Fsecurity | HH
Kanalga Telegram’da o‘tish
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Ko'proq ko'rsatish2 008
Obunachilar
-224 soatlar
Ma'lumot yo'q7 kunlar
-1230 kunlar
Postlar arxiv
2 008
Repost from RedTeam brazzers
+1
Различным антивирусным агентам, SIEM, телеметрии и прочей собирающе-анализирующей штукенции требуется использовать сетевой стек винды для обмена данными с определенным управляющим сервером. Некоторые APTшники проводят атаки на цепочку сбора логов, например, ограничивая сетевую видимость хоста, с которого отправляется информация. Как можно эмулировать подобное поведение на проектах?
Самым примитивным способом, описанным в прекрасных материалах Conti, было использование netsh с определенными параметрами.
netsh advfirewall firewall add rule name="Block connection to 10.10.10.10:445" dir=out action=block remoteip=10.10.10.10 remoteport=445 protocol=TCP
netsh advfirewall firewall add rule name="Block connection to 10.10.10.10:445" dir=out action=block remoteip=10.10.10.10 remoteport=445 protocol=UDP
Эту тему подхватил исследователь из Altered Security и на днях предоставил видеоролик, на котором виден принцип работы его инструмента (фото 1). С использованием WinAPI появляется возможность блокирования трафика определенного exe-файла. Так как POCа предоставлено не было, то я провел небольшое исследование и собственноручно создал подобный инструмент, добавив в него функционал по блокированию всех exe из указанной пользователем папки (фото 2). С кодом можно ознакомиться тут.
Однако, этот метод достаточно известный, как следствие, большинство агентов будут иметь какую-нибудь защиту от такого воздействия.
Не стоит отчаиваться, ведь можно посмотреть в сторону WFP (Windows Filtering Platform). Это фреймворк, позволяющий обрабатывать и фильтровать сетевой трафик с помощью компонентов Windows. Примеры использования можно увидеть тут, здесь и вот тут. Можно даже повышать привилегии с помощью WFP :) Смотри NoFilter.
Сторона защитников тоже не отстает и разработала инструмент EDRNoiseMaker. Он позволяет обнаруживать настроенные фильтры WFP.
И это вновь не все! Если мы хотим полностью вырубить хост, то есть атака ARP-Cage. Опенсурсная реализация есть тут и тут2 008
Repost from Pentest HaT
🖼️ pspy v1.2.1
Отличный инструмент предназначенный для отслеживания процессов без необходимости использования root прав. Он позволяет видеть команды выполняемые другими пользователями, задания cron и т. д.
Написан на Go. Постоянно использую при решение машин на 🙃 HTB, 😁 THM и др. платформах.
Запуск в 🥸 Debian like:
wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.1/pspy64
chmod +x pspy64
./pspy64
-r - список директорий для отслеживания (по дефолту /usr, /tmp, /etc, /home, /var и /opt) -i - интервал в мс -f - события файловой системы --debug - вывод подробной информацииГотово, рекомендую! 💻 Home #golang #pspy #soft ✈️ // Pentest HaT 🎩
2 008
Возможно пропустили:
Ролик на канале 🥳
Хочу также посоветовать:
1 - Наш discord сервер! Где можно пообщаться 👾
2 - Мой Github 🦑
Наш второй канал [Ximera-Chan]
2 008
Repost from k8s (in)security
В
Calico нашли новую CVE-2024-33522 – она аффектит как Open Source версии (v3.27.2 и ниже), Calico Enterprise (v3.19.0-1, v3.18.1, v3.17.3 и ниже), и Calico Cloud (v19.2.0 и ниже). Сценарий эксплуатации довольно редкий – злоумышленник должен попасть на ноду (и при этом не быть root). Проблема возникает из-за некорректной установки SUID бита в сочетании с возможностью контролировать входной бинарный файл для установки CNI Calico, что позволяет злоумышленнику запустить произвольный бинарь с повышенными привилегиями.
Интересно, что в Calico находят примерно один баг в год, тогда как в Cilium довольно активное security сообщество (только за 2024-ый год было найдено 5 CVE). Связано ли это в целом с более активным и масштабным коммьюнити Cilium думайте сами 😉2 008
Repost from no system is safe // cybersec
В 🖥 Chrome и 🦊 Firefox нашли опасную уязвимость нулевого дня
В браузерах Google Chrome и Mozilla Firefox обнаружили уязвимость нулевого дня CVE-2023-5217, которая позволяет хакерам атаковать пользователей 🖥 Windows, 🍏 macOS и 🖥 Linux. Хакеры уже активно эксплуатируют обнаруженную уязвимость — Google и Mozilla рекомендуют экстренно обновить браузеры.
Уязвимость нашли в популярной системе кодирования мультимедиафайлов WebM. Это может привести к переполнению буфера в кодеках, а также открыть для атак множество программ, связанных с аппаратным обеспечением от NVIDIA, AMD и Logitech, включая браузеры, Skype и VLC.Формат VP8 WebM используется в значительном количестве ПО, так что, по мнению Mozilla, в дальнейшем это может превратиться в серьезную проблему. Найденная уязвимость, судя по разбору PCWord активируется только при кодировании медиафайлов, а не при декодировании. #news // nsis
2 008
Repost from Caster
Релиз моей статьи об обнаружении сетевых атак на Windows с использованием Suricata. В этой работе я продемонстрировал возможности сигнатур Suricata для обнаружения активности инструментов Responder и mitm6.
Caster - Neurotransmitter
Genre: Defensive
Label: exploit.org
Release Date: 12 May 2024
Performed by: Caster
Written by: Magama Bazarov
https://blog.exploit.org/caster-neurotransmitter
2 008
Repost from TaipanByte CTF
Облачные хранилища небезопасны
Рассказываем, как файлы в облачных хранилищах могут быть проиндексированы поисковыми системами, даже если пользователь не намеревался делиться публично и почему ваши фотографии "Анапа 2012" уже попали к злоумышленникам.
🔗 Читать далее
Авторы:
@ExZuperi
@FaLLenSkiLL
2 008
Repost from Kali Linux
💻 Генератор необычных PDF-файлов
🗄Создаёт 10 различных PDF с функцией phone-home (вы можете мониторить, кто и когда открывает этот файл)
Можно использовать с Burp Collaborator или Interact.sh
Сфер применений масса — пентестить PDF-конвертеры, сервисы, обрабатывающие PDF, и т.д.
🗄Запуск:
python3 malicious-pdf.py burp-collaborator-url
🖥 GitHub
@linuxkalii2 008
Возможно пропустили:
Ролик на канале 🥳
Хочу также посоветовать:
1 - Наш discord сервер! Где можно пообщаться 👾
2 - Мой Github 🦑
Наш второй канал [Ximera-Chan]
2 008
🔴 RedTeam-Tools
Этот репозиторий GitHub содержит набор инструментов и ресурсов, которые могут быть полезны для деятельности Red Teaming
🔗Ссылка:
https://github.com/A-poc/RedTeam-Tools
Endi mavjud! Telegram Tadqiqoti 2025 — yilning asosiy insaytlari 
