Еще немного ZSH-задротства на ночь глядя: если вы когда-нибудь работали с большими git-репозиториями, где внушительная история коммитов и большой размер файлов в отдельных ветках, то могли заметить подвисание промпта при включенном git-статусе (когда прозрачно отображается имя текущей ветки, состояние stage-файлов и т. д.). Это обусловлено тем, что при каждой отрисовке промпта, шелл выполняет под капотом git status. Объем кода, ответственный за эти манипуляции, действительно поражает воображение (пример для oh-my-zsh здесь). Что можно придумать, чтобы оптимизировать подобные задачи?

Умные люди решили, что можно вынести определенные таски, как например, обработка статуса git-репозитория, в асинхронные задачи, которые выполняются в бэкграунде, и написали библиотеку zsh-async. Нам лишь остается написать небольшой плагин, который использует эту библиотеку для реализации своей версии git_prompt_info. Результат можно наблюдать выше на примере огромной репы Empire: наверху промпт рисуется синхронно, поэтому виден лаг при переходе в директорию с git-репозиторием, внизу – асинхронно, поэтому шелл возвращается мгновенно, а git-статус дорисовывается через полсекунды.

🔗 https://github.com/snovvcrash/dotfiles-linux/blob/master/zsh/plugins/async-git-info.zsh

😈 [ Bobby Cooke @0xBoku ]

We just released Reflective Call Stack Detections and Evasions! This was co-authored by our @XForce Red intern Dylan Tran @d_tranman! Dylan is wicked smart and it was fun working with him! Check it out!🥷

🔗 https://securityintelligence.com/x-force/reflective-call-stack-detections-evasions/

🐥 [ tweet ]

😈 [ drm @lowercase_drm ]

pywerview v0.5.2 is out! It implements, among other things, the "simple authentication trick" to use the tool against hardened DCs and without install custom ldap3 lib.

🔗 https://github.com/the-useless-one/pywerview/commit/ba08fa2b29ef72ddc658d448465a8343f8536f6f

🐥 [ tweet ]

очень прикольная техника для аутентификации в захарженном LDAPS (с навешенным Channel Binding) без необходимости устанавливать патченную версию ldap3 с вот этим коммитом

😈 [ an0n @an0n_r0 ]

my favorite (and might be the most complete) wifi hacking guide (+pwnbox setup) by @Xst3nZ:

🔗 https://github.com/koutto/pi-pwnbox-rogueap/wiki

following this it was relatively easy to perform an evil twin attack after setting up a wpa-eap home lab (managed to capture a challenge using eaphammer 🙂).

🐥 [ tweet ]

😈 [ Felipe Molina @felmoltor ]

Great reading about Sliver and OSEP:

🔗 https://bishopfox.com/blog/passing-the-osep-exam-using-sliver

🐥 [ tweet ]

😈 [ Maxime Meignan @th3m4ks ]

How to disable some parts of EDR’s telemetry on Windows 10? Just ask nicely!
See for more info about an interesting logic bug we found on Win10 that affects all EDRs 😉

🔗 https://www.riskinsight-wavestone.com/en/2023/10/a-universal-edr-bypass-built-in-windows-10/

🐥 [ tweet ]

😈 [ TrustedSec @TrustedSec ]

Our new #blog post by @mega_spl0it and @4ndr3W6S takes a deep dive into how Active Directory (AD) attribute-based detections can be built and how to identify where an adversary may be hiding. Read the first of this 3-part series now!

🔗 https://hubs.la/Q024-06m0

🐥 [ tweet ]

😈 [ ippsec @ippsec ]

Uploaded a video talking about the Looney Tunable exploit. Don't go deep into the exploit but analyze the noscript/shellcode to make sure its not malicious, update offsets if your target isn't supported, and generic+specific detections to this.

🔗 https://youtu.be/1iV-CD9Apn8

🐥 [ tweet ]

😈 [ 0xdf @0xdf_ ]

I wrote a blog post for the @hackthebox_eu blog on how to exploit the Looney Tunables CVE on the TwoMillion machine. I'll give an overview of the exploit, show how to run it, and how to identify it in logs:

🔗 https://affiliate.hackthebox.com/blog?slug=exploiting-the-looney-tunables-vulnerability-cve-2023-4911

🐥 [ tweet ]

😈 [ Chetan Nayak (Brute Ratel C4 Author) @NinjaParanoid ]

Since Cobaltstrike v4.9 is leaked and sooner or later it will be exploited, here is the detection for beacon's core. This detection cannot be modified with malleable profiles. EDRs like Crowdstrike/Elastic/MDATP which constantly scan the memory region for known patterns should easily pick this up. FYI, if BRc4 gets leaked, I would do the same for BRc4 too, like I've done in the past. No hard feelings, just helping the community.

🔗 https://github.com/paranoidninja/Cobaltstrike-Detection/blob/main/cs49.yara
🔗 https://github.com/paranoidninja/Cobaltstrike-Detection/blob/main/scan_process.c

🐥 [ tweet ]

😈 [ Charlie Bromberg « Shutdown » @_nwodtuhs ]

pyWhisker can now do cross-domain shadow credentials 👁️🫦👁️

pywhisker.py --action add -d domainA -u owned_user -p password --target user_in_domainB --target-domain domainB

🔗 https://github.com/ShutdownRepo/pywhisker

🐥 [ tweet ]

😈 [ Mayfly @M4yFly ]

GOAD update available 🥳
- Azure provider is now supported thx to @Zeph_RooT !
- Two versions of the lab are available (A light version with 3 computers has been added).
- Some noscripts to help install.
- Refactoring to simplify adding lab and providers.

🔗 https://github.com/Orange-Cyberdefense/GOAD

🐥 [ tweet ]

😈 [ TrustedSec @TrustedSec ]

In Part 2 of our new #blog series by @mega_spl0it and @4ndr3W6S, they build detections for additional attributes, this time focusing on those that can be modified using the #PowerMad tool. Read it now!

🔗 https://hubs.ly/Q025hFdr0

🐥 [ tweet ]

😈 [ TrustedSec @TrustedSec ]

In the third and final installment of our #blog series by @mega_spl0it @4ndr3W6S DACL-based detections are built, identifying attacks that focus on obscure or lesser-known AD Attributes that fall outside of the scope of Parts 1 and 2. Read it now!

🔗 https://hubs.la/Q025N0lk0

🐥 [ tweet ]