An unexpected journey into Microsoft Defender's signature World
О том, как устроены сигнатуры в Microsoft Defender (тот, который MDA): инициализация, загрузка и детектирование. Зная это, можно написать артефакт, который будет триггерить антивирус или наоборот.
— Introduction
— Microsoft Defender Antivirus Architecture
— The signature database
— Start your MpEngine
— Signature stats
— Signature main struct
— Pattern to implement wildcards
— Conclusion
О том, как устроены сигнатуры в Microsoft Defender (тот, который MDA): инициализация, загрузка и детектирование. Зная это, можно написать артефакт, который будет триггерить антивирус или наоборот.
— Introduction
— Microsoft Defender Antivirus Architecture
— The signature database
— Start your MpEngine
— Signature stats
— Signature main struct
— Pattern to implement wildcards
— Conclusion
Forwarded from Похек (Сергей Зыбнев)
RockYou2024
Архив весит 45 гб
Распакованный 156 гб
Загрузил на свой S3. Скорость не лучшая, но точно не отвалиться загрузка
https://s3.timeweb.cloud/fd51ce25-6f95e3f8-263a-4b13-92af-12bc265adb44/rockyou2024.zip
Яндекс Диск. Тут скорость заметно быстрее
https://disk.yandex.ru/d/1spMBmxcEnN95g
🌚 @poxek
Архив весит 45 гб
Распакованный 156 гб
Загрузил на свой S3. Скорость не лучшая, но точно не отвалиться загрузка
https://s3.timeweb.cloud/fd51ce25-6f95e3f8-263a-4b13-92af-12bc265adb44/rockyou2024.zip
Яндекс Диск. Тут скорость заметно быстрее
https://disk.yandex.ru/d/1spMBmxcEnN95g
Please open Telegram to view this post
VIEW IN TELEGRAM
https://github.com/gracenolan/Notes
— Learning Tips
— Interviewing Tips
— Networking
— Web Application
— Infrastructure (Prod / Cloud) Virtualisation
— OS Implementation and Systems
— Mitigations
— Cryptography, Authentication, Identity
— Malware & Reversing
— Exploits
— Attack Structure
— Threat Modeling
— Detection
— Digital Forensics
— Incident Management
— Coding & Algorithms
— Security Themed Coding Challenges
Я инженер по безопасности в Google, и это заметки, сделанные во время подготовки к собеседованиям. Это моя первая работа в сфере безопасности, и многие спрашивали меня, как я учился.
Мои заметки состоят в основном из списка терминов и технологий, которые нужно изучить, а также небольших кусочков информации, которые помогли мне запомнить некоторые детали.
Я включил советы по собеседованию и стратегии обучения, которые так же важны, как и знание тем, которые следует изучать.
— Learning Tips
— Interviewing Tips
— Networking
— Web Application
— Infrastructure (Prod / Cloud) Virtualisation
— OS Implementation and Systems
— Mitigations
— Cryptography, Authentication, Identity
— Malware & Reversing
— Exploits
— Attack Structure
— Threat Modeling
— Detection
— Digital Forensics
— Incident Management
— Coding & Algorithms
— Security Themed Coding Challenges
В твиттере опубликовали пост про то, как кто-то на заднем сидении автобуса в Солсбери забыл чудо российской инженерной мысли - "защищенный" планшет на Авроре.
Помимо самого планшета, владелец оставил портфель с заметками по архитектуре и реализации, записями с демонстрацией для сотрудников, маркетинговыми материалами и внутренней документацией.
Есть несколько убедительных скриншотов и даже дамп прошивки.
Изучаем тут https://mega.nz/file/0r9D0Z5K#d2Nze1bA0tbiFoSWUN6rhM_MVFGyoH2ynG1N41FI6x4
P.S.: вероятно, данные были получены иным способом. Но легенда с отсылкой забавная.
Помимо самого планшета, владелец оставил портфель с заметками по архитектуре и реализации, записями с демонстрацией для сотрудников, маркетинговыми материалами и внутренней документацией.
Есть несколько убедительных скриншотов и даже дамп прошивки.
Изучаем тут https://mega.nz/file/0r9D0Z5K#d2Nze1bA0tbiFoSWUN6rhM_MVFGyoH2ynG1N41FI6x4
P.S.: вероятно, данные были получены иным способом. Но легенда с отсылкой забавная.
Modern Cryptographic Attacks: A Guide for the Perplexed
Грань между "классической" и "современной" криптографией значительна. Современная криптография более изощренная, чем то, что вы могли изучать раньше о Цезаре или Вижинере.
Уязвимости в алгоритмах, которые были придуманы сравнительно недавно, вроде RSA, RC4, и AES, гораздо более комплексные и сложные, чтобы запросто их объяснить человеку, далекому от математики.
Но если автор рассказывает основные понятия и принципы простым языком, то становится более ясно. Эта статья как раз призвана сделать это.
Classic-Flavor Cryptanalysis
— Meet-in-the-Middle Attack
— Birthday Attack
— Birthday Attacks on Digital Signatures
— Birthday Attack on the CBC Mode of Operation
Statistical Bias Attacks
— Shannon Deprogram
— Basic Statistical Bias Attacks
— Differential Cryptanalysis
— FMS Attack on RC4
Side Channel Attacks
— Timing Attack
— Portable Instrument for Trace Acquisition (PITA)
— Honorable Mention: SPECTRE
Choice Attacks on RSA
— Entry Level Attacks on RSA
— Bleichenbacher’s Attack
— Cube Root Attack
— Broadcast attack
— Related Message Attacks
— Coppersmith’s method
Грань между "классической" и "современной" криптографией значительна. Современная криптография более изощренная, чем то, что вы могли изучать раньше о Цезаре или Вижинере.
Уязвимости в алгоритмах, которые были придуманы сравнительно недавно, вроде RSA, RC4, и AES, гораздо более комплексные и сложные, чтобы запросто их объяснить человеку, далекому от математики.
Но если автор рассказывает основные понятия и принципы простым языком, то становится более ясно. Эта статья как раз призвана сделать это.
Classic-Flavor Cryptanalysis
— Meet-in-the-Middle Attack
— Birthday Attack
— Birthday Attacks on Digital Signatures
— Birthday Attack on the CBC Mode of Operation
Statistical Bias Attacks
— Shannon Deprogram
— Basic Statistical Bias Attacks
— Differential Cryptanalysis
— FMS Attack on RC4
Side Channel Attacks
— Timing Attack
— Portable Instrument for Trace Acquisition (PITA)
— Honorable Mention: SPECTRE
Choice Attacks on RSA
— Entry Level Attacks on RSA
— Bleichenbacher’s Attack
— Cube Root Attack
— Broadcast attack
— Related Message Attacks
— Coppersmith’s method
Check Point Research
Modern Cryptographic Attacks: A Guide for the Perplexed - Check Point Research
Introduction Cryptographic attacks, even more advanced ones, are often made more difficult to understand than they need to be. Sometimes it’s because the explanation is “too much too soon” — it skips the simple general idea and goes straight to real world…
https://github.com/sleeyax/burp-awesome-tls
Расширение для Burp Suite, которое модифицирует HTTP/S трафик и позволяет прикинуться любым браузером на уровне TLS-фингерпринтов.
Благодаря этому, можно обходить проверку на ботов у таких WAF, как CloudFlare, PerimeterX, Akamai, DataDome, и других.
Расширение для Burp Suite, которое модифицирует HTTP/S трафик и позволяет прикинуться любым браузером на уровне TLS-фингерпринтов.
Благодаря этому, можно обходить проверку на ботов у таких WAF, как CloudFlare, PerimeterX, Akamai, DataDome, и других.
GitHub
GitHub - sleeyax/burp-awesome-tls: Burp extension to evade TLS fingerprinting. Bypass WAF, spoof any browser.
Burp extension to evade TLS fingerprinting. Bypass WAF, spoof any browser. - sleeyax/burp-awesome-tls
Объемный и полностью бесплатный цикл статей о пентесте Active Directory, начиная с самых азов. В любых компаниях эта служба каталогов считается базой, а ее знание открывает путь к успешной компрометации.
Introduction
Trees and Forests / Components
— Domain Controller
— Active Directory Data Store
— Logical Active Directory Components
— Domain
— Trees
— Forest
— Organizational Units
— Trusts
Authentication
— Kerberos Protocol
— Lightweight Directory Access Protocol
— LAN Manager (LM) Hash
— NT LAN Manager (NTLM) Hash
— NT LAN Manager version 1
— NT LAN Manager version 2 (NTLMv2)
— Exploit KRBTGT account - The Golden Ticket attack
— Local accounts
Enumeration
Finding a Domain Controller
Enumerating File Shares
PowerView Recon
Domain Enumeration
— Using PowerView
— Using AD Module
— Using BloodHound
— Using Adalanche
— Useful Enumeration Tools
Hashes
— Responder
— Cracking NTLMv2 hash from LLMNR Poisoning
— Connect the shell with netcat
— Practical Example: Using Kali & Responder.py
Lateral Movement
— PowerShell Remoting
— Remote Code Execution with PS Credentials
— Import a PowerShell Module and Execute its Functions Remotely
— Executing Remote Stateful commands
— Mimikatz
— Remote Desktop Protocol
— URL File Attacks
— Useful Tools
Domain Privilege Escalation
— Kerberoast
— ASREPRoast
— Password Spray Attack
— Force Set SPN
— Abusing Shadow Copies
— List and Decrypt Stored Credentials using Mimikatz
— Unconstrained Delegation
— Constrained Delegation
— Resource Based Constrained Delegation
— Abusing Active Directory-Integraded DNS
— Abusing Backup Operators Group
— Abusing Exchange
— Exploiting SharePoint
— Zerologon
— PrintNightmare
— Active Directory Certificate Services
— No PAC
Domain Persistence
— Golden Ticket Attack
— DCsync Attack
— Silver Ticket Attack
— Skeleton Key Attack
— DSRM Abuse
— Custom SSP
Cross Forest Attacks
— Trust Tickets
— Abuse MSSQL Servers
— Breaking Forest Trusts
Introduction
Trees and Forests / Components
— Domain Controller
— Active Directory Data Store
— Logical Active Directory Components
— Domain
— Trees
— Forest
— Organizational Units
— Trusts
Authentication
— Kerberos Protocol
— Lightweight Directory Access Protocol
— LAN Manager (LM) Hash
— NT LAN Manager (NTLM) Hash
— NT LAN Manager version 1
— NT LAN Manager version 2 (NTLMv2)
— Exploit KRBTGT account - The Golden Ticket attack
— Local accounts
Enumeration
Finding a Domain Controller
Enumerating File Shares
PowerView Recon
Domain Enumeration
— Using PowerView
— Using AD Module
— Using BloodHound
— Using Adalanche
— Useful Enumeration Tools
Hashes
— Responder
— Cracking NTLMv2 hash from LLMNR Poisoning
— Connect the shell with netcat
— Practical Example: Using Kali & Responder.py
Lateral Movement
— PowerShell Remoting
— Remote Code Execution with PS Credentials
— Import a PowerShell Module and Execute its Functions Remotely
— Executing Remote Stateful commands
— Mimikatz
— Remote Desktop Protocol
— URL File Attacks
— Useful Tools
Domain Privilege Escalation
— Kerberoast
— ASREPRoast
— Password Spray Attack
— Force Set SPN
— Abusing Shadow Copies
— List and Decrypt Stored Credentials using Mimikatz
— Unconstrained Delegation
— Constrained Delegation
— Resource Based Constrained Delegation
— Abusing Active Directory-Integraded DNS
— Abusing Backup Operators Group
— Abusing Exchange
— Exploiting SharePoint
— Zerologon
— PrintNightmare
— Active Directory Certificate Services
— No PAC
Domain Persistence
— Golden Ticket Attack
— DCsync Attack
— Silver Ticket Attack
— Skeleton Key Attack
— DSRM Abuse
— Custom SSP
Cross Forest Attacks
— Trust Tickets
— Abuse MSSQL Servers
— Breaking Forest Trusts
HACKLIDO
Pentesting Active Directory - Part 5 | Lateral Movement, Privilege Escalation & Tools
Let’s learn about Lateral movement, privilege escalation and some amazing tools that you can add to your arsenal Introduction Once inside the network, t...
Forwarded from infosec
• Если не сильно углубляться в теорию, то Local Security Authority Subsystem Service (он же LSASS) — это процесс (исполняемый файл C:\Windows\System32\lsass.exe), ответственный за управление разными подсистемами аутентификации ОС #Windows. Среди его задач: проверка «кред» локальных и доменных аккаунтов в ходе различных сценариев запроса доступа к системе, генерация токенов безопасности для активных сессий пользователей, работа с провайдерами поддержки безопасности (Security Support Provider, SSP) и др.
• В домене Active Directory правит концепция единого входа Single Sign-On (SSO), благодаря которой процесс
lsass.exe хранит в себе разные материалы аутентификации залогиненных пользователей, например, NT-хеши и билеты Kerberos, чтобы «пользачу» не приходилось печатать свой пароль в вылезающем на экране окошке каждые 5 минут. В «лучшие» времена из LSASS можно было потащить пароли в открытом виде в силу активности протокола WDigest (HTTP дайджест-аутентификация), но начиная с версии ОС Windows Server 2008 R2 вендор решил не включать этот механизм по умолчанию.• При успешном дампе LSASS злоумышленнику чаще всего остается довольствоваться NT-хешами и билетами Kerberos, это все равно с большой вероятностью позволит ему повысить свои привилегии в доменной среде AD за короткий промежуток времени. Реализуя схемы Pass-the-Hash, Overpass-the-Hash и Pass-the-Ticket, злоумышленник может быстро распространиться по сети горизонтально, собирая по пути все больше хешей и «тикетов», что в конечном итоге дарует ему «ключи от Королевства» в виде данных аутентификации администратора домена.
• В этой статье представлены 50 методов извлечения данных аутентификации из памяти LSASS: https://redteamrecipe.com/50-methods-for-lsass-dumprtc0002
#Red_Team #Пентест #AD
Please open Telegram to view this post
VIEW IN TELEGRAM
https://github.com/JoelGMSec/EvilnoVNC
Фишинг поверх системы VNC. Поднимает браузер в вашем собственном окружении с сайтом, который вы укажете.
— сайт сохраняет оригинальный функционал, благодаря чему пользователь не заметит подвоха
— сохраняет куки на диске
— имеет встроенный кейлоггер для перехвата нажатий клавиш
— минимальные затраты для поднятия инфраструктуры
Может получиться годная схема в связке с новым PWA-фишингом от mrd0x. Удобно разворачивать для Red Team.
Фишинг поверх системы VNC. Поднимает браузер в вашем собственном окружении с сайтом, который вы укажете.
— сайт сохраняет оригинальный функционал, благодаря чему пользователь не заметит подвоха
— сохраняет куки на диске
— имеет встроенный кейлоггер для перехвата нажатий клавиш
— минимальные затраты для поднятия инфраструктуры
Может получиться годная схема в связке с новым PWA-фишингом от mrd0x. Удобно разворачивать для Red Team.
Cybred
Российские APT чекают свои логи прямо сейчас на эксплуатацию самих себя, — вышел PoC для RCE в Empire C2. Прикинувшись агентом, можно отправить задание на скачивание файла с машины "жертвы", и сохранить его по произвольному пути на сервере хакера. safe_path…
Wiki to collect Red Team infrastructure hardening resources
Помните, как ломали Empire? Так вот, случай не единичный, — взламывают конечно не только его, но и остальные C2, даже Nighthawk и Cobalt Strike.
Интересный случай был когда ФБР разреверсили, нашли баги и взломали ботнет Turla — тогда правоохранителям удалось отправить команду на самоуничтожение агента с тысячи инфицированных компьютеров в более 50 странах https://www.justice.gov/opa/pr/justice-department-announces-court-authorized-disruption-snake-malware-network-controlled.
Еще один доклад на эту же тему DEF CON 31 - The Art of Compromising C2 Servers A Web App Vulns Perspective - Vangelis Stykas.
Поэтому учимся "фортифицировать" собственные сервера, чтобы злоумышленники не получили доступ в инфраструктуру заказчика, а вместе с тем читаем и другие полезные советы.
Design Considerations
— Functional Segregation
— Using Redirectors
— Sample Design
— Further Resources
Domains
— Categorization and Blacklist Checking Resources
Phishing
— Easy Web-Based Phishing
— Cobalt Strike Phishing
— Phishing Frameworks
Redirectors
— SMTP
— DNS
— HTTP(S)
Modifying C2 Traffic
— Cobalt Strike
— Empire
Third-Party C2 Channels
— Domain Fronting
— PaaS Redirectors
— Other Third-Party C2
Conclusion
— Obscuring Infrastructure
— Securing Infrastructure
— Automating Deployments
— General Tips
Помните, как ломали Empire? Так вот, случай не единичный, — взламывают конечно не только его, но и остальные C2, даже Nighthawk и Cobalt Strike.
Интересный случай был когда ФБР разреверсили, нашли баги и взломали ботнет Turla — тогда правоохранителям удалось отправить команду на самоуничтожение агента с тысячи инфицированных компьютеров в более 50 странах https://www.justice.gov/opa/pr/justice-department-announces-court-authorized-disruption-snake-malware-network-controlled.
Еще один доклад на эту же тему DEF CON 31 - The Art of Compromising C2 Servers A Web App Vulns Perspective - Vangelis Stykas.
Поэтому учимся "фортифицировать" собственные сервера, чтобы злоумышленники не получили доступ в инфраструктуру заказчика, а вместе с тем читаем и другие полезные советы.
Design Considerations
— Functional Segregation
— Using Redirectors
— Sample Design
— Further Resources
Domains
— Categorization and Blacklist Checking Resources
Phishing
— Easy Web-Based Phishing
— Cobalt Strike Phishing
— Phishing Frameworks
Redirectors
— SMTP
— DNS
— HTTP(S)
Modifying C2 Traffic
— Cobalt Strike
— Empire
Third-Party C2 Channels
— Domain Fronting
— PaaS Redirectors
— Other Third-Party C2
Conclusion
— Obscuring Infrastructure
— Securing Infrastructure
— Automating Deployments
— General Tips
Telegram
ares.log
тяжкий вибір с2
Cybred
Wiki to collect Red Team infrastructure hardening resources Помните, как ломали Empire? Так вот, случай не единичный, — взламывают конечно не только его, но и остальные C2, даже Nighthawk и Cobalt Strike. Интересный случай был когда ФБР разреверсили, нашли…
This media is not supported in your browser
VIEW IN TELEGRAM
Unauthenticated SSRF on Havoc C2 teamserver via spoofed demon agent
Стоило написать, как тут же нашли SSRF в Havoc.
PoC https://github.com/chebuya/Havoc-C2-SSRF-poc
Стоило написать, как тут же нашли SSRF в Havoc.
PoC https://github.com/chebuya/Havoc-C2-SSRF-poc