www.opennet.ru
Представлены принципы дизайна компилятора Nimony для будущего Nim 3.0
В процессе разработки языка программирования Nim 3.0 развивается новый компилятор Nimony, основополагающим принципом проектирования которого является достижение предсказуемости времени выполнения в худшем случае (Worst Case Execution Time, WCET). Это требование…
🔗Ссылка:
https://opennet.ru/63182/
https://opennet.ru/63182/
Forwarded from true_security
По следам подмены файлов при обновлении на vipnet клиентах (пост), про уязвимости dll hijacking захотелось написать. Что это и с чем это едят можно прочитать тут и просто в гугле. Проблемы с подменой dll есть не только у vipnet, проблемы у многих вендров поИБэ. Примеры на скринах с уязвимыми подписанными бинарями: Клиент VPN Код Безопасности, EDR агент Positive Technologies, антивирус Dr.Web...Ну и чтобы не кукарекали про Российское горе ИБ....checkpoint там же. Проблема намного больше чем кажется...
Forwarded from CyberSecrets
Задача для собеседования №1
Пока нет идей для постов, решил публиковать задачки для разминки мозгов. Посты будут называться «Задача для собеседования».
Итак, первая задача. Во время сбора и анализа информации было обнаружено, что на рабочей станции
Дополнительное условие уровень домена – 2016.
Задача получить привилегии доменного администратора в домене.
Решение:
Наличие запущенной службы Web Client разрешает выполнять технику NTLM Relay из HTTP в LDAP, а уровень домена 2016 позволяет использовать технику Shadow Credentials в качестве полезной нагрузки. Выполняем принудительную аутентификацию рабочей станции `W-434` и перенаправляем NTLM аутентификацию в LDAP для выполнения техники Shadow Credentials.
Используем полученную пару открытого и закрытого ключа и получаем TGT билет для объекта компьютер `W-434`. В контексте учетной записи компьютера `W-434` получаем хэш пароля от сервисной учетной записи `GMSA$`.
Выполнив технику Overpass-the-Hash, получаем возможность выполнять запросы к домену от имени сервисной учетной записи. Так как сервисная учетная запись `GMSA$` является членом группы `READ_LAPS`, получаем значение атрибута `ms-Mcs-AdmPwd` сервера `SERVERHTTP`, в котором содержится пароль от локального администратора.
С помощью учетных данных локального администратора получаем доступ на сервер `SERVERHTTP`. Запускаем `Rubeus` в режиме монитора и выполняем принудительную аутентификацию контроллера домена, в качестве слушателя указываем сервер `SERVERHTTP`. Через несколько секунд получаем TGT билет контроллера домена.
Выполняем технику Pass-the-Ticket и импортируем полученный билет контроллера домена. Теперь можем выполнить технику DCSync в контексте контроллера домена и получаем хэш пароля администратора домена.
#Внутрянка #Задачи
Пока нет идей для постов, решил публиковать задачки для разминки мозгов. Посты будут называться «Задача для собеседования».
Итак, первая задача. Во время сбора и анализа информации было обнаружено, что на рабочей станции
W-434 запущена служба Web Client. Учетная запись компьютера W-434 может читать «пароль» от сервисной учетной записи GMSA$. Сервисная учетная GMSA$ запись входит в группу, которая позволяет читать атрибут LAPS для локального администратора на сервере SERVERHTTP. А сама учетная запись сервера настроена на неограниченное делегирование Kerberos.Дополнительное условие уровень домена – 2016.
Задача получить привилегии доменного администратора в домене.
Решение:
Используем полученную пару открытого и закрытого ключа и получаем TGT билет для объекта компьютер `W-434`. В контексте учетной записи компьютера `W-434` получаем хэш пароля от сервисной учетной записи `GMSA$`.
Выполнив технику Overpass-the-Hash, получаем возможность выполнять запросы к домену от имени сервисной учетной записи. Так как сервисная учетная запись `GMSA$` является членом группы `READ_LAPS`, получаем значение атрибута `ms-Mcs-AdmPwd` сервера `SERVERHTTP`, в котором содержится пароль от локального администратора.
С помощью учетных данных локального администратора получаем доступ на сервер `SERVERHTTP`. Запускаем `Rubeus` в режиме монитора и выполняем принудительную аутентификацию контроллера домена, в качестве слушателя указываем сервер `SERVERHTTP`. Через несколько секунд получаем TGT билет контроллера домена.
Выполняем технику Pass-the-Ticket и импортируем полученный билет контроллера домена. Теперь можем выполнить технику DCSync в контексте контроллера домена и получаем хэш пароля администратора домена.
#Внутрянка #Задачи
www.opennet.ru
Выпуск BleachBit 5.0.0, приложения для освобождения места на диске
Опубликован выпуск приложения BleachBit 5.0.0, высвобождающего свободное дисковое пространство за счёт удаления ненужных файлов. Программа предлагает список рекомендуемых для удаления компонентов, из которого пользователь может исключить определённые позиции.…
🔗Ссылка:
https://opennet.ru/63181/
https://opennet.ru/63181/
Forwarded from Offensive Xwitter
😈 [ Alex Neff @al3x_n3ff ]
A new module has been merged into NetExec: change-password🔥
Accounts with
You can also abuse ForceChangePassword to reset another user's password.
Made by @kriyosthearcane, @mehmetcanterman and me.
🐥 [ tweet ]
A new module has been merged into NetExec: change-password🔥
Accounts with
STATUS_PASSWORD_EXPIRED aren't a problem anymore, just reset their password.You can also abuse ForceChangePassword to reset another user's password.
Made by @kriyosthearcane, @mehmetcanterman and me.
🐥 [ tweet ]
вьетнамские флешбеки 5летней давности - https://snovvcra.sh/2020/10/31/pretending-to-be-smbpasswd-with-impacket.htmlForwarded from Репорты простым языком
🤘 Сегодня под микроскопом интересный кейс повышения привилегий.
💡 В Acronis True Image 2021 была обнаружена уязвимость DLL Hijacking в компоненте «Rescue Media Builder» (
😈 Windows, в своем стремлении помочь, начинала искать эту DLL согласно Search Order, заглядывая в том числе и в директории из переменной
🚀 При запуске Rescue Media Builder, приложение цепляло подмененную DLL, и атакующий получал выполнение кода с правами администратора. Но это еще не все! Имея права админа, можно было провернуть трюк с
И вот у нас уже полный контроль над системой!
💸 В итоге, любой локальный пользователь мог эскалировать свои привилегии до SYSTEM. Команда Acronis оперативно отреагировала на репорт от
📖 Полный разбор этой уязвимости и рекомендации по защите читайте на нашем сайте:
eh.su/reports/79
💡 В Acronis True Image 2021 была обнаружена уязвимость DLL Hijacking в компоненте «Rescue Media Builder» (
MediaBuilder.exe). Суть в том, что приложение при запуске пыталось подгрузить библиотеку tcmalloc.dll, которой не было в стандартной поставке.😈 Windows, в своем стремлении помочь, начинала искать эту DLL согласно Search Order, заглядывая в том числе и в директории из переменной
PATH. Как вы понимаете, если в PATH есть папка, куда пользователь может писать (например, %USERPROFILE%\AppData\Local\Microsoft\WindowsApps), то туда можно было подложить свою зловредную tcmalloc.dll.🚀 При запуске Rescue Media Builder, приложение цепляло подмененную DLL, и атакующий получал выполнение кода с правами администратора. Но это еще не все! Имея права админа, можно было провернуть трюк с
schtasks.exe для создания и запуска задачи от имени NT AUTHORITY\SYSTEM, например:> schtasks /create /SC WEEKLY /RU \"NT AUTHORITY\SYSTEM\" /TN EOP /TR C:\Windows\System32\winver.exe /IT /RL HIGHEST
> schtasks /run /I /TN EOP
И вот у нас уже полный контроль над системой!
💸 В итоге, любой локальный пользователь мог эскалировать свои привилегии до SYSTEM. Команда Acronis оперативно отреагировала на репорт от
z3ron3, выпустила фикс и дала баунти в размере $250.📖 Полный разбор этой уязвимости и рекомендации по защите читайте на нашем сайте:
eh.su/reports/79
Forwarded from Threat Hunting Father 🦔
BYOI Обход SentinelOne через инсталлятор 🤩
Кратко:
Форензика:
Detection Tips🔎 :
• Мониторинг резких смен версий SentinelOne
• Аномалии в работе
• Уход агента в оффлайн в консоли SentinelOne
Mitigation:
Включить Online Authorization в Policy — запрещает локальные обновления без консоли.
🔗 https://www.aon.com/en/insights/cyber-labs/bring-your-own-installer-bypassing-sentinelone
🦔 THF
EDR Bypass / Ransomware Deployment
Toolset: Legit MSI installer + taskkill
Targeted EDR: SentinelOne (v23.4.x)
Used Malware: Babuk (variant)
Кратко:
Исследователи Stroz Friedberg (Aon) описали технику
Bring Your Own Installer (BYOI)
: злоумышленник с правами администратора запускает
обновление или даунгрейд агента SentinelOne
, после чего
прерывает процесс установки (msiexec.exe)
до появления новых процессов.
В результате — агент SentinelOne
не работает, не защищает, не виден в консоли
.
Форензика:
•
SentinelOne%4Operational.evtxEventID 1: смены версий
EventID 93:
unload
•
Application.evtx:
EventID 1042 (
MsiInstaller exited)
• Агент пропадает из консоли SentinelOne
• Babuk разворачивается без помех
😾
Detection Tips
• Мониторинг резких смен версий SentinelOne
• Аномалии в работе
msiexec.exe• Уход агента в оффлайн в консоли SentinelOne
Mitigation:
Включить Online Authorization в Policy — запрещает локальные обновления без консоли.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM