Forwarded from RedTeam brazzers (Pavel Shlundin)
report.pdf
40.2 KB
Coverage (Покрытие).
Начну с базы, даже с двух:
1. В 95% случаев получить права админа домена не сложно, и чаще всего это занимает не более 2 часов;
2. Большинство заказчиков хочет не просто пентест, а ПОКРЫТИЕ (т.е. что бы нашли и описали как можно больше уязвимостей и векторов).
И вот у каждого из нас наступает день, когда у заказчика 4 разных домена, куча разных целей и уязвимостей в смежных системах. Сделать хорошее покрытие нет ни сил ,ни времени, ни желания... Лично я в любом случае всегда собираю для каждого домена ldapdomaindump, secretsdump NTDS.DIT (если заказчик согласовал, без разрешения так делать не стоит), и в принципе этих данных достаточно что бы найти множество багов после проекта, на этапе подготовки отчета:
1. Kerberoasting;
2. As-Rep Roasting;
3. Проверить есть ли пароли в дескрипшинах у пользователей;
4. Подсветить опасные реюзы паролей у привилегированных пользователей;
5. Чекнуть возможность проведения атаки Pre2k (это неплохой вектор начального доступа, но когда права админа домена в кармане, не хочется проверять такие базовые, но опасные уязвимости)
6. Включенное обратимое шифрование в базе NTDS.DIT;
7. Неограниченное делегирование;
8. Слабые пароли и сколько их в домене
и много-много других...
Специально для решения этой задачи я написал небольшой скрипт на Python, который распарсит ldd, dump и brute и сделает удовлетворительное покрытие. На выходе мы получаем отчет в формате MarkDown. Каждая уязвимость описывается отдельно в папке modules по следующему правилу. Вы можете легко дописать множество своих проверок или удобно поменять текущие. Пример отчета прикладываю к посту.
Начну с базы, даже с двух:
1. В 95% случаев получить права админа домена не сложно, и чаще всего это занимает не более 2 часов;
2. Большинство заказчиков хочет не просто пентест, а ПОКРЫТИЕ (т.е. что бы нашли и описали как можно больше уязвимостей и векторов).
И вот у каждого из нас наступает день, когда у заказчика 4 разных домена, куча разных целей и уязвимостей в смежных системах. Сделать хорошее покрытие нет ни сил ,ни времени, ни желания... Лично я в любом случае всегда собираю для каждого домена ldapdomaindump, secretsdump NTDS.DIT (если заказчик согласовал, без разрешения так делать не стоит), и в принципе этих данных достаточно что бы найти множество багов после проекта, на этапе подготовки отчета:
1. Kerberoasting;
2. As-Rep Roasting;
3. Проверить есть ли пароли в дескрипшинах у пользователей;
4. Подсветить опасные реюзы паролей у привилегированных пользователей;
5. Чекнуть возможность проведения атаки Pre2k (это неплохой вектор начального доступа, но когда права админа домена в кармане, не хочется проверять такие базовые, но опасные уязвимости)
6. Включенное обратимое шифрование в базе NTDS.DIT;
7. Неограниченное делегирование;
8. Слабые пароли и сколько их в домене
и много-много других...
Специально для решения этой задачи я написал небольшой скрипт на Python, который распарсит ldd, dump и brute и сделает удовлетворительное покрытие. На выходе мы получаем отчет в формате MarkDown. Каждая уязвимость описывается отдельно в папке modules по следующему правилу. Вы можете легко дописать множество своих проверок или удобно поменять текущие. Пример отчета прикладываю к посту.
Forwarded from REDtalk
Всем привет! 👋
Недавно разбирали кейс в котором было столько моментов, которые должны были навести на мысль, что что то тут не так, но человек шел до победного, как говорится: вижу цель, не вижу препятствий, мне нужна эта малварь! Чуть подробнее можно почитать тут - 🔗 ссылка на notion.so
Недавно разбирали кейс в котором было столько моментов, которые должны были навести на мысль, что что то тут не так, но человек шел до победного, как говорится: вижу цель, не вижу препятствий, мне нужна эта малварь! Чуть подробнее можно почитать тут - 🔗 ссылка на notion.so
Forwarded from s0ld13r ch. (s0ld13r)
MITRE ATT&CK v17 уже тут! Что нового? 👋
Свежий релиз MITRE ATT&CK v17 (апрель 2025) — это масштабное обновление базы знаний о тактиках и техниках атак🛡
Вот кратко по ключевым изменениям:
Добавлена платформа VMWare ESXi❤️ — теперь действия злоумышленников на VMware ESXi (гипервизор) имеют собственную матрицу:
🔗 https://attack.mitre.org/matrices/enterprise/esxi/
Переименована платформа Network в Network Devices — для более точного отражения охвата (сетевые устройства).
Улучшены описания Enterprise Mitigations — теперь они стали куда понятнее и полезнее😎
🔗 https://attack.mitre.org/mitigations/enterprise/
Удалена техника DLL Side-Loading (T1574.002), она была объеденена с DLL Search Order Hijacking (T1574.001), которая теперь просто называется Hijack Execution Flow: DLL🔍
Ссылки:
🔗 https://attack.mitre.org/resources/updates/
🔗 https://medium.com/mitre-attack/attack-v17-dfb59eae2204
🧢 s0ld13r
Свежий релиз MITRE ATT&CK v17 (апрель 2025) — это масштабное обновление базы знаний о тактиках и техниках атак
Вот кратко по ключевым изменениям:
Добавлена платформа VMWare ESXi
🔗 https://attack.mitre.org/matrices/enterprise/esxi/
Переименована платформа Network в Network Devices — для более точного отражения охвата (сетевые устройства).
Улучшены описания Enterprise Mitigations — теперь они стали куда понятнее и полезнее
🔗 https://attack.mitre.org/mitigations/enterprise/
Удалена техника DLL Side-Loading (T1574.002), она была объеденена с DLL Search Order Hijacking (T1574.001), которая теперь просто называется Hijack Execution Flow: DLL
Ссылки:
🔗 https://attack.mitre.org/resources/updates/
🔗 https://medium.com/mitre-attack/attack-v17-dfb59eae2204
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Social Engineering
• На фоне кампаний крупных киберпреступных кластеров, приводящих, например, к масштабным утечкам и шифрованию всех данных в инфраструктуре, часто не видны действия небольших группировок. Про них практически ничего неслышно в инфополе, но их деятельность наносит большой ущерб бизнесу на территории РФ.
• Эксперты BI.ZONE вчера опубликовали новое исследование, где рассказали про одну из самых заметных хакерских группировок, которая прошла путь от небольшого объединения до целого кластера активности.
• Группировка Buhtrap с первых лет активности постоянно дробилась на более мелкие части, исходные коды инструментов утекали, а панели управления выставляли на продажу. С 2014 года под Buhtrap понимались различные группировки, которых объединяли инструменты, способы проведения атак и общая цель — кража денег. К 2023 году Buhtrap переросла в целый кластер активности, которая в конечном итоге получила название Watch Wolf.
• Данное исследование содержит подробное описание жизненного цикла атак, известные кампании, используемые инструменты и методы, которые применялись в ходе атак на малый и средний бизнес в России.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Adaptix Framework
Если кто не заметил, в предыдущем посте приводился пример с новым агентом.
Как видно на этих скринах, gopher работает и в Linux, и в MacOS. Пока у него будет ограниченный функционал, так как больше интересовал момент интеграции нового агента в уже существующую инфраструктуру C2.
Как видно на этих скринах, gopher работает и в Linux, и в MacOS. Пока у него будет ограниченный функционал, так как больше интересовал момент интеграции нового агента в уже существующую инфраструктуру C2.
🔥1
HBFullBypass - это инструмент, который:
Обходит AMSI (AntiMalware Scan Interface) с помощью аппаратных точек останова.
Предоставляет обратную оболочку PowerShell в полноязычном режиме, используя немного запутанную однострочную оболочку reverse shell от Nishang.
🔗Ссылка:
https://github.com/NoelFrey/HBFullBypass
Обходит AMSI (AntiMalware Scan Interface) с помощью аппаратных точек останова.
Предоставляет обратную оболочку PowerShell в полноязычном режиме, используя немного запутанную однострочную оболочку reverse shell от Nishang.
🔗Ссылка:
https://github.com/NoelFrey/HBFullBypass
GitHub
GitHub - NoelFrey/HBFullBypass
Contribute to NoelFrey/HBFullBypass development by creating an account on GitHub.