Интересная статья как можно похулиганить в AD
https://www.labofapenetrationtester.com/2018/10/deploy-deception.html?m=1
https://www.labofapenetrationtester.com/2018/10/deploy-deception.html?m=1
Labofapenetrationtester
Forging Trusts for Deception in Active Directory
Home of Nikhil SamratAshok Mittal. Posts about Red Teaming, Offensive PowerShell, Active Directory and Pen Testing.
О том как cisco распознает вредоносный трафик без его расшифровки
#blueteam
https://blogs.cisco.com/security/detecting-encrypted-malware-traffic-without-decryption
#blueteam
https://blogs.cisco.com/security/detecting-encrypted-malware-traffic-without-decryption
Cisco Blogs
Detecting Encrypted Malware Traffic (Without Decryption)
Identifying threats within encrypted network traffic poses a unique set of challenges, i.e. monitoring traffic for threats and malware, but how to do so while maintaining the privacy of the user.
AlienVault рассказывают о том как они детектируют empire.
Интересно для понимания какие процессы вызывают подозрения
#redteam
https://www.alienvault.com/blogs/labs-research/detecting-empire-with-usm-anywhere
Интересно для понимания какие процессы вызывают подозрения
#redteam
https://www.alienvault.com/blogs/labs-research/detecting-empire-with-usm-anywhere
AT&T Cybersecurity
Detecting Empire with USM Anywhere
Empire is an open source post-exploitation framework that acts as a capable backdoor on infected systems. It provides a management platform for infected machines. Empire can deploy PowerShell and Python agents to infect both Windows and Linux systems.
Empire…
Empire…
Мы тоже не можем пройти мимо этой хайповой темы)
DNS over HTTPS - DoHC2
Enjoy!
#redteam
https://github.com/ryhanson/ExternalC2
https://github.com/SpiderLabs/DoHC2
DNS over HTTPS - DoHC2
Enjoy!
#redteam
https://github.com/ryhanson/ExternalC2
https://github.com/SpiderLabs/DoHC2
GitHub
GitHub - ryhanson/ExternalC2: A library for integrating communication channels with the Cobalt Strike External C2 server
A library for integrating communication channels with the Cobalt Strike External C2 server - ryhanson/ExternalC2
Что запустить на компьютере заказчика, чтобы закрепиться?
А вдруг это уже палится антивирусами и другими средствами защиты?
А кто-нибудь вообще использовал уже такие способы?
Ссылка с описанием различных способов запуска бинарного файла и описанием, какие вредоносны уже используют такие способы
#redteam
https://attack.mitre.org/techniques/T1191/
А вдруг это уже палится антивирусами и другими средствами защиты?
А кто-нибудь вообще использовал уже такие способы?
Ссылка с описанием различных способов запуска бинарного файла и описанием, какие вредоносны уже используют такие способы
#redteam
https://attack.mitre.org/techniques/T1191/
Защити свою информационную систему от злобных хакеров
#blueteam
https://medium.com/blue-team/preventing-mimikatz-attacks-ed283e7ebdd5
#blueteam
https://medium.com/blue-team/preventing-mimikatz-attacks-ed283e7ebdd5
Medium
Preventing Mimikatz Attacks
Mimikatz is playing a vital role in every internal penetration test or red team engagement mainly for its capability to extract passwords…
Chrome - один из самых популярных и любимых пользователями браузеров.
При проведении RedTeam не всегда достаточно оказаться на компьютере пользователя. Важно доказать заказчику, что из этого доступа можно извлечь пользу. Для этого не всегда нужно знать пароли пользователя. Достаточно воспользоваться cookie-файлом вашего любимого Chrome
#redteam
https://mango.pdf.zone/stealing-chrome-cookies-without-a-password
При проведении RedTeam не всегда достаточно оказаться на компьютере пользователя. Важно доказать заказчику, что из этого доступа можно извлечь пользу. Для этого не всегда нужно знать пароли пользователя. Достаточно воспользоваться cookie-файлом вашего любимого Chrome
#redteam
https://mango.pdf.zone/stealing-chrome-cookies-without-a-password
mango.pdf.zone
Stealing Chrome cookies without a password
Stealing Chrome Cookies without root or password on OSX, Linux, and Windows via Remote Debugging Protocol.
Стандарты говорят нам о том, что нужно использовать не только пароль, а ещё какой-нибудь второй фактор для генерации одноразового пароля. Google, duo, authy и другие предлагают нам свои услуги по генерации второго фактора. Но на все есть свои стандарты. Давайте посмотрим, насколько они безопасны
#redteam
#crypto
https://www.unix-ninja.com/p/attacking_google_authenticator
#redteam
#crypto
https://www.unix-ninja.com/p/attacking_google_authenticator
У Cobalt Strike есть отличная фишка - фреймворк External C2, который позволяет использовать сторонние программы в качестве транспорта для нагрузки.
Использовать dropbox совместно с cobalt strike - великолепно!
#redteam
https://github.com/Truneski/external_c2_framework
https://truneski.github.io/blog/2018/11/05/cobaltstrike-over-external-c2-via-dropbox/
Использовать dropbox совместно с cobalt strike - великолепно!
#redteam
https://github.com/Truneski/external_c2_framework
https://truneski.github.io/blog/2018/11/05/cobaltstrike-over-external-c2-via-dropbox/
GitHub
GitHub - Truneski/external_c2_framework: Python api for usage with cobalt strike's External C2 specification
Python api for usage with cobalt strike's External C2 specification - GitHub - Truneski/external_c2_framework: Python api for usage with cobalt strike's External C2 specification
В последнее время идёт тенденция - переносить инфраструктуру компании в облако, в частности на AWS. Удобно, практично и более безопасно.
Однако и для такой инфраструктуры надо проводить пентест.
А чтобы было понятно, какие уязвимости можно найти в AWS - RhinoSecurityLabs разработала фреймворк Pacu.
Делимся с вами ссылочкой на него
#redteam
https://github.com/rhinosecuritylabs/pacu
Однако и для такой инфраструктуры надо проводить пентест.
А чтобы было понятно, какие уязвимости можно найти в AWS - RhinoSecurityLabs разработала фреймворк Pacu.
Делимся с вами ссылочкой на него
#redteam
https://github.com/rhinosecuritylabs/pacu
GitHub
GitHub - RhinoSecurityLabs/pacu: The AWS exploitation framework, designed for testing the security of Amazon Web Services environments.
The AWS exploitation framework, designed for testing the security of Amazon Web Services environments. - RhinoSecurityLabs/pacu
Иногда, для обхода какого-нибудь waf, полезно использовать zip, в качестве контейнера, который не вызовет подозрения.
В этом случае на помощь может прийти он - ZIPFileRaider - расширение для Burp Suite, позволяющее упростить работу с zip при отправлении запроса
#redteam
https://github.com/destine21/ZIPFileRaider
В этом случае на помощь может прийти он - ZIPFileRaider - расширение для Burp Suite, позволяющее упростить работу с zip при отправлении запроса
#redteam
https://github.com/destine21/ZIPFileRaider
GitHub
GitHub - destine21/ZIPFileRaider: ZIP File Raider - Burp Extension for ZIP File Payload Testing
ZIP File Raider - Burp Extension for ZIP File Payload Testing - destine21/ZIPFileRaider
Сегодня Black Friday!
Люди счастливы, ждут скидок, получают кучу рассылок от магазинов. В социальных сетях огромное количество ссылок на ресурсы, которые делают обзоры по самым выгодным скидкам... 99% sale только сегодня и только сейчас!
Напоминаем, что не все ссылки одинаково безопасны
В такие дни всеобщего хаоса обычно происходит активация киберпреступников, которые рассылают фишинговые письма и пытаются впихнуть на ваш компьютер домашний вирус, со скидкой конечно же)
Будьте внимательны!
https://www.wired.com/story/black-friday-scams/
Люди счастливы, ждут скидок, получают кучу рассылок от магазинов. В социальных сетях огромное количество ссылок на ресурсы, которые делают обзоры по самым выгодным скидкам... 99% sale только сегодня и только сейчас!
Напоминаем, что не все ссылки одинаково безопасны
В такие дни всеобщего хаоса обычно происходит активация киберпреступников, которые рассылают фишинговые письма и пытаются впихнуть на ваш компьютер домашний вирус, со скидкой конечно же)
Будьте внимательны!
https://www.wired.com/story/black-friday-scams/
WIRED
Beware Black Friday Scams Lurking Among the Holiday Deals
Cybercriminals are always looking to steal your credit card or even your identity. But it pays to be on extra high alert come Black Friday.
Несмотря на то, что для аутентификации в windows рекомендуется использовать Kerberos - большинство компаний продолжает использовать NTLM.
RedTeam тоже любит, когда используется NTLM - это значит можно забирать хеши и сессию.
Для этого можно использовать как самописные решения, так и уже реализованные.
Например, responder - инструмент, который поднимет в локальной сети сервер, ждёт подключения и складывает NTLMv2 SSP в отдельный файл.
#redteam
https://github.com/SpiderLabs/Responder/blob/master/README.md
RedTeam тоже любит, когда используется NTLM - это значит можно забирать хеши и сессию.
Для этого можно использовать как самописные решения, так и уже реализованные.
Например, responder - инструмент, который поднимет в локальной сети сервер, ждёт подключения и складывает NTLMv2 SSP в отдельный файл.
#redteam
https://github.com/SpiderLabs/Responder/blob/master/README.md
GitHub
SpiderLabs/Responder
Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server supporting NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP and Basic HTTP authenticat...
В ноябре вышел новый релиз sn1per от XeroSecurity.
Отличный фреймворк для osint!
Если вы ещё не пользовались - очень рекомендуем. Даже бесплатная версия оказывается очень полезной.
#redteam
https://github.com/1N3/Sn1per
Отличный фреймворк для osint!
Если вы ещё не пользовались - очень рекомендуем. Даже бесплатная версия оказывается очень полезной.
#redteam
https://github.com/1N3/Sn1per
GitHub
GitHub - 1N3/Sn1per: Attack Surface Management Platform
Attack Surface Management Platform. Contribute to 1N3/Sn1per development by creating an account on GitHub.
С чего начинается любая RedTeam кампания?
Правильно! С построения инфраструктуры.
Инфраструктура для RedTeam мероприятий гораздо обширнее, гибче и более надёжная, чем при проведении обычного пентеста.
Зачем это нужно? Чтобы полностью имитировать целенаправленную атаку, запутывать команду BlueTeam и пытаться обойти различные средства защиты.
У каждой RedTeam команды свои наработки по поводу инфраструктуры, которые формируются не сразу и зависят от степени защищённости компании Заказчика.
Однако можно выделить общие рекомендации по построению такого рода инфраструктуры.
По ссылке отличный материал, в котором рассматриваются основные моменты, касающиеся инфраструктуры, при проведении RedTeam.
Enjoy!
#redteam
https://github.com/bluscreenofjeff/Red-Team-Infrastructure-Wiki/blob/master/README.md
Правильно! С построения инфраструктуры.
Инфраструктура для RedTeam мероприятий гораздо обширнее, гибче и более надёжная, чем при проведении обычного пентеста.
Зачем это нужно? Чтобы полностью имитировать целенаправленную атаку, запутывать команду BlueTeam и пытаться обойти различные средства защиты.
У каждой RedTeam команды свои наработки по поводу инфраструктуры, которые формируются не сразу и зависят от степени защищённости компании Заказчика.
Однако можно выделить общие рекомендации по построению такого рода инфраструктуры.
По ссылке отличный материал, в котором рассматриваются основные моменты, касающиеся инфраструктуры, при проведении RedTeam.
Enjoy!
#redteam
https://github.com/bluscreenofjeff/Red-Team-Infrastructure-Wiki/blob/master/README.md
GitHub
Red-Team-Infrastructure-Wiki/README.md at master · bluscreenofjeff/Red-Team-Infrastructure-Wiki
Wiki to collect Red Team infrastructure hardening resources - bluscreenofjeff/Red-Team-Infrastructure-Wiki
!!Breaking news!!
В сети происходит активное распространение новой модификации шифровальщика Dharma!!
Шифровальщик попадает на ваш компьютер через спам рассылку. В рассылке либо ссылка на вредоносный сайт, либо зараженный документ (стандартно в общем). Тема письма в основном - сообщения от транспортных компаний по вашим посылкам и доставкам. Но могут быть и другие варианты.
Атаке подвержены все версии ОС Windows (и старые и новые). Используемые методы шифрования - AES-265 и RSA. Все файлы становятся с расширением file.some_id.[[email protected]].risk
На данный момент расшифровальщиков для данного вредоносного НЕТ!!
Пожалуйста, будьте бдительны, обращайте внимание на то, какие письма вы открываете!!
А также проводите аудиты ИБ не только тогда, когда что-то случилось!
Думаете о своей безопасности и безопасности компании!
В сети происходит активное распространение новой модификации шифровальщика Dharma!!
Шифровальщик попадает на ваш компьютер через спам рассылку. В рассылке либо ссылка на вредоносный сайт, либо зараженный документ (стандартно в общем). Тема письма в основном - сообщения от транспортных компаний по вашим посылкам и доставкам. Но могут быть и другие варианты.
Атаке подвержены все версии ОС Windows (и старые и новые). Используемые методы шифрования - AES-265 и RSA. Все файлы становятся с расширением file.some_id.[[email protected]].risk
На данный момент расшифровальщиков для данного вредоносного НЕТ!!
Пожалуйста, будьте бдительны, обращайте внимание на то, какие письма вы открываете!!
А также проводите аудиты ИБ не только тогда, когда что-то случилось!
Думаете о своей безопасности и безопасности компании!
А вы слышали про UDVC?
UDVC (Universal Dynamic Virtual Channel) - реализация пивотинга через RDP.
Достаточно одного открытого порта 3389 (стандартного для подключения по rdp) и у вас есть прямой канал в сеть заказчика.
Как так получается? Очень просто - спасибо Microsoft за различные "фишечки", которые оказываются полезными не только пользователям, но и пентестерам. Такими "фишечками" стали RDP virtual channels (реализовано начиная с win2008).
Таким образом, используя стандартные функции windows и один открытый порт, можно получить полноценный доступ внутрь сети заказчика и организовать там полноценный socks-сервер!
Ссылка на реализацию такого пивотинга ниже
#redteam
https://github.com/earthquake/UniversalDVC/blob/master/README.md
UDVC (Universal Dynamic Virtual Channel) - реализация пивотинга через RDP.
Достаточно одного открытого порта 3389 (стандартного для подключения по rdp) и у вас есть прямой канал в сеть заказчика.
Как так получается? Очень просто - спасибо Microsoft за различные "фишечки", которые оказываются полезными не только пользователям, но и пентестерам. Такими "фишечками" стали RDP virtual channels (реализовано начиная с win2008).
Таким образом, используя стандартные функции windows и один открытый порт, можно получить полноценный доступ внутрь сети заказчика и организовать там полноценный socks-сервер!
Ссылка на реализацию такого пивотинга ниже
#redteam
https://github.com/earthquake/UniversalDVC/blob/master/README.md
GitHub
UniversalDVC/README.md at master · earthquake/UniversalDVC
Universal Dynamic Virtual Channel connector for Remote Desktop Services - UniversalDVC/README.md at master · earthquake/UniversalDVC
Рубрика "фишечки" от Microsoft
А тем временем Microsoft анонсировала новую фишечку, которая уже доступна для пользователей windows10 - вход в аккаунт microsoft без логинов и паролей.
Microsoft решила прикрутить FIDO2 (Fast Identity Online). Таким образом логиниться в свой microsoft аккаунт можно теперь несколькими способами: Windows Hello или какое-либо FIDO2 устройство (как хардварное, так и софтварное).
Как все происходит. При входе в систему (при логине в вашу ос windows на вашем компьютере) microsoft предоставляет некий nonce (некое одноразовое число) и просит ваш ПК подписать его с помощью вашего закрытого ключа, который хранится либо на устройстве (windows hello), либо на FIDO2 устройстве. Подписанный nonce и метаданные отправляются в систему учетных записей microsoft и проверяются с помощью открытого ключа, хранящего там. В случае если все хорошо - вы авторизованы.
Интересная тема для ресеча. Ведь все наверняка шифруется стандартными виндовыми средствами. DPAPI?😉
#crypto
https://www.microsoft.com/en-us/microsoft-365/blog/2018/11/20/sign-in-to-your-microsoft-account-without-a-password-using-windows-hello-or-a-security-key/
А тем временем Microsoft анонсировала новую фишечку, которая уже доступна для пользователей windows10 - вход в аккаунт microsoft без логинов и паролей.
Microsoft решила прикрутить FIDO2 (Fast Identity Online). Таким образом логиниться в свой microsoft аккаунт можно теперь несколькими способами: Windows Hello или какое-либо FIDO2 устройство (как хардварное, так и софтварное).
Как все происходит. При входе в систему (при логине в вашу ос windows на вашем компьютере) microsoft предоставляет некий nonce (некое одноразовое число) и просит ваш ПК подписать его с помощью вашего закрытого ключа, который хранится либо на устройстве (windows hello), либо на FIDO2 устройстве. Подписанный nonce и метаданные отправляются в систему учетных записей microsoft и проверяются с помощью открытого ключа, хранящего там. В случае если все хорошо - вы авторизованы.
Интересная тема для ресеча. Ведь все наверняка шифруется стандартными виндовыми средствами. DPAPI?😉
#crypto
https://www.microsoft.com/en-us/microsoft-365/blog/2018/11/20/sign-in-to-your-microsoft-account-without-a-password-using-windows-hello-or-a-security-key/
Microsoft 365 Blog
Secure password-less sign-in for your Microsoft account using a security key or Windows Hello | Microsoft 365 Blog
We turned on the ability to securely sign in with your Microsoft account using a standards-based FIDO2 compatible device—no username or password required!
Habr Time
А тем временем мы начинаем публикацию статей по мотивам наших докладов на offzone-2018.
Первую статью про атаку MS Exchange Relay вы уже можете прочитать на Хабре!
#offzone
https://habr.com/post/432182/
А тем временем мы начинаем публикацию статей по мотивам наших докладов на offzone-2018.
Первую статью про атаку MS Exchange Relay вы уже можете прочитать на Хабре!
#offzone
https://habr.com/post/432182/
Хабр
Забираем почту без sms и регистрации
Не прошло и месяца, как мы решили, что пора написать статьи по итогу наших выступлений на OFFZONE-2018. Первая статья будет исполнена по мотивам доклада с FastTr...