Подхватил у @byteoflife идею этого поста и хочу поделиться про довольно популярную технику фингерпринтинга - Favicon Hashing 😸

Цель данной техники заключается в идентификации веб страниц и приложений на основе их значка favicon, в случае если актор использует весьма заметный favicon или не поменял его при деплое C2, то можно попробовать найти его в различных поисковых системах по типу Censys, FOFA 🦅

Для снятия хэша favicon можно использовать данный ресурс: https://faviconhasher.codejavu.tech/

А касательно поста вот и сам favicon hash (FOFA) 😏

icon_hash="-1049861794"

FOFA выдал 20 результатов, с 4 уникальными значениями 🔫

Детектнутые домены и IP 🪨

144[.]91[.]79[.]54
144[.]91[.]92[.]251
partagerapide[.]com
horusprotector[.]help

@s0ld13r_ch

👮‍♀Восстановление паролей из перехваченного трафика Kerberos👮‍♀
Внезапная заметка, которая может помочь вам незаметно получить учетные данные доменного пользователя без необходимости взаимодействия с контроллером домена💻

Представьте, что вы получили доступ к какому-то сетевому устройству (пусть это будет, например, PfSense), и у вас получилось его встроенными (или не совсем) средствами записать трафик, в котором вы позже нашли успешную Kerberos аутентификацию. Выглядеть она будет так, как показано на первом скриншоте😅

Для восстановления пароля пользователя нас интересует этап преаутентификации (AS-REQ), где передаётся зашифрованная секретом пользователя метка времени, которая и подвергнется атаке (а секрет считается из пароля этого пользователя).

Для осуществления атаки подготавливаем среду. В качестве ОС я использую Kali, а средство, которое нам даст требуемые артефакты, — известное ПО для сетевой форензики NetworkMiner.
Первым делом устанавливаем ПО на нашу ОС. Так как NetworkMiner разработан под Windows, для его запуска на Kali используем mono, который также нужно установить:

sudo apt install -y mono-devel

wget https://www.netresec.com/?download=NetworkMiner -O ./networkminer.zip

unzip networkminer.zip

mono NetworkMiner_2-9/NetworkMiner.exe --noupdatecheck

После того, как мы успешно запустили NetworkMiner, импортируем туда файл с трафиком.
Важно: NetworkMiner не умеет обрабатывать файлы с расширением .pcapng, поэтому перед импортом файла убедитесь, что он сконвертирован в нужный формат. Сделать это можно следующим образом:

tshark -F pcap -r traffic.pcapng -w traffic.pcap 

После успешного открытия файла идём во вкладку Credentials, где видим извлеченные хэши в удобном для копирования формате (второй скриншот).
Мы будем взламывать именно PreAuth-данные (krb5pa), поэтому правой кнопкой нажимаем на хэш в NetworkMiner и копируем его в буфер обмена.

Далее дело за малым: записать его в файл и натравить HashCat или JtR для атаки:

echo '$krb5pa$18$william.dupond$CATCORP.LOCAL$CATCORP.LOCALwilliam.dupond$fc8b...' > pa.hash

sudo john --wordlist=/usr/share/wordlists/rockyou.txt pa.hash

Результат успешной атаки можно наблюдать на третьем скриншоте.

И это далеко не единственный случай, когда BlueTeam инструменты помогают красным командам достичь своих целей👽