Fsecurity | HH

🔗Ссылка: https://secret.club/2022/08/29/bootkitting-windows-sandbox.html

🔗Ссылка: https://opennet.ru/64443/

🔗Ссылка: https://www.securitylab.ru/news/567242.php

🔗Ссылка: https://github.com/hackerschoice/thc-tips-tricks-hacks-cheat-sheet

🔗Ссылка: https://github.com/ptmcg/logmerger

🔗Ссылка: https://www.cyberark.com/resources/threat-research-blog/fantastic-rootkits-and-where-to-find-them-part-1

🔗Ссылка: https://opennet.ru/64433/

🔗Ссылка: https://opennet.ru/64439/

🔗Ссылка: https://cisoclub.ru/kontrol-utechek-pri-ispolzovanii-ii-servisov-sotrudnikami-proksi-maskirovanie-i-zapret-na-sekrety/

Уязвимость React2Shell (CVE-2025-55182) была раскрыта в начале декабря и наделала немало шума — поскольку затрагивает серверные компоненты React (RSC), которые используются во многих веб-приложениях. Уязвимость оценивается как максимально опасная (CVSS 10.0) и уже активно эксплуатируется в дикой природе злоумышленниками, в том числе APT-группами. React2Shell позволяет атакующему незамысловатым http-запросом получить удаленное выполнение кода на уязвимых серверах без всякой аутентификации. Минимально жизнеспособный эксплойт:

{  
  0: {  
    status: "resolved_model",  
    reason: -1,                     
    _response: {  
      _prefix: "console.log('RCE')//",          
      _formData: { get: "$1:then:constructor" },   
    },  
    then: "$1:then",                
    value: '{"then":"$B"}',    
  },  
  1: "$@0",                         
} 

Эта уязвимость особенно критична из-за практически полного отсутствия артефактов. React не фиксирует происходящее, а у большинства из доступного будет лишь набор HTTP-логов, собираемых прокси. Теоретически можно попытаться анализировать память процесса в поисках характерных сигнатур, но соотношение TP/FP будет крайне низким. В реальности в основном будем видеть нерелевантный трафик от сканеров и автоматических ботов, вместо того чтобы получать чёткие индикаторы эксплуатации уязвимости. Сейчас атакующие активно перебирают весь спектр механизмов запуска процессов в Node.js:

- exec() 
- spawn() 
- execSync() 
- spawnSync() 

Отсутствие единых стандартов журналирования в современных фронтенд-фреймворках создаёт дополнительные трудности для расследований. В результате успешная эксплуатация может оставаться незамеченной до тех пор, пока не проявятся косвенные признаки: аномальное поведение Node.js-процессов или подозрительные сетевые соединения. На практике после успешной эксплуатации мы фиксируем один из вариантов (см. скриншот в начале поста): — однострочная последовательность команд, — закодированный в Base64 reverse shell, — есть вариант in memory shell, встречали и его. В основном фиксируем вариации команд для установок различных майнеров и приложений удаленного управления (RMM). Что делать? С точки зрения защиты: — Пропатчить все уязвимые React / Next.js приложения до безопасных версий (19.0.1, 19.1.2, 19.2.1 и выше; Next.js с обновлённым RSC). — Включить правила по обнаружению и предотвращению эксплуатации модифицированных RSC HTTP-запросов на периметре (WAF/IDS). С точки зрения мониторинга: — Отслеживать аномальные процессы от node. — Отслеживать сработки WAF/IDS-решений на попытки эксплуатации этой уязвимости. — Ретроспективно проверить активность на хостах с node.

🔗Ссылка: https://malwaresourcecode.com/

🔗Ссылка: https://habr.com/ru/companies/cloud_ru/articles/976002/

🔗Ссылка: https://github.com/ducaale/xh

🔗Ссылка: https://github.com/quadrantsec/sagan

🔗Ссылка: https://www.securitylab.ru/news/567210.php

🔗Ссылка: https://opennet.ru/64426/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://github.com/SaadAhla/Killer

🔗Ссылка: https://www.kali.org/blog/kali-linux-2025-4-release/

🔗Ссылка: https://github.com/jpillora/chisel