Order of Six Angles
https://youtu.be/J9tWuSFZsic
Вторая часть через 6 часов, стрим
Proof of concept for CVE-2020-3153 - Cisco AnyConnect elevation of privileges due to insecure handling of path names
https://gist.github.com/ykoster/aeaa893d68adbc5004aa873b3290acd1
https://www.securify.nl/advisory/SFY20200419/cisco-anyconnect-elevation-of-privileges-due-to-insecure-handling-of-path-names.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3153
https://gist.github.com/ykoster/aeaa893d68adbc5004aa873b3290acd1
https://www.securify.nl/advisory/SFY20200419/cisco-anyconnect-elevation-of-privileges-due-to-insecure-handling-of-path-names.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3153
Gist
Proof of concept for CVE-2020-3153 - Cisco AnyConnect elevation of privileges due to insecure handling of path names - https:/…
Proof of concept for CVE-2020-3153 - Cisco AnyConnect elevation of privileges due to insecure handling of path names - https://www.securify.nl/advisory/SFY20200419/cisco-anyconnect-elevation-of-pri...
Blazingly fast, self-hosted #Yara search engine. It's faster, more powerful and way prettier. If you hunt with #Yara a lot, you should definitely try it.
https://github.com/CERT-Polska/mquery/
https://github.com/CERT-Polska/mquery/
GitHub
GitHub - CERT-Polska/mquery: YARA malware query accelerator (web frontend)
YARA malware query accelerator (web frontend). Contribute to CERT-Polska/mquery development by creating an account on GitHub.
Order of Six Angles
Blazingly fast, self-hosted #Yara search engine. It's faster, more powerful and way prettier. If you hunt with #Yara a lot, you should definitely try it. https://github.com/CERT-Polska/mquery/
Теперь эту штуку можете потыкать в онлайне!
Тут: http://mquery.net/
Там сейчас находится коллекция 2.1 миллиона сэмплов нашего любимого VX-underground!
А также сэмплы за последние 3 года с VirusShare!
Тут: http://mquery.net/
Там сейчас находится коллекция 2.1 миллиона сэмплов нашего любимого VX-underground!
А также сэмплы за последние 3 года с VirusShare!
Сделал перевод небольшой статьи!
Анализ CVE-2020-0605 – Выполнение произвольного кода, используя XPS файлы в .NET
https://www.orderofsixangles.com/translations/2020/05/20/CVE-2020-0605.html
Есть еще несколько готовых переводов, но пока неопубликованных.
Анализ CVE-2020-0605 – Выполнение произвольного кода, используя XPS файлы в .NET
https://www.orderofsixangles.com/translations/2020/05/20/CVE-2020-0605.html
Есть еще несколько готовых переводов, но пока неопубликованных.
EventBot это семейство банковских андроид троянов, которые воруют банковские креды и байпасят SMS 2FA
https://blog.polyswarm.io/initial-technical-analysis-of-eventbot-versions-0.4.0.2-0.4.2.6?hs_amp=true&__twitter_impression=true
https://blog.polyswarm.io/initial-technical-analysis-of-eventbot-versions-0.4.0.2-0.4.2.6?hs_amp=true&__twitter_impression=true
blog.polyswarm.io
Initial Technical Analysis of EventBot Versions 0.4.0.2 - 0.4.2.6
Initial technical analysis of the new versions of EventBot (0.4.0.2 - 0.4.2.6), discovered on May 5th and first seen inside PolySwarm.
Android Code Deobfuscation
https://www.youtube.com/watch?time_continue=3889&v=lmHkfKXuN4A&feature=emb_noscript
https://www.youtube.com/watch?time_continue=3889&v=lmHkfKXuN4A&feature=emb_noscript
YouTube
Piercing the Veil: Android Code Deobfuscation - Caleb Fenton
Presented at Silicon Valley Cyber Security Meetup Talkin' Security Online Event on Thursday, May 7, 2020Slides can be found at https://drive.google.com/file/...
Analysis of the source code of the GhostDNS router exploit kit
https://decoded.avast.io/simonamusilova/ghostdns-source-code-leaked/
https://decoded.avast.io/simonamusilova/ghostdns-source-code-leaked/
Иногда сажусь доделывать свой apk infector. Позавчера поставил GoLand (IDE от JetBrains), решил сравнить с VSCode. Пока полет нормальный.
#байтоёбствопродолжается
#байтоёбствопродолжается
Даже трудно назвать, что это. Это просто гигантский анализ Zloader/Zbot (186 страниц), сделанный на основе слитых исходников Zeus.
https://resources.malwarebytes.com/files/2020/05/The-Silent-Night-Zloader-Zbot_Final.pdf
https://resources.malwarebytes.com/files/2020/05/The-Silent-Night-Zloader-Zbot_Final.pdf
Крутая и ранее непубличная техника малвари по запуску во время сна
https://vxug.fakedoma.in/papers/Deus%20Somnum.pdf
исходники:https://github.com/am0nsec/wspe/tree/master/Power%20Management
https://vxug.fakedoma.in/papers/Deus%20Somnum.pdf
исходники:https://github.com/am0nsec/wspe/tree/master/Power%20Management
Небольшой отчет по Android RAT, основанного на слитых исходниках Dendroid, который сливает сообщения WhatsApp и Facebook Messenger
https://blog.talosintelligence.com/2020/05/the-wolf-is-back.html
https://blog.talosintelligence.com/2020/05/the-wolf-is-back.html
Cisco Talos Blog
The wolf is back...
By Warren Mercer, Paul Rascagneres and Vitor Ventura.
News summary
* Thai Android devices and users are being targeted by a modified version of DenDroid we are calling "WolfRAT," now targeting messaging apps like WhatsApp, Facebook Messenger and Line.…
News summary
* Thai Android devices and users are being targeted by a modified version of DenDroid we are calling "WolfRAT," now targeting messaging apps like WhatsApp, Facebook Messenger and Line.…
Анализ шифровальщика Ragnar Locker
Особенность этого шифровальщика - он устанавливает полноценную виртуальную машину Virtualbox, скачивает и накатывает WinXP, копируется туда внутрь, подключает все локальные диски как расшаренную папку. Теперь имея доступ ко всем дискам из виртуалки, он может начинать шифровать все файлы, а запуск не напрямую на системе, а внутри VM позволяет обойти антивирус (якобы). Настоящая наркомания, никогда такого не видел)
https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/?cmp=30728
Особенность этого шифровальщика - он устанавливает полноценную виртуальную машину Virtualbox, скачивает и накатывает WinXP, копируется туда внутрь, подключает все локальные диски как расшаренную папку. Теперь имея доступ ко всем дискам из виртуалки, он может начинать шифровать все файлы, а запуск не напрямую на системе, а внутри VM позволяет обойти антивирус (якобы). Настоящая наркомания, никогда такого не видел)
https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/?cmp=30728
Подробный технический туториал по подготовке к экзамену OSCE
Для начала, что такое vulnserver
https://github.com/stephenbradshaw/vulnserver
Часть 1.Настраиваем окружение, для дальнейшей работы
https://epi052.gitlab.io/notes-to-self/blog/2020-05-13-osce-exam-practice-part-one/
Часть 2. Эксплуатация vulnserver
https://epi052.gitlab.io/notes-to-self/blog/2020-05-14-osce-exam-practice-part-two/
Часть 3. SEH overwrite/Egg hunting
https://epi052.gitlab.io/notes-to-self/blog/2020-05-18-osce-exam-practice-part-three/
Часть 4. Stack pivot
https://epi052.gitlab.io/notes-to-self/blog/2020-05-19-osce-exam-practice-part-four/
Часть 5. Эксплуатация команды Vulnserver KSTET
https://epi052.gitlab.io/notes-to-self/blog/2020-05-19-osce-exam-practice-part-five/
Для начала, что такое vulnserver
https://github.com/stephenbradshaw/vulnserver
Часть 1.Настраиваем окружение, для дальнейшей работы
https://epi052.gitlab.io/notes-to-self/blog/2020-05-13-osce-exam-practice-part-one/
Часть 2. Эксплуатация vulnserver
https://epi052.gitlab.io/notes-to-self/blog/2020-05-14-osce-exam-practice-part-two/
Часть 3. SEH overwrite/Egg hunting
https://epi052.gitlab.io/notes-to-self/blog/2020-05-18-osce-exam-practice-part-three/
Часть 4. Stack pivot
https://epi052.gitlab.io/notes-to-self/blog/2020-05-19-osce-exam-practice-part-four/
Часть 5. Эксплуатация команды Vulnserver KSTET
https://epi052.gitlab.io/notes-to-self/blog/2020-05-19-osce-exam-practice-part-five/
Обход проверки целостности EasyAntiCheat
https://secret.club/2020/04/08/eac_integrity_check_bypass.html
https://secret.club/2020/04/08/eac_integrity_check_bypass.html
secret club
CVEAC-2020: Bypassing EasyAntiCheat integrity checks
Cheat developers have specific interest in anti-cheat self-integrity checks. If you can circumvent them, you can effectively patch out or “hook” any anti-cheat code that could lead to a kick or even a ban. In EasyAntiCheat’s case, they use a kernel-mode driver…
Forwarded from S.E.Book
Наверное, лучший ресурс, раскрывающий все аспекты защиты и уязвимостей AD, —
adsecurity.org. Автор этого блога Шон Меткалф (Sean Metcalf) занимается и защитой и вопросами безопасности, связанными с AD в крупном энтерпрайзе.
adsecurity.org. Автор этого блога Шон Меткалф (Sean Metcalf) занимается и защитой и вопросами безопасности, связанными с AD в крупном энтерпрайзе.