#windows #redteam

💻AMSI Bypass

Репозиторий содержит способы патчинга AMSI для дальнейшего выполнения скриптов в памяти ОС с помощью Powershell

🖥GitHub

#cve #exploit #poc

💉CVE-2024-27956: WordPress RCE

PoC для CVE-2024-27956, SQL Injection в плагине ValvePress Automatic. Данный PoC эксплуатирует уязвимость, создавая пользователя и предоставляя ему права администратора. Статус администратора в Wordpress может привести к удаленному выполнению кода

🐱GitHub

#itnews #infosec

😈EMB3D - новая система моделирования угроз для встраиваемых устройств

Новая система моделирования угроз EMB3D представлена корпорацией MITRE и предназначена для производителей встраиваемых устройств, используемых в критической информационной инфраструктуре. Модель включает в себя базу знаний о киберугрозах, что дает общее представление о них

Предполагается, что EMB3D, как и фреймворк ATT&CK, будет «живой моделью», дополняемой обновленными средствами защиты по мере появления новых уязвимостей и векторов атак. В EMB3D упор сделан на встраиваемые устройства, где главной целью является полная картина брешей в технологиях производителей

⚡️Вышел Solar Dozor 7.12 с новым уровнем контроля графической информации

Новая версия 7.12 пополнилась актуальными функциями – появилась возможность распознавания и блокировки передачи графических данных непосредственно на рабочих станциях сотрудников. Это реализовано на базе технологии оптического распознавания символов (optical character recognition, OCR), которая извлекает текст из файлов основных распространённых графических форматов, таких как bmp, gif, jpg. Анализ содержимого таких файлов теперь осуществляется сразу на агенте, что позволяет более оперативно реагировать на нарушения и блокировать попытки утечки через различные каналы

🔔Microsoft все еще не пропатчила уязвимости, выявленные на Pwn2Own 2024

Из семи уязвимостей повышения привилегий, выявленных в марте на Pwn2Own, Microsoft устранила только одну, да и то портом заплатки Google для Chrome. Остался месяц до публикации, и появились опасения, что дедлайн Windows встретит непропатченной. Участники проекта Zero Day Initiative (ZDI), ежегодно проводящие Pwn2Own, обычно дают вендорам 90 дней на выпуск патчей к уязвимостям. Показанные в Ванкувере 0-day уже устранили Oracle, Apple, Google, VMware, Mozilla. Все думали, что Microsoft последует их примеру, но разработчик популярной ОС исправил только Edge к апрельскому «вторнику патчей». Майский набор обновлений для Windows ожиданий не оправдал

#pentest #redteam #cheatsheet

✈️Pivoting CheatSheet by Offensive Security

Крайне подробная шпаргалка по техникам перенаправления трафика. Представлены способы проброса портов с помощью SSH, Metasploit, NetCat, Chisel, PivotSuite

Offensive Route

#cve #poc

🕷CVE-2024-21683: Confluence Data Center RCE

Эта уязвимость позволяет неавторизованному злоумышленнику удаленно выполнить произвольный код на уязвимом сервере Confluence. Баг существует из-за некорректной проверки пользовательского ввода в Confluence REST API. Это позволяет злоумышленнику внедрить вредоносный код на сервер Confluence

Proof-Of-Concept

#reverse #soc

🤖Анализ ВПО DarkGate

DarkGate — вредоносное ПО, которое реализует функциональность загрузчика, стилера и RAT. Таким образом, оно представляет собой комплексный тулкит для кражи различной информации, удаленного управления зараженным хостом, майнинга криптовалюты

Ребята из BI.ZONE провели детальный анализ, чтобы показать все функции этого ВПО: от проверки на хосте наличия антивируса до общения с С2-сервером

🖥Хабр

#itnews #infosec

⚡️Шпионы Shedding Zmiy проникли в десятки российских организаций

По данным ГК «Солар», нацеленная на шпионаж APT-группа с условным именем Shedding Zmiy объявилась в России в 2022 году. На ее счету уже несколько десятков атак на госструктуры, промпредприятия, телеком-сети и другие объекты критической важности. Обнаружив в ходе анализа бэкдор CobInt, эксперты предположили, что автор целевых атак — группировка Cobalt (это ее «фирменный» инструмент). Однако расследование показало, что это не так: взломщики не искали финансовой выгоды, они воровали данные с тем, чтобы использовать их в дальнейших атаках или слить в Telegram. Обширный набор инструментов и техник позволяет Shedding Zmiy каждый раз менять тактику

⚠️Критическая уязвимость Fluent Bit актуальна для AWS, Azure, Google Cloud

В инструменте телеметрии Fluent Bit найдена уязвимость, грозящая крахом службы, сливом закрытых данных и даже RCE. Исправления уже готовы, затронутые облачные провайдеры (Google, Amazon, Microsoft) поставлены в известность. По состоянию на март, ее суммарно скачали более 13 млрд раз; такой агент активно используют облачные сервисы AWS, GCP и Azure. Критическая уязвимость CVE-2024-4323 (9,8 балла CVSS, по оценке авторов находки) была привнесена в Fluent Bit с выпуском сборки 2.0.7. Она связана с ошибкой переполнения буфера, которая может возникнуть при парсинге встроенным сервером HTTP запросов на трассировку

🔓Innostage запускает bug bounty в формате испытаний

На стартовавшем сегодня Positive Hack Days 2 компания Innostage объявила о готовящейся к запуску программе по поиску уязвимостей в формате открытых кибериспытаний. Баг-баунти будет работать на платформе Standoff Bug Bounty. Исследователям предлагается реализовать недопустимые события, которые с гарантией окажут влияние на деятельность организации, а также в целом прощупать киберустойчивость ИТ-инфраструктуры. Помочь организовать кибериспытания Innostage вызвались компании АО «Кибериспытания» и Positive Technologies

#redteam #pivoting

🖥RevSocks: швейцарский нож для проброса портов и туннелирования трафика

revsocks - утилита для туннелирования, написанная на Golang

⚙️Основные фишки:
- Поддержка Linux/Windows/Mac/BSD
- Шифрованное соединение с TLS
- Поддержка DNS туннелирования (SOCKS поверх DNS)
- Поддержка прокси (с аутентификацией и без)
- Генерация SSL/TLS сертификатов


🖥GitHub

#pentest

Совсем недавно в чате канала обсуждали тему безопасности беспроводных сетей.

Актуален ли WPS? А что насчёт PMKID?🛜

И вообще, airgeddon или airmon-ng?

Представленная статья является наглядным отражением практического применения знаний из курса PEN-210 и будет полезна всем, кто либо начинает свой путь в аудите Wi-Fi, либо же расширяет свой арсенал.

#tools #pentest

Вы тоже любите проверять принтеры во время тестирования инфраструктуры?🖥

На этот раз поговорим про IPP (Internet Printing Protocol).

Название говорит само за себя. Этот протокол позволяет пользователям управлять подключенными к интернету принтерами и удаленно отправлять им задания на печать.

Системы печати часто становятся целью для злоумышленников, стремящихся установить каналы управления ( в частности связь с C2) в сети жертвы. Злоумышленник может использовать систему печати добавления и удаления принтеров, а также создание заданий печати и манипулирования ими для обеспечения полноценной связи с C2. Мы разработали полное подтверждение концепции такого канала, которое успешно протестировали в реальных командных упражнениях red teaming. Понимая подход, применяемый в этом конкретном случае злоупотребления системами печати, мы можем предпринять шаги для их защиты и предотвращения их использования злоумышленниками.

🖥GitHub

#itnews #infosec


⚡️Сервис для разработчиков Docker Hub закрыл доступ россиянам.

В ночь на 30 мая 2024 года сервис для программистов Docker Hub закрыл доступ для пользователей из России

На сайте сказано, что компания вынуждена соблюдать законы США и блокирует все IP-адреса, связанные с Крымом. Однако проблемы наблюдаются у пользователей по всей стране.

Однако в сети уже обсуждают способы обхода блокировок.

🌟В России доля киберпреступлений достигла 38% среди всех преступлений

Доля киберпреступности среди всех видов регистрируемых в РФ преступлений достигла 38%. Об этом ТАСС сообщили в пресс-службе Генпрокуратуры.

Половину всех киберпреступлений составляют факты мошенничества, совершенного дистанционно с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации - 121,8 тыс. за первые 4 месяца 2024 года. Темпы их прироста в 2024 году превысили 12,7%. В 2023 году темпы их роста достигали 40%.

При этом число краж с банковского счета стало сокращаться - до 33,5 тыс., что на 6% меньше по сравнению с аналогичным периодом 2023 года.

🟡Хакерские форумы начали ограничивать продвижение бизнеса, связанного с вирусами-шифровальщиками.

Хакерские форумы все активнее включают в правила запрет на любые операции, связанные с шифровальщиками (продажу, разработку, рекрутинг персонала и т.п.), обратил внимание в своем телеграм-канале эксперт в области информационной безопасности Алексей Лукацкий.

"Связано это с тем, чтобы администраторы форумов не хотят привлекать лишнего внимания к своим ресурсам и самим себе " - отмечает Владимир Ким.

Это может спровоцировать вымогателей на более агрессивные атаки и увеличение суммы требуемого выкупа.

Первый день лета, суббота - отличное сочетание для хорошего настроения☀️

А ведь не так давно по всей стране новички и опытные игроки решали задания традиционного Tinkoff CTF

Одним из важных условий роста в таких соревнованиях - упорство и настойчивость при решении заданий и обязательный разбор тех тасок, которые не удалось решить.

Прикрепляем ссылочку с райтапами от организаторов🔝

Сохрани себе и обязательно поделись с командой⭐️

Воскресенье - а значит пришла пора максимально отдохнуть и обсудить что-нибудь увлекательное и вдохновляющее🔋

Вашему вниманию представляется сериал На взводе: Битва за UBER

Действительно сложное произведение, наполненное опытом и философией. Оно демонстрирует взлёт, падение, мотивацию, кризис и борьбу. Безусловно эта работа останется в памяти зрителя, даст ему опыт и определённый критический взгляд на ту или иную жизненную ситуацию.

А какой источник вдохновения у Вас?

Рады узнать в комментариях Ваши мысли по этому поводу 💎

#pentest

📣 CVE-2024-5522 (CVSS 10)
Критический дефект безопасности угрожает тысячам сайтов WordPress

📶Пользователям WordPress, которые установили популярный плагин HTML5 Video Player, настоятельно рекомендуется принять немедленные меры после обнаружения критической уязвимости безопасности.

📶Уязвимость, отслеживаемая как CVE-2024-5522, позволяет неаутентифицированным злоумышленникам внедрять вредоносный код SQL в базы данных веб-сайтов, потенциально подвергая риску конфиденциальную информацию или целостность сайта.

⚡️Учитывая более 30 000 активных установок, эта уязвимость представляет значительный риск для большого количества веб-сайтов WordPress.

Если обновление невозможно, временно отключите или удалите плагин, пока не будет доступно исправление.

#soc

📌 Приветствую вас! Добро пожаловать в отчет Verizon о расследованиях утечек данных (DBIR) за 2024 год.
В этом году выходит 17-й выпуск этой публикации, и мы рады приветствовать старых друзей и поздороваться с новыми читателями. Как всегда, целью DBIR является пролить свет на различные типы группировок, тактик, которые они используют, и цели, которые выбирают.

🔗Спасибо нашим талантливым авторам со всего мира, которые делятся своими данными и идеями, а также выражаем глубокую признательность нашему собственному консультационному центру Verizon Threat Research Advisory Center (VTRAC) (рок-звездам, которыми они являются). Эти две группы позволяют нам изучать и анализировать актуальные тенденции в области киберпреступности, которые проявляются на глобальной арене в организациях всех размеров и типов.

#tools #malware

🖥 PEStudio - упрощенный способ первоначальной оценки вредоносного ПО

PEStudio - это инструмент анализа программного обеспечения, используемый для проверки исполняемых файлов в операционных системах Windows.

👉 Он разработан, чтобы помочь специалистам по безопасности и исследователям в выявлении потенциально вредоносных файлов путем анализа их структуры, содержимого, таблицы импорта и экспорта, обратных вызовов TLS и, главным образом, любых подозрительных строк, обнаруженных в образце.