Заканчиваем день с признанием того самого сотрудника, выпустившего роковое обновление.

Видео выложил глава CrowdStrike с комментарием

Это не инцидент безопасности или кибератака. Проблема была выявлена, изолирована и исправлена. Мы направляем клиентов на портал поддержки для получения последних обновлений и продолжим предоставлять полные и постоянные обновления на нашем сайте.

Комментарий CEO настоящий. Признание — забавный фейк на злобу дня от французского аналога панорамы

CVE-2024-38112. Resurrecting Internet Explorer: Threat Actors Using Zero-day Tricks In Internet Shortcut File To Lure Victims

.lnk, который выглядит как PDF и возрождает IE из недр Windows. Дальше подгружается и исполняется .hta с полезной нагрузкой.

Плохой OPSEC

14 мая 2021 года газета The New York Times со ссылкой на одного из сенаторов кратко упомянула в своей статье, что внуки Байдена любят навещать своего дедушку в Белом доме и показывать видео из Tiktok, а тот им иногда присылает деньги на карманные расходы в Venmo.

Тогда никто не обратил внимание на эти факты, но на днях журналисты из BuzzFeed выпустили статью, где рассказали о проблемах сервиса: после запуска, приложение просит список контактов (как и Telegram), которые не закрыты настройками приватности.

Более того, и платежи по умолчанию доступны всем. У Байдена они были скрыты, но не у его внуков: обратным поиском от внуков к "единственному незнакомцу, который регулярно присылает им деньги", удалось построить граф со всем окружением президента.

SlayerLabs

Если для вас взлом на HackTheBox стал рутиной по поиску эксплойтов для одних и тех же CMS, развернутых по шаблону из одного контейнера, то SlayerLabs предлагают новый опыт.

Разработчики создают лаборатории для пентеста с уникальным лором, сюжетом и оформлением, пример одной из которых можно увидеть в трейлере.

— 6 полигонов с более 130 машинами
— собственный сюжет на каждую компанию
— задания под разные операционные системы
— прописанная вселенная в стиле ретрофутуризма
— для Windows есть лаборатории с 4+ доменами
— чтобы дойти до финала, придется взламывать очень и очень много
— на большинстве полигонов придется писать собственные эксплойты из-за приложений, которые существуют только тут

Ссылка: https://slayerlabs.com/

https://github.com/lawndoc/Respotter

Ханипот для Responder.

Respotter использует протоколы LLMNR, mDNS и NBNS для поиска несуществующего фальшивого имени хоста (по умолчанию: Loremipsumdolorsitamet). Если на любой из запросов получен ответ, значит, кто-то запустил Responder в вашей сети.

Поддерживает уведомления в Slack, Teams или Discord, а также отправку событий в syslog для занесения событий в SIEM.

Red Team Interview Questions

Репозиторий, охватывающий широкий спектр тем и вопросов для кандидатов на собеседование, которые готовятся работать пентестерами в составе красной команды.

1. Initial Access
2. Windows Network
3. Active Directory
4. OS Language Programming
5. PowerShell
6. Windows Internals
7. DNS Server
8. Windows API
9. Macro Attack
10. APT Groups
11. EDR and Antivirus
12. Malware Development
13. System & Kernel Programming
14. Privilege Escalation
15. Post-exploitation (and Lateral Movement)
16. Persistence
17. Breaking Hash
18. C&C (Command and Control)
19. DLL
20. DNS Rebinding
21. LDAP
22. Evasion
23. Steganography
24. Kerberoasting and Kerberos
25. Mimikatz
26. RDP
27. NTLM
28. YARA Language
29. Windows API And DLL Difference
30. Antivirus and EDR Difference
31. NTDLL
32. Native API
33. Windows Driver
34. Tunneling
35. Shadow File
36. SAM File
37. LSA
38. LSASS
39. WDIGEST
40. CredSSP
41. MSV
42. LiveSSP
43. TSpkg
44. CredMan
45. EDR NDR XDR
46. Polymorphic Malware
47. Pass-the-Hash, Pass-the-Ticket or Build Golden Tickets
48. Firewall
49. WinDBG (Windows Debugger)
50. PE (Portable Executable)
51. ICMP
52. Major Microsoft frameworks for Windows
53. Services and Processes
54. svchost
55. CIM Class
56. CDB, NTSD, KD, Gflags, GflagsX, PE Explorer
57. Sysinternals Suite (tools)
58. Undocumented Functions
59. Process Explorer vs Process Hacker
60. CLR (Common Language Runtime)

Другие посты, которые я публиковал ранее
— вопросы на разные темы от действующего сотрудника Google
— 33 вопроса о веб-уязвимостях для самоподготовки

EDRSilencer

EDRSilencer — "убийца EDR", как FireBlock от MdSec, но опенсорсный и бесплатный. Полностью отключает отправку каких-либо событий EDR с помощью легитимного WFP API в Windows.

Список средств защиты, которые перестанут "отстукивать":
— Microsoft Defender for Endpoint and Microsoft Defender Antivirus
— Elastic EDR
— Trellix EDR
— Qualys EDR
— SentinelOne
— Cylance
— Cybereason
— Carbon Black EDR
— Carbon Black Cloud
— Tanium
— Palo Alto Networks Traps/Cortex XDR
— FortiEDR
— Cisco Secure Endpoint (Formerly Cisco AMP)
— ESET Inspect
— Harfanglab EDR
— TrendMicro Apex One

На видео пример работы Fireblock и дампа LSASS под носом у работающего Defender.

Crack Faster, Hack Smarter: Custom Hashcat Module for Apache Shiro 1 SHA-512

Взламываем на реальном примере кастомный алгоритм хеширования с помощью собственного модуля для hashcat. Официальный Hashcat Plugin Development Guide без подробностей и обновлялся два года назад, так что лучше сохранить эту статью.

Всем привет!

Недавно разбирал по шагам всю attack.mitre.org и обнаружил интересную технику Compromise Host Software Binary T1554 , которая описывается как Adversaries may modify host software binaries to establish persistent access to systems. Это достаточно перспективный способ закрепления, явно отличающийся своей уникальностью. Помимо того, существует возможность модификации существующих файлов без порчи их цифровой подписи (например, через MST-файлы (ищите раздел "Running a signed MSI as non-admin")). Однако, я не встречал особо много статей, которые бы явно отсылали нас к этой технике.

Собственно, отсутствие материала и побудило меня написать небольшую статью на тему того, как можно инфицировать .NET-сборки :))

Так родился новый материал Карантин! Инфицируем .NET-сборки как настоящий APT .

Приятного чтения :)

RedGuard - Excellent C2 Front Flow Control tool

Умный файрволл, который скроет ваш C2 от чужих глаз.

— блокирует песочницы вендоров кибербезопасности на основе JA3 фингерпринтов и обширной базы IP-адресов
— поддерживает контроль входящего трафика для нескольких C&C серверов
— может реализовать domain fronting и осуществить балансировку нагрузки для достижения эффекта скрытности
— умеет в атрибуцию IP-адресов и блокировку по геопозиции
— способен строго проверять входящие http/s запросы на соответствие заданным malleable-профилям

bbradar.io

Я часто ловлю себя на мысли, что мне приходится тратить много сил и времени только на то, чтобы уследить за новыми программами на всех Bug Bounty площадках, где я работаю.

Последнее время меня стал раздражать этот процесс, поэтому я решил создать небольшое приложение-трекер, чтобы объединить последние общедоступные программы.

Надеюсь, это поможет вам быстрее выбрать понравившуюся программу и позволит сосредоточить всю свою энергию на реальном исследовании.

Собирает программы с площадок:
— BugBase
— CodeHawks
— HackerOne
— BugCrowd
— Intigriti
— Immunefi
— HackenProof
— YesWeHack
— Standoff365
— Code4rena
— Sherlock

Новые тоже добавляются, недавно было пополнение сайтом Remedy.

Загадки человечества:
— гибель Титаника
— Тунгусский метеорит
— Бермудский треугольник

— как работает ценообразование на C&C?!

1. Cobalt Strike + Core Impact = $12,600 user/year (базовая версия)
2. Nighthawk ($10,000) * 3 (минимальное кол-во лицензий) = $30,000 year

Сегодня список пополнился новым софтом, — 0xc2 https://www.0xc2.io/
€4,500 * 2 = €9000 year.

Выглядит так, как будто кто-то форкнул опенсорсный havoc, перекрасил иконки и выставил на продажу.

Свежее издание phrack

С момента выхода прошлого выпуска культового журнала прошло 3 года.

Release date : 2024-08-19

После нескольких последних десятилетий, когда человечество выложило все свои коллективные знания в сеть, мы видим все больше способов помешать нам получить к ним доступ. Не только хорошую информацию сложнее найти, плохая информация заглушает ее.

Растут стимулы присматривать и собирать ренту за важными ресурсами, а также распространять мусор, который в лучшем случае бесполезен, а в худшем — вреден.

Во всем этом хаосе реальная угроза — потеря полезной, проверенной и надежной информации ради монетизации противоположного.

Мы можем двигаться вперед через эту чушь. Мы можем работать вместе, чтобы поддерживать
хорошую информацию и усиливать голоса тех, кто ее создает и кураторствует. Мы можем узнать, как все на самом деле работает, делиться подробностями и использовать эти механизмы, чтобы делать что-то хорошее

— Introduction
— Phrack Prophile on BSDaemon
— Linenoise
— Loopback
— Phrack World News
— MPEG-CENC: Defective by Specification
— Bypassing CET & PAC/BTI With Functional — Oriented Programming
— World of SELECT-only PostgreSQL Injections
— A VX Adventure in Build Systems and Oldschool Techniques
— Allocating new exploits
— Reversing Dart AOT snapshots
— Finding hidden kernel modules (extrem way reborn)
— A novel page-UAF exploit strategy
— Stealth Shell: A Fully Virtualized Attack Toolchain
— Evasion by De-optimization
— Long Live Format Strings
— Calling All Hackers

https://github.com/TheWover/donut

Генератор шелл-кода и лоадер в одном флаконе.

По возможностям так:
— Compression of input files with aPLib and LZNT1, Xpress, Xpress Huffman via RtlCompressBuffer.
— Using entropy for API hashes and generation of strings.
— 128-bit symmetric encryption of files.
— Overwriting native PE headers.
— Storing native PEs in MEM_IMAGE memory.
— Patching Antimalware Scan Interface (AMSI) and Windows Lockdown Policy (WLDP).
— Patching Event Tracing for Windows (ETW).
— Patching command line for EXE files.
— Patching exit-related API to avoid termination of host process.
— Multiple output formats: C, Ruby, Python, PowerShell, Base64, C#, Hexadecimal, and UUID string.

Ringzer0 Training

Канал с воркшопами на разные темы.

— Initiation to Car Hacking: Discovering the CAN bus
— Compiler Backdooring For Beginners
— Rust Won't Save Us: Finding And Exploiting 0-Days In Security Appliances
— RISC V Exploit Dev Fun
— Reversing with Ghidra
— Hands-on Binary Deobfuscation
— A Journey into Malicious Code Tradecraft for Windows
— Bypassing Security Perimeters via Vulnerable Devices
— Introduction to Cryptography
— A Journey into Malicious Code Tradecraft for Windows

Ошибка Microsoft ценой в несколько тысяч долларов

Bingbot, поисковой бот от Microsoft, индексирует видео с разных сайтов: VK, Tiktok, Instagram, и Youtube, чтобы отображать их у себя в поиске.

Помимо самих видео, он парсит и их атрибуты, такие как название и описание. Если залить видео на хостинг, то бот, спустя некоторое время, получит его и начнет отдавать метадату по адресу https://www.bing.com/videos/vdasync?mid={mid}.

Эта метадата выглядит как обычный JSON, за которым, при открытии бинга, ходит браузер пользователя. Но вместо правильного applicarion/json, в ответе по этому адресу возвращается тип контента text/html; charset=utf-8.

Поэтому если в названии видео добавить полезную нагрузку с HTLM-тегами, бот ее успешно распарсит и захостит твою XSS-ку "как есть" на главном домене bing.com.

Баг был найден первого июля, а сумма выплаты составила $3000.

https://github.com/Whitecat18/Rust-for-Malware-Development/

Много примеров как писать offensive-утилиты на расте.

Содержимое
— Encryption Methods: AES/RC4/XOR
— Enumeration System
— Stomping injection
— InfoStealer
— Malware Tips: AMSI Bypass, LSASS Dump
— Persistence
— Process-Injection: Local/Remote
— Extract WiFi
— Reverse Shell
— Local/Remote Thread Hijacking
— Windows Threads
— DLL Injection
— Keylogger Dropper
— Shellcode Obfuscation and Deobfuscation
— Shellcode Execution Methods

Полезные ссылки
— Rust Book
— Windows API [old]-(winapi)
— Windows API (by Official Microsoft)
— NtAPI
— Windows Internals
— RedTeam Notes
— Malware Development Essentials
— Rust for CyberSecurity and Red Teaming

Не забываем и о предыдущих постах: как написать свой Cheat Engine на Rust, сниппеты кода для редтима.