👨🏻💻 Anti-Malware Scan Interface. Обходим AMSI при заражении тачки на Windows.
Лучший бой — это тот, которого удалось избежать.
📌 Перед тобой список компонентов, которые реализуют AMSI в Windows 10:
• Стоит учитывать, что AMSI является предметом многих исследований, и возможность обойти AMSI может стать решающим фактором между успешной и неудачной атакой. Более подробную информацию, о том как работает AMSI, ты можешь найти в открытом доступе. Тема крайне популярная и найти информацию не составит труда. Ну а сегодня мы поговорим о нескольких методах, которые помогут обойти AMSI:
• Дело в том, что механизмы AMSI, использует сигнатурное детектирование угроз. Благодаря этому, мы можем придумывать разные тактики и техники. Некоторые известные способы уже не сработают, но, используя модификацию кода, обфускацию и криптование, можно добиться интересных результатов.
1. Используем Function hooking — метод, позволяющий нам получить управление над функцией до ее вызова. Перезаписываем аргументы, которые функция
2. PowerShell downgrade — #PowerShell 2.0 устарел, но Microsoft не спешит удалять его из своей ОС. У версии 2.0 нет таких защитных механизмов, как AMSI, поэтому для обхода детекта иногда достаточно использовать команду
https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1059.001/T1059.001.md
3. Патчинг памяти — патчим
https://github.com/med0x2e/NoAmci
https://github.com/rasta-mouse/AmsiScanBufferBypass
https://gist.github.com/FatRodzianko/c8a76537b5a87b850c7d158728717998
https://gist.github.com/am0nsec/986db36000d82b39c73218facc557628
https://gist.github.com/am0nsec/854a6662f9df165789c8ed2b556e9597
‼️ В дополнение, я рекомендую ознакомиться с материалом на дамаге: https://xss.is/threads/30227/. Твой S.E. #AMSI #Пентест #Red_Team #Blue_Team.
Лучший бой — это тот, которого удалось избежать.
🖖🏻 Приветствую тебя user_name.
• Аббревиатура AMSI расшифровывается как Anti-Malware Scan Interface. Эту технологию Microsoft разработала в качестве метода защиты пользователей от вредоносных программ и впервые внедрила в Windows 10. AMSI в реальном времени перехватывает скрипты и команды, после чего направляется на проверку антивирусному программному обеспечению.📌 Перед тобой список компонентов, которые реализуют AMSI в Windows 10:
•
Контроль учетных записей или UAC (повышение прав установки EXE, COM, MSI или ActiveX);•
#PowerShell (cкрипты, интерактивное использование и динамическая оценка кода);•
Windows Script Host (wscript.exe
и cscript.exe
);•
JavaScript и VBScript;•
Макросы VBA.• Стоит учитывать, что AMSI является предметом многих исследований, и возможность обойти AMSI может стать решающим фактором между успешной и неудачной атакой. Более подробную информацию, о том как работает AMSI, ты можешь найти в открытом доступе. Тема крайне популярная и найти информацию не составит труда. Ну а сегодня мы поговорим о нескольких методах, которые помогут обойти AMSI:
• Дело в том, что механизмы AMSI, использует сигнатурное детектирование угроз. Благодаря этому, мы можем придумывать разные тактики и техники. Некоторые известные способы уже не сработают, но, используя модификацию кода, обфускацию и криптование, можно добиться интересных результатов.
1. Используем Function hooking — метод, позволяющий нам получить управление над функцией до ее вызова. Перезаписываем аргументы, которые функция
AmsiScanBuffer()
(или AmsiScanString()
) будет передавать на проверку. Переходим к инжекту dll
, которая примет AmsiScanBuffer()
и передаст на проверку другие данные. В этом нам поможет AmsiHook.dll. Более подробную информацию об этом методе, можно найти тут: https://x64sec.sh/understanding-and-bypassing-amsi/2. PowerShell downgrade — #PowerShell 2.0 устарел, но Microsoft не спешит удалять его из своей ОС. У версии 2.0 нет таких защитных механизмов, как AMSI, поэтому для обхода детекта иногда достаточно использовать команду
powershell -version 2.
https://www.leeholmes.com/detecting-and-preventing-powershell-downgrade-attacks/https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1059.001/T1059.001.md
3. Патчинг памяти — патчим
AmsiScanBuffer()
, чтобы всегда возвращалось значение «Проверка пройдена успешно». Необходимые инструменты:https://github.com/med0x2e/NoAmci
https://github.com/rasta-mouse/AmsiScanBufferBypass
https://gist.github.com/FatRodzianko/c8a76537b5a87b850c7d158728717998
https://gist.github.com/am0nsec/986db36000d82b39c73218facc557628
https://gist.github.com/am0nsec/854a6662f9df165789c8ed2b556e9597
‼️ В дополнение, я рекомендую ознакомиться с материалом на дамаге: https://xss.is/threads/30227/. Твой S.E. #AMSI #Пентест #Red_Team #Blue_Team.
😈 Эксплуатация Windows AD и справочник по командам.
Ценность взломанной системы определяется весомостью фактических данных, хранящихся в ней, и тем, как ты можешь их использовать в своих целях.
Что включает в себя справочник:
• Обход PowerShell AMSI;
• PowerShell one-liners;
• Перечисления (Enumeration);
• AD Enumeration с помощью PowerView;
• AppLocker;
• Ограниченный языковой режим PowerShell;
• LAPS;
• Боковое перемещение (Lateral Movement);
• Боковое перемещение с помощью PowerView;
• BloodHound;
• Kerberoasting;
• AS-REP roasting;
• Token Manipulation;
• Боковое перемещение с помощью Rubeus;
• Боковое перемещение с помощью Mimikatz;
• Выполнение команды с запланированными задачами;
• Выполнение команд с помощью WMI;
• Выполнение команд с помощью PowerShell Remoting;
• Неограниченное делегирование;
• Ограниченное делегирование;
• Ограниченное делегирование на основе ресурсов;
• Злоупотребление доверием к домену;
• MSSQL и боковое перемещение;
• Групповые политики и боковое перемещение;
• Privilege Escalation;
• PowerUp;
• UAC Bypass;
• Persistence;
• Startup folder;
• Domain Persistence;
• Mimikatz skeleton key attack;
• Права DCSync с помощью PowerView;
• Domain Controller DSRM admin;
• Изменение дескрипторов безопасности для удаленного доступа к WMI;
• Изменение дескрипторов безопасности для удаленного доступа PowerShell;
• Изменение дескрипторов безопасности реестра DC для удаленного извлечения хэша с помощью DAMP;
• DCShadow;
• Постэксплуатация;
• LSASS protection;
• Дамп учетных данных с помощью Mimikatz;
• Злоупотребление DPAPI с помощью Mimikatz;
• Dumping secrets without Mimikatz;
• Windows Defender evasion;
• Chisel proxying;
• Juicy files;
📌 Материал отлично подойдет к нашему предыдущему посту: https://t.me/Social_engineering/2262
Твой S.E. #AD #Mimikatz #BloodHound #AMSI #PowerView #PowerShell #Пентест
Ценность взломанной системы определяется весомостью фактических данных, хранящихся в ней, и тем, как ты можешь их использовать в своих целях.
🖖🏻 Приветствую тебя user_name.
• Эксплуатация представляет собой последовательность действий, которая помогает атакующему получить доступ к исследуемой системе, используя уязвимость или ошибку в настройках. Сегодня, я поделюсь с тобой ссылкой на отличный Cheat Sheet для эксплуатации win #AD.Что включает в себя справочник:
• Обход PowerShell AMSI;
• PowerShell one-liners;
• Перечисления (Enumeration);
• AD Enumeration с помощью PowerView;
• AppLocker;
• Ограниченный языковой режим PowerShell;
• LAPS;
• Боковое перемещение (Lateral Movement);
• Боковое перемещение с помощью PowerView;
• BloodHound;
• Kerberoasting;
• AS-REP roasting;
• Token Manipulation;
• Боковое перемещение с помощью Rubeus;
• Боковое перемещение с помощью Mimikatz;
• Выполнение команды с запланированными задачами;
• Выполнение команд с помощью WMI;
• Выполнение команд с помощью PowerShell Remoting;
• Неограниченное делегирование;
• Ограниченное делегирование;
• Ограниченное делегирование на основе ресурсов;
• Злоупотребление доверием к домену;
• MSSQL и боковое перемещение;
• Групповые политики и боковое перемещение;
• Privilege Escalation;
• PowerUp;
• UAC Bypass;
• Persistence;
• Startup folder;
• Domain Persistence;
• Mimikatz skeleton key attack;
• Права DCSync с помощью PowerView;
• Domain Controller DSRM admin;
• Изменение дескрипторов безопасности для удаленного доступа к WMI;
• Изменение дескрипторов безопасности для удаленного доступа PowerShell;
• Изменение дескрипторов безопасности реестра DC для удаленного извлечения хэша с помощью DAMP;
• DCShadow;
• Постэксплуатация;
• LSASS protection;
• Дамп учетных данных с помощью Mimikatz;
• Злоупотребление DPAPI с помощью Mimikatz;
• Dumping secrets without Mimikatz;
• Windows Defender evasion;
• Chisel proxying;
• Juicy files;
📌 Материал отлично подойдет к нашему предыдущему посту: https://t.me/Social_engineering/2262
Твой S.E. #AD #Mimikatz #BloodHound #AMSI #PowerView #PowerShell #Пентест
🔖 S.E. Заметка. CheatSheet для Red Team.
• Pivot;
• Crawler;
• Forensics;
• Wifi Tools;
• Git Specific;
• NAC bypass;
• Obfuscation;
• Reverse Shellz;
• Email Gathering;
• T3 Enumeration;
• Backdoor finder;
• Payload Hosting;
• Network Attacks;
• JMX Exploitation;
• POST Exploitation;
• Lateral Movement;
• Social Engeneering;
• Source Code Analysis;
• Framework Discovery;
• Scanner network level;
• Web Exploitation Tools;
• Network Share Scanner;
• Persistence on windows;
• Web Application Pentest;
• Raspberri PI Exploitation;
• Industrial Control Systems;
• Default Credential Scanner;
• Domain Auth + Exploitation;
• Sniffing / Evaluation / Filtering;
• AMSI Bypass restriction Bypass;
• Wordlists / Wordlist generators;
• Linux Privilege Escalation / Audit;
• Command & Control Frameworks;
• Reverse Engineering / decompiler;
• Framework Scanner / Exploitation;
• General usefull Powershell Scripts;
• Specific MITM service Exploitation;
• Credential harvesting Linux Specific;
• Windows Privilege Escalation / Audit;
• Credential harvesting Windows Specific;
• Web Vulnerability Scanner / Burp Plugins;
• Domain Finding / Subdomain Enumeration;
• Data Exfiltration - DNS/ICMP/Wifi Exfiltration;
• Network- / Service-level Vulnerability Scanner;
• Scanner / Exploitation-Frameworks / Automation;
• Payload Generation / AV-Evasion / Malware Creation;
• Network service - Login Brute Force + Wordlist attacks.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Red_Team
🖖🏻 Приветствую тебя user_name.• Добро пожаловать в рубрику "добавь в избранное", часть вторая. Предыдущий пост собрал большое кол-во просмотров и репостов, поэтому сегодня я решил поделиться с тобой актуальной подборкой вспомогательных инструментов и ресурсов для Red Team.
• Pivot;
• Crawler;
• Forensics;
• Wifi Tools;
• Git Specific;
• NAC bypass;
• Obfuscation;
• Reverse Shellz;
• Email Gathering;
• T3 Enumeration;
• Backdoor finder;
• Payload Hosting;
• Network Attacks;
• JMX Exploitation;
• POST Exploitation;
• Lateral Movement;
• Social Engeneering;
• Source Code Analysis;
• Framework Discovery;
• Scanner network level;
• Web Exploitation Tools;
• Network Share Scanner;
• Persistence on windows;
• Web Application Pentest;
• Raspberri PI Exploitation;
• Industrial Control Systems;
• Default Credential Scanner;
• Domain Auth + Exploitation;
• Sniffing / Evaluation / Filtering;
• AMSI Bypass restriction Bypass;
• Wordlists / Wordlist generators;
• Linux Privilege Escalation / Audit;
• Command & Control Frameworks;
• Reverse Engineering / decompiler;
• Framework Scanner / Exploitation;
• General usefull Powershell Scripts;
• Specific MITM service Exploitation;
• Credential harvesting Linux Specific;
• Windows Privilege Escalation / Audit;
• Credential harvesting Windows Specific;
• Web Vulnerability Scanner / Burp Plugins;
• Domain Finding / Subdomain Enumeration;
• Data Exfiltration - DNS/ICMP/Wifi Exfiltration;
• Network- / Service-level Vulnerability Scanner;
• Scanner / Exploitation-Frameworks / Automation;
• Payload Generation / AV-Evasion / Malware Creation;
• Network service - Login Brute Force + Wordlist attacks.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Red_Team