Sysmon" and EventId=11 and TargetFilename contains "\\Users\\" and TargetFilename endswith ".svg"

#detection@detectioneasy #ttp@detectioneasy

🔗Ссылка: https://habr.com/ru/companies/bastion/articles/945402/

🔗Ссылка: https://opennet.ru/63894/