Сторонняя загрузка DLL, она же техника DLL sideloading — это популярный метод, используемый для обхода продуктов безопасности и механизмов защиты операционной системы Windows с целью выполнения вредоносного кода на целевой конечной точке➡️

Чтобы автоматизировать процесс сторонней загрузки DLL и сделать его более эффективным, был создан инструмент, включающий в себя методики обхода продуктов EDR/AV. Chimera может автоматически шифровать шеллкод, используя операцию XOR со случайным ключом, и создавать шаблонные образы, которые можно импортировать в Visual Studio для создания необходимой DLL.

Ключевые обновления и особенности🔓:

✔️Обновлённая структура: Вся программа была реструктурирована для повышения удобства разработки и сопровождения в будущем.

✔️Интеграция полиморфного кода: Интеграция полиморфного кода, значительно расширяющая возможности обхода и делающая инструмент более устойчивым к статическому анализу.

✔️Интеграция SysWhispers 3 (инструмента, генерирующего заголовочные/ASM файлы, которые импланты могут использовать для прямых системных вызовов): Переход от SysWhispers 2 к модифицированной версии SysWhispers 3. Это обновление улучшает способность инструмента обходить механизмы распознавания образов, используемые системами EDR, с помощью динамических системных вызовов и модифицированных методов сборки.

✔️Шифрование AES: Реализовано шифрование AES для защиты шеллкода, что добавляет дополнительный уровень скрытности и обфускации.

✔️Early Bird Injection: Инструмент использует технику Early Bird Injection, позволяющую скрытно выполнять код в целевых процессах.

✔️Module Stomping: Функциональная возможность будет добавлена в будущем, также вы сможете реализовать в инструменте свою собственную технику инъекции кода.

📣Ссылка на свежий релиз:https://github.com/georgesotiriadis/Chimera

#pentest #redteam #tools

Использование DHCP-спуфинга DNS в качестве оружия: практическое руководство😠

Спешим познакомить Вас со второй частью блока статей, описывающих набор атак на домены Active Directory, где имеются серверы протокола DHCP ⚡

Мы подробно опишем методы, используемые для сбора всей необходимой информации с целью проведения атак, опишем некоторые ограничения при их выполнении и рассмотрим, как мы можем подделать несколько записей DNS, злоупотребляя интересным поведением DHCP-сервера.

В конце, после теоретического блока и демонстрации методов, читателя ждёт подробное знакомство с адаптированной под данные задачи утилитой DDSpoof, которая может быть использована для изучения подобных атак специалистами красных и синих команд🔓

Ссылка на ресурс: https://www.akamai.com/blog/security-research/weaponizing-dhcp-dns-spoofing-hands-on-guide

Не забудь сохранить себе и поделиться с друзьями▶️

⚡️Количество поддельных сайтов доставки выросло на 34% в декабре📈

ℹ️Group-IB сообщила, что за первые 10 дней декабря было выявлено 587 сайтов, созданных под видом законных почтовых операторов и компаний по доставке, что на треть больше, чем за предыдущие 10 дней. Group-IB сообщила, что за первые 10 дней декабря было выявлено 587 сайтов, созданных под видом законных почтовых операторов и компаний по доставке, что на треть больше, чем за предыдущие 10 дней.

ℹ️Мошенники используют это чувство срочности, отправляя поддельные уведомления о доставке. Большой объем отправлений в сезон отпусков облегчает мошенникам скрыться среди законных служб доставки Мошенники используют чувство срочности, отправляя поддельные уведомления о доставке. Большой объем отправлений в сезон отпусков облегчает задачу мошенникам скрыться среди законных служб доставки.

ℹ️Жертвы обычно получают текстовое сообщение с предупреждением о "срочной" или "неудачной" доставке, в котором содержатся ссылки на фишинговые сайты. Затем получателю предлагается оставить свои личные и платежные данные.

ℹ️В связи с этим владельцев брендов просят использовать сервисы анализа угроз для мониторинга и блокирования таких кампаний, прежде чем у них появится шанс на рост.

ℹ️Пользователям же рекомендуется проверять достоверность источников,самостоятельно заходить на официальные веб-сайты и быть в курсе действующих схем.

#itnews #infosec

SMTP Smuggling - Spoofing E-Mails Worldwide + PoC ✉️

В ходе исследовательского проекта в сотрудничестве с Лабораторией уязвимостей SEC Consult Тимо Лонгин (@timolongin), известный своими атаками на протокол DNS, обнаружил новую технику эксплуатации еще одного интернет-протокола - SMTP (Simple Mail Transfer Protocol). Атакующие могут использовать уязвимые SMTP-серверы по всему миру для отправки вредоносных писем с произвольных электронных адресов, что позволяет проводить целевые фишинговые атаки. Из-за природы самого эксплойта этот тип уязвимости получил название SMTP-smuggling. Было обнаружено несколько 0-day, и различные поставщики были оповещены об этом после нашего раскрытия в 2023 году.

Предлагаем познакомиться с нашумевшей уязвимостью популярного протокола 😵

Данный ресёрч очень подробно описывает природу данной проблемы, демонстрирует пример эксплуатации, а также предлагает новые направления для исследования в этой области 🤔

Приятного прочтения🔥

🔍 Ссылка на исследование: https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/#

➕ PoC (CVE-2023-51764: Postfix SMTP Smuggling) : https://github.com/duy-31/CVE-2023-51764

Сохрани, чтобы не потерять, и обязательно поделись с друзьями✈️

#pentest #redteam #tools

⚠️В 2023 году было раскрыто в общей сложности 26 447 уязвимостей, что более чем на 1500 CVE больше, чем в предыдущем году 📈

Цифры взяты из последнего отчета Qualys Threat Research Unit (TRU), опубликованного в конце декабря.

🟢Отчет показал, что 32,5% уязвимостей высокого риска затронули сетевые устройства и веб-приложения, что подчеркивает необходимость комплексной стратегии управления уязвимостями 🛡

🟢Основные выводы показали, что 97 уязвимостей высокого риска, которые могут быть использованы, не были частью каталога известных эксплуатируемых уязвимостей CISA. Кроме того, 25% уязвимостей высокого риска были использованы в тот же день, когда они были опубликованы 😂

🟢Глубокое изучение ландшафта угроз уязвимостей также выявило, что более 7000 уязвимостей содержат код эксплойта в сети, в то время как 206 уязвимостей содержат PoC, применяемый в качестве оружия, что увеличивает вероятность успешных компрометаций 🔋

🟢Необходимо придерживаться лучших практик, чтобы остановить боковое перемещение и выполнение RCE на устройствах по всей организации ⚡️

🟢К мерам также относятся внедрение эффективной сегментации сети, учитывающей все устройства и приложения, автоматизация исправлений и ротации паролей устройств, а также распространение принципов нулевого доверия на все подключенные к сети системы❌

🔐Уважаемые читатели и подписчики канала, лаборатория инновационных технологий и кибербезопасности AP Security присоединяется к поздравлениям от руководителя компании с наступающими новогодними и рождественскими праздниками!

🎄Пускай Новый год, год Дракона, станет для Вас временем важных перемен, исполнения желаний и приятных встреч

🪟Пусть всё самое сложное и трудное остаётся в уже так стремительно уходящем 2023 году

🌲Всего Вам самого доброго, позитивного и наилучшего в наступающем 2024, крепкого здоровья, благополучия, любви и радости

С любовью, AP Security

🌐 Apple отозвала iOS 17.3 beta 2 в связи с окирпичиванием iPhone

Apple удалила бета-версии iOS 17.3 и iPadOS 17.3 после того, как ряд пользователей сообщили, что программное обеспечение блокирует устройства. Согласно сообщениям, некоторые владельцы iPhone, которые обновляли гаджеты, обнаружили, что их устройства застряли в цикле загрузки.

Выяснилось, что в случае возникновения такой ситуации помогает откат через утилиту iMazing на iOS 17.3 beta 1 или установка стабильной iOS 17.2.1 через IPSW-файл.

#пентест #редтим #утилиты
☯️ Автоматизируем атаки на Active Directory с использованием AD-AssessmentKit

Скрипт AD-SecurityAudit.sh данного набора предназначен для базовой разведки и обладает следующими особенностями:

◽️Запросы LDAP для идентификации служебных учетных записей: выполняет поиск по протоколу LDAP с таргетингом на служебные учетные записи в AD.
◽️Анализ билетов Kerberos: использует инструменты Impacket для анализа уязвимостей билетов Kerberos и идентификации учетных записей без предварительной аутентификации.
◽️ Комплексное перечисление Kerberos и SMB: использует SilentHound и Enum4linux-ng для аудита Kerberos и детального сканирования SMB, пользователей и системы.
◽️Методы перечисления: реализует перебор RID и перечисление NetExec SMB для обнаружения учетных записей пользователей, групп и политик безопасности.
◽️Эксплуатация служб Windows: выполняет атаки Zerologon и PetitPotam для выявления известных уязвимостей.
◽️Сводка выполнения и практические рекомендации: завершается сообщением об успехе и предоставляет информацию для дальнейших действий, таких как взлом хэша.

Скрипт AutoMapExec.sh идет глубже и имеет следующий функционал:

◽️Таргетинг на основе учетных данных: для более тщательного анализа используются предоставленные пользователем учетные данные.
◽️Аудит Kerberos и расширенное перечисление SMB: объединяет SilentHound и несколько команд NetExec для более глубокого уровня анализа SMB и безопасности.
◽️Комплексное сканирование сети и AD: использует CrackMapExec для обширного просмотра сети, включая списки компьютеров, локальные группы и извлечение NTDS.
◽️Тестирование на наличие серьезных уязвимостей: включает использование значительных уязвимостей.
◽️Тестирование на основные уязвимости: включает использование серьезных уязвимостей, таких как Zerologon, PetitPotam и NoPAC.
◽️Интеграция BloodHound и поддержка RDP: облегчает сбор данных AD для анализа BloodHound и включает протокол удаленного рабочего стола.
◽️ Выполнение различных команд для получение данных: выполняет ряд системных команд и извлекает базу данных SAM для углубленного анализа учетных данных.
◽️Подробный обзор выполнения: завершается кратким описанием успешного выполнения, что означает завершение комплексного процесса сканирования.

#сок #утилиты

Snort - это мощная и легкая система обнаружения и предотвращения сетевых вторжений с открытым исходным кодом (IDS / IPS) 👋

Snort в настоящее время разрабатывается и поддерживается Cisco, которая приобрела Sourcefire в 2013 году.

◽️Описание и принцип работы инструмента: https://roman2204.github.io/snort/Snort-Part-1-Snort-introduction/
◽️Примеры настройки и использования: https://roman2204.github.io/snort/Snort-Part-3-Configuring-Snort-to-Run-as-a-NIDS/
https://xakep.ru/2018/11/14/snort-rules/

Туннельное мышление, или Разбираемся с pivoting 👩‍💻

Умейте делать интересно - один из красивых и важных выводов данного доклада, олицетворяющий подход к мышлению каждого специалиста в области тестирования на проникновение.

➡️Pivoting — это набор техник, которые позволяют атакующему получить доступ к локальным ресурсам, по сути, делая маршрутизируемым тот трафик, который в нормальных условиях является немаршрутизируемым, что используется для эксфильтрации или инфильтрации данных на хосты, недоступные из того или иного сегмента сети.

Данный доклад наполнен большим количеством практических примеров использования методов в проектах c участием сотрудников SOC, что , безусловно, требует нестандартного мышления и креатива с целью остаться незамеченным в инфраструктуре заказчика.
Само выступление сопровождается разбором необходимых актуальных инструментов, демонстрацией стендов и полезных ссылок. В конце спикер отвечает на большое количество вопросов, что сопровождается интересными дискуссиями и размышлениями.

Приятного просмотра ⬇️

#redteam

Беззащитная защита. Изучаем уязвимость, дающую встроить бэкдор в FortiGate ✅

Как извес­тно, даже инс­тру­мен­ты для обес­печения сетевой безопас­ности могут иметь серь­езные уяз­вимос­ти. В этой статье мы раз­берем, как зло­умыш­ленник может взло­мать меж­сетевой экран FortiGate и уста­новить в его про­шив­ке бэк­дор.

➡️ PURGENTX, сотрудник лаборатории кибербезопасности AP Security, поделился с читателями ресёрчем, в рамках которого на примере межсетевого экрана показал способ реверс-инжиниринга прошивок, что в дальнейшем даёт возможность реализации определённых CVE.

➡️ Статья включает в себя стенд и последующее подробное описание шагов исследования, что позволяет каждому самостоятельно получить необходимые навыки и проработать материал.

Приятного прочтения⬇️

#reverse #ap_security

Канал AP Security попал в ежегодную подборку лучших ИБ каналов ZLONOV.ru ✅

Благодарим читателей и подписчиков канала и хабра компании за проявленный интерес🔥

Мы же готовимся и дальше радовать Вас новым контентом и авторскими статьями от лаборатории кибербезопасности AP Security.

➡️ Контакты для связи по интересующим вопросам: @ap_security_admin; [email protected]; сайт компании.