💻Хакер к вам на хост проник? Обнаружим его WMIг!💻
https://telegra.ph/Detecting-wmiexec-Pro-10-28

Разбираем замечательную утилиту wmiexec-Pro, которая приходит на помощь, когда на целевом хосте закрыты SMB, WinRM и RDP. Утилита представляет собой усовершенствованную версию скрипта wmiexec.py из набора Impacket👩‍💻, даёт возможность уклонения от Windows Defender и предлагает модули по обходу AMSI, передаче файлов, удалённому включению RDP с конфигурацией брандмауэра и многое другое🛡

Красным командам советую взять на вооружение🛠

🔎 Но основной упор в статье сделан на детект инструмента как в сетевом трафике, так и в событиях журналов Windows и Sysmon 🔎
А все начиналось с whoami as a SYSTEM...

#пентест #блютим #DFIR

❤️ Полный разнос
#windows

FullBypass - инструмент, который обходит AMSI (AntiMalware Scan Interface) и PowerShell CLM (Constrained Language Mode) и предоставляет вам полноязычную обратную оболочку PowerShell.

🎚Т.к. проект на C#, то придётся притащить на атакуемую систему FullBypass.csproj. Далее нужно будет запустить с помощью msbuild.exe

C:\windows\Microsoft.NET\Framework64\v4.0.30319\msbuild.exe .\FullBypass.csproj

🛡 Как это работает:
1. Сначала код обходит AMSI, используя метод memory hijacking, и переписывает некоторые инструкции в функции AmsiScanBuffer. С помощью инструкции xor аргумент size будет равен 0, и AMSI не сможет обнаружить будущие скрипты и команды в powershell.
2. Вторым проходом код перепроверяет, успешно ли он перезаписал функцию AmsiScanBuffer.
3. Скрипт вернет 0, то бишь True и спросит вас IP и Port куда стучаться revshell'у
4. Ловим FullLanguage сессию у себя на машине.

🏃 Краткая справка чем отличается FullLanguage от ConstrainedLanguage:
FullLanguage session:
- Это сессия PowerShell, в которой разрешено использование всех функций и возможностей языка PowerShell.
- Пользователи и скрипты могут создавать, изменять и удалять объекты .NET, выполнять сложные скрипты, определять новые функции, классы и многое другое.
- Этот режим предоставляет полный доступ к PowerShell и его особенностям.

ConstrainedLanguage session:
- Это сессия PowerShell, ограниченная в использовании некоторых функций языка и возможностей для повышения безопасности системы.
- В ограниченном языковом режиме доступ к ряду средств программирования, таких как добавление новых типов, доступ к частным методам и т.д., становится ограниченным.
- ConstrainedLanguage предназначен для сокращения поверхности атаки и предотвращения выполнения потенциально нежелательных или вредоносных скриптов.
- Этот режим часто используется в сценариях, когда необходимо обеспечить высокий уровень безопасности, к примеру, на рабочих станциях, находящихся под контролем через AppLocker или Device Guard.


🌚 @poxek

🛡 Разбираемся с Шиндоус
#windows

👥 Коллеги админы каналов занимаются копанием в Windows системах, я тоже внесу свой вклад в данный процесс)

🔎 Многие слышали про DLL Injection, DLL Side Load. Но есть ещё множество других интересных техник по манипулированию процессами Windows. Нашёл репозиторий для вас, где объясняется принцип каждый техники и даже приводится практические примеры к некоторым техникам.

1️⃣BlockingDLL

2️⃣CloneProcess

3️⃣CommandLineSpoofing

4️⃣DarkLoadLibrary

5️⃣GhostlyHollowing

6️⃣Misc

7️⃣PhantomDllHollower

8️⃣PPIDSpoofing

9️⃣ProcessDoppelgaenging

0️⃣ProcessGhosting

1️⃣0️⃣ProcessHerpaderping

1️⃣1️⃣ProcessHollowing

1️⃣2️⃣ProcMemScan

1️⃣3️⃣ProtectedProcess

1️⃣4️⃣ReflectiveDLLInjection

1️⃣5️⃣sRDI

1️⃣6️⃣TransactedHollowing

1️⃣7️⃣WmiSpawn

⤵️ Также в репозитории вы найдете ссылки для дополнительного изучения этих техник

🔗 https://github.com/daem0nc0re/TangledWinExec

🌚 @poxek

Минцифры ещё принесла работы багхантерам)
Ещё и платят неплохо! 🪙

🔻Mama AMA Criminal - AMA эфир

⛈ Основная повестка встречи: Проект Похек, рефлексия про прошлое и будущее, ИБ-неИБ и т.д.

📆 Дата: 25 февраля (воскресенье [завтра]), 14:00

⏺ Запись встречи будет

🌚 @poxek

👨‍💻 Как действовали хакеры на ноябрьском Standoff 12. Разбираем цепочку атак на космолифт и не только
#standoff #poxek

В ноябре 2023 года мир был свидетелем кибербитвы Standoff, которая длилась несколько дней. Пятнадцать команд этичных хакеров провели серию впечатляющих технических ходов. Атакам подверглись все представленные на киберполигоне отрасли.

На нем воссозданы технологические и бизнес-процессы реальных компаний, обеспечивающих жизнедеятельность целых стран: нефтеперерабатывающий завод, банки, МФЦ и многое другое. В минувшем сезоне кибербитвы Standoff в Государстве F появилась новая компания — CosmoLink Labs. По легенде, CosmoLink Labs была создана в качестве инновационного центра для разработки и проведения космических исследований. Появление нового сегмента привлекло внимание мировых киберпреступников, которые решили использовать эту уникальную локацию в своих целях.

⚡️ Максимально рекомендую к прочтению

🔜 Читать далее

🌚 @poxek