Fsecurity | HH

🔄💻 ADACLScanner v8.2 Инструмент для аудита разрешений в 💻 Active Directory, которые предоставлены через списки управления доступом (ACL – Access Control List) UPD

Added info for Windows 2022 and Windows 2025 Added Exchange Schema version 'Exchange Server 2019 CU10

Написан на 💻 PowerShell SACL - список используемый для аудита доступа к данному объекту. DACL - список указывающий права пользователей и групп на действия с данным объектом. Разрешения, которые нам интересны 👍:

GenericAll - полные права на объект GenericWrite - редактировать атрибуты объекта WriteOwner - изменить владельца объекта WriteDACL - редактировать ACE объекта AllExtendedRights - расширенные права на объект ForceChangePassword - сменить пароль объекта Self - возможность добавить себя в группу

Работает в GUI или консольном режимах:

Invoke-WebRequest -Uri 'https://raw.githubusercontent.com/canix1/ADACLScanner/refs/heads/master/ADACLScan.ps1' -OutFile ADACLScan.ps1

.\ADACLScan.ps1

.\ADACLScan.ps1 -Base (Get-ADRootDSE).defaultNamingContext -Owner -Scope subtree -Filter '(objectClass=*)' | Where-Object {$_.Access -eq 'Owner'}

Экспорт в xls, csv, html Большое количество возможностей 💻 Home 😉 Active Directory ACL investigation 😉 Take Control Over AD Permissions #adaclscanner #powershell #redteam #soft ✈️ Whitehat Lab 💬 Chat

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://portswigger.net/research/stealing-httponly-cookies-with-the-cookie-sandwich-technique

Authentication Bypass to RCE in Versa Concerto На прошедшем phd ребята из project discovery представили несколько своих зиродеев. Сам доклад можно глянуть тут. Одним из таргетов была Versa Concerto:

Versa Concerto is a widely used network security and SD-WAN orchestration platform

Их ресёрч вышел совсем недавно, и в нём разобраны отличные находки, которые собираються в красивую цепочку: 1. Auth bypass за счет TOCTOU 2. Примитив записи файла (однако файл быстро удалялся из-за отсутствия токена доступа) 3. Race condition to RCE - имея примитив из п.2, остаеться попасть в race window, загрузив ld.so.preload, ссылающуюся на hook.so, и саму вредоносную либу hook.so, которая будет подгружена. 4. Так как каждые 10 секунд внутри контейнера запускается curl, необходимо, чтобы в момент его запуска и ld.so.preload, и hook.so находились в системе. Как только все условия выполнены — RCE (пока в контейнере). ❗️Также упоминается уязвимость hop-by-hop headers, которая позволяет получить административный доступ и, например, выполнить п.3 и п.4 без необходимости попадания в race window. 5. Поскольку каталоги /usr/bin и /bin контейнера были примаунчены к одноимённым каталогам хостовой ОС, и на хосте по умолчанию работал cron, появилась возможность перезаписать бинарный файл и добиться его исполнения уже на хосте, что позволило получить RCE на хостовой машине. Красиво!🔥 Ресерч: https://projectdiscovery.io/blog/versa-concerto-authentication-bypass-rce #web #vulns

🔗Ссылка: https://github.com/pdelteil/BugBountyReportTemplates

🔗Ссылка: https://habr.com/ru/articles/911912/

🔗Ссылка: https://habr.com/ru/articles/912246/

🔗Ссылка: https://medium.com/@S3N4T0R/velvet-chollima-apt-adversary-simulation-89c5159e7fc1

🔗Ссылка: https://habr.com/ru/companies/otus/articles/910474/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/companies/ru_mts/articles/912160/

🔗Ссылка: https://habr.com/ru/articles/912396/

🔗Ссылка: https://habr.com/ru/articles/910840/

🔗Ссылка: https://habr.com/ru/articles/912432/

🔗Ссылка: https://www.securitylab.ru/news/559638.php

🔗Ссылка: https://spy-soft.net/mobsf-analyze-apk/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.securitylab.ru/news/559633.php?r=2

Параноидальная безопасность или необходимость? 😠 Если тебе надоело объяснять бизнесу, для чего нужен XDR, пуляй это видео 😶 Видео safebdv про сравнение EDR/XDR/SIEM/SOAR

00:00 Введение в XDR • Видео обсуждает важность обнаружения и реагирования на хакерские атаки в современных условиях. • Упоминается, что в 2023 году в России было совершено около 680 000 преступлений с использованием информационных технологий, ущерб от которых превысил 156 миллиардов рублей. 01:52 XDR и его преимущества • XDR (Extended Detection and Response) - это инструмент, который автоматизирует работу существующей команды безопасности и помогает выявить больше техник и тактик хакеров, чем все другие продукты. • XDR сокращает время обнаружения хакера, выявляет точки входа и помогает правильно среагировать на атаки. 02:14 Что нужно бизнесу Как можно быстрее узнать, что у тебя в сети хакеры и как можно быстрее удалить их из сети. 03:02 Dwell time = MTTD + MTTR После обнаружения хакера в сети требуется как можно быстрее разобраться где все точки входа и не упустить ни одной. 03:17 Устраняем причины скрытной работы хакера Мы не видим хакера, потому что он работает от имени легитимного пользователя легитимными утилитами. 04:37 Киберучения позволяют разобраться в том как бороться с хакерами 04:49 EDR, NDR, XDR сокращают время обнаружения хакера 05:27 XDR это EDR, который получил информацию от сетевых сенсоров и достаточно мощное хранилище с быстрым доступом • XDR может быть использован в различных ситуациях, включая атаки шифровальщиков, когда хакеры могут быть обнаружены и заблокированы. • XDR также может быть полезен для обнаружения и реагирования на неизвестные угрозы, включая использование неизвестных уязвимостей. 06:00 Таблица сравнения задач SIEM, SOAR, TIP, XDR, EDR, NDR 06:20 Обоснуем необходимость XDR для бизнеса • XDR может быть особенно полезен для компаний с большим количеством компьютеров и сотрудников, так как он помогает быстро обнаруживать и реагировать на угрозы. • XDR также может помочь в обнаружении и блокировании неизвестных угроз, что особенно важно в условиях быстрого развития технологий и появления новых уязвимостей. 09:22 Могут найти неизвестные еще техники атак • Продукты класса EDR (Endpoint Detection and Response) могут предотвратить использование уязвимостей и неизвестных угроз в операционных системах компании. • EDR может обнаруживать и останавливать атаки, даже если они используют неизвестные техники. • EDR также может автоматически получать информацию о найденных уязвимостях от других заказчиков. 10:20 Общая база атак от поставщика спасает все компании • EDR может защитить машины с уязвимыми версиями операционных систем, которые не обновляются. • EDR не загружает память и процессор рабочих станций, что делает его более выгодным для использования. • EDR может выявлять и останавливать продвинутые атаки, не зная о них, и помогает выявить все точки входа хакера. 11:02 EDR, NDR, XDR автоматически простраивают цепочки атак На графе видно как хакер зашел в сеть и как перемещался по ней до своего обнаружения одним их сенсоров. 12:33 EDR помогает централизованно находить файлы злоумышленника Во время расследования вы можете искать любые объекты на хостах с EDR из единой системы управления. 13:06 Как проводится реагирование на атаки 13:26 Логично защиту начинать с сетевых сенсоров На вебкамеры, принтеры и роутеры агенты EDR поставить не получится. 13:37 Выводы по EDR и XDR 14:32 Различие XDR и SIEM • EDR и SIEM имеют разные подходы к обнаружению угроз. • EDR фокусируется на быстром обнаружении и реагировании на угрозы, в то время как CM больше ориентирован на мониторинг и аудит. • EDR предоставляет больше возможностей для автоматического реагирования на угрозы, в то время как SIEM чаще используется для оповещения о событиях и ручного реагирования. • EDR и SIEM дополняют друг друга и могут использоваться вместе для обеспечения комплексной защиты IT-инфраструктуры. 16:01 В зрелой компании всегда будет XDR

🦔THF

🔗Ссылка: https://github.com/Anon-Exploiter/sliver-cheatsheet