Call Stack Spoofing для запутывания EDR
#edr #evasion #статья #malware #eng
Статья посвящена технике Call Stack Spoofing для обхода обнаружения средствами EDR. В ней объясняется, как скрыть вредоносную активность, например, доступ к процессу lsass, под видом легитимных операций.
Ссылка на статью
Ссылка на POC
LH | Новости | Курсы | OSINT
#edr #evasion #статья #malware #eng
Статья посвящена технике Call Stack Spoofing для обхода обнаружения средствами EDR. В ней объясняется, как скрыть вредоносную активность, например, доступ к процессу lsass, под видом легитимных операций.
Ссылка на статью
Ссылка на POC
LH | Новости | Курсы | OSINT
Протокольное туннелирование
#APT #взлом #RedTeam #malware #tunnel
Злоумышленники могут использовать туннелирование, чтобы избежать обнаружения или обеспечить доступ к системам, недоступным напрямую. Туннелирование включает в себя инкапсуляцию одного протокола в другой. Это поведение может скрывать вредоносный трафик, сливаясь с существующим трафиком и предоставлять внешний слой шифрования (аналогично VPN). Туннелирование также может обеспечить маршрутизацию сетевых пакетов, которые в противном случае не достигли бы своей предполагаемой цели, например, трафика SMB, RDP или другого, который был бы отфильтрован сетевыми устройствами.
Примеры из жизни:
• UAT-5647 (RomCom) с конца 2023 года проводит атаки на госструктуры Украины и польские организации. Злоумышленники обходят обнаружение через туннелирование трафика и использование инструментов вроде PuTTY для связи с внешними серверами.
• Группировка Scattered Spider использует SSH туннелирование, для передвижения в атакуемой сети.
• TEMP.Velesused применяли зашифрованные SSH-туннели на основе PLINK для передачи инструментов и обеспечения RDP-соединений в инфраструктуру.
• APT Chimera инкапсулировали трафик Cobalt Strike C2 в DNS и HTTPS пакеты.
• APT Ember Bear использовала ProxyChains для туннелирования протоколов во внутренние сети.
LH | Новости | Курсы | OSINT
#APT #взлом #RedTeam #malware #tunnel
Злоумышленники могут использовать туннелирование, чтобы избежать обнаружения или обеспечить доступ к системам, недоступным напрямую. Туннелирование включает в себя инкапсуляцию одного протокола в другой. Это поведение может скрывать вредоносный трафик, сливаясь с существующим трафиком и предоставлять внешний слой шифрования (аналогично VPN). Туннелирование также может обеспечить маршрутизацию сетевых пакетов, которые в противном случае не достигли бы своей предполагаемой цели, например, трафика SMB, RDP или другого, который был бы отфильтрован сетевыми устройствами.
Примеры из жизни:
• UAT-5647 (RomCom) с конца 2023 года проводит атаки на госструктуры Украины и польские организации. Злоумышленники обходят обнаружение через туннелирование трафика и использование инструментов вроде PuTTY для связи с внешними серверами.
• Группировка Scattered Spider использует SSH туннелирование, для передвижения в атакуемой сети.
• TEMP.Velesused применяли зашифрованные SSH-туннели на основе PLINK для передачи инструментов и обеспечения RDP-соединений в инфраструктуру.
• APT Chimera инкапсулировали трафик Cobalt Strike C2 в DNS и HTTPS пакеты.
• APT Ember Bear использовала ProxyChains для туннелирования протоколов во внутренние сети.
LH | Новости | Курсы | OSINT
Spyndicapped
#RedTeam #spy #malware
COM ViewLogger — новый метод кибершпионажа с использованием кейлоггера. Следит за WhatsApp, Telegram, Slack и Keepass.
Ссылка на блог
Ссылка на инструмент
LH | Новости | Курсы | OSINT
#RedTeam #spy #malware
COM ViewLogger — новый метод кибершпионажа с использованием кейлоггера. Следит за WhatsApp, Telegram, Slack и Keepass.
Ссылка на блог
Ссылка на инструмент
LH | Новости | Курсы | OSINT
Hunt-Sleeping-Beacons
#BlueTeam #RedTram #IOC #C2 #malware
Сканер, который пытается идентифицировать индикаторы компрометации (IOC), указывающие на наличие C2 агентов. Он пытается определить множественные реализации sleepmasks с использованием APC или таймеров. Последнее достигается как путём анализа стека вызовов, так и перечислением таймеров и их обратных вызовов.
👩💻 Ссылка на GitHub
LH🥷 | Новости 💬 | OSINT 🥷
#BlueTeam #RedTram #IOC #C2 #malware
Сканер, который пытается идентифицировать индикаторы компрометации (IOC), указывающие на наличие C2 агентов. Он пытается определить множественные реализации sleepmasks с использованием APC или таймеров. Последнее достигается как путём анализа стека вызовов, так и перечислением таймеров и их обратных вызовов.
LH
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Gocheck
DefenderCheck
#evasion #av #RedTeam #payload #malware
Альтернатива DefenderCheck, которая тоже позволяет узнать, какие именно сигнатуры в вашей нагрузке не нравятся антивирусу.
👩💻 Ссылка на инструмент
LH | News | OSINT | AI
DefenderCheck
#evasion #av #RedTeam #payload #malware
Альтернатива DefenderCheck, которая тоже позволяет узнать, какие именно сигнатуры в вашей нагрузке не нравятся антивирусу.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Spy-extension
#spy #полезное #malware
Расширение Chrome, которое будет воровать буквально всё, что только сможет
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#spy #полезное #malware
Расширение Chrome, которое будет воровать буквально всё, что только сможет
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
MalwareSourceCode
#Malware #полезное
Коллекция исходного кода вредоносных программ для различных платформ на разных языках программирования.
Данный репозиторий создан для исследовательских целей, анализа угроз и изучения методов, используемых в разработке вредоносных программ.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#Malware #полезное
Коллекция исходного кода вредоносных программ для различных платформ на разных языках программирования.
Данный репозиторий создан для исследовательских целей, анализа угроз и изучения методов, используемых в разработке вредоносных программ.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM