Горячие разбор от горячей CVE-2018-8495
Настолько горячей, что ещё cvss для нее не посчитан
https://leucosite.com/Microsoft-Edge-RCE/
Настолько горячей, что ещё cvss для нее не посчитан
https://leucosite.com/Microsoft-Edge-RCE/
Leucosite
Edge RCE
(CVE-2018-8495) Chaining small bugs together to achieve RCE
"Дело не во мне, дело в тебе, ты больше чем просто администратор DNS"
А вы уверены, что ваш DNSAdmin не наделен бОльшими правами и обязанностями, чем надо?
https://adsecurity.org/?p=4064/
А вы уверены, что ваш DNSAdmin не наделен бОльшими правами и обязанностями, чем надо?
https://adsecurity.org/?p=4064/
Active Directory Security
From DNSAdmins to Domain Admin, When DNSAdmins is More than Just DNS Administration
It's been almost 1.5 years since the Medium post by Shay Ber was published that explained how to execute a DLL as SYSTEM on a Domain Controller provided the account is a member of DNSAdmins. I finally got around to posting here since many I speak with aren't…
Кстати, если вам нравятся наши посты - можете рекомендовать наш канал своим друзьям и всем заинтересованным)
Мы совершенно не против)
Мы совершенно не против)
Интересная статья как можно похулиганить в AD
https://www.labofapenetrationtester.com/2018/10/deploy-deception.html?m=1
https://www.labofapenetrationtester.com/2018/10/deploy-deception.html?m=1
Labofapenetrationtester
Forging Trusts for Deception in Active Directory
Home of Nikhil SamratAshok Mittal. Posts about Red Teaming, Offensive PowerShell, Active Directory and Pen Testing.
О том как cisco распознает вредоносный трафик без его расшифровки
#blueteam
https://blogs.cisco.com/security/detecting-encrypted-malware-traffic-without-decryption
#blueteam
https://blogs.cisco.com/security/detecting-encrypted-malware-traffic-without-decryption
Cisco Blogs
Detecting Encrypted Malware Traffic (Without Decryption)
Identifying threats within encrypted network traffic poses a unique set of challenges, i.e. monitoring traffic for threats and malware, but how to do so while maintaining the privacy of the user.
AlienVault рассказывают о том как они детектируют empire.
Интересно для понимания какие процессы вызывают подозрения
#redteam
https://www.alienvault.com/blogs/labs-research/detecting-empire-with-usm-anywhere
Интересно для понимания какие процессы вызывают подозрения
#redteam
https://www.alienvault.com/blogs/labs-research/detecting-empire-with-usm-anywhere
AT&T Cybersecurity
Detecting Empire with USM Anywhere
Empire is an open source post-exploitation framework that acts as a capable backdoor on infected systems. It provides a management platform for infected machines. Empire can deploy PowerShell and Python agents to infect both Windows and Linux systems.
Empire…
Empire…
Мы тоже не можем пройти мимо этой хайповой темы)
DNS over HTTPS - DoHC2
Enjoy!
#redteam
https://github.com/ryhanson/ExternalC2
https://github.com/SpiderLabs/DoHC2
DNS over HTTPS - DoHC2
Enjoy!
#redteam
https://github.com/ryhanson/ExternalC2
https://github.com/SpiderLabs/DoHC2
GitHub
GitHub - ryhanson/ExternalC2: A library for integrating communication channels with the Cobalt Strike External C2 server
A library for integrating communication channels with the Cobalt Strike External C2 server - ryhanson/ExternalC2
Что запустить на компьютере заказчика, чтобы закрепиться?
А вдруг это уже палится антивирусами и другими средствами защиты?
А кто-нибудь вообще использовал уже такие способы?
Ссылка с описанием различных способов запуска бинарного файла и описанием, какие вредоносны уже используют такие способы
#redteam
https://attack.mitre.org/techniques/T1191/
А вдруг это уже палится антивирусами и другими средствами защиты?
А кто-нибудь вообще использовал уже такие способы?
Ссылка с описанием различных способов запуска бинарного файла и описанием, какие вредоносны уже используют такие способы
#redteam
https://attack.mitre.org/techniques/T1191/
Защити свою информационную систему от злобных хакеров
#blueteam
https://medium.com/blue-team/preventing-mimikatz-attacks-ed283e7ebdd5
#blueteam
https://medium.com/blue-team/preventing-mimikatz-attacks-ed283e7ebdd5
Medium
Preventing Mimikatz Attacks
Mimikatz is playing a vital role in every internal penetration test or red team engagement mainly for its capability to extract passwords…
Chrome - один из самых популярных и любимых пользователями браузеров.
При проведении RedTeam не всегда достаточно оказаться на компьютере пользователя. Важно доказать заказчику, что из этого доступа можно извлечь пользу. Для этого не всегда нужно знать пароли пользователя. Достаточно воспользоваться cookie-файлом вашего любимого Chrome
#redteam
https://mango.pdf.zone/stealing-chrome-cookies-without-a-password
При проведении RedTeam не всегда достаточно оказаться на компьютере пользователя. Важно доказать заказчику, что из этого доступа можно извлечь пользу. Для этого не всегда нужно знать пароли пользователя. Достаточно воспользоваться cookie-файлом вашего любимого Chrome
#redteam
https://mango.pdf.zone/stealing-chrome-cookies-without-a-password
mango.pdf.zone
Stealing Chrome cookies without a password
Stealing Chrome Cookies without root or password on OSX, Linux, and Windows via Remote Debugging Protocol.
Стандарты говорят нам о том, что нужно использовать не только пароль, а ещё какой-нибудь второй фактор для генерации одноразового пароля. Google, duo, authy и другие предлагают нам свои услуги по генерации второго фактора. Но на все есть свои стандарты. Давайте посмотрим, насколько они безопасны
#redteam
#crypto
https://www.unix-ninja.com/p/attacking_google_authenticator
#redteam
#crypto
https://www.unix-ninja.com/p/attacking_google_authenticator
У Cobalt Strike есть отличная фишка - фреймворк External C2, который позволяет использовать сторонние программы в качестве транспорта для нагрузки.
Использовать dropbox совместно с cobalt strike - великолепно!
#redteam
https://github.com/Truneski/external_c2_framework
https://truneski.github.io/blog/2018/11/05/cobaltstrike-over-external-c2-via-dropbox/
Использовать dropbox совместно с cobalt strike - великолепно!
#redteam
https://github.com/Truneski/external_c2_framework
https://truneski.github.io/blog/2018/11/05/cobaltstrike-over-external-c2-via-dropbox/
GitHub
GitHub - Truneski/external_c2_framework: Python api for usage with cobalt strike's External C2 specification
Python api for usage with cobalt strike's External C2 specification - GitHub - Truneski/external_c2_framework: Python api for usage with cobalt strike's External C2 specification
В последнее время идёт тенденция - переносить инфраструктуру компании в облако, в частности на AWS. Удобно, практично и более безопасно.
Однако и для такой инфраструктуры надо проводить пентест.
А чтобы было понятно, какие уязвимости можно найти в AWS - RhinoSecurityLabs разработала фреймворк Pacu.
Делимся с вами ссылочкой на него
#redteam
https://github.com/rhinosecuritylabs/pacu
Однако и для такой инфраструктуры надо проводить пентест.
А чтобы было понятно, какие уязвимости можно найти в AWS - RhinoSecurityLabs разработала фреймворк Pacu.
Делимся с вами ссылочкой на него
#redteam
https://github.com/rhinosecuritylabs/pacu
GitHub
GitHub - RhinoSecurityLabs/pacu: The AWS exploitation framework, designed for testing the security of Amazon Web Services environments.
The AWS exploitation framework, designed for testing the security of Amazon Web Services environments. - RhinoSecurityLabs/pacu
Иногда, для обхода какого-нибудь waf, полезно использовать zip, в качестве контейнера, который не вызовет подозрения.
В этом случае на помощь может прийти он - ZIPFileRaider - расширение для Burp Suite, позволяющее упростить работу с zip при отправлении запроса
#redteam
https://github.com/destine21/ZIPFileRaider
В этом случае на помощь может прийти он - ZIPFileRaider - расширение для Burp Suite, позволяющее упростить работу с zip при отправлении запроса
#redteam
https://github.com/destine21/ZIPFileRaider
GitHub
GitHub - destine21/ZIPFileRaider: ZIP File Raider - Burp Extension for ZIP File Payload Testing
ZIP File Raider - Burp Extension for ZIP File Payload Testing - destine21/ZIPFileRaider
Сегодня Black Friday!
Люди счастливы, ждут скидок, получают кучу рассылок от магазинов. В социальных сетях огромное количество ссылок на ресурсы, которые делают обзоры по самым выгодным скидкам... 99% sale только сегодня и только сейчас!
Напоминаем, что не все ссылки одинаково безопасны
В такие дни всеобщего хаоса обычно происходит активация киберпреступников, которые рассылают фишинговые письма и пытаются впихнуть на ваш компьютер домашний вирус, со скидкой конечно же)
Будьте внимательны!
https://www.wired.com/story/black-friday-scams/
Люди счастливы, ждут скидок, получают кучу рассылок от магазинов. В социальных сетях огромное количество ссылок на ресурсы, которые делают обзоры по самым выгодным скидкам... 99% sale только сегодня и только сейчас!
Напоминаем, что не все ссылки одинаково безопасны
В такие дни всеобщего хаоса обычно происходит активация киберпреступников, которые рассылают фишинговые письма и пытаются впихнуть на ваш компьютер домашний вирус, со скидкой конечно же)
Будьте внимательны!
https://www.wired.com/story/black-friday-scams/
WIRED
Beware Black Friday Scams Lurking Among the Holiday Deals
Cybercriminals are always looking to steal your credit card or even your identity. But it pays to be on extra high alert come Black Friday.
Несмотря на то, что для аутентификации в windows рекомендуется использовать Kerberos - большинство компаний продолжает использовать NTLM.
RedTeam тоже любит, когда используется NTLM - это значит можно забирать хеши и сессию.
Для этого можно использовать как самописные решения, так и уже реализованные.
Например, responder - инструмент, который поднимет в локальной сети сервер, ждёт подключения и складывает NTLMv2 SSP в отдельный файл.
#redteam
https://github.com/SpiderLabs/Responder/blob/master/README.md
RedTeam тоже любит, когда используется NTLM - это значит можно забирать хеши и сессию.
Для этого можно использовать как самописные решения, так и уже реализованные.
Например, responder - инструмент, который поднимет в локальной сети сервер, ждёт подключения и складывает NTLMv2 SSP в отдельный файл.
#redteam
https://github.com/SpiderLabs/Responder/blob/master/README.md
GitHub
SpiderLabs/Responder
Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server supporting NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP and Basic HTTP authenticat...
В ноябре вышел новый релиз sn1per от XeroSecurity.
Отличный фреймворк для osint!
Если вы ещё не пользовались - очень рекомендуем. Даже бесплатная версия оказывается очень полезной.
#redteam
https://github.com/1N3/Sn1per
Отличный фреймворк для osint!
Если вы ещё не пользовались - очень рекомендуем. Даже бесплатная версия оказывается очень полезной.
#redteam
https://github.com/1N3/Sn1per
GitHub
GitHub - 1N3/Sn1per: Attack Surface Management Platform
Attack Surface Management Platform. Contribute to 1N3/Sn1per development by creating an account on GitHub.
С чего начинается любая RedTeam кампания?
Правильно! С построения инфраструктуры.
Инфраструктура для RedTeam мероприятий гораздо обширнее, гибче и более надёжная, чем при проведении обычного пентеста.
Зачем это нужно? Чтобы полностью имитировать целенаправленную атаку, запутывать команду BlueTeam и пытаться обойти различные средства защиты.
У каждой RedTeam команды свои наработки по поводу инфраструктуры, которые формируются не сразу и зависят от степени защищённости компании Заказчика.
Однако можно выделить общие рекомендации по построению такого рода инфраструктуры.
По ссылке отличный материал, в котором рассматриваются основные моменты, касающиеся инфраструктуры, при проведении RedTeam.
Enjoy!
#redteam
https://github.com/bluscreenofjeff/Red-Team-Infrastructure-Wiki/blob/master/README.md
Правильно! С построения инфраструктуры.
Инфраструктура для RedTeam мероприятий гораздо обширнее, гибче и более надёжная, чем при проведении обычного пентеста.
Зачем это нужно? Чтобы полностью имитировать целенаправленную атаку, запутывать команду BlueTeam и пытаться обойти различные средства защиты.
У каждой RedTeam команды свои наработки по поводу инфраструктуры, которые формируются не сразу и зависят от степени защищённости компании Заказчика.
Однако можно выделить общие рекомендации по построению такого рода инфраструктуры.
По ссылке отличный материал, в котором рассматриваются основные моменты, касающиеся инфраструктуры, при проведении RedTeam.
Enjoy!
#redteam
https://github.com/bluscreenofjeff/Red-Team-Infrastructure-Wiki/blob/master/README.md
GitHub
Red-Team-Infrastructure-Wiki/README.md at master · bluscreenofjeff/Red-Team-Infrastructure-Wiki
Wiki to collect Red Team infrastructure hardening resources - bluscreenofjeff/Red-Team-Infrastructure-Wiki
!!Breaking news!!
В сети происходит активное распространение новой модификации шифровальщика Dharma!!
Шифровальщик попадает на ваш компьютер через спам рассылку. В рассылке либо ссылка на вредоносный сайт, либо зараженный документ (стандартно в общем). Тема письма в основном - сообщения от транспортных компаний по вашим посылкам и доставкам. Но могут быть и другие варианты.
Атаке подвержены все версии ОС Windows (и старые и новые). Используемые методы шифрования - AES-265 и RSA. Все файлы становятся с расширением file.some_id.[[email protected]].risk
На данный момент расшифровальщиков для данного вредоносного НЕТ!!
Пожалуйста, будьте бдительны, обращайте внимание на то, какие письма вы открываете!!
А также проводите аудиты ИБ не только тогда, когда что-то случилось!
Думаете о своей безопасности и безопасности компании!
В сети происходит активное распространение новой модификации шифровальщика Dharma!!
Шифровальщик попадает на ваш компьютер через спам рассылку. В рассылке либо ссылка на вредоносный сайт, либо зараженный документ (стандартно в общем). Тема письма в основном - сообщения от транспортных компаний по вашим посылкам и доставкам. Но могут быть и другие варианты.
Атаке подвержены все версии ОС Windows (и старые и новые). Используемые методы шифрования - AES-265 и RSA. Все файлы становятся с расширением file.some_id.[[email protected]].risk
На данный момент расшифровальщиков для данного вредоносного НЕТ!!
Пожалуйста, будьте бдительны, обращайте внимание на то, какие письма вы открываете!!
А также проводите аудиты ИБ не только тогда, когда что-то случилось!
Думаете о своей безопасности и безопасности компании!