Forwarded from K0N70R4
👌9
#tools #pentest
🪆 TrickDump ( lsass dump)
TrickDump генерирует дамп процесса lsass без создания файла Minidump, вместо этого генерируя 3 JSON и 1 ZIP файл с дампами областей памяти. В три шага:
🟥 Получение информации об ОС с помощью RtlGetVersion.
🟥 Получение привилегии SeDebugPrivilege с помощью NtOpenProcessToken и NtAdjustPrivilegeToken, открытие хэндла с помощью NtGetNextProcess и NtQueryInformationProcess, а затем получение информации о модулях с помощью NtQueryInformationProcess и NtReadVirtualMemory.
🟥 Получение привилегии SeDebugPrivilege, открытие хэндла, а затем сбор информации и дампа областей памяти с помощью функций NtQueryVirtualMemory и NtReadVirtualMemory.
Узнать о других подходах и нюансах работы с процессом lsaas можно в следующей статье.
TrickDump генерирует дамп процесса lsass без создания файла Minidump, вместо этого генерируя 3 JSON и 1 ZIP файл с дампами областей памяти. В три шага:
Узнать о других подходах и нюансах работы с процессом lsaas можно в следующей статье.
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - ricardojoserf/TrickDump: Dump lsass using only NTAPI functions creating 3 JSON and 1 ZIP file... and generate the MiniDump…
Dump lsass using only NTAPI functions creating 3 JSON and 1 ZIP file... and generate the MiniDump file later! - ricardojoserf/TrickDump
Incident Response Plan Workflow.pdf
1.3 MB
#soc
⚡️ Реагирование на инциденты
Короткий мануал с этапами реагирования на инциденты с наглядным разбором практических кейсов по ним.
Приятного прочтения📔
Короткий мануал с этапами реагирования на инциденты с наглядным разбором практических кейсов по ним.
Приятного прочтения
Please open Telegram to view this post
VIEW IN TELEGRAM
#infosec
⬇️ Microsoft закрыла 9 zero-days в обновлении прошедшего вторника.
Шесть из 9 уязвимостей использовались в дикой природе.
Среди них - ошибка обхода функции безопасности Windows Mark of the Web (MotW) (CVE-2024-38213), которая аналогична обходу SmartScreen, опубликованному в феврале.
«Злоумышленник, убедивший пользователя открыть вредоносный файл, может обойти SmartScreen, который обычно предупреждает пользователя о загруженных из Интернета файлах, которые Windows в противном случае пометила бы MotW», - пояснил ведущий инженер-программист Rapid7 Адам Барнетт (Adam Barnett).
👋 Miro заявила о прекращении работы аккаунтов из России и Республики Беларусь 12 сентября
В ответ на запрос пользовательницы сервиса в техподдержке ответили, что пользователи из РФ и РБ смогут пользоваться досками, если их аккаунт зарегистрирован в других странах.
🌟 В российских ИТ-компаниях взрывной спрос на программистов со знанием китайского языка
За семь месяцев число вакансий с таким критерием на рекрутинговых сайтах год к году выросло на 31–65%, преимущественно ищут программистов. По мнению экспертов, это связано с появлением ряда азиатских приложений на российском рынке, а также переходом на китайское оборудование для производства электроники. ИТ-компании также отмечают спрос на ИТ-специалистов и c корейским языком.
Шесть из 9 уязвимостей использовались в дикой природе.
Среди них - ошибка обхода функции безопасности Windows Mark of the Web (MotW) (CVE-2024-38213), которая аналогична обходу SmartScreen, опубликованному в феврале.
«Злоумышленник, убедивший пользователя открыть вредоносный файл, может обойти SmartScreen, который обычно предупреждает пользователя о загруженных из Интернета файлах, которые Windows в противном случае пометила бы MotW», - пояснил ведущий инженер-программист Rapid7 Адам Барнетт (Adam Barnett).
В ответ на запрос пользовательницы сервиса в техподдержке ответили, что пользователи из РФ и РБ смогут пользоваться досками, если их аккаунт зарегистрирован в других странах.
За семь месяцев число вакансий с таким критерием на рекрутинговых сайтах год к году выросло на 31–65%, преимущественно ищут программистов. По мнению экспертов, это связано с появлением ряда азиатских приложений на российском рынке, а также переходом на китайское оборудование для производства электроники. ИТ-компании также отмечают спрос на ИТ-специалистов и c корейским языком.
Please open Telegram to view this post
VIEW IN TELEGRAM
👌8⚡2🆒2😁1🤔1
Forwarded from Machete Hack
🪲Wayback Machine как средство для багхантинга 🪲
Наверное, многие слышали про сервис Wayback Machine https://archive.org/ , который с помощью поисковых роботов делает снапшоты разнообразных сайтов. 🌐
Но чем же данный сервис может помочь при багхантинге ❓
❗️Во-первых, данный сервис может помочь собрать , так называемые, low-hanging fruits.
Был случай, когда был Wayback Machine показал эндпоинт типа https://example/api/profile/+7хххххххххх, сразу содержащий уязвимость типа IDOR.
❗️Во-вторых, он позволяет найти устаревшие параметры, которые разработчики убрать забыли ,и в явную на проде не используются, но они все также могут содержаться уязвимости, что расширяет скоуп.
❗️В-третьих, сервис помогает найти дополнительные эндпоинты API , которые через обычный фронт бывает найти не так просто.
❗️ В дополнение, Wayback Machine имеет собственный API, позволяющие писать автоматизирующие скрипты https://archive.org/help/wayback_api.php. Либо же можно использовать готовые решения на гитхабе, например https://github.com/tomnomnom/waybackurls/
Наверное, многие слышали про сервис Wayback Machine https://archive.org/ , который с помощью поисковых роботов делает снапшоты разнообразных сайтов. 🌐
Но чем же данный сервис может помочь при багхантинге ❓
❗️Во-первых, данный сервис может помочь собрать , так называемые, low-hanging fruits.
Был случай, когда был Wayback Machine показал эндпоинт типа https://example/api/profile/+7хххххххххх, сразу содержащий уязвимость типа IDOR.
❗️Во-вторых, он позволяет найти устаревшие параметры, которые разработчики убрать забыли ,и в явную на проде не используются, но они все также могут содержаться уязвимости, что расширяет скоуп.
❗️В-третьих, сервис помогает найти дополнительные эндпоинты API , которые через обычный фронт бывает найти не так просто.
❗️ В дополнение, Wayback Machine имеет собственный API, позволяющие писать автоматизирующие скрипты https://archive.org/help/wayback_api.php. Либо же можно использовать готовые решения на гитхабе, например https://github.com/tomnomnom/waybackurls/
GitHub
GitHub - tomnomnom/waybackurls: Fetch all the URLs that the Wayback Machine knows about for a domain
Fetch all the URLs that the Wayback Machine knows about for a domain - tomnomnom/waybackurls
👏9❤4🎉3🤯1
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Lets Go Around Defender with NativeDump
In this video, we will use native dump, the go variant, to bypass EDR and dump LSASS. We will do this with Defender enabled. We will also send the file off the box to another host for reading with Mimikatz. Check it out!
NativeDump:
https://github.com/r…
NativeDump:
https://github.com/r…
👏5⚡3✍3🆒3😴1
#application
📱 Android Jetpack Navigation
Некоторое время назад коллега автора статьи обнаружил интересную уязвимость в библиотеке Jetpack Navigation, которая позволяет открыть любой экран приложения, обойдя существующие ограничения для компонентов, которые не экспортируются и, следовательно, недоступны для других приложений. Проблема кроется в неявном механизме обработки глубоких ссылок, с которым может взаимодействовать любое приложение на устройстве.
Каждому Android-разработчику во время разработки своего приложения необходимо сталкиваться с созданием пользовательского интерфейса. Для этого существует несколько способов, и один из них - Jetpack Compose UI.
Некоторое время назад коллега автора статьи обнаружил интересную уязвимость в библиотеке Jetpack Navigation, которая позволяет открыть любой экран приложения, обойдя существующие ограничения для компонентов, которые не экспортируются и, следовательно, недоступны для других приложений. Проблема кроется в неявном механизме обработки глубоких ссылок, с которым может взаимодействовать любое приложение на устройстве.
Каждому Android-разработчику во время разработки своего приложения необходимо сталкиваться с созданием пользовательского интерфейса. Для этого существует несколько способов, и один из них - Jetpack Compose UI.
Please open Telegram to view this post
VIEW IN TELEGRAM
PT SWARM
Android Jetpack Navigation: Go Even Deeper
Previous research Some time ago, my colleague discovered an interesting vulnerability in the Jetpack Navigation library, which allows someone to open any screen of the application, bypassing existing restrictions for components that are not exported and therefore…
🤩6❤🔥3
#tools #pentest
🖥 Keywa7
Инструмент, который обходит правила на уровне приложений и позволяет подключаться к интересующему IP, порту и приложению.
Инструмент, который обходит правила на уровне приложений и позволяет подключаться к интересующему IP, порту и приложению.
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - keywa7/keywa7: The tool that bypasses the firewall's Application Based Rules and lets you connect to anywhere, ANY IP…
The tool that bypasses the firewall's Application Based Rules and lets you connect to anywhere, ANY IP, ANY PORT and ANY APPLICATION. - keywa7/keywa7
#pentest
📱 Сохраненные учетные данные веб-браузера
Организации, использующие Microsoft Edge или Google Chrome для хранения учетных данных своих пользователей, уязвимы из-за злоупотребления API CryptUnprotectData (T1555.003)
О том, как это можно использовать на проектах, в следующей статье.
Приятного прочтения📔
Организации, использующие Microsoft Edge или Google Chrome для хранения учетных данных своих пользователей, уязвимы из-за злоупотребления API CryptUnprotectData (T1555.003)
О том, как это можно использовать на проектах, в следующей статье.
Приятного прочтения
Please open Telegram to view this post
VIEW IN TELEGRAM
Penetration Testing Lab
Web Browser Stored Credentials
Microsoft introduced Data Protection Application Programming Interface (DPAPI) in Windows environments as a method to encrypt and decrypt sensitive data such as credentials using the CryptProtectDa…
🆒5⚡3❤3👌2
SOAR Playbook For Automated Incident Response With Example.pdf
167 KB
#soc
🔹 SOAR Playbook
SOAR (Система оркестрации, автоматизации и реагирования на инциденты безопасности) - это набор служб и инструментов, которые автоматизируют процессы предотвращения кибератак и противодействия им.
Автоматизация достигается за счет объединения интегрированных инструментов, определения способов выполнения задач и разработки плана реагирования на инциденты, отвечающего потребностям организации.
🔹 SOAR Playbook
SOAR (Система оркестрации, автоматизации и реагирования на инциденты безопасности) - это набор служб и инструментов, которые автоматизируют процессы предотвращения кибератак и противодействия им.
Автоматизация достигается за счет объединения интегрированных инструментов, определения способов выполнения задач и разработки плана реагирования на инциденты, отвечающего потребностям организации.
❤🔥5🆒3👌2
#tools #pentest
⚙️ Wi-Fi аудит
Несмотря на большое количество инструментов для аудита беспроводных сетей, предлагаем дополнительно Вашему вниманию Freeway, обеспечивающий и деаутентификацию, Channel Hopper, Ewil Twin атаки.
Также прикладываем статью с другими существующими инструментами по данной теме.
⚙️ Wi-Fi аудит
Несмотря на большое количество инструментов для аудита беспроводных сетей, предлагаем дополнительно Вашему вниманию Freeway, обеспечивающий и деаутентификацию, Channel Hopper, Ewil Twin атаки.
Также прикладываем статью с другими существующими инструментами по данной теме.
GitHub
GitHub - FLOCK4H/Freeway: WiFi Penetration Testing & Auditing Tool
WiFi Penetration Testing & Auditing Tool. Contribute to FLOCK4H/Freeway development by creating an account on GitHub.
❤5🆒3⚡2
#soc
📘 The Threat Hunter Playbook
Все документы по обнаружению в этом проекте соответствуют структуре MITRE ATT & CK, классифицирующей поведение атакующего после компрометации, и доступны в виде интерактивных записных книжек.
📘 The Threat Hunter Playbook
Все документы по обнаружению в этом проекте соответствуют структуре MITRE ATT & CK, классифицирующей поведение атакующего после компрометации, и доступны в виде интерактивных записных книжек.
GitHub
GitHub - OTRF/ThreatHunter-Playbook: A community-driven, open-source project to share detection logic, adversary tradecraft and…
A community-driven, open-source project to share detection logic, adversary tradecraft and resources to make detection development more efficient. - OTRF/ThreatHunter-Playbook
⚡5🆒3❤2
#infosec
☎️ Мошенники активизировались перед Днем знаний
Мошенники активно эксплуатируют подготовку детей к новому учебному году. Они заманивают в фальшивые интернет-магазины, привлекая всевозможными скидками и конкурсами.
📊 Объем российского рынка безопасной разработки ПО может достичь 60 млрд рублей в 2027 году
По усредненной оценке ЦСР, объем российского рынка безопасной разработки по итогам 2022 года составил около 8,25 млрд рублей, а в 2023 году достиг 9,84-12,32 млрд рублей. Аналитики прогнозируют стабильный рост сегмента в будущем: по самым осторожным оценкам, к 2027 году его объем приблизится к 17,75 млрд рублей, увеличившись почти в два раза, а по самым оптимистичным - 60 млрд рублей (рост в 7 раз относительно 2022 года).
☎️ Мошенники активизировались перед Днем знаний
Мошенники активно эксплуатируют подготовку детей к новому учебному году. Они заманивают в фальшивые интернет-магазины, привлекая всевозможными скидками и конкурсами.
📊 Объем российского рынка безопасной разработки ПО может достичь 60 млрд рублей в 2027 году
По усредненной оценке ЦСР, объем российского рынка безопасной разработки по итогам 2022 года составил около 8,25 млрд рублей, а в 2023 году достиг 9,84-12,32 млрд рублей. Аналитики прогнозируют стабильный рост сегмента в будущем: по самым осторожным оценкам, к 2027 году его объем приблизится к 17,75 млрд рублей, увеличившись почти в два раза, а по самым оптимистичным - 60 млрд рублей (рост в 7 раз относительно 2022 года).
👌5👨💻3🤔2
#pentest
Kraken - All-in-One Toolkit for BruteForce Attacks
Универсальный инструмент для реализации брутфорса разных служб и сервисов в одной коробке.
Kraken - All-in-One Toolkit for BruteForce Attacks
Универсальный инструмент для реализации брутфорса разных служб и сервисов в одной коробке.
GitHub
GitHub - jasonxtn/Kraken: All-in-One Toolkit for BruteForce Attacks
All-in-One Toolkit for BruteForce Attacks. Contribute to jasonxtn/Kraken development by creating an account on GitHub.
⚡5👌4🆒3👏2
#infosec
Tickler: пропуск иранских шпионов к секретам США и ОАЭ
Peach Sandstorm атакуют нефтегаз и спутники.
Согласно отчету корпорации, хакеры из Peach Sandstorm применяют этот многоступенчатый вредонос начиная с апреля 2024 года. Программа собирает различную сетевую информацию с зараженных машин и отправляет её на командные сервера злоумышленников.
Чтобы защитить свои системы от деятельности Peach Sandstorm, эксперты рекомендуют регулярно менять пароли учетных записей, подвергшихся атакам, отозвать сессионные cookie, а также, если у скомпрометированной учетной записи были привилегии системного уровня, провести дополнительный анализ.
Подробнее читайте в следующей статье.
Tickler: пропуск иранских шпионов к секретам США и ОАЭ
Peach Sandstorm атакуют нефтегаз и спутники.
Согласно отчету корпорации, хакеры из Peach Sandstorm применяют этот многоступенчатый вредонос начиная с апреля 2024 года. Программа собирает различную сетевую информацию с зараженных машин и отправляет её на командные сервера злоумышленников.
Чтобы защитить свои системы от деятельности Peach Sandstorm, эксперты рекомендуют регулярно менять пароли учетных записей, подвергшихся атакам, отозвать сессионные cookie, а также, если у скомпрометированной учетной записи были привилегии системного уровня, провести дополнительный анализ.
Подробнее читайте в следующей статье.
SecurityLab.ru
Tickler: пропуск иранских шпионов к секретам США и ОАЭ
Peach Sandstorm атакуют нефтегаз и спутники с новым бэкдором.
🆒6👌3⚡2
#realcase
CVE-2023-29360: госсекреты США на волоске от масштабной компрометации
Такие заголовки новостей появлялись не так давно, в начале марта нынешнего года.
Как раз с подробным исследовательским отчётом по данной уязвимости можно ознакомиться по следующей ссылке.
Сам же PoC можно найти на GitHub
CVE-2023-29360: госсекреты США на волоске от масштабной компрометации
Такие заголовки новостей появлялись не так давно, в начале марта нынешнего года.
Как раз с подробным исследовательским отчётом по данной уязвимости можно ознакомиться по следующей ссылке.
Сам же PoC можно найти на GitHub
seg-fault.gitbook.io
mskssrv.sys - CVE-2023–29360 | Researchs
🆒5😎5❤2
#infosec
Глобальное исследование «Лаборатории Касперского»: 41% компаний испытывают нехватку специалистов в области информационной безопасности
С точки зрения отраслей сильнее всего ощущается нехватка ИБ-специалистов в государственных секторах, где на момент опроса была не закрыта почти половина вакансий (46%). Заметный дефицит также отмечается в телекоммуникациях и медиа (39%), ретейле и здравоохранении (по 37%). Меньше всего незакрытых вакансий в странах, где проводилось исследование, в ИТ (31%) и финансах (27%).
«Нехватка ИБ-специалистов разной направленности ощущается не только в мире, но и в России. Это обусловлено в том числе продолжающейся цифровизацией в компаниях, растущими потребностями расширяющегося бизнеса, увеличением количества кибератак. Мы видим высокий спрос, в частности, на инженеров внедрения средств защиты информации и SOC-аналитиков, а также специалистов по безопасной разработке. К тому же полагаем, что в ближайшем будущем начнёт расти потребность в экспертах в области безопасности ИИ и нейросетей», — сказал Владислав Галимов, руководитель группы подбора персонала по направлению информационной безопасности в «Лаборатории Касперского».
Глобальное исследование «Лаборатории Касперского»: 41% компаний испытывают нехватку специалистов в области информационной безопасности
С точки зрения отраслей сильнее всего ощущается нехватка ИБ-специалистов в государственных секторах, где на момент опроса была не закрыта почти половина вакансий (46%). Заметный дефицит также отмечается в телекоммуникациях и медиа (39%), ретейле и здравоохранении (по 37%). Меньше всего незакрытых вакансий в странах, где проводилось исследование, в ИТ (31%) и финансах (27%).
«Нехватка ИБ-специалистов разной направленности ощущается не только в мире, но и в России. Это обусловлено в том числе продолжающейся цифровизацией в компаниях, растущими потребностями расширяющегося бизнеса, увеличением количества кибератак. Мы видим высокий спрос, в частности, на инженеров внедрения средств защиты информации и SOC-аналитиков, а также специалистов по безопасной разработке. К тому же полагаем, что в ближайшем будущем начнёт расти потребность в экспертах в области безопасности ИИ и нейросетей», — сказал Владислав Галимов, руководитель группы подбора персонала по направлению информационной безопасности в «Лаборатории Касперского».
CNews.ru
Глобальное исследование «Лаборатории Касперского»: 41% компаний испытывают нехватку специалистов в области информационной безопасности…
В «Лаборатории Касперского» провели глобальный опрос и выяснили, что 41% компаний в разных странах сталкиваются...
🆒5😎4👏2
#soc #realcase
Обход песочниц: состояние дел на 2024 год
Этот пост посвящен методам уклонения от песочницы.
Существует множество методов обхода песочницы, некоторые из них просты: запрашивают WMI.
Некоторые сложнее: анализируют таблицы SMBIOS, а большинство пытаются обнаружить артефакты песочницы.
Автор статьи решил проверить, по-прежнему ли эти методы эффективны для обнаружения песочниц, или с тех пор песочницы были обновлены для противодействия существующим методам.
Приятного прочтения 🎯
Обход песочниц: состояние дел на 2024 год
Этот пост посвящен методам уклонения от песочницы.
Существует множество методов обхода песочницы, некоторые из них просты: запрашивают WMI.
Некоторые сложнее: анализируют таблицы SMBIOS, а большинство пытаются обнаружить артефакты песочницы.
Автор статьи решил проверить, по-прежнему ли эти методы эффективны для обнаружения песочниц, или с тех пор песочницы были обновлены для противодействия существующим методам.
Приятного прочтения 🎯
👏6❤🔥3🆒3⚡2
#infosec
Госорганам рекомендовали закрыть доступ к сайтам для зарубежных ботов
ФСТЭК считает, что зарубежные поисковые боты могут собирать информацию об уязвимостях сайтов госорганов и использовать для обучения нейросетей.
Федеральная служба по техническому и экспортному контролю (ФСТЭК России, подведомственна Минобороны) рекомендовала госорганам закрыть доступ к своим сайтам для зарубежных поисковых ботов, пишет «Коммерсантъ» со ссылкой на письмо ФСТЭК от 20 августа, разосланное в федеральные органы исполнительной власти.
Служба считает, что зарубежные поисковые роботы «собирают информацию о существующих уязвимостях информационных ресурсов органов государственной власти РФ и о персональных данных, чтобы использовать в зарубежных моделях машинного обучения». В этой связи там рекомендовали ограничить доступ для ботов, в том числе GPTBot компании OpenAI, к файлам robots.txt веб-сайтов и серверов.
Госорганам рекомендовали закрыть доступ к сайтам для зарубежных ботов
ФСТЭК считает, что зарубежные поисковые боты могут собирать информацию об уязвимостях сайтов госорганов и использовать для обучения нейросетей.
Федеральная служба по техническому и экспортному контролю (ФСТЭК России, подведомственна Минобороны) рекомендовала госорганам закрыть доступ к своим сайтам для зарубежных поисковых ботов, пишет «Коммерсантъ» со ссылкой на письмо ФСТЭК от 20 августа, разосланное в федеральные органы исполнительной власти.
Служба считает, что зарубежные поисковые роботы «собирают информацию о существующих уязвимостях информационных ресурсов органов государственной власти РФ и о персональных данных, чтобы использовать в зарубежных моделях машинного обучения». В этой связи там рекомендовали ограничить доступ для ботов, в том числе GPTBot компании OpenAI, к файлам robots.txt веб-сайтов и серверов.
РБК
Госорганам рекомендовали закрыть доступ к сайтам для зарубежных ботов
ФСТЭК считает, что зарубежные поисковые боты могут собирать информацию об уязвимостях сайтов госорганов и использовать для обучения нейросетей
🤔8👏5😎2😴1
2024 State of The Phish Report .pdf
1.2 MB
#soc #pentest
Отчёт: 2024 State of the Phish
Представьте себе успешную кибератаку на Вашу организацию. На что это похоже?
Возможно, она включает в себя дьявольски умную социальную инженерию - убедительную замануху, которая застает получателя врасплох. А может быть, потребуется красивый эксплойт, чтобы обойти Вашу защиту. Но в действительности субъектам угроз не всегда приходится так уж стараться.
Зачастую самый простой способ взломать систему безопасности - это использовать человеческий фактор.
По данным исследования State of the Phish, проведенного в этом году, 71 % сотрудников признались, что совершали рискованные действия, такие как повторное использование или передача пароля, переход по ссылкам от неизвестных отправителей или предоставление учетных данных ненадежному источнику. При этом 96 % из них делали это, зная, что идут на риск.
Отчёт: 2024 State of the Phish
Представьте себе успешную кибератаку на Вашу организацию. На что это похоже?
Возможно, она включает в себя дьявольски умную социальную инженерию - убедительную замануху, которая застает получателя врасплох. А может быть, потребуется красивый эксплойт, чтобы обойти Вашу защиту. Но в действительности субъектам угроз не всегда приходится так уж стараться.
Зачастую самый простой способ взломать систему безопасности - это использовать человеческий фактор.
По данным исследования State of the Phish, проведенного в этом году, 71 % сотрудников признались, что совершали рискованные действия, такие как повторное использование или передача пароля, переход по ссылкам от неизвестных отправителей или предоставление учетных данных ненадежному источнику. При этом 96 % из них делали это, зная, что идут на риск.
🆒5❤4👌4🤝2