Какие цели преследуют киберпреступники🧑‍💻?

Конечная цель, как правило, это 💰, и в зависимости от того сколько у злоумышленника времени и навыков будет зависеть на сколько большой куш он может сорвать.

Одним из первых шагов к достижению своей заветной цели является получение первоначального доступа. Он достигается путем использования таких методов как загрузка вредоносного программного обеспечения (ВПО) и фишинг.

И сегодня я хочу затронуть тему ВПО, какие они бывают, а так же по каким признакам можно быстро понять, что вы не просто рядовой пользователь, а еще и сотрудник организации.

Троян🐎
Основная специфика трояна - это обманывать жертв, за счёт применения оболочки легитимного ПО, и при запуске, он выполняет то, что нужно злоумышленникам.

Червь 🪱
Основная специфика червя - это его саморепликация, за счёт которой он становится способным дублировать себя как в пределах одной системы, создавая многочисленные копии в каталогах, так и перемещаясь по системам, создавая в каждой отдельной свою копию.

Шифровальщик 🔐
Основная специфика шифровальщика - это шифрование файлов на системе жертвы, таким образом, чтобы жертва не могла восстановить всё ранее зашифрованное. Как правило шифровальщики выгружают файлы с вашего устройства, чтобы использовать их в качестве шантажа.

Бэкдор (средство удаленного администрирования). 🚪
Бэкдор, или RAT (remote administration tool), — это приложение, которое позволяет честному системному администратору или злобному злоумышленнику управлять вашим компьютером на расстоянии.

Стиллер 🥷
Основная специфика стиллера - это автоматическая кража информации с системы жертвы.

Установщик📥
Основная специфика установщика - это автоматическое скачивание и запуск программ.

А одним из самых простых способов, понять, что перед атакующими сотрудник – это просмотр учетных данных браузера.
Вот список наиболее «просматриваемых» атакующими файлов:

• C:\Users\$user\AppData\Local\Google\Chrome\UserData\Default\LoginData
• C:\Users\$user\AppData\Local\Mozilla\Firefox\Profiles\*.default\key4.db
• C:\Users\$user\AppData\Local\Google\Chrome\UserData\LocalState
• C:\Users\$user\AppData\Local\Mozilla\Firefox\Profiles\*.default\key3.db
• C:\Users\$user\AppData\Local\Google\Chrome\UserData\Default\WebData
• C:\Users\$user\AppData\Local\Mozilla\Firefox\Profiles\*.default\logins.json

Ниже привел данные которые я нашел у себя:

6f6fef3b-6c10-4605-8e91-2be26833ef61{"billing_address_id":"","card_holder":"GERMAN KOMAROV","card_title":"","expire_date_month":"12","expire_date_year":"2023","masked_card_number":"480023******0001","origin":"","use_count":18,"use_date":1715928491.637655,"yandex_card_type":0}

OnLoginSuccessful@password_manager.cc:1285Detected successful login.{"context_data":null,"data":{"action":"https://jira.organization.ru/login.jsp","all_alternative_usernames":"komarov_g+5+os_username","last_url":"https://jira.organization.ru/login.jsp","password_element":"os_password","signon_realm":"https://jira.organization.ru/","submission_event":1,"url":"https://jira. organization.ru/login.jsp","username_element":"os_username","username_value":"komarov_g"}}

"url":"https://skyarc.ru/signup","username_element":"email","username_value":komarov_g@mail.ru'

Учетные данные, хранящиеся в браузерах, могут быть интересны как сами по себе, так и в связи с дальнейшим развитием атаки. Сами по себе данные обычно собираются стиллерами и затем продаются или выкладываются в открытый доступ. Также секреты пользователей могут содержать данные для аутентификации на внутренних ресурсах организации или раскрывать информацию о их местонахождении. Так же можно поискать пароли, которые были слиты, история браузера, логины у нас есть.

Ради интереса, посмотрите, какие данные получится достать у вас)
P.S. папка AppData скрыта, как просматривать скрытые файлы, можно узнать тут, а данные можно посмотреть, открыв их в текстовом редакторе

Ну а в следующем посте подготовлю подробную инструкцию по созданию лаборатории для анализа файлов и проанализируем с вами какой-нибудь интересный файлик🦠.

#blueteam

💥 Привет! Хотел поговорить про разнообразие полигонов для красных команд, а получилось затронуть один, самый популярный, но зато развёрнуто — это платформа HackTheBox.

Про него знают все. Многие указывают в резюме свои HTB профили или просто упоминают, что да, знаем, играли в коробки . Что же там такого интересного? Для начала то, что сами коробки разрабатываются не администрацией проекта, а игроками. Точнее, заинтересованными лицами. Более того, за их создание платят вознаграждение, размер которых зависит от конечного рейтинга и сложности, то есть за сложность Insane и отзывами 4.9/5 дадут больше 💰, чем за легкую.

Главным минусом такого принципа является невысокий общий скилл разработчиков тачек, если сложить всех вместе. Но, с другой стороны, каждая коробка показывает разные взгляды на решение встроенных в неё уязвимостей, даже если они будут повторятся из раза в раз 👾. А последнее время раз в несколько месяцев организаторы анонсируют “HTB Seasons”, где на протяжении ивента раз в неделю выходят тачки, которые нужно успевать решать до выхода следующей, а следовательно, такая нереальная скорость выхода даёт больше по-настоящему интересных и сложных коробок.

Помимо коробок на платформе есть не менее распиаренный сервис под названием “Pro Labs”. Как написано в их лозунгах, это "Elite Red Team Lab" и "REAL Enterprise Infrastructure” 🤯. Мы, которые одно время решали целый сезон без пропуска, и уставшие от нестабильной работы полигона Standoff, решили поиграть в Про Лабу Dante. По началу всё было прекрасно, 14 машин в одной лабе, с виндовсами и линуксами, запивотились, закрепились, поставили маячки и готовы действовать как настоящие редтимеры, НО, на следующее утро всё сбросилось. Сначала я подумал, что кто-то сильно попросил админов ребутнуть лабу из-за какой-нибудь неработающей критической уязвимости, которая влияет на всю лабу. Но нет, на деле оказалось, что вся инфраструктура лабы каждые 24 часа просто берет и уходит в ребут. Полностью. И поддержка это аргументировала “проверкой на работу уязвимостей”. А закрепляйтесь при помощи найденных паролей через SSH. Ну это ни в какие ворота. Вся концепция просто порублена на корню и непонятно, для кого это сделано. Мы даже специально дорешили её, чтобы оставить гневный отзыв (скриншот из превью поста)

Вот такой у меня опыт с HTB, последним я сильно огорчён 😢. У них есть еще несколько интересных сервисов, но они уже сильно идут в CTF-Like. Для синих, кстати, тоже относительно недавно добавили таски.

#redteam

Не так давно был пост про подделку ярлыка для бокового перемещения. Теперь предлагаю рассмотреть, как это выглядит со стороны синей команды🛡.

Мы обнаружили подозрительные события перехода по SMB на неизвестный никому адрес. Определив источник событий находим неприметный .lnk файл. По событиям 4663 или 5145 журнала Security можем определить, когда именно и кем данный файл был помещен в систему.

Анализировать ВПО на рабочем\личном устройстве очень плохая идея, так что нам нужна своя лаборатория для анализа. Существует отличный проект с открытым исходным кодом - Flare VM, инструкция по установке есть в файле README и неплохая пошаговая инструкция на youtube

Анализ файлов состоит из двух частей: статический и динамический

1. Статический анализ🔬.

Подразумевает сбор информации о файле без его запуска:
- Метаданные (имя, размер, дата создания, дата изменения, дата доступа, информация о создателе)
- Хэш-суммы
- Структура файла (например, PE для исполняемых файлов Windows, ELF для Linux, PDF, DOCX и др.)
- Содержимое и код (дисассемблированный код для анализа логики работы приложения)
Для начала этого достаточно.

Для некоторых типов файлов есть уже готовые утилиты для анализа.
Вот какую информацию позволяет получить LECmd:

Name: Просмотр веб-страниц
Relative Path: ..\..\..\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
Working Directory: C:\Program Files (x86)\Microsoft\Edge\Application
Icon Location: \\1.45.136[.]217\share

В поле Icon Location располагается ссылка на потенциально вредоносный ресурс, к которому идут обращения всех пользователей, которые переходят в папку с файлом используя проводник.

Сам ярлык ведет к браузеру Microsoft Edge🌍.

Так же получаем информацию об имени устройства и MAC Address, на котором данный файл был создан (полезно, если устройство в домене):

Tracker database block
   Machine ID:  hostname
   MAC Address: c4:03:a8:ce:c0:00
   MAC Vendor:  (Unknown vendor)
   Creation:    2023-09-20 16:15:08

Все необходимые данные мы получили, приступаем к следующему этапу анализа

2. Динамический анализ🧑‍💻.

В рамках динамического анализа производится запуск файла для выявления следующих ключевых аспектов:
- Поведение программы
- Сетевое поведение
- Изменения в файловой системе
- Изменения в реестре
- Используемые системные ресурсы
- Процессное дерево
- Статистика и логирование
- Взаимодействие с другими программами и системами

Учитывая специфику нашего файла интереснее всего взглянуть на сетевой трафик при помощи Wireshark

Находим пакет Session Setup Request, NTLMSSP_AUTH, User: .\tim и видим в нем следующую информацию:

Domain name: DESKTOP-2Q3SAD1
User name: tim
Host name: DESKTOP-2Q3SAD1
NTLMv2 Response: 561393d6c45c520cf59b0f2164a44b53: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

В запросах видим событие передачи данных об имени хоста, с которого было осуществлено подключение, имя пользователя и NTLM хэш.

На этом можно было бы и закончить, но важно понимать, что злоумышленники могут предпринять, имея на руках NetNTLM хэш и принять соответствующие меры, а именно:

- Сбросить пароли для учетных записей пользователей, хэши чьих паролей были переданы
- Заблокировать УЗ пользователя создавшего .lnk файл
- Изолировать от сети хост (если это возможно), на котором .lnk файл был модифицирован
#blueteam

Привет, а мы сегодня на Offzone.

Доклады неплохие, и конкурсы интересные. Не хватает только бесплатной еды (бесплатная вода есть)

Так уж получилось, что мы попали под недавнюю багу в обновлении windows. Мы, настроенные порешать таски на второй день, решили взять ноут, но вот обновлять винду было ошибкой. Grub перестал загружаться, и выяснялось это как раз в тот момент, когда сели решать таски. 😥

Ну а в общем по офзону всё как всегда - куча активностей, докладов и мерча. И не менее важная фишка - постоянные очереди на стендах. Но проводить время всё равно приятно и интересно.

🎉 Друзья, а тем временем нас уже более 500! 🎉

Большое спасибо каждому из вас за то, что вы с нами! 💖 Ваша поддержка и активность вдохновляют нас делать контент еще лучше!

Оставайтесь с нами, впереди много интересного! 🙌

#REDtalk

💥 Привет, недавно я делал пост про странную логику Bloodhound-CE при работе с Owned и High Value пользователях.
Проблема была в кривом отображении UI и сбросе данных после перезагрузки при ручной пометке через Neo4j.

Я пошел смотреть исходники и обнаружил преинтереснейшую вещь — В отличии от предыдущего бладхаунда, тут, помимо приложухи и Neo4j в стек добавилась Postgres. Если раньше аутентификация проводилось только через bolt в Neo4j, то тут добавляется еще и аутентификация в саму GUI. Вот эта инфа, и другие настройки, типа Custom Queries хранятся в постгресе.

И (уже не первый раз) я удивился, когда увидел, что там в отдельной таблице хранятся данные об Owned и High-Value нодах.

bloodhound=# select * from asset_group_selectors;
---+------------------+------------------+---+----+-------------------------------+------------------------------
 1 | S-1-<SNIP>-17251 | S-1-<SNIP>-17251 | f |  1 | 2024-09-02 09:34:55.977957+00 | 2024-09-02 09:34:55.977957+00
 1 | S-1-<SNIP>-7261  | S-1-<SNIP>-7261  | f |  3 | 2024-09-02 10:51:05.968531+00 | 2024-09-02 10:51:05.968531+00
 1 | S-1-<SNIP>-13965 | S-1-<SNIP>-13965 | f |  4 | 2024-09-02 10:51:10.386376+00 | 2024-09-02 10:51:10.386376+00
 1 | S-1-<SNIP>-21856 | S-1-<SNIP>-21856 | f |  5 | 2024-09-02 11:29:49.443476+00 | 2024-09-02 11:29:49.443476+00
(4 rows)
bloodhound=# select * from asset_groups;
      name       |     tag      | system_group | id |          created_at           |          updated_at           
-----------------+--------------+--------------+----+-------------------------------+-------------------------------
 Owned           | owned        | t            |  1 |                               | 
 Admin Tier Zero | admin_tier_0 | t            |  2 | 2024-08-28 12:34:58.093203+00 | 2024-08-28 12:34:58.093203+00
(2 rows)

Из запроса можно увидеть 2 таблицы, одна из которых (нижняя) содержит теги и ID этих тегов, вторая (верхняя) совмещает SID объектов AD с этими ID. То-есть у меня в бладхаенде есть 4 пользака, помеченные как Owned.

И после перезагрузки все свойства system-tags, что было отмечено в Neo4J обнуляются и устанавливаются вот эти четыре.
Нет слов, одни эмоции, не знаю, зачем разработчики сделали такую логику. Наверное стоит завести Issue на гитхабе

#redteam

SOC на аутсорсе 💰 или in-house SOC 🧃
Что бы выбрали вы?
Мы как то рассказывали, что это такое и в чем отличия, поговорим теперь о работе в данных организациях с точки зрения сотрудника, понятно, то что есть в одной компании, будет отсутствовать в другой, но так как я поработал и там и там расскажу о тех моментах, с которыми мне пришлось столкнуться.

Начнем с SOC-а на аутсорсе.

Плюсы➕:

1. Четкое разграничение ответственности
Моя первая работа в качестве SOC аналитика началась именно там, поначалу безумно нравилось тем, что при заключении договора, есть четкая документация, в рамках которой ты работаешь, в целом все понятно и прозрачно, кому что писать, у кого что спрашивать;

2. Работодатель более охотно оплачивает курсы, платные митапы
Компания заинтересована в вашем развитии, т.к. вы тот актив, который приносит деньги, и от качества предоставляемой услуги, зависит удовлетворенность заказчика и следовательно продление\подписание новых контрактов;

3. Большая команда
Как правило именно тут команда SOC будет больше, т.к. такой SOC создается под несколько компаний, а следовательно больше людей - больше компетенций.

Минусы➖:

1. Не вовлеченность заказчика
Как и многие мои коллеги, я столкнулся с проблемой, что услуга SOC приобреталась с целью отчета перед регулятором о том, что инфраструктуру мониторят, а если это так, то у вас целый букет проблем
Запросы о предоставлении дополнительной информации, необходимой для расследования инцидента, могут висеть неделями, рекомендации об устранении инцидента могут игнорироваться, а сбор дополнительных событий будет расцениваться как попытка саботажа и отвергнута по причине излишней нагрузки на сеть;

2. Ощущение работы в пустую
Вытекает из предыдущего минуса, и начинаешь ощущать это тогда, когда хочешь сделать что то хорошо, тратишь на решение какой то проблемы время, но от твоих идей отказываются за ненадобностью;

3. Достаточно высокая нагрузка
Как правило на мониторинге находятся несколько компаний и периодически случается так, что иногда не хватает времени на то, что бы нормально поесть.

Итог:
На мой взгляд, это отличное место для старта карьеры, как правило, в таких SOC-ах, большая часть процессов выстроена и следовательно не нужно изобретать велосипед. Сотрудников больше чем в in-house, следовательно всегда есть человек, который может что-то подсказать. Но я там не смог долго проработать по ряду причин, одна из которых это ощущение работы в пустую.

Был ли у вас опыт работы в SOC-е на аутсорсе, и с какими нюансами работы сталкивались вы?

В следующей статье, расскажу про нюансы работы в in-house SOC-е
#SOC #blueteam #REDtalk