Мир сегодня с "Юрий Подоляка"

Труха⚡️Україна

View

Николаевский Ванёк

View

Мир сегодня с "Юрий Подоляка"

View

Труха⚡️Україна

View

Николаевский Ванёк

View

s0ld13r ch.

Blog about Pentest, TI/TH, OPSEC & other security stuff
Questions: @s0ld133r
For educational purposes only 🧠

TGlist rating

TypePublic

Verification

Not verified

Trust

Not trusted

Location

LanguageOther

Channel creation dateApr 19, 2022

Added to TGlist

Mar 13, 2025

I own this channel

History of changes

Linked chat

PNP17

Statistic of Telegram Channel s0ld13r ch.

More details

Subscribers

672

24 hours

40.6%Week

294.5%Month

18638.3%

Citation index

0

Mentions4Shares on channels0Mentions on channels4

Average views per post

559

12 hours5590%24 hours5590%48 hours3450%

Engagement rate (ER)

7.16%

Reposts15Comments0Reactions25

Engagement rate by reach (ERR)

0%

24 hours0%Week0%Month

13.52%

Average views per ad post

285

1 hour12343.16%1 – 4 hours00%4 - 24 hours6322.11%

More details

Connect our bot to the channel to find out the gender distribution of this channel's audience.

Total posts in 24 hours

0

Dynamic

Latest posts in group "s0ld13r ch."

All posts

17.04.202506:17

Новый день, новый RAT 🔫

ResolverRAT - относительно новый троян удаленного доступа написанный на .NET и использовавшийся в атаках на медицинские учреждения 👨🏻‍⚕️

🔍 Что интересного?

• Параллельно проверяет сразу несколько способов закрепа в файловой системе (AppData/Program Files)
• Certificate pining - в агенты "вшит" механизм пининга TLS сертификатов, для улучшенного OPSEC и сокрытия в сетевом трафике
• Кастомный протокол для коммуникации с С2

🔗 Research: https://www.morphisec.com/blog/new-malware-variant-identified-resolverrat-enters-the-maze/

P.S IoC оставил в коммах и залил на threatintel.kz 😉

🧢 s0ld13r

Reposted from:

Know Your Adversary

09.04.202518:53

Всем привет!

Думаю, вы уже слышали об уязвимости нулевого дня в Common Log File System (CLFS), которая эксплуатировалась RansomEXX. Речь идет о CVE-2025-29824.

Если заглянуть в отчет Microsoft Threat Intelligence Center (MSTIC), можно заметить любопытный артефакт. В рамках эксплуатации создается CLFS BLF-файл: C:\ProgramData\SkyPDF\PDUDrv.blf.

Что это значит? Мы можем использовать это поведение для проактивного поиска подобной активности! Например:

event_type: "filecreatewin"

AND

file_path: ("programdata" AND "blf")

Несмотря на то, что злоумышленник использовал уязвимость нулевого дня для повышения привилегий, в цепочке атаки были и легко обнаруживаемые действия — например, злоупотребление ProcDump для дампа LSASS.

Как всегда — даже в сложных случаях у нас есть масса возможностей для детектирования!

Увидимся завтра!

English version

08.04.202516:25

Выгоревший сотрудник SOC когда его попросили заняться еще одним "интересным кейсом" 🤬

#meme

🧢 s0ld13r

06.04.202512:47

Threat Intelligence drop ragghhhh 🕺🕺

Рефлексируя тематику этого канала, решил запустить небольшой комьюнити проект для шейра индикаторов компрометации и угроз которые таргетят Центральную Азию (и не только) 💃

Думаю это логичное продолжение тематики TI на канале, чтобы где то можно было собрать все находки и передавать их комьюнити ❤️

В скором времени начну активно добавлять IoC с различных исследований, фидов и залью индикаторы которые смог найти в предыдущих постах 😎

Буду рад вкладу каждого в развитие TI платформы (на базе MISP) — можно присылать свои находки, ссылки на репорты, дампы, фиды и просто идеи. Даже маленький IoC может оказаться критически важным для других, все абсолютно бесплатно и на безвозмездной основе, если будет желание подключиться и помочь то мой лс всегда открыт 😸

Рад представить вам threatintel.kz 👋

🧢 s0ld13r

01.04.202511:36

Volatility + ESXi = Бесшумный дамп хэшей и NTDS 😈

Когда дело касается извлечения учетных данных, большинство атак сосредоточено на виндовых машинах – Mimikatz, DCSync, Pass-the-Hash. Но что, если спуститься ниже? Если ты контролируешь гипервизор, тебе даже не нужно ломать саму ОС – ты просто забираешь память ВМ целиком и извлекаешь из нее хэши, NTDS и другие артефакты без триггеров EDR/SIEM 🐸

Ниже описал прикольный вектор через Volatility и консоль VMware для бесшумного дампа кредов с серверов 🪨

Поиск информации о виртуальных машинах на сервере ❗️

vim-cmd vmsvc/getallvms

Создаем snapshot системы с обязательным извлечением *.vmem файла 🔫

vim-cmd vmsvc/snapshot.create

В /vmfs/volumes// будет файл с расширением *.vmem который можно будет проанализировать при помощи Volatility 😆

/tmp/v -f "/vmfs/volumes/

А самый угар в том что на уровне ОС самой виртуалки и никакими антивирусами это не выловить, поможет только мониторинг активности и грамотная настройка Access List-ов 😏

P.S Автор против блэчеров и активно выступает за согласованние действий с владельцами систем

🧢 s0ld13r

31.03.202507:15

Ultimate Malware Collection 👋

В github пользователь с ником Cryakl выложил огромный пак с билдерами RAT (Remote Access Trojan) и Ransomware для исследования 🦇

Репозитории огромные и наполнены кучей интересной малвари, на скрине к примеру можно увидеть известный XWorm - излюбленный инструмент threat акторов из Китая 🇨🇳

🧟‍♂️ RAT: https://github.com/Cryakl/Ultimate-RAT-Collection
🧟‍♂️ Ransomware: https://github.com/Cryakl/Ransomware-Database

🧢 s0ld13r

28.03.202511:08

Когда зашёл в сеть компании и нашёл в открытом доступе файлик Пароли.xlsx 😎

#meme

@s0ld13r_ch

28.03.202507:09

Кто любит VPN?! 😆

Последние дни я размышлял об аналитике в Red Team. В ходе операций важно проводить качественную энумерацию — даже мелкие находки могут усилить атаку. Так я задумался о корпоративных VPN 🤔

Доступ к VPN расширяет возможности для пивотинга и эскалации атаки. Я решил исследовать, как злоумышленник или Red Team могут использовать стандартные VPN-клиенты для разведки на хосте и обхода AV 🔫

Нашел пару use кейсов на примере клиента CheckPoint VPN:

В лог файле агента`C:\Program Files (x86)\CheckPoint\Endpoint Connect\trac.log` конфигурации подключения trac.config могут быть записаны в нешифрованном виде, что может дать информацию о VPN пирах, пользователе, типе подключения, есть ли 2FA и до каких подсетей может достучаться атакуемый пользователь 🤣

В качестве PoC написал инструмент для поиска конфигов на хосте 😠

Chocopie

is a tool designed for reconnaissance on a host system, specifically to check for the presence of VPN configuration files. It scans the system drive (`C:\Users\`) for OpenVPN configuration files (`.ovpn`) and extracts VPN-related configurations from CheckPoint Endpoint Connect logs. The found data is then automatically sent to a Telegram bot.

Второй кейс, есть возможность загрузить любой файлик с интернета при помощи компонента VPN агента на хост. Бинарь который способен скачать файл DAAW.exe (PoC ниже)

❗️ File Drop via Check Point VPN binaries:

C:\Program Files (x86)\CheckPoint\Endpoint Connect\DAAW.exe -url  -fileName

Техника спалится в EDR из-за шумных флагов, но все же прикольный способ учитывая что обычный AV на него не ругнется из за чистых сигнатур.

P.S Использовать только в целях изучения, автор против неправомерных действий без согласия владельцев систем

@s0ld13r_ch

Reposted from:

Threat Hunting Father

23.03.202517:39

Казахстан в числе жертв APT атак?😱

Доклад о Incident Response и этапах с которыми столкнулась команда KZ-CERT при реагировании на APT угрозы.

This year's i-Soon leak revealed that Critical Infrastructures were targeted by Chinese APT in different countries such as: US, India, Kazakhstan, Vietnam, Malaysia, Mongolia, Taiwan, Thailand, South Korea, the Philippines, Myanmar, and Nepal.
We are Kazakhstan’s National Computer Emergency Response team were responsible for coordinating in handling these incidents and clearing the infrastructure.
As a result, we come up with Infrastructure cleanup plan from APT. In this talk we would like to go through all stages of responding to the incident starting from building a team, setting up a secure communication channel and describing tools used in each stage of response.
We will also focus on using Kaspersky Anti Targeted Attack Platform EDR and Sandbox.
At the end we will reveal several unusual TTP’s of an actor.

🔗https://youtu.be/OP29qgArQNU

🦔THF

22.03.202516:03

LOL... да кто это ваш LOLRMM?! 😠

Последние тенденции крутятся вокруг легитимного или условно легитимного софта, именуемых как LOL (Living of the Land). Данную технику часто применяют Threat Actor'ы, чтобы немного поиграть на нервишках SOC и оставаться в сети максимально долго 🥷

Я уже обозревал некоторые проекты по типу LOLC2, а комьюнити уже выкатило огромный список RMM инструментов (по типу AnyDesk/TeamViewer):

LOLRMM

is a curated list of Remote Monitoring and Management (RMM) tools that could potentially be abused by threat actors. Inspired by the original LOLBAS project for tracking binaries and closely associated with LOLDrivers for malicious drivers, this project aims to assist security professionals in staying informed about these tools and their potential for misuse.
Из интересного для TH 🛡

Собрали 272 индикаторов инструментов для удаленного администрирования, что позволит обогатить данные в правилах и с большей долей вероятности поймать плохиша ❗️

Из интересного для Red Team 🎩

Список инструментов которые можно использовать и тихо сидеть в сетке не вызывая шума под носом у Антивируса 😏

🔗 Link: https://lolrmm.io/

@s0ld13r_ch

21.03.202510:13

Нас уже 500 🎉

И в честь этого разыгрываю три premium аккаунта в Телеграм ✈️

Условия:
Быть подписанным на канал @s0ld13r_ch и на каналы коллег ❤️

@ThreatHuntingFather - Батя Threat Hunting'а 😄
@network_quiz - кайфовый канал с разборами тем по сетям 🔫
@byteoflife - канал с отловом IoC блэчеров и интересными находками 🦅

Результаты выйдут 23го марта, stay tuned 🕺

Ну и нажать кнопочку участвовать 👋

@s0ld13r_ch

20.03.202508:37

Happy Nauryz 2025 🌺🦋🤣

May your shells be stable, your scans fruitful, and your reports impactful. Wishing you epic hunts, successful pentests, and zero false positives! 😉

@s0ld13r_ch

18.03.202517:11

Новая угроза атакует 💀

Исследователи Microsoft обнаружили новый троян удаленного доступа – StilachiRAT, который демонстрирует интересные техники уклонения от детекта, кражу данных и устойчивость в системе 🕺

Основные возможности StilachiRAT:

🔍 Сбор системной информации – собирает сведения об ОС, аппаратной конфигурации, RDP-сессиях и активных приложениях.

🔑 Кража учетных данных – извлекает сохраненные пароли из браузера Google Chrome.

💰 Охота на криптокошельки – ищет настройки 20+ расширений криптокошельков в реестре Windows.

📡 C2-коммуникация – использует порты 53, 443, 16000 для связи с сервером управления, выполняет удаленные команды и может работать как прокси.

🔄 Персистентность – использует Windows SCM и механизмы самовосстановления.

🕵️‍♂️ Мониторинг RDP – отслеживает активные RDP-сессии, перехватывает окна и может имитировать действия пользователя.

✂ Слежка за буфером обмена – ищет пароли и криптоключи в скопированных данных.

🚫 Анти-форензика – чистит журналы событий и обнаруживает песочницы.

Пока Microsoft не связывает StilachiRAT с конкретной группировкой, но предупреждает о его скрытности и рисках. Защититься можно с помощью строгих политик безопасности, ограничения прав пользователей и мониторинга подозрительной активности в сети

🔗 Подробнее можно почитать тут: https://www.microsoft.com/en-us/security/blog/2025/03/17/stilachirat-analysis-from-system-reconnaissance-to-cryptocurrency-theft/

P.S IoC с C2 в коммах 🌟

@s0ld13r_ch

Reposted from:

ByTe [ ]f Digital Life

17.03.202507:39

ANTI-FORENSIC WIN 💋

Рассмотрим несколько интересных методов антикриминалистики в WINDOWS

1. Очистка DNS кеша

ipconfig /flushdns >$null

2. Отключение NTFS Last Access Time

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem' -Name 'NtfsDisableLastAccessUpdate' -Value 1 -Force

NtfsDisableLastAccessUpdate = 1: при значении 1 в реестре Windows перестаёт обновлять поле «Дата последнего доступа» к файлам и папкам, когда к ним просто обращаются для чтения (не изменяя при этом содержимое).
fsutil behavior set disablelastaccess 3: дополнительная команда, которая на уровне системы (через утилиту fsutil) указывает Windows не обновлять метку времени последнего доступа.

3. Отключение Prefetch и Superfetch

Prefetch - один из значимых артефактов ОС Windows который позволяет фиксировать запуск ПО на хосте.

Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\' -Name 'EnablePrefetcher' -Value 0 -Force

Эти параметры в реестре отвечают за технологии Prefetch и Superfetch.
EnablePrefetcher = 0: при 0 Windows не будет создавать файлы-префетч для приложений (включая системные).
EnableSuperfetch = 0: Superfetch также отключается.

4. Остановка службы Windows Timeline (CDPUserSvc)

Stop-Service -Name CDPUserSvc* -Force 2>$null

CDPUserSvc (Connected Devices Platform) — сервис, который, в частности, отвечает за сбор данных для «Журнала действий», «Таймлайна» и некоторые функции синхронизации с облачными сервисами.

5. Удаление журнала USN (NTFS Change Journal)

fsutil usn deletejournal /d c: 2>$null

Команда fsutil usn deletejournal /d c: удаляет «журнал изменений» (USN Journal) на разделе C:.
Журнал USN (Update Sequence Number Journal) отслеживает все изменения на том или ином томе с файловой системой NTFS — созданы ли файлы, отредактированы, перенесены и т.д.

13.03.202510:09

Подхватил у @byteoflife идею этого поста и хочу поделиться про довольно популярную технику фингерпринтинга - Favicon Hashing 😸

Цель данной техники заключается в идентификации веб страниц и приложений на основе их значка favicon, в случае если актор использует весьма заметный favicon или не поменял его при деплое C2, то можно попробовать найти его в различных поисковых системах по типу Censys, FOFA 🦅

Для снятия хэша favicon можно использовать данный ресурс: https://faviconhasher.codejavu.tech/

А касательно поста вот и сам favicon hash (FOFA) 😏

icon_hash="-1049861794"

FOFA выдал 20 результатов, с 4 уникальными значениями 🔫

Детектнутые домены и IP 🪨

144[.]91[.]79[.]54
144[.]91[.]92[.]251
partagerapide[.]com
horusprotector[.]help

@s0ld13r_ch

All posts

Advertised1 day

06.04.202513:37Threat Hunting Father

834

More details

Records

19.04.202523:59

672Subscribers

06.04.202523:59

400Citation index

23.03.202523:59

1.3KAverage views per post

23.03.202523:59

1.3KAverage views per ad post

18.03.202523:59

16.43%ER

23.03.202523:59

235.26%ERR

Growth

More details

Subscribers

Citation index

Avg views per post

Avg views per ad post

ERR

More details

s0ld13r ch.

Statistic of Telegram Channel s0ld13r ch.

Subscribers

672

Citation index

0

Average views per post

559

Engagement rate (ER)

7.16%

Engagement rate by reach (ERR)

0%

Average views per ad post

285

0

Latest posts in group "s0ld13r ch."

Records

Growth

Popular posts s0ld13r ch.

Growth

Latest posts in group "s0ld13r ch."

Popular posts s0ld13r ch.

Statistic of Telegram Channel s0ld13r ch.

Subscribers

672

Citation index

0

Average views per post

559

Engagement rate (ER)

7.16%

Engagement rate by reach (ERR)

0%

Average views per ad post

285

0