В яблочко. Много отзывов очень разных, переработаю немного первую часть и завтра потрачу время на еще то, чтобы довести до финального уровня с учетом ваших пожеланий еще 3-и следующих части, мейби что-то даже выкачу. Но вообще, тем кому понравилось - ❤️, старался ради вас. Надеюсь вы в лице рассказчика книги приобретете того самого чела, который по простому все расскажет и это будет интересно. Ну а там, мб мб, и комьюнити локальное у нас появится которое на вопросы вам в комментариях ответит и поможет. (Мейби немного спутанно сказал, но тип - сегодня 3 экзамена сдавал в вузе, устал🫠)
🙉4⚡2
#Beacon
Малюткам_малдевBeacon❤️_1_часть_из_15.docx
Давайте еще опросик: Что бы вы хотели убавить/добавить? Перерабатывать опять же буду для любимых малюток, чтобы вы могли сразу сесть и 1/2 книги прочитать, а это +- для тестика было.
🙉2
Кстати начав делать по maldev конспект - нашел уже готовый, отличный материал, причем довольно краткий и поделенный по частям(которые правда разбросаны рандомно, но что есть то есть)
https://ru-sfera.pw/forums/vvedenie-v-razrabotku-vredonosnyx-programm.176/page-2
Исходя из этого, буду смотреть в сторону других материалов
https://ru-sfera.pw/forums/vvedenie-v-razrabotku-vredonosnyx-programm.176/page-2
Исходя из этого, буду смотреть в сторону других материалов
🔥2🙉1
Использование Windows api в агрессивной среде - https://telegra.ph/Windows-api-v-agressivnoj-srede---Redteam-06-25
Telegraph
Использование Windows api в агрессивной среде - Redteam
Всегда при редтиме возникают вопросики - а что делать если везде едрки всякие, нужно как-то двигаться в этой агрессивной среде, но для начала - нам необходимо укрепиться. На основе этого я подготовил небольшую статью на основе книги 𝐖𝐢𝐧𝐝𝐨𝐰𝐬 𝐀𝐏𝐈 𝐟𝐨𝐫 𝐑𝐞𝐝𝐓𝐞𝐚𝐦.…
Red Teaming: Злоупотребление Active Directory для персистентности и Перемещения по сети
Думаю затронуть базу техник Редтима для создания постоянного доступа и перемещения по сети. Мы рассмотрим основные техники для поддержания скрытного присутствия.
Персистентность имеет решающее значение для Редтима. Оно позволяет им сохранять доступ к сети в течение длительного времени, что дает возможность для более глубокого изучения, exfiltration(выкачки) данных и реализации более сложных атак. Традиционные методы постоянства, такие как ключи реестра и запланированные задачи, становятся все более заметными. Редтимеры часто обращаются к более изощренным методам, которые используют врожденные функции и уязвимости Active Directory.
Злоупотребление Active Directory для Персистентности (да, это база):
Золотые Билеты: Золотой билет - это поддельный билет Kerberos, который предоставляет держателю права администратора домена на определенный период, часто на 10 лет. Он обходит смену паролей и является мощным инструментом для долгосрочного постоянства.
Алмазные Билеты(diamond ticket): Подобно золотым билетам, алмазные билеты предоставляют права администратора домена, но более целенаправленно. Их можно использовать для подделки конкретного пользователя и доступа к ресурсам, к которым этот пользователь имеет право доступа.
Теневые Учетные Данные(Shadow Credentials): Эта техника предполагает использование уязвимостей в службах сертификатов Active Directory (ADCS) для создания вредоносного сертификата, который можно использовать для подделки пользователя домена.
Злоупотребление AdminSDHolder: Объект AdminSDHolder в Active Directory отвечает за обеспечение согласованности списков управления доступом (ACL) для объектов с высокими привилегиями. Red Teamers могут злоупотреблять этим, изменяя ACL AdminSDHolder, чтобы предоставить себе постоянный доступ к группам с высокими привилегиями, таким как Domain Admins.
DCShadow: DCShadow позволяет Red Teamers создавать поддельный контроллер домена на скомпрометированной машине. Этот поддельный контроллер домена затем можно использовать для изменения объектов Active Directory без записи каких-либо журналов на реальных контроллерах домена, что обеспечивает скрытный способ поддержания постоянства.
Дальнейшее перемещение через Active Directory
Злоупотребление Ограниченным Делегированием Kerberos (KCD): KCD позволяет службе получать доступ к ресурсам от имени пользователя. В редтим операциях можно использовать KCD, скомпрометировав учетную запись службы с ограниченным делегированием, а затем используя ее для подделки других пользователей или доступа к ограниченным ресурсам.
Ресурсно-Ограниченное Делегирование (Resource-Based Constrained Delegation - кратко RBCD): RBCD позволяет службе получать доступ к ресурсам от имени другой службы. Редтимеры могут злоупотреблять RBCD, изменяя атрибут msds-allowedtoactonbehalfofotheridentity целевой машины, чтобы предоставить скомпрометированной службе доступ к другим службам.
Неограниченное Делегирование: Неограниченное делегирование позволяет службе получать доступ к любому ресурсу от имени пользователя. Редтимеры могут использовать эту уязвимость, скомпрометировав машину с неограниченным делегированием, а затем используя ее для захвата TGT контроллера домена, что дает им доступ к любому ресурсу в домене.
Виды защит:
AMSI (Интерфейс Сканирования Противовирусной Защиты): AMSI - это API Microsoft, который позволяет приложениям сканировать вредоносные скрипты в памяти. Red Teamers могут обойти AMSI, используя такие методы, как обфускация, инъекция кода и более старые версии PowerShell.
Список Доверенных Приложений(Application Whitelisting): Список доверенных приложений ограничивает выполнение несанкционированных программ. Редтимеры могут обойти список доверенных приложений, используя такие методы, как подгрузка DLL, злоупотребление объектами COM и загрузка полезных данных в законные процессы.
EDR (Обнаружение и Ответ на Угрозы на Конечной Точке): EDRs отслеживают активность конечной точки и могут обнаруживать вредоносное поведение. Редтимеры могут
Думаю затронуть базу техник Редтима для создания постоянного доступа и перемещения по сети. Мы рассмотрим основные техники для поддержания скрытного присутствия.
Персистентность имеет решающее значение для Редтима. Оно позволяет им сохранять доступ к сети в течение длительного времени, что дает возможность для более глубокого изучения, exfiltration(выкачки) данных и реализации более сложных атак. Традиционные методы постоянства, такие как ключи реестра и запланированные задачи, становятся все более заметными. Редтимеры часто обращаются к более изощренным методам, которые используют врожденные функции и уязвимости Active Directory.
Злоупотребление Active Directory для Персистентности (да, это база):
Золотые Билеты: Золотой билет - это поддельный билет Kerberos, который предоставляет держателю права администратора домена на определенный период, часто на 10 лет. Он обходит смену паролей и является мощным инструментом для долгосрочного постоянства.
Алмазные Билеты(diamond ticket): Подобно золотым билетам, алмазные билеты предоставляют права администратора домена, но более целенаправленно. Их можно использовать для подделки конкретного пользователя и доступа к ресурсам, к которым этот пользователь имеет право доступа.
Теневые Учетные Данные(Shadow Credentials): Эта техника предполагает использование уязвимостей в службах сертификатов Active Directory (ADCS) для создания вредоносного сертификата, который можно использовать для подделки пользователя домена.
Злоупотребление AdminSDHolder: Объект AdminSDHolder в Active Directory отвечает за обеспечение согласованности списков управления доступом (ACL) для объектов с высокими привилегиями. Red Teamers могут злоупотреблять этим, изменяя ACL AdminSDHolder, чтобы предоставить себе постоянный доступ к группам с высокими привилегиями, таким как Domain Admins.
DCShadow: DCShadow позволяет Red Teamers создавать поддельный контроллер домена на скомпрометированной машине. Этот поддельный контроллер домена затем можно использовать для изменения объектов Active Directory без записи каких-либо журналов на реальных контроллерах домена, что обеспечивает скрытный способ поддержания постоянства.
Дальнейшее перемещение через Active Directory
Злоупотребление Ограниченным Делегированием Kerberos (KCD): KCD позволяет службе получать доступ к ресурсам от имени пользователя. В редтим операциях можно использовать KCD, скомпрометировав учетную запись службы с ограниченным делегированием, а затем используя ее для подделки других пользователей или доступа к ограниченным ресурсам.
Ресурсно-Ограниченное Делегирование (Resource-Based Constrained Delegation - кратко RBCD): RBCD позволяет службе получать доступ к ресурсам от имени другой службы. Редтимеры могут злоупотреблять RBCD, изменяя атрибут msds-allowedtoactonbehalfofotheridentity целевой машины, чтобы предоставить скомпрометированной службе доступ к другим службам.
Неограниченное Делегирование: Неограниченное делегирование позволяет службе получать доступ к любому ресурсу от имени пользователя. Редтимеры могут использовать эту уязвимость, скомпрометировав машину с неограниченным делегированием, а затем используя ее для захвата TGT контроллера домена, что дает им доступ к любому ресурсу в домене.
Виды защит:
AMSI (Интерфейс Сканирования Противовирусной Защиты): AMSI - это API Microsoft, который позволяет приложениям сканировать вредоносные скрипты в памяти. Red Teamers могут обойти AMSI, используя такие методы, как обфускация, инъекция кода и более старые версии PowerShell.
Список Доверенных Приложений(Application Whitelisting): Список доверенных приложений ограничивает выполнение несанкционированных программ. Редтимеры могут обойти список доверенных приложений, используя такие методы, как подгрузка DLL, злоупотребление объектами COM и загрузка полезных данных в законные процессы.
EDR (Обнаружение и Ответ на Угрозы на Конечной Точке): EDRs отслеживают активность конечной точки и могут обнаруживать вредоносное поведение. Редтимеры могут
⚡1
обойти EDRs, используя такие методы, как программирование на уровне системных вызовов, процесс hollowing и обфускация.
Red Teaming с Sysinternals: Использование Process Explorer для Повышения Привилегий
Sysinternals' Process Explorer (Procexp) — это мощный инструмент для мониторинга и управления процессами в операционной системе Windows. В контексте red teaming, Procexp может быть использован для выявления уязвимостей и повышения привилегий на целевой системе. В этой статье мы рассмотрим, как можно использовать Procexp для достижения этих целей.
1. Идентификация Уязвимых Процессов
Поиск процессов с повышенными привилегиями: Procexp предоставляет исчерпывающий список запущенных процессов, выделяя те, которые работают с административными правами (SYSTEM, Administrators и т. д.). Анализируя этот список, можно выявить процессы, которые работают с повышенными привилегиями, но не должны их требовать. Эти процессы могут стать потенциальными целями для эксплуатации.
Анализ свойств процесса: Procexp позволяет просматривать детальные свойства каждого процесса, включая его командную строку, загруженные DLL, контекст безопасности и открытые дескрипторы. Эта информация помогает выявить процессы, уязвимые для атак на повышение привилегий. Например, можно искать процессы, которые загружают DLL из ненадежных мест, имеют слабые настройки безопасности или работают с ненужными привилегиями.
2. Эксплуатация Уязвимостей Процессов
DLL Hijacking (Подмена DLL): Уязвимости подмены DLL могут быть использованы для загрузки вредоносной DLL в уязвимый процесс. Эта вредоносная DLL может выполнять код с привилегиями уязвимого процесса.
Пример: Если процесс загружает DLL из определенного каталога, можно заменить легитимную DLL вредоносной версией с полезной нагрузкой. Этот код будет выполняться с привилегиями уязвимого процесса.
Манипуляция токенами: Procexp позволяет просматривать токены процесса, это в целом представляет контекст безопасности процесса. Уязвимости в токене могут быть использованы для получения повышенных привилегий.
Пример: Создание нового процесса с тем же токеном, что и уязвимый процесс, работающий с повышенными привилегиями, позволяет выполнять вредоносный код с этими привилегиями.
3. Использование Procexp для Разведки
Идентификация потенциальных векторов атаки: Procexp предоставляет ценную информацию о запущенных процессах, помогая выявить потенциальные векторы атаки. Например, можно идентифицировать процессы, работающие с повышенными привилегиями, имеющие слабые настройки безопасности или загружающие DLL из ненадежных мест.
Отображение сетевых подключений: Procexp отображает сетевые подключения каждого процесса, что позволяет идентифицировать процессы, общающиеся с удаленными системами. Эта информация может быть использована для нацеливания на конкретные процессы или для получения информации о сетевой инфраструктуре цели.
4. Технические Детали
DLL Hijacking: Представление DLL в Procexp позволяет идентифицировать загруженные процессом DLL и порядок их загрузки. Эта информация может быть использована для эксплуатации уязвимостей подмены DLL.
Манипуляция токенами: Вкладка "Безопасность" в Procexp отображает токен процесса и связанные с ним привилегии, что помогает выявить уязвимости в токене процесса.
Инъекция в процесс: Функция "Создать процесс" в Procexp позволяет создавать новые процессы с определенными токенами и командными строками, что может быть использовано для инъекции вредоносного кода в уязвимые процессы.
Заключение
Sysinternals' Process Explorer — мощный инструмент для повышения привилегий в рамках red teaming. Понимая его возможности и потенциальные уязвимости, можно разработать эффективные стратегии для обхода мер безопасности и достижения целей атаки.
Sysinternals' Process Explorer (Procexp) — это мощный инструмент для мониторинга и управления процессами в операционной системе Windows. В контексте red teaming, Procexp может быть использован для выявления уязвимостей и повышения привилегий на целевой системе. В этой статье мы рассмотрим, как можно использовать Procexp для достижения этих целей.
1. Идентификация Уязвимых Процессов
Поиск процессов с повышенными привилегиями: Procexp предоставляет исчерпывающий список запущенных процессов, выделяя те, которые работают с административными правами (SYSTEM, Administrators и т. д.). Анализируя этот список, можно выявить процессы, которые работают с повышенными привилегиями, но не должны их требовать. Эти процессы могут стать потенциальными целями для эксплуатации.
Анализ свойств процесса: Procexp позволяет просматривать детальные свойства каждого процесса, включая его командную строку, загруженные DLL, контекст безопасности и открытые дескрипторы. Эта информация помогает выявить процессы, уязвимые для атак на повышение привилегий. Например, можно искать процессы, которые загружают DLL из ненадежных мест, имеют слабые настройки безопасности или работают с ненужными привилегиями.
2. Эксплуатация Уязвимостей Процессов
DLL Hijacking (Подмена DLL): Уязвимости подмены DLL могут быть использованы для загрузки вредоносной DLL в уязвимый процесс. Эта вредоносная DLL может выполнять код с привилегиями уязвимого процесса.
Пример: Если процесс загружает DLL из определенного каталога, можно заменить легитимную DLL вредоносной версией с полезной нагрузкой. Этот код будет выполняться с привилегиями уязвимого процесса.
Манипуляция токенами: Procexp позволяет просматривать токены процесса, это в целом представляет контекст безопасности процесса. Уязвимости в токене могут быть использованы для получения повышенных привилегий.
Пример: Создание нового процесса с тем же токеном, что и уязвимый процесс, работающий с повышенными привилегиями, позволяет выполнять вредоносный код с этими привилегиями.
3. Использование Procexp для Разведки
Идентификация потенциальных векторов атаки: Procexp предоставляет ценную информацию о запущенных процессах, помогая выявить потенциальные векторы атаки. Например, можно идентифицировать процессы, работающие с повышенными привилегиями, имеющие слабые настройки безопасности или загружающие DLL из ненадежных мест.
Отображение сетевых подключений: Procexp отображает сетевые подключения каждого процесса, что позволяет идентифицировать процессы, общающиеся с удаленными системами. Эта информация может быть использована для нацеливания на конкретные процессы или для получения информации о сетевой инфраструктуре цели.
4. Технические Детали
DLL Hijacking: Представление DLL в Procexp позволяет идентифицировать загруженные процессом DLL и порядок их загрузки. Эта информация может быть использована для эксплуатации уязвимостей подмены DLL.
Манипуляция токенами: Вкладка "Безопасность" в Procexp отображает токен процесса и связанные с ним привилегии, что помогает выявить уязвимости в токене процесса.
Инъекция в процесс: Функция "Создать процесс" в Procexp позволяет создавать новые процессы с определенными токенами и командными строками, что может быть использовано для инъекции вредоносного кода в уязвимые процессы.
Заключение
Sysinternals' Process Explorer — мощный инструмент для повышения привилегий в рамках red teaming. Понимая его возможности и потенциальные уязвимости, можно разработать эффективные стратегии для обхода мер безопасности и достижения целей атаки.
Red Teaming: Использование уязвимости "Unquoted Service Paths" для достижения persistence(сохранения доступа на машине)
Сценарий: Мы успешно проникли в систему с ограниченными правами пользователя. Наша цель — добиться persistence на этой системе, желательно с административными правами, чтобы сохранить доступ и, возможно, расширить наши операции.
Цель: Windows 7 машина с уязвимым сервисом.
Инструменты:
SharPersist
Cobalt Strike
Nmap
SharpUp
Идентификация уязвимого сервиса: Мы используем SharpUp для сканирования целевой системы на предмет потенциальных уязвимостей для эскалации привилегий. SharpUp идентифицирует сервисы с "unquoted service paths", которые особенно уязвимы для hijacking.
Создание payload: Мы используем Cobalt Strike для генерации service payload. Этот payload будет исполняемым файлом Windows service, который будет выполнять желаемые команды, такие как запуск reverse shell или загрузка дополнительных инструментов.
Hijacking сервиса: Мы используем SharPersist для изменения пути выполнения уязвимого сервиса. Это включает в себя размещение нашего service payload в место, которое будет сканироваться Windows при запуске сервиса. Например, если путь выполнения сервиса "C:\Program Files\Acme Inc\service.exe", мы можем поместить наш payload в "C:\Program.exe". Windows попытается выполнить "C:\Program.exe Files\Acme Inc\service.exe", но так как этот файл не существует, он вместо этого выполнит наш payload.
Достижение persistence: После hijacking сервиса, наш payload будет выполняться каждый раз, когда сервис запускается, обеспечивая нам persistence на системе.
Пример:
Допустим, SharpUp идентифицирует сервис с названием "MyService" с путем выполнения "C:\Program Files\MyService\MyService.exe". Тогда мы можем использовать SharPersist для создания нового сервиса с названием "CRT_Service", который указывает на наш payload:
SharPersist.exe -t service -c "C:\Program Files\MyService\MyService.exe" -n "CRT_Service" -m add
Это создаст новый сервис, который будет выполнять наш payload каждый раз, когда он запускается.
Преимущества:
Скрытность: Этот метод относительно скрытный, так как не требует изменения системных файлов или создания новых записей в реестре.
Надежность: Сервисы являются распространенным и надежным механизмом сохранения доступа.
Административные права: Hijacking сервиса, который запускается с административными правами, может дать нам административный доступ к системе.
Сценарий: Мы успешно проникли в систему с ограниченными правами пользователя. Наша цель — добиться persistence на этой системе, желательно с административными правами, чтобы сохранить доступ и, возможно, расширить наши операции.
Цель: Windows 7 машина с уязвимым сервисом.
Инструменты:
SharPersist
Cobalt Strike
Nmap
SharpUp
Идентификация уязвимого сервиса: Мы используем SharpUp для сканирования целевой системы на предмет потенциальных уязвимостей для эскалации привилегий. SharpUp идентифицирует сервисы с "unquoted service paths", которые особенно уязвимы для hijacking.
Создание payload: Мы используем Cobalt Strike для генерации service payload. Этот payload будет исполняемым файлом Windows service, который будет выполнять желаемые команды, такие как запуск reverse shell или загрузка дополнительных инструментов.
Hijacking сервиса: Мы используем SharPersist для изменения пути выполнения уязвимого сервиса. Это включает в себя размещение нашего service payload в место, которое будет сканироваться Windows при запуске сервиса. Например, если путь выполнения сервиса "C:\Program Files\Acme Inc\service.exe", мы можем поместить наш payload в "C:\Program.exe". Windows попытается выполнить "C:\Program.exe Files\Acme Inc\service.exe", но так как этот файл не существует, он вместо этого выполнит наш payload.
Достижение persistence: После hijacking сервиса, наш payload будет выполняться каждый раз, когда сервис запускается, обеспечивая нам persistence на системе.
Пример:
Допустим, SharpUp идентифицирует сервис с названием "MyService" с путем выполнения "C:\Program Files\MyService\MyService.exe". Тогда мы можем использовать SharPersist для создания нового сервиса с названием "CRT_Service", который указывает на наш payload:
SharPersist.exe -t service -c "C:\Program Files\MyService\MyService.exe" -n "CRT_Service" -m add
Это создаст новый сервис, который будет выполнять наш payload каждый раз, когда он запускается.
Преимущества:
Скрытность: Этот метод относительно скрытный, так как не требует изменения системных файлов или создания новых записей в реестре.
Надежность: Сервисы являются распространенным и надежным механизмом сохранения доступа.
Административные права: Hijacking сервиса, который запускается с административными правами, может дать нам административный доступ к системе.
Эксплуатация неправильно настроенных GPO
Group Policy Objects (GPO) - это мощный инструмент в Active Directory, позволяющий администраторам централизованно управлять настройками безопасности и конфигурациями для пользователей и компьютеров. Однако неправильная настройка GPO может создать уязвимости, которые злоумышленники могут использовать для повышения своих привилегий, закрепления в системе и проведения дальнейших атак. В этой статье мы рассмотрим, как Red Team может эксплуатировать неправильно настроенные GPO, какие инструменты для этого используются, и какие меры защиты можно принять.
Сценарий
Представим, что в ходе разведки мы обнаружили GPO "**Domain Users - Restricted Software**", привязанный к организационной единице (OU) "**OU=Marketing,DC=company,DC=local**". Анализ прав доступа показал, что группе "**Domain Users**" предоставлены права "**WriteProperty**" к этому GPO. Этот сценарий выбран, так как он демонстрирует типичный пример неправильной настройки, который может иметь серьёзные последствия.
Почему это опасно?
Право "WriteProperty" позволяет изменять настройки GPO. Это опасно, потому что злоумышленник может воздействовать на различные аспекты системы. Например:
Изменять пути запуска приложений: Добавлять вредоносные программы в автозагрузку всех компьютеров или пользователей, связанных с этим GPO.
Перенаправлять папки пользователей: Перенаправлять папки "Документы" или "Рабочий стол" на сетевой ресурс под контролем злоумышленника для кражи данных.
Ослаблять настройки безопасности: Отключать антивирусное ПО, файрвол или изменять параметры аудита, чтобы скрыть свою деятельность и избежать обнаружения.
Инструменты при редтиме для поиска данной мисконфигурации:
BloodHound: Визуализирует сложные связи в Active Directory, помогая быстро идентифицировать GPO с аномальными правами доступа, что позволяет злоумышленникам находить уязвимости.* PingCastle: Сканирует и анализирует Active Directory, предоставляя детальную информацию о конфигурации GPO, включая права доступа, что помогает обнаруживать неправильные настройки.
SharpHound: Собирает информацию о Active Directory, включая данные о GPO, и передает ее злоумышленнику для дальнейшего анализа и эксплуатации.
Защита от атак на GPO
* Принцип наименьших привилегий: Предоставлять группам и пользователям только те права, которые им необходимы для выполнения своих задач. Например, если пользователю не нужно изменять GPO, у него не должно быть таких прав.* Регулярный аудит GPO: Периодически анализировать настройки GPO на наличие аномалий, используя специализированные инструменты, такие как GPO Compliance Manager или PowerShell-скрипты.
* Мониторинг изменений GPO: Внедрить систему мониторинга, которая будет оповещать о любых изменениях в GPO. Например, использовать Windows Event Logs и настроить оповещения в SIEM-системе.
* Сегментация сети: Разделить сеть на сегменты и ограничить доступ к критическим ресурсам, чтобы минимизировать ущерб от атаки.
Group Policy Objects (GPO) - это мощный инструмент в Active Directory, позволяющий администраторам централизованно управлять настройками безопасности и конфигурациями для пользователей и компьютеров. Однако неправильная настройка GPO может создать уязвимости, которые злоумышленники могут использовать для повышения своих привилегий, закрепления в системе и проведения дальнейших атак. В этой статье мы рассмотрим, как Red Team может эксплуатировать неправильно настроенные GPO, какие инструменты для этого используются, и какие меры защиты можно принять.
Сценарий
Представим, что в ходе разведки мы обнаружили GPO "**Domain Users - Restricted Software**", привязанный к организационной единице (OU) "**OU=Marketing,DC=company,DC=local**". Анализ прав доступа показал, что группе "**Domain Users**" предоставлены права "**WriteProperty**" к этому GPO. Этот сценарий выбран, так как он демонстрирует типичный пример неправильной настройки, который может иметь серьёзные последствия.
Почему это опасно?
Право "WriteProperty" позволяет изменять настройки GPO. Это опасно, потому что злоумышленник может воздействовать на различные аспекты системы. Например:
Изменять пути запуска приложений: Добавлять вредоносные программы в автозагрузку всех компьютеров или пользователей, связанных с этим GPO.
Перенаправлять папки пользователей: Перенаправлять папки "Документы" или "Рабочий стол" на сетевой ресурс под контролем злоумышленника для кражи данных.
Ослаблять настройки безопасности: Отключать антивирусное ПО, файрвол или изменять параметры аудита, чтобы скрыть свою деятельность и избежать обнаружения.
Инструменты при редтиме для поиска данной мисконфигурации:
BloodHound: Визуализирует сложные связи в Active Directory, помогая быстро идентифицировать GPO с аномальными правами доступа, что позволяет злоумышленникам находить уязвимости.* PingCastle: Сканирует и анализирует Active Directory, предоставляя детальную информацию о конфигурации GPO, включая права доступа, что помогает обнаруживать неправильные настройки.
SharpHound: Собирает информацию о Active Directory, включая данные о GPO, и передает ее злоумышленнику для дальнейшего анализа и эксплуатации.
Защита от атак на GPO
* Принцип наименьших привилегий: Предоставлять группам и пользователям только те права, которые им необходимы для выполнения своих задач. Например, если пользователю не нужно изменять GPO, у него не должно быть таких прав.* Регулярный аудит GPO: Периодически анализировать настройки GPO на наличие аномалий, используя специализированные инструменты, такие как GPO Compliance Manager или PowerShell-скрипты.
* Мониторинг изменений GPO: Внедрить систему мониторинга, которая будет оповещать о любых изменениях в GPO. Например, использовать Windows Event Logs и настроить оповещения в SIEM-системе.
* Сегментация сети: Разделить сеть на сегменты и ограничить доступ к критическим ресурсам, чтобы минимизировать ущерб от атаки.
Подробнейший анализ XZ backdoor в OpenSSH
https://telegra.ph/Analiz-XZ-backdoor-v-OpenSSH-06-26
https://telegra.ph/Analiz-XZ-backdoor-v-OpenSSH-06-26
Telegraph
Анализ XZ backdoor в OpenSSH
В этом анализе мы рассмотрим поведение XZ backdoor внутри OpenSSH(по сути подведем итоги многочисленных исследований). Этот backdoor демонстрирует высокий уровень изощренности, использует продвинутые методы стеганографии и имеет разветвленные возможности…
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Кажись получил неплохие деньги на боте, который ранее рекламировал (тот что по интеликсу), еще раз продублирую его как окончательно все процессы пройдут по получению денег и мини репорт сделаю по пентесту. А все начиналось с того, что сотрудник корпы скачал читы на кс:го.....
Вообще всем советую - куки и логи, в том числе старые, это золотая жила любого пентестера, огромное количество аптшников покупала у частников кукисы и заходили в крупные сайты как к себе домой. Белые, такие как я естественно xD, тоже уверен знают об этой теме и активно пользуются.
Ну и жаль что "пацанские" пересказы крупных курсов не зашли, даже пару челов отписалось с крупных каналов😄 депрессия в ноль лет. Ну ничего, контента будет масса, благо последний экзамен завтра в институте сдам. Щас буду oscp+экзамен по penetration тестеру на хакзебокс проходить, будет весело в это время на канале, мейби коллективное ctf буду устраивать, если заинтересованы - реакция+в комментах можете отписать. Будем делиться по командам и думаю одна команда, да разберет команду одмена, т.к. очень крутые челы подписаны
🔥1🆒1
Да и вообще - рад что читаете. Я хоть и давно в пентесте, но нет желаемого уровня из-за многих факторов внешних, несмотря на то, что по реду и внешке явно идет хорошо, но не advanced левел, как в браззерсах. Дорастем вместе
Кстати, контентмейеры, если кто хочет с других каналов по пентесту сделать коллабу по ctf, чтобы больше народу участвовало - отпишите в комменты, обсудим в личке условия и когда будем делать. Я думаю несмотря на то, что подписчиков у меня не прям уж и много, это был бы хороший буст для каналов участников + общий призовой фонд можно сделать для победителей, чтобы мотивация была.
(Ну и с небольшими каналами тож пишите, потом всех укажем кто участвовал)
(Ну и с небольшими каналами тож пишите, потом всех укажем кто участвовал)
👾1
Forwarded from Source Byte ( P҉d҉y҉👾)
Develop your own RAT - AV & EDR Defense
credit : @dobinrutis
code : A C2 framework and RAT written in Go.
slides : 👇🏻
#go , #golang , #c2 , #malware_dev
credit : @dobinrutis
code : A C2 framework and RAT written in Go.
slides : 👇🏻
#go , #golang , #c2 , #malware_dev
Forwarded from Source Byte ( P҉d҉y҉👾)
Develop Your Own Rat.pdf
1.9 MB