What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-10-02 17:11:01 | Comment construire une solide équipe OSINT pour détecter les attaques de phishing et de fraude How to Build a Strong OSINT Team to Detect Phishing and Fraud Attacks (lien direct) |
Introduction Don & # 8217; ne vous détestez-vous que lorsque vous entendez parler d'une autre entreprise victime de phishing ou d'attaques de fraude?
Introduction Don’t you just hate it when you hear about yet another company falling victim to phishing or fraud attacks? |
Guideline Technical | ★★★ | |
|
2023-10-02 16:45:20 | NetworkMiner 2.8.1: dévoiler de nouvelles capacités en médecine légale du réseau NetworkMiner 2.8.1: Unveiling New Capabilities in Network Forensics (lien direct) |
Introduction excitée pour le réseau médico-légal?Tu devrais être!Aujourd'hui marque la sortie de NetworkMiner 2.8.1, et il est rempli de nouveaux
Introduction Excited about network forensics? You should be! Today marks the release of NetworkMiner 2.8.1, and it’s packed with new |
Tool Technical | ★★★ | |
|
2023-10-02 15:51:46 | Intégration d'Osint dans le centre d'opérations de sécurité: augmentation de l'efficacité, services innovants et améliorant les marges bénéficiaires Integrating OSINT in the Security Operations Center: Boosting Efficiency, Innovating Services, and Enhancing Profit Margins (lien direct) |
Dans un monde à mondialiser rapidement, les frontières entre les cyber opérations et les implications réelles se brouillants.C'est une réalité que chaque
In a rapidly globalizing world, the lines between cyber operations and real-world implications are blurring. It’s a reality that every |
Technical | ★★★ | |
 |
2023-10-02 15:06:17 | Éclairage actif de l'infrastructure de Lycantrox Active Lycantrox infrastructure illumination (lien direct) |
> Sekoia.io surveille activement des centaines de clusters d'infrastructures malveillants pour protéger ses clients.À la lumière du récent CitizenLab Blogspot et en solidarité avec les efforts contre les cyber-mercenaires, nous avons choisi de faire la lumière sur l'un des grappes d'infrastructure employées parLycantrox, potentiellement pour compromettre leurs cibles.
la publication Suivante illumination de l'infrastructure de lycantrox active href = "https://blog.sekoia.io" rel = "nofollow"> sekoia.io blog .
>SEKOIA.IO is actively monitoring hundreds of malicious infrastructure clusters to protect its customers. In light of the recent Citizenlab blogspot and in solidarity with the efforts against cyber mercenaries, we have chosen to shed light on one of the infrastructure clusters employed by Lycantrox, potentially for compromising their targets. La publication suivante Active Lycantrox infrastructure illumination est un article de Sekoia.io Blog. |
Technical | ★★★★ | |
|
2023-10-02 02:34:30 | Top outils de médecine légale numérique (2023) Top Digital Forensics Tools (2023) (lien direct) |
Vous vous demandez quels outils de médecine légale numérique font des vagues dans le paysage de la cybersécurité?Vous êtes au bon endroit.Dans ce
Wondering which digital forensics tools are making waves in the cybersecurity landscape? You’ve come to the right place. In this |
Tool Technical | ★★★★ | |
 |
2023-09-29 23:18:54 | Au-delà du bon ol \\ '.Bashrc Entrée… Partie 1 Beyond the good ol\\' .bashrc entry… Part 1 (lien direct) |
Je ne sais vraiment pas si c'est le premier post de la série, ou juste un seul-off aussi, le dernier.Il existe de nombreux articles de blog fantastiques qui traitent des astuces de persistance les plus populaires, F.Ex.& # 8230; Continuer la lecture & # 8594;
I really don’t know if this is the first post in the series, or just a one-off that is also, the last. There are many fantastic blog posts out there that deal with the most popular Linux persistence tricks, f.ex. … Continue reading → |
Technical | ★★★ | |
|
2023-09-27 22:38:17 | Zydisinfo & # 8211;le démontbler qui rompt le code, deux fois ZydisInfo – the disassembler that breaks the code, twice (lien direct) |
Le moment où j'ai entendu parler du code machine et de ses opcodes & # 8230;Je suis tombé amoureux.Être capable de comprendre le code machine en regardant simplement le binaire (d'accord, surtout sa représentation hexadécimale) était comme de la magie.Et depuis de nombreux assemblages X86 simples & # 8230; Continuer la lecture & # 8594;
The moment I heard of machine code and its opcodes… I fell in love. Being able to understand machine code from just looking at the binary (okay, mostly its hexadecimal representation) felt like magic. And since many simple x86 assembly … Continue reading → |
Technical | ★★★ | |
 |
2023-09-27 10:57:35 | Rapport SOTI Akamai : le nombre de cyberattaques contre les services financiers européens a plus que doublé en 2023 (lien direct) | Rapport SOTI Akamai : le nombre de cyberattaques contre les services financiers européens a plus que doublé en 2023 Le segment de marché des services financiers est devenu la principale cible des attaques DDoS, devant celui des jeux vidéo - Investigations | Technical | ★★★ | |
|
2023-09-25 19:03:31 | Comment prouver qu'un iPhone a été essuyé: un guide étape par étape How to Prove an iPhone Was Wiped: A Step-By-Step Guide (lien direct) |
Vous êtes-vous déjà demandé comment confirmer qu'un iPhone a été effectivement épuisé?Vous & # 8217; n'est pas seul.S'assurer qu'un appareil
Ever wondered how to confirm that an iPhone has actually been wiped clean? You’re not alone. Ensuring that a device |
Technical | ★★★ | |
|
2023-09-22 22:48:48 | Utiliser les compétences OSINT pour votre propre protection… Using OSINT skills for your own protection… (lien direct) |
C'est probablement le blog le plus inhabituel que j'ai jamais écrit ici & # 8230;Oh, bien & # 8230;& # 8212;Tl; dr;Ma femme et moi avons récemment séjourné dans un hôtel assez cher.J'ai remporté le nom et la honte, mais il est juste de dire qu'ils n'ont pas fait & # 8217; t & # 8230; Continuer la lecture & # 8594;
This is probably the most unusual blog post I have ever written here… Oh, well… — TL;DR; My wife and I recently stayed at a pretty expensive hotel. I won’t name and shame, but it’s fair to say they didn’t … Continue reading → |
Technical | ★★★ | |
 |
2023-09-22 16:08:06 | EvilBamboo cible les appareils mobiles dans une campagne pluriannuelle EvilBamboo Targets Mobile Devices in Multi-year Campaign (lien direct) |
> La volexité a identifié plusieurs campagnes de longue durée et actuellement actives entrepris par les pistes de volexité de la menace comme le maléfique (anciennement Evil Eye) ciblant les individus et les organisations taiwanais, ouïghour et taïwanais.Ces objectifs représentent trois des cinq groupes toxiques du Parti communiste chinois (PCC).La volexité a suivi les activités de EvilBamboo depuis plus de cinq ans et continue d'observer de nouvelles campagnes de cet acteur de menace.En septembre 2019, la volexité a décrit le déploiement d'un cadre de reconnaissance et de logiciels malveillants Android personnalisés ciblant les communautés ouïghour et tibétaine.En avril 2020, les attaques détaillées par volexité par cet acteur de menace contre les appareils iOS, en utilisant un exploit de safari pour infecter les utilisateurs ouïghour avec des logiciels malveillants iOS personnalisés.Les principaux faits saillants des enquêtes récentes de Volexity \\ incluent les éléments suivants: Ciblage Android: Développement de trois familles de logiciels malveillants Android personnalisés, Badbazaar, Badsignal et Badsolar, pour infecter les adversaires du CCP est en cours.Faux sites Web et profils de médias sociaux: l'attaquant a [& # 8230;]
>Volexity has identified several long-running and currently active campaigns undertaken by the threat actor Volexity tracks as EvilBamboo (formerly named Evil Eye) targeting Tibetan, Uyghur, and Taiwanese individuals and organizations. These targets represent three of the Five Poisonous Groups of Chinese Communist Party (CCP). Volexity has tracked the activities of EvilBamboo for more than five years and continues to observe new campaigns from this threat actor. In September 2019, Volexity described the deployment of a reconnaissance framework and custom Android malware targeting both the Uyghur and Tibetan communities. In April 2020, Volexity detailed attacks by this threat actor against iOS devices, using a Safari exploit to infect Uyghur users with custom iOS malware. Key highlights from Volexity\'s recent investigations include the following: Android targeting: Development of three custom Android malware families, BADBAZAAR, BADSIGNAL, and BADSOLAR, to infect CCP adversaries is ongoing. Fake websites and social media profiles: The attacker has […] |
Malware Threat Technical | ★★★ | |
|
2023-09-21 22:37:46 | Documenter les sans-papiers & # 8211;La méthode Saveas de Excel \\… Documenting the undocumented – Excel\\'s SaveAs method… (lien direct) |
Il y a quelques jours, Kernelv0id a posé des questions sur un format Excel sans papiers qu'il a observé utilisé par l'une des charges utiles qu'il analysait.Il a vu un fichier .xlsb malveillant supprimer un fichier qui était enregistré avec un fichier & # 8230; Continuer la lecture &# 8594;
A few days ago kernelv0id asked about an undocumented Excel format that he observed being used by one of the payloads he was analysing. He saw a malicious .xlsb file dropping a file that was being saved with a file … Continue reading → |
Technical | ★★★★ | |
 |
2023-09-19 09:01:22 | Analyse d'un exploit Android in-the-wild moderne Analyzing a Modern In-the-wild Android Exploit (lien direct) |
By Seth Jenkins, Project ZeroIntroductionIn December 2022, Google\'s Threat Analysis Group (TAG) discovered an in-the-wild exploit chain targeting Samsung Android devices. TAG\'s blog post covers the targeting and the actor behind the campaign. This is a technical analysis of the final stage of one of the exploit chains, specifically CVE-2023-0266 (a 0-day in the ALSA compatibility layer) and CVE-2023-26083 (a 0-day in the Mali GPU driver) as well as the techniques used by the attacker to gain kernel arbitrary read/write access.Notably, all of the previous stages of the exploit chain used n-day vulnerabilities:CVE-2022-4262, a vulnerability patched in Chrome that was unpatched in the Samsung browser (i.e. a "Chrome n-day"), was used to achieve RCE.CVE-2022-3038, another Chrome n-day, was used to escape the Samsung browser sandbox. CVE-2022-22706, a Mali n-day, was used to achieve higher-level userland privileges. While that bug had been patched by Arm in January of 2022, the patch had not been downstreamed into Samsung devices at the point that the exploit chain was discovered.We now pick up the thread after the attacker has achieved execution as system_server.Bug #1: Compatibility Layers Have Bugs Too (CVE-2023-0266)The exploit continues with a race condition in the kern | Vulnerability Threat Technical | ★★ | |
 |
2023-09-14 19:03:55 | Une approche proactive de la chasse aux menaces dans la sécurité des entreprises A proactive approach to threat hunting in enterprise security (lien direct) |
L'un des chasseurs de menaces experts de Red Canary \\ a récemment rejoint le podcast «attendre juste un infosec» pour discuter de la chasse aux menaces dans un SOC de classe mondiale.
One of Red Canary\'s expert threat hunters recently joined the “Wait Just an Infosec” podcast to discuss threat hunting in a world-class SOC. |
Threat Technical | ★★★ | |
|
2023-09-09 00:09:28 | Lolbins pour les connaisseurs… partie 2 Lolbins for connoisseurs… Part 2 (lien direct) |
Cela peut sembler un peu contre-intuitif, mais certains lolbins très connus se rendent souvent dans des endroits que personne ne pensait jamais être possibles & # 8230;Poursuivant le sujet que j'ai commencé quelques jours plus tôt, aujourd'hui, je vais explorer quelques autres & # 8230; | Technical | ★★★ | |
 |
2023-09-06 10:25:00 | Bugy octets # 210 & # 8211;Zenbleed, interview les questions, les pièces de défi et les injections SQL Bug Bytes #210 – Zenbleed, Interview Questions, Challenge Coins and SQL Injections (lien direct) |
> Bug Bytes est une newsletter hebdomadaire organisée par les membres de la communauté Bug Bounty.La deuxième série est organisée par InsiderPhd.Chaque semaine, elle nous tient à jour avec une liste complète des articles, des outils, des tutoriels et des ressources.Ce numéro couvre la semaine du 28 août & # 8211;3 septembre Intigriti News de mon cahier
>Bug Bytes is a weekly newsletter curated by members of the bug bounty community. The second series is curated by InsiderPhD. Every week, she keeps us up to date with a comprehensive list of write-ups, tools, tutorials and resources. This issue covers the week from August 28th – September 3rd Intigriti News From my notebook |
Technical | ★★★ | |
|
2023-09-03 18:00:04 | Le secret du 961C151D2E87F2686A955A9BE24D316F1362BF21 The secret of 961c151d2e87f2686a955a9be24d316f1362bf21 (lien direct) |
Un récemment est tombé sur un échantillon qui comprenait la chaîne mystérieuse suivante: j'ai googlé et non seulement j'ai trouvé quelques occurrences supplémentaires de cette chaîne, mais j'ai également trouvé une règle Yara (avertissement PDF) qui l'a fait référence.J'ai dû & # 8230; continuer la lecture & # 8594;/ span>
A recently came across a sample that included the following, mysterious string: I googled around and not only found a few more occurrences of this string, but also found a yara rule (PDF warning) that referenced it. I had to … Continue reading → |
Technical | ★★★ | |
|
2023-08-25 23:05:18 | Des lolbins pour les connaisseurs… Lolbins for connoisseurs… (lien direct) |
Nous sommes tous assez obsédés par la pureté des lolbins.Mieux encore, s'il s'agit d'un comportement caché/non documenté/inattendu d'un binaire natif du système d'exploitation qui peut être abusé à des fins néfastes.Évidemment, je les aime le plus aussi.Cependant…Vivre …Continuer la lecture →
We are all quite fixated on a purity of lolbins. Best if it is a hidden/undocumented/unexpected behavior of a native OS binary that can be abused for some nefarious purposes. I, obviously, love these the most, too. However… Living Off … Continue reading → |
Technical | ★★★ | |
 |
2023-06-09 15:42:46 | Trouver et exploiter les conducteurs de tueurs de processus avec LOL pour 3000 $ Finding and exploiting process killer drivers with LOL for 3000$ (lien direct) |
Cet article décrit un moyen rapide de trouver des conducteurs de tueurs de processus exploitables faciles.Il existe de nombreuses façons d'identifier et d'exploiter les conducteurs de tueurs de processus.Cet article n'est pas exhaustif et ne présente qu'une seule méthode (facile).
Dernièrement, l'utilisation de la technique BYOVD pour tuer les agents AV et EDR semble tendance.Le projet Blackout ZeromeMoryEx, l'outil Terminator vendu (pour 3000 $) de Spyboy en est quelques exemples récents.
L'utilisation de conducteurs vulnérables pour tuer AV et EDR n'est pas neuf, il a été utilisé par APTS, Red Teamers et Ransomware Gangs depuis un certain temps.
This article describes a quick way to find easy exploitable process killer drivers. There are many ways to identify and exploit process killer drivers. This article is not exhaustive and presents only one (easy) method. Lately, the use of the BYOVD technique to kill AV and EDR agents seems trending. The ZeroMemoryEx Blackout project, the Terminator tool sold (for 3000$) by spyboy are some recent examples. Using vulnerable drivers to kill AV and EDR is not brand new, it’s been used by APTs, Red Teamers, and ransomware gangs for quite some time. |
Ransomware Tool Technical | ★★★★ | |
 |
2023-05-10 22:00:00 | Clean Code est-il la solution de la qualité du code du cahier Jupyter? Is Clean Code the solution to Jupyter notebook code quality? (lien direct) |
Clean Code est-il la solution de la qualité du code du cahier Jupyter?
Is Clean Code the solution to Jupyter notebook code quality? |
Technical | ★★★ | |
|
2023-05-10 08:00:00 | ES2023 introduit de nouvelles méthodes de copie du tableau à JavaScript ES2023 introduces new array copying methods to JavaScript (lien direct) |
Il existe de nouvelles méthodes de tableau en JavaScript et ils sont là pour rendre nos programmes plus prévisibles et maintenables.
There are new array methods in JavaScript and they are here to make our programs more predictable and maintainable. |
Technical | ★★★ | |
|
2023-05-01 22:00:00 | Python bizarre: 5 comportements inattendus dans l'interpréteur Python Weird Python: 5 Unexpected Behaviors in the Python Interpreter (lien direct) |
Cinq façons dont l'interprète de Python se comporte de manière à ce que vous ne vous attendez pas.
Five ways in which Python\'s interpreter behaves in ways that you wouldn\'t expect. |
Technical | ★★★ | |
|
2023-04-25 22:00:00 | Entretien avec Sonar Python Developers Part 2 Interview with Sonar Python Developers Part 2 (lien direct) |
Derniers développements Python.Entretien avec des développeurs Python de Sonar.
Latest Python developments. Interview with Python developers from Sonar. |
Technical | ★★★ | |
|
2023-04-24 22:00:00 | Odoo: obtenez votre type de contenu, ou bien! Odoo: Get your Content Type right, or else! (lien direct) |
Pour quoi avons-nous besoin de types de contenu de toute façon?Laissez \\ examiner comment un type de contenu incorrect a conduit à une vulnérabilité du monde réel dans Odoo, CVE-2023-1434.
What do we need content types for anyway? Let\'s look into how an incorrect content type led to a real-world vulnerability in Odoo, CVE-2023-1434. |
Vulnerability Technical | ★★★ | |
|
2023-04-17 22:00:00 | Entretien avec les développeurs de sonar Python Partie 1 Interview with Sonar Python Developers Part 1 (lien direct) |
Pourquoi devrais-je apprendre la langue python?Quand dois-je utiliser Python?L'outillage autour du développement de Python est-il mature?
Why should I learn Python language? When should I use Python? Is tooling around Python development mature? |
Technical | ★★★ | |
|
2023-03-29 22:00:00 | Il est un piège (snmp): gagner l'exécution du code sur les libréns It\\'s a (SNMP) Trap: Gaining Code Execution on LibreNMS (lien direct) |
Nos chercheurs ont découvert une vulnérabilité dans les Librenms, qui pourraient être exploités par les attaquants pour gagner RCE en envoyant un seul piège SNMP.
Our researchers discovered a vulnerability in LibreNMS, which could be exploited by attackers to gain RCE by sending a single SNMP trap. |
Vulnerability Technical | ★★★ | |
|
2023-03-20 23:00:00 | Les 5 principaux problèmes de dactylographie trouvés par sonarlint The top 5 common TypeScript issues found by SonarLint (lien direct) |
Nous avons critiqué les données de Sonarlint pour découvrir les 5 principaux problèmes de typeScript les plus courants.Ceci est un résumé du top 5
We crunched the data from SonarLint to discover the top 5 most common TypeScript issues. This is a summary of the top 5 |
Technical | ★★★ | |
|
2023-03-08 23:00:00 | (Déjà vu) Problèmes de dactylographie communs N & ORDM;1: affectations dans les sous-expressions Common TypeScript Issues Nº 1: assignments within sub-expressions (lien direct) |
Nous avons critiqué les données de Sonarlint pour découvrir les 5 principaux problèmes de typeScript les plus courants.Dans cette série en 5 parties, nous décrivons chaque problème et comment l'éviter.
We crunched the data from SonarLint to discover the top 5 most common TypeScript issues. In this 5 part series, we outline each issue and how to avoid it. |
Technical | ★★★ | |
|
2023-03-01 23:00:00 | (Déjà vu) Problèmes de dactylographie communs N & ORDM;2: déclarations non vides Common TypeScript Issues Nº 2: non-empty statements (lien direct) |
Nous avons critiqué les données de Sonarlint pour découvrir les 5 principaux problèmes de typeScript les plus courants.Dans cette série en 5 parties, nous décrivons chaque problème et comment l'éviter.
We crunched the data from SonarLint to discover the top 5 most common TypeScript issues. In this 5 part series, we outline each issue and how to avoid it. |
Technical | ★★★ | |
|
2023-02-20 23:00:00 | (Déjà vu) Problèmes de dactylographie communs N & ORDM;3: Variables et fonctions locales inutilisées Common TypeScript Issues Nº 3: unused local variables and functions (lien direct) |
Nous avons critiqué les données de Sonarlint pour découvrir les 5 principaux problèmes de typeScript les plus courants.Dans cette série en 5 parties, nous décrivons chaque problème et comment l'éviter.
We crunched the data from SonarLint to discover the top 5 most common TypeScript issues. In this 5 part series, we outline each issue and how to avoid it. |
Technical | ★★★ | |
|
2023-01-25 23:00:00 | OpenEMR - Exécution du code distant dans votre système de santé OpenEMR - Remote Code Execution in your Healthcare System (lien direct) |
Nous avons récemment découvert trois vulnérabilités qui permettent l'exécution de code arbitraire sur OpenEMR.Laissez voir ce que nous pouvons apprendre d'eux et discuter de leurs correctifs!
We recently discovered three vulnerabilities that allow arbitrary code execution on OpenEMR. Let\'s see what we can learn from them and discuss their patches! |
Vulnerability Technical | ★★★ | |
|
2023-01-03 00:00:00 | CACTI: Exécution de code distant non authentifié Cacti: Unauthenticated Remote Code Execution (lien direct) |
Découvrez comment nous avons découvert une vulnérabilité critique dans les cactus à l'aide de SonarCloud.
Learn how we discovered a critical vulnerability in Cacti with the help of SonarCloud. |
Vulnerability Technical | ★★★★ | |
|
2022-11-15 00:00:00 | (Déjà vu) CheckMk: Exécution du code distant en chaînant plusieurs bogues (3/3) Checkmk: Remote Code Execution by Chaining Multiple Bugs (3/3) (lien direct) |
Ce dernier article de la série détermine comment un attaquant peut chaîner deux vulnérabilités supplémentaires pour reprendre pleinement un serveur CheckMK.
This last article of the series determines how an attacker can chain two further vulnerabilities to fully take over a Checkmk server. |
Vulnerability Technical | ★★★ | |
|
2022-11-08 00:00:00 | CheckMk: Exécution du code distant en chaînant plusieurs bogues (2/3) Checkmk: Remote Code Execution by Chaining Multiple Bugs (2/3) (lien direct) |
Le deuxième article de cette série décrit comment un attaquant peut tirer parti de la possibilité de forger des requêtes LQL arbitraires pour accéder au composant Nagvis.
The second article of this series outlines how an attacker can leverage the ability to forge arbitrary LQL queries to gain access to the NagVis component. |
Technical | ★★★ | |
|
2022-11-01 00:00:00 | CheckMk: Exécution du code distant en chaînant plusieurs bogues (1/3) Checkmk: Remote Code Execution by Chaining Multiple Bugs (1/3) (lien direct) |
Nous avons découvert plusieurs vulnérabilités dans CheckMK, qui peuvent être enchaînées par un attaquant distant non authentifié pour reprendre pleinement un serveur vulnérable.
We discovered multiple vulnerabilities in Checkmk, which can be chained together by an unauthenticated, remote attacker to fully take over a vulnerable server. |
Vulnerability Technical | ★★★ | |
|
2022-09-15 00:00:00 | Entretien avec un développeur de sonarsource Interview with a SonarSource Developer (lien direct) |
Curieux de la vie en tant que développeur de Sonarsource?Rejoignez-nous pendant que nous discutons des changements dans le monde de la programmation, de l'importance de la sécurité et de l'écriture de code avec le développeur backend Sonarcloud Claire Villard.
Curious about life as a Developer at SonarSource? Join us as we discuss changes in the world of programming, the importance of Security, and writing code with SonarCloud Backend Developer Claire Villard. |
Technical | ★★ | |
|
2022-08-24 12:04:44 | FORCEDENTRY: Sandbox Escape (lien direct) | Posted by Ian Beer & Samuel Groß of Google Project Zero We want to thank Citizen Lab for sharing a sample of the FORCEDENTRY exploit with us, and Apple’s Security Engineering and Architecture (SEAR) group for collaborating with us on the technical analysis. Any editorial opinions reflected below are solely Project Zero’s and do not necessarily reflect those of the organizations we collaborated with during this research. Late last year we published a writeup of the initial remote code execution stage of FORCEDENTRY, the zero-click iMessage exploit attributed by Citizen Lab to NSO. By sending a .gif iMessage attachment (which was really a PDF) NSO were able to remotely trigger a heap buffer overflow in the ImageIO JBIG2 decoder. They used that vulnerability to bootstrap a powerful weird machine capable of loading the next stage in the infection process: the sandbox escape. In this post we'll take a look at that sandbox escape. It's notable for using only logic bugs. In fact it's unclear where the features that it uses end and the vulnerabilities which it abuses begin. Both current and upcoming state-of-the-art mitigations such as Pointer Authentication and Memory Tagging have no impact at all on this sandbox escape.An observation During our initial analysis of the .gif file Samuel noticed that rendering the image appeared to leak memory. Running the heap tool after releasing all the associated resources gave the following output: $ heap $pid ------------------------------------------------------------ All zones: 4631 nodes (826336 bytes) COUNT BYTES AVG CLASS_NAME TYPE BINARY ===== ===== === ========== ==== ====== 1969 469120 238.3 non-object 825 26400 32.0 JBIG2Bitmap C++ CoreGraphics | Vulnerability Technical | ★★★ | |
|
2022-08-23 12:22:51 | Windows Exploitation Tricks: Relaying DCOM Authentication (lien direct) | Posted by James Forshaw, Project Zero In my previous blog post I discussed the possibility of relaying Kerberos authentication from a DCOM connection. I was originally going to provide a more in-depth explanation of how that works, but as it's quite involved I thought it was worthy of its own blog post. This is primarily a technique to get relay authentication from another user on the same machine and forward that to a network service such as LDAP. You could use this to escalate privileges on a host using a technique similar to a blog post from Shenanigans Labs but removing the requirement for the WebDAV service. Let's get straight to it.Background The technique to locally relay authentication for DCOM was something I originally reported back in 2015 (issue 325). This issue was fixed as CVE-2015-2370, however the underlying authentication relay using DCOM remained. This was repurposed and expanded upon by various others for local and remote privilege escalation in the RottenPotato series of exploits, the latest in that line being RemotePotato which is currently unpatched as of October 2021. The key feature that the exploit abused is standard COM marshaling. Specifically when a COM object is marshaled so that it can be used by a different process or host, the COM runtime generates an OBJREF structure, most commonly the OBJREF_STANDARD form. This structure contains all the information necessary to establish a connection between a COM client and the original object in the COM server. Connecting to the original object from the OBJREF is a two part process:The client extracts the Object Exporter ID (OXID) from the structure and contacts the OXID resolver service specified by the RPC binding information in the OBJREF.The client uses the OXID resolver service to find the RPC binding information of the COM server which hosts the object and establishes a connection to the RPC endpoint to access the object's interfaces. Both of these steps require establishing an MSRPC connection to an endpoint. Commonly this is either locally over ALPC, or remotely via TCP. If a TCP connection is used then the client will also authenticate to the RPC server using NTLM or Kerberos based on the security bindings in the OBJREF. | Technical | ★★★ | |
|
2022-08-23 12:03:57 | A deep dive into an NSO zero-click iMessage exploit: Remote Code Execution (lien direct) | Posted by Ian Beer & Samuel Groß of Google Project Zero We want to thank Citizen Lab for sharing a sample of the FORCEDENTRY exploit with us, and Apple’s Security Engineering and Architecture (SEAR) group for collaborating with us on the technical analysis. The editorial opinions reflected below are solely Project Zero’s and do not necessarily reflect those of the organizations we collaborated with during this research. Earlier this year, Citizen Lab managed to capture an NSO iMessage-based zero-click exploit being used to target a Saudi activist. In this two-part blog post series we will describe for the first time how an in-the-wild zero-click iMessage exploit works. Based on our research and findings, we assess this to be one of the most technically sophisticated exploits we've ever seen, further demonstrating that the capabilities NSO provides rival those previously thought to be accessible to only a handful of nation states. The vulnerability discussed in this blog post was fixed on September 13, 2021 in iOS 14.8 as CVE-2021-30860. NSO NSO Group is one of the highest-profile providers of "access-as-a-service", selling packaged hacking solutions which enable nation state actors without a home-grown offensive cyber capability to "pay-to-play", vastly expanding the number of nations with such cyber capabilities. For years, groups like Citizen Lab and Amnesty International have been tracking the use of NSO's mobile spyware package "Pegasus". Despite NSO's claims that they "[evaluate] the potential for adverse human rights impacts arising from the misuse of NSO products" Pegasus has been linked to the hacking of the New York Times journalist Ben Hubbard by the Saudi regime, hacking of human rights defenders in Morocco and Bahrain, the targeting of Amnesty | Vulnerability Technical | ★★★ | |
 |
2022-07-14 13:41:53 | À l'intérieur des applications Windows malveillantes pour le déploiement de logiciels malveillants Inside Malicious Windows Apps for Malware Deployment (lien direct) |
Découvrez comment les acteurs de la menace manipulent Windows pour installer des applications malveillantes qui sont fiables par le système et comment se défendre contre eux.
Learn how threat actors manipulate Windows to install malicious apps that are trusted by the system, and how to defend against them. |
Malware Threat Technical | ★★★ | |
|
2022-05-27 11:33:26 | Bypass EDR: comment et pourquoi décrocher le tableau d'adresse d'importation EDR Bypass : How and Why to Unhook the Import Address Table (lien direct) |
Un jour, j'essayais de contourner un EDR et j'ai remarqué quelque chose d'intéressant.
L'EDR que j'essayais de contourner n'a pas accroché la DLL dans leur code avec des instructions JMP comme les autres EDR dans User-Land.
Dans ce cas, il accrochait directement le tableau d'adresse d'importation.Cette technique fait le déplacement habituel comme le mise en direct ou l'effacement de la DLL chargée avec une fraîchement chargée de disque inutile.
J'ai dû décrocher le tableau d'adresse d'importation de mon processus.
One day, I was trying to bypass an EDR and I noticed something interesting. The EDR I was trying to bypass wasn’t hooking the DLL in their code with jmp instruction like other EDRs in user-land. In this case, it was hooking directly the Import Address Table. This technique makes the usual move like live-patching, or erasing the loaded DLL with one freshly loaded from disk useless. I had to unhook the Import Address Table of my process. |
Technical | ★★★★ | |
|
2022-03-24 12:12:24 | Un voyage syscall dans le noyau Windows A Syscall Journey in the Windows Kernel (lien direct) |
L'analyse de ce post a été réalisée à partir d'un bits Windows 10 x64.Si vous essayez de comparer le contenu de cet article sur une version Windows inférieure, vous serez déçu car des modifications ont été apportées dans Windows 10.
Dans mon dernier article dédié aux différentes façons de récupérer l'ID Syscall, j'ai expliqué rapidement comment les systèmes directs ont été effectués en mode utilisateur et je suis resté vague sur la façon dont il a été traité en mode noyau.
The analysis on this post was made from a Windows 10 x64 bits. If you are trying to compare the content of this post on a lower Windows version you will be disappointed since changes were made in Windows 10. In my last post dedicated to the different ways to retrieve Syscall ID, I explained quickly how direct syscalls were performed in User Mode and remained vague about how it was processed in Kernel Mode. |
Technical | ★★★★ | |
|
2022-01-29 20:13:54 | EDR Bypass: Récupération de Syscall ID avec Hell \\'s Gate, Halo \\'s Gate, Freshycalls and Syswhispers2 EDR Bypass : Retrieving Syscall ID with Hell\\'s Gate, Halo\\'s Gate, FreshyCalls and Syswhispers2 (lien direct) |
Ce message n'est pas une présentation approfondie de la porte de l'enfer, de la porte Halo, Freshycalls2 ou Syswhispers23.
Vous pouvez trouver une explication détaillée sur ces techniques sur leur réapprovisionnement GitHub, divers articles et l'incroyable cours d'évasion Windows Sektor74.
Alors, quel est l'intérêt de cet article alors?Eh bien, je trouve les différentes techniques utilisées pour récupérer dynamiquement les identificateurs syscall très intéressants et je voulais présenter la différence entre eux.
SOOOO LET & RSquo; est-ce que nous?
This post is not an extensive presentation of Hell’s Gate1, Halo’s Gate, FreshyCalls2 or Syswhispers23. You can find detailed explaination on these techniques on their Github repo, various articles and the amazing Sektor7 Windows Evasion Course4. So whats the point of this article then ? Well, I find the various techniques used to dynamically retrieve syscall identifiers very interesting and I wanted to present the difference between them. Soooo let’s begin shall we ? |
Technical | ★★★ | |
|
2021-12-05 19:50:59 | Jouer avec Named Pipe et NotPetya Playing With Named Pipe and NotPetya (lien direct) |
Il y a longtemps, dans une galaxie très loin, je m'amusais en inversant Notpetya.
Les fichiers ont été abandonnés par NotPetya pendant l'analyse dynamique, j'ai identifié certains fichiers abandonnés sur le disque par l'échantillon.
Les fichiers sont tombés sur le disque
Un fichier exécuté utilisant un tuyau nommé l'un d'eux a attiré mon attention: il est exécuté par l'échantillon avec un argument de tuyau nommé.
Un binaire exécuté avec un argument de pipe nommé
A long time ago, in a galaxy far far away, I was having fun reversing NotPetya. Files dropped by NotPetya During the dynamical analysis, I identified some files dropped on the disk by the sample. Files dropped in the disk An executed file using named pipe One of them caught my eye: it is executed by the sample with a named pipe argument. A binary executed with named pipe argument |
Technical | NotPetya | ★★★★ |
 |
2021-07-19 13:00:00 | capa 2.0: mieux, plus fort, plus rapide capa 2.0: Better, Stronger, Faster (lien direct) |
Nous sommes ravis d'annoncer la version 2.0 de notre outil open source appelé CAPA.CAPA identifie automatiquement les capacités des programmes à l'aide d'un ensemble de règles extensible.L'outil prend en charge à la fois le triage de logiciels malveillants et l'ingénierie inverse de plongée profonde.Si vous avez déjà entendu parler de capa ou si vous avez besoin d'un rafraîchissement, consultez notre First BlogPost .Vous pouvez télécharger des binaires autonomes CAPA 2.0 à partir de la Page de publication et de vérifier le code source sur github .
CAPA 2.0 permet à quiconque de contribuer des règles plus facilement, ce qui rend l'écosystème existant encore plus dynamique.Ce billet de blog détaille le major suivant
We are excited to announce version 2.0 of our open-source tool called capa. capa automatically identifies capabilities in programs using an extensible rule set. The tool supports both malware triage and deep dive reverse engineering. If you haven\'t heard of capa before, or need a refresher, check out our first blog post. You can download capa 2.0 standalone binaries from the project\'s release page and checkout the source code on GitHub. capa 2.0 enables anyone to contribute rules more easily, which makes the existing ecosystem even more vibrant. This blog post details the following major |
Malware Tool Technical | ★★★★ | |
|
2020-11-19 19:00:00 | VBA purgalicious: obscurcissement macro avec purge de VBA Purgalicious VBA: Macro Obfuscation With VBA Purging (lien direct) |
Les documents de bureau malveillants restent une technique préférée pour chaque type d'acteur de menace, des Teamers Red aux groupes FIN en passant par APTS.Dans cet article de blog, nous discuterons de "Purging VBA", une technique que nous avons de plus en plus observée dans la nature et c'était d'abord Documé publiquement par Didier Stevens en février 2020 .Nous expliquerons comment VBA Purging fonctionne avec les documents Microsoft Office au format binaire de fichiers composés (CFBF), partagez certaines opportunités de détection et de chasse et introduire un nouvel outil créé par l'équipe rouge de Mandiant \\: officepurge .
Format de fichier MS-OVBA
Avant de plonger dans la purge VBA, c'est
Malicious Office documents remain a favorite technique for every type of threat actor, from red teamers to FIN groups to APTs. In this blog post, we will discuss "VBA Purging", a technique we have increasingly observed in the wild and that was first publicly documented by Didier Stevens in February 2020. We will explain how VBA purging works with Microsoft Office documents in Compound File Binary Format (CFBF), share some detection and hunting opportunities, and introduce a new tool created by Mandiant\'s Red Team: OfficePurge. MS-OVBA File Format Before diving into VBA Purging, it is |
Tool Threat Technical | ★★★★ | |
|
2019-01-08 16:00:00 | Cireging the Past: Windows Registry Forensics Revisited Digging Up the Past: Windows Registry Forensics Revisited (lien direct) |
Introduction
Les consultants FireEye utilisent fréquemment les données du registre Windows lors de l'exécution de l'analyse médico-légale des réseaux informatiques dans le cadre des missions d'évaluation des incidents et de compromis.Cela peut être utile pour découvrir une activité malveillante et déterminer quelles données peuvent avoir été volées à un réseau.De nombreux types de données différents sont présents dans le registre qui peuvent fournir des preuves de l'exécution du programme, des paramètres d'application, de la persistance des logiciels malveillants et d'autres artefacts précieux.
L'analyse médico-légale des attaques passées peut être particulièrement difficile.Menace persistante avancée
Introduction FireEye consultants frequently utilize Windows registry data when performing forensic analysis of computer networks as part of incident response and compromise assessment missions. This can be useful to discover malicious activity and to determine what data may have been stolen from a network. Many different types of data are present in the registry that can provide evidence of program execution, application settings, malware persistence, and other valuable artifacts. Performing forensic analysis of past attacks can be particularly challenging. Advanced persistent threat |
Malware Technical | ★★★★ | |
|
2018-09-13 11:00:00 | APT10 ciblant les sociétés japonaises à l'aide de TTPS mis à jour APT10 Targeting Japanese Corporations Using Updated TTPs (lien direct) |
Introduction
En juillet 2018, les appareils FireEye ont détecté et bloqué ce qui semble être une activité APT10 (Menupass) ciblant le secteur des médias japonais.APT10 est un groupe de cyber-espionnage chinois que Fireeye a suivi depuis 2009, et ils ont une histoire de ciblant les entités japonaises .
Dans cette campagne, le groupe a envoyé des e-mails de phishing de lance contenant des documents malveillants qui ont conduit à l'installation de la porte dérobée Uppercut.Cette porte dérobée est bien connue dans la communauté de la sécurité comme Anel , et il venait en bêta ou en RC (candidat à la libération) jusqu'à récemment.Une partie de cet article de blog discutera du
Introduction In July 2018, FireEye devices detected and blocked what appears to be APT10 (Menupass) activity targeting the Japanese media sector. APT10 is a Chinese cyber espionage group that FireEye has tracked since 2009, and they have a history of targeting Japanese entities. In this campaign, the group sent spear phishing emails containing malicious documents that led to the installation of the UPPERCUT backdoor. This backdoor is well-known in the security community as ANEL, and it used to come in beta or RC (release candidate) until recently. Part of this blog post will discuss the |
Technical | APT 10 APT 10 | ★★★★ |
|
2018-07-10 11:00:00 | Détection de PowerShell malveillant via l'apprentissage automatique Malicious PowerShell Detection via Machine Learning (lien direct) |
Introduction
Les vendeurs et chercheurs de la cybersécurité ont rapporté depuis des années comment PowerShell est utilisé par les acteurs de cyber-menaces pour installer des déambulations, Exécuter du code malveillant , et atteignent autrement leurs objectifs au sein des entreprises.La sécurité est un jeu de chat et de souris entre les adversaires, les chercheurs et les équipes bleues.La flexibilité et la capacité de PowerShell ont rendu la détection conventionnelle à la fois difficile et critique.Ce billet de blog illustrera comment FireEye tire parti de l'intelligence artificielle et de l'apprentissage automatique pour augmenter la barre des adversaires qui utilisent PowerShell.
dans ce post
Introduction Cyber security vendors and researchers have reported for years how PowerShell is being used by cyber threat actors to install backdoors, execute malicious code, and otherwise achieve their objectives within enterprises. Security is a cat-and-mouse game between adversaries, researchers, and blue teams. The flexibility and capability of PowerShell has made conventional detection both challenging and critical. This blog post will illustrate how FireEye is leveraging artificial intelligence and machine learning to raise the bar for adversaries that use PowerShell. In this post |
Threat Technical | ★★★★ | |
|
2018-06-18 10:45:00 | Apportez votre propre terre (BYOL) & # 8211;Une nouvelle technique d'équipe rouge Bring Your Own Land (BYOL) – A Novel Red Teaming Technique (lien direct) |
Introduction
L'un des développements récents les plus importants dans les opérations offensives sophistiquées est l'utilisation des techniques de «vivre hors terre» (LOTL) par les attaquants.Ces techniques exploitent des outils légitimes présents sur le système, tels que le langage de script PowerShell, afin d'exécuter des attaques.La popularité de PowerShell en tant qu'outil offensif a abouti au développement de cadres d'équipe rouge entiers basés autour de lui, tels que Empire et Powerspoit .De plus, l'exécution de PowerShell peut être obscurcie grâce à l'utilisation d'outils tels que « invoke-obfuscation ».En réponse, les défenseurs
Introduction One of most significant recent developments in sophisticated offensive operations is the use of “Living off the Land” (LotL) techniques by attackers. These techniques leverage legitimate tools present on the system, such as the PowerShell scripting language, in order to execute attacks. The popularity of PowerShell as an offensive tool culminated in the development of entire Red Team frameworks based around it, such as Empire and PowerSploit. In addition, the execution of PowerShell can be obfuscated through the use of tools such as “Invoke-Obfuscation”. In response, defenders |
Tool Technical | ★★★★ |
To see everything:
Our RSS (filtrered)
