#pentest #redteam #wifi

Методы bypass-а аутентификации в современных Wi-Fi сетях с протоколами WPA2/3🗣

Как уязвимости в программном обеспечении Wi-Fi подвергают пользователей риску, несмотря на недавний выпуск новых стандартов безопасности, таких как WPA3

Читать полностью…

❤️ Полный разнос
#windows

FullBypass - инструмент, который обходит AMSI (AntiMalware Scan Interface) и PowerShell CLM (Constrained Language Mode) и предоставляет вам полноязычную обратную оболочку PowerShell.

🎚Т.к. проект на C#, то придётся притащить на атакуемую систему FullBypass.csproj. Далее нужно будет запустить с помощью msbuild.exe

C:\windows\Microsoft.NET\Framework64\v4.0.30319\msbuild.exe .\FullBypass.csproj

🛡 Как это работает:
1. Сначала код обходит AMSI, используя метод memory hijacking, и переписывает некоторые инструкции в функции AmsiScanBuffer. С помощью инструкции xor аргумент size будет равен 0, и AMSI не сможет обнаружить будущие скрипты и команды в powershell.
2. Вторым проходом код перепроверяет, успешно ли он перезаписал функцию AmsiScanBuffer.
3. Скрипт вернет 0, то бишь True и спросит вас IP и Port куда стучаться revshell'у
4. Ловим FullLanguage сессию у себя на машине.

🏃 Краткая справка чем отличается FullLanguage от ConstrainedLanguage:
FullLanguage session:
- Это сессия PowerShell, в которой разрешено использование всех функций и возможностей языка PowerShell.
- Пользователи и скрипты могут создавать, изменять и удалять объекты .NET, выполнять сложные скрипты, определять новые функции, классы и многое другое.
- Этот режим предоставляет полный доступ к PowerShell и его особенностям.

ConstrainedLanguage session:
- Это сессия PowerShell, ограниченная в использовании некоторых функций языка и возможностей для повышения безопасности системы.
- В ограниченном языковом режиме доступ к ряду средств программирования, таких как добавление новых типов, доступ к частным методам и т.д., становится ограниченным.
- ConstrainedLanguage предназначен для сокращения поверхности атаки и предотвращения выполнения потенциально нежелательных или вредоносных скриптов.
- Этот режим часто используется в сценариях, когда необходимо обеспечить высокий уровень безопасности, к примеру, на рабочих станциях, находящихся под контролем через AppLocker или Device Guard.


🌚 @poxek

Читать полностью…

#redteam #pentest #tools

Active Directory Enumeration: RPCCleint🟡

Важный этап пентеста внутренней инфраструктуры - разведка. В данной статье будет рассмотрен инструмент для enum-а под названием RPCCleint и его применение для получения различной информации о домене

Приятного прочтения📌

RPCClient Enumeraton

Читать полностью…

Навигация по каналу AP Security🔍

#apt - посты, связанные с APT-группировками

#soc - утилиты и полезные рекомендации для SOC

#redteam - статьи и материалы для RedTeam

#pentest - все, что связано с пентестом

#tools - полезные утилиты для Blue и Read Team, а также скрипты для автоматизации

#osint - все, что связано с OSINT-ом

#byapsecurity - уникальный контент, сделанный командой AP Security

#cve , #exploit - новые эксплойты и актуальные CVE

#web - BugBounty и Web-эксплуатация

#beginners - для самых маленьких

#windows , #linux - уязвимости и техники для ОС Windows и Linux

#fuzzing , #reverse - фаззинг, реверс, PWN

#activedirectory - утилиты и техники, касающиеся взлома AD

#cheatsheet - полезные подсказки и шпаргалки

#malware , #hackers - ВПО и деятельность хакерских группировок

#forensics - цифровая криминалистика

#realcase - реальные кейсы из практики специалистов

Читать полностью…

Продолжая тему pivoting-а, вышло свежее интервью Сергея, резюмирующее доклад со Standoff Talks.

Для тех, кто уже познакомился с выступлением, обозначены рекомендуемые утилиты и расписана идея стенда, а тем, кто не успел послушать доклад, рекомендуем узнать практические советы по данной теме🌐

Читать полностью…

#pentest #web #microsoft

Эксплуатация десериализации в ASP.NET с помощью ViewState⌨️

Ранее выкладывали пост про данную атаку при помощи blacklist3r и YSoSerial.Net

Данная статья расскажет что такое ASP.NET, про его функции, как это использовать для атак, а также даст дополнительные советы для пентестеров

ASP.NET

Читать полностью…

#web #pentest #cheatsheet #beginners

Большой RoadMap по Web Pentest💥

Эта дорожная карта по тестированию на проникновению веб сервисов содержит подробное руководство для каждого, кто начинает свое знакомство с данной областью: от введения и общей базы до продвинутого уровня

RoadMap

Читать полностью…

#pentest #tools #web

Эксплуатация ViewState Deserealization с помощью Blacklist3r и YSoSerial.NET🖥

ViewState служит стандартным механизмом в ASP.NET для сохранения данных страницы и элементов управления на веб-страницах

В статье будет рассмотрено несколько кейсов, в которых будут применены различные техники эксплуатации в зависимости от условий

ViewState Deserealization

Читать полностью…

#pentest #redteam #osint

Сборник Google Dorks🖥

Данный ресурс содержит огромное число Google Dorks, используемых для разведки. Сайт содержит архивы за каждый год, в который появилась та или иная дорка

Google Dorks

Читать полностью…

#pentest #redteam #osint

Знакомимся с Google Dorks🔗

Google Dorks - операторы, используемые для поиска в Google. Этот мощный инструмент позволяет находить ошибочные конфигурации, торчащие пароли и даже уязвимости в сервисах. При проведении первичного рекона незаменимая вещь

Google Dorks

Читать полностью…

#SOC

Agent Tesla, сложная вредоносная программа, проникающая в системы через фишинговые письма🏚

➡️ В своей начинке вредонос оснащён различными дропперами, а его основная цель - извлечь конфиденциальную информацию, в частности пароли от веб-браузеров, электронной почты, VPN и FTP-клиентов. Похищенные данные отправляются на электронную почту злоумышленника. В этом отчете Вы узнаете о тактиках, техниках и методах работы Agent Tesla.

Читать полностью…

#itnews #infosec #hackers

Китайские хакеры действовали незамеченными в критической инфраструктуре США в течение 5 лет⌨️

Правительство США в среду заявило, что спонсируемая китайским государством хакерская группа, известная как Volt Typhoon, была внедрена в некоторые сети критической инфраструктуры в стране на протяжении как минимум пяти лет

Целями хакеров являются сектора связи, энергетики, транспорта, водоснабжения и канализации в США и на острове Гуам

Выбор целей и модель поведения Volt Typhoon не соответствуют традиционным операциям кибершпионажа или сбора разведданных, и американские ведомства с высокой степенью уверенности полагают, что участники Volt Typhoon заранее позиционируют себя в ИТ-сетях, чтобы обеспечить возможность латерального перемещения к ОТ-активам для нарушения функционирования

заявили в правительстве США

Совместный совет, выпущенный Агентством кибербезопасности и защиты инфраструктуры (CISA), Агентством национальной безопасности (NSA) и Федеральным бюро расследований (FBI), был также поддержан другими странами, входящими в разведывательный альянс "Пять глаз" (FVEY), в который входят Австралия, Канада, Новая Зеландия, Великобритания

Volt Typhoon, которую также называют Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda или Voltzite, - скрытная базирующаяся в Китае группа кибершпионажа, которая, как считается, действует с июня 2021 года

Читать полностью…

#redteam #pentest #activedirectory

Способы эксплуатации PetitPotam для полного захвата домена💀

В статье будут освещены способы компрометации домена с помощью уязвимости PetitPotam. Подробно будут описаны атаки с понижением аутентификации до NTLMv1, выпуском сертификата и механизмами делегирования

Хабр

Читать полностью…

#pentest #redteam #activedirectory

Получение привилегий админа с помощью уязвимости PetitPotam👩‍💻

PetitPotam - relay-атака направленная на перехват аутентификационных данных контроллера домена

В статье вы подробнее познакомитесь с данной уязвимостью, узнаете условия для ее успешной эксплуатации и на конкретном примере разберете работу атаки

Хабр

Читать полностью…

#itnews #infosec #malware

Шпионская программа Pegasus нацелилась на айфоны журналистов и активистов в Иордании🍏

Айфоны, принадлежащие почти трем десяткам журналистов, активистов, адвокатов по правам человека и представителей гражданского общества в Иордании, подверглись атаке шпионского ПО Pegasus от NSO Group, согласно совместным выводам Access Now и Citizen Lab

Девять из 35 человек были публично подтверждены в качестве жертв, из них у шести устройства были заражены наемным инструментом для слежки. По оценкам, заражения произошли как минимум с 2019 года по сентябрь 2023 года

В некоторых случаях злоумышленники выдавали себя за журналистов, добиваясь от жертв интервью или цитат, вставляя вредоносные ссылки на шпионское ПО Pegasus среди сообщений и между ними

говорится в сообщении Access Now

NSO Group в своем отчете о прозрачности и ответственности за 2023 год отметила "значительное снижение" числа сообщений о ненадлежащем использовании продукции в 2022 и 2023 годах, объяснив это снижением эффективности процесса должной осмотрительности и проверки

Читать полностью…

#cve #tools #exploit

CVE-2024-25600: WordPress RCE👩‍💻

Этот инструмент предназначен для эксплуатации уязвимости CVE-2024-25600 , обнаруженной в плагине Bricks Builder для WordPress. Уязвимость позволяет выполнять удаленный код без аутентификации на затронутых веб-сайтах . Инструмент автоматизирует процесс эксплуатации, получая несы и отправляя специально созданные запросы для выполнения произвольных команд

GitHub

Читать полностью…

#itnews #infosec #malware

Андроид-троян Anatsa обходит защиту Google Play и охватывает новые страны📱

Банковский троян для Android, известный как Anatsa, расширил свою сферу деятельности, включив Словакию, Словению и Чехию, в рамках новой кампании, замеченной в ноябре 2023 года

Некоторые из дропперов в этой кампании успешно использовали сервис доступности, несмотря на усиленные механизмы обнаружения и защиты Google Play

говорится в отчете ThreatFabric

Anatsa, также известная под именами TeaBot и Toddler, распространяется под видом безобидных на первый взгляд приложений в Google Play Store. Эти приложения, называемые дропперами, облегчают установку вредоносной программы, обходя меры безопасности, введенные Google, которые направлены на предоставление конфиденциальных разрешений

Читать полностью…

#pentest #redteam #realcase

Создаем беспроводной сетевой мост для доступа к корпоративной сети с помощью Raspberry Pi🖥

Данная статья в подробностях пояснит, как создать собственный Wi-Fi бэкдор на основе Raspberry Pi для внешнего проникновения ( а возможно кто-то вспомнит и Mr. Robot 👀 )

Приятного прочтения📌

Хабр

Читать полностью…

#itnews #infosec #apt

Akira Ransomware эксплуатирует уязвимость Cisco ASA/FTD🔥

Агентство по кибербезопасности и защите инфраструктуры США (CISA) в четверг добавило исправленный дефект безопасности, затрагивающий программное обеспечение Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD), в каталог известных уязвимостей (KEV) после сообщений о том, что он, вероятно, используется в атаках вымогательского ПО Akira

Речь идет об уязвимости CVE-2020-3259 (CVSS score: 7.5) - проблеме раскрытия информации высокой степени серьезности, которая может позволить злоумышленнику получить содержимое памяти на пораженном устройстве. Она была исправлена компанией Cisco в рамках обновлений, выпущенных в мае 2020 года

В конце прошлого месяца компания Truesec, специализирующаяся на кибербезопасности, заявила, что обнаружила свидетельства, указывающие на то, что за последний год уязвимость Akira была использована разработчиками вымогательского ПО для компрометации нескольких уязвимых устройств Cisco Anyconnect SSL VPN

Читать полностью…

#poc #cve #exploit

Microsoft Outlook RCE: PoC🤖

Уязвимость, обнаруженная компанией Check Point, получила обозначение CVE-2024-21413. Она активируется при открытии электронных писем с вредоносными ссылками в уязвимых версиях Outlook. Уязвимость затрагивает несколько продуктов Office, включая Microsoft Office LTSC 2021, Microsoft 365 для предприятий, а также Microsoft Outlook 2016 и Microsoft Office 2019

Proof Of Concept

Читать полностью…

#pentest #windows #redteam

WinAPI для пентестера🖥

WinAPI - общее наименование набора базовых функций интерфейсов программирования приложений ОС семейства Windows. Крайне необходима для пентестера при написании собственных нагрузок, скриптов и малварей

WinAPI

Читать полностью…

#itnews #infosec #hackers

Хакеры теперь все чаще используют искусственный интеллект для атак👩‍💻

Государственные хакеры, связанные с Северной Кореей, Ираном и Китаем, экспериментируют с искусственным интеллектом и большими языковыми моделями, чтобы дополнить свои операции по кибератакам

Такие выводы содержатся в отчете, опубликованном компанией Microsoft совместно с OpenAI. Обе компании заявили, что пресекли попытки пяти субъектов, которые использовали их сервисы ИИ для осуществления вредоносной деятельности, прекратив работу их активов и учетных записей

Поддержка языка является естественной особенностью LLM и привлекательна для угроз, которые постоянно фокусируются на социальной инженерии и других методах, основанных на ложных, обманчивых сообщениях, адаптированных к работе, профессиональным сетям и другим связям их целей

говорится в отчете Microsoft

Эти субъекты обычно пытались использовать сервисы OpenAI для запроса информации из открытых источников, перевода, поиска ошибок в коде и выполнения базовых задач кодирования

заявили в компании, занимающейся разработкой ИИ

Читать полностью…

#itnews #infosec #malware

Ботнет Glupteba избегает обнаружения с помощью недокументированного UEFI Bootkit🤖

В ботнете Glupteba была обнаружена ранее недокументированная функция буткита Unified Extensible Firmware Interface(UEFI), что добавляет вредоносному ПО еще один уровень сложности и скрытности

Этот буткит может вмешиваться и контролировать процесс загрузки [операционной системы], позволяя Glupteba скрывать себя и создавать незаметное постоянство, которое крайне сложно обнаружить и удалить

заявили исследователи Palo Alto Networks Unit 42 Лиор Рочбергер и Дэн Яшник в своем анализе

Glupteba - это полнофункциональный похититель информации и бэкдор, способный облегчить незаконный майнинг криптовалюты и развернуть прокси-компоненты на зараженных узлах. Известно, что он также использует блокчейн биткойна в качестве резервной системы управления и контроля (C2), что делает его устойчивым к попыткам уничтожения
Некоторые из других функций позволяют ему доставлять дополнительную полезную нагрузку, выманивать учетные данные и данные кредитных карт, осуществлять рекламное мошенничество и даже эксплуатировать маршрутизаторы для получения учетных данных и удаленного административного доступа

Читать полностью…

#itnews #infosec #hackers

Rhysida Ransomware взломана, выпущен бесплатный инструмент для расшифровки👤

Исследователи в области кибербезопасности обнаружили "уязвимость в реализации", которая позволила восстановить ключи шифрования и расшифровать данные, заблокированные программой Rhysida ransomware

Результаты исследования были опубликованы на прошлой неделе группой исследователей из Университета Кукмин и Корейского агентства Интернета и безопасности (KISA)

Проведя всесторонний анализ Rhysida Ransomware, мы обнаружили уязвимость в реализации, которая позволила нам регенерировать ключ шифрования, используемый вредоносным ПО

заявили исследователи

Эта разработка стала первой успешной расшифровкой штамма ransomware, который впервые появился в мае 2023 года. Инструмент для восстановления распространяется через KISA.
Исследование также является последним, в котором удалось добиться расшифровки данных за счет использования уязвимостей в реализации ransomware, после Magniber v2, Ragnar Locker, Avaddon и Hive

Читать полностью…

#itnews #infosec #malware

Новый скрытый бэкдор "RustDoor", нацеленный на устройства Apple macOS🔑

Пользователи macOS от Apple стали жертвами нового бэкдора на основе Rust, который работает под радаром с ноября 2023 года.

Бэкдор, получивший в Bitdefender кодовое название RustDoor, был обнаружен под видом обновления для Microsoft Visual Studio и нацелен на архитектуры Intel и Arm

Точный путь первоначального доступа, используемый для распространения имплантата, в настоящее время неизвестен, хотя, по слухам, он распространяется в виде двоичных файлов FAT, содержащих файлы Mach-O

На сегодняшний день обнаружено несколько вариантов вредоносной программы с незначительными модификациями, что, вероятно, свидетельствует об активной разработке. Самый ранний образец RustDoor датируется 2 ноября 2023 года

Он содержит широкий набор команд, позволяющих собирать и загружать файлы, а также собирать информацию о скомпрометированной конечной точке

Читать полностью…

#pentest

Использование легитимных программ и функций для выполнения вредоносных действий в целевой системе ✅

LotL-атака - Living off the Land

Это безфайловая обратная оболочка living off the land, написанная на JScript и Powershell script. Она запускается каждый раз при загрузке Windows и полагается исключительно на реестр Windows и переменные среды c целью выполнения в системе без создания каких-либо файлов.
Программа предназначена только для образовательных целей!

Читать полностью…

#pentest #redteam

Идеальный DLL Hijacking🖥

Команда AP Security подготовила для Вас очередную статью, в которой подробно будет рассмотрено исследование такой техники, как DLL Hijacking. Статья подробно расскажет, как работает данный механизм и как его эксплуатировать

Хабр

Читать полностью…

#itnews #infosec #linux

Критическая уязвимость загрузчика в Shim затрагивает почти все дистрибутивы Linux🐥

Разработчики shim выпустили версию 15.8, в которой устранены шесть недостатков безопасности, включая критическую ошибку, которая при определенных обстоятельствах может привести к удаленному выполнению кода.

Отслеживаемая, как CVE-2023-40547 (CVSS score: 9.8), уязвимость может быть использована для обхода Secure Boot. Обнаружение и сообщение об ошибке принадлежит Биллу Демиркапи из Microsoft Security Response Center (MSRC)

Поддержка http boot в shim (httpboot.c) доверяет значениям, контролируемым злоумышленником, при разборе HTTP-ответа, что приводит к полностью контролируемому примитиву записи за пределы границ

отметил Алан Куперсмит из Oracle в сообщении, опубликованном в списке рассылки Open Source Security oss-security

Читать полностью…

#pentest

То, без чего не проходит ни одно собеседование👋

О преимуществах использования Active Directory в организациях с точки зрения администрирования не может быть и речи.
И, безусловно, в разговорах о тестировании внутренней инфраструктуры каждый специалист рассказывает о том, каким образом была достигнута основная цель: захват домена.

Для успешной подготовки к стажировке рекомендуем ознакомиться со следующим циклом статей на данную тематику, где простым языком и в красочных схемам дана база, необходимая для углубления собственных компетенций.

В этом цикле статей буду пытаться разобрать, как в теории устроен протокол Kerberos и какие атаки с его использованием можно осуществить на практике в Active Directory. Также будут приведены некоторые рекомендации по противодействию рассматриваемым атакам.

Приятного прочтения📌

Читать полностью…

#pentest #redteam #activedirectory

Разбираемся с Kerberoasting💻

Kerberoasting — это метод, который позволяет злоумышленнику украсть билет KRB_TGS, зашифрованный с помощью RC4, чтобы перебрать хеш приложения для получения пароля в открытом виде

В статье будут подробны рассмотрены механизмы аутентификации в Kerberos, а также способы проведения данной атаки

Хабр

Читать полностью…