Forwarded from Life-Hack - Хакер
SadServers
#admin #обучение #полезное
Онлайн-платформа для практики администрирования Linux-серверов, которая предоставляет реальные задачи, которые можно решать в изолированной среде, а по ходу решения она будет отслеживать выполнение и давать подсказки. Платформа абсолютно бесплатная и подходит для подготовки к собеседованиям или просто чтобы не терять форму.
Примеры задач:
◦ SSH не работает, нужно выяснить и починить;
◦ DNS не резолвится;
◦ Утекло место на диске — нужно найти виновника;
◦ Сломан systemd unit и т.п.
🔗 Ссылка на платформу
LH | News | OSINT | AI
#admin #обучение #полезное
Онлайн-платформа для практики администрирования Linux-серверов, которая предоставляет реальные задачи, которые можно решать в изолированной среде, а по ходу решения она будет отслеживать выполнение и давать подсказки. Платформа абсолютно бесплатная и подходит для подготовки к собеседованиям или просто чтобы не терять форму.
Примеры задач:
◦ SSH не работает, нужно выяснить и починить;
◦ DNS не резолвится;
◦ Утекло место на диске — нужно найти виновника;
◦ Сломан systemd unit и т.п.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from purple shift
В больших AD-лесах админы часто «забывают» или ошибочно настраивают списки контроля доступа (ACL), не желая заморачиваться с чётким разделением и выдачей прав. В таких списках могут оставаться широкие разрешения для Everyone/Authenticated Users/Domain Computers, причём с расширенными правами на чувствительные объекты.
Это не мелочь: именно список DACL в nTSecurityDescriptor определяет, кто и что может делать с объектом. Но есть проблема: такие списки прав указаны для каждого отдельного субъекта (нет одной таблички), GUID’ы прав нечитабельны, а определения дескрипторов безопасности (SDDL) тяжело смотреть глазами.
Наш эксперт Александр Родченко написал утилиту ParseJsonWithSDDLs для решения этой проблемы. Основная идея: показать, какими правами обладают «все», то есть достаточно большой и потенциально неограниченный круг субъектов (анонимы, аутентифицированные пользователи, все ПК и т.д). Другими словами, утилита отвечает на вопрос: «Есть ли у нас в домене какие-то объекты, с которыми может сделать что-то любой пользователь?»
Функционал, реализованный в программе:
— парсит SDDL из nTSecurityDescriptor, вычленяет «широкие» ACE и показывает их в удобном виде (читаемые имена субъектов и объектов, декодированные GUID расширенных прав);
— умеет сама выгрузить весь лес и трасты в JSON (LDAP paging + SecurityDescriptorFlagControl для DACL), если у вас нет готовых экспортов ваших доменов; в некотором роде это работа SharpHound с опцией "вместе с DACL", но в данном случае автор сам реализовал это в коде;
— даёт HTML-сводку и при желании CSV для дальнейшей аналитики/хантинга.
Что даёт использование утилиты?
Это закрывает типовой класс конфиг-дефектов, про которые Microsoft годами пишет в своих рекомендациях по безопасности AD. Прогоны такой утилитой часто приносят «бесплатные» находки перед аудитами и пентестами. Примеры находок приведены на скриншотах выше:
(1) объект, который может изменить любой ПК — и никто не не знает, для чего это нужно; у клиента это был объект, относящийся к системе корпоративной печати,
(2) очень странный объект групповой политики — это заявка на повышение привилегий в домене,
(3) очень неправильно настроенные разрешения создавать общие папки: на самом деле, дали возможность создать объект-корень FTRoot (новый namespace) и создать под ним любые FTDfs-объекты — ссылки (на любой сервер) и их Target-списки.
Утилиту можно скачать в репозитории автора на Гитхабе — там же оставляйте отзывы и предложения по улучшению программы:
https://github.com/gam4er/DACLPlayground/tree/master
Это не мелочь: именно список DACL в nTSecurityDescriptor определяет, кто и что может делать с объектом. Но есть проблема: такие списки прав указаны для каждого отдельного субъекта (нет одной таблички), GUID’ы прав нечитабельны, а определения дескрипторов безопасности (SDDL) тяжело смотреть глазами.
Наш эксперт Александр Родченко написал утилиту ParseJsonWithSDDLs для решения этой проблемы. Основная идея: показать, какими правами обладают «все», то есть достаточно большой и потенциально неограниченный круг субъектов (анонимы, аутентифицированные пользователи, все ПК и т.д). Другими словами, утилита отвечает на вопрос: «Есть ли у нас в домене какие-то объекты, с которыми может сделать что-то любой пользователь?»
Функционал, реализованный в программе:
— парсит SDDL из nTSecurityDescriptor, вычленяет «широкие» ACE и показывает их в удобном виде (читаемые имена субъектов и объектов, декодированные GUID расширенных прав);
— умеет сама выгрузить весь лес и трасты в JSON (LDAP paging + SecurityDescriptorFlagControl для DACL), если у вас нет готовых экспортов ваших доменов; в некотором роде это работа SharpHound с опцией "вместе с DACL", но в данном случае автор сам реализовал это в коде;
— даёт HTML-сводку и при желании CSV для дальнейшей аналитики/хантинга.
Что даёт использование утилиты?
Это закрывает типовой класс конфиг-дефектов, про которые Microsoft годами пишет в своих рекомендациях по безопасности AD. Прогоны такой утилитой часто приносят «бесплатные» находки перед аудитами и пентестами. Примеры находок приведены на скриншотах выше:
(1) объект, который может изменить любой ПК — и никто не не знает, для чего это нужно; у клиента это был объект, относящийся к системе корпоративной печати,
(2) очень странный объект групповой политики — это заявка на повышение привилегий в домене,
(3) очень неправильно настроенные разрешения создавать общие папки: на самом деле, дали возможность создать объект-корень FTRoot (новый namespace) и создать под ним любые FTDfs-объекты — ссылки (на любой сервер) и их Target-списки.
Утилиту можно скачать в репозитории автора на Гитхабе — там же оставляйте отзывы и предложения по улучшению программы:
https://github.com/gam4er/DACLPlayground/tree/master
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Real-time analysis of LOLDrivers against Microsoft's HVCI blocklist
https://byovd-watchdog.pwnfuzz.com/
Хороший ресурс)
#drivers #lpe #windows #lol
https://byovd-watchdog.pwnfuzz.com/
Хороший ресурс)
#drivers #lpe #windows #lol
Forwarded from Threat Hunting Father 🦔
Report_Notes_of_Cyber_inspector.pdf
36.7 MB
Отчёт строго структурирован: 3 кластера APT, у каждого — MITRE-разметка, цепочки, инструменты, артефакты.
Авторы показывают, как из разрозненных атакующих сформировались три кластера угроз.
Twelve, BlackJack, Crypt Ghouls, Head Mare, C.A.S.
Awaken Likho, Angry Likho, Mythic Likho, Librarian Likho, Cloud Atlas, GOFFEE, XDSpy.
Bo Team, Cyberpartisans.
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 миллиардов загрузок в неделю
В результате фишинга атакующим удалось перехватить учётные данные сопровождающего 18 популярных NPM-пакетов, в сумме загруженных более 2 миллиардов раз в неделю. Для скомпрометированных пакетов атакующие успели выпустить новые версии, содержащие вредоносный…
🔗Ссылка:
https://opennet.ru/63845/
https://opennet.ru/63845/
Forwarded from Detection is easy
Всем привет! 💻 ✌️
Коллеги из bi.zone уведомили о новых техниках Fluffy Wolf
Давайте вспомним как это было в прошлогоднем отчете. Хакеры использовали схему фишинга
🔭 Обнаружение:
🔤 в двух кампаниях злоумышленники используют раширение
🔤 можем похантить имена файлов с
🔤 создать правило обнаружения таких файлов
#detection@detectioneasy
#ttp@detectioneasy
Коллеги из bi.zone уведомили о новых техниках Fluffy Wolf
Давайте вспомним как это было в прошлогоднем отчете. Хакеры использовали схему фишинга
RAR (с паролем) -> COM. Примечательно, что пароль был указан в имени архива, возможно использовалось для обхода антифишингаcom, вместо exe, можем этим воспользоваться для хантинга"парол|pass"
ProviderName="Microsoft-Windows-Sysmon" and EventId = 11 and TargetFilename contains "\Users\" and (Image contains "парол" or Image contains "pass")
ProviderName="Microsoft-Windows-Sysmon" and EventId = 11 and TargetFilename contains "\Users\" and (Image endswith ".com")
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
BI.ZONE
«Давайте сверимся»: как Fluffy Wolf использует акты сверки в атаках
Группировка действует просто, но эффективно: фишинговая рассылка для первоначального доступа, а в ней — исполняемый файл. Так Fluffy Wolf получает удаленный доступ, крадет учетные данные или использует ресурсы взломанной инфраструктуры для майнинга