В прошлом году в ходе своеобразного Purple Team проекта нашей команде довелось расследовать интересный и тогда неизвестный мне вектор атаки на домен, который позволил атакующим в течение 15 минут скомпрометировать AD🖥

Что было наиболее удивительно: в SIEM мы не увидели ни одного связанного инцидента, кроме финального результата — DCSync от УЗ контроллера домена с атакующей машины.
Изучив логи, понимание происходящего появилось, и осознать всё помог доклад "Охотимся за современными атаками на инфраструктуру Active Directory" c PHD 11⬜️, который я очень рекомендую к ознакомлению.

Факт того, что успешная атака прошла буквально "мимо нас", заставил меня подумать над детектом этой активности, в результате чего локальная KB пополнилась новым правилом корреляции.
Прочитать, как это было, можно в моём прошлогоднем посте✍️

P.s. совет охотникам за угрозами: если у вас MP SIEM не игнорируйте правила с correlation_type = event, и возьмите за правило первым делом искать активность по фильтру:

correlation_name and correlation_type in ["event", "incident"]

Это уже может помочь вам увидеть то, за что стоит зацепиться и провести дополнительное расследование🔎

Помимо ESC8, который связан с Web enrollment interface ADCS, удалось найти ещё один вектор, который связан с эксплуатацией уязвимых шаблонов сертификатов🖼️

Это был ESC1, который позволяет атакующим олицетворять любого пользователя в домене при запросе сертификата с subjectAltName.
Дело в том, что Active Directory при аутентификации отдает приоритет subjectAltName (SAN), если он присутствует в сертификате. Так почему бы не выпустить сертификат c SAN администратора домена?👺

Давайте погрузимся в атаку и научимся выявлять её, вдумчиво изучив содержимое событий 4886 и 4887 в MP SIEM🧬

Знание ESC1 важно ещё и потому, что на основе этого вектора строятся иные пути атак на ADCS. Например, ESC4, в рамках которого из-за небезопасных разрешений атакующий делает сертификат уязвимым к ESC1. Полный детект ESC4 будет мало отличаться от ESC1, и успешное его выявление зависит от логирования события 4899. Кстати, любое событие 4899 будет представлять интерес, поскольку шаблоны сертификатов меняются не так часто. Берите на заметку и настраивайте оповещения!📣

🏆 WE. ARE. LIVE. 🏆

Good luck to all the participants❤️

game.tqlctf.com

Наша команда запустила CTF, регистрация на который открыта для всех желающих📣
А если вы студент, то есть возможность побороться за призовой фонд🪙

🏆Our competition is over!🏆

💸Congratulations to all participants and wish them further success!💸

Preliminary results:

🥇First place: EXE.1sior

🥈Second place: MHC

🥉Third place: BKISC

In the near future we will analyze the results and summarize the results!

🫴Captains of the winning teams are asked to write urgently to @MrNansy

Изучаем эксплуатацию интересной SQL-инъекции в выражении INSERT💉
https://telegra.ph/SQL-injection-02-05

Представим, что перед вами простое приложение, имеющее форму авторизации и страницу регистрации. Вы битый час пихаете кавычки во все параметры, но так и не находите ничего интересного😢
Опускаются руки? Рано сдаваться!

В этой статье мы подробно рассмотрим процесс эксплуатации second order SQL-инъекции, которая может встретиться в такой форме💻
Здесь мы пройдем все шаги от верификации инъекции до полной эксфильтрации содержащейся в таблицах информации, а также подробно разберём выражение SQL, в котором возникает уязвимость💉

#web #sqli #обучающий

☄️Всем привет! ☄️

Сегодня принес вам разбор реализованных нами недопустимых событий на ВСКБ, прошедшей в рамках Kazan Digital Week

Помимо описанного в статье, мы достаточно глубоко прокопались в инфраструктуре, однако полученные доступы не привели нас к реализации нужных НС, поэтому углубление в инфру в рамках данной статьи затронуто не будет. Но оно было 🥸

Результаты, достигнутые синей и красной командами на этой ВСКБ породили идею активнее развивать эти направления среди наших студентов, кто с ними пока еще не сталкивался 🍆

Так что зазывайте своих тиммейтов в наш чатик и ждите новостей, а пока посмотрите, как выглядели наши атаки на инфраструктуру.

Приятного прочтения! 🙂

#infra #vskb #pentest

🐧Изучаем AppArmor и ищем недостатки в его конфигурации 🐧

Да, в телеграфе больше нельзя постить картинки, поэтому добро пожаловать в Телетайп!

В этой статье мы рассмотрим эксплуатацию несложной машины с THM, в ходе которой используем известную уязвимость для получения RCE, поревёрсим простой бинарь и найдем миссконфигрурацию в настройках AppArmor, которая позволит эскалировать наши привилегии даже с имеющимися ограничениями😁

#пентест #thm

Итоги задания от партнера «Айти Бастион»

У команд сегодня было непростое задание «В темноте»: оно посвящено особенностям работы технологического сегмента АСУ ТП 💻

… Обесточен целый район: нет света, размораживаются холодильники, не работают котлы отопления. Жители района обрывают горячую линию коммунальной службы. При этом известно, что аналитики SOC еще утром увидели в системе целый букет инцидентов, сработки защитных модулей системы контроля действий привилегированных пользователей (СКДПУ НТ) и попытки воздействовать на технологический процесс...

Командам нужно было изучить алерты СКДПУ НТ ⚠️, понять, что их вызвало, и не допустить, чтобы район долго оставался в темноте.

🏆 В студенческой лиге победила команда EXE1sior — 220 баллов
🏆 В корпоративной лиге — FYI —220 баллов

🔥 Команды в обеих лигах, занявшие первое место в этом задании, получат специальные призы от партнера!

Поздравляем победителей 🥳

☄️Всем привет!☄️

Сегодня, 14.10.2024, закончились отборочные на Международные игры по кибербезопаности, во время которых мы похекали буквально все, что могли. В сегодняшней статье разберем первую половину из реализованных нами рисков.

В связи с объемностью материала разбор было решено разбить на две части, и первую из них я представляю вашему вниманию =) Во второй части разберем оставшееся – более жирные риски и более сложные чейны.

Приятного прочтения!🥸

#infra #vskb #pentest