AlienVault рассказывают о том как они детектируют empire.
Интересно для понимания какие процессы вызывают подозрения

#redteam

https://www.alienvault.com/blogs/labs-research/detecting-empire-with-usm-anywhere

Мы тоже не можем пройти мимо этой хайповой темы)
DNS over HTTPS - DoHC2
Enjoy!

#redteam

https://github.com/ryhanson/ExternalC2

https://github.com/SpiderLabs/DoHC2

Что запустить на компьютере заказчика, чтобы закрепиться?
А вдруг это уже палится антивирусами и другими средствами защиты?
А кто-нибудь вообще использовал уже такие способы?
Ссылка с описанием различных способов запуска бинарного файла и описанием, какие вредоносны уже используют такие способы

#redteam

https://attack.mitre.org/techniques/T1191/

Защити свою информационную систему от злобных хакеров

#blueteam

https://medium.com/blue-team/preventing-mimikatz-attacks-ed283e7ebdd5

Chrome - один из самых популярных и любимых пользователями браузеров.

При проведении RedTeam не всегда достаточно оказаться на компьютере пользователя. Важно доказать заказчику, что из этого доступа можно извлечь пользу. Для этого не всегда нужно знать пароли пользователя. Достаточно воспользоваться cookie-файлом вашего любимого Chrome

#redteam

https://mango.pdf.zone/stealing-chrome-cookies-without-a-password

Стандарты говорят нам о том, что нужно использовать не только пароль, а ещё какой-нибудь второй фактор для генерации одноразового пароля. Google, duo, authy и другие предлагают нам свои услуги по генерации второго фактора. Но на все есть свои стандарты. Давайте посмотрим, насколько они безопасны

#redteam
#crypto

https://www.unix-ninja.com/p/attacking_google_authenticator

У Cobalt Strike есть отличная фишка - фреймворк External C2, который позволяет использовать сторонние программы в качестве транспорта для нагрузки.

Использовать dropbox совместно с cobalt strike - великолепно!

#redteam

https://github.com/Truneski/external_c2_framework

https://truneski.github.io/blog/2018/11/05/cobaltstrike-over-external-c2-via-dropbox/

В последнее время идёт тенденция - переносить инфраструктуру компании в облако, в частности на AWS. Удобно, практично и более безопасно.

Однако и для такой инфраструктуры надо проводить пентест.

А чтобы было понятно, какие уязвимости можно найти в AWS - RhinoSecurityLabs разработала фреймворк Pacu.

Делимся с вами ссылочкой на него

#redteam

https://github.com/rhinosecuritylabs/pacu

Иногда, для обхода какого-нибудь waf, полезно использовать zip, в качестве контейнера, который не вызовет подозрения.

В этом случае на помощь может прийти он - ZIPFileRaider - расширение для Burp Suite, позволяющее упростить работу с zip при отправлении запроса

#redteam

https://github.com/destine21/ZIPFileRaider

Сегодня Black Friday!

Люди счастливы, ждут скидок, получают кучу рассылок от магазинов. В социальных сетях огромное количество ссылок на ресурсы, которые делают обзоры по самым выгодным скидкам... 99% sale только сегодня и только сейчас!

Напоминаем, что не все ссылки одинаково безопасны

В такие дни всеобщего хаоса обычно происходит активация киберпреступников, которые рассылают фишинговые письма и пытаются впихнуть на ваш компьютер домашний вирус, со скидкой конечно же)

Будьте внимательны!

https://www.wired.com/story/black-friday-scams/

Несмотря на то, что для аутентификации в windows рекомендуется использовать Kerberos - большинство компаний продолжает использовать NTLM.

RedTeam тоже любит, когда используется NTLM - это значит можно забирать хеши и сессию.

Для этого можно использовать как самописные решения, так и уже реализованные.

Например, responder - инструмент, который поднимет в локальной сети сервер, ждёт подключения и складывает NTLMv2 SSP в отдельный файл.

#redteam

https://github.com/SpiderLabs/Responder/blob/master/README.md

В ноябре вышел новый релиз sn1per от XeroSecurity.

Отличный фреймворк для osint!

Если вы ещё не пользовались - очень рекомендуем. Даже бесплатная версия оказывается очень полезной.

#redteam

https://github.com/1N3/Sn1per

С чего начинается любая RedTeam кампания?
Правильно! С построения инфраструктуры.

Инфраструктура для RedTeam мероприятий гораздо обширнее, гибче и более надёжная, чем при проведении обычного пентеста.

Зачем это нужно? Чтобы полностью имитировать целенаправленную атаку, запутывать команду BlueTeam и пытаться обойти различные средства защиты.

У каждой RedTeam команды свои наработки по поводу инфраструктуры, которые формируются не сразу и зависят от степени защищённости компании Заказчика.

Однако можно выделить общие рекомендации по построению такого рода инфраструктуры.

По ссылке отличный материал, в котором рассматриваются основные моменты, касающиеся инфраструктуры, при проведении RedTeam.

Enjoy!

#redteam

https://github.com/bluscreenofjeff/Red-Team-Infrastructure-Wiki/blob/master/README.md

!!Breaking news!!

В сети происходит активное распространение новой модификации шифровальщика Dharma!!

Шифровальщик попадает на ваш компьютер через спам рассылку. В рассылке либо ссылка на вредоносный сайт, либо зараженный документ (стандартно в общем). Тема письма в основном - сообщения от транспортных компаний по вашим посылкам и доставкам. Но могут быть и другие варианты.

Атаке подвержены все версии ОС Windows (и старые и новые). Используемые методы шифрования - AES-265 и RSA. Все файлы становятся с расширением file.some_id.[[email protected]].risk

На данный момент расшифровальщиков для данного вредоносного НЕТ!!

Пожалуйста, будьте бдительны, обращайте внимание на то, какие письма вы открываете!!

А также проводите аудиты ИБ не только тогда, когда что-то случилось!

Думаете о своей безопасности и безопасности компании!

А вы слышали про UDVC?

UDVC (Universal Dynamic Virtual Channel) - реализация пивотинга через RDP.

Достаточно одного открытого порта 3389 (стандартного для подключения по rdp) и у вас есть прямой канал в сеть заказчика.

Как так получается? Очень просто - спасибо Microsoft за различные "фишечки", которые оказываются полезными не только пользователям, но и пентестерам. Такими "фишечками" стали RDP virtual channels (реализовано начиная с win2008).

Таким образом, используя стандартные функции windows и один открытый порт, можно получить полноценный доступ внутрь сети заказчика и организовать там полноценный socks-сервер!

Ссылка на реализацию такого пивотинга ниже

#redteam

https://github.com/earthquake/UniversalDVC/blob/master/README.md

Рубрика "фишечки" от Microsoft

А тем временем Microsoft анонсировала новую фишечку, которая уже доступна для пользователей windows10 - вход в аккаунт microsoft без логинов и паролей.

Microsoft решила прикрутить FIDO2 (Fast Identity Online). Таким образом логиниться в свой microsoft аккаунт можно теперь несколькими способами: Windows Hello или какое-либо FIDO2 устройство (как хардварное, так и софтварное).

Как все происходит. При входе в систему (при логине в вашу ос windows на вашем компьютере) microsoft предоставляет некий nonce (некое одноразовое число) и просит ваш ПК подписать его с помощью вашего закрытого ключа, который хранится либо на устройстве (windows hello), либо на FIDO2 устройстве. Подписанный nonce и метаданные отправляются в систему учетных записей microsoft и проверяются с помощью открытого ключа, хранящего там. В случае если все хорошо - вы авторизованы.

Интересная тема для ресеча. Ведь все наверняка шифруется стандартными виндовыми средствами. DPAPI?😉

#crypto

https://www.microsoft.com/en-us/microsoft-365/blog/2018/11/20/sign-in-to-your-microsoft-account-without-a-password-using-windows-hello-or-a-security-key/

Habr Time

А тем временем мы начинаем публикацию статей по мотивам наших докладов на offzone-2018.

Первую статью про атаку MS Exchange Relay вы уже можете прочитать на Хабре!

#offzone

https://habr.com/post/432182/

RedTeam cheatsheet

У каждой RedTeam команды есть свои наработанные методы работы, доработаннвй набор инструментов, уникальные словари и т.д.

Marco Lancini вдохновился книгой "The Hacker Playbook3: Red Team Edition" и составил небольшой cheatsheet по методам, представленным в этой книге.

Может и вы найдете там что-то полезное для себя!

#redteam

https://www.marcolancini.it/images/posts/blog_hackerplaybook_mindmap.png

GitHub Desktop RCE для OSX

Недавно опубликовали PoC и описание уязвимости для десктопного приложения GitHub для OSX.

Злоумышленник мог внедрить вредонос в свой гитхаб репозиторий и отправить ссылку жертве.

Если жертва пользуется приложением GitHub Desktop и нажимает на кнопочку "клонировать с помощью приложения" - злоумышленник получается возможность удаленно выполнять код на машине жертвы.

Очень красиво.

Пофикшено с v1.3.4

https://pwning.re/2018/12/04/github-desktop-rce/

Порядок в доменах - залог успеха

При проведении RedTeam кампаний приходится регистрировать разные доменные имена для фишинга или CC.

Когда проектов становится много и они идут одновременно - начинаешь путаться в том какие домены и для какой цели были зарегистрированы. Особенно бывают фейлы, когда для проведения RedTeam используешь доменное имя, которое уже внесено в блэк лист средствами защиты, а ты об этом ещё не знаешь и мучительно пытаешься хоть что-то сделать.

Совершенно внезапно мы обнаружили, что с такой проблемой столкнулись не только мы. Постоянный мониторинг зарегистрированных доменов - тема очень актуальная.

Также совершенно внезапно нашли проект от SpecterOps - DomainCheck (https://github.com/GhostManager/DomainCheck), который позволяет мониторить зарегистрированные домены.

Мониторинг происходит по нескольким направлениям:
1) проверка не находится ли домен в базах Virus Total, TrendMicro, Bluecoat, CiscoTalos и т.д.
2) проверяет, что у домена не истек срок годности и дата его регистрации
3) логирует историю dns записей
4) проверяет не находится ли домен в блэк листе на malwaredomains.com

Из минусов: на данный момент работает только с доменами, зарегистрированными на Namecheap. Однако это достаточно просто исправить - надо прикрутить API вашего любимого регистратора доменов.

Более подробную информацию можно прочитать ниже

#redteam

https://posts.specterops.io/being-a-good-domain-shepherd-57754edd955f

Немного об обфускации Impacket

Сегодня рассказываем о проблемах, связанных с использованием Impacket на машинах заказчика, и предлагаем рабочие решения.

Подробнее ниже!

https://medium.com/@karelova.ov/немного-об-обфускации-impacket-aad0ca2dad96