#activedirectory #redteam #tools

PsMapExec: Утилита на Powershell для постэксплуатации Active Directory💻

Если вы знакомы с CrackMapExec, то использование данного инструмента не станет чем-то непривычным. Это тот же CME, но написанный на Powershell

🖥Поддерживает протоколы:

- RDP
- SMB
- WinRM
- WMI
- VNC

PsMapExec

#windows #redteam #pentest

Используем NTLM-relay для Exchange с целью повышения привилегий🟦

В статье будет рассмотрен сценарий использования NTLM-relay атаки с целью получения привилегии для проведения DCSync и полной компрометации домена

PrivExchange

#itnews #infosec #malware

В Google Play найдено 28 программ, скрытно превращающих гаджет в прокси⬇️

В марте 2023 года с Google Play удалили бесплатный VPN-софт, который приобщал Android-устройства к прокси-сети, используемой для сокрытия рекламного мошенничества. В HUMAN Security проанализировали Oko VPN и нашли в магазине еще 28 схожих приложений

Все они используют Golang-библиотеку, отвечающую за прокси-функциональность, однако в описаниях эта возможность не упомянута. Продукты, нарушающие политику Google, уже изъяты из доступа; авторы находок идентифицируют их под общим условным именем PROXYLIB

Схожий вариант библиотеки на Go встроен также в LumiApps SDK, свободно доступный онлайн. В прошлом году этот комплект разработчика активно продвигали в соцсетях и даркнете как средство монетизации приложений, альтернативное рекламе

#cve #exploit #poc

CVE-2024-20767: Adobe ColdFusion⌨️

CVE-2024-20767 — это уязвимость в Adobe ColdFusion 2021 и ColdFusion 2023, которая связана с контролем доступа

Exploit

#pentest #activedirectory #redteam

Diamond And Saphire Tickets💎

Все наверняка слышали про техники закрепления под названием Golden и Silver Tickets, когда мы используем хеш учетной записи krbtgt для подделки билетов. Атаки типа Diamond и Saphire Tickets, имеют более сложный механизм, использующий S4U2Self и U2U

В статье будут представлены как теоретические аспекты работы атаки, так и ее применение на практике

Diamond Ticket

#pentest #redteam #beginners

Изучаем техники получения доступа к внутренней инфраструктуре и ее дальнейшей компрометации🌐

Цикл статей, который расскажет про все этапы так называемого kill-chain: от получения первичного доступа, до получения конечной цели (утечка данных и получение доступа)

Статья представит в подробности различные техники для каждого этапа и затронет кейсы, связанные с разными семействами ОС

Adversarial Tactics

#itnews #infosec

Telegram предлагает Премиум-подписку в обмен на использование Вашего номера для отправки OTP-сообщений✈️

В июне 2017 года исследование, в котором приняли участие более 3000 студентов Массачусетского технологического института (MIT), опубликованное Национальным бюро экономических исследований (NBER), показало, что 98% из них были готовы отдать адреса электронной почты своих друзей в обмен на бесплатную пиццу, что говорит о парадоксе конфиденциальности.

Теперь, почти семь лет спустя, Telegram представил новую функцию, которая предоставляет некоторым пользователям бесплатное премиум-членство в обмен на разрешение популярному приложению для обмена сообщениями использовать их телефонные номера в качестве ретранслятора для отправки одноразовых паролей (OTP) другим пользователям, которые пытаются войти на платформу.

Функция, называемая Peer-to-Peer Login (P2PL), в настоящее время тестируется в отдельных странах для пользователей Telegram на Android.

#itnews #infosec #новостиИБ

Самые горячие новости ИБ за неделю

⭐PT Sandbox добавили в реестр российских программ

Песочница PT Sandbox первой среди других продуктов этого класса была отмечена в едином реестре российских программ как продукт, использующий технологии искусственного интеллекта. Продукт предназначен для защиты от целевых и массовых атак, в которых применяется современные вредоносные программы. ML-система PT Sandbox анализирует более 8500 признаков поведения объекта с точки зрения тех процессов, которые они запускают

🔎У платформы Pandabuy утекли данные 1,3 млн пользователей

PandaBuy — это торговая площадка, позволяющая пользователям из разных стран мира приобретать товары из Китая, например, с Tmall, Taobao и JD.com. Данные о пользователях PandaBuy были опубликованы на хак-форуме BreachForums и теперь доступны любому зарегистрированному пользователю в обмен на символическую плату в криптовалюте.
В качестве доказательства подлинности информации для незарегистрированных пользователей Sanggiero опубликовал небольшую выборку, содержащую адреса электронной почты, имена покупателей, номера и детали заказов, адреса доставки, даты и время транзакций, а также идентификаторы платежей

📩Вымогатели WereWolves выставляют претензии и зовут на военные сборы

Эксперты F.A.C.C.T. зафиксировали новый всплеск атак вымогателей Werewolves на российские организации. Активно рассылаемые вредоносные письма используют темы весеннего призыва и досудебных претензий. Атакам по имейл подвергаются производственные, энергетические, геологоразведочные компании. Анализ показал, что вложения в форматах .doc и .xls содержат загрузчик маячка Cobalt Strike, облегчающего проникновение в корпоративные сети

#poc #exploit #cve

👮‍♀CVE-2024-3273: Получение доступа к D-Link

Этот скрипт представляет собой мощный инструмент для эксплуатации уязвимости CVE-2024-3273, обнаруженной в определенных версиях NAS-устройств D-Link. Он позволяет выполнять команды и получать несанкционированный доступ к затронутым устройствам

🕷Уязвимые версии:
1. DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
2. DNS-325 Version 1.01
3. DNS-327L Version 1.09, Version 1.00.0409.2013
4. DNS-340L Version 1.08

GitHub Эксплойта 🖥

#windows #pentest

Достаем учетные данные из системы Windows🔍

Необходимый и важный шаг для вертикального и горизонтального перемещений - получение хешей или учетных записей пользователей. Все знакомы с сохранением файлов реестра через reg save, дампом с помощью mimikatz, MirrorDump

💻Но это не единственные способы получения учетных данных. В системах Windows есть различные типы аутентификации:

- Interactive Logon
- NewCredentials Logon
- Network Logon
- Batch Logon
- Remote Interactive Logon

В статье будут рассмотрены эти типы аутентификации, места сохранения чувствительных данных и способы получения доступа к ним

Хабр 🖥

#itnews #infosec

📞МТС тестирует ИИ-механизмы, вычисляющие мошенников во время звонка

МТС, один из крупнейших операторов страны, планирует запустить услугу определения мошеннических звонков с помощью искусственного интеллекта. Задача — предупреждать абонента о возможном мошенничестве прямо во время звонка

Эту возможность оператор добавит к уже работающей услуге «Защитник». На сегодняшний день последняя неплохо справляется с фильтрацией подозрительных и нежелательных звонков

🖥F.A.C.C.T. обнаружили новую преступную группу вымогателей Muliaka

Злоумышленники атакуют российские компании как минимум с декабря 2023 года. В одной из атак для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусом

Период с момента получения доступа к ИТ инфраструктуре жертвы до начала шифрования данных занял у атакующих около 2 недель. В ходе расследования специалисты F.A.C.C.T. выяснили, что для удаленного доступа к ИТ-инфраструктуре жертвы атакующие использовали VPN-сервис компании, а для перемещения по узлам инфраструктуры службу удаленного управления WinRM (Windows Remote Management)

😠Два новых сервиса от Роскомнадзора: как изменится мониторинг российского интернета

10 апреля 2024 года Роскомнадзор запустил два новых сервиса для российского сегмента интернета. Первый сервис является аналогом Whois и позволяет получать информацию о доменах, используемых ими IP-адресах, почтовых и веб-серверах

Второй сервис — это Реестр адресно-номерных ресурсов (РАНР) российского сегмента интернета. Он предоставляет информацию (whois) об IP-адресах и автономных системах. РАНР использует собственные базы данных, а также данные от RIPE (организация, ответственная за распределение IP-адресов в Европе). Подсистема РАНР предназначена для ведения реестра адресно-номерных ресурсов российского сегмента сети Интернет и автоматизирует ведение, наполнение, распространение и предоставление заинтересованным сторонам данных базы РАНР

#cve #poc #exploit

Telegram Desktop Client-side RCE✈️

Наверное, многие уже успели увидеть нашумевшую демонстрацию RCE в Desktop-приложении Telegram. Уязвимость вызвана опечаткой в списке расширений исполняемых файлов, захардкоженном в коде Telegram Desktop. Так, вместо pyzw (файл типа Python Zip Application) в строке с запрещенными расширениями было pywz

В статье будут объяснены причины возникновения уязвимости, условия ее эксплуатации и способы защиты

Хабр🖥

#itnews #infosec

🔒Kaspersky подтвердила зрелый уровень кибербезопасности SystemeLogic Х

Специалисты Kaspersky ICS CERT проверили уровень кибербезопасности электронного блока управления SystemeLogic Х, разработанного российской компанией Systeme Electric

По итогам тестирований эксперты пришли к выводу, что SystemeLogic Х соответствует целевому уровню зрелости кибербезопасности. Другими словами, электронный блок от Systeme Electric способен обеспечить защищённость распределительной сети на протяжении всего срока службы оборудования

👺Мошенники пугают россиян видеозвонками, чтобы получить ключи от Госуслуг

Мошенническая схема получения займов на чужое имя через взлом аккаунтов «Госуслуг» усовершенствована. Чтобы выманить ключи доступа к личному кабинету гражданина, злоумышленники звонят в мессенджер по видеосвязи и представляются сотрудником полиции

Новую уловку обнаружили специалисты Сбербанка. По всей видимости, аудиовызовы стали терять свою эффективность, и мошенники решили, что видеосвязь сделает имитацию более убедительной. Поддержать иллюзию помогает демонстрация служебного удостоверения — разумеется, поддельного. Раскрыть пароль к «Госуслугам» и код подтверждения из СМС собеседника убеждают различными методами, в основном запугиванием

💻Волокна Windows позволяют выполнить вредоносный шеллкод незаметно для EDR

На проходящей в Сингапуре конференции Black Hat Asia были представлены два новых способа использования волокон Windows (fibers) для выполнения вредоносного кода. Один из них, Poison Fiber, допускает проведение атаки удаленно. Автором обоих PoC является независимый ИБ-исследователь Даниел Джэри (Daniel Jary). По его словам, атаки Poison Fiber и Phantom Thread представляют собой улучшенные варианты opensource-разработок: они позволяют надежнее скрыть сторонний шеллкод или другую полезную нагрузку в системе, находящейся под защитой EDR

#forensics #soc

🐺Обзор атаки хакеров Sticky Werewolf

F.A.C.C.T подготовила отчет о действиях проукраинской хакерской группировки Sticky Werewolf, действия которой были направлены против государственных учреждений России, Беларуси и Польши

Общая цепочка атаки выглядит следующим образом: после загрузки и запуска исполняемого файла происходит запуск архива, содержащего обфусцированный BAT-скрипт с именем Grave и 10 файлов. Данный скрипт собирает из них легитимный AutoIt интерпретатор и AutoIt скрипт, а затем запускает собранный скрипт при помощи собранного интерпретатора. Затем в процесс Recognition.pif внедряется полезная нагрузка – Rhadamanthys Stealer (основной модуль), отвечающая за разворачивание в памяти различных модулей Rhadamanthys, а также внедрение своего кода в процесс dialer.exe, загрузку с C2-сервера модуля стилера и его запуск в памяти процесса dialer.exe

Хабр 🖥