Подниматор настроения. Видео-мемы с животными. Прикольные видео каждый день. Делись с друзьями ☺️
По рекламе: @lloggann
Last updated 4 дня, 3 часа назад
YT: https://youtube.com/@CryptoBoss
IG: Instagram.com/mernesmaxim
Мой тг @mernes_maxim
Last updated 1 месяц назад
Используем YARA правила, чтобы отключить сборщик событий Windows
YARA-правила позволяют путем анализа некоторых статических данных определять аномалии хоть в памяти, хоть на диске. Например, если в лицухе у ехешника указан Benjamin DELPY, то что-то идет не так :D
Но мы можем внедрять собственные YARA-правила. Например, следующее:
rule disable { condition: true }
Это приведет к тому, что все события, поступающие в Windows Event Log Service будут им же и отброшены.
Для реализации такого необычного метода отключения логирования уже написан POC
GitHub
GitHub - bats3c/EvtMute: Apply a filter to the events being reported by windows event logging
Apply a filter to the events being reported by windows event logging - bats3c/EvtMute
Аналог GetProcAddress
, но написан на ассемблере. Гуд...
https://github.com/WKL-Sec/FuncAddressPro
GitHub
GitHub - WKL-Sec/FuncAddressPro: A stealthy, assembly-based tool for secure function address resolution, offering a robust alternative…
A stealthy, assembly-based tool for secure function address resolution, offering a robust alternative to GetProcAddress. - WKL-Sec/FuncAddressPro
🎁 Source Code Disclosure in IIS 10.0! Almost.
There is a method to reveal the source code of some .NET apps. Here's how it works.
👉 https://swarm.ptsecurity.com/source-code-disclosure-in-asp-net-apps/
Рекомендую блог тем, кому интересен малдев, да и просто для понимания работы той или иной техники уклонения. В использовании VEH ничего нового нет, но Daniel Feichter очень подробно разбирает использование сисколов посредством глобального обработчика исключений.
https://redops.at/en/blog/syscalls-via-vectored-exception-handling
RedOps - English
Syscalls via Vectored Exception Handling - RedOps
CVE-2024-20656: Windows LPE in the VSStandardCollectorService150 service
PoC: https://github.com/Wh04m1001/CVE-2024-20656
#lpe #exploit #redteam #pentest
MDSec
CVE-2024-20656 - Local Privilege Escalation in the VSStandardCollectorService150 Service - MDSec
Overview Visual Studio is a complex and powerful IDE developed by Microsoft and comes with a lot of features that can be interesting from a red team perspective. During this...
Про токены доступа в Windows. Хороший материал👍
https://habr.com/ru/articles/776298/
Хабр
Токены. От появления до продвижения в Active Directory
О токенах, используемых в операционных системах семейства Windows слышали многие, ведь они являются важным звеном, участвующим в контексте безопасности всей операционной системы. В последнее время...
Всем привет, всех поздравляю 🎉🎊 кого-то с уже наступившим, а остальных с Наступающим!!! Так не хочется постить стату с TGStat, пусть тут будет отсебятина😁 ~~Этот год был тяжелый~~ Ещё один не похожий на другие год😅 Какие-то моменты вспоминаются с теплом и улыбкой😊 но некоторые наполнены и негативом, без этого никуда🤷♂ Поэтому хочу пожелать, чтобы в новом году было больше первого и меньше второго🙏 больше профессиональных достижений и меньше неудач👨💻 больше взаимопонимания, любви и меньше сор и разногласий🥰
Ну и как-то канал из личных заметок перерос в один из крупнейших в сфере, очень приятно))) всех обнял, всем мир) С Новым Годом🎅🎉🎉
Подниматор настроения. Видео-мемы с животными. Прикольные видео каждый день. Делись с друзьями ☺️
По рекламе: @lloggann
Last updated 4 дня, 3 часа назад
YT: https://youtube.com/@CryptoBoss
IG: Instagram.com/mernesmaxim
Мой тг @mernes_maxim
Last updated 1 месяц назад