Order of Six Angles (@orderofsixangles)

Я теперь не только вайбкодер, но и вайбфаззер. Одновременно поднял две Windows VM, в одной цель фазится с помощью WinAfl, в другой, та же цель фазится с помощью Jackalope. Данные генерю как с помощью LLM, так и с помощью Radamsa (на расте)

GitHub

GitHub - googleprojectzero/winafl: A fork of AFL for fuzzing Windows binaries

A fork of AFL for fuzzing Windows binaries. Contribute to googleprojectzero/winafl development by creating an account on GitHub.

31 761

Order of Six Angles

@orderofsixangles

18.05.2026 11:30

Benchmarking LLMs for malware triage and static unpacking with Malcat

https://malcat.fr/blog/benchmarking-llms-for-malware-triage-and-static-unpacking-with-malcat/

MALCAT

Benchmarking LLMs for malware triage and static unpacking with Malcat

Ever wondered which LLM model is the best to analyse malware? Well, we did, and put them to the test. By strapping 9 state-of-the-art large language models to Malcat's powerful MCP server, we made them analyse and sometimes even statically unpack a curated list of malware. We then compared their accuracy, performance and price.

25 1.4K

Order of Six Angles

@orderofsixangles

18.05.2026 11:02

Order of Six Angles Фото: оплатил подписку Premium, подключил к своему гермесу, вдобавок к поиску теперь можно также использовать модели grok. Результат можете видеть на скрине

Попросил его дать иоки, вот результат:

Собранные IOC по кейсам (май 2026)

1. Lazarus Group (Contagious Interview / BeaverTail + OtterCookie)

Основной сервер:
- 195.201.104.53 (Linux, mixed с Windows-артефактами)

Порты и сервисы:
- 21 — FTP (FileZilla) — BeaverTail exfil credentials
- 6931 — OtterCookie Socket.IO C2 (live roster жертв каждые 30 сек)
- 6101 — дополнительный OtterCookie listener

Доставка:
- ~197 вредоносных npm-пакетов
- Git hooks (.githooks/pre-commit, post-checkout)
- package.json postinstall скрипты
- Fake GitHub-репозитории с «coding assessment»

2. Sandworm (APT44 / Seashell Blizzard)

Конкретных новых статических IOC (хэши/домены/IP) в открытых постах за последнюю неделю почти нет.

Известные TTP:
- Использование legacy-уязвимостей (EternalBlue, DoublePulsar, Log4Shell, Cobalt Strike)
- Активный lateral movement внутри OT/ICS сетей
- Фокус на инженерных станциях, HMI, PLC, RTU

Рекомендация: Смотреть отчёт Nozomi Networks и Microsoft Threat Intelligence по APT44.

3. Turla (Kazuar — новая P2P-версия)

Microsoft опубликовала отчёт ~14 мая 2026 («Kazuar: Anatomy of a nation-state botnet»).

Известно из отчёта:
- 4 хэша + 2 файловых IOC (в самом отчёте)
- YARA-правила

Новые компоненты:
- Pelmeni (dropper)
- ShadowLoader
- Модульная архитектура: Kernel + Bridge + Worker

Особенность: Нет фиксированных C2-доменов. Bridge-модуль маскируется под легитимный трафик (HTTP, WebSocket, Exchange Web Services).

4. Kimsuky

Прямые IOC:
- IP: 27.102.137.150
- Домены:
- nid-navercsv[.]servehalflife[.]com
- nid-navertnx[.]ddnsking[.]com

Дополнительные паттерны:
- *.dynv6.net
- *.ddnsking.com
- *.servehalflife.com

Новые инструменты:
- PebbleDash (новые варианты)
- HelloDoor (Rust-бэкдор)
- ChaCha20-encrypted backdoors
- Злоупотребление VSCode CLI tunnels

12 820

Order of Six Angles

@orderofsixangles

18.05.2026 10:57

Order of Six Angles Threat hunting по твиттеру был затруднителен, но теперь как будто бы норм. Hermes теперь нативно может искать по твитам, если у тебя есть premium в X https://x.com/NousResearch/status/2055748546679472322 Думаю попробую. Гермесом я уже пользуюсь, пробовал локальные модели с ним, пока все нравится.

оплатил подписку Premium, подключил к своему гермесу, вдобавок к поиску теперь можно также использовать модели grok. Результат можете видеть на скрине

11 763

Order of Six Angles

@orderofsixangles

18.05.2026 10:06

Threat hunting по твиттеру был затруднителен, но теперь как будто бы норм. Hermes теперь нативно может искать по твитам, если у тебя есть premium в X

https://x.com/NousResearch/status/2055748546679472322

Думаю попробую. Гермесом я уже пользуюсь, пробовал локальные модели с ним, пока все нравится.

X (formerly Twitter)

Nous Research (@NousResearch) on X

xAI has expanded access to X Premium+ subscribers in Hermes Agent. Enjoy!

15 818

Order of Six Angles

@orderofsixangles

17.05.2026 11:19

Обновление asm resolver

https://github.com/Washi1337/AsmResolver

GitHub

GitHub - Washi1337/AsmResolver: A library for creating, reading and editing PE files and .NET modules.

A library for creating, reading and editing PE files and .NET modules. - Washi1337/AsmResolver

12 882

Order of Six Angles

@orderofsixangles

15.05.2026 09:20

Neural network RDP cache reconstruction tool

https://github.com/BZDaniel/RDPuzzle

GitHub

GitHub - BZDaniel/RDPuzzle: Neural network RDP cache reconstruction tool

Neural network RDP cache reconstruction tool. Contribute to BZDaniel/RDPuzzle development by creating an account on GitHub.

21 1.2K

Order of Six Angles

@orderofsixangles

15.05.2026 07:53

grok улучшил перевод китайского

22 1.2K

Order of Six Angles

@orderofsixangles

15.05.2026 06:19

The Mythos We Have At Home: A Patch-Diffing Pipeline for N-Day Generation

https://www.originhq.com/blog/patch-diffing-pipeline

Origin

The Mythos We Have At Home: A Patch-Diffing Pipeline for N-Day Generation | Origin

By Tyler Holmwood on 2026-05-14

37 1.3K

Order of Six Angles

@orderofsixangles

14.05.2026 11:53

Для анализа малвари я часто использую эмулятор Speakeasy. Запускаю в докере, без выхода в интернет, сеть эмулируется внутри. Инструмент очень хороший, но проблема в том, что speakeasy "из коробки" имеет очень лимитированный api handlers, из-за чего не может нормально эмулировать реальные образцы малвари.

Для исправления этой проблемы я прогнал 6000 разнообразных (по размеру, по семейству, по типу) образцов через стоковый speakeasy. Во время этой задачи Claude Opus и OpenAI GPT-5.5 (все на max/xhigh effort) несколько ночей на ходу исправляли проблемы, которые мешали эмулировать тот или иной образец. Цикл исправлений был такой:

1. Запускаем образец в Speakeasy.
2. Эмуляция останавливается на missing/incomplete API handler или runtime edge.
3. LLM-агент анализирует падение, пишет API hook с правдоподобной Windows-семантикой.
4. Пересобираем Docker image и перезапускаем упавший образец

Образцы для прогона я брал из самых свежих архивов InTheWild (апрель, май 2026) у VXUG.

Из интересного:
было прогнано 231 семейство малвари
среднее время эмуляции образца 35 секунд
API вызовов - в среднем 8765, медианная 210
Суммарное время эмуляции всех 6000 образцов: 56.8 часа, 2.37 суток
Суммарное время эмуляции всех 6000 орбазцов + работа ИИ над исправлениями: 93.7 часа = 3.9 суток

В итоге обвязка над Speakeasy получилась около 40k строк кода, примерно 3.7k API хуков и 82 overlay-модуля.

Все эти наработки я выложил на гитхабе:

https://github.com/thatskriptkid/speakeasy-extensions

P.S. Советую вам также скачать все стандартные windows DLL и подложить их speakeasy через параметр -l или как описано в моей репе:

export SPEAKEASY_MODULE_DIR_X64=/path/to/windows/x64/modules

export SPEAKEASY_MODULE_DIR_X86=/path/to/windows/x86/modules

170 5.3K

Order of Six Angles

@orderofsixangles

13.05.2026 10:25

Пользуюсь Codex (GPT 5.5) и уже неоднократно сталкиваюсь с проблемами связанными с лицензией в различных гитхаб репах. Видимо гайки и тут подкрутили. Типа я говорю, интегрируй мне в проект вот эту репу, он говорит так там такая-то лицензия, не могу

13 1.2K

Order of Six Angles

@orderofsixangles

13.05.2026 09:07

IDA plugin contest

https://hex-rays.com/plugin-contest/2025

Hex-Rays

IDA Plugin Contest Results 2025

Explore the 2025 plugin contest winners, featuring innovative tools that enhance IDA's capabilities for reverse engineering, along with installation instructions for all submissions.

16 1.2K

Order of Six Angles

@orderofsixangles

11.05.2026 13:05

Compact edge-AI SBC

https://sipeed.com/k3

Sipeed

深圳矽速科技有限公司矽速科技致力于开源智能硬件、人工智能、边缘计算、图像处理等产品的研发、生产和销售，面向企业提供 AIoT 软硬件产品的行业整体解决方案，面向开发者提供开源软硬件平台，发布的一系列开源软硬件深受国内外开源社区开发者的广泛关注

7 1.4K

Order of Six Angles

@orderofsixangles

11.05.2026 10:08

Static Devirtualization of Themida

https://back.engineering/blog/09/05/2026/

https://github.com/backengineering/themida-devirt

back.engineering

Static Devirtualization of Themida

This article demonstrates devirtualization of CodeVirtualizer/Themida protected code, however the techniques described here apply to pretty much every virtual machine based obfuscator. Only requiring some minor modifications to support each of them.

42 1.5K

Order of Six Angles

@orderofsixangles

10.05.2026 11:18

Интересная вещь, для анализа малвари

https://github.com/thefLink/Hunt-Weird-Syscalls

GitHub

GitHub - thefLink/Hunt-Weird-Syscalls: ETW based POC to identify direct and indirect syscalls

ETW based POC to identify direct and indirect syscalls - thefLink/Hunt-Weird-Syscalls

42 1.4K

Order of Six Angles

@orderofsixangles

06.05.2026 13:56

ProcMon-MCP
https://github.com/0xhackerfren/ProcMon-MCP

GitHub

GitHub - 0xhackerfren/ProcMon-MCP: An MCP to expose process monitoring and ETW tracing functionally to AI agents to assist in security work

An MCP to expose process monitoring and ETW tracing functionally to AI agents to assist in security work - 0xhackerfren/ProcMon-MCP

44 2.5K

Order of Six Angles

@orderofsixangles

30.04.2026 08:27

Order of Six Angles Быстрый АПК парсер, интегрирую себе в пайплайн https://github.com/delvinru/apk-info

Мой пайплайн по анализу андроид приложений:

Stage 0 — APK Metadata (apk-info):

Мгновенный парсинг (~2мс) манифеста без декомпиляции: пакет, SDK-версии, все permissions, exported-компоненты, подписи (v1/v2/v3), security profile. Уже на этом этапе детектит: debuggable-флаг, v1-only подпись (уязвимость Janus, CVE-2017-13156), привилегированные системные permissions, exported ContentProvider'ы без защиты.

Stage 1 — Декомпиляция + сканирование APK (параллельно):

Всё запускается одновременно:
• JADX — декомпиляция DEX → Java (8 потоков, 60-180с)
• apktool — распаковка ресурсов, AndroidManifest.xml, нативных .so библиотек (5-15с)
• dexfinder — поиск использования скрытых Android API + трассировка цепочек вызовов
• Mariana Trench — taint-анализ потоков данных от Meta (source→sink)
• Trueseeing — Dalvik bytecode scanner
• Автодетект Flutter → Blutter (реверс Dart-кода), React Native → декомпиляция Hermes

Stage 2 — Статический анализ (параллельно):

• 184 regex-правила — быстрый pattern matching по декомпилированным исходникам
• 331 semgrep-правило — AST-анализ (taint tracking, data flow)
• Анализ Blutter pp.txt (Dart-символы для Flutter-приложений)
• dexfinder call chain tracing — трассировка цепочек вызовов от exported-компонентов к уязвимым методам

Stage 3 — Merge + фильтрация + обогащение:

• Дедупликация по (rule_id, file, line)
• SDK-фильтр (732 паттерна) — убирает 98% шума от Google, Firebase, OkHttp, Retrofit и ещё 150+ SDK
• Классификация severity через RoBERTa модель
• Аннотация exported-статуса: кросс-проверка finding → AndroidManifest → dexfinder reachability
• RAG-обогащение каждого finding контекстом из базы знаний

Stage 4 — LLM-анализ (6 агентов параллельно):

Каждый агент — специалист в своей области, получает только релевантные findings + RAG-контекст:
• Agent 1: Manifest + Attack Surface
• Agent 2: Network + TLS
• Agent 3: Auth + Cryptography
• Agent 4: WebView + JS Bridge
• Agent 5: Business Logic
• Agent 6: Native Libraries
• Agent 7 (Judge): валидирует CRITICAL/HIGH от всех агентов, отсекает false positives

RAG Knowledge Base:

• 9675 chunks в ChromaDB (гибридный поиск: BM25 + vector + RRF)
• 1547+ отчётов из 18 источников:
— OWASP MASTG: 120 (тестовые процедуры с примерами кода)
— HackerOne: 170 (реальные bug bounty отчёты с PoC)
— MITRE ATT&CK Mobile: 124 (техники атак, детекция, митигации)
— Security blogs: 207 (Google, Zimperium, Lookout, Check Point)
— Samsung Bulletins: 111 (Samsung-specific CVE)
— NVD: 250 (CVE с CVSS)
— Exploit-DB: 50
— Android Bulletins: 34
— CISA KEV: 23
— Собственные аудиты: 144
— Прочие: arXiv, VulCorpus (94 OWASP Top-10 сэмплов)
• Граф знаний: 5597 узлов, 9213 связей (CVE↔️CWE↔️MITRE↔️MASTG)
• 970+ code snippets в отдельном индексе

319 7K

Вход в экосистему

Ваши настройки cookie