Волосатый бублик

2022-08-19 08:32:17 #sanbox #detect

Детект сендбокса при помощи получения количества доступной оперативной памяти

Part 1: https://www.accidentalrebel.com/malware-sandbox-evasion-in-x64-assembly-by-checking-ram-size-part-1.html

Part 2: https://www.accidentalrebel.com/malware-sandbox-evasion-in-x64-assembly-by-checking-ram-size-part-2.html Открыть/Комментировать

2022-08-18 15:35:24 #edr #bypass

[ EDRSandBlast ]
EDRSandBlast is a tool written in C that weaponize a vulnerable signed driver to bypass EDR detections
and LSASS protections. Multiple userland unhooking techniques are also implemented to evade userland monitoring.

https://github.com/wavestone-cdt/EDRSandblast/tree/DefCon30Release Открыть/Комментировать

2022-08-15 05:47:02 #windows #cve

[ CVE-2022-30216 - Authentication coercion of the Windows “Server” service ]

ARTICE: https://www.akamai.com/blog/security/authentication-coercion-windows-server-service

POC: https://github.com/akamai/akamai-security-research/tree/main/cve-2022-30216 Открыть/Комментировать

2022-08-14 22:58:27 #dll #hijack

[ Hijack Libs ]
Аналог GTFOBINS или LOLBAS только про известные способы DLL Hijacking с поиском по вендору

https://hijacklibs.net/ Открыть/Комментировать

2022-08-14 04:44:47 #cs #loader #bypass

[ AceLdr ]
A position-independent reflective loader for Cobalt Strike

https://github.com/kyleavery/AceLdr Открыть/Комментировать

2022-08-13 09:36:12 [ Concealed code execution: Techniques and detection ]

https://www.huntandhackett.com/blog/concealed-code-execution-techniques-and-detection Открыть/Комментировать

2022-08-13 09:16:23 #vmware #one #cve #poc

A VMWare Workspace ONE Access Remote Code Execution Exploit

https://github.com/sourceincite/hekate Открыть/Комментировать

2022-08-11 02:39:23 Минутка тавтологии:

[ Для повышения импаката от найденных уязвимостей подписывайтесь на канал импакта. ]

web/mobile/bug-bounty

https://t.me/postImpact Открыть/Комментировать

2022-08-08 01:08:45 #ldap #shell

[ LDAP shell ]
Как я это до сих пор не запостил не понятно, старый стал...
Спасибо @Riocool

https://github.com/PShlyundin/ldap_shell Открыть/Комментировать

2022-08-05 14:44:32 Как то раз на проекте столкнулся с непонятной СЗИ, которая блокировала Collectors bloodhound, как SharpHound, так и bloodhound-python. Я видел 2 варианта решения проблемы:
1. Понять что меня блочит и пробовать обойти блокировки;
2. Попробовать собрать с LDAP данные другими инструментами, желательно легитимными.
Я решил пойти вторым путём и попробовать посмотреть ACL в AD руками. На самом деле, часто BloodHound избыточен, и достаточно посмотреть, есть ли модифицированные привилегии на корневой объект домена. Если есть - то смотреть от кого и проанализировать их ACL. Чем удобнее всего это сделать? Всем по разному, но я использую инструмент Sysinternals AdExplorer.
В AdExplorer есть функционал "Create Snapshot" - данная функция позволяет сдампить LDAP и анализировать его в режиме offline. В этот момент моё сердце забилось чаще, и я бросился в гугл искать, возможно кто-то написал конвертер из дампа AdExplorer в Bloodhound.
По первой же ссылке я столкнулся со скриптом, который отлично выполнил свою задачу, и противную СЗИ я оставил с носом. Берите на вооружение, очень хороший инструмент Открыть/Комментировать