#redteam #pentest #bypassav

👁Обход AVs/EDRs с помощью SysCalls

Syscalls позволяют любой программе переходить в режим ядра для выполнения привилегированных операций, например, записи файла

Большинство антивирусов, EDR и песочниц используют пользовательские хуки, что означает, что они могут отслеживать и перехватывать любой пользовательский вызов API. Однако если мы выполним системный вызов и перейдем в режим ядра, они не смогут ничего отследить

В статье вы узнаете как работают AVs/EDRs, и как с помощью SysCalls выполнить их обход для выполнения вредоносного кода

⌨️SysCalls

#pentest #tools

📶Havoc C2 Framework

Havoc - новичок среди C2-серверов, и появился относительно недавно в поле зрения пентестеров. Имеет широкий функционал генерации агентов, возможности туннелирования, постэксплуатации и встроенные техника обхода антивирусных средств

В статье будут рассмотрены базовая установка и настройка описанного выше C2.

https://redfoxsec.com/blog/havoc-c2-framework/

#windows #redteam

💻AMSI Bypass

Репозиторий содержит способы патчинга AMSI для дальнейшего выполнения скриптов в памяти ОС с помощью Powershell

🖥GitHub

#cve #exploit #poc

💉CVE-2024-27956: WordPress RCE

PoC для CVE-2024-27956, SQL Injection в плагине ValvePress Automatic. Данный PoC эксплуатирует уязвимость, создавая пользователя и предоставляя ему права администратора. Статус администратора в Wordpress может привести к удаленному выполнению кода

🐱GitHub

#itnews #infosec

😈EMB3D - новая система моделирования угроз для встраиваемых устройств

Новая система моделирования угроз EMB3D представлена корпорацией MITRE и предназначена для производителей встраиваемых устройств, используемых в критической информационной инфраструктуре. Модель включает в себя базу знаний о киберугрозах, что дает общее представление о них

Предполагается, что EMB3D, как и фреймворк ATT&CK, будет «живой моделью», дополняемой обновленными средствами защиты по мере появления новых уязвимостей и векторов атак. В EMB3D упор сделан на встраиваемые устройства, где главной целью является полная картина брешей в технологиях производителей

⚡️Вышел Solar Dozor 7.12 с новым уровнем контроля графической информации

Новая версия 7.12 пополнилась актуальными функциями – появилась возможность распознавания и блокировки передачи графических данных непосредственно на рабочих станциях сотрудников. Это реализовано на базе технологии оптического распознавания символов (optical character recognition, OCR), которая извлекает текст из файлов основных распространённых графических форматов, таких как bmp, gif, jpg. Анализ содержимого таких файлов теперь осуществляется сразу на агенте, что позволяет более оперативно реагировать на нарушения и блокировать попытки утечки через различные каналы

🔔Microsoft все еще не пропатчила уязвимости, выявленные на Pwn2Own 2024

Из семи уязвимостей повышения привилегий, выявленных в марте на Pwn2Own, Microsoft устранила только одну, да и то портом заплатки Google для Chrome. Остался месяц до публикации, и появились опасения, что дедлайн Windows встретит непропатченной. Участники проекта Zero Day Initiative (ZDI), ежегодно проводящие Pwn2Own, обычно дают вендорам 90 дней на выпуск патчей к уязвимостям. Показанные в Ванкувере 0-day уже устранили Oracle, Apple, Google, VMware, Mozilla. Все думали, что Microsoft последует их примеру, но разработчик популярной ОС исправил только Edge к апрельскому «вторнику патчей». Майский набор обновлений для Windows ожиданий не оправдал

#pentest #redteam #cheatsheet

✈️Pivoting CheatSheet by Offensive Security

Крайне подробная шпаргалка по техникам перенаправления трафика. Представлены способы проброса портов с помощью SSH, Metasploit, NetCat, Chisel, PivotSuite

Offensive Route

#cve #poc

🕷CVE-2024-21683: Confluence Data Center RCE

Эта уязвимость позволяет неавторизованному злоумышленнику удаленно выполнить произвольный код на уязвимом сервере Confluence. Баг существует из-за некорректной проверки пользовательского ввода в Confluence REST API. Это позволяет злоумышленнику внедрить вредоносный код на сервер Confluence

Proof-Of-Concept

#reverse #soc

🤖Анализ ВПО DarkGate

DarkGate — вредоносное ПО, которое реализует функциональность загрузчика, стилера и RAT. Таким образом, оно представляет собой комплексный тулкит для кражи различной информации, удаленного управления зараженным хостом, майнинга криптовалюты

Ребята из BI.ZONE провели детальный анализ, чтобы показать все функции этого ВПО: от проверки на хосте наличия антивируса до общения с С2-сервером

🖥Хабр

#itnews #infosec

⚡️Шпионы Shedding Zmiy проникли в десятки российских организаций

По данным ГК «Солар», нацеленная на шпионаж APT-группа с условным именем Shedding Zmiy объявилась в России в 2022 году. На ее счету уже несколько десятков атак на госструктуры, промпредприятия, телеком-сети и другие объекты критической важности. Обнаружив в ходе анализа бэкдор CobInt, эксперты предположили, что автор целевых атак — группировка Cobalt (это ее «фирменный» инструмент). Однако расследование показало, что это не так: взломщики не искали финансовой выгоды, они воровали данные с тем, чтобы использовать их в дальнейших атаках или слить в Telegram. Обширный набор инструментов и техник позволяет Shedding Zmiy каждый раз менять тактику

⚠️Критическая уязвимость Fluent Bit актуальна для AWS, Azure, Google Cloud

В инструменте телеметрии Fluent Bit найдена уязвимость, грозящая крахом службы, сливом закрытых данных и даже RCE. Исправления уже готовы, затронутые облачные провайдеры (Google, Amazon, Microsoft) поставлены в известность. По состоянию на март, ее суммарно скачали более 13 млрд раз; такой агент активно используют облачные сервисы AWS, GCP и Azure. Критическая уязвимость CVE-2024-4323 (9,8 балла CVSS, по оценке авторов находки) была привнесена в Fluent Bit с выпуском сборки 2.0.7. Она связана с ошибкой переполнения буфера, которая может возникнуть при парсинге встроенным сервером HTTP запросов на трассировку

🔓Innostage запускает bug bounty в формате испытаний

На стартовавшем сегодня Positive Hack Days 2 компания Innostage объявила о готовящейся к запуску программе по поиску уязвимостей в формате открытых кибериспытаний. Баг-баунти будет работать на платформе Standoff Bug Bounty. Исследователям предлагается реализовать недопустимые события, которые с гарантией окажут влияние на деятельность организации, а также в целом прощупать киберустойчивость ИТ-инфраструктуры. Помочь организовать кибериспытания Innostage вызвались компании АО «Кибериспытания» и Positive Technologies

#redteam #pivoting

🖥RevSocks: швейцарский нож для проброса портов и туннелирования трафика

revsocks - утилита для туннелирования, написанная на Golang

⚙️Основные фишки:
- Поддержка Linux/Windows/Mac/BSD
- Шифрованное соединение с TLS
- Поддержка DNS туннелирования (SOCKS поверх DNS)
- Поддержка прокси (с аутентификацией и без)
- Генерация SSL/TLS сертификатов


🖥GitHub

#pentest

Совсем недавно в чате канала обсуждали тему безопасности беспроводных сетей.

Актуален ли WPS? А что насчёт PMKID?🛜

И вообще, airgeddon или airmon-ng?

Представленная статья является наглядным отражением практического применения знаний из курса PEN-210 и будет полезна всем, кто либо начинает свой путь в аудите Wi-Fi, либо же расширяет свой арсенал.

#tools #pentest

Вы тоже любите проверять принтеры во время тестирования инфраструктуры?🖥

На этот раз поговорим про IPP (Internet Printing Protocol).

Название говорит само за себя. Этот протокол позволяет пользователям управлять подключенными к интернету принтерами и удаленно отправлять им задания на печать.

Системы печати часто становятся целью для злоумышленников, стремящихся установить каналы управления ( в частности связь с C2) в сети жертвы. Злоумышленник может использовать систему печати добавления и удаления принтеров, а также создание заданий печати и манипулирования ими для обеспечения полноценной связи с C2. Мы разработали полное подтверждение концепции такого канала, которое успешно протестировали в реальных командных упражнениях red teaming. Понимая подход, применяемый в этом конкретном случае злоупотребления системами печати, мы можем предпринять шаги для их защиты и предотвращения их использования злоумышленниками.

🖥GitHub