❗️ Velociraptor в руках злоумышленников

🔗 Атакующие стали использовать инструмент криминалистического анализа Velociraptor для развертывания Visual Studio Code для туннелирования C2.

👩‍💻 Как утверждает исследовательская группа Sophos Counter Threat Unit в своем отчете, в одном из инциденте злоумышленник использовал инструмент для загрузки и выполнения Visual Studio Code с вероятным намерением создать туннель к управляемому серверу злоумышленника управления и контроля (C2).

🦠 Хотя известно, что злоумышленники используют законные инструменты удаленного мониторинга и управления (RMM) в своих атаках, использование Velociraptor сигнализирует о тактической эволюции, когда программы реагирования на инциденты используются для получения плацдарма и минимизации необходимости развертывания собственного вредоносного ПО.

NanoDump - "швейцарский нож" для извлечения памяти процесса LSASS.

📕 Немного теории
🔺LSASS (Local Security Authority Subsystem Service) — системный сервис в Windows, который отвечает за проверку пользователей при входе, хранение и выдачу токенов, управление политиками безопасности и т. п.

Соответственно, в случае создания дампа LSASS, злоумышленники получают хэши паролей пользователей или даже пароли в открытом виде, токены и сессионные ключи, которые можно использовать для перехвата сессий;

🔺Дескриптор — ссылка или ключ, который операционная система даёт процессу, чтобы тот мог работать с каким-то объектом: файлом, сокетом, процессом, памятью. Дескриптор к процессу позволяет читать/писать его память, запускать действия от его имени.

Злоумышленники часто пытаются получить или скопировать дескриптор, который имеет нужные привилегии к LSASS, чтобы затем получить доступ к его памяти — без того чтобы напрямую запрашивать у системы высокие права.

Функции инструмента
1️⃣Разветвление процесса
Чтобы избежать открытия дескриптора LSASS с доступом PROCESS_VM_READ, можно использовать параметр --fork. В таком случае nanodump создаст дескриптор LSASS с доступом PROCESS_CREATE_PROCESS, а затем клонирует процесс. Далее у нового процесса будет снят дамп.

2️⃣Снимок процесса
Аналогично опции --fork, можно использовать --snapshot для создания снимка процесса LSASS с дескриптором доступа PROCESS_CREATE_PROCESS, затем будет создан снимок процесса с помощью PssNtCaptureSnapshot. Снимок будет автоматически освобождён после завершения.

3️⃣Дублирование дескриптора
Поскольку открытие дескриптора LSASS может быть обнаружено, nanodump может вместо этого искать существующие дескрипторы LSASS. Если такой дескриптор найден, он будет скопирован и использован для создания минидампа.

4️⃣Повышение привилегий дескриптора
Можно получить дескриптор LSASS с правами PROCESS_QUERY_LIMITED_INFORMATION, которые, скорее всего, будут в белом списке, и затем повысить привилегии этого дескриптора путём его дублирования.

5️⃣Дублирование дескриптора через Seclogon
Можно обмануть процесс seclogon, заставив его открыть дескриптор LSASS и дублировать его до закрытия с помощью блокировок файлов. Для доступа к этой функциональности используйте флаг --seclogon-duplicate.

Выше перечислены лишь некоторые функции утилиты, более подробно с остальными возможностями можно ознакомиться здесь.

🔺Примеры использования

nanodump --fork --write C:\lsass.dmp

nanodump --seclogon-leak-remote C:\Windows\notepad.exe --fork --valid

nanodump --seclogon-leak-local --fork --valid --write C:\Windows\Temp\lsass.dmp

📄 Вредоносные PDF-редактор похищают учетные данные пользователей

💻 Вредоносное ПО TamperedChef, замаскированное под поддельные PDF-редакторы, похищает учетные данные и файлы Cookie.

ℹ️ В основе кампании лежит использование нескольких фальшивых сайтов для продвижения установщика бесплатного PDF-редактора AppSuite PDF Editor, который после установки и запуска выводит на экран пользователю предложение согласиться с условиями обслуживания и политикой конфиденциальности программного обеспечения.

🪟 Однако в фоновом режиме программа установки скрытно запрашивает у внешнего сервера удаление PDF-редактора, одновременно настраивая сохранение на хосте, внося изменения в реестр Windows, чтобы обеспечить автоматический запуск загруженного исполняемого файла после перезагрузки. Ключ реестра содержит параметр --cm arguments для передачи инструкций исполняемому файлу

💻 Чаще всего злоумышленники используют инструмент AppSuite PDF Editor, И, как утверждает компания G FATA, является бэкдором, который активно скачивают пользователи.

Azure-AppHunter — инструмент для обнаружения избыточных привилегий в Azure

Azure-AppHunter — это открытый PowerShell-инструмент, созданный для выявления чрезмерных прав доступа, назначенных Azure Service Principals и Managed Identities.

⚡️ Основные возможности Azure-AppHunter
➡️ Обнаружение опасных разрешений Microsoft Graph, предоставленных сервисным принципалам (SPs)
➡️ Проверка назначенных ролей Azure AD привилегированного уровня, таких как Global Administrator или App Administrator
➡️ Поиск SP или Managed Identity с правами Owner или Contributor в подписках Azure
➡️ Аутентификация через Device Code как для Microsoft Graph, так и для Azure ARM API
➡️ Минимальные зависимости, лёгкая интеграция в сценарии автоматизации или red-team деятельности


⬇️ Установка и использование

1️⃣ Клонируйте репозиторий:

git clone https://github.com/8ales/Azure-AppHunter.git
cd Azure-AppHunter

2️⃣ Импортируйте модуль PowerShell:

. .\AzureAppHunter.ps1

3️⃣ Аутентификация:

Authenticate -TenantId '<your-tenant-id>' -UseARM

4️⃣ Примеры команд для анализа:
• Перечислить dangerous permissions у Service Principals:
Enumerate -Type ServicePrincipalsDangerousPermissions
• Найти привилегированные роли:
Enumerate -Type PrivilegedRoleAssignments
• Выявить Owner или Contributor роли в подписках:
Enumerate -Type SubscriptionOwnersContributors

🔍 Почему стоит использовать Azure-AppHunter
• Помогает быстро выявлять избыточные права доступа у сервисных аккаунтов, что снижает риск компрометации при атаках через злоупотребление привилегиями.
• Подходит для аудита безопасности в облаке, особенно при смешанных средах и множестве приложений/интеграций.
• Может быть встроен в процессы патч-менеджмента / проверок (security reviews), red teaming, blue teaming.
• Работает с минимальным набором зависимостей, что облегчает развертывание и использование.

IEEE 802.1X - стандарт контроля доступа к сети. Используется для аутентификации и авторизации устройств при их подключении к локальной сети (проводной или беспроводной).

❓Причина появления
До появления стандарта 802.1X любое устройство, подключившееся к порту коммутатора или точке Wi-Fi, автоматически получало доступ в сеть. Это позволяло злоумышленнику подключиться физически (через Ethernet-розетку) или по Wi-Fi и получить доступ к ресурсам внутренней сети без аутентификации.
Кроме того, стандарт является универсальным в области аутентификации и поддерживает интеграцию с уже существующими системами аутентификации.

🛜Участники аутентификации
🔺Supplicant (Клиент) — устройство, запрашивающее доступ к сети (ПК, ноутбук, IP-телефон и т.д.).
🔺Authenticator (Аутентификатор) — сетевое устройство, которое обеспечивает связь клиента с сервером аутентификации по протоколу 802.1х и, в случае успешной авторизации ― доступ к сети (обычно коммутатор или точка доступа).
🔺Authentication Server (Сервер аутентификации) — сервер, который проверяет учетные данные (обычно RADIUS-сервер, например FreeRADIUS).

Механизм аутентификации
1️⃣ Инициализация. Клиент подключается к порту аутентификатора. Тот фиксирует новое соединение и переводит логический порт в состояние uncontrolled. В этом режиме через порт разрешается только служебный обмен по протоколу 802.1X, а весь остальной трафик блокируется.

2️⃣ Инициация. Аутентификатор ждёт сигнала на начало процедуры (EAPOL-Start) от клиента. После получения он отправляет клиенту запрос EAP-Request/Identity. Клиент отвечает EAP-Response с идентификатором (например, логином). Это сообщение аутентификатор инкапсулирует в RADIUS Access-Request и пересылает серверу аутентификации.

3️⃣ Обмен EAP-сообщениями. Сервер аутентификации и клиент согласовывают, какой именно метод EAP будет использован для проверки подлинности.

4️⃣ Аутентификация. Процесс проверки зависит от выбранного EAP-метода. В результате сервер либо одобряет подключение, либо отклоняет его. Результат передаётся аутентификатору. При успешной проверке порт клиента переводится в состояние controlled, и далее через него разрешается обычная передача данных.

Стоит остановить внимание на протокол EAP, который является каркасом аутентификации в 802.1X и используется для выбора метода аутентификации. Существует несколько разновидностей данного протокола, рассмотрим лишь некоторые из них.

🔺EAP-MD5 - считается небезопасным, так как можно перехватить MD5-Challenge-Response и подобрать пароль пользователя.
🔺EAP-PEAP - отсутствует проверка подлинности сертификата клиента. В случае если в настройках не установлена проверка сертификата, соединение установится без него.
🔺EAP-TLS - двусторонняя проверка сертификата, сложнее в реализации, но все равно сохраняется проблема из пункта выше.

‼️В следующей статье поговорим о возможных методах обхода стандарта 802.1X и способах защиты.

Узнай, насколько хорошо ты разбираешься в DevSecOps! Попробуй разгадать ключевые термины профессии в нашем кроссворде.

💬 Все слова на английском
1 — процесс непрерывной интеграции, тестирования и развертывания.
2 — подход, объединяющий DevOps и безопасность.
3 — действия злоумышленника против системы.
4 — потенциальная опасность для информации или инфраструктуры.
5 — проверка системы или кода на соответствие требованиям.
6 — статический анализ исходного кода на уязвимости.
7 — гибкая методология разработки.
8 — обновление, закрывающее уязвимость или ошибку.
9 — визуальная доска для управления задачами.
10 — система контейнеризации приложений.
11 — анализ безопасности работающего приложения.
12 — практики и процессы защиты инфраструктуры.
13 — Agile-фреймворк для управления проектами.
14 — автоматизированная цепочка этапов разработки и доставки.
15 — методология объединения разработки и эксплуатации.

В предыдущей статье мы познакомились со стандартом контроля доступа к сети - IEEE 802.1X. Эта статья познакомит вас с методами обхода и защиты данного протокола.

Атаки 👨‍💻
1️⃣ Начнем с одного из самых простых метода обхода, а именно подмена MAC-адреса. Атака строится на том, что для устройств, которые не поддерживают протокол 802.1x (принтеры, камеры, IoT), существует более слабый механизм аутентификации (MAC Authentication Bypass), состоящий из простой проверки MAC-адреса устройства. Соответственно, найдя в сети принтер, камеру, телефон и т.д., можно узнать MAC-адрес устройства и назначить его своему компьютеру. Так, в результате аутентификации по протоколу 802.1X компьютеру будет присвоен IP-адрес в сетевом сегменте устройства.

⏺️Для защиты можно использовать профилирование устройств, механизм Port-Security, изолировать устройства, которым разрешен доступ в сеть на основе проверки MAC-адреса в отдельные сегменты с минимальными возможностями по взаимодействию с другими ресурсами.

2️⃣ Атака на EAP-MD5. Суть атаки сводится к перехвату пакетов MD5-Challenge-Request и MD5-Challenge-Response с последующим перебором значения хэша. Для реализации используется сетевой мост между клиентом и аутентификатором.

Сложность заключается в том, что процесс аутентификации клиента должен начаться уже после того, как злоумышленник начинает прослушивание трафика. Можно запустить принудительную аутентификацию, отключив клиента от сети и включив обратно. Более скрытый вариант — инициировать повторную аутентификацию, отправив на аутентификатор от имени клиента пакет EAPoL-start.

⏺️Для предотвращения атаки необходимо использовать более сильные пароли или безопасный метод EAP, например EAP-TLS. В случае с EAP-TLS нужно принудительно запретить установку соединения, если сертификат сервера невалиден.

3️⃣ Rogue Gateway Attack. Аналог атаки Evil Twin, но в локальной сети. Атака возможна, если клиент настроен так, что соединение допускается даже при невалидном сертификате сервера.

Поднимается мост и прослушивается трафик для определения параметров клиента и аутентификатора: MAC-адреса, IP, маршрута по умолчанию, маски подсети. Далее настраивается поддельный RADIUS-сервер и выключается интерфейс, подключенный к настоящему аутентификатору. Отправляется кадр EAPOL-Start с MAC-адресом клиента на поддельный сервер. Сервер отвечает клиенту EAP-Request-Identity. Если клиент примет сертификат, он аутентифицируется на поддельном сервере. Атакующий перехватывает MS-CHAPv2 Challenge/Response, сгенерированные на основе NTLM-хэша пароля и если пароль словарный, то перебором можно получить пароль.

⏺️Рекомендуется использовать стандарт 802.1x AE, который был разработан для решения проблемы с MITM-атаками и включает протокол MACSec для шифрования трафика на L2-уровне.

🔺GroupPolicyBackdoor - инструмент на Python для эксплуатации векторов атака на объекты групповой политики (GPO). Векторы атак на GPO часто приводят к сценариям повышения привилегий в инфраструктуре с Active Directory.

Конфигурации, внедряемые в целевые объекты групповой политики, называются модулями. Ниже представлен список поддерживаемых инструментом модулей:
🔺Scheduled Tasks — добавить/удалить задачу планировщика или выполнить немедленную задачу.
🔺Groups — добавить/удалить пользователя в локальной группе.
🔺Registry — установить значение ключа реестра.
🔺Files — создать/удалить файлы.
🔺Folders — создать/удалить папки.

🔺Установка

git clone https://github.com/synacktiv/GroupPolicyBackdoor
python3 -m venv .venv && source .venv/bin/activate
python3 -m pip install -r requirements.txt

🔺Примеры использования
Одним из распространенных сценариев является эксплуатация GPO, внедряя в него вредоносную конфигурацию. Пример команды gpo inject, которая добавляет в целевую GPO задачу Immediate Task:

python3 gpb.py gpo inject --domain 'corp.com' --dc 'ad01-dc.corp.com' -k --module modules_templates/ImmediateTask_create.ini --gpo-name 'TARGET_GPO'

Immediate Task описывается в INI-файле ImmediateTask_create.ini, в котором необходимо задать ее параметры. Некоторые примеры можно посмотреть в папке modules_templates. Ниже представлен INI-файл, описывающий, чтобы Immediate Task выполнила команду cmd.exe и была развернута только на компьютере ad01-srv.corp.com.



После выполнения Immediate Task на целевом узле, можно удалить внедренную конфигурацию из GPO, выполнив команду gpo clean, которой нужно передать параметр state_folder, созданный предыдущей командой gpo inject.

python3 gpb.py gpo clean --domain 'corp.com' --dc 'ad01-dc.corp.com' -k --state-folder 'state_folders/<value>'

В случае наличия ошибок действия можно отменять. Изменения GPO часто включают несколько шагов, выполняемых через разные протоколы (SMB / LDAP). Если во время выполнения команды что-то пойдёт не так, GPO может оказаться в некорректном состоянии.

State folders позволяют точно узнать, какие действия были выполнены инструментом до момента сбоя. Действия перечислены в файле actions.json. После этого можно исправить ситуацию вручную или воспользоваться командой restore undo. Эта команда отменит любые действия, описанные в actions.json.

python3 gpb.py restore undo -d corp.com -k --state-folder 'state_folders/<value>'

🇷🇺 Российские APT-группировки

😡 Ранее мы рассказывали про то, кто такие APT-группировки. Сегодня мы познакомимся с российскими APT-группировки, которые распространенные в России и за пределы страны.

🔺 KillNet - российская группировка хакеров, которая получила известность своими DDoS-атаками на государственные учреждения стран НАТО во время войны России с Украиной. Ранее KillNet занималась продажей услуг DDoS-атак по найму на базе своего ботнета. На сегодняшний момент они также часто фигурируют в российских новостных каналах, помогая раскрывать конфиденциальную информацию недружественных стран.

🔺 Fancy Bear (APT28) - APT-группировка, которую приписывают ГРУ, активна с середины 2000-х. Занимается кибершпионажем, целится на правительственные, военные и СМИ различных стран.

🔺 Cozy Bear (APT29) - группировка, связанная с внешней разведкой РФ (СВР), известна своей долгосрочной деятельностью и скрытностью

🔺 Sandworm (APT44) - группа хакеров, которая связана с российскими государственными интересами, активно атакует Украину и страны Европы, используя ВПО и очистители.

🔺 Erudite Mogwai (Space Pirates) - группировка, которая ведет шпионские атаки на госсектор и технологические организации в России и некоторые сопредельных странах.

📢 Какие еще APT-группировки, которые относятся к России, вы знаете?

🚩 Новые задания на платформе HackerLab!

🔎 Категория OSINT — Загадка ТАРЙАК

🖼 Категория Стеганография — Робоход
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠Веб - Бета-панель
🟠Веб - Корпоративное хранилище

Приятного хакинга!