RedTeam cheatsheet
У каждой RedTeam команды есть свои наработанные методы работы, доработаннвй набор инструментов, уникальные словари и т.д.
Marco Lancini вдохновился книгой "The Hacker Playbook3: Red Team Edition" и составил небольшой cheatsheet по методам, представленным в этой книге.
Может и вы найдете там что-то полезное для себя!
#redteam
https://www.marcolancini.it/images/posts/blog_hackerplaybook_mindmap.png
У каждой RedTeam команды есть свои наработанные методы работы, доработаннвй набор инструментов, уникальные словари и т.д.
Marco Lancini вдохновился книгой "The Hacker Playbook3: Red Team Edition" и составил небольшой cheatsheet по методам, представленным в этой книге.
Может и вы найдете там что-то полезное для себя!
#redteam
https://www.marcolancini.it/images/posts/blog_hackerplaybook_mindmap.png
GitHub Desktop RCE для OSX
Недавно опубликовали PoC и описание уязвимости для десктопного приложения GitHub для OSX.
Злоумышленник мог внедрить вредонос в свой гитхаб репозиторий и отправить ссылку жертве.
Если жертва пользуется приложением GitHub Desktop и нажимает на кнопочку "клонировать с помощью приложения" - злоумышленник получается возможность удаленно выполнять код на машине жертвы.
Очень красиво.
Пофикшено с v1.3.4
https://pwning.re/2018/12/04/github-desktop-rce/
Недавно опубликовали PoC и описание уязвимости для десктопного приложения GitHub для OSX.
Злоумышленник мог внедрить вредонос в свой гитхаб репозиторий и отправить ссылку жертве.
Если жертва пользуется приложением GitHub Desktop и нажимает на кнопочку "клонировать с помощью приложения" - злоумышленник получается возможность удаленно выполнять код на машине жертвы.
Очень красиво.
Пофикшено с v1.3.4
https://pwning.re/2018/12/04/github-desktop-rce/
0Xacb
GitHub Desktop RCE (OSX) - 0xacb
I was invited to H1-702 2018, a HackerOne live-hacking event in Las Vegas that paid over $500k dollars in bounties. One of the targets of this event was GitH...
Порядок в доменах - залог успеха
При проведении RedTeam кампаний приходится регистрировать разные доменные имена для фишинга или CC.
Когда проектов становится много и они идут одновременно - начинаешь путаться в том какие домены и для какой цели были зарегистрированы. Особенно бывают фейлы, когда для проведения RedTeam используешь доменное имя, которое уже внесено в блэк лист средствами защиты, а ты об этом ещё не знаешь и мучительно пытаешься хоть что-то сделать.
Совершенно внезапно мы обнаружили, что с такой проблемой столкнулись не только мы. Постоянный мониторинг зарегистрированных доменов - тема очень актуальная.
Также совершенно внезапно нашли проект от SpecterOps - DomainCheck (https://github.com/GhostManager/DomainCheck), который позволяет мониторить зарегистрированные домены.
Мониторинг происходит по нескольким направлениям:
1) проверка не находится ли домен в базах Virus Total, TrendMicro, Bluecoat, CiscoTalos и т.д.
2) проверяет, что у домена не истек срок годности и дата его регистрации
3) логирует историю dns записей
4) проверяет не находится ли домен в блэк листе на malwaredomains.com
Из минусов: на данный момент работает только с доменами, зарегистрированными на Namecheap. Однако это достаточно просто исправить - надо прикрутить API вашего любимого регистратора доменов.
Более подробную информацию можно прочитать ниже
#redteam
https://posts.specterops.io/being-a-good-domain-shepherd-57754edd955f
При проведении RedTeam кампаний приходится регистрировать разные доменные имена для фишинга или CC.
Когда проектов становится много и они идут одновременно - начинаешь путаться в том какие домены и для какой цели были зарегистрированы. Особенно бывают фейлы, когда для проведения RedTeam используешь доменное имя, которое уже внесено в блэк лист средствами защиты, а ты об этом ещё не знаешь и мучительно пытаешься хоть что-то сделать.
Совершенно внезапно мы обнаружили, что с такой проблемой столкнулись не только мы. Постоянный мониторинг зарегистрированных доменов - тема очень актуальная.
Также совершенно внезапно нашли проект от SpecterOps - DomainCheck (https://github.com/GhostManager/DomainCheck), который позволяет мониторить зарегистрированные домены.
Мониторинг происходит по нескольким направлениям:
1) проверка не находится ли домен в базах Virus Total, TrendMicro, Bluecoat, CiscoTalos и т.д.
2) проверяет, что у домена не истек срок годности и дата его регистрации
3) логирует историю dns записей
4) проверяет не находится ли домен в блэк листе на malwaredomains.com
Из минусов: на данный момент работает только с доменами, зарегистрированными на Namecheap. Однако это достаточно просто исправить - надо прикрутить API вашего любимого регистратора доменов.
Более подробную информацию можно прочитать ниже
#redteam
https://posts.specterops.io/being-a-good-domain-shepherd-57754edd955f
GitHub
GitHub - GhostManager/DomainCheck: DomainCheck is designed to assist operators with monitoring changes related to their domain…
DomainCheck is designed to assist operators with monitoring changes related to their domain names. This includes negative changes in categorization, VirusTotal detections, and appearances on malwar...
Немного об обфускации Impacket
Сегодня рассказываем о проблемах, связанных с использованием Impacket на машинах заказчика, и предлагаем рабочие решения.
Подробнее ниже!
https://medium.com/@karelova.ov/немного-об-обфускации-impacket-aad0ca2dad96
Сегодня рассказываем о проблемах, связанных с использованием Impacket на машинах заказчика, и предлагаем рабочие решения.
Подробнее ниже!
https://medium.com/@karelova.ov/немного-об-обфускации-impacket-aad0ca2dad96
Medium
Немного об обфускации Impacket
Каждый пентестер, а уж тем более RedTeam специалист знает о библиотеке Impacket, а точнее про конкретные инструменты по удаленному…
Telegram как транспорт, ваш телефон как CC
Вот мы и дожили до того светлого момента, когда в качестве транспорта для общения с CC используется Телеграм бот.
Telepreter - бот, написанный на powershell и использующий api телеграма.
Загружаем несколько dll на Винду жертвы, запускаем powershell командой и можем управлять со своего телефона.
А самое главное - это не вызовет подозрений. Ведь все так любят ставить телеграм на компьютер и обращение к api телеграм в сети будет выглядеть нормально)
https://0x00-0x00.github.io/tools/2018/12/10/Pwning-Computers-using-Telegram-bot-API.html
Вот мы и дожили до того светлого момента, когда в качестве транспорта для общения с CC используется Телеграм бот.
Telepreter - бот, написанный на powershell и использующий api телеграма.
Загружаем несколько dll на Винду жертвы, запускаем powershell командой и можем управлять со своего телефона.
А самое главное - это не вызовет подозрений. Ведь все так любят ставить телеграм на компьютер и обращение к api телеграм в сети будет выглядеть нормально)
https://0x00-0x00.github.io/tools/2018/12/10/Pwning-Computers-using-Telegram-bot-API.html
zc00l blog
Pwning computers using Telegram bot API
Introduction
Вопросики в Windows10
Пост из серии "фишечки" от microsoft.
При проведении RedTeam или пентеста все стараются получить права доменного администратора и, самое главное, не потерять их. Как уже говорили - всегда стараются использовать встроенные методы и фишечки. Постоянно появляются новые методы на основе DCShadow или DACL.
На BlackHat Europe ребята рассказали о новом подходе - использующем функции безопасности Windows 10.
В апреле Microsoft представила новую "фишечку" - секретные вопросы пользователя, используя которые он сможет восстановить доступ к локальной учётной записи. Вопросы не интеллектуальные от слова совсем. "Как звали вашего первого питомца?" - такие вопросы стоят на страже безопасности вашего домена.
Попав в сеть компании, используя функцию "сброс пароля" можно поменять пароль, а затем восстановить старый. Спасибо, dpapi!
Кстати, функция включена по умолчанию!
Подробнее можно прочитать в презентации доклада по ссылке ниже
https://i.blackhat.com/eu-18/Wed-Dec-5/eu-18-Baz-When-Everyones-Dog-Is-Named-Fluffy.pdf
Пост из серии "фишечки" от microsoft.
При проведении RedTeam или пентеста все стараются получить права доменного администратора и, самое главное, не потерять их. Как уже говорили - всегда стараются использовать встроенные методы и фишечки. Постоянно появляются новые методы на основе DCShadow или DACL.
На BlackHat Europe ребята рассказали о новом подходе - использующем функции безопасности Windows 10.
В апреле Microsoft представила новую "фишечку" - секретные вопросы пользователя, используя которые он сможет восстановить доступ к локальной учётной записи. Вопросы не интеллектуальные от слова совсем. "Как звали вашего первого питомца?" - такие вопросы стоят на страже безопасности вашего домена.
Попав в сеть компании, используя функцию "сброс пароля" можно поменять пароль, а затем восстановить старый. Спасибо, dpapi!
Кстати, функция включена по умолчанию!
Подробнее можно прочитать в презентации доклада по ссылке ниже
https://i.blackhat.com/eu-18/Wed-Dec-5/eu-18-Baz-When-Everyones-Dog-Is-Named-Fluffy.pdf
Заметки на полях
Говорят, что для того, чтобы SEP (Symantec Endpoint Protection) не детектил вредонос на системе в виде .exe файла - его надо залить на машину не как .exe и локально сделать .exe
SEP проверяет репутацию файлов, загруженных из интернета, но, по всей видимости, доверяет машине, на которой он установлен.
UPD: проверили. Не работает.
Но работает другая: запуск вредоносного файла через PowerShell будет палиться SEPом. Если переименуем PowerShell в example.exe и запустим через него - отработает без каких-либо подозрений от SEP
Говорят, что для того, чтобы SEP (Symantec Endpoint Protection) не детектил вредонос на системе в виде .exe файла - его надо залить на машину не как .exe и локально сделать .exe
SEP проверяет репутацию файлов, загруженных из интернета, но, по всей видимости, доверяет машине, на которой он установлен.
UPD: проверили. Не работает.
Но работает другая: запуск вредоносного файла через PowerShell будет палиться SEPом. Если переименуем PowerShell в example.exe и запустим через него - отработает без каких-либо подозрений от SEP
Offline Attack on AD
Сегодня делимся с вами презентацией с HIP conference 2018.
Создатель DSInternals рассказывает о том как можно хулиганить в AD, как круто для злоумышленника, когда включен credential roaming и как слабые пароли могут изменить жизнь всего домена.
https://www.dsinternals.com/wp-content/uploads/HIP_AD_Offline_Attacks.pdf
Сегодня делимся с вами презентацией с HIP conference 2018.
Создатель DSInternals рассказывает о том как можно хулиганить в AD, как круто для злоумышленника, когда включен credential roaming и как слабые пароли могут изменить жизнь всего домена.
https://www.dsinternals.com/wp-content/uploads/HIP_AD_Offline_Attacks.pdf
Windows Defender ATP или агент по умолчанию
Помните, года так 3-4 назад всегда смеялись, что defender не антивирус и что его наличие на компьютере никак не мешает запуску всего, что нужно пентестеру.
Время идёт и заметили, что defender то стал более качественным и, действительно, иногда показывает результат гораздо лучший, чем некоторые другие антивирусы.
А тут ещё в ноябре вышел отчёт от команды Windows Defender ATP, в котором они рассказывают о новой атаке группировки Tropic Trooper.
В тексте проскальзывает, что обнаружили оперативно за счёт постоянного мониторинга процессов и приложений, а также оперативной отправки информации в Microsoft.
Возможно скоро вместо модных агентов для анти-apt решений будем ставить просто Windows. И все будет хорошо.
Помните, что большой брат (Windows) следит за вами. И ему очень интересно, что же у вас происходит на компьютере. По умолчанию, без лишних вопросов - ваш личный агент Windows Defender ATP.
Интересное чтиво
https://cloudblogs.microsoft.com/microsoftsecure/2018/11/28/windows-defender-atp-device-risk-score-exposes-new-cyberattack-drives-conditional-access-to-protect-networks/
Помните, года так 3-4 назад всегда смеялись, что defender не антивирус и что его наличие на компьютере никак не мешает запуску всего, что нужно пентестеру.
Время идёт и заметили, что defender то стал более качественным и, действительно, иногда показывает результат гораздо лучший, чем некоторые другие антивирусы.
А тут ещё в ноябре вышел отчёт от команды Windows Defender ATP, в котором они рассказывают о новой атаке группировки Tropic Trooper.
В тексте проскальзывает, что обнаружили оперативно за счёт постоянного мониторинга процессов и приложений, а также оперативной отправки информации в Microsoft.
Возможно скоро вместо модных агентов для анти-apt решений будем ставить просто Windows. И все будет хорошо.
Помните, что большой брат (Windows) следит за вами. И ему очень интересно, что же у вас происходит на компьютере. По умолчанию, без лишних вопросов - ваш личный агент Windows Defender ATP.
Интересное чтиво
https://cloudblogs.microsoft.com/microsoftsecure/2018/11/28/windows-defender-atp-device-risk-score-exposes-new-cyberattack-drives-conditional-access-to-protect-networks/
Microsoft Security
Windows Defender ATP device risk score exposes new cyberattack, drives Conditional access to protect networks - Microsoft Security
Several weeks ago, the Windows Defender Advanced Threat Protection (Windows Defender ATP) team uncovered a new cyberattack that targeted several high-profile organizations in the energy and food and beverage sectors in Asia.
OSINT китайских пользователей
А китайский язык тоже становится международным языком. Вы наверное заметили, что в аэропортах информация теперь дублируется не только на английском, но ещё и на китайском (правда не во всех ещё, но уже встречали такое).
Бывает так, что заказчиком RedTeam кампании выступает китайская фирма. И тут исследователей ждут сюрпризы, связанные с китайским языком и великим китайским фаерволом. Но работать надо. И на первом этапе надо каким-то образом провести OSINT.
Проводя OSINT невольно задумываешься о том, что многие методы работают для европейских пользователей и совершенно не очевидно их применение для Китая. Потому что иероглифы. Потому что совершенно непонятно.
Великий китайский фаервол и иероглифы надёжно защищают китайских пользователей от osint, а также массовых атак. В новостях постоянно проскальзывает информация об активности китайских APT группировок. И очень мало информации о том, что ресурсы Китая подверглись атаке.
А ещё в Китае запретили Facebook и Twitter. И методы по исследованию через такого рода соц сети тоже не работают.
В общем OSINT для Китая надо тоже как-то проводить. В Китае много своих местных соц сетей, разрешенных правительством. Одной из таких соц сетей является Maimai - аналог LinkedIn. Говорят, что по ней удобно искать сотрудников китайских компаний. И даже тулза есть специальная для OSINT под эту соц сеть. Называется MaiInt.
Единственный минус - нужны логины и пароли от этой соц сети - надо зарегистрироваться.
На выходе получается табличка с китайскими пользователями, которые имеют отношение к определенной компании, их должности и почты. И все конечно на китайском...
https://github.com/vysec/MaiInt
А китайский язык тоже становится международным языком. Вы наверное заметили, что в аэропортах информация теперь дублируется не только на английском, но ещё и на китайском (правда не во всех ещё, но уже встречали такое).
Бывает так, что заказчиком RedTeam кампании выступает китайская фирма. И тут исследователей ждут сюрпризы, связанные с китайским языком и великим китайским фаерволом. Но работать надо. И на первом этапе надо каким-то образом провести OSINT.
Проводя OSINT невольно задумываешься о том, что многие методы работают для европейских пользователей и совершенно не очевидно их применение для Китая. Потому что иероглифы. Потому что совершенно непонятно.
Великий китайский фаервол и иероглифы надёжно защищают китайских пользователей от osint, а также массовых атак. В новостях постоянно проскальзывает информация об активности китайских APT группировок. И очень мало информации о том, что ресурсы Китая подверглись атаке.
А ещё в Китае запретили Facebook и Twitter. И методы по исследованию через такого рода соц сети тоже не работают.
В общем OSINT для Китая надо тоже как-то проводить. В Китае много своих местных соц сетей, разрешенных правительством. Одной из таких соц сетей является Maimai - аналог LinkedIn. Говорят, что по ней удобно искать сотрудников китайских компаний. И даже тулза есть специальная для OSINT под эту соц сеть. Называется MaiInt.
Единственный минус - нужны логины и пароли от этой соц сети - надо зарегистрироваться.
На выходе получается табличка с китайскими пользователями, которые имеют отношение к определенной компании, их должности и почты. И все конечно на китайском...
https://github.com/vysec/MaiInt
МФУ действительно многофункционально
Для удобства сотрудников и поддержки документооборота в компаниях используются сетевые МФУ и принтеры. И большинство из них имеет дефолтные логин и пароль для панели управления. При проведении RedTeam исследований такие устройства очень полезны.
Поскольку устройство сетевое - пользователю нужно проверить доступно оно или нет. В большинстве МФУ есть кнопка "проверить соединение". Что происходит в момент, когда пользователь на нее нажимает?
При подключении пользователя устройство должно проверить, что предоставленные креды пользователя валидны. Для этого оно должно спросить у ldap сервера все ли хорошо с пользователем и отправить предоставленные данные. Недостаток заключается в том, что можно подменить IP адрес сервера. И тогда, слушая 389 порт мы получаем креды пользователя в открытом виде.
#redteam
Для удобства сотрудников и поддержки документооборота в компаниях используются сетевые МФУ и принтеры. И большинство из них имеет дефолтные логин и пароль для панели управления. При проведении RedTeam исследований такие устройства очень полезны.
Поскольку устройство сетевое - пользователю нужно проверить доступно оно или нет. В большинстве МФУ есть кнопка "проверить соединение". Что происходит в момент, когда пользователь на нее нажимает?
При подключении пользователя устройство должно проверить, что предоставленные креды пользователя валидны. Для этого оно должно спросить у ldap сервера все ли хорошо с пользователем и отправить предоставленные данные. Недостаток заключается в том, что можно подменить IP адрес сервера. И тогда, слушая 389 порт мы получаем креды пользователя в открытом виде.
#redteam
0day в MS Windows
Тут выпустили PoC для уязвимости, которая позволяет осуществлять произвольное чтение файлов.
Правда с правами системы. Но вдруг кому пригодится)
Исследователь опубликовал все в обход Microsoft. По всей видимости патчей ещё нет.
Подробнее почитать можно здесь -
https://www.bleepingcomputer.com/news/security/windows-zero-day-poc-lets-you-read-any-file-with-system-level-access/
Скачать реализацию здесь - https://drive.google.com/file/d/1fMuDp1Rqy4oUrM3W7r3ika03Y9-5Xtds/view?usp=sharing
У кого-то будет очень Happy Christmas!
Тут выпустили PoC для уязвимости, которая позволяет осуществлять произвольное чтение файлов.
Правда с правами системы. Но вдруг кому пригодится)
Исследователь опубликовал все в обход Microsoft. По всей видимости патчей ещё нет.
Подробнее почитать можно здесь -
https://www.bleepingcomputer.com/news/security/windows-zero-day-poc-lets-you-read-any-file-with-system-level-access/
Скачать реализацию здесь - https://drive.google.com/file/d/1fMuDp1Rqy4oUrM3W7r3ika03Y9-5Xtds/view?usp=sharing
У кого-то будет очень Happy Christmas!
BleepingComputer
Windows Zero-Day PoC Lets You Read Any File with System Level Access
For a third time in four months, a security researcher announces a zero-day vulnerability in Microsoft Windows and provides exploit code that allows reading into unauthorized locations.
Заметки на полях
Если вы очутились на машине заказчика и у вас нет времени бегать по папкам и смотреть какие документы где лежат - быстрое решение - посмотреть файлик index.dat
Он находится в \AppData\Roaming\Microsoft\Office\Recent\index.dat и показывает какие файлы открывались последними в различных приложениях MS Office.
Это могут быть какие-то интересные файлы с кредами или сетевой информацией. Найти нужный файл гораздо легче, зная его имя)
#redteam
Если вы очутились на машине заказчика и у вас нет времени бегать по папкам и смотреть какие документы где лежат - быстрое решение - посмотреть файлик index.dat
Он находится в \AppData\Roaming\Microsoft\Office\Recent\index.dat и показывает какие файлы открывались последними в различных приложениях MS Office.
Это могут быть какие-то интересные файлы с кредами или сетевой информацией. Найти нужный файл гораздо легче, зная его имя)
#redteam
Рейтинг упоминания критичных уязвимостей 2018 года по версии СМИ
Время подводить итоги года. Поскольку мы — часть компании, специализирующейся на аналитике СМИ — представляем вам рейтинг критичных уязвимостей, которые упоминались в СМИ в 2018 году. Обращаем ваше внимание, что рейтинг показывает то, какие уязвимости вызвали интерес у непрофильных СМИ (не ИТ и ИБ СМИ).
https://medium.com/@karelova.ov/рейтинг-упоминаний-критичных-уязвимостей-2018-года-по-версии-сми-f33c56911cae
Время подводить итоги года. Поскольку мы — часть компании, специализирующейся на аналитике СМИ — представляем вам рейтинг критичных уязвимостей, которые упоминались в СМИ в 2018 году. Обращаем ваше внимание, что рейтинг показывает то, какие уязвимости вызвали интерес у непрофильных СМИ (не ИТ и ИБ СМИ).
https://medium.com/@karelova.ov/рейтинг-упоминаний-критичных-уязвимостей-2018-года-по-версии-сми-f33c56911cae
Medium
Рейтинг упоминания критичных уязвимостей 2018 года по версии СМИ
Время подводить итоги года. Поскольку мы — часть компании, специализирующейся на аналитике СМИ — представляем вам рейтинг критичных…
Habr Time
Конец года - время отдавать долги. Мы тоже решили наконец сделать то, что надо было сделать давно - опубливать вторую статью по следам OFFZONE-2018.
Итак, статья по докладу main track ""Секретки" DPAPI или DPAPI для пентестеров" - читайте, изучайте!
Предупреждение - статья большая, много буковок
#offzone
https://habr.com/post/434514/
Конец года - время отдавать долги. Мы тоже решили наконец сделать то, что надо было сделать давно - опубливать вторую статью по следам OFFZONE-2018.
Итак, статья по докладу main track ""Секретки" DPAPI или DPAPI для пентестеров" - читайте, изучайте!
Предупреждение - статья большая, много буковок
#offzone
https://habr.com/post/434514/
Хабр
«Секретики» DPAPI или DPAPI для пентестеров
Вторая статья по итогам выступления нашей команды на OFFZONE-2018. На этот раз рассмотрим доклад с MainTrack “Windows DPAPI “Sekretiki” or DPAPI for pentesters”.
Рейтинг упоминаний крупных утечек данных 2018 года в СМИ
В 2018 году СМИ пестрили заголовками об утечках данных из различного рода организаций. Мы решили составить для вас рейтинг самых запомнившихся утечек, которые СМИ упоминали огромное количество раз.
https://medium.com/@karelova.ov/рейтинг-упоминаний-крупных-утечек-данных-в-2018-году-в-сми-d4f35273be08
В 2018 году СМИ пестрили заголовками об утечках данных из различного рода организаций. Мы решили составить для вас рейтинг самых запомнившихся утечек, которые СМИ упоминали огромное количество раз.
https://medium.com/@karelova.ov/рейтинг-упоминаний-крупных-утечек-данных-в-2018-году-в-сми-d4f35273be08
Medium
Рейтинг упоминаний крупных утечек данных 2018 года в СМИ
В 2018 году СМИ пестрили заголовками об утечках данных из различного рода организаций. Мы решили составить для вас рейтинг самых…
Microsoft Exchange Mailbox Auditing
Все знают, что при проведении RedTeam кампаний очень важно получить доступ к почте клиента и попробовать поискать там информацию. Ибо это полная имитация действий злоумышленника.
BlueTeam достаточно сложно расследовать инцидент с почтой - они не знают какую информацию получил злоумышленник из почты и по умолчанию считают весь почтовый ящик скомпрометированным (если это хорошая BlueTeam).
Компания Microsoft тоже решила не стоять на месте и выпустила фишку - аудит почтовых ящиков в Office 365. Однако это была дополнительная функция, которую не все включали.
Поэтому в июле 2018 года Microsoft записали в свой roadmap (roadmap id 32224) задачу сделать аудит обязательным для всех клиентов и добавить какие-нибудь плюшечки.
И вот первая плюшечка будет реализована 1 февраля 2019 года - в логах будет отображаться какие письма читал пользователь, администратор или делегат. Это должно упросить работу BlueTeam при компрометации аккаунта.
А RedTeam опять придется с этим что-то думать.
Будьте готовы к обновлениям!
Все знают, что при проведении RedTeam кампаний очень важно получить доступ к почте клиента и попробовать поискать там информацию. Ибо это полная имитация действий злоумышленника.
BlueTeam достаточно сложно расследовать инцидент с почтой - они не знают какую информацию получил злоумышленник из почты и по умолчанию считают весь почтовый ящик скомпрометированным (если это хорошая BlueTeam).
Компания Microsoft тоже решила не стоять на месте и выпустила фишку - аудит почтовых ящиков в Office 365. Однако это была дополнительная функция, которую не все включали.
Поэтому в июле 2018 года Microsoft записали в свой roadmap (roadmap id 32224) задачу сделать аудит обязательным для всех клиентов и добавить какие-нибудь плюшечки.
И вот первая плюшечка будет реализована 1 февраля 2019 года - в логах будет отображаться какие письма читал пользователь, администратор или делегат. Это должно упросить работу BlueTeam при компрометации аккаунта.
А RedTeam опять придется с этим что-то думать.
Будьте готовы к обновлениям!
RedTeam SIEM
Мы привыкли, что SIEM - это про то, что находится со стороны заказчика, то что использует BlueTeam для детектирования аномальной активности.
А что если использовать инструменты BlueTeam для слежки за самой BlueTeam?
Такая идея посетила ребят и на BruCon 2018 они презентовали потрясающий инструмент - RedELK - систему мониторинга активности BlueTeam.
Система пока ещё сыровата, но каждая команда может доработать ее "под себя" - главное база есть.
Закрепление в системе и пост эксплуатация - одни из последних этапов RedTeam кампаний, но одни из самых важных. Для тренировки BlueTeam необходимо имитировать реакцию злоумышленника, который пытается скрыться.
RedELK позволяет собирать логи с машин, на которых произошло закрепление, анализировать их, мониторить С2 сервера на наличие каких-либо аномалий, а также мониторить открытые ресурсы (такие как Virustotal Spamhaus и т.д.) на наличие запросов от BlueTeam по семплам.
За счёт использования связки Elasticsearch, Kibana и Logstash система позволяет обрабатывать большое количество данных и выводить только нужную информацию.
А ещё можно настроить систему уведомлений для RedTeam, если пошла какая-то активность.
В общем, делимся с вами ссылочкой на эту систему
https://github.com/outflanknl/RedELK
#redteam
Мы привыкли, что SIEM - это про то, что находится со стороны заказчика, то что использует BlueTeam для детектирования аномальной активности.
А что если использовать инструменты BlueTeam для слежки за самой BlueTeam?
Такая идея посетила ребят и на BruCon 2018 они презентовали потрясающий инструмент - RedELK - систему мониторинга активности BlueTeam.
Система пока ещё сыровата, но каждая команда может доработать ее "под себя" - главное база есть.
Закрепление в системе и пост эксплуатация - одни из последних этапов RedTeam кампаний, но одни из самых важных. Для тренировки BlueTeam необходимо имитировать реакцию злоумышленника, который пытается скрыться.
RedELK позволяет собирать логи с машин, на которых произошло закрепление, анализировать их, мониторить С2 сервера на наличие каких-либо аномалий, а также мониторить открытые ресурсы (такие как Virustotal Spamhaus и т.д.) на наличие запросов от BlueTeam по семплам.
За счёт использования связки Elasticsearch, Kibana и Logstash система позволяет обрабатывать большое количество данных и выводить только нужную информацию.
А ещё можно настроить систему уведомлений для RedTeam, если пошла какая-то активность.
В общем, делимся с вами ссылочкой на эту систему
https://github.com/outflanknl/RedELK
#redteam
Windows Registry Forensics
Компания Fireeye, известная своими решениями по обнаружению целенаправленных атак, выпустила интересную статью.
Рассказывают о том, как им помогает анализ реестра ОС Windows для расследования.
Очень интересно для понимания какие следы можно оставить на компьютере заказчика.
Каждый найдет для себя интересное сам. Но что можно выделить:
- бэкап реестра делается каждые 10 дней с помощью RegldleBackup. Однако в Windows 10 он отсутствует и бэкап не делается;
- удаленные из реестра данные восстанавливают и анализируют;
- планировщик задач тоже ведёт логи, но не в Windows 10
#blueteam
https://www.fireeye.com/blog/threat-research/2019/01/digging-up-the-past-windows-registry-forensics-revisited.html
Компания Fireeye, известная своими решениями по обнаружению целенаправленных атак, выпустила интересную статью.
Рассказывают о том, как им помогает анализ реестра ОС Windows для расследования.
Очень интересно для понимания какие следы можно оставить на компьютере заказчика.
Каждый найдет для себя интересное сам. Но что можно выделить:
- бэкап реестра делается каждые 10 дней с помощью RegldleBackup. Однако в Windows 10 он отсутствует и бэкап не делается;
- удаленные из реестра данные восстанавливают и анализируют;
- планировщик задач тоже ведёт логи, но не в Windows 10
#blueteam
https://www.fireeye.com/blog/threat-research/2019/01/digging-up-the-past-windows-registry-forensics-revisited.html
Google Cloud Blog
Digging Up the Past: Windows Registry Forensics Revisited | Mandiant | Google Cloud Blog