#pentest #redteam #windows
Дампим учетные данные RDP🖥
RDP - основной протокол удаленного управления, которым пользуются администраторы. Получение этих учетных данных - прекрасный способ как для горизонтального, так и для вертикального перемещения
Dumping RDP
Дампим учетные данные RDP
RDP - основной протокол удаленного управления, которым пользуются администраторы. Получение этих учетных данных - прекрасный способ как для горизонтального, так и для вертикального перемещения
Dumping RDP
Please open Telegram to view this post
VIEW IN TELEGRAM
Penetration Testing Lab
Dumping RDP Credentials
Administrators typically use Remote Desktop Protocol (RDP) in order to manage Windows environments remotely. It is also typical RDP to be enabled in systems that act as a jumpstation to enable user…
👍3❤2🔥1
#redteam #tools #windows
Продолжая тему кражи учетных данных RDP: RDPStealer - утилита, написанная на C++, использующая API Hooking
GitHub
Продолжая тему кражи учетных данных RDP: RDPStealer - утилита, написанная на C++, использующая API Hooking
GitHub
GitHub
GitHub - S12cybersecurity/RDPCredentialStealer: RDPCredentialStealer it's a malware that steal credentials provided by users in…
RDPCredentialStealer it's a malware that steal credentials provided by users in RDP using API Hooking with Detours in C++ - S12cybersecurity/RDPCredentialStealer
✍3😁2👍1
#linux #redteam #pentest
FreeIPA Pentesting⚡️
FreeIPA - доменная инфраструктура, которая разворачивается на базе ОС семейства Linux. Для пентестера важно разбираться в тестировании не только среды Active Directory, но и FreeIPA
В статье будет представлена базовая информация для проведения пентеста данной среды: enumeration, действия с хешами учетных записей
FreeIPA
FreeIPA Pentesting
FreeIPA - доменная инфраструктура, которая разворачивается на базе ОС семейства Linux. Для пентестера важно разбираться в тестировании не только среды Active Directory, но и FreeIPA
В статье будет представлена базовая информация для проведения пентеста данной среды: enumeration, действия с хешами учетных записей
FreeIPA
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤1👍1
#itnews #infosec #malware
Новый банковский троян CHAVECLOAK нацелен на бразильских пользователей с помощью тактики фишинга😄
Пользователи в Бразилии стали жертвами нового банковского трояна под названием CHAVECLOAK, распространяющегося через фишинговые письма с вложениями в формате PDF
говорит исследователь Fortinet FortiGuard Labs Кара Лин
Цепочка атак включает в себя использование заманивающего письма DocuSign на тему контрактов, чтобы обманом заставить пользователей открыть PDF-файлы, содержащие кнопку для прочтения и подписания документов
В действительности нажатие на кнопку приводит к получению установочного файла по удаленной ссылке, сокращенной с помощью сервиса сокращения URL-адресов Goo.su.
Внутри инсталлятора находится исполняемый файл под названием "Lightshot.exe", который использует побочную загрузку DLL для загрузки "Lightshot.dll", являющейся вредоносной программой CHAVECLOAK, способствующей краже конфиденциальной информации
Вредонос собирает системные метаданные и выполняет проверку, чтобы определить, находится ли взломанная машина в Бразилии, и, если да, периодически отслеживает окно переднего плана, чтобы сравнить его с заранее определенным списком строк, связанных с банком
Новый банковский троян CHAVECLOAK нацелен на бразильских пользователей с помощью тактики фишинга
Пользователи в Бразилии стали жертвами нового банковского трояна под названием CHAVECLOAK, распространяющегося через фишинговые письма с вложениями в формате PDF
Эта сложная атака предполагает загрузку PDF-файла в формате ZIP и последующее использование методов побочной загрузки DLL для выполнения конечного вредоносного ПО
говорит исследователь Fortinet FortiGuard Labs Кара Лин
Цепочка атак включает в себя использование заманивающего письма DocuSign на тему контрактов, чтобы обманом заставить пользователей открыть PDF-файлы, содержащие кнопку для прочтения и подписания документов
В действительности нажатие на кнопку приводит к получению установочного файла по удаленной ссылке, сокращенной с помощью сервиса сокращения URL-адресов Goo.su.
Внутри инсталлятора находится исполняемый файл под названием "Lightshot.exe", который использует побочную загрузку DLL для загрузки "Lightshot.dll", являющейся вредоносной программой CHAVECLOAK, способствующей краже конфиденциальной информации
Вредонос собирает системные метаданные и выполняет проверку, чтобы определить, находится ли взломанная машина в Бразилии, и, если да, периодически отслеживает окно переднего плана, чтобы сравнить его с заранее определенным списком строк, связанных с банком
Please open Telegram to view this post
VIEW IN TELEGRAM
👏5😁1👌1
#windows #redteam
Искусство закрепления в Windows💻
При проведении пентестов после этапа эксплуатации очень важно закрепиться в системе для дальнейшего продвижения по сети. Данная статья содержит подробное руководство по закреплению в ОС семейства Windows: начиная профилями Powershell и реестром, заканчивая использованием сервисов
Windows Persistence
Искусство закрепления в Windows
При проведении пентестов после этапа эксплуатации очень важно закрепиться в системе для дальнейшего продвижения по сети. Данная статья содержит подробное руководство по закреплению в ОС семейства Windows: начиная профилями Powershell и реестром, заканчивая использованием сервисов
Windows Persistence
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤2🔥1
#itnews #infosec #malware
Пакеты PyPI для Python опустошают криптокошельки💸
Охотники за угрозами обнаружили в репозитории Python Package Index (PyPI) набор из семи пакетов, предназначенных для кражи мнемонических фраз BIP39, используемых для восстановления приватных ключей криптовалютного кошелька
Кампания по атаке на цепочки поставок программного обеспечения получила кодовое название BIPClip от компании ReversingLabs. Пакеты были загружены 7451 раз до того, как их удалили из PyPI. Список пакетов выглядит следующим образом:
- jsBIP39-decrypt (126 загрузок)
- bip39-mnemonic-decrypt (689 загрузок)
- mnemonic_to_address (771 загрузка)
- erc20-scanner (343 загрузки)
- hashdecrypt (4,292 скачиваний)
- hashdecrypts (225 загрузок)
BIPClip, ориентированный на разработчиков, работающих над проектами, связанными с созданием и защитой криптовалютных кошельков, по слухам, активен как минимум с 4 декабря 2022 года, когда hashdecrypt был впервые опубликован в реестре
заявил исследователь безопасности Карло Занки
Пакеты PyPI для Python опустошают криптокошельки
Охотники за угрозами обнаружили в репозитории Python Package Index (PyPI) набор из семи пакетов, предназначенных для кражи мнемонических фраз BIP39, используемых для восстановления приватных ключей криптовалютного кошелька
Кампания по атаке на цепочки поставок программного обеспечения получила кодовое название BIPClip от компании ReversingLabs. Пакеты были загружены 7451 раз до того, как их удалили из PyPI. Список пакетов выглядит следующим образом:
- jsBIP39-decrypt (126 загрузок)
- bip39-mnemonic-decrypt (689 загрузок)
- mnemonic_to_address (771 загрузка)
- erc20-scanner (343 загрузки)
- hashdecrypt (4,292 скачиваний)
- hashdecrypts (225 загрузок)
BIPClip, ориентированный на разработчиков, работающих над проектами, связанными с созданием и защитой криптовалютных кошельков, по слухам, активен как минимум с 4 декабря 2022 года, когда hashdecrypt был впервые опубликован в реестре
Это всего лишь последняя кампания по созданию цепочки поставок программного обеспечения, направленная на криптоактивы.Это подтверждает, что криптовалюта остается одной из самых популярных целей для участников цепочки поставок
заявил исследователь безопасности Карло Занки
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🤨2👨💻2😢1
#web #pentest #bugbounty
Эксплуатируем уязвимости GraphQL⌛
GraphQL - инструмент, который объединяет возможности SQL и REST на стороне клиента
В статье будут описаны основные приемы тестирования данного инструмента, которые будут полезны на Bug Bounty
GraphQL
Эксплуатируем уязвимости GraphQL
GraphQL - инструмент, который объединяет возможности SQL и REST на стороне клиента
В статье будут описаны основные приемы тестирования данного инструмента, которые будут полезны на Bug Bounty
GraphQL
Please open Telegram to view this post
VIEW IN TELEGRAM
bugbase.ai
Exploiting Graphql for fun and bounties
In this blog, we will dive into the fundamental concepts of GraphQL and explore its vulnerabilities to get bug bounties
🔥5❤2👍2
#itnews #infosec #malware
Банковский троян PixPirate для Android использует новую тактику уклонения для бразильских пользователей📱
Злоумышленники, стоящие за банковским трояном PixPirate для Android, используют новый трюк, чтобы избежать обнаружения на взломанных устройствах и собирать конфиденциальную информацию пользователей из Бразилии.
Этот подход позволяет скрыть иконку вредоносного приложения с главного экрана устройства жертвы, говорится в опубликованном сегодня техническом отчете IBM
заявил исследователь безопасности Нир Сомех
PixPirate, впервые задокументированный Cleafy в феврале 2023 года, известен тем, что использует сервисы доступности Android для скрытого осуществления несанкционированных переводов средств с помощью платформы мгновенных платежей PIX при открытии целевого банковского приложения.
Постоянно мутирующая вредоносная программа также способна похищать учетные данные жертв онлайн-банкинга и информацию о кредитных картах, а также перехватывать нажатия клавиш и SMS-сообщения для получения доступа к кодам двухфакторной аутентификации
Банковский троян PixPirate для Android использует новую тактику уклонения для бразильских пользователей
Злоумышленники, стоящие за банковским трояном PixPirate для Android, используют новый трюк, чтобы избежать обнаружения на взломанных устройствах и собирать конфиденциальную информацию пользователей из Бразилии.
Этот подход позволяет скрыть иконку вредоносного приложения с главного экрана устройства жертвы, говорится в опубликованном сегодня техническом отчете IBM
Благодаря этой новой технике на этапах разведки и атаки PixPirate жертва остается в неведении относительно вредоносных операций, которые эта программа выполняет в фоновом режиме
заявил исследователь безопасности Нир Сомех
PixPirate, впервые задокументированный Cleafy в феврале 2023 года, известен тем, что использует сервисы доступности Android для скрытого осуществления несанкционированных переводов средств с помощью платформы мгновенных платежей PIX при открытии целевого банковского приложения.
Постоянно мутирующая вредоносная программа также способна похищать учетные данные жертв онлайн-банкинга и информацию о кредитных картах, а также перехватывать нажатия клавиш и SMS-сообщения для получения доступа к кодам двухфакторной аутентификации
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🤯2🤝1
#forensics #linux
Цифровая криминалистика под Linux🐥
В статье содержатся основные приемы расследования инцидентов для ОС семейства Linux. Вы узнаете, какие контрольные точки нужно проверять для успешного поиска артефактов и следов компрометации системы
Linux Forensics
Цифровая криминалистика под Linux
В статье содержатся основные приемы расследования инцидентов для ОС семейства Linux. Вы узнаете, какие контрольные точки нужно проверять для успешного поиска артефактов и следов компрометации системы
Linux Forensics
Please open Telegram to view this post
VIEW IN TELEGRAM
Otus
Некоторые приёмы форензики под Linux | OTUS
Некоторые приёмы форензики под Linux в OTUS, только интересные посты!
❤3👍2🔥1
#malware #android
Исследуем ВПО под Android📱
В статье будет представлен подробный и полный разбор функций Malware Cerberus, нацеленный под устройства Android
Malware Cerberus
Исследуем ВПО под Android
В статье будет представлен подробный и полный разбор функций Malware Cerberus, нацеленный под устройства Android
Malware Cerberus
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Иследование современного Malware Cerberus под Android
На носу 2020 год и сегодня мы имеем уже версию Android 9.0 Pie, где компания Google бьет себе в грудь и говорит что их продукт защищен. Но злодеи не дремлют и создают свои вредоносы для Android....
🔥3👍2❤1
#pentest #redteam #tools
HackerGPT🤖
HackerGPT - это ваш незаменимый цифровой компаньон в мире хакинга. Созданный с учетом уникальных потребностей этичных хакеров, этот помощник на базе искусственного интеллекта находится на переднем крае знаний и помощи в области взлома. Оснащенный обширной базой данных по методам, инструментам и стратегиям взлома, HackerGPT - это не просто информационный ресурс, а активный участник вашего хакерского путешествия
HackerGPT
HackerGPT
HackerGPT - это ваш незаменимый цифровой компаньон в мире хакинга. Созданный с учетом уникальных потребностей этичных хакеров, этот помощник на базе искусственного интеллекта находится на переднем крае знаний и помощи в области взлома. Оснащенный обширной базой данных по методам, инструментам и стратегиям взлома, HackerGPT - это не просто информационный ресурс, а активный участник вашего хакерского путешествия
HackerGPT
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - hacker-gpt/hackergpt: HackerGPT Cyber-Security Companion
HackerGPT Cyber-Security Companion. Contribute to hacker-gpt/hackergpt development by creating an account on GitHub.
😁4👍2❤1
#forensics #soc #windows
Что такое RPC и как отслеживать его использование🖥
RPC - Remote Procedure Call или «удаленный вызов процедур» представляет собой технологию межпроцессного взаимодействия IPC
В статье будут освещены основные протоколы, использующие технологию IPC, а также нахождение следов их применения в системе
RPC
Что такое RPC и как отслеживать его использование
RPC - Remote Procedure Call или «удаленный вызов процедур» представляет собой технологию межпроцессного взаимодействия IPC
В статье будут освещены основные протоколы, использующие технологию IPC, а также нахождение следов их применения в системе
RPC
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
RPC и способы его мониторинга
Всем привет! Мы — команда исследователей‑аналитиков киберугроз в компании R‑Vision. Одной из наших задач является исследование возможных альтернативных и дополнительных источников...
🤩3🤝2😁1
#pentest #redteam #soc
Как устроен COM и как это использовать для построения вектора атак💀
В статье будет освещена работа Component Object Model в Windows, а также случаи его использования злоумышленниками для реализации атак
Component Object Model
Как устроен COM и как это использовать для построения вектора атак
В статье будет освещена работа Component Object Model в Windows, а также случаи его использования злоумышленниками для реализации атак
Component Object Model
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Тайная жизнь COM: как устроен Component Object Model в Windows и стратегии выбора объекта для атаки
Привет, Хабр! Изучая отчеты по разбору вредоносного ПО, приходишь к выводу, что в последнее время одним из популярных методов для закрепления в системе является COM Hijacking (T1546.015) , применяемый...
👍3🔥2🤝1
#phishing #redteam
Советы по организации фишинга при проведении пентестов☁️
Фишинг - неотъемлемая часть практически любого пентеста, так как позволяет выявить слабую составляющую компании среди ее сотрудников. Поэтому к его организации нужно подходить продуманно
В статье будут отражены типичные ошибки даны советы по их избежанию при организации своей фишинговой кампании в рамках пентеста
Phishing
Советы по организации фишинга при проведении пентестов
Фишинг - неотъемлемая часть практически любого пентеста, так как позволяет выявить слабую составляющую компании среди ее сотрудников. Поэтому к его организации нужно подходить продуманно
В статье будут отражены типичные ошибки даны советы по их избежанию при организации своей фишинговой кампании в рамках пентеста
Phishing
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Как запороть фишинг: советы пентестерам
Привет, меня зовут Дмитрий Семьянов, и я специалист по тестированию на проникновение в Innostage. Мы в команде регулярно проводим фишинговые рассылки для своей компании и наших заказчиков. За долгое...
🏆3👍2🔥2
Forwarded from Похек (Сергей Зыбнев)
Tinkoff CTF 2024: разбор демозадания
CTF — соревнования по спортивному хакингу: как олимпиадное программирование, но в информационной безопасности. Команды получают набор заданий на криптографию, анализ скомпилированного кода, веб-уязвимости и не только — на все те направления, с которыми работают профессионалы-безопасники.
Мы сделали соревнования в двух лигах: для опытных и новичков в CTF — тех, кто не специализируется на информационной безопасности и участвует в таком формате впервые. Под новичками имеем в виду опытных разработчиков, SRE- и QA-инженеров, аналитиков и других ИТ-специалистов.
Ребята из Тинькофф написали интересную статью про разбор демо таска с пентестом мобильного приложения. Получилось занимательно)
📌 Читать далее
🌚 @poxek
CTF — соревнования по спортивному хакингу: как олимпиадное программирование, но в информационной безопасности. Команды получают набор заданий на криптографию, анализ скомпилированного кода, веб-уязвимости и не только — на все те направления, с которыми работают профессионалы-безопасники.
Мы сделали соревнования в двух лигах: для опытных и новичков в CTF — тех, кто не специализируется на информационной безопасности и участвует в таком формате впервые. Под новичками имеем в виду опытных разработчиков, SRE- и QA-инженеров, аналитиков и других ИТ-специалистов.
Ребята из Тинькофф написали интересную статью про разбор демо таска с пентестом мобильного приложения. Получилось занимательно)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥3❤2
#activedirectory #redteam #tools
PsMapExec: Утилита на Powershell для постэксплуатации Active Directory💻
Если вы знакомы с CrackMapExec, то использование данного инструмента не станет чем-то непривычным. Это тот же CME, но написанный на Powershell
🖥 Поддерживает протоколы:
- RDP
- SMB
- WinRM
- WMI
- VNC
PsMapExec
PsMapExec: Утилита на Powershell для постэксплуатации Active Directory
Если вы знакомы с CrackMapExec, то использование данного инструмента не станет чем-то непривычным. Это тот же CME, но написанный на Powershell
- RDP
- SMB
- WinRM
- WMI
- VNC
PsMapExec
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - The-Viper-One/PsMapExec: A PowerShell tool that takes strong inspiration from CrackMapExec / NetExec
A PowerShell tool that takes strong inspiration from CrackMapExec / NetExec - The-Viper-One/PsMapExec
👍3❤2🔥1🍓1
#windows #redteam #pentest
Используем NTLM-relay для Exchange с целью повышения привилегий🟦
В статье будет рассмотрен сценарий использования NTLM-relay атаки с целью получения привилегии для проведения DCSync и полной компрометации домена
PrivExchange
Используем NTLM-relay для Exchange с целью повышения привилегий
В статье будет рассмотрен сценарий использования NTLM-relay атаки с целью получения привилегии для проведения DCSync и полной компрометации домена
PrivExchange
Please open Telegram to view this post
VIEW IN TELEGRAM
Cqure
Abusing Exchange: One API call away from Domain Admin
In most organisations using Active Directory and Exchange, Exchange servers have such high privileges that being an Administrator on an Exchange server is enough to escalate to Domain Admin. Recently I came across a blog from the ZDI, in which they detail…
👍5🔥2❤1
#itnews #infosec #malware
В Google Play найдено 28 программ, скрытно превращающих гаджет в прокси⬇️
В марте 2023 года с Google Play удалили бесплатный VPN-софт, который приобщал Android-устройства к прокси-сети, используемой для сокрытия рекламного мошенничества. В HUMAN Security проанализировали Oko VPN и нашли в магазине еще 28 схожих приложений
Все они используют Golang-библиотеку, отвечающую за прокси-функциональность, однако в описаниях эта возможность не упомянута. Продукты, нарушающие политику Google, уже изъяты из доступа; авторы находок идентифицируют их под общим условным именем PROXYLIB
Схожий вариант библиотеки на Go встроен также в LumiApps SDK, свободно доступный онлайн. В прошлом году этот комплект разработчика активно продвигали в соцсетях и даркнете как средство монетизации приложений, альтернативное рекламе
В Google Play найдено 28 программ, скрытно превращающих гаджет в прокси
В марте 2023 года с Google Play удалили бесплатный VPN-софт, который приобщал Android-устройства к прокси-сети, используемой для сокрытия рекламного мошенничества. В HUMAN Security проанализировали Oko VPN и нашли в магазине еще 28 схожих приложений
Все они используют Golang-библиотеку, отвечающую за прокси-функциональность, однако в описаниях эта возможность не упомянута. Продукты, нарушающие политику Google, уже изъяты из доступа; авторы находок идентифицируют их под общим условным именем PROXYLIB
Схожий вариант библиотеки на Go встроен также в LumiApps SDK, свободно доступный онлайн. В прошлом году этот комплект разработчика активно продвигали в соцсетях и даркнете как средство монетизации приложений, альтернативное рекламе
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤2🔥1