Habr Time

Наконец-то дошли руки поделиться с вами нашим исследованием-разработкой обратного туннеля.

Опубликовали первую часть исследования. Всего будет 3.
Не пропустите)

С предложениями по улучшению пишите в комментариях, присоединяйтесь к разработке - будем всегда рады

https://habr.com/ru/post/453870/

Habr Time

А тем временем мы опубликовали вторую часть масштабного исследования по разработке обратного туннеля.

Если у вас есть мысли по улучшению кода, добавлению функционала, готовность присоединиться к разработке - мы всегда за!

https://habr.com/ru/post/453970/

Habr Time

Мы опубликовали 3-ю и заключильную часть нашего исследования по разработке обратного туннеля.

Будем рады вашим комментариям!

https://habr.com/ru/post/454254/

И снова Azure AD Connect

Вчера Fox-IT опубликовали очередную статью про то, какая интересная вещь Azure AD Connect.

Уязвимость уже закрыта и такой трюк не провернуть. Но это очень просто и очень красиво.

Кратко опишем проблему.

Компания использует Azure AD. Удобно, хорошо, так делают многие. Для того, чтобы синхронизировать между собой Azure AD и локальный AD - существует Azure AD Connect. Это логично. Если у пользователя локально изменился пароль, то Azure AD тоже об этом должен узнать.

Собственно косяк был в том, что при создании копии уже существующей учётной записи в локальном каталоге AD - Azure AD Connect не создавал новую, а перезаписывал старую учётную запись. Таким образом злоумышленники могли менять пароли, используя только права на создание учётной записи (без прав на смену паролей).

Правда работало это все только там, где не было второго фактора. Но даже сейчас не все компании 2 фактор используют.

В общем основной вывод, который можно вынести из статьи - иногда учётная запись сотрудника тех поддержки может дать гораздо больше возможностей, чем поиски учётки доменного администратора.

Расставляйте приоритеты при проведении RedTeam.

А более подробное описание по ссылке:

https://blog.fox-it.com/2019/06/06/syncing-yourself-to-global-administrator-in-azure-active-directory/

#redteam

CVE-2019-1040

Последние несколько дней все обсуждают уязвимость CVE-2019-1040 и патч от Майкрософта.

Если вы ещё ничего не знаете - рассказываем.
Фишка в ntlm. Оказывается из-за того, что при использовании ntlm можно обходить проверку подлинности - есть возможность передать SMB аутентификацию на LDAP. В итоге RCE под системой на машине.

Как эксплуатировать: в ntlmrelayx добавили функционал, позволяющий эксплуатировать уязвимость, если она не закрыта.

Для защитников: патч есть и его нужно ставить как можно быстрее.

Для пентеста и редтима: проверяйте в первую очередь наличие обновлений. Если обновление не стоит - вы нашли лёгкий способ завладеть компанией.

https://dirkjanm.io/exploiting-CVE-2019-1040-relay-vulnerabilities-for-rce-and-domain-admin/

​​Прямо сейчас мы на конференции Offzone 2019 находимся на втором треке с темой «Дела ажурные: как Microsoft Azure помогает в проведении фишинговой атаки»

Дааа.. мы «любим» Microsoft.. 😏

​​А в 16.00 на 2 треке на Offzone мы представим доклад на тему "Используем «фишечки» Microsoft Advanced Threat Analytics при проведении RedTeam"

Присоединяйтесь😉

Немного про AMSI

AMSI (Antimalware Scan Interface) - интерфейс сканирования на наличие вредоносных программ - встроенный в Windows интерфейс, позволяющий проверять программы и процессы на предмет наличия угроз. Интегрируется с антивирусом и действительно доставляет много проблем при запуске, например, PowerShell скриптов.

Часто успех RedTeam кампаний зависит от того есть ли возможность обойти AMSI.

Делимся с вами некоторыми ссылками, в которых описаны способы обхода, но предупреждаем, что все актуально только в моменты публикации данных статей - такие вещи стараются быстро закрывать.

https://www.contextis.com/en/blog/amsi-bypass - подробно и хорошо описано, что вообще такое AMSI и как работает. Есть ссылка на разработанный скрипт, который помогает обходить AMSI

https://movaxbx.ru/2019/06/04/how-red-teams-bypass-amsi-and-wldp-for-net-dynamic-code/ - описаны универсальные способы обхода, не требующие каких-то глубоких знаний о работе AMSI

#redteam

Дела ажурные - как Microsoft Azure помогает при проведении фишинговой атаки

Для тех, кто не был на Offzone или не слышал наше выступление - опубликовали статью на Хабре!

https://habr.com/ru/post/458364/

Вот это точно TEAMwork

А вы слышали про MS Teams?
Это новое (ну относительно новое) приложение от Microsoft, по заложенному функционалу - аналог Slack. Так сказать Slack глазами Microsoft. Приложение входит в пакет офис и активно, ну очень активно пиарится. Собственно, если вы устанавливаете пакет Office 365 - Teams там будет.

Буквально на прошлой неделе исследователи опубликовали крутую вещь, связанную с Teams.

1.кладём нужный нам пейлоад (payload.exe) в папку
%userprofile%\AppData\Local\Microsoft\Teams\current\

2. запускаем update.exe

%userprofile%\AppData\Local\Microsoft\Teams\Update.exe --processStart payload.exe --process-start-args "whatever args"

3. Видим, что наш пейлоад запущен без проблем и все работает отлично.

Разберёмся. Мы не всегда можем запустить какие-то полезные нагрузки на компьютере заказчика из-за того, что наш пейлоад является каким-то левым исполняемым файлом. Мы говорим не про ограничения доступа и права пользователя, а про органичения, что приложение может запускаться только, если оно подписано доверенным издателем.

И в данном случае происходит следующее - наш пейлоад запускается с помощью update.exe, процесса, который является доверенным. А то, что запущено и подписано доверенным издателем - запускается и не блокируется.

Microsoft вроде как обещает устранить это в своих следующих обновлениях. А пока это работает.

Как пример приводим видео, где товарищ таким образом запускает пейлоад метасплойта на windows 10

https://youtu.be/zYPMk4vXigo

#redteam

Кинопятница

Если вам надоели сериалы, триллеры, фильмы ужасов и вы ломаете голову, что интересного и полезного можно посмотреть в выходные — представляем вам новую рубрику «Кинопятница».

Сегодняшняя рекомендация — записи докладов с TROOPERS19, а именно трека AD Security.

Про TROOPERS мы вам уже рассказывали — это конференция по ИБ (кто бы мог подумать), которая проходила в марте в Германии. Нас она заинтересовала тем, что там есть отдельная сессия про AD. И люди, которые выступают — первоклассные специалисты, которых мы очень уважаем.

Представляем вам небольшой обзор 13 докладов, которые были в сессии про AD.

https://medium.com/@karelova.ov/%D0%BA%D0%B8%D0%BD%D0%BE%D0%BF%D1%8F%D1%82%D0%BD%D0%B8%D1%86%D0%B0-troopers19-570602ef7e71
 
Ссылка на "фильмы" - https://www.youtube.com/playlist?list=PL1eoQr97VfJnvOWo_Jxk2qUrFyB-BJh4Y

KeePass как помощник для закрепления в системе

Если вам необходимо закрепиться на машине, где есть KeePass, то этот пост для вас!

Делимся ссылками на крутые исследования:

1. Часть 1. https://medium.com/@two06/persistence-with-keepass-part-1-d2e705326aa6 - закрепление через плагины KeePass. Метод требует прав локального администратора.

2. Часть 2. https://medium.com/@two06/persistence-with-keepass-part-2-3e328b24e117 - закрепление через триггеры KeePass. Пользователь не должен быть привилегированным.

Описанные методы - не уязвимости KeePass. Это использование существующего функционала. На наш взгляд это ещё круче.

#redteam

Кинопятница

В дождливый летний вечер можно посмотреть что-нибудь интересное и образовательное. Например, выступления с прошедшей конференции HIP19 (Hack In Paris).

Делимся с вами ссылкой на записи докладов и представляем описание ТОП 5 докладов, которые зацепили наши сердца.

https://medium.com/@karelova.ov/%D0%BA%D0%B8%D0%BD%D0%BE%D0%BF%D1%8F%D1%82%D0%BD%D0%B8%D1%86%D0%B0-hip19-760f1f9d7e4b

Ссылка на «фильмы» - https://www.youtube.com/playlist?list=PLaS1tu_LcHA88Ir4BH5FBtuZKxl9tHWRw

​​​​Ответный ход Microsoft

Одной из крутых уязвимостей было неограниченное TGT делегирование между лесами.

9 июля компания Microsoft выпустила обновления. Теперь все. TGT делегирование между лесами по умолчанию не работает!

Однако это не значит, что другие уязвимости пофиксили😉

https://techcommunity.microsoft.com/t5/Premier-Field-Engineering/Changes-to-Ticket-Granting-Ticket-TGT-Delegation-Across-Trusts/ba-p/440283

Используем пайпы для пивотинга

Опубликовали статью о том, как можно использовать SMB пайпы для "более полезных деструктивных действий".

https://habr.com/ru/post/460659/

Ghostwriter

Любая командная работа и коллаборация - это непросто, но очень важно. Для RedTeam особенно важно не упустить какую-то информацию, постараться совершить минимум ошибок и видеть картину целиком. Без платформы для коммуникации не справиться.

Ребята из SpecterOps опубликовали новую платформу с кучей интересных фишечек - Ghostwriter.

Что интересного в платформе:

1. Легко и быстро разворачивается с помощью Docker Compose.

2. Представляет собой веб-платформу, в которой можно создавать различные проекты и задачи, делиться информацией. Удобно то, что в одном месте можно хранить всю информацию по проекту. В том числе и информацию об инфраструктуре проекта (сервера, учётные записи, их актуальность и работоспособность).

3. Поддерживает различные типы данных, которые можно загрузить в систему.

4. Отслеживает актуальность доменных имён и наличие их в черных списках (или каких-либо комментариев по поводу домена) у Bluecoat, VirusTotal, McAfee и т.д.

5. Отслеживает, что на ваших серверах для СС не открыты лишние порты, проводя переодические сканирования.

6. Интегрируется со Slack.

7. Автоматически генерирует отчёт по проекту в различных форматах по созданным темплейтам. При этом позволяет самому определять какую информацию из проекта в отчёт включать.

В общем проект кажется очень интересным. Надо тестировать. SpecterOps планирует продолжать его дорабатывать. За что им огромное спасибо!

А мы делимся с вами ссылкой для того, чтобы сами могли поэкспериментировать и пощупать

https://github.com/GhostManager/Ghostwriter

#redteam

Кинопятница

"Если бы я мог подарить тебе в жизни всего одну вещь, я подарил бы тебе способность видеть себя моими глазами" (с)

Сегодня мы делимся с вами докладами с конференции SANS Blue Team Summit 2019.

Небольшой обзор "фильмов" от нас: https://medium.com/@karelova.ov/%D0%BA%D0%B8%D0%BD%D0%BE%D0%BF%D1%8F%D1%82%D0%BD%D0%B8%D1%86%D0%B0-sans-blueteam-summit-2019-67008d68ce87

Ссылка на "фильмы":
"Blue Team Summit 2019": https://www.youtube.com/playlist?list=PLtgaAEEmVe6BC2iANzTd0GvOC65xJ-o58

https://youtu.be/RB7yIAWglmE

#redteam #blueteam

Про Burp Suite

Burp Suite знают все. Кто-то использует ломаные версии, кому-то достаточно фришной версии, а кто-то покупает. А что происходит, когда вы запускаете Burp? Правильно, проверка лицензии и запуск. А может ещё что-то?

Мы решили проверить и выяснили, что Burp Suite при старте отсылает номер лицензии к себе домой на portswigger.net.

Учитывая тот факт, что бурп является must have для всех пентестеров, то это может являться нехилым таким демаскирующих фактором.

К примеру, вполне возможен такой сценарий деанона: внезапно вам захотелось посмотреть систему, которая не участвует в Bug Bounty.
Вы обкладываетесь супер-пупер-тройным-тор VPN-ном и ломаете какое-нибудь web-приложение, полагая что все анонимно.

Владелец ресурса, видя а логах веб-сервера всякие burpcollaborator и т.д. пишет письмо в portswigger. Рассказывает, что его поломали с помощью бурпа с такого то ip-адреса, нанесли ущерб, слили персональные данные, вывели деньги со всех счетов. Вот, мол, логи..

Ребята из portswigger смотрят на license id, который приходил к ним с этого ip, когда и кем была куплена эта лицензия, и откуда ещё (с каких ip) приходили запросы с таким же license id...

И сливает эту инфу владельцу ресурса, а он, в свою очередь, несёт все это сами знаете куда, и, как говорится, со всеми вытекающими...

Вот такой вот "весёлый" деанон кейс получается..

В качестве ремедиэйшена, советуем занулить portswigger.net на 127.0.0.1 в вашей системе.

P.S. мы не утверждаем, что portswigger предоставляет данные другим, но и не исключаем такой возможности. Лучше знать и иметь ввиду, что всякое может быть.

Немного про Fortigate SSL VPN

По следам прошедшего BHUSA делимся с вами одним из крутых ресечей от Orange Tsai.

https://blog.orange.tw/2019/08/attacking-ssl-vpn-part-2-breaking-the-fortigate-ssl-vpn.html

Все уязвимости пропатчены в новых версиях, но мы то знаем, что пользователи не всегда их ставят))

Поэтому если видите FortiOS ниже версий 5.4.11, 5.6.9, 6.0.5, 6.2.0 - можете смело использовать то, о чем пишет Orange!😉

#redteam

Заметки на полях

Тренд последнего времени - фишинг с использованием ссылок типа file://x.x.x.x или \\х.х.х.х\

Т.е. использование 445 порта. Однако, многие компании стали закрывать открытыф наружу 445 порт. Что же делать в этом случае?

Оказывается, если в состав UNC-path добавить [@80], например так:\\evildomain.com[@80]\File1.docx, то винда пойдет на evildomain.com не по 445-му порту, а по 80-му. И тут уже можно нафантазировать много различных сценариев использования такой фишечки.

Pulse Secure SSL VPN

Orange Tsai и Meh Chang на Blackhat USA рассказали о найденных уязвимостях в SSL VPN. Очень крутые исследования и действительно серьезные уязвимости.

Вчера была опубликована 3-я и самая интересная часть - Pulse Secure SSL VPN PreAuth RCE. Скомпрометировать всех пользователей и запустить все что угодно на компьютере пользователя через панель админа - круто!

А пример с Твиттером наглядно показывает, что пользователи не торопятся ставить пропатченные версии.

Патч выпущен 24 апреля 2019 года.

Делимся с вами статьей от Orange
https://blog.orange.tw/2019/09/attacking-ssl-vpn-part-3-golden-pulse-secure-rce-chain.html

И презентацией с выступления на BHUSA
https://i.blackhat.com/USA-19/Wednesday/us-19-Tsai-Infiltrating-Corporate-Intranet-Like-NSA.pdf