Уже доступно! Исследование Telegram 2025 — ключевые инсайты года 
Fsecurity | HH
Открыть в Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Больше2 013
Подписчики
-224 часа
-67 дней
-2230 день
Архив постов
2 016
Repost from Cybred
Bluehammer
Парень с ником ChaoticEсlipse0 просто взял и дропнул на всех 0day с повышением привилегий через Defender. Он не объяснил своих действий, но vx-undeground со ссылкой на Xitter подтвердил, что эксплоит рабочий.
По словам исследователя, скоро будет еще один
Another 0day unpatched LPE will be released soon.
2 016
Repost from purple shift
Чтобы сделать вредоносные файлы невидимыми для систем защиты, атакующие используют различные техники. Самые известные — это руткиты и буткиты. Но иногда достаточно и более простых механизмов. Недавно мы наткнулись на технику маскировки процессов в Linux через
bind mount поверх /proc.
Когда утилита для монтирования файловых систем mount запускается с флагом bind, это позволяет "приклеить" одну директорию или файл в другую точку файловой системы. При этом исходные данные в целевой точке становятся невидимыми; фактически, они перекрываются содержимым примонтированного пути.
Атакующий с root-доступом может использовать это для маскировки процессов.
Например, процесс с PID 1234 можно спрятать через mount:
mount --bind /tmp/empty /proc/1234 /proc/1234 перекрывается пустой директорией. Утилиты вроде ps, top или htop читают данные именно из /proc, поэтому для них процесс как будто исчезает. При этом сам процесс продолжает работать: слушает порты, выполняет код, держит соединения.
Иногда делают еще аккуратнее: поверх /proc/<pid>/exe или /proc/<pid>/cmdline монтируют другой файл. Тогда процесс вроде бы виден, но его бинарь или аргументы подменены.
Как ловить атаку?
Проверка mount-таблицы помогает обнаружить сокрытие процесса. Утилиты mount или findmnt покажут bind mounts внутри /proc. В нормальной системе их там почти не бывает.
С точки зрения правил обнаружения для SOC, отслеживаем запуски утилиты mount с соответствующими аргументами: "--bind", "-B", "-o bind" и "/proc")
Также имеет смысл мониторить системный вызов mount на уровне ядра. Например, для auditd простейшее правило аудита может выглядеть так:
auditctl -a always,exit -F arch=b64 -S mount -k mount_monitor /var/log/audit/audit.log будут фиксироваться события монтирования, включая bind mounts. При анализе стоит обращать внимание на операции, где точкой монтирования выступают пути внутри /proc.2 016
Всем хак! 👾
Обновил Obsidian Pentest
Если данный репозиторий оказался полезным, не поленитесь поставить ⭐
2 016
Weaponizing and Abusing Hidden Functionalities Contained in Office Document Properties🛡️📄
Несколько месяцев назад Microsoft выпустила статью, в которой сообщалось, что в приложениях Microsoft Office, использующих макросы, будут внедрены изменения. 🔄 Это изменение поведения затрагивает Office LTSC, Office 2021, Office 2019, Office 2016 и Office 2013. Учитывая эти меры защиты, которые внедряет Microsoft, я хотел поделиться техникой, которую я использую уже давно и которая работает до сих пор. ⏳ Хотя не стоит ожидать, что эта уязвимость останется навсегда, так как в какой-то момент Microsoft, вероятно, закроет этот обход. Прежде чем я расскажу детали о том, как работает эта техника, нам нужно понять, как она была выявлена и как мы смогли ее использовать. 🔍 Этот Proof of Concept был протестирован с использованием последней версии Windows 11 и Microsoft Office 2021. 💻⚠️ Информация 2022 года, однако остаётся полезной 🔗 Ссылка: https://www.offsec.com/blog/macro-weaponization/
