Forwarded from Threat Hunting Father 🦔
В бразильском IR-кейсе Kaspersky зафиксировал новый AV-киллер, работающий по схеме BYOVD (Bring Your Own Vulnerable Driver).
Атакующие принесли с собой легитимный драйвер ThrottleStop.sys (TechPowerUp, сертификат DigiCert, 2020), чтобы выключить защиту на уровне ядра и спокойно запустить MedusaLocker.
Первичный доступ — валидные RDP-учётки (SMTP-сервер, подключение из Бельгии).
PrivEsc + Lateral Movement — Mimikatz → Pass-the-Hash (
Invoke-WMIExec.ps1, Invoke-SMBExec.ps1), массовое создание локальных админов (User1, User2...).Деплой артефактов —
ThrottleBlood.sys (уязвимый драйвер) и All.exe (киллер AV) → сначала C:\Users\Administrator\Music, потом на другие хосты в C:\Users\UserN\Pictures.Выключение защиты — через уязвимые IOCTL-коды драйвера (
MmMapIoSpace) малварь модифицирует NtAddAtom и вызывает PsLookupProcessById + PsTerminateProcess для убийства AV.Финал — загрузка и запуск MedusaLocker (
haz8.exe) на уже «раздетых» системах.Hardcode: список процессов всех топ-вендоров (𝗛𝗮𝗿𝗱𝗰𝗼𝗱𝗲𝗱 𝘃𝗲𝗻𝗱𝗼𝗿 𝗹𝗶𝘀𝘁:
— 𝗠𝗶𝗰𝗿𝗼𝘀𝗼𝗳𝘁 𝗗𝗲𝗳𝗲𝗻𝗱𝗲𝗿 (
MsMpEng.exe, SecurityHealthService.exe, etc.)— 𝗞𝗮𝘀𝗽𝗲𝗿𝘀𝗸𝘆 (
avp.exe, klnagent.exe, etc.)— 𝗕𝗶𝘁𝗗𝗲𝗳𝗲𝗻𝗱𝗲𝗿 (
bdservicehost.exe, BDAvScanner.exe, etc.)— 𝗖𝗿𝗼𝘄𝗱𝗦𝘁𝗿𝗶𝗸𝗲 (
CSFalconService.exe, CSFalconUI.exe)— 𝗘𝗦𝗘𝗧 (
ekrn.exe, egui.exe, etc.)— 𝗦𝘆𝗺𝗮𝗻𝘁𝗲𝗰 / 𝗕𝗿𝗼𝗮𝗱𝗰𝗼𝗺 (
ccSvcHst.exe, SepMasterService.exe, etc.)— 𝗠𝗰𝗔𝗳𝗲𝗲 / 𝗧𝗿𝗲𝗹𝗹𝗶𝘅 (
mfevtps.exe)— 𝗦𝗼𝗽𝗵𝗼𝘀 (
SEDService.exe, SophosHealth.exe, etc.)— 𝗦𝗲𝗻𝘁𝗶𝗻𝗲𝗹𝗢𝗻𝗲 (
SentinelAgent.exe, SentinelServiceHost.exe)— 𝗔𝘃𝗮𝘀𝘁 / 𝗔𝗩𝗚 (
AvastSvc.exe, AVGSvc.exe, etc.)— 𝗤𝘂𝗶𝗰𝗸 𝗛𝗲𝗮𝗹 (
QHPISVR.EXE, SAPISSVC.EXE)— 𝗣𝗮𝗻𝗱𝗮 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆 (
PSUAService.exe, PSUAMain.exe)).Kernel R/W: получение base address ядра (
NtQuerySystemInformation → SystemModuleInformation), перевод виртуальных адресов в физические (Superfetch technique).Hook: патч
NtAddAtom → shellcode → вызов целевой функции ядра → восстановление оригинального кода.Persistence loop: при перезапуске службы AV — мгновенное повторное убийство.
🌍 География
Атака активна с октября 2024, жертвы: 🇧🇷 Бразилия, 🇷🇺 Россия, 🇧🇾 Беларусь, 🇰🇿 Казахстан, 🇺🇦 Украина.
Уязвимость получила CVE-2025-7771.
Blocklist уязвимых драйверов (ThrottleStop.sys / ThrottleBlood.sys).
MFA и ограничение RDP-доступа, отключение публикации в интернет.
EDR с самозащитой и контролем загрузки драйверов.
Сегментация сети и whitelisting приложений.
Мониторинг аномалий DeviceIoControl и NtAddAtom.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👾7
Scorpio_Advanced_Windows_Kernel_Programming_w_Pavel_Yosifovich_2023.rar
543.7 MB
Module 0 : Introduction
Module 1 : Windows Internals Overview
Module 2 : The I/O System
Module 3 : Device Driver Basics
Module 4 : The I/O Request Packet
Module 5 : Kernel Mechanisms
Module 6 : Process and Thread Monitoring
Module 7 : Object and Registry Notifications
Module 8 : File System Mini-Filters Fundamentals
Module 9 : Miscellaneous Techniques
Scorpio Advanced Windows Kernel Programming w Pavel Yosifovich (2023)
👾12
Sec Note
UACMe Defeating Windows User Account Control by abusing built-in Windows AutoElevate backdoor. This project demonstrates various UAC bypass techniques and serves as an educational resource for understanding Windows security mechanisms. #uac_bypass
Linkedin
Sec Note | Alireza Hosseini
مدتی بود روی باجافزارها (از نظر سرعت، تکنیکها و روشهای رمزنگاری) مطالعه میکردم. یکی از نکات جالبی که دیدم این بود که تقریباً همه این خانوادهها قبل از رمزگذاری، Shadow Copies و بکاپها رو پاک میکنن.
اما یک سؤال برام پیش اومد: برای حذف بکاپها نیاز…
اما یک سؤال برام پیش اومد: برای حذف بکاپها نیاز…
👾11
This media is not supported in your browser
VIEW IN TELEGRAM
UAC Bypass Chain Leading To Silent Elevation
👾 The Presentation Video
My Blog:
https://binary-win.github.io/2025/08/22/UAC-Bypass.html
👾 The Presentation Video
My Blog:
https://binary-win.github.io/2025/08/22/UAC-Bypass.html
👾9
Forwarded from Бaтepфляй 𓂅
VMProtect Ultimate Build 3.8.7.2001.zip
38.5 MB
sory this not pass
VMProtect Ultimate Build 3.8.7.2001 crack
https://www.virustotal.com/gui/file/902aa0a1ef80e0f7cabdbfbed01f2e9f39923c0ac4c57cf0343cbf1c934f093a?nocache=1
the file is not mine, run it strictly at your discretion on a virtual machine. I ran it, and everything worked as it should.
VMProtect Ultimate Build 3.8.7.2001 crack
https://www.virustotal.com/gui/file/902aa0a1ef80e0f7cabdbfbed01f2e9f39923c0ac4c57cf0343cbf1c934f093a?nocache=1
the file is not mine, run it strictly at your discretion on a virtual machine. I ran it, and everything worked as it should.
👾7
ChromElevator
🕷 #stealer
Fully decrypt App-Bound Encrypted (ABE) cookies, passwords & payment methods from Chromium-based browsers (Chrome, Brave, Edge) - all in user mode, no admin rights required.
🕷 #stealer
👾5
Forwarded from encrypted.
White Matter. Vol 1. You Are (Not) Alone
Важный дисклеймер: Этот инструмент предназначен исключительно для образовательных целей и тестирования на системах, где у вас есть явное разрешение. Не используйте его для незаконного доступа к системам.
Автор инструмента не несет ответственности за ваши действия.
В этой части релиза я создал инструмент и бэкдор в одном лице, позволяющий взламывать SSH сервера и обычные системы со статическим IP-адресом, закрепляться в этих системах, перехватывать нажатия клавиш удаленно с помощью кейлоггера и прочие интересные возможности.
Ссылка на репо: https://github.com/lain0xff/White-Matter
#malware #offensive #white_matter
Важный дисклеймер: Этот инструмент предназначен исключительно для образовательных целей и тестирования на системах, где у вас есть явное разрешение. Не используйте его для незаконного доступа к системам.
Автор инструмента не несет ответственности за ваши действия.
В этой части релиза я создал инструмент и бэкдор в одном лице, позволяющий взламывать SSH сервера и обычные системы со статическим IP-адресом, закрепляться в этих системах, перехватывать нажатия клавиш удаленно с помощью кейлоггера и прочие интересные возможности.
Ссылка на репо: https://github.com/lain0xff/White-Matter
#malware #offensive #white_matter
👾5