Forwarded from Хатка бобра
В этом посте кратко познакомимся с инструментом atexec-pro (https://github.com/Ridter/atexec-pro). Позволяет выполнять команды (в том числе powershell), загружать-скачивать файлы и выполнять .NET в памяти. Для последних трех ограничение в размере - 1 МБ.
Atexec-pro под капотом использует сервис TSCH против привычного ATSVC и работает через TCP (т.е. пайпы не используем). На мой взгляд примечательно то, что в своей работе он файловую систему практически не трогает (кроме создания самой таски), но при этом позволяет получать нам вывод. Обычно подобные инструменты для этих целей используют промежуточный файл на диске, который затем удаляют (atexec, smbexec, wmiexec). AtExec-pro же для хранения вывода команды использует описание задачи :)
Давайте разберем принцип выполнения отдельной произвольной команды в этом инструменте:
1) Формируются рандомное имя задачи (состоит из 8 символов [A-Za-z]) и рандомный ключ
2) Команда, которую мы хотим исполнить шифруется этим ключом (AES) и в дальнейшем будет записана в описание задачи, думаю этим и вызван максимальный размер.
3) Далее берется шаблон PS скрипта, в нём мы указываем ключ из шага 1, который предварительно конвертировали в base64, и указываем имя задачи. В случае обычной команды это будет https://github.com/Ridter/atexec-pro/blob/main/libs/powershells/cmd.ps1. Сам скрипт по имени задачи дергает описание, расшифровывает его, выполняет команду и далее обновляет описание с выводом этой команды.
4) Далее полученный PS скрипт переводим в base64. Этот скрипт будем выполнять в самой задаче при выполнении через
5) Создаём задачу и запускаем её.
6) Далее в цикле дергаем задачу, ждём её остановки и забираем результат.
7) Удаляем задачу.
Что в итоге имеем на хосте?
Событие 4698 на создание задачи (будет в Action команда powershell.exe -NonInteractive -enc <...>)
События 4688 на запуск процесса
Событие 4104 на выполнение скрипта powershell
Событие 4702 на обновление задачи после выполнения команды (запись вывода)
Событие 4699 на удаление задачи
Наибольшую ценность в плане детекта имеют события 4698 и 4104.
4698 содержит описание созданной задачи, в ней мы можем зацепиться за фиксированное для atexec и atexec-pro строку
4104 в данном случае будет содержать переведенную из Base64 строку (то есть не обфусцированную), именно в ней можно увидеть ранее рассмотренный выше шаблон с заполненными полями. 4104 включается через Script Block Logging, если явно он не включен, то будет логироваться через AMSI (будет логировать только подозрительные на своё усмотрение в журнал Powershell/Operational). На основе этого события можно надергать ключевых элементов для детекта из поля script_block_text.
Если у вас используются RPC-фильтры, то действуем аналогично SCShell (https://t.me/beaverdreamer/169), в данном случае у сервиса UUID 86D35949-83C9-4044-B424-DB363231FD0C.
#rpc #atexec #schtasks
Atexec-pro под капотом использует сервис TSCH против привычного ATSVC и работает через TCP (т.е. пайпы не используем). На мой взгляд примечательно то, что в своей работе он файловую систему практически не трогает (кроме создания самой таски), но при этом позволяет получать нам вывод. Обычно подобные инструменты для этих целей используют промежуточный файл на диске, который затем удаляют (atexec, smbexec, wmiexec). AtExec-pro же для хранения вывода команды использует описание задачи :)
Давайте разберем принцип выполнения отдельной произвольной команды в этом инструменте:
1) Формируются рандомное имя задачи (состоит из 8 символов [A-Za-z]) и рандомный ключ
2) Команда, которую мы хотим исполнить шифруется этим ключом (AES) и в дальнейшем будет записана в описание задачи, думаю этим и вызван максимальный размер.
3) Далее берется шаблон PS скрипта, в нём мы указываем ключ из шага 1, который предварительно конвертировали в base64, и указываем имя задачи. В случае обычной команды это будет https://github.com/Ridter/atexec-pro/blob/main/libs/powershells/cmd.ps1. Сам скрипт по имени задачи дергает описание, расшифровывает его, выполняет команду и далее обновляет описание с выводом этой команды.
4) Далее полученный PS скрипт переводим в base64. Этот скрипт будем выполнять в самой задаче при выполнении через
powershell -enc.5) Создаём задачу и запускаем её.
6) Далее в цикле дергаем задачу, ждём её остановки и забираем результат.
7) Удаляем задачу.
Что в итоге имеем на хосте?
Событие 4698 на создание задачи (будет в Action команда powershell.exe -NonInteractive -enc <...>)
События 4688 на запуск процесса
Событие 4104 на выполнение скрипта powershell
Событие 4702 на обновление задачи после выполнения команды (запись вывода)
Событие 4699 на удаление задачи
Наибольшую ценность в плане детекта имеют события 4698 и 4104.
4698 содержит описание созданной задачи, в ней мы можем зацепиться за фиксированное для atexec и atexec-pro строку
<StartBoundary>2015-07-15T20:35:13.2757294</StartBoundary> в поле TaskContent.4104 в данном случае будет содержать переведенную из Base64 строку (то есть не обфусцированную), именно в ней можно увидеть ранее рассмотренный выше шаблон с заполненными полями. 4104 включается через Script Block Logging, если явно он не включен, то будет логироваться через AMSI (будет логировать только подозрительные на своё усмотрение в журнал Powershell/Operational). На основе этого события можно надергать ключевых элементов для детекта из поля script_block_text.
Если у вас используются RPC-фильтры, то действуем аналогично SCShell (https://t.me/beaverdreamer/169), в данном случае у сервиса UUID 86D35949-83C9-4044-B424-DB363231FD0C.
#rpc #atexec #schtasks
GitHub
GitHub - Ridter/atexec-pro: Fileless atexec, no more need for port 445
Fileless atexec, no more need for port 445. Contribute to Ridter/atexec-pro development by creating an account on GitHub.
С наступающим новым годом. Работы было много, времени для постов мало, извините:)
Будьте здоровы и счастливы. 🍾🍾🍾
Будьте здоровы и счастливы. 🍾🍾🍾
🔥31
Давно ничего не писал, много работы и всяких забот.
Кто знает меня давно, в курсе про моё резко негативное отношение к баг баунти... Но случилось то что случилось, в конце прошлой недели с ребятами залетели на бб по недопустимым событиям где нужно заниматься взломом, а не дрочью клиент сайд уязвимостей. Новая тема называется кибериспытаниями.
За несколько дней взяли две инфраструктуры и реализовали недопустимые события. Эмоции после участия в таком движе очень положительные, есть ощущение что ты делаешь реально полезное дело за адекватные деньги (1 млн за реализацию недопустимого события).
Так как тема новая, есть достаточное количество косяков и непонимания своих нсов со стороны заказчиков. Будем надеяться что тема взлетит, все не скатится в багбаунти, безопасность восторжествует. Ждем новые программы и адекватные НС(не как у позитива). Аминь.
Кто знает меня давно, в курсе про моё резко негативное отношение к баг баунти... Но случилось то что случилось, в конце прошлой недели с ребятами залетели на бб по недопустимым событиям где нужно заниматься взломом, а не дрочью клиент сайд уязвимостей. Новая тема называется кибериспытаниями.
За несколько дней взяли две инфраструктуры и реализовали недопустимые события. Эмоции после участия в таком движе очень положительные, есть ощущение что ты делаешь реально полезное дело за адекватные деньги (1 млн за реализацию недопустимого события).
Так как тема новая, есть достаточное количество косяков и непонимания своих нсов со стороны заказчиков. Будем надеяться что тема взлетит, все не скатится в багбаунти, безопасность восторжествует. Ждем новые программы и адекватные НС(не как у позитива). Аминь.
👍19🔥13🥰4❤2👏1😁1
нашел и решил написать про небольшую фичу (lpe) в BitrixVM:
https://telegra.ph/bitrixvm-lpe-iz-korobki-02-21
https://telegra.ph/bitrixvm-lpe-iz-korobki-02-21
Telegraph
bitrixvm lpe из коробки
Слово bitrix уже как 3 года в переводе с молдаванского означает рукалицо. Сегодня расскажу вам про интересную фичу bitrixvm. Возможно кто то из вас с этим сталкивался, для меня это было новым. После получения доступа к серверу с bitrix мы обычно имеем права…
👏11👍6❤1🔥1
https://t.me/detectioneasy классный канал про обнаружение
Telegram
Detection is easy
chat: https://t.me/+BF4T6DOGv_UwYTBi
contact: @siemmanager
email: manager@detectioneasy.ru
contact: @siemmanager
email: manager@detectioneasy.ru
❤5👍5
В последнее время стали пугать страшными уязвимостями с утечками ntlm хэшей. Не совсем понятно с чем связана эта истерия, жили же до этого как то.... По следам уже нашумевшей по всем иб чатикам CVE-2025-24071 (с рейтингом аж целых 7.5) ловите видос от меня с очередным "зиродеем" ntlm hash leak через lnk файл. Этого добра в винде навалом
🔥8❤1
Forwarded from Detection is easy
Q12025 @detectioneasy.pdf
71.6 MB
Всем привет!) ✌️ 💻
Оформил результаты публикаций за Q1 в небольшой журнал) надеюсь понравится
Оформил результаты публикаций за Q1 в небольшой журнал) надеюсь понравится
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤1👎1
По следам подмены файлов при обновлении на vipnet клиентах (пост), про уязвимости dll hijacking захотелось написать. Что это и с чем это едят можно прочитать тут и просто в гугле. Проблемы с подменой dll есть не только у vipnet, проблемы у многих вендров поИБэ. Примеры на скринах с уязвимыми подписанными бинарями: Клиент VPN Код Безопасности, EDR агент Positive Technologies, антивирус Dr.Web...Ну и чтобы не кукарекали про Российское горе ИБ....checkpoint там же. Проблема намного больше чем кажется...
🔥16❤3👍3👏3
Forwarded from BritLab
Утечка данных у системного интегратора: как НЕ надо работать с SIEM
Хотите знать, как НЕ надо работать с данными? Сегодня у нас поучительная история об одном системном интеграторе (название опустим из этических соображений), который специализируется на:
1️⃣ Защите информации
2️⃣ Интеграции и оптимизации бизнес-процессов
3️⃣ Полном цикле техподдержки
Дела у компании, видимо, настолько прекрасны, что сотрудники решили добавить щепотку экстрима в рутину кибербезопасности и настроили алерты из SIEM прямиком в Telegram 🫡.
Что публиковалось?
🔸 IP-адреса + FQDN хостов
🔸 Имена учетных записей
🔸 Даты инцидентов + их описание
🔸 Ссылки на инциденты
Что пошло не так?
Вместо приватного чата оповещения прилетали в ПУБЛИЧНУЮ группу, которая и привлекла внимание BritLab.
Что было дальше?
1️⃣ После обнаружения утечки в группу было отправлено предупреждение о том, что группа публичная и её содержимое может увидеть любой пользователь сети + рекомендации (см. скрин).
2️⃣Через минуту аккаунт, отправивший предупреждение, заблокировали.
3️⃣Ещё через минуту группу сделали приватной (или удалили).
Вывод
Берегите свои данные, особенно если работаете в сфере ИБ и отвечаете не только за себя, но и за клиентов! Клиенты доверяют вам данные, а не право на слив в публичные чаты.
Если вы обнаружите подобные утечки, не забывайте сразу сообщать о них администраторам каналов.
@ru_vm #BritLab #УтечкаДанных #InfoSec
Хотите знать, как НЕ надо работать с данными? Сегодня у нас поучительная история об одном системном интеграторе (название опустим из этических соображений), который специализируется на:
1️⃣ Защите информации
2️⃣ Интеграции и оптимизации бизнес-процессов
3️⃣ Полном цикле техподдержки
Дела у компании, видимо, настолько прекрасны, что сотрудники решили добавить щепотку экстрима в рутину кибербезопасности и настроили алерты из SIEM прямиком в Telegram 🫡.
Что публиковалось?
🔸 IP-адреса + FQDN хостов
🔸 Имена учетных записей
🔸 Даты инцидентов + их описание
🔸 Ссылки на инциденты
Что пошло не так?
Вместо приватного чата оповещения прилетали в ПУБЛИЧНУЮ группу, которая и привлекла внимание BritLab.
Что было дальше?
1️⃣ После обнаружения утечки в группу было отправлено предупреждение о том, что группа публичная и её содержимое может увидеть любой пользователь сети + рекомендации (см. скрин).
2️⃣Через минуту аккаунт, отправивший предупреждение, заблокировали.
3️⃣Ещё через минуту группу сделали приватной (или удалили).
Вывод
Берегите свои данные, особенно если работаете в сфере ИБ и отвечаете не только за себя, но и за клиентов! Клиенты доверяют вам данные, а не право на слив в публичные чаты.
Если вы обнаружите подобные утечки, не забывайте сразу сообщать о них администраторам каналов.
@ru_vm #BritLab #УтечкаДанных #InfoSec
🔥11👏3❤1😁1
BritLab
Утечка данных у системного интегратора: как НЕ надо работать с SIEM Хотите знать, как НЕ надо работать с данными? Сегодня у нас поучительная история об одном системном интеграторе (название опустим из этических соображений), который специализируется на: 1️⃣…
Это отдельный котел в аду, такого много:)
true_security
Это отдельный котел в аду, такого много:)
@test_deive_MPSIEM например, линки не валид, но все-таки канал с линком на открытую гугл таблицу с доступом к стендам ) (pt снесли канал)
😁8
Forwarded from Ever Secure (Aleksey Fedulaev)
Друзья, это свершилось! 😱✨
Честно? Мы сами до конца не верили, что этот день настанет... но она — в печати!
Да-да, наша книга теперь существует в реальном, бумажном формате 📖🔥
Уже завтра мы забираем первую партию, и поверьте, она выглядит круче, чем мы ожидали!
А совсем скоро вы тоже сможете её заказать — предзаказ уже на подходе 👀
Следите за новостями, будет кое-что интересное… Может быть, даже небольшой сюрприз для первых заказов?🤔
👀 @ever_secure
Честно? Мы сами до конца не верили, что этот день настанет... но она — в печати!
Да-да, наша книга теперь существует в реальном, бумажном формате 📖🔥
Уже завтра мы забираем первую партию, и поверьте, она выглядит круче, чем мы ожидали!
А совсем скоро вы тоже сможете её заказать — предзаказ уже на подходе 👀
Следите за новостями, будет кое-что интересное… Может быть, даже небольшой сюрприз для первых заказов?🤔
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👍4❤1😁1
название каждой главы как вид искусства. Оценка критичности и стоимости активов через ransomware )))
😁12🔥2
Риторический вопрос, зачем Тензор (сбис) при установке своих продуктов добавляет каталоги и бинари в исключения Defenderа?
powershell -executionpolicy bypass -command add-MpPreference -ExclusionPath C:\Program Files (x86)\Tensor Company Ltd\Saby Plugin\sbis3plugin.exe
powershell.exe -NonInteractive -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath 'C:\Program Files (x86)\СБИС Престо'"
powershell -executionpolicy bypass -command add-MpPreference -ExclusionPath '%ProgramData%\Sbis3Plugin
😁17❤4👍2