Всем хак 👾

Все знакомы или хотя бы слышали про BloodHound?

BloodHound — инструмент для анализа связей в Active Directory. У него есть две версии:

Legacy — старая версия с классическим интерфейсом и ограниченной функциональностью.
CE (Community Edition) — обновлённая бесплатная версия с улучшённым UI, новыми возможностями и активной поддержкой сообщества.

Новички не всегда знают о разнице между версиями.

Раньше в Kali по умолчанию стояла Legacy-версия. Вчера мне понадобился BloodHound, и по привычке я установил пакет; пришлось немного поколдовать с запуском, и в итоге вместо ожидаемой Legacy получил CE-версию.

Мой вывод: имеет смысл переходить на современные, обновлённые инструменты — они чаще поддерживаются, содержат исправления безопасности и новые полезные функции. (Но есть исключения)

Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка:
https://habr.com/ru/articles/957940/

🔗Ссылка:
https://opennet.ru/64077/

🔗Ссылка:
https://www.securitylab.ru/news/564773.php

🔗Ссылка:
https://habr.com/ru/companies/gazprombank/articles/788978/

🔗Ссылка:
https://www.securitylab.ru/blog/personal/SimlpeHacker/355269.php

🔗Ссылка:
https://github.com/SmeegeSec/HashTag

🔗Ссылка:
https://opennet.ru/64079/

🔗Ссылка:
https://dfir.ch/posts/linux_capabilities/

🔗Ссылка:
https://www.securitylab.ru/news/564740.php

🔗Ссылка:
https://www.securitylab.ru/news/564639.php

🔗Ссылка:
https://xakep.ru/2025/10/20/adaptixc2-npm/

🔗 Ссылка:
https://securitymedia.org/news/kitayskaya-gruppirovka-jewelbug-atakovala-rossiyskogo-it-provaydera-cherez-tsepochku-postavok.html

Мы часто видим, что в различных статьях по детектированию техник повышения привилегий с использованием ADCS (ESC-атаки) авторы до сих пор используют старый формат событий запросов сертификатов в ADCS (события 4886—4889). Однако в этом году компания Microsoft обновила формат упомянутых событий, и обновлённая схема даёт намного больше возможностей для написания хантов.

К сожалению, документации от Microsoft на эти события пока нет. Но несложно догадаться, какая информация содержится в каждом новом поле.

На скриншоте выше показано, как выглядит событие 4886 при запросе сертификата с использованием ESC1-уязвимого шаблона утилитой certify.

В обновлённом формате видно использованный шаблон, subjectAltName (SAN) в CSR, RequestClientInfo с пользователем, хостом и даже процессом из COM-объекта, использованный протокол для запроса (RPC или DCOM) и т.д.

А вот как выглядит теперь событие 4887 при таком запросе:

Certificate Services approved a certificate request and issued a certificate. 

Request ID:        79 
Requester:        ESSOS\daenerys.targaryen 
Attributes:         
 
ccm:meereen.essos.local 
Disposition:        3 
SKI:  93 be 4b 84 64 d7 19 20 6e 94 82 4d 1f ed 86 a5 c1 2c 0e 09 
Subject:        CN=daenerys.targaryen, CN=Users, DC=essos, DC=local 
Subject Alternative Name: 
Other Name: 
     Principal Name=viserys.targaryen 

Certificate Template:        ESC1 
Serial Number:                200000004f317b974a5431d29a00000000004f 
Authentication Service:        Kerberos 
Authentication Level:        Privacy 
DCOMorRPC:                DCOM 

Здесь, помимо уже перечисленных полей, наконец-то появился Serial Number сертификата. Его можно использовать при поиске событий запроса TGT-билетов с выданным сертификатом (поле CertSerialNumber).

К сожалению, до сих пор нет информации об IP-адресе клиента, ApplicationPolicy в запросе, SID Extension в выданном сертификате. Но даже с таким набором полей уже намного удобнее работать, и гораздо меньше необходимости обогащать события данными из БД ADCS.

Рекомендуем обновить ваши ADCS-сервера, если вы ещё этого не сделали, и проверить, настроены ли ваши аудиты. А мы в следующем посте расскажем, как можно использовать новые поля в хантах для детектирования ESC-атак.

🔗Ссылка:
https://opennet.ru/64094/

🔗Ссылка:
https://habr.com/ru/companies/pt/articles/958476/

🔗Ссылка:
https://habr.com/ru/companies/lansoft_career/articles/956730/

🔗Ссылка:
https://opennet.ru/64093/