#osint

🔍 Telegram-OSINT

Отдельный репозиторий для поиска информации в Telegram, содержащий огромное количество ресурсов.

⚡️Начинающим специалистам стоит не забывать про OPSEC при работе с ботами, требующими номер и собирающими информацию о Вашем аккаунте.

#tools #pentest

📎 PoC CVE-2024-21338

Уязвимость CVE-2024-21338 была обнаружена специалистами Avast в драйвере appid.sys Windows AppLocker, о чем они сообщили Microsoft в августе прошлого года, предупредив, что уязвимость уже активно эксплуатируют злоумышленники.

🟡Подробнее об этой уязвимости написано в статье на Хакер.

#forensics

📡 Kdrill

Инструмент на Python для проверки руткитов в ядре Windows.

Kdrill получает доступ к физической памяти и декодирует внутренние структуры ОС, чтобы исследовать их и проверить целостность.

#infosec

🌟Руководство OpenAI разделилось во мнениях относительно собственной технологии водяного знака ИИ

У OpenAI есть инструмент для автоматического нанесения водяных знаков на контент, созданный искусственным интеллектом, но руководство компании разделилось во мнении, стоит ли выпускать его в открытый доступ.

Инструмент якобы готов к выпуску, но проект уже два года находится во внутренней дискуссии.

Опрос, проведенный компанией в апреле 2023 года среди постоянных пользователей ChatGPT, показал, что почти треть из них отказались бы от этой технологии, главным образом потому, что она может обнаружить списывание и плагиат.

⚡️Уязвимости 5G позволяют следить за владельцами мобильных устройств

Исследователи из Университета Пенсильвании на конференции Black Hat, которая проходит в Лас-Вегасе, продемонстрировали метод слежки за владельцами мобильных устройств с помощью baseband-брешей в 5G.

Используя кастомный инструмент 5GBaseChecker, специалисты выявили уязвимости в базовой полосе, которые применяют 5G-модемы таких производителей, как Samsung, MediaTek и Qualcomm (используются в телефонах Google, OPPO, OnePlus, Motorola и Samsung).

💰 Атака напрокат: в даркнете стоимость готовых ботнетов для массовых атак начинается от 99 долларов США

Эксперты Kaspersky Digital Footprint Intelligence проанализировали объявления о предоставлении услуг, связанных с эксплуатацией ботнетов в даркнете и специализированных Telegram-каналах.

Для создания ботнетов могут использоваться уязвимые пользовательские и корпоративные гаджеты, например со слабыми паролями: от умных камер до продвинутых промышленных устройств. Аналитики «Лаборатории Касперского» в первом полугодии 2024 года зафиксировали рост более чем в два раза числа заражённых IoT-устройств в Росcии по сравнению с аналогичным периодом в прошлом году.

Такие инструменты могут обладать индивидуальными настройками и различаться по способам заражения, типу используемого вредоносного ПО, инфраструктуре, методам обхода обнаружения. Их разрабатывают для продажи на теневом рынке, а стоимость зависит от качества. В объявлениях за 2024 год, которые проанализировали эксперты, самая низкая цена составила 99 долларов США, а самая высокая — 10 тысяч долларов США. Ботнеты также можно взять в аренду: стоимость такой услуги варьируется от 30 до 4 800 долларов США в месяц.

🔠🔠 🔠🔠🔠🔠🔠

Недавно на github'е наткнулся на интересную утилиту LazyEgg, позволяющую добывать ссылки, фото, URL'ы, айпишники, креды, ключи по целевому URL, а также искать и анализировать js файлы по сигнатурам
https://github.com/schooldropout1337/lazyegg

▶️ Установить утилиту

git clone https://github.com/schooldropout1337/lazyegg.git

▶️ Обычный скан по целевому URL

python lazyegg.py https://localhost:8080

▶️ Для поиска скрытых js файлов, можем воспользоваться следующей командой

python lazyegg.py https://localhost:8080/js --js_scan --w wordlist.txt

▶️ LazyEgg позволяет сканить и отдельные js файлы на наличие сигнатур, для этого нужно создать дополнительный файл с URL' ами js файлов

cat jsurls.txt | xargs -I{} bash -c 'echo -e "\ntarget : {}\n" && python lazyegg.py "{}" --js_urls --domains --ips --leaked_creds'

▶️ Можно воспользоваться скриптом, использующий вывод утилиты waybackurls для дальнейшего скана

waybackurls vulnweb.com | grep '\.js$' | awk -F '?' '{print $1}' | sort -u | xargs -I{} bash -c 'python lazyegg.py "{}" --js_urls --domains --ips' > jsurls.log && cat jsurls.log | grep '\.' | sort -u

▶️ Также LazyEgg имеет свое расширение для Chrome, чтобы его поставить, которое находится в архиве le-jsurl.zip репозитория

#tools #pentest

🪆 TrickDump ( lsass dump)

TrickDump генерирует дамп процесса lsass без создания файла Minidump, вместо этого генерируя 3 JSON и 1 ZIP файл с дампами областей памяти. В три шага:

🟥Получение информации об ОС с помощью RtlGetVersion.

🟥Получение привилегии SeDebugPrivilege с помощью NtOpenProcessToken и NtAdjustPrivilegeToken, открытие хэндла с помощью NtGetNextProcess и NtQueryInformationProcess, а затем получение информации о модулях с помощью NtQueryInformationProcess и NtReadVirtualMemory.

🟥Получение привилегии SeDebugPrivilege, открытие хэндла, а затем сбор информации и дампа областей памяти с помощью функций NtQueryVirtualMemory и NtReadVirtualMemory.

Узнать о других подходах и нюансах работы с процессом lsaas можно в следующей статье.

#soc

⚡️Реагирование на инциденты

Короткий мануал с этапами реагирования на инциденты с наглядным разбором практических кейсов по ним.

Приятного прочтения📔

#infosec

⬇️ Microsoft закрыла 9 zero-days в обновлении прошедшего вторника.

Шесть из 9 уязвимостей использовались в дикой природе.

Среди них - ошибка обхода функции безопасности Windows Mark of the Web (MotW) (CVE-2024-38213), которая аналогична обходу SmartScreen, опубликованному в феврале.

«Злоумышленник, убедивший пользователя открыть вредоносный файл, может обойти SmartScreen, который обычно предупреждает пользователя о загруженных из Интернета файлах, которые Windows в противном случае пометила бы MotW», - пояснил ведущий инженер-программист Rapid7 Адам Барнетт (Adam Barnett).

👋Miro заявила о прекращении работы аккаунтов из России и Республики Беларусь 12 сентября

В ответ на запрос пользовательницы сервиса в техподдержке ответили, что пользователи из РФ и РБ смогут пользоваться досками, если их аккаунт зарегистрирован в других странах.

🌟 В российских ИТ-компаниях взрывной спрос на программистов со знанием китайского языка

За семь месяцев число вакансий с таким критерием на рекрутинговых сайтах год к году выросло на 31–65%, преимущественно ищут программистов. По мнению экспертов, это связано с появлением ряда азиатских приложений на российском рынке, а также переходом на китайское оборудование для производства электроники. ИТ-компании также отмечают спрос на ИТ-специалистов и c корейским языком.

#pentest

🔶 Дамп LSASS

В этом коротком видео автор с помощью утилиты на Go приводит пример возможного обхода EDR и последующего дампа LSASS.

#application

📱 Android Jetpack Navigation

Некоторое время назад коллега автора статьи обнаружил интересную уязвимость в библиотеке Jetpack Navigation, которая позволяет открыть любой экран приложения, обойдя существующие ограничения для компонентов, которые не экспортируются и, следовательно, недоступны для других приложений. Проблема кроется в неявном механизме обработки глубоких ссылок, с которым может взаимодействовать любое приложение на устройстве.


Каждому Android-разработчику во время разработки своего приложения необходимо сталкиваться с созданием пользовательского интерфейса. Для этого существует несколько способов, и один из них - Jetpack Compose UI.

#tools #pentest

🖥 Keywa7

Инструмент, который обходит правила на уровне приложений и позволяет подключаться к интересующему IP, порту и приложению.

#pentest

📱 Сохраненные учетные данные веб-браузера

Организации, использующие Microsoft Edge или Google Chrome для хранения учетных данных своих пользователей, уязвимы из-за злоупотребления API CryptUnprotectData (T1555.003)

О том, как это можно использовать на проектах, в следующей статье.

Приятного прочтения 📔