The Triforce of Initial Access
В то время как редтимеры любят обсуждать и почти поэтично описывать свои наборы C2-фреймворков, возможности уклонения от EDR и быстрое использование эксплойтов N-day в качестве оружия, то, что редко упоминается, — это старые добрые способы получения первоначального доступа.
Подготовка к операции всегда будет выступать решающим фактором в том, нажмет ли кто-то на вашу ссылку, с радостью выполнит инструкции, которые вы придумаете или поделится секретом от TOTP.
Поэтому сначала я предпочитаю использовать фишинг учетных записей Microsoft Office 365, чтобы получить доступ к Teams, Outlook, OneDrive, OneNote и SharePoint.
Из них можно получить достаточно информации, чтобы начать развивать более грамотную атаку.
Что можно найти:
— Пароли в открытом виде в Outlook или OneNote или Teams
— Паспорта, водительские удостоверения, свидетельства о браке и другие документы в OneDrive
1 Этап — использование evilginx с готовыми фишлетами для o365. После получения ESTSAUTHPERSISTENT- и ESTSAUTH-кук, вы можете вставить их в свой собственный браузер и эффективно пройти аутентификацию без необходимости вводить пароль пользователя или иметь дело с MFA. Это обычно называется перехватом сеанса и является более или менее стандартом де-факто в современном фишинге.
2 Этап — Rogue Office 365 and Azure (active) Directory tools или ROADtools. Эту библиотеку можно использовать как только вы получите первоначальный доступ к Entra ID-клиенту. От манипуляции с токенами, PRT Injection и регистрации устройств до возможности аутентификации практически из любого контекста: пароли, сертификаты, файлы cookie, билеты Kerberos, Access-токены, PRT и многое другое возможно с помощью RoadTX.
3 Этап — TeamFiltration. Инструмент, который позволяет автоматически извлекать данные из Microsoft Office, включая электронные письма, вложения электронной почты, чаты Teams с вложениями, файлы из OneDrive из SharePoint, а также сведения о пользователях, группах и клиентах из Entra ID.
У него существует несколько Invoke-альтернатив для постэксплуатации: AADInternals, AzureHound и GraphRunner.
Все эти этапы объединяет скрипт под названием Bobber. Он ожидает получения кук, а дальше сам вызывает все остальные инструменты по цепочке. Его можно также найти на Github https://github.com/Flangvik/Bobber.
В то время как редтимеры любят обсуждать и почти поэтично описывать свои наборы C2-фреймворков, возможности уклонения от EDR и быстрое использование эксплойтов N-day в качестве оружия, то, что редко упоминается, — это старые добрые способы получения первоначального доступа.
Подготовка к операции всегда будет выступать решающим фактором в том, нажмет ли кто-то на вашу ссылку, с радостью выполнит инструкции, которые вы придумаете или поделится секретом от TOTP.
Поэтому сначала я предпочитаю использовать фишинг учетных записей Microsoft Office 365, чтобы получить доступ к Teams, Outlook, OneDrive, OneNote и SharePoint.
Из них можно получить достаточно информации, чтобы начать развивать более грамотную атаку.
Что можно найти:
— Пароли в открытом виде в Outlook или OneNote или Teams
— Паспорта, водительские удостоверения, свидетельства о браке и другие документы в OneDrive
1 Этап — использование evilginx с готовыми фишлетами для o365. После получения ESTSAUTHPERSISTENT- и ESTSAUTH-кук, вы можете вставить их в свой собственный браузер и эффективно пройти аутентификацию без необходимости вводить пароль пользователя или иметь дело с MFA. Это обычно называется перехватом сеанса и является более или менее стандартом де-факто в современном фишинге.
2 Этап — Rogue Office 365 and Azure (active) Directory tools или ROADtools. Эту библиотеку можно использовать как только вы получите первоначальный доступ к Entra ID-клиенту. От манипуляции с токенами, PRT Injection и регистрации устройств до возможности аутентификации практически из любого контекста: пароли, сертификаты, файлы cookie, билеты Kerberos, Access-токены, PRT и многое другое возможно с помощью RoadTX.
3 Этап — TeamFiltration. Инструмент, который позволяет автоматически извлекать данные из Microsoft Office, включая электронные письма, вложения электронной почты, чаты Teams с вложениями, файлы из OneDrive из SharePoint, а также сведения о пользователях, группах и клиентах из Entra ID.
У него существует несколько Invoke-альтернатив для постэксплуатации: AADInternals, AzureHound и GraphRunner.
Все эти этапы объединяет скрипт под названием Bobber. Он ожидает получения кук, а дальше сам вызывает все остальные инструменты по цепочке. Его можно также найти на Github https://github.com/Flangvik/Bobber.
GitHub
GitHub - Flangvik/Bobber: Bounces when a fish bites - Evilginx database monitoring with exfiltration automation
Bounces when a fish bites - Evilginx database monitoring with exfiltration automation - Flangvik/Bobber
https://research.checkpoint.com/2023/abusing-microsoft-access-linked-table-feature-to-perform-ntlm-forced-authentication-attacks/
К десяткам способам получить NTLM-хэш добавился еще один. «linking to remote SQL Server tables» из Microsoft Access автоматически передает хэши пользователей Windows через 80 порт.
К десяткам способам получить NTLM-хэш добавился еще один. «linking to remote SQL Server tables» из Microsoft Access автоматически передает хэши пользователей Windows через 80 порт.
Check Point Research
Abusing Microsoft Access "Linked Table" Feature to Perform NTLM Forced Authentication Attacks - Check Point Research
What is NTLM? What common attacks exist against it? NTLM is an extremely deprecated authentication protocol introduced by Microsoft in 1993. It is a challenge-response protocol: the server keeps a secret called an “NTLM hash” derived from the user’s password…
https://haxx.in/posts/hacking-canon-imageclass/
Очередное (в этом году) переполнение буфера, на этот раз в принтерах CANON.
Автор позаботился и оставил ссылку на свой тулкит https://github.com/blasty/canon/
Очередное (в этом году) переполнение буфера, на этот раз в принтерах CANON.
Автор позаботился и оставил ссылку на свой тулкит https://github.com/blasty/canon/
https://github.com/projectdiscovery/nuclei-ai-extension
Template-генератор для Nuclei с AI, чтобы самому не писать YAML. Описываете эксплуатацию или копируете готовую из твиттер и получаете готовый шаблон.
Ещё он умеет генерить репорты по кнопке на H1 и его работу можно совместить с PentestGPT https://github.com/GreyDGL/PentestGPT, который ищет баги сам.
Template-генератор для Nuclei с AI, чтобы самому не писать YAML. Описываете эксплуатацию или копируете готовую из твиттер и получаете готовый шаблон.
Ещё он умеет генерить репорты по кнопке на H1 и его работу можно совместить с PentestGPT https://github.com/GreyDGL/PentestGPT, который ищет баги сам.
https://github.com/0x90n/InfoSec-Black-Friday/
Скидки в честь черной пятницы на подписочные сервисы, курсы и экзамены по инфосеку.
GrayhatWarfare Open Bucket & shorturl Secrets
40% off Premium ($160 down from $300) & Enterprise ($450 down from $960)
https://grayhatwarfare.com/packages
Offensive Security - Penetration Testing Training
20% off Learn One subscription
https://www.offensive-security.com/learn-one
SafeStack - Secure Development Training Platform
25% off plans with code: BFTHANKS2023
https://safestack.io/
Zero Point Security Certifications & Courses
20% off with code: BLACKFRI23
https://training.zeropointsecurity.co.uk
The Cyber Plumber's Lab Guide and Access
(1) 33% off ($13.37 USD) + free handbook: BLACKFRIDAY2023
https://opsdisk.gumroad.com/l/cphlab/blackfriday2023
DroneSec (Drone Cybersec, Threat Intel & Counter-Drone Security Training)
20% off with code: GIVETHANKS23
https://training.dronesec.com/p/bundle
TCM Security Certification & Courses
(1) 20% off of certifications and live trainings: GobbleGobble23
(2) 50% off of the first payment of the All-Access Membership (any plan)
https://tcm-sec.com/
Pensterlab
27% off one year subscription, applied automatically
(1) US$146 instead of US$199
(2) US$25.99 instead of US$34.99 for students
https://pentesterlab.com/pro
Mr. Un1k0d3r's Malware Development and Red Team Training Bundle
25% off both the coding class and red team training courses
https://mr.un1k0d3r.world/portal/index.php
The OSINTion Academy
80% off all on-demand courses
40% off upcoming live courses with code: BLACKFRIDAY
https://academy.theosintion.com/courses?affcode=989966_6g0qf83e
Cloud Academy (Security Courses)
41% off annual plan
https://cloudacademy.com/pricing
TryHackme Advent of Cyber Deal
20% off personal annual subscriptions with code: AOC2023
https://tryhackme.com/room/adventofcyber2023
Скидки в честь черной пятницы на подписочные сервисы, курсы и экзамены по инфосеку.
GrayhatWarfare Open Bucket & shorturl Secrets
40% off Premium ($160 down from $300) & Enterprise ($450 down from $960)
https://grayhatwarfare.com/packages
Offensive Security - Penetration Testing Training
20% off Learn One subscription
https://www.offensive-security.com/learn-one
SafeStack - Secure Development Training Platform
25% off plans with code: BFTHANKS2023
https://safestack.io/
Zero Point Security Certifications & Courses
20% off with code: BLACKFRI23
https://training.zeropointsecurity.co.uk
The Cyber Plumber's Lab Guide and Access
(1) 33% off ($13.37 USD) + free handbook: BLACKFRIDAY2023
https://opsdisk.gumroad.com/l/cphlab/blackfriday2023
DroneSec (Drone Cybersec, Threat Intel & Counter-Drone Security Training)
20% off with code: GIVETHANKS23
https://training.dronesec.com/p/bundle
TCM Security Certification & Courses
(1) 20% off of certifications and live trainings: GobbleGobble23
(2) 50% off of the first payment of the All-Access Membership (any plan)
https://tcm-sec.com/
Pensterlab
27% off one year subscription, applied automatically
(1) US$146 instead of US$199
(2) US$25.99 instead of US$34.99 for students
https://pentesterlab.com/pro
Mr. Un1k0d3r's Malware Development and Red Team Training Bundle
25% off both the coding class and red team training courses
https://mr.un1k0d3r.world/portal/index.php
The OSINTion Academy
80% off all on-demand courses
40% off upcoming live courses with code: BLACKFRIDAY
https://academy.theosintion.com/courses?affcode=989966_6g0qf83e
Cloud Academy (Security Courses)
41% off annual plan
https://cloudacademy.com/pricing
TryHackme Advent of Cyber Deal
20% off personal annual subscriptions with code: AOC2023
https://tryhackme.com/room/adventofcyber2023
GitHub
GitHub - 0x90n/InfoSec-Black-Friday: All the deals for InfoSec related software/tools this Black Friday
All the deals for InfoSec related software/tools this Black Friday - 0x90n/InfoSec-Black-Friday
https://www.unciphered.com/randstorm
Помните историю сотрудника Ripple, который забыл пароль от флешки с биткоинами на сумму $240M? Стартап в области кибербезопасности Unciphered во время поиска способа взломать его, нашел способ восстановить ключи от многих критовалютных кошельков, созданных до 2014 года.
Эксплойт под названием Randstorm основан на функции
Эту библиотеку активно использовала другая библиотека — BitcoinJS, с помощью которой многие криптовалютные проекты генерировали кошельки для своих клиентов. Ее использовали Blockchain.com, Block.io Dogechain.info, Bitpay и другие сервисы.
В результате, недостаток энтропии можно использовать для проведения брутфорс-атак и восстановления приватных ключей кошельков, сгенерированных с помощью библиотеки BitcoinJS (или зависимых от неё проектов).
Чтобы реализовать атаку, понадобится что-то, что было сгенерировано с
В большинстве случаев это позволит нам создавать все предыдущие и будущие значения, генерируемые RNG. Сюда входит начальный пул энтропии, который является основой для генерации закрытого ключа.
Недостаток безопасности изначально заложен в уязвимые кошельки, созданные с помощью BitcoinJS, и устранить его невозможно.
Ранее я писал про Read Protection Downgrade атаки, которые позволяют сдампить память и восстановить пин от холодных (Trezor, Ledger) кошельков. Про них можно прочитать тут.
Помните историю сотрудника Ripple, который забыл пароль от флешки с биткоинами на сумму $240M? Стартап в области кибербезопасности Unciphered во время поиска способа взломать его, нашел способ восстановить ключи от многих критовалютных кошельков, созданных до 2014 года.
Эксплойт под названием Randstorm основан на функции
SecureRandom() в JavaScript-библиотеке JSBN, которая в сочетании с криптографическими слабостями в функции Math.random(), существовавшими на тот момент, позволяла использовать слабые псевдослучайные числа.Эту библиотеку активно использовала другая библиотека — BitcoinJS, с помощью которой многие криптовалютные проекты генерировали кошельки для своих клиентов. Ее использовали Blockchain.com, Block.io Dogechain.info, Bitpay и другие сервисы.
В результате, недостаток энтропии можно использовать для проведения брутфорс-атак и восстановления приватных ключей кошельков, сгенерированных с помощью библиотеки BitcoinJS (или зависимых от неё проектов).
Чтобы реализовать атаку, понадобится что-то, что было сгенерировано с
Math.random() во время создания кошелька — это может быть GUID-идентификатор или IV. Из GUID или IV мы сможем восстановить состояние RNG. В большинстве случаев это позволит нам создавать все предыдущие и будущие значения, генерируемые RNG. Сюда входит начальный пул энтропии, который является основой для генерации закрытого ключа.
Недостаток безопасности изначально заложен в уязвимые кошельки, созданные с помощью BitcoinJS, и устранить его невозможно.
Ранее я писал про Read Protection Downgrade атаки, которые позволяют сдампить память и восстановить пин от холодных (Trezor, Ledger) кошельков. Про них можно прочитать тут.
This media is not supported in your browser
VIEW IN TELEGRAM
https://convergetp.com/2023/11/16/crushftp-zero-day-cve-2023-43177-discovered/
CVE-2023-43177 Unauthenticated Remote Code Execution
CVE-2023-43177 Unauthenticated Remote Code Execution
With approximately 10,000 public instances and many more behind corporate firewalls, the vulnerability attack surface is broad. The exploit permits an unauthenticated attacker to access all CrushFTP files, run arbitrary programs on the host server, and acquire plain-text passwords.
https://blog.gbrls.space/blog/building-a-free-burp-collaborator-with-cloudflare-workers
Гайд по созданию своего бесплатного Burp Collaborator на базе Cloudflare Workers с уведомлениями в Discord (которые можно переписать на сообщения в Telegram с Bot API).
Гайд по созданию своего бесплатного Burp Collaborator на базе Cloudflare Workers с уведомлениями в Discord (которые можно переписать на сообщения в Telegram с Bot API).
https://link.medium.com/AON33lI0LEb
В Instagram находили баг, с которым можно было увести аккаунт любого пользователя. Для этого нужно было начать процедуру восстановления аккаунта цели, в процессе которой отправлялся код на номер телефона. Его можно было перебрать, а рейт лимит обойти, ротируя прокси между запросами.
У статьи вышло продолжение, но от другого ресерчера. Теперь атака выглядит так:
1. Регистрируемся в Instagram с номером цели
2. Instagram отправляет код на номер телефона
3. Брутфорсим его и регистрируем новый аккаунт на чужой номер
Как можно заметить, Meta забыла проверить другие эндпоинты на уязвимость, которую в прошлый раз они оценили в
Переходим ко второй части:
4. Заходим в Facebook, переходим в Account Center и линкуем созданный аккаунт
5. Магия бэкенда добавляет связку
6. Заходим под чужим аккаунтом с раскрытым номером, 2FA не требуется из-за доверенного IP.
Сумма выплаты —
В Instagram находили баг, с которым можно было увести аккаунт любого пользователя. Для этого нужно было начать процедуру восстановления аккаунта цели, в процессе которой отправлялся код на номер телефона. Его можно было перебрать, а рейт лимит обойти, ротируя прокси между запросами.
У статьи вышло продолжение, но от другого ресерчера. Теперь атака выглядит так:
1. Регистрируемся в Instagram с номером цели
2. Instagram отправляет код на номер телефона
3. Брутфорсим его и регистрируем новый аккаунт на чужой номер
Как можно заметить, Meta забыла проверить другие эндпоинты на уязвимость, которую в прошлый раз они оценили в
$30 000.Переходим ко второй части:
4. Заходим в Facebook, переходим в Account Center и линкуем созданный аккаунт
5. Магия бэкенда добавляет связку
IP злоумышленника <-> номер телефона цели в доверенные, в интерфейсе появляется номер жертвы6. Заходим под чужим аккаунтом с раскрытым номером, 2FA не требуется из-за доверенного IP.
Сумма выплаты —
$25 300.https://github.com/ForceFledgling/proxyhub
ProxyHub is an open source tool that asynchronously finds public proxies from multiple sources and concurrently checks them.
— Finds more than 7000 working proxies from ~50 sources.
— Support protocols: HTTP(S), SOCKS4/5. Also CONNECT method to ports 80 and 23 (SMTP).
— Proxies may be filtered by type, anonymity level, response time, country and status in DNSBL.
— Work as a proxy server that distributes incoming requests to external proxies. With automatic proxy rotation.
— All proxies are checked to support Cookies and Referer (and POST requests if required).
— Automatically removes duplicate proxies.
— Is asynchronous.
Дополнение к прошлому посту. Кроме этого, можно использовать AWS API Gateway с расширением API Rotate.
ProxyHub is an open source tool that asynchronously finds public proxies from multiple sources and concurrently checks them.
— Finds more than 7000 working proxies from ~50 sources.
— Support protocols: HTTP(S), SOCKS4/5. Also CONNECT method to ports 80 and 23 (SMTP).
— Proxies may be filtered by type, anonymity level, response time, country and status in DNSBL.
— Work as a proxy server that distributes incoming requests to external proxies. With automatic proxy rotation.
— All proxies are checked to support Cookies and Referer (and POST requests if required).
— Automatically removes duplicate proxies.
— Is asynchronous.
Дополнение к прошлому посту. Кроме этого, можно использовать AWS API Gateway с расширением API Rotate.
GitHub
GitHub - ForceFledgling/proxyhub: An advanced [Finder | Checker | Server] tool for proxy servers, supporting both HTTP(S) and SOCKS…
An advanced [Finder | Checker | Server] tool for proxy servers, supporting both HTTP(S) and SOCKS protocols. 🎭 - ForceFledgling/proxyhub
https://blog.hrncirik.net/cve-2023-46214-analysis
Exploit https://github.com/nathan31337/Splunk-RCE-poc
CVE-2023-46214 is a Remote Code Execution (RCE) vulnerability found in Splunk Enterprise. The description of the vulnerability essentially states that Splunk Enterprise versions below 9.0.7 and 9.1.2 are not safely sanitizing user supplied extensible stylesheet language transformations (XSLT).
Exploit https://github.com/nathan31337/Splunk-RCE-poc
https://eaton-works.com/2023/06/06/honda-ecommerce-hack/
Типичный код любого автомобильного бренда
На этот раз статья о Honda, у которой даже есть своя Bug Bounty программа:
Дозвонились из своей деревни, надиктовали репорт и отправили скриншоты по MMS?
В конце вам будет ожидать достойный ответ
Поэтому не стоит удивляться, когда вы в очередной раз узнаете из новостей, что снова взломали и слили каких-то автомобилистов https://www.reuters.com/business/autos-transportation/toyota-suspends-all-domestic-factory-operations-after-suspected-cyber-attack-2022-02-28/
Типичный код любого автомобильного бренда
resetPassword(e, t) {
return this.__post("api/user/resetpassword", {
username: e,
NewPassword: t
})
}На этот раз статья о Honda, у которой даже есть своя Bug Bounty программа:
If a researcher believes that they have discovered a vulnerability with our systems, they are invited to contact our customer service office to document their observations at 1-800-999-1009.
Дозвонились из своей деревни, надиктовали репорт и отправили скриншоты по MMS?
I compromised Honda’s power equipment / marine / lawn & garden dealer eCommerce platform by exploiting a password reset API that let me easily reset the password of any account.
Full admin-level access achieved with access to: 21,393 customer orders across all dealers from August 2016 to March 2023 – this includes customer name, address, phone number, and items ordered.
В конце вам будет ожидать достойный ответ
I asked about the possibility of a vehicle or cash reward given the severity of the issue, but Honda does not currently have a bug bounty or mechanism to provide a reward. As a result, no reward was given for this report.
Поэтому не стоит удивляться, когда вы в очередной раз узнаете из новостей, что снова взломали и слили каких-то автомобилистов https://www.reuters.com/business/autos-transportation/toyota-suspends-all-domestic-factory-operations-after-suspected-cyber-attack-2022-02-28/
Eaton-Works
Compromising Honda’s power equipment / marine / lawn & garden dealer eCommerce platform through a vulnerable password reset API
A vulnerable password reset API made it possible to take over any account and gain admin-level access to the platform. In addition, broken/missing access controls made it possible to access all data on the platform.
Chromium Money Tree Browser
Сколько Google платит за нахождение уязвимостей в браузере. Статистика с разбиением по файлам — вознаграждение делится между теми, где были внесены изменения. Например, если исправление ошибки стоимостью
Вот немного из того, что было найдено в расширениях:
— [
— [
— [
— [
— [
Данные приведены по состоянию на начало ноября 2023 года
It's very very hacked together, don't expect good UX or accurate data
Сколько Google платит за нахождение уязвимостей в браузере. Статистика с разбиением по файлам — вознаграждение делится между теми, где были внесены изменения. Например, если исправление ошибки стоимостью
$1000 изменило 5 файлов, то каждый получит $200.Вот немного из того, что было найдено в расширениях:
— [
$15 000] heap-buffer-overflow in MoveWebContentsAtImpl (extension)— [
$7 000] Security: chrome.downloads.download could be abused to steal user's environment variables like secrets, tokens or keys on windows— [
$5 000] Security: Extensions with debugger permission can list URLs and send commands to incognito tabs and other profile tabs— [
$5 000] Security: Extension permission escalation— [
$5 000] Reading local files through an extension that only has the "downloads" permissionДанные приведены по состоянию на начало ноября 2023 года
Advent of Cyber 2023
Традиционно получаем премиум, как и в прошлые годы. Или что-нибудь лучше (за первые места Steam Deck и периферия).
Традиционно получаем премиум, как и в прошлые годы. Или что-нибудь лучше (за первые места Steam Deck и периферия).
https://github.com/Xacone/BestEdrOfTheMarket
The Best EDR Of The Market (BEOTM) — наивный EDR (Endpoint Detection and Response) с открытым исходным кодом, созданный как испытательный стенд для понимания и обхода методов обнаружения, используемых во многих реальных EDR.
Работает в пользовательском пространстве и использует методы, которые основаны на динамическом анализе состояния целевого процесса (памяти, вызовов API и т. д.),
Используемые техники:
— Multi-Levels API Hooking
— SSN Hooking/Crushing
— IAT Hooking
— Shellcode Injection Detection
— Reflective Module Loading Detection
— Call Stack Monitoring
Находятся в разработке:
— Heap Monitoring
— ROP Mitigation
— AMSI Patching Mitigation
— ETW Patching Mitigation
Статьи из блога автора, рассказывающая о работе BEOTM более подробно — https://xacone.github.io/BestEdrOfTheMarket.html
The Best EDR Of The Market (BEOTM) — наивный EDR (Endpoint Detection and Response) с открытым исходным кодом, созданный как испытательный стенд для понимания и обхода методов обнаружения, используемых во многих реальных EDR.
Работает в пользовательском пространстве и использует методы, которые основаны на динамическом анализе состояния целевого процесса (памяти, вызовов API и т. д.),
Используемые техники:
— Multi-Levels API Hooking
— SSN Hooking/Crushing
— IAT Hooking
— Shellcode Injection Detection
— Reflective Module Loading Detection
— Call Stack Monitoring
Находятся в разработке:
— Heap Monitoring
— ROP Mitigation
— AMSI Patching Mitigation
— ETW Patching Mitigation
Статьи из блога автора, рассказывающая о работе BEOTM более подробно — https://xacone.github.io/BestEdrOfTheMarket.html
GitHub
GitHub - Xacone/BestEdrOfTheMarket: EDR Lab for Experimentation Purposes
EDR Lab for Experimentation Purposes. Contribute to Xacone/BestEdrOfTheMarket development by creating an account on GitHub.
https://labs.nettitude.com/blog/creating-an-opsec-safe-loader-for-red-team-operations/
Гайд по написанию собственного лоадера, который можно протестировать на стенде из предыдущего поста. Предполагает обход EDR с техникой, названной Tartarus' Gate (пришедшей на смену Halo’s Gate) с косвенными системными вызовами.
Готовый код в репозитории https://github.com/nettitude/Tartarus-TpAllocInject
Гайд по написанию собственного лоадера, который можно протестировать на стенде из предыдущего поста. Предполагает обход EDR с техникой, названной Tartarus' Gate (пришедшей на смену Halo’s Gate) с косвенными системными вызовами.
Готовый код в репозитории https://github.com/nettitude/Tartarus-TpAllocInject
LRQA
Creating an OPSEC safe loader for Red Team Operations
As Red Teamers, we need an OPSEC safe method to execute shellcode via a range of initial access vectors. Things are getting more and more difficult with Endpoint Detection and Response (EDR) products improving, making it more challenging to get an implant.
https://www.youtube.com/watch?v=gjvu-l6vKFE
Обход аутентификации Windows Hello (с помощью отпечатков пальцев) на трех ноутбуках с лучшими (как утверждают исследователи) датчиками: Dell Inspiron 15, Lenovo ThinkPad T14 и Microsoft Surface Pro X/8.
Что забавно — худшим оказался Microsoft Surface, поскольку он не использует SDCP (Secure Device Connection Protocol), который разработала сама же компания Microsoft для валидации датчиков и шифрования данных.
Обход аутентификации Windows Hello (с помощью отпечатков пальцев) на трех ноутбуках с лучшими (как утверждают исследователи) датчиками: Dell Inspiron 15, Lenovo ThinkPad T14 и Microsoft Surface Pro X/8.
Что забавно — худшим оказался Microsoft Surface, поскольку он не использует SDCP (Secure Device Connection Protocol), который разработала сама же компания Microsoft для валидации датчиков и шифрования данных.
YouTube
BlueHat Oct 23. S02: A Touch of Pwn: Attacking Windows Hello Fingerprint Authentication
In this talk, Jesse D'Aguanno & Timo Teräs from Blackwing Intelligence discuss collaborating with Microsoft Offensive Research & Security Engineering (MORSE) to assess the security of leading fingerprint sensors used in Windows biometric authentication. The…
Где искать логи и как их читать
Работая с логами, приходится обращаться ко множеству файлов от разных разработчиков. Все они отличаются собственным форматом, который меняется от файла к файлу. Большинство содержат очень много информации, и их бывает трудно разобрать без каких-либо справочных материалов.
Вот небольшая подборка шпаргалок, которые помогут вам разобраться в некоторых типах журналов, с которыми можно столкнуться в ходе расследования.
— What2Log — платформа, на которой собраны все файлы с аудитными логами в Linux и Windows
— RULER project — у антивирусов тоже есть свои логи: репозиторий, в котором собрана информация о каждой антивирусе - какие данные собирает и куда их пишет
— Malware Archaeology — коллекция шпаргалок по ведению журналов для различных типов журналов Windows.
— Linux Logs Explained — список всех файлов и путей различных журналов, создаваемых Linux
— Windows Security Log Encyclopedia — объяснение всех идентификаторов событий в Windows
— Windows Security Identifiers — идентификаторы безопасности и их связь с учетками и группами в Windows
— What are Azure Active Directory reports? — понимание журналов аудита Azure AD
— Sign-in log schema in Azure Monitor — описание формата журналов входа в Azure
— Detailed properties in the audit log, Microsoft 365 Compliance — подробный разбор логов O365
Работая с логами, приходится обращаться ко множеству файлов от разных разработчиков. Все они отличаются собственным форматом, который меняется от файла к файлу. Большинство содержат очень много информации, и их бывает трудно разобрать без каких-либо справочных материалов.
Вот небольшая подборка шпаргалок, которые помогут вам разобраться в некоторых типах журналов, с которыми можно столкнуться в ходе расследования.
— What2Log — платформа, на которой собраны все файлы с аудитными логами в Linux и Windows
— RULER project — у антивирусов тоже есть свои логи: репозиторий, в котором собрана информация о каждой антивирусе - какие данные собирает и куда их пишет
— Malware Archaeology — коллекция шпаргалок по ведению журналов для различных типов журналов Windows.
— Linux Logs Explained — список всех файлов и путей различных журналов, создаваемых Linux
— Windows Security Log Encyclopedia — объяснение всех идентификаторов событий в Windows
— Windows Security Identifiers — идентификаторы безопасности и их связь с учетками и группами в Windows
— What are Azure Active Directory reports? — понимание журналов аудита Azure AD
— Sign-in log schema in Azure Monitor — описание формата журналов входа в Azure
— Detailed properties in the audit log, Microsoft 365 Compliance — подробный разбор логов O365
https://vulncheck.com/blog/cve-2023-44604-activemq-in-memory
В ноябре Huntress Labs, Rapid7, и ArticWolf выпустили отчет, в котором рассказали об активной эксплуатации CVE-2023-46604 в ActiveMQ. Как выяснилось, рансомварщики из HelloKitty и TellYouThePass использовали сырой PoC, вызывающий
Очевидно, долго оставаться незамеченным с таким эксплойтом невозможно, поэтому буквально через пару дней после начала компании, они и привлекли к себе внимание.
Атаки не должны быть шумными, поэтому Jacob Baines предлагает апгрейд обычного эксплойта для CVE-2023-46604, который позволит выполнить код в памяти процесса (без вызова других программ) и избежать обнаружения EDR.
В ноябре Huntress Labs, Rapid7, и ArticWolf выпустили отчет, в котором рассказали об активной эксплуатации CVE-2023-46604 в ActiveMQ. Как выяснилось, рансомварщики из HelloKitty и TellYouThePass использовали сырой PoC, вызывающий
cmd.exe с curl.exe или msiexec.exe.Очевидно, долго оставаться незамеченным с таким эксплойтом невозможно, поэтому буквально через пару дней после начала компании, они и привлекли к себе внимание.
Атаки не должны быть шумными, поэтому Jacob Baines предлагает апгрейд обычного эксплойта для CVE-2023-46604, который позволит выполнить код в памяти процесса (без вызова других программ) и избежать обнаружения EDR.