Forwarded from Похек (Сергей Зыбнев)
#windows
FullBypass - инструмент, который обходит AMSI (AntiMalware Scan Interface) и PowerShell CLM (Constrained Language Mode) и предоставляет вам полноязычную обратную оболочку PowerShell.
FullBypass.csproj. Далее нужно будет запустить с помощью msbuild.exeC:\windows\Microsoft.NET\Framework64\v4.0.30319\msbuild.exe .\FullBypass.csproj
1. Сначала код обходит AMSI, используя метод memory hijacking, и переписывает некоторые инструкции в функции
AmsiScanBuffer. С помощью инструкции xor аргумент size будет равен 0, и AMSI не сможет обнаружить будущие скрипты и команды в powershell.2. Вторым проходом код перепроверяет, успешно ли он перезаписал функцию
AmsiScanBuffer. 3. Скрипт вернет 0, то бишь True и спросит вас IP и Port куда стучаться revshell'у
4. Ловим FullLanguage сессию у себя на машине.
FullLanguage session:- Это сессия PowerShell, в которой разрешено использование всех функций и возможностей языка PowerShell.
- Пользователи и скрипты могут создавать, изменять и удалять объекты .NET, выполнять сложные скрипты, определять новые функции, классы и многое другое.
- Этот режим предоставляет полный доступ к PowerShell и его особенностям.
ConstrainedLanguage session:- Это сессия PowerShell, ограниченная в использовании некоторых функций языка и возможностей для повышения безопасности системы.
- В ограниченном языковом режиме доступ к ряду средств программирования, таких как добавление новых типов, доступ к частным методам и т.д., становится ограниченным.
- ConstrainedLanguage предназначен для сокращения поверхности атаки и предотвращения выполнения потенциально нежелательных или вредоносных скриптов.
- Этот режим часто используется в сценариях, когда необходимо обеспечить высокий уровень безопасности, к примеру, на рабочих станциях, находящихся под контролем через AppLocker или Device Guard.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤4🔥3
#cve #tools #exploit
CVE-2024-25600: WordPress RCE👩💻
Этот инструмент предназначен для эксплуатации уязвимости CVE-2024-25600 , обнаруженной в плагине Bricks Builder для WordPress. Уязвимость позволяет выполнять удаленный код без аутентификации на затронутых веб-сайтах . Инструмент автоматизирует процесс эксплуатации, получая несы и отправляя специально созданные запросы для выполнения произвольных команд
GitHub
CVE-2024-25600: WordPress RCE
Этот инструмент предназначен для эксплуатации уязвимости CVE-2024-25600 , обнаруженной в плагине Bricks Builder для WordPress. Уязвимость позволяет выполнять удаленный код без аутентификации на затронутых веб-сайтах . Инструмент автоматизирует процесс эксплуатации, получая несы и отправляя специально созданные запросы для выполнения произвольных команд
GitHub
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - Chocapikk/CVE-2024-25600: Unauthenticated Remote Code Execution – Bricks <= 1.9.6
Unauthenticated Remote Code Execution – Bricks <= 1.9.6 - Chocapikk/CVE-2024-25600
🔥6👍4❤3
#windows #pentest #redteam
Powershell AMSI Bypass💻
В данном гайде будут рассмотрены основные базовые способы AMSI Bypass (ASCII Conversion, Powershell Downgrade и другие)
AMSI Bypass
Powershell AMSI Bypass
В данном гайде будут рассмотрены основные базовые способы AMSI Bypass (ASCII Conversion, Powershell Downgrade и другие)
AMSI Bypass
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤3🔥3
#infosec #itnews #malware
Meta предупреждает о 8 шпионских фирмах, нацеленных на устройства с iOS, Android и Windows👁
Компания Meta Platforms сообщила о принятии ряда мер по пресечению вредоносной деятельности восьми различных фирм, базирующихся в Италии, Испании и Объединенных Арабских Эмиратах (ОАЭ) и работающих в сфере видеонаблюдения по найму
Результаты исследования являются частью отчета о неблагоприятных угрозах за четвертый квартал 2023 года. Шпионские программы были нацелены на устройства под управлением iOS, Android и Windows
говорится в сообщении компании
В число восьми компаний вошли Cy4Gate/ELT Group, RCS Labs, IPS Intelligence, Variston IT, TrueL IT, Protect Electronic Systems, Negg Group и Mollitiam Industries
Meta предупреждает о 8 шпионских фирмах, нацеленных на устройства с iOS, Android и Windows
Компания Meta Platforms сообщила о принятии ряда мер по пресечению вредоносной деятельности восьми различных фирм, базирующихся в Италии, Испании и Объединенных Арабских Эмиратах (ОАЭ) и работающих в сфере видеонаблюдения по найму
Результаты исследования являются частью отчета о неблагоприятных угрозах за четвертый квартал 2023 года. Шпионские программы были нацелены на устройства под управлением iOS, Android и Windows
Различные вредоносные программы позволяли собирать и получать доступ к информации об устройстве, местоположении, фотографиям и медиафайлам, контактам, календарю, электронной почте, SMS, социальным сетям и приложениям для обмена сообщениями, а также включать микрофон, камеру и делать снимки экрана
говорится в сообщении компании
В число восьми компаний вошли Cy4Gate/ELT Group, RCS Labs, IPS Intelligence, Variston IT, TrueL IT, Protect Electronic Systems, Negg Group и Mollitiam Industries
Please open Telegram to view this post
VIEW IN TELEGRAM
👌6🤯4🤔2👍1
#malware #itnews #infosec
Спящий пакет PyPI скомпрометирован для распространения вредоносного ПО Nova Sentinel🖥
Спящий пакет, доступный в репозитории Python Package Index (PyPI), был обновлен почти через два года для распространения вредоносной программы для кражи информации под названием Nova Sentinel
Пакет под названием django-log-tracker был впервые опубликован на PyPI в апреле 2022 года, согласно данным компании Phylum, занимающейся безопасностью цепочек поставок программного обеспечения, которая обнаружила аномальное обновление библиотеки 21 февраля 2024 года.
Хотя связанный репозиторий GitHub не обновлялся с 10 апреля 2022 года, появление вредоносного обновления говорит о вероятной компрометации аккаунта PyPI, принадлежащего разработчику
На данный момент Django-log-tracker был загружен 3866 раз, причем на момент публикации вредоносная версия (1.0.4) была загружена 107 раз. Пакет больше не доступен для загрузки с PyPI
Спящий пакет PyPI скомпрометирован для распространения вредоносного ПО Nova Sentinel
Спящий пакет, доступный в репозитории Python Package Index (PyPI), был обновлен почти через два года для распространения вредоносной программы для кражи информации под названием Nova Sentinel
Пакет под названием django-log-tracker был впервые опубликован на PyPI в апреле 2022 года, согласно данным компании Phylum, занимающейся безопасностью цепочек поставок программного обеспечения, которая обнаружила аномальное обновление библиотеки 21 февраля 2024 года.
Хотя связанный репозиторий GitHub не обновлялся с 10 апреля 2022 года, появление вредоносного обновления говорит о вероятной компрометации аккаунта PyPI, принадлежащего разработчику
На данный момент Django-log-tracker был загружен 3866 раз, причем на момент публикации вредоносная версия (1.0.4) была загружена 107 раз. Пакет больше не доступен для загрузки с PyPI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍2😁2
#activedirectory #pentest #redteam
Атаки на центры сертификации в среде Active Directory🏠
Данный репозиторий содержит не только подробное описание атак на AD CS, но и причину возможности ее осуществления. Также познакомитесь с применением такой незаменимой утилитой как Certipy
GitHub
Атаки на центры сертификации в среде Active Directory
Данный репозиторий содержит не только подробное описание атак на AD CS, но и причину возможности ее осуществления. Также познакомитесь с применением такой незаменимой утилитой как Certipy
GitHub
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - RayRRT/Active-Directory-Certificate-Services-abuse
Contribute to RayRRT/Active-Directory-Certificate-Services-abuse development by creating an account on GitHub.
🔥6🆒3❤🔥2
#itnews #infosec #hackers
Новые атаки на IDAT Loader используют стеганографию для развертывания Remcos RAT☝️
Украинские компании, расположенные в Финляндии, стали частью вредоносной кампании, распространяющей коммерческий троян удаленного доступа, известный как Remcos RAT, с помощью загрузчика вредоносного ПО под названием IDAT Loader
сообщил исследователь Morphisec
IDAT Loader, который пересекается с другим семейством загрузчиков под названием Hijack Loader, в последние месяцы использовался для передачи дополнительных полезных нагрузок, таких как DanaBot, SystemBC и RedLine Stealer. Он также использовался угрожающим агентом под ником TA544 для распространения Remcos RAT и SystemBC через фишинговые атаки
Новые атаки на IDAT Loader используют стеганографию для развертывания Remcos RAT
Украинские компании, расположенные в Финляндии, стали частью вредоносной кампании, распространяющей коммерческий троян удаленного доступа, известный как Remcos RAT, с помощью загрузчика вредоносного ПО под названием IDAT Loader
Атака, как часть IDAT Loader, использовала технику стеганографии
Хотя стеганографические, или "стего", техники хорошо известны, важно понимать их роль в уклонении от защиты, чтобы лучше понимать, как защищаться от подобных тактик
сообщил исследователь Morphisec
IDAT Loader, который пересекается с другим семейством загрузчиков под названием Hijack Loader, в последние месяцы использовался для передачи дополнительных полезных нагрузок, таких как DanaBot, SystemBC и RedLine Stealer. Он также использовался угрожающим агентом под ником TA544 для распространения Remcos RAT и SystemBC через фишинговые атаки
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤2🔥1
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - PeterGabaldon/CVE-2024-1346: Weak MySQL database root password in LaborOfficeFree affects version 19.10. This vulnerability…
Weak MySQL database root password in LaborOfficeFree affects version 19.10. This vulnerability allows an attacker to calculate the root password of the MySQL database used by LaborOfficeFree using ...
❤2👍2🔥1
#itnews #infosec #web
Уязвимость плагина WordPress LiteSpeed подвергает риску 5 миллионов сайтов📰
В плагине LiteSpeed Cache для WordPress обнаружена уязвимость, которая может позволить неавторизованным пользователям повысить свои привилегии
Отслеживаемая как CVE-2023-40000, уязвимость была устранена в октябре 2023 года в версии 5.7.0
сообщил исследователь Patchstack Рафи Мухаммад
LiteSpeed Cache, который используется для повышения производительности сайта, имеет более пяти миллионов установок. Последняя версия плагина - 6.1, которая была выпущена 5 февраля 2024 года
Уязвимость плагина WordPress LiteSpeed подвергает риску 5 миллионов сайтов
В плагине LiteSpeed Cache для WordPress обнаружена уязвимость, которая может позволить неавторизованным пользователям повысить свои привилегии
Отслеживаемая как CVE-2023-40000, уязвимость была устранена в октябре 2023 года в версии 5.7.0
Этот плагин страдает от Stored XSS и может позволить любому неаутентифицированному пользователю украсть конфиденциальную информацию или повысить привилегии на сайте WordPress путем выполнения одного HTTP-запроса
сообщил исследователь Patchstack Рафи Мухаммад
LiteSpeed Cache, который используется для повышения производительности сайта, имеет более пяти миллионов установок. Последняя версия плагина - 6.1, которая была выпущена 5 февраля 2024 года
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔4😁1🤨1
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
PayloadsAllTheThings/Methodology and Resources/Windows - Privilege Escalation.md at master · swisskyrepo/PayloadsAllTheThings
A list of useful payloads and bypass for Web Application Security and Pentest/CTF - swisskyrepo/PayloadsAllTheThings
🔥4❤2👍1
#itnews #infosec #hackers
Сектор здравоохранения США подвержен атаке вымогателя BlackCat🐈
Правительство США предупреждает о возрождении атак вымогательского ПО BlackCat (оно же ALPHV), направленных на сектор здравоохранения
В конце прошлого года операция BlackCat по распространению вымогательского ПО потерпела серьезное поражение после того, как скоординированная операция правоохранительных органов привела к захвату сайтов, с которых велась утечка информации. Но операция оказалась неудачной, поскольку группировке удалось восстановить контроль над сайтами и переключиться на новый портал утечки данных TOR, который продолжает работать до сих пор
В последние недели группировка также активизировала свою деятельность против организаций критической инфраструктуры, взяв на себя ответственность за атаки на Prudential Financial, LoanDepot, Trans-Northern Pipelines и дочернюю компанию UnitedHealth Group Optum
Сектор здравоохранения США подвержен атаке вымогателя BlackCat
Правительство США предупреждает о возрождении атак вымогательского ПО BlackCat (оно же ALPHV), направленных на сектор здравоохранения
С середины декабря 2023 года из почти 70 жертв утечки чаще всего страдает сектор здравоохранения. Вероятно, это реакция на пост администратора ALPHV/BlackCat, призывающий его филиалы атаковать больницы после оперативных действий против группы и ее инфраструктуры в начале декабря 2023 года
В конце прошлого года операция BlackCat по распространению вымогательского ПО потерпела серьезное поражение после того, как скоординированная операция правоохранительных органов привела к захвату сайтов, с которых велась утечка информации. Но операция оказалась неудачной, поскольку группировке удалось восстановить контроль над сайтами и переключиться на новый портал утечки данных TOR, который продолжает работать до сих пор
В последние недели группировка также активизировала свою деятельность против организаций критической инфраструктуры, взяв на себя ответственность за атаки на Prudential Financial, LoanDepot, Trans-Northern Pipelines и дочернюю компанию UnitedHealth Group Optum
Please open Telegram to view this post
VIEW IN TELEGRAM
😁2👍1🫡1
#itnews #infosec #hackers
Хакеры Lazarus использовали уязвимость нулевого дня в ядре Windows в последних атаках😈
Небезызвестные злоумышленники из Lazarus Group использовали недавно исправленный дефект повышения привилегий в ядре Windows в качестве уязвимости "нулевого дня" для получения доступа на уровне ядра и отключения защитного ПО на взломанных узлах
Речь идет об уязвимости CVE-2024-21338 (CVSS score: 7.8), которая может позволить злоумышленнику получить привилегии SYSTEM. Она была устранена Microsoft в начале этого месяца в рамках обновления Patch Tuesday
говорится в сообщении Microsoft
Хотя на момент выпуска обновлений не было никаких признаков активной эксплуатации CVE-2024-21338, в среду Redmond пересмотрел свою оценку "Exploitability assessment" для этого дефекта на "Exploitation Detected".
В настоящее время неясно, когда произошли атаки, но, как утверждается, уязвимость появилась в Windows 10, версия 1703 (RS2/15063), когда впервые был реализован обработчик 0x22A018 IOCTL (сокращение от input/output control)
Хакеры Lazarus использовали уязвимость нулевого дня в ядре Windows в последних атаках
Небезызвестные злоумышленники из Lazarus Group использовали недавно исправленный дефект повышения привилегий в ядре Windows в качестве уязвимости "нулевого дня" для получения доступа на уровне ядра и отключения защитного ПО на взломанных узлах
Речь идет об уязвимости CVE-2024-21338 (CVSS score: 7.8), которая может позволить злоумышленнику получить привилегии SYSTEM. Она была устранена Microsoft в начале этого месяца в рамках обновления Patch Tuesday
Чтобы воспользоваться этой уязвимостью, злоумышленнику сначала нужно войти в систему. Затем злоумышленник может запустить специально созданное приложение, которое воспользуется уязвимостью и получит контроль над затронутой системой
говорится в сообщении Microsoft
Хотя на момент выпуска обновлений не было никаких признаков активной эксплуатации CVE-2024-21338, в среду Redmond пересмотрел свою оценку "Exploitability assessment" для этого дефекта на "Exploitation Detected".
В настоящее время неясно, когда произошли атаки, но, как утверждается, уязвимость появилась в Windows 10, версия 1703 (RS2/15063), когда впервые был реализован обработчик 0x22A018 IOCTL (сокращение от input/output control)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3👏3🔥1
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - Kyuu-Ji/Awesome-Azure-Pentest: A collection of resources, tools and more for penetration testing and securing Microsofts…
A collection of resources, tools and more for penetration testing and securing Microsofts cloud platform Azure. - Kyuu-Ji/Awesome-Azure-Pentest
🔥3❤1👍1
#itnews #infosec #malware
Суд США обязал NSO Group передать код шпионского ПО Pegasus для WhatsApp🖥
Американский судья обязал NSO Group передать исходный код Pegasus и других продуктов компании Meta в рамках продолжающегося судебного разбирательства гиганта социальных сетей с израильским производителем шпионского ПО
Это решение стало крупной юридической победой Meta, которая подала иск в октябре 2019 года за использование своей инфраструктуры для распространения шпионского ПО на примерно 1400 мобильных устройств в период с апреля по май. В их число также входили два десятка индийских активистов и журналистов.
В этих атаках использовался дефект нулевого дня в приложении для обмена мгновенными сообщениями(CVE-2019-3568, CVSS score: 9.8), критическая ошибка переполнения буфера в функции голосовых вызовов, чтобы доставить Pegasus, просто сделав звонок, даже в сценариях, когда звонки оставались без ответа
Суд США обязал NSO Group передать код шпионского ПО Pegasus для WhatsApp
Американский судья обязал NSO Group передать исходный код Pegasus и других продуктов компании Meta в рамках продолжающегося судебного разбирательства гиганта социальных сетей с израильским производителем шпионского ПО
Это решение стало крупной юридической победой Meta, которая подала иск в октябре 2019 года за использование своей инфраструктуры для распространения шпионского ПО на примерно 1400 мобильных устройств в период с апреля по май. В их число также входили два десятка индийских активистов и журналистов.
В этих атаках использовался дефект нулевого дня в приложении для обмена мгновенными сообщениями(CVE-2019-3568, CVSS score: 9.8), критическая ошибка переполнения буфера в функции голосовых вызовов, чтобы доставить Pegasus, просто сделав звонок, даже в сценариях, когда звонки оставались без ответа
Please open Telegram to view this post
VIEW IN TELEGRAM
😁2😐2👨💻1
#beginners #pentest #redteam
Azure Pentesting: Введение👩💻
Перед тем как с головой погружаться в тему взлома Azure рекомендуем познакомиться с данной статьей, которая станет отличным введением в тему
Intro to Azure Hacking
Azure Pentesting: Введение
Перед тем как с головой погружаться в тему взлома Azure рекомендуем познакомиться с данной статьей, которая станет отличным введением в тему
Intro to Azure Hacking
Please open Telegram to view this post
VIEW IN TELEGRAM
bhavsec
Introduction to Azure Pentesting ☁️
More than 95 percent of Fortune 500 companies use Azure! Azure AD is one of world’s largest web-based identity provider. Having the ability to understand and hack (thus securing) Azure is a skill that is in huge demand.
This blog covers the lab work done…
This blog covers the lab work done…
🔥6❤2👍2
На прошедших выходных команда AP Security посетила прекрасное мероприятие OSINT mindset conference #2 .
В рамках ивента удалось не просто с пользой провести время, получив пищу для размышления, но и вдохновиться собравшимися в этот день энтузиастами и профессионалами своего направления.
Спасибо VKolenickova, стенду LockPick, команде организаторов всей конференции за интересные доклады, крутые активности и уютную атмосферу🔥
#byapsecurity #osint
В рамках ивента удалось не просто с пользой провести время, получив пищу для размышления, но и вдохновиться собравшимися в этот день энтузиастами и профессионалами своего направления.
Спасибо VKolenickova, стенду LockPick, команде организаторов всей конференции за интересные доклады, крутые активности и уютную атмосферу🔥
#byapsecurity #osint
🔥8❤3👍3