😈 Эксплуатация Windows AD и справочник по командам.

• Эксплуатация представляет собой последовательность действий, которая помогает атакующему получить доступ к исследуемой системе, используя уязвимость или ошибку в настройках. Сегодня, я поделюсь с тобой ссылкой на отличный Cheat Sheet для эксплуатации win #AD.

Что включает в себя справочник:
• Обход PowerShell AMSI;
• PowerShell one-liners;
• Перечисления (Enumeration);
• AD Enumeration с помощью PowerView;
• AppLocker;
• Ограниченный языковой режим PowerShell;
• LAPS;
• Боковое перемещение (Lateral Movement);
• Боковое перемещение с помощью PowerView;
• BloodHound;
• Kerberoasting;
• AS-REP roasting;
• Token Manipulation;
• Боковое перемещение с помощью Rubeus;
• Боковое перемещение с помощью Mimikatz;
• Выполнение команды с запланированными задачами;
• Выполнение команд с помощью WMI;
• Выполнение команд с помощью PowerShell Remoting;
• Неограниченное делегирование;
• Ограниченное делегирование;
• Ограниченное делегирование на основе ресурсов;
• Злоупотребление доверием к домену;
• MSSQL и боковое перемещение;
• Групповые политики и боковое перемещение;
• Privilege Escalation;
• PowerUp;
• UAC Bypass;
• Persistence;
• Startup folder;
• Domain Persistence;
• Mimikatz skeleton key attack;
• Права DCSync с помощью PowerView;
• Domain Controller DSRM admin;
• Изменение дескрипторов безопасности для удаленного доступа к WMI;
• Изменение дескрипторов безопасности для удаленного доступа PowerShell;
• Изменение дескрипторов безопасности реестра DC для удаленного извлечения хэша с помощью DAMP;
• DCShadow;
• Постэксплуатация;
• LSASS protection;
• Дамп учетных данных с помощью Mimikatz;
• Злоупотребление DPAPI с помощью Mimikatz;
• Dumping secrets without Mimikatz;
• Windows Defender evasion;
• Chisel proxying;
• Juicy files.

#AD #ИБ #Hack

⬆ P.S. В продолжении поста выше, на хабре есть очень полезная серия материала от сотрудника Microsoft, который работал над ядром ОС Windows 10, XBox, Windows Phone и Microsoft Edge. Обязательно ознакомьтесь:

• О работе ПК на примере Windows 10 и клавиатуры ч. 1;
• О работе ПК на примере Windows 10 и клавиатуры ч. 2;
• О работе ПК ч.3: От включения до полной загрузки Windows 10.

#Разное #Windows

👩‍💻 Затыкаем рот Windows 10.

• На хабре опубликована полезная статья, в которой вы найдете полезные скрипты, советы и reg-файлы для отключения обновления, синхронизаций, телеметрии и т.д.

➡️ https://habr.com/post/778466/

• А если вы используете Windows 11, Win Server 2016 или 2019, то вот вам инструкция от майков: https://learn.microsoft.com/

• P.S. Всегда помните, что любые попытки отключения сетевых возможностей ОС Windows 10 приводят к проблемам. Перечисленные способы не исключение.

• Правильная стратегия «затыкания рта Windows» должна быть следующей:

- Полностью обновить ОС.
- Инсталляция и настройка требуемых сторонних программ.
- Отключение «паразитного» сетевого трафика.

#Windows #Разное

🔐 Awesome security hardening.

• Огромная коллекция различного материала на тему усиления безопасности. От подробных гайдов до необходимых инструментов и бенчмарков:

• Security Hardening Guides and Best Practices;
— Hardening Guide Collections;
— GNU/Linux;
- Red Hat Enterprise Linux - RHEL;
- CentOS;
- SUSE;
- Ubuntu;
— Windows;
— macOS;
— Network Devices;
- Switches;
- Routers;
- IPv6;
- Firewalls;
— Virtualization - VMware;
— Containers - Docker - Kubernetes;
— Services;
- SSH;
- TLS/SSL;
- Web Servers;
- Mail Servers;
- FTP Servers;
- Database Servers;
- Active Directory;
- ADFS;
- Kerberos;
- LDAP;
- DNS;
- NTP;
- NFS;
- CUPS;
— Authentication - Passwords;
— Hardware - CPU - BIOS - UEFI;
— Cloud;
• Tools;
— Tools to check security hardening;
- GNU/Linux;
- Windows;
- Network Devices;
- TLS/SSL;
- SSH;
- Hardware - CPU - BIOS - UEFI;
- Docker;
- Cloud;
— Tools to apply security hardening;
- GNU/Linux;
- Windows;
- TLS/SSL;
- Cloud;
— Password Generators;
• Books;
• Other Awesome Lists;
— Other Awesome Security Lists.

#ИБ

👨‍💻 50 Methods For Lsass Dump.

• Если не сильно углубляться в теорию, то Local Security Authority Subsystem Service (он же LSASS) — это процесс (исполняемый файл C:\Windows\System32\lsass.exe), ответственный за управление разными подсистемами аутентификации ОС #Windows. Среди его задач: проверка «кред» локальных и доменных аккаунтов в ходе различных сценариев запроса доступа к системе, генерация токенов безопасности для активных сессий пользователей, работа с провайдерами поддержки безопасности (Security Support Provider, SSP) и др.

• В домене Active Directory правит концепция единого входа Single Sign-On (SSO), благодаря которой процесс lsass.exe хранит в себе разные материалы аутентификации залогиненных пользователей, например, NT-хеши и билеты Kerberos, чтобы «пользачу» не приходилось печатать свой пароль в вылезающем на экране окошке каждые 5 минут. В «лучшие» времена из LSASS можно было потащить пароли в открытом виде в силу активности протокола WDigest (HTTP дайджест-аутентификация), но начиная с версии ОС Windows Server 2008 R2 вендор решил не включать этот механизм по умолчанию.

• При успешном дампе LSASS злоумышленнику чаще всего остается довольствоваться NT-хешами и билетами Kerberos, это все равно с большой вероятностью позволит ему повысить свои привилегии в доменной среде AD за короткий промежуток времени. Реализуя схемы Pass-the-Hash, Overpass-the-Hash и Pass-the-Ticket, злоумышленник может быстро распространиться по сети горизонтально, собирая по пути все больше хешей и «тикетов», что в конечном итоге дарует ему «ключи от Королевства» в виде данных аутентификации администратора домена.

• В этой статье представлены 50 методов извлечения данных аутентификации из памяти LSASS: https://redteamrecipe.com/50-methods-for-lsass-dumprtc0002

#Red_Team #Пентест #AD

📚 Серия уроков по пакету утилит SysInternals.

• Набор инструментов SysInternals — это набор приложений Windows, которые можно бесплатно загрузить из соответствующего раздела веб-сайта Microsoft. В этой серии статей вы познакомитесь с каждым из важных инструментов в комплекте, познакомитесь с ними и их многочисленными функциями, а затем эти инструкции помогут понять, как использовать их в реальных условиях:

- Что такое инструменты SysInternals и как их использовать?
- Знакомство с Process Explorer;
- Использование Process Explorer для устранения неполадок и диагностики;
- Понимание Process Monitor;
- Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра;
- Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО.

#SysInternals #Windows #soft

🔐 10 способов обхода Windows Defender.

• Всем известно, что в состав ОС Windows входит стандартный антивирус Windows Defender, который является простым и "относительно" нормальным решением с различными средствами для контроля приложений, встроенным фаерволом и средством для защиты в реальном времени.

• В этой статье автор подробно рассказывает о 10 способах и техниках обхода Windows Defender с целью выполнения произвольного кода. Содержание статьи следующее:

- In-Memory AMSI/ETW patching;
- Обфускация кода;
- Обфускация во время компиляции;
- Обфускация бинарных файлов;
- Зашифрованная инъекция шеллкода;
- Загрузка шеллкода;
- Пользовательские инструменты;
- Инсценировка полезной нагрузки;
- Рефлексивная загрузка;
- Сборки P/Invoke C#.

#Windows #AV #Пентест

👩‍💻 Уроки форензики. Большой гид по артефактам Windows

• Объемная шпаргалка о методах поиска информации в операционной системе Windows — с целью выявления различных инцидентов. В этой статье описан последовательный процесс сбора артефактов на заведомо взломанном ПК. Содержание следующее:

• Typical Forensic investigation flow.

• Tools:
- Acquire artifact’s Tools;
- Forensic analysis tools;
- OS / Linux Distros.

• KAPE cheatsheet:
- KAPE target extraction;
- Memory dump;
- Live response command and scanner;
- All in one artifact parsing;
- Event log / log scanning and parsing;
- Program Execution;
- File folder activity;
- NTFS and FileSystem parsing;
- System activity;
- Mounted image scanner.

• Analysis Findings:
- Live Forensics;
- Memory analysis;
- Disk analysis;
- Windows event logs analysis;
- Triage artifacts parsing and analysis;
- Other Artifacts.

• Lateral Movement Detection and Investigation:
- Credential harvesting;
- File sharing;
- Remote login;
- Remote Execution.

#Форензика

🎉 15 лет назад появилась Windows 7.

• Кстати, завтра своё день рождение отмечает Windows 7. Именно 22 октября 2009 года эта ОС появилась на свет и до сих пор считается одной из самых надежных версий Windows, которая работает на миллионах компьютеров до сих пор.

• Еще на этапе бета-тестирования стало очевидно, что новая редакция Windows станет прямой наследницей Vista: отличий от нее в первых публичных бетах было немного. Поначалу разработчики даже не удалили из системы боковую панель: из существенных модификаций можно было заметить разве что смену ядра на версию 6.1, и то, что разработчики полностью выпилили классическое представление Главного меню, неизменно присутствовавшее в составе ОС еще со времен Windows 95.

• В Windows 7 milestone 2 видимых изменений тоже оказалось относительно немного: все основные новшества прятались «под капотом». Бета-тестеры заметили, что кнопка «свернуть все окна» перекочевала в правую часть Панели задач, а также то, что в эту сборку впервые был интегрирован Windows PowerShell в качестве компонента системы. Незначительные косметические изменения коснулись Проводника, а Главное меню обрело привычный пользователям Windows 7 вид.

• На этапе Milestone 3 (а именно, в сборке 6748) разработчики наконец-то убрали с Рабочего стола ненужную боковую панель. Система стала понемногу обретать черты окончательной версии, но до финишной ленточки было еще очень далеко — около года. «Супербар» в Windows 7 Milestone 3 уже был включен по умолчанию, при этом пользователи, что называется, «распробовали» новинку: окна сворачиваются в «Супербар» в виде квадратной кнопки, и, следовательно, занимают значительно меньше места по сравнению с прямоугольными кнопками в Vista. При этом появившаяся в Windows 7 группировка задач позволяет сэкономить еще больше пространства при открытии нескольких окон одного приложения (в предыдущих сборках количество открытых окон демонстрировалось цифрой, в Milestone 3 появились эскизы).

• Основное приложение Windows — файловый менеджер Проводник — тоже изрядно переработали. Самым удобным и простым в использовании Проводник был в Windows 2000: слева древовидная структура диска, справа – содержимое текущей папки, сверху – кнопки управления файловыми объектами и командное меню. В Windows Vista разработчики удалили в Проводнике возможность навигации при помощи адресной строки, а панель древовидной структуры файловых объектов сделали так, что полностью просмотреть весь список стало невозможным, потому что он не умещается в отведенное ему пространство. Ну, а в Проводнике Windows 7 исчезли кнопки инструментальной панели и командная панель, содержащая меню «Файл», «Вид» и т. д.

• Официальная бета-версия Windows 7 выглядела в целом так же, как последовавший меньше года спустя релиз. Здесь разработчики добавляли только новые функциональные возможности: режим восстановления системы в случае аварийной загрузки, был внесен ряд незначительных изменений в интерфейс стандартных приложений.

• Вместо нескольких кнопок выключения в Главном меню появилась одна стандартная. По умолчанию ей назначена функция «Shut down» (выключение компьютера), но по желанию пользователя эта функция может быть сменена на «Log off», «Restart», «Switch User» или «Hibernate», в зависимости от того, какой режим применяется в системе чаще. Windows PowerShell в бета-версии «семерки» заменили на PowerShell 2.0.

• Незадолго до публикации RTM — окончательной версии для сборщиков компьютеров — Microsoft выкатила Release Candidate. Эта сборка Windows 7 уже обрела окончательный вид. Финальный релиз Windows 7 поступил в продажу 22 октября 2009 года. Сначала пользователи приняли систему скептически: еще были свежи воспоминания о вышедшей за два года не слишком удачной Windows Vista. Но вскоре стало понятно, что Windows 7 — это значительный шаг вперед: система оказалась быстрой, стабильной и поддерживала огромный арсенал современного оборудования. Несмотря на то, что с тех пор на свет появилось еще четыре поколения Windows, «семерку» до сих пор не торопятся списывать в утиль.

#Windows

👣 Форензика: Ваш цифровой след

• В этой статье мы поговорим о методах поиска информации в операционной системе #Windows — с целью выявления различных инцидентов. Это сведения о пользователях и входах, базовой информации системы, сетевом подключении, а также о восстановлении удаленных файлов, просмотрe открывавшихся документов, выявлении подключавшихся к компьютеру флешек и т. д. — данные, позволяющие установить факты нарушения безопасности или несанкционированного доступа. Затронем также тему этики при проведении экспертиз такого рода:

➡ Читать статью [17 min].

#Форензика

🔎 Форензика.

• Любая наука склонна делиться на более мелкие темы. Давайте прикинем, на какие классификации делится форензика, а в самом конце поста Вы найдете ссылки на два полезных репозитория, которые содержат в себе учебный материал для изучения каждого направления:

1⃣ Computer forensics — к ней относится все, что связано с поиском артефактов взлома на локальной машине: анализ RAM, HDD, реестра, журналов ОС и так далее;

2⃣ Network forensics — как понятно из названия, имеет отношение к расследованиям в области сетевого стека — например, дампу и парсингу сетевого трафика для выявления таких интересных вещей, как RAT, reverse shell, backdoor-туннели и тому подобное;

3⃣ Forensic data analysis — посвящена анализу файлов, структур данных и бинарных последовательностей, оставшихся после атаки или использовавшихся при вторжении.

4⃣Mobile device forensics — занимается всем, что касается особенностей извлечения данных из Android и iOS.

5⃣ Hardware forensic — экспертиза аппаратного обеспечения и технических устройств. Это направление наименее популярно и наиболее сложно. Сюда входит разбор данных на низком уровне (микроконтроллера, прошивки или BIOS), ресерч специфических особенностей работы устройства, к примеру диапазона частот работы Wi-Fi-передатчика или внутреннего устройства скиммера, устанавливаемого на банкоматы.

• Для изучения данной науки я предлагаю обратить внимание на несколько репозиториев, в которых собраны инструменты, книги, руководства и другой полезный материал:

- Adversary Emulation;
- All-In-One Tools;
- Books;
- Communities;
- Disk Image Creation Tools;
- Evidence Collection;
- Incident Management;
- Knowledge Bases;
- Linux Distributions;
- Linux Evidence Collection;
- Log Analysis Tools;
- Memory Analysis Tools;
- Memory Imaging Tools;
- OSX Evidence Collection;
- Other Lists;
- Other Tools;
- Playbooks;
- Process Dump Tools;
- Sandboxing/Reversing Tools;
- Scanner Tools;
- Timeline Tools;
- Videos;
- Windows Evidence Collection.

➡ https://github.com/mikeroyal/Digital-Forensics-Guide
➡ https://github.com/Correia-jpv/fucking-awesome-incident-response

#Форензика

👨‍💻 Attack methods for Windows Active Directory.

• Этот репозиторий содержит информацию о методах, которые используются для атак Windows Active Directory. Материал постоянно обновляется и поддерживается автором в актуальном состоянии. Обязательно добавляйте в закладки и используйте на практике:

• Pre-requisites;
• PowerShell AMSI Bypass;
• PowerShell Bypass Execution Policy;
• Evasion and obfuscation with PowerShellArmoury;
• Windows Defender;
• Remote Desktop;
- Enable Remote Desktop;
- Login with remote desktop;
- Login with remote desktop with folder sharing;
• Enumeration;
- Users Enumeration;
- Domain Admins Enumeration;
- Computers Enumeration;
- Groups and Members Enumeration;
- Shares Enumeration;
- OUI and GPO Enumeration;
- ACLs Enumeration;
- Domain Trust Mapping;
- Domain Forest Enumeration;
- User Hunting;
- Enumeration with BloodHound;
- Gui-graph Queries;
- Console Queries;
• Local Privilege Escalation;
• Lateral Movement;
• Persistence;
- Golden Ticket;
- Silver Ticket;
- Skeleton Key;
- DCSync;
• Privilege Escalation;
- Kerberoast;
- Targeted Kerberoasting AS REPs;
- Targeted Kerberoasting Set SPN;
- Kerberos Delegation;
- Unconstrained Delegation;
- Printer Bug;
- Constrained Delegation;
- Child to Parent using Trust Tickets;
- Child to Parent using Krbtgt Hash;
- Across Forest using Trust Tickets;
- GenericAll Abused;
• Trust Abuse MSSQL Servers;
• Forest Persistence DCShadow.

#Пентест #AD

👩‍💻 Win11Debloat.

• Очень полезный PowerShell скрипт, который поможет вырезать весь мусор и ускорить Ваш Windows. Возможности:

— Удалить все бесполезные приложения, которые замедляют ОС;
— Отключить рекламу в меню Пуск;
— Вернуть панель задач из Windows 10;
— Вырубить телеметрию и сбор данных;
— Убрать бессмысленные опции в контекстном меню;
— Вырезать Кортану, Copilot и Bing.

• Работает на Windows 11 и 10. Если какие-то изменения не подходят — их легко откатить. Забираем с GitHub:

➡️ https://github.com/Raphire/Win11Debloat

#PowerShell #Windows