#pentest #redteam

Идеальный DLL Hijacking🖥

Команда AP Security подготовила для Вас очередную статью, в которой подробно будет рассмотрено исследование такой техники, как DLL Hijacking. Статья подробно расскажет, как работает данный механизм и как его эксплуатировать

Хабр

#itnews #infosec #hackers

Китайские хакеры действовали незамеченными в критической инфраструктуре США в течение 5 лет⌨️

Правительство США в среду заявило, что спонсируемая китайским государством хакерская группа, известная как Volt Typhoon, была внедрена в некоторые сети критической инфраструктуры в стране на протяжении как минимум пяти лет

Целями хакеров являются сектора связи, энергетики, транспорта, водоснабжения и канализации в США и на острове Гуам

Выбор целей и модель поведения Volt Typhoon не соответствуют традиционным операциям кибершпионажа или сбора разведданных, и американские ведомства с высокой степенью уверенности полагают, что участники Volt Typhoon заранее позиционируют себя в ИТ-сетях, чтобы обеспечить возможность латерального перемещения к ОТ-активам для нарушения функционирования

заявили в правительстве США

Совместный совет, выпущенный Агентством кибербезопасности и защиты инфраструктуры (CISA), Агентством национальной безопасности (NSA) и Федеральным бюро расследований (FBI), был также поддержан другими странами, входящими в разведывательный альянс "Пять глаз" (FVEY), в который входят Австралия, Канада, Новая Зеландия, Великобритания

Volt Typhoon, которую также называют Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda или Voltzite, - скрытная базирующаяся в Китае группа кибершпионажа, которая, как считается, действует с июня 2021 года

#pentest

Использование легитимных программ и функций для выполнения вредоносных действий в целевой системе ✅

LotL-атака - Living off the Land

Это безфайловая обратная оболочка living off the land, написанная на JScript и Powershell script. Она запускается каждый раз при загрузке Windows и полагается исключительно на реестр Windows и переменные среды c целью выполнения в системе без создания каких-либо файлов.
Программа предназначена только для образовательных целей!

#SOC

Agent Tesla, сложная вредоносная программа, проникающая в системы через фишинговые письма🏚

➡️ В своей начинке вредонос оснащён различными дропперами, а его основная цель - извлечь конфиденциальную информацию, в частности пароли от веб-браузеров, электронной почты, VPN и FTP-клиентов. Похищенные данные отправляются на электронную почту злоумышленника. В этом отчете Вы узнаете о тактиках, техниках и методах работы Agent Tesla.

#itnews #infosec #malware

Новый скрытый бэкдор "RustDoor", нацеленный на устройства Apple macOS🔑

Пользователи macOS от Apple стали жертвами нового бэкдора на основе Rust, который работает под радаром с ноября 2023 года.

Бэкдор, получивший в Bitdefender кодовое название RustDoor, был обнаружен под видом обновления для Microsoft Visual Studio и нацелен на архитектуры Intel и Arm

Точный путь первоначального доступа, используемый для распространения имплантата, в настоящее время неизвестен, хотя, по слухам, он распространяется в виде двоичных файлов FAT, содержащих файлы Mach-O

На сегодняшний день обнаружено несколько вариантов вредоносной программы с незначительными модификациями, что, вероятно, свидетельствует об активной разработке. Самый ранний образец RustDoor датируется 2 ноября 2023 года

Он содержит широкий набор команд, позволяющих собирать и загружать файлы, а также собирать информацию о скомпрометированной конечной точке

#pentest #redteam #osint

Знакомимся с Google Dorks🔗

Google Dorks - операторы, используемые для поиска в Google. Этот мощный инструмент позволяет находить ошибочные конфигурации, торчащие пароли и даже уязвимости в сервисах. При проведении первичного рекона незаменимая вещь

Google Dorks

#itnews #infosec #hackers

Rhysida Ransomware взломана, выпущен бесплатный инструмент для расшифровки👤

Исследователи в области кибербезопасности обнаружили "уязвимость в реализации", которая позволила восстановить ключи шифрования и расшифровать данные, заблокированные программой Rhysida ransomware

Результаты исследования были опубликованы на прошлой неделе группой исследователей из Университета Кукмин и Корейского агентства Интернета и безопасности (KISA)

Проведя всесторонний анализ Rhysida Ransomware, мы обнаружили уязвимость в реализации, которая позволила нам регенерировать ключ шифрования, используемый вредоносным ПО

заявили исследователи

Эта разработка стала первой успешной расшифровкой штамма ransomware, который впервые появился в мае 2023 года. Инструмент для восстановления распространяется через KISA.
Исследование также является последним, в котором удалось добиться расшифровки данных за счет использования уязвимостей в реализации ransomware, после Magniber v2, Ragnar Locker, Avaddon и Hive

#pentest #redteam #osint

Сборник Google Dorks🖥

Данный ресурс содержит огромное число Google Dorks, используемых для разведки. Сайт содержит архивы за каждый год, в который появилась та или иная дорка

Google Dorks

#itnews #infosec #malware

Ботнет Glupteba избегает обнаружения с помощью недокументированного UEFI Bootkit🤖

В ботнете Glupteba была обнаружена ранее недокументированная функция буткита Unified Extensible Firmware Interface(UEFI), что добавляет вредоносному ПО еще один уровень сложности и скрытности

Этот буткит может вмешиваться и контролировать процесс загрузки [операционной системы], позволяя Glupteba скрывать себя и создавать незаметное постоянство, которое крайне сложно обнаружить и удалить

заявили исследователи Palo Alto Networks Unit 42 Лиор Рочбергер и Дэн Яшник в своем анализе

Glupteba - это полнофункциональный похититель информации и бэкдор, способный облегчить незаконный майнинг криптовалюты и развернуть прокси-компоненты на зараженных узлах. Известно, что он также использует блокчейн биткойна в качестве резервной системы управления и контроля (C2), что делает его устойчивым к попыткам уничтожения
Некоторые из других функций позволяют ему доставлять дополнительную полезную нагрузку, выманивать учетные данные и данные кредитных карт, осуществлять рекламное мошенничество и даже эксплуатировать маршрутизаторы для получения учетных данных и удаленного административного доступа

#pentest #tools #web

Эксплуатация ViewState Deserealization с помощью Blacklist3r и YSoSerial.NET🖥

ViewState служит стандартным механизмом в ASP.NET для сохранения данных страницы и элементов управления на веб-страницах

В статье будет рассмотрено несколько кейсов, в которых будут применены различные техники эксплуатации в зависимости от условий

ViewState Deserealization

#itnews #infosec #hackers

Хакеры теперь все чаще используют искусственный интеллект для атак👩‍💻

Государственные хакеры, связанные с Северной Кореей, Ираном и Китаем, экспериментируют с искусственным интеллектом и большими языковыми моделями, чтобы дополнить свои операции по кибератакам

Такие выводы содержатся в отчете, опубликованном компанией Microsoft совместно с OpenAI. Обе компании заявили, что пресекли попытки пяти субъектов, которые использовали их сервисы ИИ для осуществления вредоносной деятельности, прекратив работу их активов и учетных записей

Поддержка языка является естественной особенностью LLM и привлекательна для угроз, которые постоянно фокусируются на социальной инженерии и других методах, основанных на ложных, обманчивых сообщениях, адаптированных к работе, профессиональным сетям и другим связям их целей

говорится в отчете Microsoft

Эти субъекты обычно пытались использовать сервисы OpenAI для запроса информации из открытых источников, перевода, поиска ошибок в коде и выполнения базовых задач кодирования

заявили в компании, занимающейся разработкой ИИ

#web #pentest #cheatsheet #beginners

Большой RoadMap по Web Pentest💥

Эта дорожная карта по тестированию на проникновению веб сервисов содержит подробное руководство для каждого, кто начинает свое знакомство с данной областью: от введения и общей базы до продвинутого уровня

RoadMap

#pentest #windows #redteam

WinAPI для пентестера🖥

WinAPI - общее наименование набора базовых функций интерфейсов программирования приложений ОС семейства Windows. Крайне необходима для пентестера при написании собственных нагрузок, скриптов и малварей

WinAPI

#pentest #web #microsoft

Эксплуатация десериализации в ASP.NET с помощью ViewState⌨️

Ранее выкладывали пост про данную атаку при помощи blacklist3r и YSoSerial.Net

Данная статья расскажет что такое ASP.NET, про его функции, как это использовать для атак, а также даст дополнительные советы для пентестеров

ASP.NET

#poc #cve #exploit

Microsoft Outlook RCE: PoC🤖

Уязвимость, обнаруженная компанией Check Point, получила обозначение CVE-2024-21413. Она активируется при открытии электронных писем с вредоносными ссылками в уязвимых версиях Outlook. Уязвимость затрагивает несколько продуктов Office, включая Microsoft Office LTSC 2021, Microsoft 365 для предприятий, а также Microsoft Outlook 2016 и Microsoft Office 2019

Proof Of Concept

Продолжая тему pivoting-а, вышло свежее интервью Сергея, резюмирующее доклад со Standoff Talks.

Для тех, кто уже познакомился с выступлением, обозначены рекомендуемые утилиты и расписана идея стенда, а тем, кто не успел послушать доклад, рекомендуем узнать практические советы по данной теме🌐

#itnews #infosec #apt

Akira Ransomware эксплуатирует уязвимость Cisco ASA/FTD🔥

Агентство по кибербезопасности и защите инфраструктуры США (CISA) в четверг добавило исправленный дефект безопасности, затрагивающий программное обеспечение Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD), в каталог известных уязвимостей (KEV) после сообщений о том, что он, вероятно, используется в атаках вымогательского ПО Akira

Речь идет об уязвимости CVE-2020-3259 (CVSS score: 7.5) - проблеме раскрытия информации высокой степени серьезности, которая может позволить злоумышленнику получить содержимое памяти на пораженном устройстве. Она была исправлена компанией Cisco в рамках обновлений, выпущенных в мае 2020 года

В конце прошлого месяца компания Truesec, специализирующаяся на кибербезопасности, заявила, что обнаружила свидетельства, указывающие на то, что за последний год уязвимость Akira была использована разработчиками вымогательского ПО для компрометации нескольких уязвимых устройств Cisco Anyconnect SSL VPN

Навигация по каналу AP Security🔍

https://t.iss.one/ap_security_chat - чат канала

#apt - посты, связанные с APT-группировками

#soc - утилиты и полезные рекомендации для SOC

#redteam - статьи и материалы для RedTeam

#pentest - все, что связано с пентестом

#tools - полезные утилиты для Blue и Red Team, а также скрипты для автоматизации

#osint - все, что связано с OSINT-ом

#byapsecurity - уникальный контент, сделанный командой AP Security

#cve , #exploit - новые эксплойты и актуальные CVE

#web - Bug Bounty и Web-эксплуатация

#beginners - для самых маленьких

#windows , #linux - уязвимости и техники для ОС Windows и Linux

#fuzzing , #reverse - фаззинг, реверс, PWN

#activedirectory - утилиты и техники, касающиеся взлома AD

#cheatsheet - полезные подсказки и шпаргалки

#malware , #hackers - ВПО и деятельность хакерских группировок

#forensics - цифровая криминалистика

#application - материалы из области безопасной разработки

#realcase - реальные кейсы из практики специалистов

#pentest #redteam #realcase

Создаем беспроводной сетевой мост для доступа к корпоративной сети с помощью Raspberry Pi🖥

Данная статья в подробностях пояснит, как создать собственный Wi-Fi бэкдор на основе Raspberry Pi для внешнего проникновения ( а возможно кто-то вспомнит и Mr. Robot 👀 )

Приятного прочтения📌

Хабр