Endi mavjud! Telegram Tadqiqoti 2025 — yilning asosiy insaytlari 
Fsecurity | HH
Kanalga Telegram’da o‘tish
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Ko'proq ko'rsatish2 017
Obunachilar
-224 soatlar
-27 kunlar
-1230 kunlar
Postlar arxiv
2 016
Repost from ESCalator
Yara Yara Daze
Всем, кто занимается malware analysis, точно знаком такой инструмент, как YARA 😉. С помощью него во многих компаниях 🔴 составляют наборы сигнатурных правил для определения и классификации вредоносов.
🤔 So, что такое хорошие YARA-правила? Это правила, которые могут детектировать предназначенный им класс или семейство ВПО, не детектируют ничего лишнего (false positive) и способны сохранять актуальность, даже если ВПО подвергается небольшим изменениям.
😏 Нет общего совета, как сделать хорошее YARA-правило — это зависит от сампла к самплу. Мы поделимся некоторыми Tips&Tricks про детект строк, которые будут полезны начинающим:
🔹 Не стоит забывать подсматривать на рули коллег.
Успехов в работе.
#tips #malware #YARA
@ptescalator
fullword — этот модификатор на строки гарантирует, что сигнатурная строка не будет находиться между буквенно-цифровыми символами (осторожнее с golang).
🔹 filesize выручает в тех случаях, когда сампл маленький и кроме общих сигнатур в нем ничего нет:
rule CustomSocksProxy {
strings:
$a_1 = "SOCKS5 Proxy listening" wide
$a_2 = "New connection from" wide
condition:
uint16(0) == 0x5a4d and filesize < 100KB and all of ($a_*)
}
🔹 Лучше избегать сигнатур длиной в 3-4 символа.
🔹 Иногда очень полезно прописывать условие расстояния между строками. Например, если в файле есть какие-нибудь white- / blacklist, как имена процессов, можно ограничить их расположение в окне конкретной длины:
rule CheckProcessList {
strings:
$base = "\\system32\\cmd.exe" wide
$str2 = "\\task.exe" wide
$str3 = "cmd.exe" wide
$str4 = "\\alg.exe" wide
$str5 = "powershell.exe" wide
condition:
for all of ($str*): (@ - @base < 100) and for all of ($str*): (@base - @ < 100)
}
\\\\dc2 в строке \nUsing:\n\t session_enum.exe \\\\dc1 \\\\dc2 \n — плохой детект.
🔹 Чтобы детект строк пережил различные кодировки, чередование заглавных и строчных букв, можно использовать три модификатора wide ascii nocase:
rule SomeAPTScript {
strings:
$a1 = "GetRef(" ascii wide
$a2 = " & ChrW(\"&H\" &" ascii wide
$a3 = "Mid(" ascii wide
$a4 = "Join(" ascii wide
$a5 = "=0 Step -2" ascii wide
$a6 = "Function [" ascii wide
$a7 = "MSXML2.ServerXMLHTTP" ascii wide
$v1 = "<Script " ascii nocase wide
$v2 = "VBSCript" ascii nocase wide
$v3 = "JSCript" ascii nocase wide
$wscript = "WScript.CreateObject(\"WScript.Shell\")" ascii nocase wide
condition:
filesize < 30KB and $wscript and 2 of ($v*) and 5 of ($a*)
}
И, конечно, главное — не забывать смотреть в документацию YARA 👀, следить за обновлениями и 2 016
Repost from Threat Hunting Father 🦔
+3
BYOI Обход SentinelOne через инсталлятор 🤩
EDR Bypass / Ransomware Deployment Toolset: Legit MSI installer + taskkill Targeted EDR: SentinelOne (v23.4.x) Used Malware: Babuk (variant)Кратко:
Исследователи Stroz Friedberg (Aon) описали технику
Bring Your Own Installer (BYOI)
: злоумышленник с правами администратора запускает
обновление или даунгрейд агента SentinelOne
, после чего
прерывает процесс установки (msiexec.exe)
до появления новых процессов. В результате — агент SentinelOne
не работает, не защищает, не виден в консоли
.Форензика:
•
SentinelOne%4Operational.evtxEventID 1: смены версий EventID 93:
unload•
Application.evtx: EventID 1042 (
MsiInstaller exited) • Агент пропадает из консоли SentinelOne • Babuk разворачивается без помех
😾Detection Tips 🔎: • Мониторинг резких смен версий SentinelOne • Аномалии в работе
msiexec.exe
• Уход агента в оффлайн в консоли SentinelOne
Mitigation:
Включить Online Authorization в Policy — запрещает локальные обновления без консоли.
🔗 https://www.aon.com/en/insights/cyber-labs/bring-your-own-installer-bypassing-sentinelone
🦔 THF2 016
Repost from Репорты простым языком
🤘 Сегодня под микроскопом интересный кейс повышения привилегий.
💡 В Acronis True Image 2021 была обнаружена уязвимость DLL Hijacking в компоненте «Rescue Media Builder» (
MediaBuilder.exe). Суть в том, что приложение при запуске пыталось подгрузить библиотеку tcmalloc.dll, которой не было в стандартной поставке.
😈 Windows, в своем стремлении помочь, начинала искать эту DLL согласно Search Order, заглядывая в том числе и в директории из переменной PATH. Как вы понимаете, если в PATH есть папка, куда пользователь может писать (например, %USERPROFILE%\AppData\Local\Microsoft\WindowsApps), то туда можно было подложить свою зловредную tcmalloc.dll.
🚀 При запуске Rescue Media Builder, приложение цепляло подмененную DLL, и атакующий получал выполнение кода с правами администратора. Но это еще не все! Имея права админа, можно было провернуть трюк с schtasks.exe для создания и запуска задачи от имени NT AUTHORITY\SYSTEM, например:
> schtasks /create /SC WEEKLY /RU \"NT AUTHORITY\SYSTEM\" /TN EOP /TR C:\Windows\System32\winver.exe /IT /RL HIGHEST
> schtasks /run /I /TN EOPz3ron3, выпустила фикс и дала баунти в размере $250.
📖 Полный разбор этой уязвимости и рекомендации по защите читайте на нашем сайте:
eh.su/reports/792 016
Repost from Offensive Xwitter
![😈 [ Alex Neff @al3x_n3ff ] A new module has been merged into NetExec: change-password🔥 Accounts with STATUS_PASSWORD_EXPIRE](data:image/jpeg;base64,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)
😈 [ Alex Neff @al3x_n3ff ]
A new module has been merged into NetExec: change-password🔥
Accounts with
STATUS_PASSWORD_EXPIRED aren't a problem anymore, just reset their password.
You can also abuse ForceChangePassword to reset another user's password.
Made by @kriyosthearcane, @mehmetcanterman and me.
🐥 [ tweet ]
вьетнамские флешбеки 5летней давности - https://snovvcra.sh/2020/10/31/pretending-to-be-smbpasswd-with-impacket.html2 016
Repost from CyberSecrets
Задача для собеседования №1
Пока нет идей для постов, решил публиковать задачки для разминки мозгов. Посты будут называться «Задача для собеседования».
Итак, первая задача. Во время сбора и анализа информации было обнаружено, что на рабочей станции
W-434 запущена служба Web Client. Учетная запись компьютера W-434 может читать «пароль» от сервисной учетной записи GMSA$. Сервисная учетная GMSA$ запись входит в группу, которая позволяет читать атрибут LAPS для локального администратора на сервере SERVERHTTP. А сама учетная запись сервера настроена на неограниченное делегирование Kerberos.
Дополнительное условие уровень домена – 2016.
Задача получить привилегии доменного администратора в домене.
Решение:
Наличие запущенной службы Web Client разрешает выполнять технику NTLM Relay из HTTP в LDAP, а уровень домена 2016 позволяет использовать технику Shadow Credentials в качестве полезной нагрузки. Выполняем принудительную аутентификацию рабочей станции `W-434` и перенаправляем NTLM аутентификацию в LDAP для выполнения техники Shadow Credentials.
Используем полученную пару открытого и закрытого ключа и получаем TGT билет для объекта компьютер `W-434`. В контексте учетной записи компьютера `W-434` получаем хэш пароля от сервисной учетной записи `GMSA$`.
Выполнив технику Overpass-the-Hash, получаем возможность выполнять запросы к домену от имени сервисной учетной записи. Так как сервисная учетная запись `GMSA$` является членом группы `READ_LAPS`, получаем значение атрибута `ms-Mcs-AdmPwd` сервера `SERVERHTTP`, в котором содержится пароль от локального администратора.
С помощью учетных данных локального администратора получаем доступ на сервер `SERVERHTTP`. Запускаем `Rubeus` в режиме монитора и выполняем принудительную аутентификацию контроллера домена, в качестве слушателя указываем сервер `SERVERHTTP`. Через несколько секунд получаем TGT билет контроллера домена.
Выполняем технику Pass-the-Ticket и импортируем полученный билет контроллера домена. Теперь можем выполнить технику DCSync в контексте контроллера домена и получаем хэш пароля администратора домена.
#Внутрянка #Задачи2 016
Repost from true_security
По следам подмены файлов при обновлении на vipnet клиентах (пост), про уязвимости dll hijacking захотелось написать. Что это и с чем это едят можно прочитать тут и просто в гугле. Проблемы с подменой dll есть не только у vipnet, проблемы у многих вендров поИБэ. Примеры на скринах с уязвимыми подписанными бинарями: Клиент VPN Код Безопасности, EDR агент Positive Technologies, антивирус Dr.Web...Ну и чтобы не кукарекали про Российское горе ИБ....checkpoint там же. Проблема намного больше чем кажется...
2 016
Repost from Adaptix Framework
+2
В "этих выших кобальтах" уже не хватает поставляемых BOF API, поэтому пойдем на опережение, и будем их вводить в AdaptixC2.
Первое - это API AxAddScreenshot. Благодаря этому API, прекрасная работа ScreenshotBOF больше не сохраняет скрины на диск, а сразу закидывает на сервер, где фреймворк уже сам все обработает.
Как показано на примере, в одном случае делаем скриншот всего экрана, а в другом достаем изображение окна определенного процесса (браузер хром), даже несмотря на то, что оно свёрнуто
