В прошлом году в ходе своеобразного Purple Team проекта нашей команде довелось расследовать интересный и тогда неизвестный мне вектор атаки на домен, который позволил атакующим в течение 15 минут скомпрометировать AD🖥

Что было наиболее удивительно: в SIEM мы не увидели ни одного связанного инцидента, кроме финального результата — DCSync от УЗ контроллера домена с атакующей машины.
Изучив логи, понимание происходящего появилось, и осознать всё помог доклад "Охотимся за современными атаками на инфраструктуру Active Directory" c PHD 11⬜️, который я очень рекомендую к ознакомлению.

Факт того, что успешная атака прошла буквально "мимо нас", заставил меня подумать над детектом этой активности, в результате чего локальная KB пополнилась новым правилом корреляции.
Прочитать, как это было, можно в моём прошлогоднем посте✍️

P.s. совет охотникам за угрозами: если у вас MP SIEM не игнорируйте правила с correlation_type = event, и возьмите за правило первым делом искать активность по фильтру:

correlation_name and correlation_type in ["event", "incident"]

Это уже может помочь вам увидеть то, за что стоит зацепиться и провести дополнительное расследование🔎

Помимо ESC8, который связан с Web enrollment interface ADCS, удалось найти ещё один вектор, который связан с эксплуатацией уязвимых шаблонов сертификатов🖼️

Это был ESC1, который позволяет атакующим олицетворять любого пользователя в домене при запросе сертификата с subjectAltName.
Дело в том, что Active Directory при аутентификации отдает приоритет subjectAltName (SAN), если он присутствует в сертификате. Так почему бы не выпустить сертификат c SAN администратора домена?👺

Давайте погрузимся в атаку и научимся выявлять её, вдумчиво изучив содержимое событий 4886 и 4887 в MP SIEM🧬

Знание ESC1 важно ещё и потому, что на основе этого вектора строятся иные пути атак на ADCS. Например, ESC4, в рамках которого из-за небезопасных разрешений атакующий делает сертификат уязвимым к ESC1. Полный детект ESC4 будет мало отличаться от ESC1, и успешное его выявление зависит от логирования события 4899. Кстати, любое событие 4899 будет представлять интерес, поскольку шаблоны сертификатов меняются не так часто. Берите на заметку и настраивайте оповещения!📣

🏆 WE. ARE. LIVE. 🏆

Good luck to all the participants❤️

game.tqlctf.com

Наша команда запустила CTF, регистрация на который открыта для всех желающих📣
А если вы студент, то есть возможность побороться за призовой фонд🪙

🏆Our competition is over!🏆

💸Congratulations to all participants and wish them further success!💸

Preliminary results:

🥇First place: EXE.1sior

🥈Second place: MHC

🥉Third place: BKISC

In the near future we will analyze the results and summarize the results!

🫴Captains of the winning teams are asked to write urgently to @MrNansy

Изучаем эксплуатацию интересной SQL-инъекции в выражении INSERT💉
https://telegra.ph/SQL-injection-02-05

Представим, что перед вами простое приложение, имеющее форму авторизации и страницу регистрации. Вы битый час пихаете кавычки во все параметры, но так и не находите ничего интересного😢
Опускаются руки? Рано сдаваться!

В этой статье мы подробно рассмотрим процесс эксплуатации second order SQL-инъекции, которая может встретиться в такой форме💻
Здесь мы пройдем все шаги от верификации инъекции до полной эксфильтрации содержащейся в таблицах информации, а также подробно разберём выражение SQL, в котором возникает уязвимость💉

#web #sqli #обучающий

☄️Всем привет! ☄️

Сегодня принес вам разбор реализованных нами недопустимых событий на ВСКБ, прошедшей в рамках Kazan Digital Week

Помимо описанного в статье, мы достаточно глубоко прокопались в инфраструктуре, однако полученные доступы не привели нас к реализации нужных НС, поэтому углубление в инфру в рамках данной статьи затронуто не будет. Но оно было 🥸

Результаты, достигнутые синей и красной командами на этой ВСКБ породили идею активнее развивать эти направления среди наших студентов, кто с ними пока еще не сталкивался 🍆

Так что зазывайте своих тиммейтов в наш чатик и ждите новостей, а пока посмотрите, как выглядели наши атаки на инфраструктуру.

Приятного прочтения! 🙂

#infra #vskb #pentest