Wiki to collect Red Team infrastructure hardening resources

Помните, как ломали Empire? Так вот, случай не единичный, — взламывают конечно не только его, но и остальные C2, даже Nighthawk и Cobalt Strike.

Интересный случай был когда ФБР разреверсили, нашли баги и взломали ботнет Turla — тогда правоохранителям удалось отправить команду на самоуничтожение агента с тысячи инфицированных компьютеров в более 50 странах https://www.justice.gov/opa/pr/justice-department-announces-court-authorized-disruption-snake-malware-network-controlled.

Еще один доклад на эту же тему DEF CON 31 - The Art of Compromising C2 Servers A Web App Vulns Perspective - Vangelis Stykas.

Поэтому учимся "фортифицировать" собственные сервера, чтобы злоумышленники не получили доступ в инфраструктуру заказчика, а вместе с тем читаем и другие полезные советы.

Design Considerations
— Functional Segregation
— Using Redirectors
— Sample Design
— Further Resources

Domains
— Categorization and Blacklist Checking Resources

Phishing
— Easy Web-Based Phishing
— Cobalt Strike Phishing
— Phishing Frameworks

Redirectors
— SMTP
— DNS
— HTTP(S)

Modifying C2 Traffic
— Cobalt Strike
— Empire

Third-Party C2 Channels
— Domain Fronting
— PaaS Redirectors
— Other Third-Party C2

Conclusion
— Obscuring Infrastructure
— Securing Infrastructure
— Automating Deployments
— General Tips

Unauthenticated SSRF on Havoc C2 teamserver via spoofed demon agent

Стоило написать, как тут же нашли SSRF в Havoc.

PoC https://github.com/chebuya/Havoc-C2-SSRF-poc

Доклады с конференции SO-CON 2024

— Identity Providers for Red Teamers
— Attack Path Based Detection Engineering: Leveraging BloodHound for Robust Defense
— Beyond the Shell: Unconventional Agents for Red Teaming Success
— Domain Persistence: Detection, Triage, and Recovery
— The New SaaS Cyber Kill Chain
— Misconfiguration Manager: Overlooked and Overprivileged
— KubeHound and Beyond: Evolving Security Through Graphs & Automation
— Graphs are Hard
— Manually Enumerating AD Attack Paths with BOFHound
— Project Apeman: Mapping AWS Identity Attack Paths
— Analyzing and Executing ADCS Attack Paths with BloodHound
— LSA Whisperer
— The BloodHound Enterprise State of Attack Path Management
— The Dog Ate My Homework. Building a PowerShell module for the Bloodhound

Ссылка на плейлист https://www.youtube.com/playlist?list=PLJK0fZNGiFU_Zh8PkjCws_Rw_8WdWKyd7

Rewriting completely the GameSpy support from 2000 to 2004 using Reverse Engineering on EA and Bungie Games.

Взлом Origin DRM, реверс всего сетевого стека и написание собственного лоадера — сколько сил было убито, чтобы поиграть в Battlefield 1942, Vietnam и Halo CE по сети.

Статья топ

1. Introduction
2. A slight motivation
3. GameSpy from Glory to Decay

4. Battlefield 1942 - GameSpy 2002
— Analyzing the binary file
— Reverting Packages
— Reverting the Gamespy Source Code and Implementation
— [Bonus] Exploring registry key security to abuse the server serial problem to disconnect players.
— How was the hash generated for the serial key? Is it the same one used on the servers for verification?
— Analyzing the server verification implementation of the Gamespy SDK in Battlefield 1942
— Writing a Packet Parser
— Analyzing and creating ideas for modifications
— Analyzing Code Patterns
— Writing a new Master Server List provider
— Testing the project

5. The Gamespy of 2004 (Used by Bungie and EA)
— A little about EA Games vs Bungie’s stance
— How network communication occurs
— Analyzing the Packets
— Writing a Packet Parser for Gamespy 2004
— Analyzing and creating ideas for GameSpy 2004 modifications
— Analyzing GameSpy 2004 code patterns
— Rewriting the MasterServer Provider for GameSpy 2004
— Testing the project

6. Extra Ideas
— Gameloader
— Window Mode Tips for Development
— TeaDelKew
— Error track with MiniDumps

7. Bla, Bla, Legal Stuff
8. Reviewers, Testers, and Special Thanks
9. Conclusion
10. References

Пишут, что CrowdStrike обновила Falcon Sensor, и начался сущий кошмар. По всему миру встали аэропорты, телеканалы, банки, магазины и не только — у всех синий экран смерти.

Хотфикс следующий

1. Boot Windows into Safe Mode or the Windows Recovery Environment
2 Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
3. Locate the file matching “C-00000291*.sys”, and delete it.
4. Boot the host normally.

Falcon Sensor – это агент, который, по заявлению CrowdStrike, "блокирует атаки на ваши системы, записывая и фиксируя активность для быстрого обнаружения угроз".

Однако в данный момент этот агент сам является угрозой.

Заканчиваем день с признанием того самого сотрудника, выпустившего роковое обновление.

Видео выложил глава CrowdStrike с комментарием

Это не инцидент безопасности или кибератака. Проблема была выявлена, изолирована и исправлена. Мы направляем клиентов на портал поддержки для получения последних обновлений и продолжим предоставлять полные и постоянные обновления на нашем сайте.

Комментарий CEO настоящий. Признание — забавный фейк на злобу дня от французского аналога панорамы

CVE-2024-38112. Resurrecting Internet Explorer: Threat Actors Using Zero-day Tricks In Internet Shortcut File To Lure Victims

.lnk, который выглядит как PDF и возрождает IE из недр Windows. Дальше подгружается и исполняется .hta с полезной нагрузкой.

Плохой OPSEC

14 мая 2021 года газета The New York Times со ссылкой на одного из сенаторов кратко упомянула в своей статье, что внуки Байдена любят навещать своего дедушку в Белом доме и показывать видео из Tiktok, а тот им иногда присылает деньги на карманные расходы в Venmo.

Тогда никто не обратил внимание на эти факты, но на днях журналисты из BuzzFeed выпустили статью, где рассказали о проблемах сервиса: после запуска, приложение просит список контактов (как и Telegram), которые не закрыты настройками приватности.

Более того, и платежи по умолчанию доступны всем. У Байдена они были скрыты, но не у его внуков: обратным поиском от внуков к "единственному незнакомцу, который регулярно присылает им деньги", удалось построить граф со всем окружением президента.

SlayerLabs

Если для вас взлом на HackTheBox стал рутиной по поиску эксплойтов для одних и тех же CMS, развернутых по шаблону из одного контейнера, то SlayerLabs предлагают новый опыт.

Разработчики создают лаборатории для пентеста с уникальным лором, сюжетом и оформлением, пример одной из которых можно увидеть в трейлере.

— 6 полигонов с более 130 машинами
— собственный сюжет на каждую компанию
— задания под разные операционные системы
— прописанная вселенная в стиле ретрофутуризма
— для Windows есть лаборатории с 4+ доменами
— чтобы дойти до финала, придется взламывать очень и очень много
— на большинстве полигонов придется писать собственные эксплойты из-за приложений, которые существуют только тут

Ссылка: https://slayerlabs.com/

https://github.com/lawndoc/Respotter

Ханипот для Responder.

Respotter использует протоколы LLMNR, mDNS и NBNS для поиска несуществующего фальшивого имени хоста (по умолчанию: Loremipsumdolorsitamet). Если на любой из запросов получен ответ, значит, кто-то запустил Responder в вашей сети.

Поддерживает уведомления в Slack, Teams или Discord, а также отправку событий в syslog для занесения событий в SIEM.

Red Team Interview Questions

Репозиторий, охватывающий широкий спектр тем и вопросов для кандидатов на собеседование, которые готовятся работать пентестерами в составе красной команды.

1. Initial Access
2. Windows Network
3. Active Directory
4. OS Language Programming
5. PowerShell
6. Windows Internals
7. DNS Server
8. Windows API
9. Macro Attack
10. APT Groups
11. EDR and Antivirus
12. Malware Development
13. System & Kernel Programming
14. Privilege Escalation
15. Post-exploitation (and Lateral Movement)
16. Persistence
17. Breaking Hash
18. C&C (Command and Control)
19. DLL
20. DNS Rebinding
21. LDAP
22. Evasion
23. Steganography
24. Kerberoasting and Kerberos
25. Mimikatz
26. RDP
27. NTLM
28. YARA Language
29. Windows API And DLL Difference
30. Antivirus and EDR Difference
31. NTDLL
32. Native API
33. Windows Driver
34. Tunneling
35. Shadow File
36. SAM File
37. LSA
38. LSASS
39. WDIGEST
40. CredSSP
41. MSV
42. LiveSSP
43. TSpkg
44. CredMan
45. EDR NDR XDR
46. Polymorphic Malware
47. Pass-the-Hash, Pass-the-Ticket or Build Golden Tickets
48. Firewall
49. WinDBG (Windows Debugger)
50. PE (Portable Executable)
51. ICMP
52. Major Microsoft frameworks for Windows
53. Services and Processes
54. svchost
55. CIM Class
56. CDB, NTSD, KD, Gflags, GflagsX, PE Explorer
57. Sysinternals Suite (tools)
58. Undocumented Functions
59. Process Explorer vs Process Hacker
60. CLR (Common Language Runtime)

Другие посты, которые я публиковал ранее
— вопросы на разные темы от действующего сотрудника Google
— 33 вопроса о веб-уязвимостях для самоподготовки