Разбор одного вируса с ТГ канала peekbot
#malware

Автор решил написать эту заметку, чтобы помочь потенциальными жертвам подобных раздач вирусов, люди пытаются найти способы смотреть ютуб, а находят майнер в свою ОС. Здесь будут приведены все пруфы которые я смог собрать специально заражая этим вирусом отдельную машину с Windows 10.

На ТГ канале peekbot при поддержке его ютубканала peekbot, с видеоинструкциями по установке и настройке, раздаётся файл с вирусом-майнером, внедренный в известный многим пакет zapret.zip с гитхаба, который меняет формат пакетов tcp/ip чтобы "ускорить" старые "медленные сервера" googlevideo и не только. Заранее просьба ко всем - подайте жалобы на эти TG и Youtube каналы с указанием на вирус-майнер. Жертв вируса будет намного меньше если эти каналы исчезнут, там сейчас очень много незадачливых подписчиков (30к на ТГ и 61К а Ютубе).

➡️ Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | ☕️ Всем новогоднего настроения!

Новогодний опрос про ваш опыт прохождения курсов в этом году 🌚

Опрос анонимный, данные никуда не уйдут 😹

👉 Отвечать ТУТ 👈

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | ☕️ Всем новогоднего настроения!

Попытались меня сейчас развести якобы от лица моего телефонного оператора

Назвали мои данные: ФИО, номер телефона, СНИЛС, ИНН. Якобы закончился срок действия номера телефона и предложили или продлить, или заменить на другой. Я чёт как лопух во всё поверил, т.к. очень грамотно ссылались на законодательные акты о перс данных, случаях серых симок и т.д.

Последнее, что остановило: СМС от госуслуг, где сука написано: Смена пароля и код для подтверждения, который нужно было назвать боту. Вот тут я уже трубку сбросил.

Будьте бдительны и не видетесь на новую разводку ❤️

Надзор за Sysmon. Защищаем мониторинг от атак штатными средствами Windows
#харденинг #windows #sysmon

На пути ата­кующе­го час­то сто­ят сис­темы EDR, цель которых — обна­ружить ата­ку и сооб­щить о ней пер­вой линии обо­роны SOC. Что­бы оста­вать­ся незаме­чен­ными, пен­тесте­рам при­ходит­ся обхо­дить монито­ринг. В этой статье погово­рим о том, как имен­но это дела­ется в слу­чае с ата­ками на Windows.
Как извес­тно, один из основных механиз­мов Windows, на который полага­ются боль­шинс­тво решений клас­са EDR, — это Event Tracing for Windows. Он как пос­тавля­ет дан­ные для фор­мирова­ния алер­тов, так и дела­ет записи в при­выч­ном нам жур­нале событий (в отдель­ных слу­чаях).

Ра­нее мы уже раз­бирали, как ата­кующие могут воз­дей­ство­вать на под­систе­му ETW, что­бы сде­лать Sysmon мак­сималь­но бес­полез­ным. В этом матери­але мы пос­мотрим, как эти тех­ники мож­но детек­тировать (как ни стран­но, но с помощью того же самого ETW).

🔓 Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

All I Want for Christmas is a CVE-2024-30085 Exploit
#windows #privesc #microsoft

Статья от StarsLab - это те самые ребята, что отрепортили пачку CVE в 1C Bitrix, так что статья как минимум достойна вашего внмания)

CVE-2024-30085 is a heap-based buffer overflow vulnerability affecting the Windows Cloud Files Mini Filter Driver cldflt.sys. By crafting a custom reparse point, it is possible to trigger the buffer overflow to corrupt an adjacent _WNF_STATE_DATA object. The corrupted _WNF_STATE_DATA object can be used to leak a kernel pointer from an ALPC handle table object. A second buffer overflow is then used to corrupt another _WNF_STATE_DATA object, which is then used to corrupt an adjacent PipeAttribute object. By forging a PipeAttribute object in userspace, we are able to leak the token address and override privileges to escalate privileges to NT AUTHORITY\SYSTEM.

➡️Читать далее
➡️Video PoC (тот же, что прикреплен к посту)
📱 Github PoC

☕️ Всех с наступающим!

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча Продажи закрыты до следующего года

Итоги года Похек
#итоги_года

+9к подписчиков
Более тысячи постов за год
3,4 МИЛЛИОНА просмотров
Около 37к репостов
5 тысяч комментариев
Около 15к реакций на постах

Это цифры космические какие-то.... Большое вам спасибо!!❤️❤️

«Байки безопасности» выпустили второй и заключительный ролик в этом году. Я его посмотрел и мне было очень приятно послушать их, моментами посмеяться, а то как Максим Хараск кайфовал в кадре и не описать 😁 Всем бы такую харизматичность и открытость)

Ребята обсудили:
1. Как вливаться в рабочий ритм в после праздников. Если кратко, то никак 😁 Но более интересные размышления ребята выдали в подкасте.
2. Рынок ИБ для B2C. Тут не буду вам спойлерить, их полезно послушать.
3. Из прикольных тем было про токсичность ИБ-комьюнити. Это холиварная тема, моё мнение, что ИБ тем самым переваривает тех, кто пытается ей заниматься и работает как естественный отбор, потому что объективно ИБ требует нехилой моральной выдержки.


Сегодня последний рабочий день в году, поэтому включить на фоне подкастик и немного напитаться предновогодней ИБ атмосферой, я считаю хорошим решением)

Смотреть подкаст тута 📺 YouTube | 📺 VK

☕️ Всех с наступающим!

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK

Вот и закончились абсолютно все меропроятия, рабочие встречи и т.д.

👉 Заболел :( Я умудрился посадить голос и простыть. Иммунитет всё таки не выдержал -_0.0_-
👉 Отдых. Постараюсь отдохнуть на этих выходных. Отвечать буду только на важные вопросы, по остальным поводам буду в архив кидать и прочитаю по наличию желания
👉 Рекламодателям: информационные размещения возобновятся с 9 января, тогда же когда и банки откроются. Но можете с 7-8 числа заранее бронировать даты через моего менеджера @not_savely, мне по вопросам рекламы более писать не нужно.

🔺 Важно. В следующем году ожидайте релиз моей платформы обучения aka LMS (я знаю, что некоторым обещал в Q3 этого года, но как вышло - так вышло) и курсов на ней. Будут бесплатные и платные курсы, направления курсов более чем актуальные будут. Так что stay tuned!
Будет выборочное закрытое бета тестирование. Если кому интересен стек, то это Go + NextJS. Если есть годные идеи или решения, что мне предложить, то велком в ЛС @szybnev, но просьба начинать сообщение с #lms, чтобы я не пропустил ваше сообщение.

📆 В целом этот год для меня уже мысленно закончился. Уверено скажу, что он получился настолько тяжелый, насколько продуктивный.

🌚 Мои пожелания вам:
👉 Work&Work - это п**дец, вывозить это на трезвую вообще не реально, поэтому советую качественно и системно давать себе отдых.
👉 Быстрый рост максимально коррелицируется с сжигаем нервных клеток, поэтому заботьтесь о своем физическом и психологиском состоянии, потом ещё спасибо скажите)
👉 Но в противовес своих слов ранее скажу, что пока ты молодой/молодая - есть возможность прожечь N% здоровья, чтобы стать крутым спецом, но лучше иногда недобдеть, чем потом тратить заработанные деньги на врачей и не свой отдых)

С этой минуты беру радио молчанию и желаю всем провести отлично праздники)

☕️ Всех с наступающим!

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK

Поздравляю с Новым Годом!! ❤️❤️❤️