AP Security

13 мая 2024 19:57

#windows #redteam

💻AMSI Bypass

Репозиторий содержит способы патчинга AMSI для дальнейшего выполнения скриптов в памяти ОС с помощью Powershell

🖥GitHub

AP Security

10 мая 2024 15:05

#pentest #tools

📶Havoc C2 Framework

Havoc - новичок среди C2-серверов, и появился относительно недавно в поле зрения пентестеров. Имеет широкий функционал генерации агентов, возможности туннелирования, постэксплуатации и встроенные техника обхода антивирусных средств

В статье будут рассмотрены базовая установка и настройка описанного выше C2.

https://redfoxsec.com/blog/havoc-c2-framework/

AP Security

06 мая 2024 05:56

Делаем с ребятами из ИБ сообщества благотворительную активность.

Собираем средства на компенсацию билетов на PHDays перспективным студентам и школьникам. Бюджет формируется за счёт неравнодушных донатеров (напишите в личку, если хотите помочь).

Очень рад, что принимаю в этом участие в качестве организатора. Более подробная инфа по ссылке:

/channel/yrrp_official/6

Репост и участие приветствуется!

AP Security

28 апреля 2024 19:05

#itnews #infosec

📱Количество атак на Android в России увеличилось в 5 раз

Рост вредоносной активности, по мнению «Лаборатории Касперского», связан с расширением использования сторонних источников софта: многие ходовые приложения исчезли из Google Play. Наиболее часто на смартфонах детектировались модульный загрузчик Dwphon и банковский троян Mamont.

👮‍♀Россиян предупреждают о действиях мошенников перед майскими праздниками

По словам Виталия Фомина, руководителя группы аналитиков по информационной безопасности Лиги Цифровой Экономики, наиболее распространённой разновидностью мошенничества в предстоящие майские праздники станут фишинговые сайты, на которых злоумышленники будут предлагать доверчивым пользователям приобрести авиа- и железнодорожные билеты, а также арендовать жильё во время длительных выходных.


💻В России на 30% вырос спрос на ИБ-специалистов, умеющих работать с искусственным интеллектом

Такой результат показало исследование МТС RED совместно с hh.ru.
Самыми быстрорастущими ежегодно оказываются разные ИИ-навыки в зависимости от трендов. Так в 2021 году наибольший рост показали вакансии с упоминанием терминов "Искусственный интеллект" или AI. В 2022 быстрее всего росла востребованность специалистов с навыками по запросам к ИИ-системам, таких как промпт-инженеры, что связано с популярностью и развитием технологий на базе генеративного интеллекта. А в 2023 году резко возросла востребованность сотрудников, умеющих работать непосредственно с GPT-моделями и конкретно с сервисом ChatGPT, — количество вакансий с этим ИИ-навыком увеличилось в 6,6 раза по сравнению с 2022 годом. Чаще всего от специалистов по информационной безопасности требуют знания методов машинного обучения (ML) — примерно в 65% случаев на протяжении всего исследуемого периода с 2020 по 2023 год.

AP Security

24 апреля 2024 06:37

#activedirectory #windows

🖥Глубокое погружение в ACL

ACL (Access Control List) в Active Directory — это таблицы или простые списки, которые определяют, кто имеет доступ к объекту, а также тип доступа, который он имеет

В статье будет представлена полная и развернутая информация про наследование правил доступа, получение атрибутов для объекта в Active Directory и основные виды ACE

Хабр 🖥

AP Security

20 апреля 2024 09:27

#itnews #infosec

🔒Kaspersky подтвердила зрелый уровень кибербезопасности SystemeLogic Х

Специалисты Kaspersky ICS CERT проверили уровень кибербезопасности электронного блока управления SystemeLogic Х, разработанного российской компанией Systeme Electric

По итогам тестирований эксперты пришли к выводу, что SystemeLogic Х соответствует целевому уровню зрелости кибербезопасности. Другими словами, электронный блок от Systeme Electric способен обеспечить защищённость распределительной сети на протяжении всего срока службы оборудования

👺Мошенники пугают россиян видеозвонками, чтобы получить ключи от Госуслуг

Мошенническая схема получения займов на чужое имя через взлом аккаунтов «Госуслуг» усовершенствована. Чтобы выманить ключи доступа к личному кабинету гражданина, злоумышленники звонят в мессенджер по видеосвязи и представляются сотрудником полиции

Новую уловку обнаружили специалисты Сбербанка. По всей видимости, аудиовызовы стали терять свою эффективность, и мошенники решили, что видеосвязь сделает имитацию более убедительной. Поддержать иллюзию помогает демонстрация служебного удостоверения — разумеется, поддельного. Раскрыть пароль к «Госуслугам» и код подтверждения из СМС собеседника убеждают различными методами, в основном запугиванием

💻Волокна Windows позволяют выполнить вредоносный шеллкод незаметно для EDR

На проходящей в Сингапуре конференции Black Hat Asia были представлены два новых способа использования волокон Windows (fibers) для выполнения вредоносного кода. Один из них, Poison Fiber, допускает проведение атаки удаленно. Автором обоих PoC является независимый ИБ-исследователь Даниел Джэри (Daniel Jary). По его словам, атаки Poison Fiber и Phantom Thread представляют собой улучшенные варианты opensource-разработок: они позволяют надежнее скрыть сторонний шеллкод или другую полезную нагрузку в системе, находящейся под защитой EDR

AP Security

14 апреля 2024 23:26

С какими уязвимостями беспроводных сетей Вы сталкиваетесь на практике? Опытом или полезным материалом можно поделиться в комментариях к данному посту✔️

AP Security

13 апреля 2024 08:43

#itnews #infosec

📞МТС тестирует ИИ-механизмы, вычисляющие мошенников во время звонка

МТС, один из крупнейших операторов страны, планирует запустить услугу определения мошеннических звонков с помощью искусственного интеллекта. Задача — предупреждать абонента о возможном мошенничестве прямо во время звонка

Эту возможность оператор добавит к уже работающей услуге «Защитник». На сегодняшний день последняя неплохо справляется с фильтрацией подозрительных и нежелательных звонков

🖥F.A.C.C.T. обнаружили новую преступную группу вымогателей Muliaka

Злоумышленники атакуют российские компании как минимум с декабря 2023 года. В одной из атак для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусом

Период с момента получения доступа к ИТ инфраструктуре жертвы до начала шифрования данных занял у атакующих около 2 недель. В ходе расследования специалисты F.A.C.C.T. выяснили, что для удаленного доступа к ИТ-инфраструктуре жертвы атакующие использовали VPN-сервис компании, а для перемещения по узлам инфраструктуры службу удаленного управления WinRM (Windows Remote Management)

😠Два новых сервиса от Роскомнадзора: как изменится мониторинг российского интернета

10 апреля 2024 года Роскомнадзор запустил два новых сервиса для российского сегмента интернета. Первый сервис является аналогом Whois и позволяет получать информацию о доменах, используемых ими IP-адресах, почтовых и веб-серверах

Второй сервис — это Реестр адресно-номерных ресурсов (РАНР) российского сегмента интернета. Он предоставляет информацию (whois) об IP-адресах и автономных системах. РАНР использует собственные базы данных, а также данные от RIPE (организация, ответственная за распределение IP-адресов в Европе). Подсистема РАНР предназначена для ведения реестра адресно-номерных ресурсов российского сегмента сети Интернет и автоматизирует ведение, наполнение, распространение и предоставление заинтересованным сторонам данных базы РАНР

AP Security

08 апреля 2024 17:28

#poc #exploit #cve

👮‍♀CVE-2024-3273: Получение доступа к D-Link

Этот скрипт представляет собой мощный инструмент для эксплуатации уязвимости CVE-2024-3273, обнаруженной в определенных версиях NAS-устройств D-Link. Он позволяет выполнять команды и получать несанкционированный доступ к затронутым устройствам

🕷Уязвимые версии:
1. DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
2. DNS-325 Version 1.01
3. DNS-327L Version 1.09, Version 1.00.0409.2013
4. DNS-340L Version 1.08

GitHub Эксплойта 🖥

AP Security

05 апреля 2024 20:19

#itnews #infosec #новостиИБ

Самые горячие новости ИБ за неделю

⭐PT Sandbox добавили в реестр российских программ

Песочница PT Sandbox первой среди других продуктов этого класса была отмечена в едином реестре российских программ как продукт, использующий технологии искусственного интеллекта. Продукт предназначен для защиты от целевых и массовых атак, в которых применяется современные вредоносные программы. ML-система PT Sandbox анализирует более 8500 признаков поведения объекта с точки зрения тех процессов, которые они запускают

🔎У платформы Pandabuy утекли данные 1,3 млн пользователей

PandaBuy — это торговая площадка, позволяющая пользователям из разных стран мира приобретать товары из Китая, например, с Tmall, Taobao и JD.com. Данные о пользователях PandaBuy были опубликованы на хак-форуме BreachForums и теперь доступны любому зарегистрированному пользователю в обмен на символическую плату в криптовалюте.
В качестве доказательства подлинности информации для незарегистрированных пользователей Sanggiero опубликовал небольшую выборку, содержащую адреса электронной почты, имена покупателей, номера и детали заказов, адреса доставки, даты и время транзакций, а также идентификаторы платежей

📩Вымогатели WereWolves выставляют претензии и зовут на военные сборы

Эксперты F.A.C.C.T. зафиксировали новый всплеск атак вымогателей Werewolves на российские организации. Активно рассылаемые вредоносные письма используют темы весеннего призыва и досудебных претензий. Атакам по имейл подвергаются производственные, энергетические, геологоразведочные компании. Анализ показал, что вложения в форматах .doc и .xls содержат загрузчик маячка Cobalt Strike, облегчающего проникновение в корпоративные сети

AP Security

28 марта 2024 05:43

#pentest #redteam #beginners

Изучаем техники получения доступа к внутренней инфраструктуре и ее дальнейшей компрометации🌐

Цикл статей, который расскажет про все этапы так называемого kill-chain: от получения первичного доступа, до получения конечной цели (утечка данных и получение доступа)

Статья представит в подробности различные техники для каждого этапа и затронет кейсы, связанные с разными семействами ОС

Adversarial Tactics

AP Security

27 марта 2024 10:14

#cve #exploit #poc

CVE-2024-20767: Adobe ColdFusion⌨️

CVE-2024-20767 — это уязвимость в Adobe ColdFusion 2021 и ColdFusion 2023, которая связана с контролем доступа

Exploit

AP Security

25 марта 2024 10:48

#windows #redteam #pentest

Используем NTLM-relay для Exchange с целью повышения привилегий🟦

В статье будет рассмотрен сценарий использования NTLM-relay атаки с целью получения привилегии для проведения DCSync и полной компрометации домена

PrivExchange

AP Security

22 марта 2024 21:31

Выражаем соболезнования всем пострадавшим…

AP Security

19 марта 2024 07:15

#phishing #redteam

Советы по организации фишинга при проведении пентестов☁️

Фишинг - неотъемлемая часть практически любого пентеста, так как позволяет выявить слабую составляющую компании среди ее сотрудников. Поэтому к его организации нужно подходить продуманно

В статье будут отражены типичные ошибки даны советы по их избежанию при организации своей фишинговой кампании в рамках пентеста

Phishing

AP Security

11 мая 2024 23:44

Традиционная рубрика🔥

AP Security

09 мая 2024 14:10

Команда компании AP Security от души поздравляет с Днём Победы в Великой Отечественной войне. Никто не забыт, ничто не забыто!

AP Security

02 мая 2024 08:56

#redteam #pentest #bypassav

👁Обход AVs/EDRs с помощью SysCalls

Syscalls позволяют любой программе переходить в режим ядра для выполнения привилегированных операций, например, записи файла

Большинство антивирусов, EDR и песочниц используют пользовательские хуки, что означает, что они могут отслеживать и перехватывать любой пользовательский вызов API. Однако если мы выполним системный вызов и перейдем в режим ядра, они не смогут ничего отследить

В статье вы узнаете как работают AVs/EDRs, и как с помощью SysCalls выполнить их обход для выполнения вредоносного кода

⌨️SysCalls

AP Security

25 апреля 2024 06:13

#windows #exploit #privesc

Silver Potato 🥔
Новый эксплойт из семейства "картофельных", предназначенных для повышения привилегий через SeImpersonate

Silver Potato

AP Security

20 апреля 2024 12:41

#forensics #soc

🐺Обзор атаки хакеров Sticky Werewolf

F.A.C.C.T подготовила отчет о действиях проукраинской хакерской группировки Sticky Werewolf, действия которой были направлены против государственных учреждений России, Беларуси и Польши

Общая цепочка атаки выглядит следующим образом: после загрузки и запуска исполняемого файла происходит запуск архива, содержащего обфусцированный BAT-скрипт с именем Grave и 10 файлов. Данный скрипт собирает из них легитимный AutoIt интерпретатор и AutoIt скрипт, а затем запускает собранный скрипт при помощи собранного интерпретатора. Затем в процесс Recognition.pif внедряется полезная нагрузка – Rhadamanthys Stealer (основной модуль), отвечающая за разворачивание в памяти различных модулей Rhadamanthys, а также внедрение своего кода в процесс dialer.exe, загрузку с C2-сервера модуля стилера и его запуск в памяти процесса dialer.exe

Хабр 🖥

AP Security

16 апреля 2024 22:43

Trust Wallet сообщила, что криптовалюта пользователей iOS находится под угрозой из-за уязвимости в iMessage. Компания отмечает, что злоумышленники могут использовать её без участия со стороны пользователя

Apple уже знает об уязвимости, но пока ещё не успела исправить её. Специалисты Trust Wallet рекомендуют на время отключить iMessage в настройках до тех пор, пока не выйдет обновление. Компания не сообщает подробности уязвимости

AP Security

14 апреля 2024 15:18

#cve #poc #exploit

Telegram Desktop Client-side RCE✈️

Наверное, многие уже успели увидеть нашумевшую демонстрацию RCE в Desktop-приложении Telegram. Уязвимость вызвана опечаткой в списке расширений исполняемых файлов, захардкоженном в коде Telegram Desktop. Так, вместо pyzw (файл типа Python Zip Application) в строке с запрещенными расширениями было pywz

В статье будут объяснены причины возникновения уязвимости, условия ее эксплуатации и способы защиты

Хабр🖥

AP Security

12 апреля 2024 07:49

#windows #pentest

Достаем учетные данные из системы Windows🔍

Необходимый и важный шаг для вертикального и горизонтального перемещений - получение хешей или учетных записей пользователей. Все знакомы с сохранением файлов реестра через reg save, дампом с помощью mimikatz, MirrorDump

💻Но это не единственные способы получения учетных данных. В системах Windows есть различные типы аутентификации:

- Interactive Logon
- NewCredentials Logon
- Network Logon
- Batch Logon
- Remote Interactive Logon

В статье будут рассмотрены эти типы аутентификации, места сохранения чувствительных данных и способы получения доступа к ним

Хабр 🖥

AP Security

06 апреля 2024 17:17

☄️ Участвуйте в конкурсе и выиграйте бесплатное обучение на курсе Kubernetes База от Слёрм

Разыгрываем 3 места на курс! Сможете пройти сами, подарить коллеге и даже младшему брату 😉

🔸 Узнаете основы, разберетесь с компонентами и абстракциями
🔸 Получите опыт настройки кластеров
🔸 Научитесь организовывать правильную разработку и деплой
🔸 Сможете запускать приложения в кластерах

Старт курса — 15 апреля

🚩 Условия розыгрыша просты: 🔵 Подпишитесь на KazDevOps и оставьте комментарий "+" под этим постом. Комментарий обязательно оставлять в официальном аккаунте KazDevOps

🥳 12 апреля подведем итоги и выберем 3 победителей методом генерации случайных чисел. Каждый получит доступ к курсу.

Go-go-go, и успехов!

#kubernetes

@DevOpsKaz

AP Security

29 марта 2024 05:59

#itnews #infosec

Telegram предлагает Премиум-подписку в обмен на использование Вашего номера для отправки OTP-сообщений✈️

В июне 2017 года исследование, в котором приняли участие более 3000 студентов Массачусетского технологического института (MIT), опубликованное Национальным бюро экономических исследований (NBER), показало, что 98% из них были готовы отдать адреса электронной почты своих друзей в обмен на бесплатную пиццу, что говорит о парадоксе конфиденциальности.

Теперь, почти семь лет спустя, Telegram представил новую функцию, которая предоставляет некоторым пользователям бесплатное премиум-членство в обмен на разрешение популярному приложению для обмена сообщениями использовать их телефонные номера в качестве ретранслятора для отправки одноразовых паролей (OTP) другим пользователям, которые пытаются войти на платформу.

Функция, называемая Peer-to-Peer Login (P2PL), в настоящее время тестируется в отдельных странах для пользователей Telegram на Android.

AP Security

27 марта 2024 13:32

#pentest #activedirectory #redteam

Diamond And Saphire Tickets💎

Все наверняка слышали про техники закрепления под названием Golden и Silver Tickets, когда мы используем хеш учетной записи krbtgt для подделки билетов. Атаки типа Diamond и Saphire Tickets, имеют более сложный механизм, использующий S4U2Self и U2U

В статье будут представлены как теоретические аспекты работы атаки, так и ее применение на практике

Diamond Ticket

AP Security

27 марта 2024 06:10

#itnews #infosec #malware

В Google Play найдено 28 программ, скрытно превращающих гаджет в прокси⬇️

В марте 2023 года с Google Play удалили бесплатный VPN-софт, который приобщал Android-устройства к прокси-сети, используемой для сокрытия рекламного мошенничества. В HUMAN Security проанализировали Oko VPN и нашли в магазине еще 28 схожих приложений

Все они используют Golang-библиотеку, отвечающую за прокси-функциональность, однако в описаниях эта возможность не упомянута. Продукты, нарушающие политику Google, уже изъяты из доступа; авторы находок идентифицируют их под общим условным именем PROXYLIB

Схожий вариант библиотеки на Go встроен также в LumiApps SDK, свободно доступный онлайн. В прошлом году этот комплект разработчика активно продвигали в соцсетях и даркнете как средство монетизации приложений, альтернативное рекламе

AP Security

25 марта 2024 05:25

#activedirectory #redteam #tools

PsMapExec: Утилита на Powershell для постэксплуатации Active Directory💻

Если вы знакомы с CrackMapExec, то использование данного инструмента не станет чем-то непривычным. Это тот же CME, но написанный на Powershell

🖥Поддерживает протоколы:

- RDP
- SMB
- WinRM
- WMI
- VNC

PsMapExec

AP Security

22 марта 2024 14:25

Tinkoff CTF 2024: разбор демозадания

CTF — соревнования по спортивному хакингу: как олимпиадное программирование, но в информационной безопасности. Команды получают набор заданий на криптографию, анализ скомпилированного кода, веб-уязвимости и не только — на все те направления, с которыми работают профессионалы-безопасники.

Мы сделали соревнования в двух лигах: для опытных и новичков в CTF — тех, кто не специализируется на информационной безопасности и участвует в таком формате впервые. Под новичками имеем в виду опытных разработчиков, SRE- и QA-инженеров, аналитиков и других ИТ-специалистов.

Ребята из Тинькофф написали интересную статью про разбор демо таска с пентестом мобильного приложения. Получилось занимательно)

📌 Читать далее

🌚 @poxek

AP Security

18 марта 2024 14:55

#pentest #redteam #wifi

Атакуем Wi-FI точки доступа с помощью атаки Evil Twin🏴‍☠️

Evil Twin - атака, в ходе которой злоумышленник создает сеть-двойника, похожую на легитимную точку доступа для перехвата пароля

Вы узнаете как проводить данную атаку с помощью инструмента airgeddon

Evil Twin