Forwarded from Похек
Революция в кибератаках: хакеры используют AI для внедрения вредоносов в DNS
Исследователи DomainTools обнаружили принципиально новый метод кибератак, при котором злоумышленники используют искусственный интеллект для внедрения вредоносного кода непосредственно в систему доменных имён. Этот подход позволяет обходить современные системы защиты и создает невидимую инфраструктуру для доставки малвари.
➡️ Как работает атака
Методика основана на фрагментации исполняемых файлов и их сокрытии в DNS TXT записях:
1. Разбиение файла: Вредоносный .exe файл разбивается на сотни мелких фрагментов
2. Энкодинг: Каждый фрагмент кодируется в шестнадцатеричном формате
3. Распределение: Фрагменты размещаются в TXT записях отдельных субдоменов
4. Нумерация: Используются целочисленные значения субдоменов для отслеживания последовательности
➡️ Пример структуры:
❓ Роль искусственного интеллекта
AI используется для автоматизации процесса сборки:
• Генерация скриптов для извлечения фрагментов из DNS
• Автоматическая сборка файла в правильной последовательности
• Адаптация под различные DNS-конфигурации
• Обход детекции через вариативность запросов
🪲 Реальные примеры
DomainTools обнаружили активное использование этой техники:
▪️ Случай 1: Joke Screenmate малварь
• Домены: felix.stf.whitetreecollective.com и аналогичные
• SHA256 хеши:
• Сотни субдоменов с фрагментами исполняемого файла
▪️ Случай 2: Covenant C2 стейджер
• Домен: drsmitty.com
• PowerShell скрипт в TXT записи субдомена
• Подключение к C2 серверу cspg.pw через эндпоинт
➡️ Технические преимущества атаки
1. Обход фильтрации: DNS-трафик редко подвергается глубокому анализу
2. Стойкость: Файлы персистентны до удаления DNS записей
3. Скрытность: Маскировка под легитимный DNS-трафик
4. Масштабируемость: Возможность хранения больших файлов через фрагментацию
➡️ Обнаружение атак
Исследователи использовали regex-паттерны для поиска magic bytes исполняемых файлов:
Этот паттерн ищет заголовки различных типов файлов в шестнадцатеричном формате в начале TXT записей.
❗️ Защитные меры
1. Мониторинг DNS:
• Анализ аномально длинных TXT записей
• Поиск паттернов шестнадцатеричного кодирования
• Отслеживание массовых запросов к субдоменам
2. Поведенческий анализ:
• Мониторинг последовательных DNS-запросов к нумерованным субдоменам
• Анализ размеров и структуры TXT записей
• Корреляция DNS-активности с исполнением процессов
3. Технические решения:
• Внедрение DNS Security Extensions (DNSSEC)
• Фильтрация подозрительных TXT записей
• Ограничение размеров TXT записей
➡️ Значение для индустрии
Эта техника представляет серьёзный вызов для традиционных систем безопасности:
• DNS-инфраструктура становится новым вектором атак
• AI позволяет автоматизировать сложные многоэтапные атаки
• Необходимость пересмотра подходов к мониторингу DNS-трафика
• Важность анализа не только сетевого трафика, но и DNS-записей
Метод уже активно эксплуатируется в дикой природе с 2021-2022 годов, что говорит о его эффективности и стойкости к обнаружению.
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
Исследователи DomainTools обнаружили принципиально новый метод кибератак, при котором злоумышленники используют искусственный интеллект для внедрения вредоносного кода непосредственно в систему доменных имён. Этот подход позволяет обходить современные системы защиты и создает невидимую инфраструктуру для доставки малвари.
Методика основана на фрагментации исполняемых файлов и их сокрытии в DNS TXT записях:
1. Разбиение файла: Вредоносный .exe файл разбивается на сотни мелких фрагментов
2. Энкодинг: Каждый фрагмент кодируется в шестнадцатеричном формате
3. Распределение: Фрагменты размещаются в TXT записях отдельных субдоменов
4. Нумерация: Используются целочисленные значения субдоменов для отслеживания последовательности
1.felix.stf.whitetreecollective.com TXT "4d5a90000300000004000000ffff0000..."
2.felix.stf.whitetreecollective.com TXT "b800000000000000400000000000000..."
...
500.felix.stf.whitetreecollective.com TXT "..."
AI используется для автоматизации процесса сборки:
• Генерация скриптов для извлечения фрагментов из DNS
• Автоматическая сборка файла в правильной последовательности
• Адаптация под различные DNS-конфигурации
• Обход детекции через вариативность запросов
DomainTools обнаружили активное использование этой техники:
• Домены: felix.stf.whitetreecollective.com и аналогичные
• SHA256 хеши:
7ff0ecf2953b8662ede1577e330a514f09992c18aa3c14ed77cf2ffc115b0866• Сотни субдоменов с фрагментами исполняемого файла
• Домен: drsmitty.com
• PowerShell скрипт в TXT записи субдомена
15392.484f5fa5d2.dnsm.in• Подключение к C2 серверу cspg.pw через эндпоинт
/api/v1/nps/payload/stage11. Обход фильтрации: DNS-трафик редко подвергается глубокому анализу
2. Стойкость: Файлы персистентны до удаления DNS записей
3. Скрытность: Маскировка под легитимный DNS-трафик
4. Масштабируемость: Возможность хранения больших файлов через фрагментацию
Исследователи использовали regex-паттерны для поиска magic bytes исполняемых файлов:
^"((ffd8ffe[0-9a-f].{12,})|(89504e47.{12,})|(47494638[79]61.{8,})|(255044462d.{10,})|(504b0304.{12,})|(4d5a.{16,59}|4d5a.{61,})|(7f454c46.{12,})|(c[ef]faedfe.{12,})|(1f8b08.{14,})|(377abcaf271c.{8,})|(526172211a07.{8,}))Этот паттерн ищет заголовки различных типов файлов в шестнадцатеричном формате в начале TXT записей.
1. Мониторинг DNS:
• Анализ аномально длинных TXT записей
• Поиск паттернов шестнадцатеричного кодирования
• Отслеживание массовых запросов к субдоменам
2. Поведенческий анализ:
• Мониторинг последовательных DNS-запросов к нумерованным субдоменам
• Анализ размеров и структуры TXT записей
• Корреляция DNS-активности с исполнением процессов
3. Технические решения:
• Внедрение DNS Security Extensions (DNSSEC)
• Фильтрация подозрительных TXT записей
• Ограничение размеров TXT записей
Эта техника представляет серьёзный вызов для традиционных систем безопасности:
• DNS-инфраструктура становится новым вектором атак
• AI позволяет автоматизировать сложные многоэтапные атаки
• Необходимость пересмотра подходов к мониторингу DNS-трафика
• Важность анализа не только сетевого трафика, но и DNS-записей
Метод уже активно эксплуатируется в дикой природе с 2021-2022 годов, что говорит о его эффективности и стойкости к обнаружению.
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
В http-сервере Apache 2.4.65 устранена проблема, ломающая работу mod_rewrite
Представлен релиз HTTP-сервера Apache 2.4.65, в котором исправлена критическая ошибка в mod_rewrite из-за которой условия, заданные через выражение "RewriteCond", всегда возвращали значение "true", т.е. правила всегда срабатывали, независимо от проверяемых…
🔗Ссылка:
https://opennet.ru/63621/
https://opennet.ru/63621/
Forwarded from CyberSecrets
This media is not supported in your browser
VIEW IN TELEGRAM
BloodHound Legacy и HoundLoader (demo)
В своей работе я использую BloodHound Legacy. Для меня этот инструмент очень удобный и понятный. Так же у меня есть возможность менять его под свои желания. С выходом BloodHound CE поддержка BloodHound Legacy была остановлена. И тут самой большой проблемой стала возможность загружать данные из SharpHound новой версии (частично изменился формат JSON файлов).
В принципе, мне достаточно старой версией SharpHound для сбора основной информации об инфраструктуре Active Directory, а остальные данные при необходимости загружаю с помощью скриптов. Сейчас новая версия SharpHound собирает большое количество полезной информации, и я уже начал задумываться о переходе на BloodHound CE. Попробовав его пару раз, пришел к выводу, что мне неудобно в нем работать. При всей красоте построения графов и наличия нормальной строки для Cypher запросов остальное вызывает у меня отторжение, возможно, дело привычки.
Год назад мне пришла мысль, а что, если загружать данные в BloodHound CE потом делать резервную копию базы данных и переносить ее в BloodHound Legacy. Метод, надо признать, не самый лучший, но вариант рабочий. Однако, данные резервной копии будут содержать узлы и связи, которые BloodHound Legacy не умеет отображать, но добавить их в код не большая проблема. (Тут должна была быть реклама =))
Месяц назад мои коллеги из отдела разработки (Аркадий, привет!) для своих нужд выдернули из исходников BloodHound CE функции парсера и загрузчика данных SharpHound и собрали приложение, которое получило название HoundLoader. Приложение показало хорошие результаты, но опять не без косяков.
Постоянно просить разработчиков что-то добавлять или менять мне не хотелось, а go я не знаю. Поэтому я решил погрузиться в исходные коды BloodHound Legacy, чтобы понять, как он добавляет данные в neo4j.
Никогда не понимал, зачем собирать данные в JSON чтобы потом их парсить в Cypher и уже загружать данные в базу. Почему сразу не сохранять данные в виде Cypher запросов? Но надо признать, алгоритм достаточно простой и тут возник вопрос обновлять JS в BloodHound Legacy или сделать все с нуля. Читать и изменять чужой код занятие непростое, поэтому я принял решение написать HoundLoader на PowerShell.
Данные нормально, загружаются в базу, но еще не тестировались на больших инфраструктурах. И есть большая задача по установке связей между объектами после загрузки данных.
Пока моя версия BloodHound Legacy и HoundLoader находятся на стадии тестирования и доработки, но надеюсь осенью поделиться своими наработками с сообществом.
#BloodHound #Powershell
В своей работе я использую BloodHound Legacy. Для меня этот инструмент очень удобный и понятный. Так же у меня есть возможность менять его под свои желания. С выходом BloodHound CE поддержка BloodHound Legacy была остановлена. И тут самой большой проблемой стала возможность загружать данные из SharpHound новой версии (частично изменился формат JSON файлов).
В принципе, мне достаточно старой версией SharpHound для сбора основной информации об инфраструктуре Active Directory, а остальные данные при необходимости загружаю с помощью скриптов. Сейчас новая версия SharpHound собирает большое количество полезной информации, и я уже начал задумываться о переходе на BloodHound CE. Попробовав его пару раз, пришел к выводу, что мне неудобно в нем работать. При всей красоте построения графов и наличия нормальной строки для Cypher запросов остальное вызывает у меня отторжение, возможно, дело привычки.
Год назад мне пришла мысль, а что, если загружать данные в BloodHound CE потом делать резервную копию базы данных и переносить ее в BloodHound Legacy. Метод, надо признать, не самый лучший, но вариант рабочий. Однако, данные резервной копии будут содержать узлы и связи, которые BloodHound Legacy не умеет отображать, но добавить их в код не большая проблема. (Тут должна была быть реклама =))
Месяц назад мои коллеги из отдела разработки (Аркадий, привет!) для своих нужд выдернули из исходников BloodHound CE функции парсера и загрузчика данных SharpHound и собрали приложение, которое получило название HoundLoader. Приложение показало хорошие результаты, но опять не без косяков.
Постоянно просить разработчиков что-то добавлять или менять мне не хотелось, а go я не знаю. Поэтому я решил погрузиться в исходные коды BloodHound Legacy, чтобы понять, как он добавляет данные в neo4j.
Никогда не понимал, зачем собирать данные в JSON чтобы потом их парсить в Cypher и уже загружать данные в базу. Почему сразу не сохранять данные в виде Cypher запросов? Но надо признать, алгоритм достаточно простой и тут возник вопрос обновлять JS в BloodHound Legacy или сделать все с нуля. Читать и изменять чужой код занятие непростое, поэтому я принял решение написать HoundLoader на PowerShell.
Данные нормально, загружаются в базу, но еще не тестировались на больших инфраструктурах. И есть большая задача по установке связей между объектами после загрузки данных.
Пока моя версия BloodHound Legacy и HoundLoader находятся на стадии тестирования и доработки, но надеюсь осенью поделиться своими наработками с сообществом.
#BloodHound #Powershell
Forwarded from Похек
CVE-2025-32023: Критическая уязвимость в Redis и Valkey
#redis #valkey #брокерсообщений #СУБД
Обнаружена критическая уязвимость в популярных СУБД Redis и Valkey, потенциально приводящая к удаленному выполнению кода через переполнение буфера в HyperLogLog операциях.
➡️ Технические детали
Тип уязвимости: Integer Overflow to Buffer Overflow (CWE-680)
CVSS Score: 7.0 HIGH
Вектор атаки: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
➡️ Затронутые версии
Redis: >= 2.8 до 8.0.3, 7.4.5, 7.2.10, 6.2.19
Valkey: до 8.1.3, 8.0.4
➡️ Корень проблемы
Уязвимость находится в обработке HyperLogLog структур данных в файле
Проблемный код в функции
➡️ Механизм эксплуатации
1. Создание malformed HLL: Злоумышленник создает специально сформированную HyperLogLog структуру с некорректными run lengths
2. Integer overflow: Сумма run lengths превышает максимальное значение int, вызывая переполнение в отрицательную область
3. Out-of-bounds write: Отрицательное значение i позволяет записывать данные за пределы выделенного буфера
4. RCE: Перезапись критических структур данных приводит к выполнению произвольного кода
➡️ Детали эксплуатации (по данным PoC)
Стандартная схема эксплуатации Redis:
1. Коррупция
2. Спрей
3. Дамп heap через поврежденный
4. Создание
5. Удаление
Функции под угрозой
▪️
▪️
▪️ Все операции с HyperLogLog командами (
➡️ Условия эксплуатации
▪️ Аутентифицированный доступ к Redis/Valkey
▪️ Возможность выполнения HyperLogLog команд
▪️ Отсутствие ACL ограничений на HLL команды
➡️ Защитные меры
1. Обновление до исправленных версий:
Redis 8.0.3+, 7.4.5+, 7.2.10+, 6.2.19+
Valkey 8.1.3+, 8.0.4+
2. Временное решение через ACL:
3. Мониторинг подозрительной активности:
▪️ Аномальные HyperLogLog операции
▪️ Неожиданные падения Redis процессов
▪️ Попытки выполнения HLL команд с большими данными
4. Сетевые ограничения:
▪️ Ограничение доступа к Redis только доверенным источникам
▪️ Использование Redis AUTH и ACL систем
▪️ Мониторинг сетевого трафика к Redis портам
➡️ Первоисточники:
🔗 GitHub Security Advisory
🔗 PoC
🔗 NVD
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#redis #valkey #брокерсообщений #СУБД
Обнаружена критическая уязвимость в популярных СУБД Redis и Valkey, потенциально приводящая к удаленному выполнению кода через переполнение буфера в HyperLogLog операциях.
Тип уязвимости: Integer Overflow to Buffer Overflow (CWE-680)
CVSS Score: 7.0 HIGH
Вектор атаки: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Redis: >= 2.8 до 8.0.3, 7.4.5, 7.2.10, 6.2.19
Valkey: до 8.1.3, 8.0.4
Уязвимость находится в обработке HyperLogLog структур данных в файле
src/hyperloglog.c. При итерации по sparse HLL кодировке происходит переполнение целочисленной переменной int i, которая отслеживает общую длину.Проблемный код в функции
hllMerge():while(p < end) {
if (HLL_SPARSE_IS_ZERO(p)) {
runlen = HLL_SPARSE_ZERO_LEN(p);
i += runlen; // Переполнение здесь!
p++;
}
// ...
while(runlen--) {
if (regval > max[i]) max[i] = regval; // Out-of-bounds write
i++;
}
}1. Создание malformed HLL: Злоумышленник создает специально сформированную HyperLogLog структуру с некорректными run lengths
2. Integer overflow: Сумма run lengths превышает максимальное значение int, вызывая переполнение в отрицательную область
3. Out-of-bounds write: Отрицательное значение i позволяет записывать данные за пределы выделенного буфера
4. RCE: Перезапись критических структур данных приводит к выполнению произвольного кода
Стандартная схема эксплуатации Redis:
1. Коррупция
sds объекта в jemalloc heap для увеличения его длины2. Спрей
embstr объектов для создания fake module объекта3. Дамп heap через поврежденный
sds объект для поиска целевого embstr и утечки адресов4. Создание
fake module объекта в целевом embstr объекте5. Удаление
fake module объекта, вызывающее деструктор и получение RCEФункции под угрозой
hllMerge() - stack-allocated HLL структурыhllSparseToDense() - heap-allocated HLL структурыPFADD, PFCOUNT, PFMERGE)1. Обновление до исправленных версий:
Redis 8.0.3+, 7.4.5+, 7.2.10+, 6.2.19+
Valkey 8.1.3+, 8.0.4+
2. Временное решение через ACL:
# Запретить HyperLogLog команды
ACL SETUSER username -pfadd -pfcount -pfmerge
3. Мониторинг подозрительной активности:
4. Сетевые ограничения:
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Forwarded from PRO:PENTEST
Как быстро закрыть "зависшую" SSH-сессию?
Иногда SSH-сессия зависает: сервер не отвечает, а ты в тупике.
Не спеши закрывать терминал - у SSH есть скрытый выход.
Это мгновенно завершит SSH-сессию, даже если сервер "молчит".
Работает без Ctrl+C, kill и прочих обходных путей.
Другие escape-последовательности в SSH:
Иногда SSH-сессия зависает: сервер не отвечает, а ты в тупике.
Не спеши закрывать терминал - у SSH есть скрытый выход.
~.
Это мгновенно завершит SSH-сессию, даже если сервер "молчит".
Работает без Ctrl+C, kill и прочих обходных путей.
Другие escape-последовательности в SSH:
~. — завершить соединение
~^Z — приостановить ssh
~# — показать список порт-форвардов
~C — открыть встроенную командную строку
~R — запросить повторную генерацию ключей (rekey)
~~ — отправить символ тильда (~)
~? — показать справку
Forwarded from Adaptix Framework
Продолжаем тему с AxScript. В расширение, где реализован BOF token make, можно добавить код (скрин 1), который создаст в меню сессий пункт "Access" -> "Make token" (Скрин 2).
При выборе "Make token" откроется диалоговое окошко для ввода учетных данных и выбора типа логона для токена, при этом их можно выбрать из менеджера учетных данных (скрин 3).
В итоге будет выполнен BOF token make. Ну и информация о новом токене будет добавлена в столбец User таблицы сессий (скрин 4)
При выборе "Make token" откроется диалоговое окошко для ввода учетных данных и выбора типа логона для токена, при этом их можно выбрать из менеджера учетных данных (скрин 3).
В итоге будет выполнен BOF token make. Ну и информация о новом токене будет добавлена в столбец User таблицы сессий (скрин 4)
www.opennet.ru
Каталог PyPI разблокировал возможность регистрации с email-адресов inbox.ru
Администраторы репозитория Python-пакетов PyPI (Python Package Index) сняли блокировку, после того как выяснилось, что 1500 проектов были созданы не злоумышленниками, а командой, занимающейся обеспечением безопасности в компании VK, которой принадлежит домен…
🔗Ссылка:
https://opennet.ru/63628/
https://opennet.ru/63628/
Forwarded from ESCalator
Уязвимости типа Pass Back: что это такое и насколько опасны 🧐
Есть целый класс уязвимостей, которые на первый взгляд выглядят безобидно, и даже уровень опасности у них низкий или средний. Но если разобраться в нюансах, то все уже не кажется таким безобидным.
Примером такой уязвимости является LDAP Pass Back (CVE-2024-32122), которую зарегистрировал ведущий специалист отдела наступательной безопасности PT ESC Владислав Дриев совместно со специалистом по анализу защищенности УЦСБ Олегом Лабынцевым.
Эта уязвимость позволяет получить учетные данные (УД) от LDAP в открытом виде (зачастую это УЗ AD), злоумышленнику нужно лишь частично изменить конфигурацию коннектора. Уязвимость встречается в разных видах и в самых разных устройствах и программных продуктах.
Атакующий может получить УД в открытом виде или в виде хеша с захваченного устройства или софта. Ярким примером таких устройств, конечно, являются МФУ, но точно не ограничиваемся только ими. Уязвимыми также могут быть домофоны, камеры, сетевое оборудование. Если говорить про ПО, то чаще всего это CMS.
В чем конкретно проблема🤔
Проблема в том, что атакующий может влиять на конфигурацию устройства, в которой есть УД. Чтобы было еще понятнее, приведем пример. Настроили МФУ, чтобы оно могло отправлять сообщения по SMTP на почту, также настроили аутентификацию по LDAP, чтобы динамически загружался список контактов, а еще — SMB, чтобы сразу можно было складывать отсканированные документы в сетевую папку.
Далее рассмотрим ситуацию, когда атакующий смог получить доступ к веб-интерфейсу с помощью УД по умолчанию. В таком случае он может попробовать изменить IP-адрес конфигурации, которая содержит УД, поменяв в ней IP-адрес на подконтрольный ему. Что это даст и почему это вообще возможно? Опыт показывает, что в большинстве случаев смена только IP-адреса в конфигурации разрешена. Соответственно, УД будут использованы валидные. Таким образом, злоумышленник сможет получить обращение с корректными учетными данными на свой IP-адрес, где сможет достать их из трафика либо в открытом виде, либо в виде хеша.
• SMTP (без TLS) зачастую позволяет получить УД в открытом виде.
• LDAP позволяет получить данные в открытом виде.
• SMB позволяет получить хеш (часто NetNTLMv1, с которого можно выполнить NTLM Relay).
• другое (УД для IP-телефонии, которые обернуты в Base64).
Что здесь небезопасного, ведь доступ ко всем конфигам скрыт за аутентификацией? Да, но не всегда все так. Способы получения доступа к конфигурациям:
• УД по умолчанию.
• IDOR (выделен отдельно от уязвимостей, потому что встречается часто).
• Уязвимость для получения доступа к веб-интерфейсу администратора.
Еще есть случаи, когда на устройстве работает несколько администраторов, у них разные роли, но при этом каждый может получить доступ к УД коннекторов через такой нехитрый способ.
Так или иначе атакующий получит доступ к устройству. После этого скомпрометирует УД и начнет развивать атаки на смежные сервисы, в частности на AD. Кроме того, среди этого всего бывают уникальные и выдающиеся случаи:
• CMS работает с учетной записью администратора домена.
• МФУ работает с учетной записью администратора домена.
В итоге уязвимость низкого или среднего уровня опасности может стать звеном в цепочке компрометации всей инфраструктуры.
Итак, как этого избежать🧐
Самый простой способ — при любом изменении конфигурации УД запросить ввести их заново. Если конфигурацию меняет администратор, для него это не будет проблемой. А если атакующий, то он ничего не получит. Понятно, что на софт не всегда можно повлиять, тогда перед тем, как войти под своей УЗ на какое-то новое устройство, можно самостоятельно проверить, как оно ведет себя с разными конфигурациями, нет ли возможности извлечь УД из него.
Более того, такие УЗ следует ограничивать в правах, брать на мониторинг. Если от имени УЗ началась разведка в домене — это явный признак компрометации устройства. Ну и конечно, нужно защищать устройства и ПО: менять пароли по умолчанию, регулярно устанавливать обновления.
#CVE #offensive
@ptescalator
Есть целый класс уязвимостей, которые на первый взгляд выглядят безобидно, и даже уровень опасности у них низкий или средний. Но если разобраться в нюансах, то все уже не кажется таким безобидным.
Примером такой уязвимости является LDAP Pass Back (CVE-2024-32122), которую зарегистрировал ведущий специалист отдела наступательной безопасности PT ESC Владислав Дриев совместно со специалистом по анализу защищенности УЦСБ Олегом Лабынцевым.
Эта уязвимость позволяет получить учетные данные (УД) от LDAP в открытом виде (зачастую это УЗ AD), злоумышленнику нужно лишь частично изменить конфигурацию коннектора. Уязвимость встречается в разных видах и в самых разных устройствах и программных продуктах.
Атакующий может получить УД в открытом виде или в виде хеша с захваченного устройства или софта. Ярким примером таких устройств, конечно, являются МФУ, но точно не ограничиваемся только ими. Уязвимыми также могут быть домофоны, камеры, сетевое оборудование. Если говорить про ПО, то чаще всего это CMS.
В чем конкретно проблема
Проблема в том, что атакующий может влиять на конфигурацию устройства, в которой есть УД. Чтобы было еще понятнее, приведем пример. Настроили МФУ, чтобы оно могло отправлять сообщения по SMTP на почту, также настроили аутентификацию по LDAP, чтобы динамически загружался список контактов, а еще — SMB, чтобы сразу можно было складывать отсканированные документы в сетевую папку.
Далее рассмотрим ситуацию, когда атакующий смог получить доступ к веб-интерфейсу с помощью УД по умолчанию. В таком случае он может попробовать изменить IP-адрес конфигурации, которая содержит УД, поменяв в ней IP-адрес на подконтрольный ему. Что это даст и почему это вообще возможно? Опыт показывает, что в большинстве случаев смена только IP-адреса в конфигурации разрешена. Соответственно, УД будут использованы валидные. Таким образом, злоумышленник сможет получить обращение с корректными учетными данными на свой IP-адрес, где сможет достать их из трафика либо в открытом виде, либо в виде хеша.
• SMTP (без TLS) зачастую позволяет получить УД в открытом виде.
• LDAP позволяет получить данные в открытом виде.
• SMB позволяет получить хеш (часто NetNTLMv1, с которого можно выполнить NTLM Relay).
• другое (УД для IP-телефонии, которые обернуты в Base64).
Что здесь небезопасного, ведь доступ ко всем конфигам скрыт за аутентификацией? Да, но не всегда все так. Способы получения доступа к конфигурациям:
• УД по умолчанию.
• IDOR (выделен отдельно от уязвимостей, потому что встречается часто).
• Уязвимость для получения доступа к веб-интерфейсу администратора.
Еще есть случаи, когда на устройстве работает несколько администраторов, у них разные роли, но при этом каждый может получить доступ к УД коннекторов через такой нехитрый способ.
Так или иначе атакующий получит доступ к устройству. После этого скомпрометирует УД и начнет развивать атаки на смежные сервисы, в частности на AD. Кроме того, среди этого всего бывают уникальные и выдающиеся случаи:
• CMS работает с учетной записью администратора домена.
• МФУ работает с учетной записью администратора домена.
В итоге уязвимость низкого или среднего уровня опасности может стать звеном в цепочке компрометации всей инфраструктуры.
Итак, как этого избежать
Самый простой способ — при любом изменении конфигурации УД запросить ввести их заново. Если конфигурацию меняет администратор, для него это не будет проблемой. А если атакующий, то он ничего не получит. Понятно, что на софт не всегда можно повлиять, тогда перед тем, как войти под своей УЗ на какое-то новое устройство, можно самостоятельно проверить, как оно ведет себя с разными конфигурациями, нет ли возможности извлечь УД из него.
Более того, такие УЗ следует ограничивать в правах, брать на мониторинг. Если от имени УЗ началась разведка в домене — это явный признак компрометации устройства. Ну и конечно, нужно защищать устройства и ПО: менять пароли по умолчанию, регулярно устанавливать обновления.
#CVE #offensive
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Ralf Hacker Channel (Ralf Hacker)
У SpecterOps очередная крутая статья про сбор данных из ADWS.
https://specterops.io/blog/2025/07/25/make-sure-to-use-soapy-an-operators-guide-to-stealthy-ad-collection-using-adws/
Что еще полезного: как использовать утилиту SoaPy, конвертировать данные в формат BloodHound, ну и конечно как обнаружить этот самый сбор данных домена.
#ad #pentes #redteam #enum #bloodhound #soap
https://specterops.io/blog/2025/07/25/make-sure-to-use-soapy-an-operators-guide-to-stealthy-ad-collection-using-adws/
Что еще полезного: как использовать утилиту SoaPy, конвертировать данные в формат BloodHound, ну и конечно как обнаружить этот самый сбор данных домена.
#ad #pentes #redteam #enum #bloodhound #soap
SpecterOps
Make Sure to Use SOAP(y) - An Operators Guide to Stealthy AD Collection Using ADWS
Learn how to perform stealthy recon of Active Directory environments over ADWS for Red Team Assessments