IPPrintC2
#C2 #Malware #RedTeam
Доказательство концепции использования принтеров Microsoft Windows для закрепления / управления и контроля через Интернет-печать.
Системы печати часто упускаются из виду злоумышленниками, стремящимися установить каналы управления и контроля (C2) в сети жертвы. Злоумышленник может использовать систему печати операционной системы для добавления и удаления принтеров, а также для создания заданий печати и управления ими для достижения полной связи с C2. Мы разработали полноценное доказательство такого решения, которое мы успешно протестировали в реальных условиях с красными командами.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#C2 #Malware #RedTeam
Доказательство концепции использования принтеров Microsoft Windows для закрепления / управления и контроля через Интернет-печать.
Системы печати часто упускаются из виду злоумышленниками, стремящимися установить каналы управления и контроля (C2) в сети жертвы. Злоумышленник может использовать систему печати операционной системы для добавления и удаления принтеров, а также для создания заданий печати и управления ими для достижения полной связи с C2. Мы разработали полноценное доказательство такого решения, которое мы успешно протестировали в реальных условиях с красными командами.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Xeno-RAT
#RedTeam #C2 #Malware
Инструмент удаленного доступа (RAT) с открытым исходным кодом, разработанный на C#, предоставляющий полный набор функций для удаленного управления системой. Имеет такие функции, как HVNC, микрофон, обратный прокси, UAC Bypass и многое другое!
Ссылка на GitHub.
LH | Новости | Курсы | Мемы
#RedTeam #C2 #Malware
Инструмент удаленного доступа (RAT) с открытым исходным кодом, разработанный на C#, предоставляющий полный набор функций для удаленного управления системой. Имеет такие функции, как HVNC, микрофон, обратный прокси, UAC Bypass и многое другое!
Ссылка на GitHub.
LH | Новости | Курсы | Мемы
LOLBITS
#C2
Платформа C2, использующая службу передачи данных (BITS) для установления канала связи между скомпрометированным узлом и серверной частью. Серверная часть C2 скрыта за внешне безобидным веб-приложением и доступна только в том случае, если HTTP-запросы, полученные приложением, содержат действительный заголовок аутентификации. Использует Direct Syscalls + Dinvoke для уклонения от EDR.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#C2
Платформа C2, использующая службу передачи данных (BITS) для установления канала связи между скомпрометированным узлом и серверной частью. Серверная часть C2 скрыта за внешне безобидным веб-приложением и доступна только в том случае, если HTTP-запросы, полученные приложением, содержат действительный заголовок аутентификации. Использует Direct Syscalls + Dinvoke для уклонения от EDR.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Forwarded from Новостник Кибербеза
Новый инструмент Specula использует Outlook для выполнения кода в Windows
#Outlook #C2 #RedTeam
Microsoft Outlook можно превратить в C2 (командный сервер) и использовать для удалённого выполнения кода. Специалисты TrustedSec даже выпустили специальный фреймворк Specula, который пригодится для Red Teaming.
В частности, Specula создаёт кастомную домашнюю страницу WebView с помощью уязвимости CVE-2017-11774, позволяющей обойти защитные функции Outlook. Эту брешь устранили ещё в октябре 2017 года.
«Для эксплуатации злоумышленник может отправить жертве специально созданный документ и убедить открыть его», — описывала CVE-2017-11774 Microsoft.
Несмотря на то что разработчики пропатчили уязвимость, условный киберпреступник по-прежнему может создать вредоносную домашнюю страницу с помощью значений в реестре Windows. Это сработает даже с теми системами, где установлены последние сборки Office 365.
Исследователи из TrustedSec, разработавшие для эксплуатации фреймворк Specula, объясняют, что инструмент работает исключительно в контексте Outlook. Для настройки кастомной домашней страницы Specula задействует ключи реестра, обращающиеся к интерактивному веб-серверу Python.
Таким образом, атакующие могут установить целевой URL в ключе реестра Outlook WebView —HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\WebView\ — и указать там адрес своего ресурса.
На вредоносной веб-странице при этом будут размещаться кастомные файлы VBscript, которые можно использовать для выполнения команд в Windows.
«Нам удалось успешно использовать этот вектор для доступа к системам сотен клиентов. И это несмотря на существующие меры безопасности», — пишет TrustedSec.
Ссылка на GitHub.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#Outlook #C2 #RedTeam
Microsoft Outlook можно превратить в C2 (командный сервер) и использовать для удалённого выполнения кода. Специалисты TrustedSec даже выпустили специальный фреймворк Specula, который пригодится для Red Teaming.
В частности, Specula создаёт кастомную домашнюю страницу WebView с помощью уязвимости CVE-2017-11774, позволяющей обойти защитные функции Outlook. Эту брешь устранили ещё в октябре 2017 года.
«Для эксплуатации злоумышленник может отправить жертве специально созданный документ и убедить открыть его», — описывала CVE-2017-11774 Microsoft.
Несмотря на то что разработчики пропатчили уязвимость, условный киберпреступник по-прежнему может создать вредоносную домашнюю страницу с помощью значений в реестре Windows. Это сработает даже с теми системами, где установлены последние сборки Office 365.
Исследователи из TrustedSec, разработавшие для эксплуатации фреймворк Specula, объясняют, что инструмент работает исключительно в контексте Outlook. Для настройки кастомной домашней страницы Specula задействует ключи реестра, обращающиеся к интерактивному веб-серверу Python.
Таким образом, атакующие могут установить целевой URL в ключе реестра Outlook WebView —HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\WebView\ — и указать там адрес своего ресурса.
На вредоносной веб-странице при этом будут размещаться кастомные файлы VBscript, которые можно использовать для выполнения команд в Windows.
«Нам удалось успешно использовать этот вектор для доступа к системам сотен клиентов. И это несмотря на существующие меры безопасности», — пишет TrustedSec.
Ссылка на GitHub.
Ссылка на статью.
LH | Новости | Курсы | Мемы
Полезные нагрузки в MsfVenom с использованием энкодеров. Тестируем и проверяем обнаружение сигнатур
#C2 #pentest #статья #AV #payload
В сегодняшней статье ознакомимся с созданием полезных нагрузок при помощи msfvenom, использованием встроенных encoders(средства сокрытия нагрузки) и проверим их эффективность на трёх виртуальных машинах с разным антивирусным ПО.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#C2 #pentest #статья #AV #payload
В сегодняшней статье ознакомимся с созданием полезных нагрузок при помощи msfvenom, использованием встроенных encoders(средства сокрытия нагрузки) и проверим их эффективность на трёх виртуальных машинах с разным антивирусным ПО.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Как провести Havoc agent через Windows Defender (2024)
#AV #bypass #C2 #payload #статья #pentest
Сегодня я покажу вам метод, как обойти последнюю версию Windows Defender с помощью Havoc Demons по состоянию на сентябрь 2024 года.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#AV #bypass #C2 #payload #статья #pentest
Сегодня я покажу вам метод, как обойти последнюю версию Windows Defender с помощью Havoc Demons по состоянию на сентябрь 2024 года.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Создание незаметного вредоносного ПО для Windows (C2-фреймворк Villain + обфускация PowerShell + недетектируемая доставка)
#статья@haccking #перевод@haccking #bypass #AV #Defender #payload #C2
Антивирусные системы и Windows Defender используют сочетание сигнатурного и поведенческого обнаружения, а также современные решения на основе ИИ для выявления и блокировки вредоносного ПО или попыток подключения к C2-серверу. Как правило, сигнатурное обнаружение проще всего обойти, однако злоумышленникам сложнее преодолеть анализ, выполняемый на хосте в процессе исполнения скрипта, например, с использованием AMSI. Я обнаружил интересный инструмент под названием Villain и решил найти способ использовать его для обхода современных антивирусных решений или, как минимум, актуальной версии Windows Defender, который ориентирован на выявление угроз в реальном времени.
Ссылка на статью.
LH | Новости | OSINT | Курсы
#статья@haccking #перевод@haccking #bypass #AV #Defender #payload #C2
Антивирусные системы и Windows Defender используют сочетание сигнатурного и поведенческого обнаружения, а также современные решения на основе ИИ для выявления и блокировки вредоносного ПО или попыток подключения к C2-серверу. Как правило, сигнатурное обнаружение проще всего обойти, однако злоумышленникам сложнее преодолеть анализ, выполняемый на хосте в процессе исполнения скрипта, например, с использованием AMSI. Я обнаружил интересный инструмент под названием Villain и решил найти способ использовать его для обхода современных антивирусных решений или, как минимум, актуальной версии Windows Defender, который ориентирован на выявление угроз в реальном времени.
Ссылка на статью.
LH | Новости | OSINT | Курсы