Fsecurity | HH

When comments aren't just comments

<script>
    delete/delete; //alert(1)
    typeof/typeof; //alert(2)
    void/void;     //alert(3)
    throw/throw;   //alert(4)
</script>

demo: https://jsfiddle.net/yo0a24dj/ source: https://x.com/nowaskyjr/status/1983273567111524544

Редтим в стиле Pwn2Own Новый блогпост — про то, как иногда на проектах могут пригодиться навыки бинарной эксплуатации. Расскажите, приходилось ли вам писать сплойты под бинарные баги на проектах по пентесту? Читать 👉 https://blog.deteact.ru/red-teaming-pentest-pwn2own/

Persistent Backdoors via Apache Modules 😷 Разбирая различные отчеты и статьи про APT/Red Team, нашел годную публикацию от CICADA8 где вместо стандартных ASPX вебшеллов использовали IIS модуль для выполнения команд 🪟 И подумал, почему бы не реализовать схожий бэкдор и подход, только под Apache2 и Linux среду? В прочем вышло довольно весело и задорно, и подробнее можно почитать по ссылкам ниже 😃 🔗 Post: https://www.s0ld13r.kz/posts/apache-modules-persistence/ 💻 PoC: https://github.com/s0ld13rr/MODPlant P.S Использовать только в целях обучения и ресерча, advanced evasion тема для отдельной статьи 🧢 s0ld13r

Как круто развивается BloodHound... Теперь и сетевые ресурсы можно отображать Blog: https://specterops.io/blog/2025/10/30/sharehound-an-opengraph-collector-for-network-shares/ Soft: https://github.com/p0dalirius/sharehound #pentest #ad #bloodhound

🔗 Ссылка: https://habr.com/ru/articles/960400/

🔗Ссылка: https://blog.poxek.cc/post/sliver-c2-izuchenie-demonstracziya-raboty-detekt

🔗Ссылка: https://haxx.in/posts/2025-09-23-canon-ttf/

🔗Ссылка: https://www.securitylab.ru/news/565298.php

🔗Ссылка: https://habr.com/ru/companies/netologyru/articles/956702/

🔗Ссылка: https://opennet.ru/64138/

🔗Ссылка: https://habr.com/ru/companies/technokratos/articles/959614/

🔗Ссылка: https://www.securitylab.ru/news/565199.php

WSUS RCE Vulnerability in the Wild 🪟 CVE-2025-59287 - критическая уязвимость в WSUS позволяющая не аутентифицированному атакующему исполнить код на стороне сервера с привилегиями SYSTEM. Вот некоторые индикаторы которые можно использовать для хантов: • Создание подпроцесса cmd.exe из под сервиса WSUS - wsusservice.exe (более подробный process tree на скрине) • Спавн cmd.exe под процессом w3wp.exe (IIS Server) • Аномальные HTTP запросы на стандартные порты 8530 и 8531 🛡 Detection

event.code: 4688 and process.name: "cmd.exe" and process.parent.name: "wsusservice.exe"

WSUS Service Spawns cmd.exe

event.code: 4688 and process.name: "cmd.exe" and process.parent.name: "w3wp.exe"

IIS spawns cmd.exe 🔗 Link: https://www.huntress.com/blog/exploitation-of-windows-server-update-services-remote-code-execution-vulnerability 💻 PoC: https://github.com/FurkanKAYAPINAR/CVE-2025-59287 🧢 s0ld13r

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/companies/ruvds/articles/946322/

🔗Ссылка: https://uproger.com/kali-linux-pentesting-i-czifrovaya-kriminalistika-modulnyj-plan-s-primerami-komand/

Поиск фишинговой инфраструктуры на этапе подготовки 🧱 В защите организации от фишинговых угроз полезно не ограничиваться только блокировкой уже разосланных писем и URL-ссылок. Необходимо применять техники обнаружения угроз на этапе подготовки. Пока злоумышленник регистрирует домен или выпускает SSL-сертификат, мы можем попытаться его вычислить и нейтрализовать, не дожидаясь первой жертвы. Далее разберем некоторые инструменты и тактики проактивной защиты от фишинга. Мониторинг доменов 💻 Первое, что делает злоумышленник, — регистрирует домен. В случае подделки какого-то оригинального сервиса можно ожидать, что регистрируемый домен будет визуально схож с подделываемым доменом. Это классический сквоттинг. Мы можем настроить мониторинг и реагировать на регистрацию тех доменов, которые схожи с интересующими нас сервисами и брендами. Важно помнить, что регистрировать подобные домены могут и сами владельцы, поэтому необходимо дополнительно проверять регистрантов домена и сравнивать их с оригиналом, чтобы избежать ложноположительных сработок. Анализ SSL-сертификатов 🤔 Малое число переходов по ссылкам без валидного SSL-сертификата вынуждает злоумышленников озадачиться его выпуском. Большинство известных крупных центров сертификации ведут открытое журналирование всех выпускаемых SSL-сертификатов, и полученный из него список объектов защиты может быть использован для анализа. Методика анализа может быть такой же, как и для доменов, полученных путем мониторинга. Стоит отметить, что сам факт выпуска SSL-сертификата для подозрительного домена может считаться признаком планируемой на ближайшее будущее фишинговой атаки. Проверка хостнеймов на домене 😐 Часто встречаются ситуации, когда жадные руки злоумышленника одновременно тянутся к большому числу брендов. Для этого он регистрирует один домен и один wildcard-сертификат, причем этот домен визуально ни с чем не схож. Для разделения между подделываемыми брендами злоумышленник использует домены более высокого уровня, например <brand>.domain.xyz. Наличие подобных поддоменов у вновь зарегистрированного домена может быть индикатором готовности к проведению фишинговой атаки. Получить у DNS-сервера полный состав доменной зоны практически невозможно и на большом потоке доменных имен не принесет результата. Здесь необходимо будет воспользоваться собранными из внешних источников или TI-порталов разведданными либо попробовать самостоятельно перебрать различные поддомены на предмет их существования. Связи по регистрантам 🕊 Анализ данных о владельце домена может выявить сеть связанных ресурсов, зарегистрированных одной и той же организацией для серии атак. Связующим индикатором может быть имя регистранта (если оно не скрыто настройками приватности) или же его контактная информация: email или телефон. По мере накопления знаний, полученных в процессе проактивного поиска фишинговых доменов, мы можем собрать список недобросовестных регистрантов и по нему реагировать на новые публикации доменов. Конечно, рассчитывать на то, что злоумышленник под одним и тем же именем (не скрытым настройками приватности) будет раз за разом публиковать фишинговые домены, крайне оптимистично, но данный инструмент проверки не должен быть исключен из арсенала. 🏗По итогу, обнаружив «строящуюся» фишинговую площадку, мы можем: • внести обнаруженные сетевые индикаторы во внутренние списки в средствах защиты информации; • предупредить сотрудников организации или пользователей сервиса; • при наличии опубликованного фишингового контента или почтовой рассылки — передать эти сведения регистратору и хостинг-провайдеру для проведения takedown'а и снижения эффективности атаки. #TI #tip #phishing @ptesacaltor

🔗Ссылка: https://opennet.ru/64131/

Всем привет! 💻✌️ Продолжим разбор шпионской кампании ForumTroll Атакующие использовали шпионское ПО LeetAgent - его команды написаны Leet стилем: 🔤 0xC033A4D - COMMAND 🔤 0xECEC - EXEC 🔤 0x6E17A585 - GETTASKS У ВПО есть функционал кейлоггера и стиллера для документов - *.doc, *.xls, *.ppt, *.rtf, *.pdf, *.docx, *.xlsx, *.pptx Для хостинга C2 использовалась инфраструктура, задействующая Fastly.net Исследователям удалось атрибутировать кампанию и откатить её активность как минимум до 2022 года. Векторы распространения — фишинг 🔤 Балтийский_Вектор_2023.iso 🔤 DRIVE.GOOGLE.COM (исполняемый файл) 🔤 Приглашение_Россия-Беларусь_крепкое_партнёрство_2024.lnk Также удалось обнаружить схожую кампанию: 🔤 SCAN_XXXX_<DATE>.pdf.lnk 🔤 <DATE>_winscan_to_pdf.pdf.lnk 🔤 Ростелеком.pdf.lnk По набору ТТП исследователи подтвердили связь между операциями. В рамках кампании был обнаружен коммерческий вредонос Dante Dante имеет большой набор проверок на запуск в песочнице,

но из всех выделяется проверка строк в журналах событий Windows

Вредонос проверяет строки связанные с виртуальными машинами и утилитами для реверса У каждой жертвы Dante есть infection-GUID на основе которого формируется имя директории для хранения остальных модулей и ключ реестра для настроек.

Папка с модулями Dante расположена в %LocalAppData%. Ее имя представляет собой строку в Base64 длиной в восемь байт. В ней содержатся файлы без расширений с именами в виде строк в Base64 длиной в восемь байт. Имя одного из файлов совпадает с именем папки. Эту информацию можно использовать для того, чтобы идентифицировать активные заражения.

В реестре встречается ключ: HKCU\Software\Classes\.zdmtnd\OpenWithProgids - zdmtnd - часть от Base64(GUID) 🔭Обнаружение: 🔤 хантим названия директорий (?:\w\d){8} и увеличиваем критичность, если внутри файл с таким же именем 🔤 проверяем ключи реестра на наличие аномалий HKCU\Software\Classes\.zdmtnd\OpenWithProgids, где имя расширения/ключа выглядит как Base64-строка #detection@detectioneasy #ttp@detectioneasy

🦠 EDR-Redir v1.0 Инструмент для редиректа директории EDR в другое место Протестировано: ▪️ Microsoft Windows Defender ▪️ Elastic Defend ▪️ Sophos Intercept X

EDR-Redir uses a Bind Filter (mini filter bindflt.sys) and the Windows Cloud Filter API (cldflt.sys) to redirect the Endpoint Detection and Response (EDR) 's working folder to a folder of the attacker's choice. Alternatively, it can make the folder appear corrupt to prevent the EDR's process services from functioning

🔗 Research 💻 Repo #windows #edr #redteam ✈️ Whitehat Lab 💬 Chat