👨‍💻 Adaptive DLL Hijacking.

• В операционной системе Windows приложения и службы при запуске ищут DLL, необходимые для их правильного функционирования. Если эти DLL не найдены или их загрузка реализована небезопасным способом (DLL вызываются без использования полного пути), то можно повысить привилегии, заставив приложение загрузить и выполнить вредоносный DLL-файл. В этой статье описаны различные методы, которые можно использовать для перехвата DLL:

- Known DLLs;
- Safe Search;
- What is Export Table;
- How Export Table Cloning Process Work;
- Dynamic IAT patching: Modifying the Import Address Table;
- How Dynamic IAT Patching works?
— Advantages of Dynamic IAT Patching;
— Example Code Snippet (Simplified);
- Siofra;
- DLLSpy;
- Robbers;
- Explanation of module search order;
- Stack walking: Manipulating the call stack;
— Manipulating the Call Stack;
- Run-time table reconstruction: Rebuilding tables during execution;
— Adaptive DLL Hijacking Techniques;
— Advanced Techniques;
- Security Research.

• В качестве дополнительного материала: Perfect DLL Hijacking. Разбор техники.

#ИБ #DLL #RE

📰 Security Reports.

• Репозиторий, который включает в себя ежегодные отчеты по кибербезопасности от крупнейших ИТ компаний. Этот репо постоянно поддерживают в актуальном состоянии, что поможет нам узнать много нового и полезного (варианты эксплуатации различных уязвимостей, векторы атак и т.д.).

➡ https://github.com/jacobdjwilson/awesome-annual-security-reports

• В качестве дополнения: обратите внимание на другие источники, за которыми наблюдаю сам и стараюсь всегда делиться с Вами новым материалом:

- Много интересного материала есть у ребят из Лаборатории Касперского, тут можно найти много новой и актуальной информации: https://securelist.ru
- Ребята из BiZone публикуют достаточно интересный материал, который можно найти тут: https://bi.zone/expertise/research/
- Материал от позитивов: https://www.ptsecurity.com/ru-ru/research/analytics/
- У cisoclub есть отдельный раздел с отчетами, но у них информация появляется с большой задержкой. Однако тут можно найти интересные отчеты: https://cisoclub.ru/category/reports/
- Подборка ТОП отчетов от hackerone: https://github.com/reddelexc/hackerone-reports
- Полезный репозиторий, где собраны разборы о фишинговых кампаниях APT группировок, содержащие пример писем и описание инструментов, с помощью которых осуществлялась рассылка: https://github.com/wddadk/Phishing-campaigns

#Отчет #ИБ

🔎 deepdarkCTI.

• Собранная информация об актуальных угрозах и хакерских группировках, позволяет нам изучить цели, тактику, методы и различные инструменты, которые применяются на этапе разведки и проникновения. Такую информацию можно собирать вручную или автоматически из разных источников, в том числе из новостей, форумов, ресурсов даркнета, мессенджеров и т.д. А найти такие источники поможет репозиторий, в котором перечислены различные ресурсы и аккуратно разбиты на категории:

- Discord;
- Telegram;
- Twitter;
- Forum;
- Exploits;
- Phishing;
- Maas;
- Markets;
- Methods;
- Search engines;
- Rat;
- CVE most exploited;
- Ransomware gang;
- Others.

➡️ https://github.com/fastfire/deepdarkCTI

#ИБ #OSINT

🔐 Безопасность в сети.

• На мой скромный взгляд есть два ключевых сервиса для проверки объекта на вшивость. Первый и самый главный, наша опора и надежа – Virus Total. Этот сервис проверит файл по сигнатурам более чем в 40 баз данных. Куда там одному жалкому антивирусу! На втором этапе из файла будет извлечена вся метадата, чтобы мы могли проанализировать все цифровые составляющие нашего объекта. После этого сервис проверит, как ведет себя пациент в условиях живой природы (это я говорю про виртуальные машины) и даст полный отчет о всех попытках закрепиться в системе или выйти на связь с внешним миром.

• Вторым номером является Intenzer. Он умеет не только защищать ресурсы, но и не хуже справляться с задачами по препарированию файлов. Объектами могут стать не только файлы и url-ссылки, но и запущенные процессы прямо на вашей машине, а также дампы памяти и многое другое. Intenzer осуществляет поиск по известным CVE-уязвимостям, а также высылает алерты в случае обнаружения непотребства. Еще в системе есть интересные новостные ленты с самыми хайповыми на данный момент угрозами.

• Обязательно пользуйтесь этими двумя сервисами и ваша жизнь станет гораздо безопаснее!

#ИБ

🍪 Кража cookie в 2024 году.

• В этом посте есть несколько полезных советов для защитников о том, как обнаружить неправомерное использование вызовов DPAPI, пытающихся захватить конфиденциальные данные браузера.

• Вот основные этапы происходящего:

➡Вредоносное ПО запускается на машине пользователя;
➡Вредоносная программа запускает браузер с включенной функцией удаленной отладки (в данном случае мы будем рассматривать браузеры на базе Chromium, но и другие имеют аналогичные возможности);
➡Вредоносное ПО подключается к порту отладки;
➡Вредоносная программа обращается к API, и злоумышленник скачивает все cookies или удаленно управляет браузером;
➡Злоумышленник использует cookie-файлы и получает доступ к ресурсам Примечание: Эта специфическая техника использования порта удаленной отладки была первоначально описана @mangopdf как "Преступления с печеньками" для Chrome.

➡️ Подробное описание всех этапов и их техническая составляющая описана в этой статье: https://embracethered.com/blog/posts/2024/cookie-theft-in-2024-and-what-todo/

#ИБ #ttp #cookies

• Вот такой вектор атак существует в дикой природе. Вы переходите на сайт, ставите галочку "Я не робот", а дальше происходит всё как на видео. По итогу жертва запускает вредоносный PowerShell скрипт и компрометирует свой ПК.

• Эта схема работает по нескольким причинам: человечкий фактор (люди уже давно приучены делать то, что просят их сделать для подтверждения капчи) и техническая возможность записывать текст в буфер обмена посетителя сайта.

➡️ Более подробно описано вот тут: https://github.com/JohnHammond/recaptcha-phish.

#ИБ #Фишинг

📱 Пост выходного дня: хакерский мультитул из старого смартфона.

• Возможность свободного выбора устройств, приложений и информации сейчас — движущая сила, которая мотивирует разработчиков создавать и совершенствовать свои продукты. Сегодня обсудим, какая альтернатива может быть у знаменитого Flipper Zero и реализуем альтернативу с помощью старого смартфона.

➡️ https://habr.com/ru/post/848524/

#ИБ

🐾 Цифровое наследие SIM-карт.

• Сегодня большое количество онлайн-сервисов предлагают своим пользователям вход по номеру мобильного телефона. Сценарий простой: указывается свой номер, на него приходит СМС с одноразовым кодом, после введения кода появляется доступ к своему аккаунту. Такой способ авторизации постепенно приходит на замену привычным логинам и паролям, потому что это быстро и удобно — телефон всегда под рукой и нет необходимости вспоминать учетные данные. Таким образом, к номеру телефона пользователя оказываются привязанными десятки разнообразных сервисов: мессенджеры, соцсети, маркетплейсы, службы доставки и другие.

• Давайте теперь представим, что по каким-то причинам пользователь перестал пользоваться номером телефона. Что произойдет? Спустя какое-то время бездействия (как правило, от 60 до 365 дней, в зависимости от используемого оператора и выбранного тарифного плана) конкретная SIM-карта будет заблокирована. Еще через какое-то время номер телефона вновь поступит в продажу, и его сможет приобрести другой пользователь. Что будет, если новый владелец попробует авторизоваться в онлайн-сервисе, где ранее с этим номером регистрировался прежний владелец?

• Потеря номера — это одновременно и утрата доступа к онлайн-сервисам и приложениям, к которым этот номер был привязан. А это, в свою очередь, дает почву для атак злоумышленников, как только ваш прежний номер телефона вновь поступит в продажу. В этой статье описаны полезные рекомендации для абонентов, разработчиков приложений и операторов мобильной связи, которые помогут повысить ваш уровень защищенности:

➡️ https://habr.com/ru/post/856538/

#ИБ

• Программа 90-дневного обучения по кибербезу, которая содержит ссылки на материалы, видео и онлайн-лабы.

➡Network+;
➡Security+;
➡Linux;
➡Python;
➡Traffic Analysis;
➡Git;
➡ELK;
➡AWS;
➡Azure;
➡Hacking.

➡️ https://github.com/farhanashrafdev/90DaysOfCyberSecurity

#ИБ