#beginners

Что такое прокси и в чём же их отличие?👋

Прокси-сервер - промежуточный сервер (комплекс программ) в компьютерных сетях, выполняющий роль посредника между пользователем и целевым сервером

◽️Обратный прокси-сервер (Reverse Proxy) — это тип прокси-сервера, который ретранслирует запросы клиентов из внешней сети на один или несколько серверов, логически расположенных во внутренней сети. При наличии обратного прокси-сервера вряд ли удастся напрямую поразить реальный сервер — это потому, что только IP-адрес обратного прокси является общедоступным

◽️Прямой прокси (Forward Proxy) - прямые прокси также обеспечивают анонимность. Прямой прокси-сервер будет скрывать исходный IP-адрес клиента при подключении к публичным серверам

#itnews

Компания по анализу угроз Recorded Future предупредила, что атакующие все чаще используют сервисы GitHub для проведения скрытых кибератак, и призвала ИТ-команды принять меры 👩‍💻

В новом отчете об использовании GitHub в качестве вредоносной инфраструктуры выявлены наиболее популярные сервисы GitHub для участников угроз.

Анализ данных об угрозах в период с марта по ноябрь 2023 года показал, что в атаках чаще всего использовались GitHub Raw (40%), GitHub Objects (35%) и GitHub Pages (14%).

В ближайшей перспективе защитникам следует придерживаться стратегии учёта сервисов, помечая или даже блокируя определенные сервисы GitHub, которые обычно не задействуются в среде организации и, как известно, используются злонамеренно”,

В Recorded Future заявили, что субъекты угроз используют сервисы GitHub, чтобы сливаться с безопасным сетевым трафиком, таким образом скрывая вредоносную активность.

#pentest #phishing

BobTheSmuggler - реализуем HTML Smuggling Attack и прячемся от детектирования 👌

Bob the Smuggler - это инструмент, в основе которого лежит реализация HTML Smuggling Attack.

➡️Утилита позволяет создавать HTML-файлы со встроенными 7z/zip-архивами. Инструмент сжимает ваши двоичные файлы (EXE/DLL) в формат 7z/zip, затем архив шифруется с использованием XOR, а затем утилита прячет его внутри файла изображения формата PNG/GIF (Image Polyglots). JavaScript, встроенный в HTML, загрузит PNG/GIF-файл и сохранит его в кэше.
➡️После этого JavaScript извлечет данные, встроенные в PNG/GIF, соберет их, выполнит XOR-дешифрование, а затем сохранит в виде блока в памяти.

#avbypass #pentest #redteam

Bypass AV: учимся обходить антивирус на практике✅

Обход антивируса является неотъемлемой частью любого пентеста. Для дальнейшей успешной эксплуатации необходимо знать и уметь применять на практике основные техники обхода программ защиты

В статье рассмотрены основные способы и утилиты для обфускации и шифрования кода: как классические (Shellter, Chimera), так и не самые распространенные, но не менее эффективные (Simple Loader)

Ссылка на статью🧘‍♀️

#phishing #pentest #cheatsheet

Техники фишинга с OLE😩

OLE-объект: суть метода заключается в том, что в легитимный Office-документ встраивается скрипт, запускающийся по клику. Скрипт может быть совершенно любой, обычно это просто полезная нагрузка

В данных заметках будут рассмотрены основные способы встраивания нагрузки в документы☠️

Red Team Notes 👩‍💻

#itnews #infosec #malware

Новая кампания вредоносного ПО использует 9hits для нападения на Docker🖥

Обнаруженная лабораторией Cado Security Labs кампания развертывает на уязвимом экземпляре Docker два контейнера - стандартный майнер XMRig и приложение 9hits viewer. Последнее используется для генерации кредитов для злоумышленника на платформе 9hits

Платформа 9hits, описываемая как:

Уникальное решение для обмена веб-трафиком", позволяющее участникам приобретать кредиты для обмена трафиком веб-сайтов

Атака начинается с развертывания контейнеров на уязвимом хосте Docker через интернет с помощью контролируемого злоумышленником сервера. Хотя исследователи Cado не смогли получить доступ к спредеру, они предположили, что злоумышленники могли обнаружить honeypot через такие платформы, как Shodan. Спредер использует API Docker для запуска двух контейнеров, получая готовые образы с Dockerhub для программного обеспечения 9hits и XMRig

#pentest #фишинг #redteam

Полное руководство по Smuggling HTML👺

Smuggling HTML - техника доставки вредоносной нагрузки через "безопасные" HTML-страницы

Данная статья объясняет, что представляет из себя данная техника, а также подробно описан алгоритм создания данного вида вредоносной нагрузки. Мы также ранее выкладывали утилиту для проведения данной атаки

Smuggling HTML

#pentest #redteam #phishing

Крадем NTLM-креды👁

Статья содержит подробное руководство о способах закладки вредоносной нагрузки и атаках для кражи NTLM-хеша: вложение в xml,docx,pdf, а также LFI, XXE и различные инъекции

HackTricks

#itnews #infosec #hackers

Китайские хакеры незаметно использовали уязвимость нулевого дня VMware в течение 2 лет🏚

Передовая китайская группа кибершпионажа, ранее связанная с эксплуатацией недостатков безопасности в устройствах VMware и Fortinet, с конца 2021 года занимается использованием критической уязвимости в VMware vCenter Server в качестве уязвимости нулевого дня

В отчете Google упоминается:

У UNC3886 есть опыт использования уязвимостей нулевого дня для незаметного выполнения своих задач, и этот последний пример еще раз демонстрирует их возможности

Речь идет об уязвимости CVE-2023-34048 (CVSS score: 9.8), которая представляет собой запись за пределы границ и может быть использована злоумышленником, имеющим сетевой доступ к vCenter Server. Она была исправлена компанией, принадлежащей Broadcom, 24 октября 2023 года

#soc #phishing #apt

Как защищаться от APT-группировок🛡

Каждый сотрудник любой компании, будь он техническим специалистом или просто HR-ом, важно быть осведомленным о том, какими способами хакерские группировки проникают в вашу инфраструктуру

Данная статья не содержит подробных технических разъяснений и разборов, а рассказывает о базовых моментах предотвращения целевых атак. Для начинающих свое знакомство с миром ИБ будет очень полезно, а для опытных специалистов повторение - мать учения☯️

Статья Лаборатории Касперского

Обнаружен новый эксплойт для Outlook: CVE-2023-35636 приводит к краже паролей NTLM v2💻

CVE-2023-35636 - это уязвимость безопасности, обнаруженная в Microsoft Outlook, а именно в функции совместного использования календаря. Этот эксплойт позволяет злоумышленникам перехватывать хэши NTLM v2, которые используются для аутентификации в системах Microsoft Windows. NTLM v2, хотя и более безопасен, чем его предшественник, все еще подвержен автономным атакам перебора и повторной пересылке данных аутентификации.

Эксплойт для Outlook заключается в добавлении определенных заголовков в письмо, что заставляет Outlook делиться содержимым и взаимодействовать с указанным компьютером. Эта манипуляция создает возможность для злоумышленников перехватить хэши NTLM v2 в процессе аутентификации. Эксплойт требует наличия двух заголовков: "Content-Class" и "x-sharing-config-url", которые указывают на машину злоумышленника.

Помимо Outlook, злоумышленники могут использовать Windows Performance Analyzer (WPA) и Windows File Explorer для получения доступа к хэшам NTLM v2. Используя обработчики URI и специфические параметры, злоумышленники могут обманом заставить эти приложения раскрыть конфиденциальную информацию.

Microsoft устранила уязвимость Outlook (CVE-2023-35636) с помощью патча, выпущенного 12 декабря 2023 года, отнеся его к категории "важных". Однако уязвимости, связанные с WPA и Windows File Explorer, были признаны Microsoft "умеренно серьезными".

➡️ Чтобы обезопасить свои системы и данные от атак NTLM v2, рассмотрите возможность применения следующих мер безопасности:

1. Подписание SMB: Включите функцию подписи SMB для защиты SMB-трафика от несанкционированного доступа и атак типа "человек посередине". Эта функция подписывает все SMB-сообщения цифровой подписью, что позволяет получателям обнаруживать и отклонять любые поддельные сообщения.

2. Блокировка исходящего NTLM v2: Начиная с Windows 11 (сборка 25951), можно блокировать исходящую аутентификацию NTLM, добавляя дополнительный уровень безопасности.

3. Принудительная аутентификация Kerberos: По возможности применяйте аутентификацию Kerberos и блокируйте NTLM v2 как на сетевом уровне, так и на уровне приложений. Это поможет предотвратить использование NTLM v2 там, где это не требуется.

Приняв эти меры предосторожности, вы сможете значительно снизить риск стать жертвой атак NTLM v2 и обеспечить безопасность своих систем и данных.

#osint #pentest #redteam

Shodan Command Line: Ищем информацию, не выходя из CMD👩‍💻

Shodan - очень известный хакерский поисковик, который позволяет проводить разведку и доставать информацию как о конкретным хостах, так и о доменах. Не только базовую информацию, но и возможные уязвимости

Данная статья содержит гайд по полному использованию Shodan прямо из командной строки

Shodan Command Line 🌐

#itnews #infosec #malware

Вредоносное ПО для macOS прячется во взломанных приложениях и атакует криптовалютные кошельки🍏

Лаборатория Касперского, обнаружившая артефакты в "дикой природе", заявила, что ВПО предназначено для компьютеров под управлением macOS Ventura 13.6 и более поздних версий для сбора данных криптовалютных кошельков

Цепочки атак используют заминированные файлы образов дисков (DMG), которые содержат программу под названием "Activator" и пиратскую версию легитимного программного обеспечения, такого как xScope. При запуске Activator появляется приглашение ввести пароль администратора, что запускает двоичный файл Mach-O с повышенными правами для запуска xScope

Хитрость заключалась в том, что злоумышленники брали заранее взломанные версии приложений и добавляли несколько байт в начало исполняемого файла, тем самым отключая его, чтобы заставить пользователя запустить Activator

исследователь безопасности Сергей Пузан

Далее устанавливалось соединение с С2 для получения зашифрованного скрипта и дальнейшего сбора информации🖥

#byapsecurity #web #pentest

Используем SSTI для обхода песочницы🏃

Лаборатория кибербезопасности и инновационных технологий компании AP Security подготовила для вас новую статью, которая расскажет как работает уязвимость SSTI и как злоумышленник может использовать ее для своих целей

Приятного прочтения📌

Хабр

#pentest #redteam #beginners

О том, как правильно пентестить для начинающих специалистов: об этике и правилах контрактов👩‍💻

Пентестер - профессия, в которой вы буквально ходите по лезвию ножа. Шаг влево или шаг вправо - вы уже попадаете под уголовную ответственность. Поэтому в данном деле важно знать базовые правила вашей работы, чтобы не допустить ошибок, которые до вас уже успели допустить большое количество специалистов

Хабр

#web #bugbounty

Не так давно лаборатория кибербезопасности AP Security делилась с читателями полученными результатами на Bug Bounty.

В приложении может быть много переменных, таких как «id», «pid», «uid». Хотя эти значения часто рассматриваются как параметры HTTP, их можно также найти в заголовках и файлах cookie. Исследователь может получить доступ, отредактировать или удалить любые объекты других пользователей, изменив значения вышеперечисленных параметров. Эта уязвимость называется IDOR.

Для автоматизации тестов на IDOR существует плагин AuthMatrix, фиксирующий cookie пользователей и необходимые заголовки, идентифицирующие объект ( например Authorization).

Как пользоваться данным плагином и искать точки входа, неплохо описано в следующем видео. Всё это можно подкрепить репортом нашего сотрудника в рамках крупной площадки.

Приятного просмотра📌

#itnews #infosec #malware

Анализ C2-сервера вредоносной программы SystemBC раскрыл трюки доставки полезной нагрузки😈

Исследователи в области кибербезопасности пролили свет на командно-контрольный (C2) сервер известного семейства вредоносных программ под названием SystemBC

SystemBC можно приобрести на подпольных рынках, и он поставляется в архиве, содержащем имплант, сервер управления и контроля (C2) и портал веб-администрирования, написанный на PHP

говорится в анализе Kroll

Клиенты, купившие SystemBC, получают инсталляционный пакет, включающий исполняемый файл имплантата, исполняемые файлы для сервера C2 для Windows и Linux, PHP-файл для отображения интерфейса панели C2, а также инструкции на русском и английском языках с подробным описанием действий и команд, которые необходимо выполнить

Исполняемые файлы сервера C2 - "server.exe" для Windows и "server.out" для Linux - открывают не менее трех TCP-портов для обеспечения трафика C2, межпроцессного взаимодействия (IPC) между собой и интерфейсом панели на базе PHP (обычно порт 4000), а также по одному порту для каждого активного импланта

Исследование Kroll

#pentest #redteam #pivoting

Свет в конце туннеля: техники pivoting-а и туннелирования👁

Pivoting - техника необходимая для получения доступа в недоступный сегмент сети или для обхода NAT или firewall-а

Данный ресурс содержит подробное руководство по использованию различных утилит (Empire, Metasploit, ProxyChains), а также эксплуатацию штатными средствами Windows netsh

Руководство по pivoting-у