Forwarded from ESCalator
Используете ли вы криптографию правильно? 🔓
Группе исследования сложных угроз департамента Threat Intelligence часто приходится решать интересные задачи в процессе реверса ВПО. Этот раз не стал исключением. Существует такая техника, как Execution Guardrails: Environmental Keying, — она нужна для ограничения выполнения ВПО только в конкретной целевой среде. Например, ее использует группировка Decoy Dog в своих операциях.
В попавшем к нам на исследование семпле применялась эта же техника: в качестве ключа для используемых строк использовалось имя компьютера, которого у нас не было, дополнительно семпл был обфусцирован. В случае, если ВПО запускалось не на нужном злоумышленнику устройстве, оно крашилось — отсюда и стартует наше исследование.
☠️ Выяснилось, что ВПО «падает» при попытке вызова функции
Чтобы вычислить промежуточный ключ (который формируется в результате логических операций), мы прибегнули к атаке на основе открытого текста. Возвращаясь к функции
Группа исследования сложных угроз рекомендует одну из платформ для изучения криптоанализа — cryptohack.org.
#tips #reverse #malware #cryptography #TI
@ptescalator
Группе исследования сложных угроз департамента Threat Intelligence часто приходится решать интересные задачи в процессе реверса ВПО. Этот раз не стал исключением. Существует такая техника, как Execution Guardrails: Environmental Keying, — она нужна для ограничения выполнения ВПО только в конкретной целевой среде. Например, ее использует группировка Decoy Dog в своих операциях.
В попавшем к нам на исследование семпле применялась эта же техника: в качестве ключа для используемых строк использовалось имя компьютера, которого у нас не было, дополнительно семпл был обфусцирован. В случае, если ВПО запускалось не на нужном злоумышленнику устройстве, оно крашилось — отсюда и стартует наше исследование.
LoadLibraryA с переданным именем библиотеки в качестве неотображаемых байтов. Этот набор байтов должен представлять собой имя библиотеки, которая расшифровывается в цикле; при каждой итерации берется символ от имени компьютера, с помощью логических операций приводится в необратимый вид, а после уже гаммируется с зашифрованным текстом и его однобайтовой константой. Чтобы вычислить промежуточный ключ (который формируется в результате логических операций), мы прибегнули к атаке на основе открытого текста. Возвращаясь к функции
LoadLibraryA: мы знаем, что имя библиотеки будет составлять 13 байт в кодировке ASCII + '\x00'; так мы смогли восстановить треть ключа, а далее по аналогии уже с другими строками восстановили оставшуюся часть ключа.Дешифрование строки:
F(sym_comp_name) ^ sym_enc ^ cnst_enc = sym_dec
F(sym_comp_name) — логические операции
Получение промежуточного ключа:
sym_dll_name ^ sym_enc ^ cnst_enc = irr_sym_key
irr_sym_key — промежуточный байт ключа, необратимый
Группа исследования сложных угроз рекомендует одну из платформ для изучения криптоанализа — cryptohack.org.
#tips #reverse #malware #cryptography #TI
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Pentester's Backlog
🦾 Обещанная статья на тему сдачи OSCP+ в 2025 году.
Что ждать на экзамене, как сейчас готовиться, что творится вообще!?
😼 Всё это я постарался ёмко описать в данном материале
🔗 Ссылка на статью в telegra.ph
Что ждать на экзамене, как сейчас готовиться, что творится вообще!?
😼 Всё это я постарался ёмко описать в данном материале
🔗 Ссылка на статью в telegra.ph
Telegraph
OSCP (PEN-200) - ГЛАЗА НЕ БОЯТСЯ, И РУКИ ДЕЛАЮТ!
Привет! Обещанная статья про сдачу OSCP не заставила себя долго ждать. Для многих (как и для меня) этот экзаменом является неким milestone на пути обучения пентесту, явно указывающим коллегам по цеху на то, что ты что-то знаешь, что-то умеешь, но до уровня…
Forwarded from s0ld13r ch. (s0ld13r)
S0LD13R - LETS HUNT PIPE'S 😠
Как обычно, вечерком хантил тему C2 и накидал пачку сигнатур для Suricata по SMB Named Pipes. Теперь можно отлавливать малварь, которая прячется в сети через именованные каналы🚨
Лайфхак по написанию детектов: берешь +- качественный репозиторий с hunting queries, например как здесь, выдергиваешь индикаторы и пилишь под него новое Suricata правило. Не факт что 100% попадеться то же самое, но с каждым шагом обогащаем знания и делаем проверку на "дурака"🐈⬛
С чем имеем дело?
SMB Named Pipe – механизм межпроцессного взаимодействия (IPC) через SMB, который позволяет передавать данные между процессами, в том числе между разными машинами. Злоумышленники используют Named Pipes для выполнения команд, передачи данных и организации C2-каналов🔍
Suricata - open-source система обнаружения и предотвращения вторжений (IDS/IPS), анализирующая сетевой трафик по сигнатурам и аномалиям🐈⬛
Пока базово собрал 37 правил по именованным каналам в свой репозиторий по TI, можно посмотреть тут👮♀️
Из интересного: PoshC2, CobaltStrike, PsExec, Creds Dump и другие утилиты😎
P.S репа с правилами будет периодически обновляться, буду рад коммитам)
@s0ld13r_ch
Как обычно, вечерком хантил тему C2 и накидал пачку сигнатур для Suricata по SMB Named Pipes. Теперь можно отлавливать малварь, которая прячется в сети через именованные каналы
Лайфхак по написанию детектов: берешь +- качественный репозиторий с hunting queries, например как здесь, выдергиваешь индикаторы и пилишь под него новое Suricata правило. Не факт что 100% попадеться то же самое, но с каждым шагом обогащаем знания и делаем проверку на "дурака"
С чем имеем дело?
SMB Named Pipe – механизм межпроцессного взаимодействия (IPC) через SMB, который позволяет передавать данные между процессами, в том числе между разными машинами. Злоумышленники используют Named Pipes для выполнения команд, передачи данных и организации C2-каналов
Suricata - open-source система обнаружения и предотвращения вторжений (IDS/IPS), анализирующая сетевой трафик по сигнатурам и аномалиям
Пока базово собрал 37 правил по именованным каналам в свой репозиторий по TI, можно посмотреть тут
Из интересного: PoshC2, CobaltStrike, PsExec, Creds Dump и другие утилиты
P.S репа с правилами будет периодически обновляться, буду рад коммитам)
@s0ld13r_ch
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AP Security
#pentest
RunAs Utility Credential Stealer
Свежая утилита реализует 3 техники: Hooking CreateProcessWithLogonW, Smart Keylogging, Remote Debugging.
Может быть полезна при проведении пентестов на своих проектах.
RunAs Utility Credential Stealer
Свежая утилита реализует 3 техники: Hooking CreateProcessWithLogonW, Smart Keylogging, Remote Debugging.
Может быть полезна при проведении пентестов на своих проектах.
GitHub
GitHub - DarkSpaceSecurity/RunAs-Stealer: RunAs Utility Credential Stealer implementing 3 techniques : Hooking CreateProcessWithLogonW…
RunAs Utility Credential Stealer implementing 3 techniques : Hooking CreateProcessWithLogonW, Smart Keylogging, Remote Debugging - DarkSpaceSecurity/RunAs-Stealer
👍2
Forwarded from Пентестер на мотоцикле
Однажды появилась задача поисследовать Bitrix на уязвимости. Нашёл очень классные материалы по атакам на данную CMS на русском языке. С помощью них обнаружил несколько некритических уязвимостей на проекте, а потом отпала необходимость ковырять данный вектор. Ну и ладно)
Всегда держу ссылочки при себе на всякий случай, вам тоже советую их сохранить.
#материал
Please open Telegram to view this post
VIEW IN TELEGRAM