🐧 Текущее состояние Cobalt Strike в арсенале Red Team

Cobalt Strike долгое время оставался ключевым инструментом. Но с годами его популярность сыграла против него — сигнатуры расползлись по всем EDR и SOC-системам, а использование «из коробки» стало слишком предсказуемым.

✅ За что любят:

— Полный арсенал атак из коробки

— Лёгкая автоматизация и работа в команде

— Обфускация, lateral movement, встроенные профили — мечта для быстрой работы

⚠️ А за что хейтят:

— Сигнатуры давно в каждом SOC и EDR

— Даже sleep 5s уже детектится как IOC

— Стало «слишком мейнстрим»: включил — попался

А что вы используете в проде? Cobalt Strike, что-то кастомное или всё ещё Metasploit? Делись своим стеком в комментах ✏️

🐸 Библиотека хакера

#междусобойчик

📌 Подборка статей и видео по теме обхода AMSI и ETW

В этой подборке собраны свежие материалы, начиная от базовых подходов до продвинутых техник с хардварными брейкпоинтами и системными патчами в память процесса.

➖ AMSI bypass от истоков к Windows 11 — полный разбор API AMSI: AmsiInit, AmsiScanBuffer, обход .NET‑анализаторов, методы патчинга DLL.

➖ Продвинутые техники обхода EDR с помощью аппаратных точек останова — глубокий анализ ETW, какие функции логируют события, как использовать HW breakpoints вместо патчинга.

➖ Vaadata: Antivirus and EDR Bypass Techniques Explained — подробный гайд по патчингу AmsiScanBuffer и EtwEventWrite функциями WriteProcessMemory (+ примеры).

➖ AMSI Bypass — обзор принципов обхода AMSI, разбор кода и принципов работы .

➖ Ghosting AMSI and Taking Win10 and 11 to the DarkSide — демонстрация новой техники обхода AMSI в Windows 10/11.

🐸 Библиотека хакера

#свежак

⭐️ Задача на собеседовании: обход фильтра LFI

Сервер отдаёт содержимое файлов по URL (1)

Вы пробуете file=../../etc/passwd, но сервер возвращает ошибку: “Access denied: suspicious path” (2)

Какой из следующих payload’ов с наибольшей вероятностью обойдет фильтр и покажет содержимое /etc/passwd ❓

🐸 Библиотека хакера

#междусобойчик

😎 Топ-вакансий для хакеров за неделю

Главный специалист мониторинга ИБ — офис (Москва)

Руководитель направления Application Security — от 300 000 ₽, удаленно (Москва)

Pentester — удаленно (Москва)

Администратор информационной безопасности — от 180 000 ₽, удаленно (Москва)

Cybersecurity Engineer — 7 000 —‍ 9 000 €, релокация (Кипр, г.Лимасол)

➡️ Еще больше топовых вакансий — в нашем канале InfoSec jobs

🐸 Библиотека хакера

#свежак

⭐️ Шпаргалка по анализу shellcode и бинарей

В этом компактном наборе вы найдёте 5 ключевых инструментов для быстрого реверс-инжиниринга и пентеста:

➡️ xorsearch – ищем шаблоны shellcode в бинарях;

➡️ scdbg и runsc32 – эмулируем и запускаем shellcode в изолированном окружении;

➡️ base64dump.py – вытаскиваем все Base64-строки из файла;

➡️ numbers-to-string.py – конвертируем числовые коды в читаемый текст.

🐸 Библиотека хакера

#буст

😎 Как анализировать JavaScript-файлы в поисках уязвимостей

JavaScript-файлы — кладезь информации для хакера. В них часто прячутся: API-ключи, токены, внутренние маршруты и многое другое. Разбираемся по шагам:

1. Находим JavaScript-файлы

🔘 DevTools → Network → фильтр JS

🔘 Поиск в HTML: <script src=...>

🔘 Через robots.txt, sitemap.xml — могут быть нестандартные пути

🔘 Массовый сбор:

gau example.com | grep "\.js"
subjs -i example.com

2. Красиво форматируем код

🔘 Сохраняем файл:

curl -s https://example.com/static/app.js -o app.js

🔘 Преобразуем в читаемый вид:

js-beautify app.js -o app_pretty.js

3. Ищем ключи и токены

🔘 Регулярный поиск чувствительных строк:

grep -Ei 'apikey|token|secret|authorization|bearer' app_pretty.js

⚠️ Обратите внимание на: firebaseConfig, AWS.config.update, process.env, window._env_, accessKey, clientSecret

Также можно подключить:

trufflehog --regex --entropy=True --json app_pretty.js

4. Извлекаем внутренние API и маршруты

🔘 Подозрительные запросы:

fetch("/api/internal/user/settings")
axios.post("/admin/config»)

⚠️ Полезные шаблоны:

— /v1/private/, /internal/, /debug/

— /graphql, /admin/, /api/secret

— нестандартные порты: 3000, 5000, 8080

🔘 Используйте LinkFinder:

python3 linkfinder.py -i app.js -o cli

5. Анализируем бизнес-логику

🔘 Примеры опасных конструкций:

if (user.role === 'admin') { ... }       
if (!user.isLoggedIn) { return; } 

🔘 Смотрите, как собираются токены:

headers: {
  Authorization: `Bearer ${localStorage.getItem("jwt")}`
}

6. Ищем DOM-based XSS

🔘 Уязвимые конструкции:

element.innerHTML = location.hash;
document.write(decodeURIComponent(param));

💡 JS-файлы — это раскрытая подноготная фронта. Один пропущенный файл может стоить компании доступа к внутреннему API, админке или ключам.

🐸 Библиотека хакера

#буст

🥹

🐸 Библиотека хакера

#развлекалово