Cheat Sheets: GPO
Могут ли групповые политики чем-то помочь RedTeam специалисту? Да! Еще как могут! И мы сейчас не будем рассматривать создание каких-либо вредоносных политик. Сами групповые политики могут очень-очень многое рассказать об устройстве компании, о средствах защиты, о программном обеспечении, которое стоит на компьютерах пользователей и много еще о чем. Как не потеряться в этом изобилии и на что смотреть в первую очередь?
Основное, на что обращаем внимание - какие параметры активности детектируют защитники. И порой узнать это достаточно сложно.
Сегодня делимся с вами шпаргалкой от Compass Security, предназначенной для BlueTeam, о том какие групповые политики должны быть включены для того, чтобы отслеживать перемещение злоумышленника по домену. И эта шпаргалка - отличная шпаргалка для RedTeam специалистов. Увидев групповые политики с такими флагами - вы точно знаете, что защитники наблюдают за этим параметром.
Например, если вы видите, что у "Turn on PowerShell script Block Logging" стоит флаг "Enabled", то использовать PowerShell надо максимально осторожно, потому что все действия об обработке команд и сценариев PowerShell детально записываются и вас могут вычислить по щелчку пальцев.
Могут ли групповые политики чем-то помочь RedTeam специалисту? Да! Еще как могут! И мы сейчас не будем рассматривать создание каких-либо вредоносных политик. Сами групповые политики могут очень-очень многое рассказать об устройстве компании, о средствах защиты, о программном обеспечении, которое стоит на компьютерах пользователей и много еще о чем. Как не потеряться в этом изобилии и на что смотреть в первую очередь?
Основное, на что обращаем внимание - какие параметры активности детектируют защитники. И порой узнать это достаточно сложно.
Сегодня делимся с вами шпаргалкой от Compass Security, предназначенной для BlueTeam, о том какие групповые политики должны быть включены для того, чтобы отслеживать перемещение злоумышленника по домену. И эта шпаргалка - отличная шпаргалка для RedTeam специалистов. Увидев групповые политики с такими флагами - вы точно знаете, что защитники наблюдают за этим параметром.
Например, если вы видите, что у "Turn on PowerShell script Block Logging" стоит флаг "Enabled", то использовать PowerShell надо максимально осторожно, потому что все действия об обработке команд и сценариев PowerShell детально записываются и вас могут вычислить по щелчку пальцев.
Цвета информационной безопасности
Мы привыкли, что в информационной безопасности чаще всего встречается два цвета команд - Red и Blue. Однако цветов и функционала у команд, занимающихся информационной безопасностью, гораздо больше. В России пока еще такая колористика не встречается, но в иностранной литературе и в очень крупных компаниях вы сможете увидеть команды следующих цветов: желтая, зеленая, оранжевая, белая, черная, фиолетовая, красная, синяя (см картинку). Давайте поговорим о них и их функционале подробнее, чтобы не удивляться, когда они нам где-нибудь повстречаются.
RedTeam - более менее понятно - команда атакующих, т.е. люди, которые непосредственно ищут уязвимости и проводят атаки
BlueTeam - тоже вроде бы понятно - команда защитников. По сути, BlueTeam — это SOC.
PurpleTeam - посредники при взаимодействии красной и синей команды. Поскольку в RedTeam и BlueTeam представлены именно технические специалисты, которые не всегда могут провзаимодействовать между собой - нужна команда (или отдельные люди), которая будет выстраивать процесс тестирования и взаимодействовать с обеими командами. Представители данной команды встречаются в России.
YellowTeam - по сути это разработчики. Это могут быть как разработчики ПО и различных приложений, так и системные архитекторы.
OrangeTeam - команда, которая обучает разработчиков безопасности и помогает им взглянуть на свою разработку с точки зрения атакующего. Т.е. они по своей сути не разработчики, а атакующие узкого профиля. Например, это специалисты по поиску веб-уязвимостей, которые могут рассказать разработчикам что нужно сделать, чтобы впихнутая злоумышленником кавычка не позволила ему получить данные, которые он хотел бы получить.
GreenTeam - команда, которая пытается внедрить мониторинг и логирование событий на этапе построения какой-либо системы, а также упростить интеграцию новых систем в существующие системы мониторинга. Например, в компании появился новый антивирус, логи которого необходимо как-то обрабатывать и было бы неплохо, чтобы они отображались в глобальной SIEM компании. Это будет делать (в идеале конечно) Green Team.
WhiteTeam - не всегда можно назвать командой - скорее нетехнические люди, которые выстраивают процессы в каждой команде, следят за прогрессом, расставляют организационные приоритеты, помогают во взаимодействии.
BlackTeam - команда, которая подсказывает всем командам какую модель угроз рассматриваем для организации, какие тенденции в ИБ, TTP (тактики, методы и процедуры) злоумышленника. Ее цель – чтобы команды работали в одном направлении и видели ИБ компании одинаково.
Мы привыкли, что в информационной безопасности чаще всего встречается два цвета команд - Red и Blue. Однако цветов и функционала у команд, занимающихся информационной безопасностью, гораздо больше. В России пока еще такая колористика не встречается, но в иностранной литературе и в очень крупных компаниях вы сможете увидеть команды следующих цветов: желтая, зеленая, оранжевая, белая, черная, фиолетовая, красная, синяя (см картинку). Давайте поговорим о них и их функционале подробнее, чтобы не удивляться, когда они нам где-нибудь повстречаются.
RedTeam - более менее понятно - команда атакующих, т.е. люди, которые непосредственно ищут уязвимости и проводят атаки
BlueTeam - тоже вроде бы понятно - команда защитников. По сути, BlueTeam — это SOC.
PurpleTeam - посредники при взаимодействии красной и синей команды. Поскольку в RedTeam и BlueTeam представлены именно технические специалисты, которые не всегда могут провзаимодействовать между собой - нужна команда (или отдельные люди), которая будет выстраивать процесс тестирования и взаимодействовать с обеими командами. Представители данной команды встречаются в России.
YellowTeam - по сути это разработчики. Это могут быть как разработчики ПО и различных приложений, так и системные архитекторы.
OrangeTeam - команда, которая обучает разработчиков безопасности и помогает им взглянуть на свою разработку с точки зрения атакующего. Т.е. они по своей сути не разработчики, а атакующие узкого профиля. Например, это специалисты по поиску веб-уязвимостей, которые могут рассказать разработчикам что нужно сделать, чтобы впихнутая злоумышленником кавычка не позволила ему получить данные, которые он хотел бы получить.
GreenTeam - команда, которая пытается внедрить мониторинг и логирование событий на этапе построения какой-либо системы, а также упростить интеграцию новых систем в существующие системы мониторинга. Например, в компании появился новый антивирус, логи которого необходимо как-то обрабатывать и было бы неплохо, чтобы они отображались в глобальной SIEM компании. Это будет делать (в идеале конечно) Green Team.
WhiteTeam - не всегда можно назвать командой - скорее нетехнические люди, которые выстраивают процессы в каждой команде, следят за прогрессом, расставляют организационные приоритеты, помогают во взаимодействии.
BlackTeam - команда, которая подсказывает всем командам какую модель угроз рассматриваем для организации, какие тенденции в ИБ, TTP (тактики, методы и процедуры) злоумышленника. Ее цель – чтобы команды работали в одном направлении и видели ИБ компании одинаково.
Заметки на полях: Пентест AD. Mindmap
Когда требуется провести пентест только внутренней сети Заказчика (когда заказчик дает только подключение в сеть и больше никакой информации), первое время (вне зависимости от опыта) возникает небольшой ступор и в голове проносится мысль "а с чего начать то?". Чаще всего, конечно, смотрим свой IP, маску, DNS, gateway и, исходя из этого, начинаем сканировать сетку, искать контроллеры и по крупицам составлять картину внутренней сети.
А дальше все зависит от качетсва сети заказчика (насколько у него все настроенно корректно и все гайки закручены-подкручены) и от нашего везения.
Но какую-то последовательность действий составить все-таки можно.
Сегодня делимся с вами очень-очень-очень крутым mindmap от Mayfly. Полезно всем, вне зависимости от количества исследованных AD.
В хорошем качестве mindmap можно найти тут - https://i.ibb.co/TKYNCNP/Pentest-ad.png
Когда требуется провести пентест только внутренней сети Заказчика (когда заказчик дает только подключение в сеть и больше никакой информации), первое время (вне зависимости от опыта) возникает небольшой ступор и в голове проносится мысль "а с чего начать то?". Чаще всего, конечно, смотрим свой IP, маску, DNS, gateway и, исходя из этого, начинаем сканировать сетку, искать контроллеры и по крупицам составлять картину внутренней сети.
А дальше все зависит от качетсва сети заказчика (насколько у него все настроенно корректно и все гайки закручены-подкручены) и от нашего везения.
Но какую-то последовательность действий составить все-таки можно.
Сегодня делимся с вами очень-очень-очень крутым mindmap от Mayfly. Полезно всем, вне зависимости от количества исследованных AD.
В хорошем качестве mindmap можно найти тут - https://i.ibb.co/TKYNCNP/Pentest-ad.png
Заметки на полях: OSINT
Про OSINT знают все. А нужен ли он при проведении RedTeam?
Наш ответ - однозначно нужен!
Качественный OSINT решает сразу несколько задач:
1) находим все сетки и домены компании - чем больше периметр компании, тем больше шанс найти что-то интересное и давным-давно забытое. Ни одна киберпреступная группировка не будет все время пытаться взломать сайт компании, который находится на хостинге и постоянно обновляется, если на периметре есть старые приложения с кучей уязвимостей.
2) составление списка сотрудников компании для дальнейшего брута паролей. Тут принцип простой - чем больше найдено людей, тем больше вероятность, что при бруте подойдет какой-то словарный пароль
3) составление списка для фишинговых рассылок. В социальных сетях на данный момент уже есть абсолютно все. Мы живем в такое время, когда даже бабушки легко используют мессенджеры и скайпы. Поэтому изучение соц сетей важно для понимания возраста сотрудников, их интересов и круга общения.
4) можно найти веб-ресурсы, которые раскрывают информацию о компании. Например, о внутренних именах серверов и доменах
5) показываем заказчику сколько информации о компании и сотрудниках можно найти в открытом доступе. Чаще всего это прям вау-эффект - заказчик не ожидает, что информации настолько много.
У нас был интересный кейс, когда не могли составить список сотрудников, пока не наткнулись в инстаграме на одну общую фотографию с корпоратива, где hr писала пост благодарности всем за шикарный праздник и отметила большинство сотрудников. Перейти по ссылкам на их инстаграмы, понять какие ники используют и развить исследование дальше - не составило труда.
К чему это все? OSINT нужно и важно. И для развития в нем необходимо постоянно совершенствоваться, находить новый инструментарий, новые ресурсы и т.д.
Порекомендуем несколько полезностей, если тематика вам интересна:
https://www.youtube.com/watch?v=eLL6BPKvwlg&list=PLtgaAEEmVe6ByS5bH34HPGBPfbY70RwIY - отличная лекция от SANS с OSINT Summit 2020 (там в плейлисте есть еще 2 видео с саммита, тоже интересные)
https://www.youtube.com/playlist?list=PL423I_gHbWUUOs09899rex4t2l5py9YIk - плейлист с 10 минутными видео про инструментарий и небольшие кейсы. Очень удобный формат по времени, минимум воды. Но некоторые видео прям совсем для новичков.
https://osintcurio.us/ - создатели 10 минутных видео из ссылки выше. Интересные статьи и подкасты
https://osint-i1.thinkific.com/courses/osint-challenge - для тех, кто хочет себя проверить и приобрести опыт - неплохие задания, по типу ctfных. Требуется регистрация. Временные почты принимаются.
Про OSINT знают все. А нужен ли он при проведении RedTeam?
Наш ответ - однозначно нужен!
Качественный OSINT решает сразу несколько задач:
1) находим все сетки и домены компании - чем больше периметр компании, тем больше шанс найти что-то интересное и давным-давно забытое. Ни одна киберпреступная группировка не будет все время пытаться взломать сайт компании, который находится на хостинге и постоянно обновляется, если на периметре есть старые приложения с кучей уязвимостей.
2) составление списка сотрудников компании для дальнейшего брута паролей. Тут принцип простой - чем больше найдено людей, тем больше вероятность, что при бруте подойдет какой-то словарный пароль
3) составление списка для фишинговых рассылок. В социальных сетях на данный момент уже есть абсолютно все. Мы живем в такое время, когда даже бабушки легко используют мессенджеры и скайпы. Поэтому изучение соц сетей важно для понимания возраста сотрудников, их интересов и круга общения.
4) можно найти веб-ресурсы, которые раскрывают информацию о компании. Например, о внутренних именах серверов и доменах
5) показываем заказчику сколько информации о компании и сотрудниках можно найти в открытом доступе. Чаще всего это прям вау-эффект - заказчик не ожидает, что информации настолько много.
У нас был интересный кейс, когда не могли составить список сотрудников, пока не наткнулись в инстаграме на одну общую фотографию с корпоратива, где hr писала пост благодарности всем за шикарный праздник и отметила большинство сотрудников. Перейти по ссылкам на их инстаграмы, понять какие ники используют и развить исследование дальше - не составило труда.
К чему это все? OSINT нужно и важно. И для развития в нем необходимо постоянно совершенствоваться, находить новый инструментарий, новые ресурсы и т.д.
Порекомендуем несколько полезностей, если тематика вам интересна:
https://www.youtube.com/watch?v=eLL6BPKvwlg&list=PLtgaAEEmVe6ByS5bH34HPGBPfbY70RwIY - отличная лекция от SANS с OSINT Summit 2020 (там в плейлисте есть еще 2 видео с саммита, тоже интересные)
https://www.youtube.com/playlist?list=PL423I_gHbWUUOs09899rex4t2l5py9YIk - плейлист с 10 минутными видео про инструментарий и небольшие кейсы. Очень удобный формат по времени, минимум воды. Но некоторые видео прям совсем для новичков.
https://osintcurio.us/ - создатели 10 минутных видео из ссылки выше. Интересные статьи и подкасты
https://osint-i1.thinkific.com/courses/osint-challenge - для тех, кто хочет себя проверить и приобрести опыт - неплохие задания, по типу ctfных. Требуется регистрация. Временные почты принимаются.
YouTube
Weaponizing the Deep Web | SANS OSINT Summit 2020
There’s a lot of talk about data breaches but not much is discussed about where the data ends up and how it can be used for good. In this low-key talk, we’ll discuss where breach data ends up, how you can find copies of it, and most importantly, how you can…
Заметки на полях: второй фактор
Двухфакторная аутентификация — это стильно, модно, молодёжно и соответствует требованиям регуляторов. Чаще всего в качестве второго фактора используют одноразовый код, который приходит в смске. Но в мире все не идеально и очень часто встречаются какие-то недостатки и уязвимости.
Например, для доступа в личный кабинет какого-то веб-ресурса необходимо ввести второй фактор, который присылается смской и состоит из 4 цифр. Однако, при вводе кода выясняется, что код не истекает, а живет до момента, пока не будет выслан новый код и нет каких-то ограничений на количество попыток ввода кода. Таким образом, злоумышленнику остается просто перебрать 4 цифры и получить доступ за пару минут.
Делимся с вами небольшими советами о том, на какие недостатки можно проверить 2FA.
Двухфакторная аутентификация — это стильно, модно, молодёжно и соответствует требованиям регуляторов. Чаще всего в качестве второго фактора используют одноразовый код, который приходит в смске. Но в мире все не идеально и очень часто встречаются какие-то недостатки и уязвимости.
Например, для доступа в личный кабинет какого-то веб-ресурса необходимо ввести второй фактор, который присылается смской и состоит из 4 цифр. Однако, при вводе кода выясняется, что код не истекает, а живет до момента, пока не будет выслан новый код и нет каких-то ограничений на количество попыток ввода кода. Таким образом, злоумышленнику остается просто перебрать 4 цифры и получить доступ за пару минут.
Делимся с вами небольшими советами о том, на какие недостатки можно проверить 2FA.
Заметки на полях: Пароль от точки доступа
Ни для кого не секрет, что при подключении к Wi-Fi сети, пароль запрашивается только один раз - при первом подключении. После его корректного ввода - сразу сохраняется и клиент больше не вводит пароль для подключения к уже известной сети.
Это настолько естественно и обыденно, что подобные вещи мы не замечаем.
Сейчас у большинства организаций сеть для сотрудников идет не по шнурку, а по wi-fi. Это удобнее, но не всегда безопаснее.
Сегодня поделимся с вами небольшим кейсом о том, как использовать информацию о сохраненных паролях Wi-Fi сетей.
Предположим, что в ходе нашей RedTeam кампании мы смогли с помощью фишинга закинуть вредонос на компьютер одного из сотрудников компании. Одним из векторов для продолжения атаки - узнать пароль от Wi-Fi в офисе, приехать туда физически, подключиться по Wi-Fi к сети и дальше работать с внутренними ресурсами. Потому что наш вредонос может быть обнаружен в любой момент, и мы останемся ни с чем. Да, нам нужно физически приехать к офису заказчика и пытаться поймать Wi-Fi сеть. Возникнут трудности, если заказчик в другом городе. Но мы рассматриваем кейс, когда такая возможность есть.
Для того, чтобы узнать пароль от точки доступа нам необходимо:
1. получить список Wi-Fi сетей, к которым пользователь подключался
Для этого выполняем команду:
netsh wlan show profiles
В результате видим список Wi-Fi сетей, к которым пользователь подключался. Причем верхнее имя — это самое свежее по времени подключение.
2. Получаем информацию о пароле интересующей нас сети
netsh wlan show profile name=имя интересной нам сети key=clear
Пароль в открытом виде (см картинку)
3. Едем и подключаемся к сети)
Ни для кого не секрет, что при подключении к Wi-Fi сети, пароль запрашивается только один раз - при первом подключении. После его корректного ввода - сразу сохраняется и клиент больше не вводит пароль для подключения к уже известной сети.
Это настолько естественно и обыденно, что подобные вещи мы не замечаем.
Сейчас у большинства организаций сеть для сотрудников идет не по шнурку, а по wi-fi. Это удобнее, но не всегда безопаснее.
Сегодня поделимся с вами небольшим кейсом о том, как использовать информацию о сохраненных паролях Wi-Fi сетей.
Предположим, что в ходе нашей RedTeam кампании мы смогли с помощью фишинга закинуть вредонос на компьютер одного из сотрудников компании. Одним из векторов для продолжения атаки - узнать пароль от Wi-Fi в офисе, приехать туда физически, подключиться по Wi-Fi к сети и дальше работать с внутренними ресурсами. Потому что наш вредонос может быть обнаружен в любой момент, и мы останемся ни с чем. Да, нам нужно физически приехать к офису заказчика и пытаться поймать Wi-Fi сеть. Возникнут трудности, если заказчик в другом городе. Но мы рассматриваем кейс, когда такая возможность есть.
Для того, чтобы узнать пароль от точки доступа нам необходимо:
1. получить список Wi-Fi сетей, к которым пользователь подключался
Для этого выполняем команду:
netsh wlan show profiles
В результате видим список Wi-Fi сетей, к которым пользователь подключался. Причем верхнее имя — это самое свежее по времени подключение.
2. Получаем информацию о пароле интересующей нас сети
netsh wlan show profile name=имя интересной нам сети key=clear
Пароль в открытом виде (см картинку)
3. Едем и подключаемся к сети)
Заметки на полях: GitHub Dorks
При проведении OSINT особое внимание нужно обращать на GitHub. Почему?
Очень часто разработчики забывают или даже не задумываются над тем, что исходный код проекта перед публикацией следует почистить от данных, которые могут раскрыть чувствительную для компании информацию. Например, пароли, токены аутентификации, приватные ключи и т.д.
Показательны истории компаний DJI и DXC Technologies - случайная публикация ключей доступа aws в открытом репозитории привела к утечке данных и репутационным проблемам.
Сегодня делимся с вами списком dorks, который будет полезен как BlueTeam (для проверки ресурсов компании перед публикацией), так и RedTeam (для поиска чувствительной информации в уже опубликованных проектах)
https://github.com/obheda12/GitDorker/blob/master/Dorks/alldorks.txt
При проведении OSINT особое внимание нужно обращать на GitHub. Почему?
Очень часто разработчики забывают или даже не задумываются над тем, что исходный код проекта перед публикацией следует почистить от данных, которые могут раскрыть чувствительную для компании информацию. Например, пароли, токены аутентификации, приватные ключи и т.д.
Показательны истории компаний DJI и DXC Technologies - случайная публикация ключей доступа aws в открытом репозитории привела к утечке данных и репутационным проблемам.
Сегодня делимся с вами списком dorks, который будет полезен как BlueTeam (для проверки ресурсов компании перед публикацией), так и RedTeam (для поиска чувствительной информации в уже опубликованных проектах)
https://github.com/obheda12/GitDorker/blob/master/Dorks/alldorks.txt
Заметки на полях: Attack Samples
Чаще всего специалисты (как RedTeam, так и BlueTeam) понимают, что за атака произошла, какова ее цель, механизм атаки. Но нет понимания того, как данная атака отображается в журналах событий Windows.
Почему это важно? И для кого это нужно?
RedTeam нужно всегда понимать насколько их действия являются заметными, как на это могут среагировать средства защиты и продумывать какую информацию из журнала событий смогут получить BlueTeam специалисты. В свою очередь, BlueTeam должна понимать какие именно события говорят о возможных угрозах безопасности. Поскольку в журнал событий Windows записывается очень много информации - порой бывает сложно найти какие именно действия выполнял злоумышленник, если не знаешь, что искать.
Для того, чтобы знать, что искать - нужна какая-то практика. Хотя бы практика в изучении журналов событий при проведении атак различных видов.
Например, на картинке можно увидеть часть журнала событий Windows при эксплуатации CVE-2020-1030 (Windows Print Spooler Elevation of Privilege Vulnerability).
Можно самим проводить разного рода атаки, смотреть и изучать журналы событий. Но это трудозатратно в плане разворачивания лаборатории, поиска эксплойтов, инструментов и т.д.
Есть очень крутой, постоянно пополняемый репозиторий (https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES) от Samir (https://twitter.com/SBousseaden) с образцами самых популярных атак. Очень его вам рекомендуем - полезная вещь. Пригодится как BlueTeam, так и RedTeam.
Чаще всего специалисты (как RedTeam, так и BlueTeam) понимают, что за атака произошла, какова ее цель, механизм атаки. Но нет понимания того, как данная атака отображается в журналах событий Windows.
Почему это важно? И для кого это нужно?
RedTeam нужно всегда понимать насколько их действия являются заметными, как на это могут среагировать средства защиты и продумывать какую информацию из журнала событий смогут получить BlueTeam специалисты. В свою очередь, BlueTeam должна понимать какие именно события говорят о возможных угрозах безопасности. Поскольку в журнал событий Windows записывается очень много информации - порой бывает сложно найти какие именно действия выполнял злоумышленник, если не знаешь, что искать.
Для того, чтобы знать, что искать - нужна какая-то практика. Хотя бы практика в изучении журналов событий при проведении атак различных видов.
Например, на картинке можно увидеть часть журнала событий Windows при эксплуатации CVE-2020-1030 (Windows Print Spooler Elevation of Privilege Vulnerability).
Можно самим проводить разного рода атаки, смотреть и изучать журналы событий. Но это трудозатратно в плане разворачивания лаборатории, поиска эксплойтов, инструментов и т.д.
Есть очень крутой, постоянно пополняемый репозиторий (https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES) от Samir (https://twitter.com/SBousseaden) с образцами самых популярных атак. Очень его вам рекомендуем - полезная вещь. Пригодится как BlueTeam, так и RedTeam.
Cheat Sheets: Анализ вредоносных документов
Самая популярная и эффективная атака - рассылка фишинговых писем. В независимости от количества лекций и тренингов в компании - всегда найдется парочка человек, которые перейдут по ссылке или же откроют документ, присланный в фишинговом письме. Это человеческий фактор, о которого никуда не деться. Да и фишинговые письма давно уже перестали быть письмами богатого дядюшки из Зимбабве, который только и мечтает о том, чтобы оставить вам наследство.
Фишинговые кампании порой очень сложно раскусить - подобранные темы письма всегда актуальны, документы выглядят правдоподобно, стилистика безупречна. Одним из примеров таких животрепещущих тем - рассылки, связанные с Covid-19 - от предложений бесплатно сдать тест на коронавирус до рассылок документов с инструкциями об удаленной работе в офисе.
Делимся с вами небольшой шпаргалкой, которая поможет BlueTeam специалистам анализировать вредоносные документы. Это может сильно помочь в расследовании инцидента.
Самая популярная и эффективная атака - рассылка фишинговых писем. В независимости от количества лекций и тренингов в компании - всегда найдется парочка человек, которые перейдут по ссылке или же откроют документ, присланный в фишинговом письме. Это человеческий фактор, о которого никуда не деться. Да и фишинговые письма давно уже перестали быть письмами богатого дядюшки из Зимбабве, который только и мечтает о том, чтобы оставить вам наследство.
Фишинговые кампании порой очень сложно раскусить - подобранные темы письма всегда актуальны, документы выглядят правдоподобно, стилистика безупречна. Одним из примеров таких животрепещущих тем - рассылки, связанные с Covid-19 - от предложений бесплатно сдать тест на коронавирус до рассылок документов с инструкциями об удаленной работе в офисе.
Делимся с вами небольшой шпаргалкой, которая поможет BlueTeam специалистам анализировать вредоносные документы. Это может сильно помочь в расследовании инцидента.
Заметки на полях: Что посмотреть?
Окончание года - время, когда мы мечтаем, что с нового года начнем новую жизнь - успеем все, что не успели раньше, будем соблюдать режим, худеть, много читать... в общему каждый мечтает, что в новом году он будет более продвинутой версией себя. В новогодние каникулы особенно тянет посмотреть или прочитать то, что оставили в закладках "на потом, когда время будет".
Поэтому сегодня мы делимся с вами полезными видео с прошедших классных конференций 2020 года.
SANS Threat Hunting & Incident Response Summit 2020
Наличие даже самых продвинутых средств защиты не гарантирует на 100% безопасность компании. При целенаправленной атаке злоумышленник может обойти даже самые продвинутые системы безопасности. На саммите ведущие специалисты делятся методами и инструментами, которые можно использовать для успешного выявления, сдерживания и устранения злоумышленников, нацеленных на получение доступа к информации организации.
https://youtube.com/playlist?list=PLfouvuAjspTpESwgitHe8roa7XBOnemFa
The SANS Pen Test Hackfest Summit & Training
Основная ценность этого саммита - возможность получения практики - решение различных CTF тасков и проведение пентеста. Но лекции от спикеров также достаточно интересны и полезны.
https://youtube.com/playlist?list=PLdVJWiil7RxoW8rBeKc0flY8bRuD3M68L
SANS DFIR Summit 2020
Ежегодный саммит SANS по цифровой криминалистике и реагированию на инциденты. Все представленные видео - кладезь полезной информации для тех, кто хочет узнать о новейших инструментах судебной экспертизы с открытым исходным кодом, о методах и стратегиях, применяемых в расследованиях.
https://youtube.com/playlist?list=PLfouvuAjspTo4SbbY-ykIdD7MPFWaloSh
Blue Team Summit 2020
Саммит для BlueTeam с полезной информацией. Не очень много видео, но они достаточно интересные
https://youtube.com/playlist?list=PLs4eo9Tja8bjMyah8ZEOlG9sq4070b5_v
DEF CON Safe Mode Red Team Village
Must have для RedTeam специалистов
https://youtube.com/playlist?list=PL9fPq3eQfaaAjHEV1gvvUuaKDrzafx3I-
#HITBCyberWeek2020 - Main Track & Labs
Видео с HITBCyberWeek - ежегодного мероприятия по информационной безопасности, проводимого в ОАЭ (в этом году виртуально)
https://youtube.com/playlist?list=PLmv8T5-GONwR2RnH6nKJtpgxyt4NIMG4t
Окончание года - время, когда мы мечтаем, что с нового года начнем новую жизнь - успеем все, что не успели раньше, будем соблюдать режим, худеть, много читать... в общему каждый мечтает, что в новом году он будет более продвинутой версией себя. В новогодние каникулы особенно тянет посмотреть или прочитать то, что оставили в закладках "на потом, когда время будет".
Поэтому сегодня мы делимся с вами полезными видео с прошедших классных конференций 2020 года.
SANS Threat Hunting & Incident Response Summit 2020
Наличие даже самых продвинутых средств защиты не гарантирует на 100% безопасность компании. При целенаправленной атаке злоумышленник может обойти даже самые продвинутые системы безопасности. На саммите ведущие специалисты делятся методами и инструментами, которые можно использовать для успешного выявления, сдерживания и устранения злоумышленников, нацеленных на получение доступа к информации организации.
https://youtube.com/playlist?list=PLfouvuAjspTpESwgitHe8roa7XBOnemFa
The SANS Pen Test Hackfest Summit & Training
Основная ценность этого саммита - возможность получения практики - решение различных CTF тасков и проведение пентеста. Но лекции от спикеров также достаточно интересны и полезны.
https://youtube.com/playlist?list=PLdVJWiil7RxoW8rBeKc0flY8bRuD3M68L
SANS DFIR Summit 2020
Ежегодный саммит SANS по цифровой криминалистике и реагированию на инциденты. Все представленные видео - кладезь полезной информации для тех, кто хочет узнать о новейших инструментах судебной экспертизы с открытым исходным кодом, о методах и стратегиях, применяемых в расследованиях.
https://youtube.com/playlist?list=PLfouvuAjspTo4SbbY-ykIdD7MPFWaloSh
Blue Team Summit 2020
Саммит для BlueTeam с полезной информацией. Не очень много видео, но они достаточно интересные
https://youtube.com/playlist?list=PLs4eo9Tja8bjMyah8ZEOlG9sq4070b5_v
DEF CON Safe Mode Red Team Village
Must have для RedTeam специалистов
https://youtube.com/playlist?list=PL9fPq3eQfaaAjHEV1gvvUuaKDrzafx3I-
#HITBCyberWeek2020 - Main Track & Labs
Видео с HITBCyberWeek - ежегодного мероприятия по информационной безопасности, проводимого в ОАЭ (в этом году виртуально)
https://youtube.com/playlist?list=PLmv8T5-GONwR2RnH6nKJtpgxyt4NIMG4t
Дорогие друзья, коллеги, единомышленники!
Команда [MIS]Team поздравляет вас с наступающим Новым годом!
Желаем вам в 2021 году здоровья, профессионального роста и душевной гармонии!
Спасибо вам за то, что читаете, репостите, рекомендуете наш канал!
И по традиции небольшой комикс про Little Bobby)
Счастливого Нового года!
Ваши [MIS]Team
Команда [MIS]Team поздравляет вас с наступающим Новым годом!
Желаем вам в 2021 году здоровья, профессионального роста и душевной гармонии!
Спасибо вам за то, что читаете, репостите, рекомендуете наш канал!
И по традиции небольшой комикс про Little Bobby)
Счастливого Нового года!
Ваши [MIS]Team
Заметки на полях: Пентест ELK
ELK - один из самых популярных стеков технологий. В очень многих компаниях используется связка Elasticsearch-Kibana-Logstash, в которой порой хранится очень интересная и важная информация (чаще всего это логи с различных систем). И очень часто при RedTeam эти логи могут помочь - доменные имена, ip-адреса, имена пользователей, какая-то информация, которая может косвенно помочь - все это мы встречали в своей практике в ELK разных компаний.
Речь идет к тому, что если вы встретили ELK - его надо тоже как-то проверить, "пропентестить" и указать Заказчику на недостатки.
Опубликовали небольшой рассказ о том, на что стоит обратить внимание, если столкнулись с elk и что полезного оттуда можно достать.
Надеемся, что информация будет полезной!
https://misteam.medium.com/%D0%BF%D0%B5%D0%BD%D1%82%D0%B5%D1%81%D1%82-elk-250eb4806fab
ELK - один из самых популярных стеков технологий. В очень многих компаниях используется связка Elasticsearch-Kibana-Logstash, в которой порой хранится очень интересная и важная информация (чаще всего это логи с различных систем). И очень часто при RedTeam эти логи могут помочь - доменные имена, ip-адреса, имена пользователей, какая-то информация, которая может косвенно помочь - все это мы встречали в своей практике в ELK разных компаний.
Речь идет к тому, что если вы встретили ELK - его надо тоже как-то проверить, "пропентестить" и указать Заказчику на недостатки.
Опубликовали небольшой рассказ о том, на что стоит обратить внимание, если столкнулись с elk и что полезного оттуда можно достать.
Надеемся, что информация будет полезной!
https://misteam.medium.com/%D0%BF%D0%B5%D0%BD%D1%82%D0%B5%D1%81%D1%82-elk-250eb4806fab
Medium
Пентест ELK
ELK — один из самых популярных стеков технологий. В очень многих компаниях используется связка Elasticsearch-Kibana-Logstash, в которой…
Заметки на полях: Recon Mindmap
Каждый раз, когда начинаем новую RedTeam кампанию, возникает небольшое чувство прострации - ты знаешь кучу инструментов, которые могут помочь тебе найти домены, ip-адреса, людей, почтовые ящики, пароли, социальные сети и т.д. Но с чего начать? В какой последовательности все применять, чтобы не запутаться в этом объеме информации, которой порой очень-очень много и она, конечно же, дублируется и не вся является актуальной?
Сегодня мы делимся с вами своим опытом и чудесным mindmap от @slashcrypto. По ссылке ниже вы найдете mindmap в хорошем качестве и описание каждого этапа.
Как работаем мы. Основная наша задача - найти домены и подсети, которые принадлежат сегменту сети компании. Т.е. нас в первую очередь интересуют не хостеры, а, грубо говоря, купленные внешние IP-адреса или сегменты сети. Хостинги, облачные провайдеры, добавляются в отдельный список, который прорабатывается позднее.
1.Мы находим основной домен компании. Чаще всего он либо закрыт какой-нибудь CDN, либо находится на хостинге - т.е. нам надо собирать поддомены для того, чтобы найти подсети компании
2. Ищем поддомены и другие связанные с компанией домены (пул инструментария у каждого свой, удобный конкретно ему, поэтому примеры приводить не будем. Про osint у нас был в свое время пост https://t.iss.one/mis_team/180). Главное, что должно быть после данного этапа - список доменов (и поддоменов конечно) с IP-адресами.
3.Далее происходит анализ полученного списка (да, иногда он может быть просто огромным. Тут у каждой команды свои методы обработки. Мы используем аналитическую систему "Лавр", разработанную нашей компанией). Разбиваем полученный список на подсети по диапазонам. Например, если у нас есть IP-адреса 81.81.81.37 и 81.81.81.137 - мы их относим к одному диапазону. (Цифры в примере взяты из головы).
Если вдруг у нас попались внутренние IP-адреса (да, такое тоже бывает) - их выделяем в отдельный список - они нам пригодятся в дальнейшем. После того как мы получим доступ во внутреннюю сеть - в первую очередь на доступность проверяются этот список.
4. Дальше все диапазоны проверяются на принадлежность компании. И составляется несколько списков - подсети, которые принадлежат непосредственно компании и список хостов, которые находятся в облаке. Часто из пары IP-адресов мы выходим на целые подсети.
5. В первую очередь работа идет со списком, который принадлежит компании. Тут все зависит от масштабов компании, но, по нашему опыту, RedTeam заказывают крупные компании, у которых достаточно большой пул внешних IP-адресов. Как мы работаем с этим списком? Дальше нам необходимо разделить адреса внутри каждого сегмента - выделить веб-приложения в отдельный список и составить список с другими открытыми портами (ssh, telnet и т.д.). Почему нельзя было выделить веб-приложения раньше, когда составляли список доменов? Потому что не у всех веб-приложений в сети есть домен, либо мы его не нашли по словарю (встречаются домены 4, а иногда и 5 уровня, некоторые из них найти действительно сложно).
6. Дальше по веб-приложениям запускается фаззинг, находятся все формы, которые можно побрутить, запускается скан на наличие уязвимостей.
7. Список с не веб-портами чаще всего отдается сетевому сканеру на быстрый скан на наличие уязвимостей. Дальше будет уже работа с результатами этого скана - где-то требуется ручная, более глубокая проработка, а где-то нет никакого смысла смотреть вручную.
8. Список хостов, которые находятся в облаке также обрабатывается на предмет того, к какому облаку относится и происходит тестирование облачного сервиса - об инструменте для пентеста облачных сервисов у нас также был отдельный пост -
https://t.iss.one/mis_team/167
Это основные этапы, которые мы делаем. Дальше сценарии могут развиваться в зависимости от того, где и какая уязвимость была найдена. Чаще всего бывает, что есть сразу несколько векторов развития дальнейшей атаки, которые надо отработать.
Мы поделились своим опытом. Делимся еще ссылкой (https://www.offensity.com/de/blog/just-another-recon-guide-pentesters-and-bug-bounty-hunters/), как и обещали.
Каждый раз, когда начинаем новую RedTeam кампанию, возникает небольшое чувство прострации - ты знаешь кучу инструментов, которые могут помочь тебе найти домены, ip-адреса, людей, почтовые ящики, пароли, социальные сети и т.д. Но с чего начать? В какой последовательности все применять, чтобы не запутаться в этом объеме информации, которой порой очень-очень много и она, конечно же, дублируется и не вся является актуальной?
Сегодня мы делимся с вами своим опытом и чудесным mindmap от @slashcrypto. По ссылке ниже вы найдете mindmap в хорошем качестве и описание каждого этапа.
Как работаем мы. Основная наша задача - найти домены и подсети, которые принадлежат сегменту сети компании. Т.е. нас в первую очередь интересуют не хостеры, а, грубо говоря, купленные внешние IP-адреса или сегменты сети. Хостинги, облачные провайдеры, добавляются в отдельный список, который прорабатывается позднее.
1.Мы находим основной домен компании. Чаще всего он либо закрыт какой-нибудь CDN, либо находится на хостинге - т.е. нам надо собирать поддомены для того, чтобы найти подсети компании
2. Ищем поддомены и другие связанные с компанией домены (пул инструментария у каждого свой, удобный конкретно ему, поэтому примеры приводить не будем. Про osint у нас был в свое время пост https://t.iss.one/mis_team/180). Главное, что должно быть после данного этапа - список доменов (и поддоменов конечно) с IP-адресами.
3.Далее происходит анализ полученного списка (да, иногда он может быть просто огромным. Тут у каждой команды свои методы обработки. Мы используем аналитическую систему "Лавр", разработанную нашей компанией). Разбиваем полученный список на подсети по диапазонам. Например, если у нас есть IP-адреса 81.81.81.37 и 81.81.81.137 - мы их относим к одному диапазону. (Цифры в примере взяты из головы).
Если вдруг у нас попались внутренние IP-адреса (да, такое тоже бывает) - их выделяем в отдельный список - они нам пригодятся в дальнейшем. После того как мы получим доступ во внутреннюю сеть - в первую очередь на доступность проверяются этот список.
4. Дальше все диапазоны проверяются на принадлежность компании. И составляется несколько списков - подсети, которые принадлежат непосредственно компании и список хостов, которые находятся в облаке. Часто из пары IP-адресов мы выходим на целые подсети.
5. В первую очередь работа идет со списком, который принадлежит компании. Тут все зависит от масштабов компании, но, по нашему опыту, RedTeam заказывают крупные компании, у которых достаточно большой пул внешних IP-адресов. Как мы работаем с этим списком? Дальше нам необходимо разделить адреса внутри каждого сегмента - выделить веб-приложения в отдельный список и составить список с другими открытыми портами (ssh, telnet и т.д.). Почему нельзя было выделить веб-приложения раньше, когда составляли список доменов? Потому что не у всех веб-приложений в сети есть домен, либо мы его не нашли по словарю (встречаются домены 4, а иногда и 5 уровня, некоторые из них найти действительно сложно).
6. Дальше по веб-приложениям запускается фаззинг, находятся все формы, которые можно побрутить, запускается скан на наличие уязвимостей.
7. Список с не веб-портами чаще всего отдается сетевому сканеру на быстрый скан на наличие уязвимостей. Дальше будет уже работа с результатами этого скана - где-то требуется ручная, более глубокая проработка, а где-то нет никакого смысла смотреть вручную.
8. Список хостов, которые находятся в облаке также обрабатывается на предмет того, к какому облаку относится и происходит тестирование облачного сервиса - об инструменте для пентеста облачных сервисов у нас также был отдельный пост -
https://t.iss.one/mis_team/167
Это основные этапы, которые мы делаем. Дальше сценарии могут развиваться в зависимости от того, где и какая уязвимость была найдена. Чаще всего бывает, что есть сразу несколько векторов развития дальнейшей атаки, которые надо отработать.
Мы поделились своим опытом. Делимся еще ссылкой (https://www.offensity.com/de/blog/just-another-recon-guide-pentesters-and-bug-bounty-hunters/), как и обещали.
Заметки на полях: Bronze Bit
Вы уже наверняка слышали об уязвимости Bronze Bit (CVE-2020-17049). В ноябре-декабре про нее рассказывали все паблики. Однако, как выяснилось, не все про нее знаю. Также не все знают, что Microsoft предусмотрел серию патчей, и следующий шаг - в марте. Коротко расскажем про Bronze Bit.
В чем суть уязвимости:
Данная уязвимость - одна из разновидностей, популярной в 2019 году, проблемы делегирования. Только тут немного по-другому. Злоумышленник может выдавать себя за пользователя, которому запрещено делегировать полномочия.
Как это работает:
1. Злоумышленнику необходимо получить хеш пароля учетной записи службы, которая имеет ограниченное делегирование. Пусть это будет СервисА. Понять, где есть ограниченное делегирование можно по параметру msDS-AllowedToDelegateTo - оно не должно быть нулевым.
Пусть служба, к которой имеется ограниченное делегирование будет СервисВ
2. Злоумышленник использует эксплойт и СервисА получает билет для СервисВ
3. Злоумышленник выдает себя за целевого пользователя СервисВ, предоставляет билет и может работать с Сервис2
Зачем сейчас проверять наличие уязвимости, если патч выпущен?
Полный спектр патчей еще не выпущен. Однако, очень важно при пентесте или RedTeam проверить, что у Заказчика стоит первый ручной патч. Потому что болезнь очень многих компаний - забывать про патчи, не читать новости. А с тем, что первый патч в ноябре вызывал проблемы на контроллере домена, которые в дальнейшем Microsoft исправила. Но человеческий фактор и в Африке человеческий фактор - многие могут потом забыть или забить на установку патча или просто побояться, что возникнет сбой, которой просто парализует работу объекта и системный администратор получит выговор. В общем суть такая, что иногда страх перед тем, что все сломается из-за патча гораздо больше, чем страх перед непонятной уязвимостью.
Поэтому очень важно проверить и лишний раз напомнить Заказчику о том, что критически важные патчи надо отслеживать и указать это письменно, в отчетике (как говорится "без бумажки не будет толку")
Что с эксплойтом:
На данный момент в Impacket (https://github.com/SecureAuthCorp/impacket) добавлен функционал для проверки возможности проведения атаки Bronze Bit
Таймлайн выпуска патчей можно найти тут: https://support.microsoft.com/en-us/topic/managing-deployment-of-kerberos-s4u-changes-for-cve-2020-17049-569d60b7-3267-e2b0-7d9b-e46d770332ab
Для тех, кому лень читать:
1 этап патча - 8 декабря 2020 года
2 этап патча - 9 марта 2021 года
3 этап патча (невозможен без 1 этапа) - 11 мая 2021 года
Вы уже наверняка слышали об уязвимости Bronze Bit (CVE-2020-17049). В ноябре-декабре про нее рассказывали все паблики. Однако, как выяснилось, не все про нее знаю. Также не все знают, что Microsoft предусмотрел серию патчей, и следующий шаг - в марте. Коротко расскажем про Bronze Bit.
В чем суть уязвимости:
Данная уязвимость - одна из разновидностей, популярной в 2019 году, проблемы делегирования. Только тут немного по-другому. Злоумышленник может выдавать себя за пользователя, которому запрещено делегировать полномочия.
Как это работает:
1. Злоумышленнику необходимо получить хеш пароля учетной записи службы, которая имеет ограниченное делегирование. Пусть это будет СервисА. Понять, где есть ограниченное делегирование можно по параметру msDS-AllowedToDelegateTo - оно не должно быть нулевым.
Пусть служба, к которой имеется ограниченное делегирование будет СервисВ
2. Злоумышленник использует эксплойт и СервисА получает билет для СервисВ
3. Злоумышленник выдает себя за целевого пользователя СервисВ, предоставляет билет и может работать с Сервис2
Зачем сейчас проверять наличие уязвимости, если патч выпущен?
Полный спектр патчей еще не выпущен. Однако, очень важно при пентесте или RedTeam проверить, что у Заказчика стоит первый ручной патч. Потому что болезнь очень многих компаний - забывать про патчи, не читать новости. А с тем, что первый патч в ноябре вызывал проблемы на контроллере домена, которые в дальнейшем Microsoft исправила. Но человеческий фактор и в Африке человеческий фактор - многие могут потом забыть или забить на установку патча или просто побояться, что возникнет сбой, которой просто парализует работу объекта и системный администратор получит выговор. В общем суть такая, что иногда страх перед тем, что все сломается из-за патча гораздо больше, чем страх перед непонятной уязвимостью.
Поэтому очень важно проверить и лишний раз напомнить Заказчику о том, что критически важные патчи надо отслеживать и указать это письменно, в отчетике (как говорится "без бумажки не будет толку")
Что с эксплойтом:
На данный момент в Impacket (https://github.com/SecureAuthCorp/impacket) добавлен функционал для проверки возможности проведения атаки Bronze Bit
Таймлайн выпуска патчей можно найти тут: https://support.microsoft.com/en-us/topic/managing-deployment-of-kerberos-s4u-changes-for-cve-2020-17049-569d60b7-3267-e2b0-7d9b-e46d770332ab
Для тех, кому лень читать:
1 этап патча - 8 декабря 2020 года
2 этап патча - 9 марта 2021 года
3 этап патча (невозможен без 1 этапа) - 11 мая 2021 года
GitHub
GitHub - fortra/impacket: Impacket is a collection of Python classes for working with network protocols.
Impacket is a collection of Python classes for working with network protocols. - fortra/impacket
Заметки на полях: PowerShell для пентестера. Часть 1
Сегодня мы начинаем 5-дневный марафон, на котором расскажем про Microsoft PowerShell модули и коллекции PowerShell модулей, полезных для пентестера или RedTeam специалиста.
Короткие заметки с основной сутью модуля, где скачать и, возможно, интересные и полезные статьи.
Итак, первая, самая популярная коллекция PowerSploit (https://github.com/PowerShellMafia/PowerSploit).
PowerSploit - коллекция различных PowerShell модулей, которые могут быть полезны на разных этапах пентеста - от рекона до закрепления.
К сожалению, с августа 2020 года проект перестал поддерживаться (т.е. скрипты и документация больше не обновляются).
Хорошая статья про то как можно детектировать различные модули PowerShell из PowerSploit: https://neil-fox.github.io/PowerSploit-usage-&-detection/
Сегодня мы начинаем 5-дневный марафон, на котором расскажем про Microsoft PowerShell модули и коллекции PowerShell модулей, полезных для пентестера или RedTeam специалиста.
Короткие заметки с основной сутью модуля, где скачать и, возможно, интересные и полезные статьи.
Итак, первая, самая популярная коллекция PowerSploit (https://github.com/PowerShellMafia/PowerSploit).
PowerSploit - коллекция различных PowerShell модулей, которые могут быть полезны на разных этапах пентеста - от рекона до закрепления.
К сожалению, с августа 2020 года проект перестал поддерживаться (т.е. скрипты и документация больше не обновляются).
Хорошая статья про то как можно детектировать различные модули PowerShell из PowerSploit: https://neil-fox.github.io/PowerSploit-usage-&-detection/
GitHub
GitHub - PowerShellMafia/PowerSploit: PowerSploit - A PowerShell Post-Exploitation Framework
PowerSploit - A PowerShell Post-Exploitation Framework - PowerShellMafia/PowerSploit
Заметки на полях: PowerShell для пентестера. Часть 2
Еще один из интересных и полезных командлетов - Az.
Az - официальный модуль от Microsoft, позволяющий работать в Azure PowerShell с помощью PowerShell.
А как же этот модуль поможет для пентеста?
Когда-то мы писали пост (https://t.iss.one/mis_team/149), в котором рассказывали, как можно использовать токен доступа Azure. Для всех манипуляций с токеном использовали командлет Az.
Также на основе Az работает платформа для исследования Azure - PowerZure (https://github.com/hausec/PowerZure)
Подробнее про PowerZure можно почитать тут - https://posts.specterops.io/attacking-azure-azure-ad-and-introducing-powerzure-ca70b330511a
Еще один из интересных и полезных командлетов - Az.
Az - официальный модуль от Microsoft, позволяющий работать в Azure PowerShell с помощью PowerShell.
А как же этот модуль поможет для пентеста?
Когда-то мы писали пост (https://t.iss.one/mis_team/149), в котором рассказывали, как можно использовать токен доступа Azure. Для всех манипуляций с токеном использовали командлет Az.
Также на основе Az работает платформа для исследования Azure - PowerZure (https://github.com/hausec/PowerZure)
Подробнее про PowerZure можно почитать тут - https://posts.specterops.io/attacking-azure-azure-ad-and-introducing-powerzure-ca70b330511a
Telegram
[MIS]ter & [MIS]sis Team
Забираем ажурный токен доступа
Рассмотрим пример, когда мы получили доступ к рабочей станции пользователя, который является администратором Azure. Для более быстрой и комфортной работы администраторы используют Powershell Az для администрирования Azure …
Рассмотрим пример, когда мы получили доступ к рабочей станции пользователя, который является администратором Azure. Для более быстрой и комфортной работы администраторы используют Powershell Az для администрирования Azure …
Заметки на полях: PowerShell для пентестера. Часть 3
Сегодня поговорим про модуль DSInternals (https://github.com/MichaelGrafnetter/DSInternals)
Командлеты модуля позволяют работать с файлом ntds.dit в онлайн и оффлайн режиме. Чаще всего этот модуль используется системными администраторами для выявления пользователей, у которых пароль словарный, пустой или никогда не истекает.
Но для пентестера или RedTeam специалиста это тоже очень важно. Найти все учетные записи, у которых одинаковый несложный пароль или тех пользователей, у которых стоит Password Never Expires - совершенно реальные кейсы из жизни пентестера. Также модуль предоставляет возможно получить бэкапные ключи DPAPI.
Для тех, кому интересно почитать - https://www.dsinternals.com/en/ - блог про разные фишечки DSInternals
Сегодня поговорим про модуль DSInternals (https://github.com/MichaelGrafnetter/DSInternals)
Командлеты модуля позволяют работать с файлом ntds.dit в онлайн и оффлайн режиме. Чаще всего этот модуль используется системными администраторами для выявления пользователей, у которых пароль словарный, пустой или никогда не истекает.
Но для пентестера или RedTeam специалиста это тоже очень важно. Найти все учетные записи, у которых одинаковый несложный пароль или тех пользователей, у которых стоит Password Never Expires - совершенно реальные кейсы из жизни пентестера. Также модуль предоставляет возможно получить бэкапные ключи DPAPI.
Для тех, кому интересно почитать - https://www.dsinternals.com/en/ - блог про разные фишечки DSInternals
GitHub
GitHub - MichaelGrafnetter/DSInternals: Directory Services Internals (DSInternals) PowerShell Module and Framework
Directory Services Internals (DSInternals) PowerShell Module and Framework - MichaelGrafnetter/DSInternals
Заметки на полях: PowerShell для пентестера. Часть 4
Нельзя было упустить из виду один из самых популярных и полезных фреймворков, который используют многие пентестеры - Nishang (https://github.com/samratashok/nishang)
Фреймворк представляет собой набор скриптов и полезных нагрузок на PowerShell. Тут и добавить нечего на самом деле.
Да, все детектируется активно. Поэтому применять надо с умом. Но каждый, уважающий себя пентестер, должен знать о существовании данного набора скриптов
Нельзя было упустить из виду один из самых популярных и полезных фреймворков, который используют многие пентестеры - Nishang (https://github.com/samratashok/nishang)
Фреймворк представляет собой набор скриптов и полезных нагрузок на PowerShell. Тут и добавить нечего на самом деле.
Да, все детектируется активно. Поэтому применять надо с умом. Но каждый, уважающий себя пентестер, должен знать о существовании данного набора скриптов
GitHub
GitHub - samratashok/nishang: Nishang - Offensive PowerShell for red team, penetration testing and offensive security.
Nishang - Offensive PowerShell for red team, penetration testing and offensive security. - GitHub - samratashok/nishang: Nishang - Offensive PowerShell for red team, penetration testing and offens...
Заметки на полях: PowerShell для пентестера. Часть 5
Сегодня рассказ немного необычный. Рассказываем про известный модуль - PSReadline.
Все команды, введенные в PowerShell хранятся открытым текстом в профиле пользователя по пути \AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt. Там можно встретить команды, которые выполнялись на компьютере пользователя и иногда даже какие-то пароли. Для RedTeam специалиста это может быть полезно.
Также хороший специалист подумает о том, что его PowerShell действия тоже логируются и с этим надо что-то сделать, чтобы не предоставить BlueTeam информацию в открытом виде. Вариантов не очень много - либо поменять пусть к файлу, в котором хранится история, либо использовать флаг - не записывать в историю.
Ссылочка на официальную документацию с флагами: https://docs.microsoft.com/en-us/powershell/module/psreadline/set-psreadlineoption?view=powershell-7.1&viewFallbackFrom=powershell-6
Если кому интересно почитать: https://www.windowsmanagementexperts.com/the-danger-of-default-settings-the-psreadline-module/the-danger-of-default-settings-the-psreadline-module.htm
Сегодня рассказ немного необычный. Рассказываем про известный модуль - PSReadline.
Все команды, введенные в PowerShell хранятся открытым текстом в профиле пользователя по пути \AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt. Там можно встретить команды, которые выполнялись на компьютере пользователя и иногда даже какие-то пароли. Для RedTeam специалиста это может быть полезно.
Также хороший специалист подумает о том, что его PowerShell действия тоже логируются и с этим надо что-то сделать, чтобы не предоставить BlueTeam информацию в открытом виде. Вариантов не очень много - либо поменять пусть к файлу, в котором хранится история, либо использовать флаг - не записывать в историю.
Ссылочка на официальную документацию с флагами: https://docs.microsoft.com/en-us/powershell/module/psreadline/set-psreadlineoption?view=powershell-7.1&viewFallbackFrom=powershell-6
Если кому интересно почитать: https://www.windowsmanagementexperts.com/the-danger-of-default-settings-the-psreadline-module/the-danger-of-default-settings-the-psreadline-module.htm
Docs
Set-PSReadLineOption (PSReadLine) - PowerShell
The Set-PSReadLineOption cmdlet customizes the behavior of the PSReadLine module when you're editing the command line. To view the PSReadLine settings, use Get-PSReadLineOption. The options set by this command only apply to the current session. To persist…
Заметки на полях: пентест мобильных приложений
В современном мире мобильные приложения распространяются с бешеной скоростью. Создатели продуктов в первую очередь думают не о создании сайта, а о создании приложения, которое позволит быстрее зайти на рынок. А приложения, увы, не всегда пишутся качественно, а при этом обрабатывают большое количество чувствительной информации и являются слабым звеном в безопасности инфраструктуры Заказчика.
Поэтому при проведении аудита информационной безопасности - необходимо смотреть не только внешние ресурсы, но и мобильные приложения.
Сегодня хотим поделиться с вами полезными ссылками для проведения пентеста Android приложений
https://github.com/Ignitetechnologies/Android-Penetration-Testing - полезные статьи для начинающих, в которых по шагам описано, что нужно сделать для того, чтобы посмотреть Android приложение
https://github.com/jdonsec/AllThingsAndroid - шикарный репозиторий с различными статьями и видео по пентесту Android приложений
https://github.com/tanprathan/MobileApp-Pentest-Cheatsheet - хорошие подсказки по исследованию приложений не только под Android, но и под iOS. Не можем не поделиться - информация действительно полезная и хорошо структурированная
В современном мире мобильные приложения распространяются с бешеной скоростью. Создатели продуктов в первую очередь думают не о создании сайта, а о создании приложения, которое позволит быстрее зайти на рынок. А приложения, увы, не всегда пишутся качественно, а при этом обрабатывают большое количество чувствительной информации и являются слабым звеном в безопасности инфраструктуры Заказчика.
Поэтому при проведении аудита информационной безопасности - необходимо смотреть не только внешние ресурсы, но и мобильные приложения.
Сегодня хотим поделиться с вами полезными ссылками для проведения пентеста Android приложений
https://github.com/Ignitetechnologies/Android-Penetration-Testing - полезные статьи для начинающих, в которых по шагам описано, что нужно сделать для того, чтобы посмотреть Android приложение
https://github.com/jdonsec/AllThingsAndroid - шикарный репозиторий с различными статьями и видео по пентесту Android приложений
https://github.com/tanprathan/MobileApp-Pentest-Cheatsheet - хорошие подсказки по исследованию приложений не только под Android, но и под iOS. Не можем не поделиться - информация действительно полезная и хорошо структурированная
GitHub
GitHub - Ignitetechnologies/Android-Penetration-Testing
Contribute to Ignitetechnologies/Android-Penetration-Testing development by creating an account on GitHub.
Заметки на полях: немного о внутренних процессах Windows
И для хорошего специалиста важно не только уметь запускать различные утилиты, но и понимать принцип их работы. А чтобы понять принцип работы утилиты - необходимо понимать процессы, на которые направлены эти утилиты.
Один из основных вопросов для понимания работы ОС Windows "Что происходит, когда пользователь вводит свой пароль при загрузке ОС Windows?"
Давайте разберемся.
Вариантов аутентификации пользователя несколько:
1. доменная аутентификация
2. локальная аутентификация
Рассмотрим вариант локальной аутентификации:
1. Пользователь вводит пароль. Или не только пароль. Пользователь может войти с помощью сертификата, смарт-карты или отпечатка пальца. Принцип похож. Поэтому для простоты будем разбирать на примере ввода пароля.
2. Пароль преобразуется в нужный вид для ОС и происходит RPC (Remote Procedure Call) вызов к LSA (Local Security Authority)
3. LSA обращается к DLL модулям, выполняющим проверки аутентификации. Для входа на локальный компьютер - это модуль MSV1_0.
4. Модуль MSV1_0 получает данные, которые ввел пользователь и отправляет запрос в SAM.
5. Полученные данные из SAM сравниваются с теми, которые поступили и если они совпадают - модуль говорит LSA, что пользователь вошел в систему
Доменная аутентификация с помощью Kerberos:
1. Пользователь вводит свой доменный пароль на доменный компьютер
2. Для того, чтобы пользователь мог зайти на компьютер, даже в случае недоступности контроллера домена - в LSA хранятся кэшированные данные пользователя
3. Таким образом MSV1_0 может проверить подлинность данных пользователя
4. Затем Kerberos отправляет запрос AS-REQ в Active Directory и получает TGT
5. Этот TGT кэшируется в памяти, но не сохраняется в SAM
Если вы хотите глубже разобраться в теме внутренних процессов при аутентификации в Windows - очень рекомендуем видео - https://syfuhs.net/ops108-windows-authentication-internals-in-a-hybrid-world - просто, понятно, интересно. Кстати, там рассматриваются и другие способы входа - через Windows Hello, FIDO и Azure AD
И для хорошего специалиста важно не только уметь запускать различные утилиты, но и понимать принцип их работы. А чтобы понять принцип работы утилиты - необходимо понимать процессы, на которые направлены эти утилиты.
Один из основных вопросов для понимания работы ОС Windows "Что происходит, когда пользователь вводит свой пароль при загрузке ОС Windows?"
Давайте разберемся.
Вариантов аутентификации пользователя несколько:
1. доменная аутентификация
2. локальная аутентификация
Рассмотрим вариант локальной аутентификации:
1. Пользователь вводит пароль. Или не только пароль. Пользователь может войти с помощью сертификата, смарт-карты или отпечатка пальца. Принцип похож. Поэтому для простоты будем разбирать на примере ввода пароля.
2. Пароль преобразуется в нужный вид для ОС и происходит RPC (Remote Procedure Call) вызов к LSA (Local Security Authority)
3. LSA обращается к DLL модулям, выполняющим проверки аутентификации. Для входа на локальный компьютер - это модуль MSV1_0.
4. Модуль MSV1_0 получает данные, которые ввел пользователь и отправляет запрос в SAM.
5. Полученные данные из SAM сравниваются с теми, которые поступили и если они совпадают - модуль говорит LSA, что пользователь вошел в систему
Доменная аутентификация с помощью Kerberos:
1. Пользователь вводит свой доменный пароль на доменный компьютер
2. Для того, чтобы пользователь мог зайти на компьютер, даже в случае недоступности контроллера домена - в LSA хранятся кэшированные данные пользователя
3. Таким образом MSV1_0 может проверить подлинность данных пользователя
4. Затем Kerberos отправляет запрос AS-REQ в Active Directory и получает TGT
5. Этот TGT кэшируется в памяти, но не сохраняется в SAM
Если вы хотите глубже разобраться в теме внутренних процессов при аутентификации в Windows - очень рекомендуем видео - https://syfuhs.net/ops108-windows-authentication-internals-in-a-hybrid-world - просто, понятно, интересно. Кстати, там рассматриваются и другие способы входа - через Windows Hello, FIDO и Azure AD
