#forensics #soc #windows

Что такое RPC и как отслеживать его использование🖥

RPC - Remote Procedure Call или «удаленный вызов процедур» представляет собой технологию межпроцессного взаимодействия IPC

В статье будут освещены основные протоколы, использующие технологию IPC, а также нахождение следов их применения в системе

RPC

#pentest #redteam #soc

Как устроен COM и как это использовать для построения вектора атак💀

В статье будет освещена работа Component Object Model в Windows, а также случаи его использования злоумышленниками для реализации атак

Component Object Model

#pentest #redteam #wifi

Атакуем Wi-FI точки доступа с помощью атаки Evil Twin🏴‍☠️

Evil Twin - атака, в ходе которой злоумышленник создает сеть-двойника, похожую на легитимную точку доступа для перехвата пароля

Вы узнаете как проводить данную атаку с помощью инструмента airgeddon

Evil Twin

#phishing #redteam

Советы по организации фишинга при проведении пентестов☁️

Фишинг - неотъемлемая часть практически любого пентеста, так как позволяет выявить слабую составляющую компании среди ее сотрудников. Поэтому к его организации нужно подходить продуманно

В статье будут отражены типичные ошибки даны советы по их избежанию при организации своей фишинговой кампании в рамках пентеста

Phishing

#activedirectory #redteam #tools

PsMapExec: Утилита на Powershell для постэксплуатации Active Directory💻

Если вы знакомы с CrackMapExec, то использование данного инструмента не станет чем-то непривычным. Это тот же CME, но написанный на Powershell

🖥Поддерживает протоколы:

- RDP
- SMB
- WinRM
- WMI
- VNC

PsMapExec

#windows #redteam #pentest

Используем NTLM-relay для Exchange с целью повышения привилегий🟦

В статье будет рассмотрен сценарий использования NTLM-relay атаки с целью получения привилегии для проведения DCSync и полной компрометации домена

PrivExchange

#itnews #infosec #malware

В Google Play найдено 28 программ, скрытно превращающих гаджет в прокси⬇️

В марте 2023 года с Google Play удалили бесплатный VPN-софт, который приобщал Android-устройства к прокси-сети, используемой для сокрытия рекламного мошенничества. В HUMAN Security проанализировали Oko VPN и нашли в магазине еще 28 схожих приложений

Все они используют Golang-библиотеку, отвечающую за прокси-функциональность, однако в описаниях эта возможность не упомянута. Продукты, нарушающие политику Google, уже изъяты из доступа; авторы находок идентифицируют их под общим условным именем PROXYLIB

Схожий вариант библиотеки на Go встроен также в LumiApps SDK, свободно доступный онлайн. В прошлом году этот комплект разработчика активно продвигали в соцсетях и даркнете как средство монетизации приложений, альтернативное рекламе

#cve #exploit #poc

CVE-2024-20767: Adobe ColdFusion⌨️

CVE-2024-20767 — это уязвимость в Adobe ColdFusion 2021 и ColdFusion 2023, которая связана с контролем доступа

Exploit

#pentest #activedirectory #redteam

Diamond And Saphire Tickets💎

Все наверняка слышали про техники закрепления под названием Golden и Silver Tickets, когда мы используем хеш учетной записи krbtgt для подделки билетов. Атаки типа Diamond и Saphire Tickets, имеют более сложный механизм, использующий S4U2Self и U2U

В статье будут представлены как теоретические аспекты работы атаки, так и ее применение на практике

Diamond Ticket

#pentest #redteam #beginners

Изучаем техники получения доступа к внутренней инфраструктуре и ее дальнейшей компрометации🌐

Цикл статей, который расскажет про все этапы так называемого kill-chain: от получения первичного доступа, до получения конечной цели (утечка данных и получение доступа)

Статья представит в подробности различные техники для каждого этапа и затронет кейсы, связанные с разными семействами ОС

Adversarial Tactics

#itnews #infosec

Telegram предлагает Премиум-подписку в обмен на использование Вашего номера для отправки OTP-сообщений✈️

В июне 2017 года исследование, в котором приняли участие более 3000 студентов Массачусетского технологического института (MIT), опубликованное Национальным бюро экономических исследований (NBER), показало, что 98% из них были готовы отдать адреса электронной почты своих друзей в обмен на бесплатную пиццу, что говорит о парадоксе конфиденциальности.

Теперь, почти семь лет спустя, Telegram представил новую функцию, которая предоставляет некоторым пользователям бесплатное премиум-членство в обмен на разрешение популярному приложению для обмена сообщениями использовать их телефонные номера в качестве ретранслятора для отправки одноразовых паролей (OTP) другим пользователям, которые пытаются войти на платформу.

Функция, называемая Peer-to-Peer Login (P2PL), в настоящее время тестируется в отдельных странах для пользователей Telegram на Android.

#itnews #infosec #новостиИБ

Самые горячие новости ИБ за неделю

⭐PT Sandbox добавили в реестр российских программ

Песочница PT Sandbox первой среди других продуктов этого класса была отмечена в едином реестре российских программ как продукт, использующий технологии искусственного интеллекта. Продукт предназначен для защиты от целевых и массовых атак, в которых применяется современные вредоносные программы. ML-система PT Sandbox анализирует более 8500 признаков поведения объекта с точки зрения тех процессов, которые они запускают

🔎У платформы Pandabuy утекли данные 1,3 млн пользователей

PandaBuy — это торговая площадка, позволяющая пользователям из разных стран мира приобретать товары из Китая, например, с Tmall, Taobao и JD.com. Данные о пользователях PandaBuy были опубликованы на хак-форуме BreachForums и теперь доступны любому зарегистрированному пользователю в обмен на символическую плату в криптовалюте.
В качестве доказательства подлинности информации для незарегистрированных пользователей Sanggiero опубликовал небольшую выборку, содержащую адреса электронной почты, имена покупателей, номера и детали заказов, адреса доставки, даты и время транзакций, а также идентификаторы платежей

📩Вымогатели WereWolves выставляют претензии и зовут на военные сборы

Эксперты F.A.C.C.T. зафиксировали новый всплеск атак вымогателей Werewolves на российские организации. Активно рассылаемые вредоносные письма используют темы весеннего призыва и досудебных претензий. Атакам по имейл подвергаются производственные, энергетические, геологоразведочные компании. Анализ показал, что вложения в форматах .doc и .xls содержат загрузчик маячка Cobalt Strike, облегчающего проникновение в корпоративные сети

#poc #exploit #cve

👮‍♀CVE-2024-3273: Получение доступа к D-Link

Этот скрипт представляет собой мощный инструмент для эксплуатации уязвимости CVE-2024-3273, обнаруженной в определенных версиях NAS-устройств D-Link. Он позволяет выполнять команды и получать несанкционированный доступ к затронутым устройствам

🕷Уязвимые версии:
1. DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
2. DNS-325 Version 1.01
3. DNS-327L Version 1.09, Version 1.00.0409.2013
4. DNS-340L Version 1.08

GitHub Эксплойта 🖥

#windows #pentest

Достаем учетные данные из системы Windows🔍

Необходимый и важный шаг для вертикального и горизонтального перемещений - получение хешей или учетных записей пользователей. Все знакомы с сохранением файлов реестра через reg save, дампом с помощью mimikatz, MirrorDump

💻Но это не единственные способы получения учетных данных. В системах Windows есть различные типы аутентификации:

- Interactive Logon
- NewCredentials Logon
- Network Logon
- Batch Logon
- Remote Interactive Logon

В статье будут рассмотрены эти типы аутентификации, места сохранения чувствительных данных и способы получения доступа к ним

Хабр 🖥

#itnews #infosec

📞МТС тестирует ИИ-механизмы, вычисляющие мошенников во время звонка

МТС, один из крупнейших операторов страны, планирует запустить услугу определения мошеннических звонков с помощью искусственного интеллекта. Задача — предупреждать абонента о возможном мошенничестве прямо во время звонка

Эту возможность оператор добавит к уже работающей услуге «Защитник». На сегодняшний день последняя неплохо справляется с фильтрацией подозрительных и нежелательных звонков

🖥F.A.C.C.T. обнаружили новую преступную группу вымогателей Muliaka

Злоумышленники атакуют российские компании как минимум с декабря 2023 года. В одной из атак для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусом

Период с момента получения доступа к ИТ инфраструктуре жертвы до начала шифрования данных занял у атакующих около 2 недель. В ходе расследования специалисты F.A.C.C.T. выяснили, что для удаленного доступа к ИТ-инфраструктуре жертвы атакующие использовали VPN-сервис компании, а для перемещения по узлам инфраструктуры службу удаленного управления WinRM (Windows Remote Management)

😠Два новых сервиса от Роскомнадзора: как изменится мониторинг российского интернета

10 апреля 2024 года Роскомнадзор запустил два новых сервиса для российского сегмента интернета. Первый сервис является аналогом Whois и позволяет получать информацию о доменах, используемых ими IP-адресах, почтовых и веб-серверах

Второй сервис — это Реестр адресно-номерных ресурсов (РАНР) российского сегмента интернета. Он предоставляет информацию (whois) об IP-адресах и автономных системах. РАНР использует собственные базы данных, а также данные от RIPE (организация, ответственная за распределение IP-адресов в Европе). Подсистема РАНР предназначена для ведения реестра адресно-номерных ресурсов российского сегмента сети Интернет и автоматизирует ведение, наполнение, распространение и предоставление заинтересованным сторонам данных базы РАНР

#cve #poc #exploit

Telegram Desktop Client-side RCE✈️

Наверное, многие уже успели увидеть нашумевшую демонстрацию RCE в Desktop-приложении Telegram. Уязвимость вызвана опечаткой в списке расширений исполняемых файлов, захардкоженном в коде Telegram Desktop. Так, вместо pyzw (файл типа Python Zip Application) в строке с запрещенными расширениями было pywz

В статье будут объяснены причины возникновения уязвимости, условия ее эксплуатации и способы защиты

Хабр🖥