Telegram как транспорт, ваш телефон как CC
Вот мы и дожили до того светлого момента, когда в качестве транспорта для общения с CC используется Телеграм бот.
Telepreter - бот, написанный на powershell и использующий api телеграма.
Загружаем несколько dll на Винду жертвы, запускаем powershell командой и можем управлять со своего телефона.
А самое главное - это не вызовет подозрений. Ведь все так любят ставить телеграм на компьютер и обращение к api телеграм в сети будет выглядеть нормально)
https://0x00-0x00.github.io/tools/2018/12/10/Pwning-Computers-using-Telegram-bot-API.html
Вот мы и дожили до того светлого момента, когда в качестве транспорта для общения с CC используется Телеграм бот.
Telepreter - бот, написанный на powershell и использующий api телеграма.
Загружаем несколько dll на Винду жертвы, запускаем powershell командой и можем управлять со своего телефона.
А самое главное - это не вызовет подозрений. Ведь все так любят ставить телеграм на компьютер и обращение к api телеграм в сети будет выглядеть нормально)
https://0x00-0x00.github.io/tools/2018/12/10/Pwning-Computers-using-Telegram-bot-API.html
zc00l blog
Pwning computers using Telegram bot API
Introduction
Вопросики в Windows10
Пост из серии "фишечки" от microsoft.
При проведении RedTeam или пентеста все стараются получить права доменного администратора и, самое главное, не потерять их. Как уже говорили - всегда стараются использовать встроенные методы и фишечки. Постоянно появляются новые методы на основе DCShadow или DACL.
На BlackHat Europe ребята рассказали о новом подходе - использующем функции безопасности Windows 10.
В апреле Microsoft представила новую "фишечку" - секретные вопросы пользователя, используя которые он сможет восстановить доступ к локальной учётной записи. Вопросы не интеллектуальные от слова совсем. "Как звали вашего первого питомца?" - такие вопросы стоят на страже безопасности вашего домена.
Попав в сеть компании, используя функцию "сброс пароля" можно поменять пароль, а затем восстановить старый. Спасибо, dpapi!
Кстати, функция включена по умолчанию!
Подробнее можно прочитать в презентации доклада по ссылке ниже
https://i.blackhat.com/eu-18/Wed-Dec-5/eu-18-Baz-When-Everyones-Dog-Is-Named-Fluffy.pdf
Пост из серии "фишечки" от microsoft.
При проведении RedTeam или пентеста все стараются получить права доменного администратора и, самое главное, не потерять их. Как уже говорили - всегда стараются использовать встроенные методы и фишечки. Постоянно появляются новые методы на основе DCShadow или DACL.
На BlackHat Europe ребята рассказали о новом подходе - использующем функции безопасности Windows 10.
В апреле Microsoft представила новую "фишечку" - секретные вопросы пользователя, используя которые он сможет восстановить доступ к локальной учётной записи. Вопросы не интеллектуальные от слова совсем. "Как звали вашего первого питомца?" - такие вопросы стоят на страже безопасности вашего домена.
Попав в сеть компании, используя функцию "сброс пароля" можно поменять пароль, а затем восстановить старый. Спасибо, dpapi!
Кстати, функция включена по умолчанию!
Подробнее можно прочитать в презентации доклада по ссылке ниже
https://i.blackhat.com/eu-18/Wed-Dec-5/eu-18-Baz-When-Everyones-Dog-Is-Named-Fluffy.pdf
Заметки на полях
Говорят, что для того, чтобы SEP (Symantec Endpoint Protection) не детектил вредонос на системе в виде .exe файла - его надо залить на машину не как .exe и локально сделать .exe
SEP проверяет репутацию файлов, загруженных из интернета, но, по всей видимости, доверяет машине, на которой он установлен.
UPD: проверили. Не работает.
Но работает другая: запуск вредоносного файла через PowerShell будет палиться SEPом. Если переименуем PowerShell в example.exe и запустим через него - отработает без каких-либо подозрений от SEP
Говорят, что для того, чтобы SEP (Symantec Endpoint Protection) не детектил вредонос на системе в виде .exe файла - его надо залить на машину не как .exe и локально сделать .exe
SEP проверяет репутацию файлов, загруженных из интернета, но, по всей видимости, доверяет машине, на которой он установлен.
UPD: проверили. Не работает.
Но работает другая: запуск вредоносного файла через PowerShell будет палиться SEPом. Если переименуем PowerShell в example.exe и запустим через него - отработает без каких-либо подозрений от SEP
Offline Attack on AD
Сегодня делимся с вами презентацией с HIP conference 2018.
Создатель DSInternals рассказывает о том как можно хулиганить в AD, как круто для злоумышленника, когда включен credential roaming и как слабые пароли могут изменить жизнь всего домена.
https://www.dsinternals.com/wp-content/uploads/HIP_AD_Offline_Attacks.pdf
Сегодня делимся с вами презентацией с HIP conference 2018.
Создатель DSInternals рассказывает о том как можно хулиганить в AD, как круто для злоумышленника, когда включен credential roaming и как слабые пароли могут изменить жизнь всего домена.
https://www.dsinternals.com/wp-content/uploads/HIP_AD_Offline_Attacks.pdf
Windows Defender ATP или агент по умолчанию
Помните, года так 3-4 назад всегда смеялись, что defender не антивирус и что его наличие на компьютере никак не мешает запуску всего, что нужно пентестеру.
Время идёт и заметили, что defender то стал более качественным и, действительно, иногда показывает результат гораздо лучший, чем некоторые другие антивирусы.
А тут ещё в ноябре вышел отчёт от команды Windows Defender ATP, в котором они рассказывают о новой атаке группировки Tropic Trooper.
В тексте проскальзывает, что обнаружили оперативно за счёт постоянного мониторинга процессов и приложений, а также оперативной отправки информации в Microsoft.
Возможно скоро вместо модных агентов для анти-apt решений будем ставить просто Windows. И все будет хорошо.
Помните, что большой брат (Windows) следит за вами. И ему очень интересно, что же у вас происходит на компьютере. По умолчанию, без лишних вопросов - ваш личный агент Windows Defender ATP.
Интересное чтиво
https://cloudblogs.microsoft.com/microsoftsecure/2018/11/28/windows-defender-atp-device-risk-score-exposes-new-cyberattack-drives-conditional-access-to-protect-networks/
Помните, года так 3-4 назад всегда смеялись, что defender не антивирус и что его наличие на компьютере никак не мешает запуску всего, что нужно пентестеру.
Время идёт и заметили, что defender то стал более качественным и, действительно, иногда показывает результат гораздо лучший, чем некоторые другие антивирусы.
А тут ещё в ноябре вышел отчёт от команды Windows Defender ATP, в котором они рассказывают о новой атаке группировки Tropic Trooper.
В тексте проскальзывает, что обнаружили оперативно за счёт постоянного мониторинга процессов и приложений, а также оперативной отправки информации в Microsoft.
Возможно скоро вместо модных агентов для анти-apt решений будем ставить просто Windows. И все будет хорошо.
Помните, что большой брат (Windows) следит за вами. И ему очень интересно, что же у вас происходит на компьютере. По умолчанию, без лишних вопросов - ваш личный агент Windows Defender ATP.
Интересное чтиво
https://cloudblogs.microsoft.com/microsoftsecure/2018/11/28/windows-defender-atp-device-risk-score-exposes-new-cyberattack-drives-conditional-access-to-protect-networks/
Microsoft Security
Windows Defender ATP device risk score exposes new cyberattack, drives Conditional access to protect networks - Microsoft Security
Several weeks ago, the Windows Defender Advanced Threat Protection (Windows Defender ATP) team uncovered a new cyberattack that targeted several high-profile organizations in the energy and food and beverage sectors in Asia.
OSINT китайских пользователей
А китайский язык тоже становится международным языком. Вы наверное заметили, что в аэропортах информация теперь дублируется не только на английском, но ещё и на китайском (правда не во всех ещё, но уже встречали такое).
Бывает так, что заказчиком RedTeam кампании выступает китайская фирма. И тут исследователей ждут сюрпризы, связанные с китайским языком и великим китайским фаерволом. Но работать надо. И на первом этапе надо каким-то образом провести OSINT.
Проводя OSINT невольно задумываешься о том, что многие методы работают для европейских пользователей и совершенно не очевидно их применение для Китая. Потому что иероглифы. Потому что совершенно непонятно.
Великий китайский фаервол и иероглифы надёжно защищают китайских пользователей от osint, а также массовых атак. В новостях постоянно проскальзывает информация об активности китайских APT группировок. И очень мало информации о том, что ресурсы Китая подверглись атаке.
А ещё в Китае запретили Facebook и Twitter. И методы по исследованию через такого рода соц сети тоже не работают.
В общем OSINT для Китая надо тоже как-то проводить. В Китае много своих местных соц сетей, разрешенных правительством. Одной из таких соц сетей является Maimai - аналог LinkedIn. Говорят, что по ней удобно искать сотрудников китайских компаний. И даже тулза есть специальная для OSINT под эту соц сеть. Называется MaiInt.
Единственный минус - нужны логины и пароли от этой соц сети - надо зарегистрироваться.
На выходе получается табличка с китайскими пользователями, которые имеют отношение к определенной компании, их должности и почты. И все конечно на китайском...
https://github.com/vysec/MaiInt
А китайский язык тоже становится международным языком. Вы наверное заметили, что в аэропортах информация теперь дублируется не только на английском, но ещё и на китайском (правда не во всех ещё, но уже встречали такое).
Бывает так, что заказчиком RedTeam кампании выступает китайская фирма. И тут исследователей ждут сюрпризы, связанные с китайским языком и великим китайским фаерволом. Но работать надо. И на первом этапе надо каким-то образом провести OSINT.
Проводя OSINT невольно задумываешься о том, что многие методы работают для европейских пользователей и совершенно не очевидно их применение для Китая. Потому что иероглифы. Потому что совершенно непонятно.
Великий китайский фаервол и иероглифы надёжно защищают китайских пользователей от osint, а также массовых атак. В новостях постоянно проскальзывает информация об активности китайских APT группировок. И очень мало информации о том, что ресурсы Китая подверглись атаке.
А ещё в Китае запретили Facebook и Twitter. И методы по исследованию через такого рода соц сети тоже не работают.
В общем OSINT для Китая надо тоже как-то проводить. В Китае много своих местных соц сетей, разрешенных правительством. Одной из таких соц сетей является Maimai - аналог LinkedIn. Говорят, что по ней удобно искать сотрудников китайских компаний. И даже тулза есть специальная для OSINT под эту соц сеть. Называется MaiInt.
Единственный минус - нужны логины и пароли от этой соц сети - надо зарегистрироваться.
На выходе получается табличка с китайскими пользователями, которые имеют отношение к определенной компании, их должности и почты. И все конечно на китайском...
https://github.com/vysec/MaiInt
МФУ действительно многофункционально
Для удобства сотрудников и поддержки документооборота в компаниях используются сетевые МФУ и принтеры. И большинство из них имеет дефолтные логин и пароль для панели управления. При проведении RedTeam исследований такие устройства очень полезны.
Поскольку устройство сетевое - пользователю нужно проверить доступно оно или нет. В большинстве МФУ есть кнопка "проверить соединение". Что происходит в момент, когда пользователь на нее нажимает?
При подключении пользователя устройство должно проверить, что предоставленные креды пользователя валидны. Для этого оно должно спросить у ldap сервера все ли хорошо с пользователем и отправить предоставленные данные. Недостаток заключается в том, что можно подменить IP адрес сервера. И тогда, слушая 389 порт мы получаем креды пользователя в открытом виде.
#redteam
Для удобства сотрудников и поддержки документооборота в компаниях используются сетевые МФУ и принтеры. И большинство из них имеет дефолтные логин и пароль для панели управления. При проведении RedTeam исследований такие устройства очень полезны.
Поскольку устройство сетевое - пользователю нужно проверить доступно оно или нет. В большинстве МФУ есть кнопка "проверить соединение". Что происходит в момент, когда пользователь на нее нажимает?
При подключении пользователя устройство должно проверить, что предоставленные креды пользователя валидны. Для этого оно должно спросить у ldap сервера все ли хорошо с пользователем и отправить предоставленные данные. Недостаток заключается в том, что можно подменить IP адрес сервера. И тогда, слушая 389 порт мы получаем креды пользователя в открытом виде.
#redteam
0day в MS Windows
Тут выпустили PoC для уязвимости, которая позволяет осуществлять произвольное чтение файлов.
Правда с правами системы. Но вдруг кому пригодится)
Исследователь опубликовал все в обход Microsoft. По всей видимости патчей ещё нет.
Подробнее почитать можно здесь -
https://www.bleepingcomputer.com/news/security/windows-zero-day-poc-lets-you-read-any-file-with-system-level-access/
Скачать реализацию здесь - https://drive.google.com/file/d/1fMuDp1Rqy4oUrM3W7r3ika03Y9-5Xtds/view?usp=sharing
У кого-то будет очень Happy Christmas!
Тут выпустили PoC для уязвимости, которая позволяет осуществлять произвольное чтение файлов.
Правда с правами системы. Но вдруг кому пригодится)
Исследователь опубликовал все в обход Microsoft. По всей видимости патчей ещё нет.
Подробнее почитать можно здесь -
https://www.bleepingcomputer.com/news/security/windows-zero-day-poc-lets-you-read-any-file-with-system-level-access/
Скачать реализацию здесь - https://drive.google.com/file/d/1fMuDp1Rqy4oUrM3W7r3ika03Y9-5Xtds/view?usp=sharing
У кого-то будет очень Happy Christmas!
BleepingComputer
Windows Zero-Day PoC Lets You Read Any File with System Level Access
For a third time in four months, a security researcher announces a zero-day vulnerability in Microsoft Windows and provides exploit code that allows reading into unauthorized locations.
Заметки на полях
Если вы очутились на машине заказчика и у вас нет времени бегать по папкам и смотреть какие документы где лежат - быстрое решение - посмотреть файлик index.dat
Он находится в \AppData\Roaming\Microsoft\Office\Recent\index.dat и показывает какие файлы открывались последними в различных приложениях MS Office.
Это могут быть какие-то интересные файлы с кредами или сетевой информацией. Найти нужный файл гораздо легче, зная его имя)
#redteam
Если вы очутились на машине заказчика и у вас нет времени бегать по папкам и смотреть какие документы где лежат - быстрое решение - посмотреть файлик index.dat
Он находится в \AppData\Roaming\Microsoft\Office\Recent\index.dat и показывает какие файлы открывались последними в различных приложениях MS Office.
Это могут быть какие-то интересные файлы с кредами или сетевой информацией. Найти нужный файл гораздо легче, зная его имя)
#redteam
Рейтинг упоминания критичных уязвимостей 2018 года по версии СМИ
Время подводить итоги года. Поскольку мы — часть компании, специализирующейся на аналитике СМИ — представляем вам рейтинг критичных уязвимостей, которые упоминались в СМИ в 2018 году. Обращаем ваше внимание, что рейтинг показывает то, какие уязвимости вызвали интерес у непрофильных СМИ (не ИТ и ИБ СМИ).
https://medium.com/@karelova.ov/рейтинг-упоминаний-критичных-уязвимостей-2018-года-по-версии-сми-f33c56911cae
Время подводить итоги года. Поскольку мы — часть компании, специализирующейся на аналитике СМИ — представляем вам рейтинг критичных уязвимостей, которые упоминались в СМИ в 2018 году. Обращаем ваше внимание, что рейтинг показывает то, какие уязвимости вызвали интерес у непрофильных СМИ (не ИТ и ИБ СМИ).
https://medium.com/@karelova.ov/рейтинг-упоминаний-критичных-уязвимостей-2018-года-по-версии-сми-f33c56911cae
Medium
Рейтинг упоминания критичных уязвимостей 2018 года по версии СМИ
Время подводить итоги года. Поскольку мы — часть компании, специализирующейся на аналитике СМИ — представляем вам рейтинг критичных…
Habr Time
Конец года - время отдавать долги. Мы тоже решили наконец сделать то, что надо было сделать давно - опубливать вторую статью по следам OFFZONE-2018.
Итак, статья по докладу main track ""Секретки" DPAPI или DPAPI для пентестеров" - читайте, изучайте!
Предупреждение - статья большая, много буковок
#offzone
https://habr.com/post/434514/
Конец года - время отдавать долги. Мы тоже решили наконец сделать то, что надо было сделать давно - опубливать вторую статью по следам OFFZONE-2018.
Итак, статья по докладу main track ""Секретки" DPAPI или DPAPI для пентестеров" - читайте, изучайте!
Предупреждение - статья большая, много буковок
#offzone
https://habr.com/post/434514/
Хабр
«Секретики» DPAPI или DPAPI для пентестеров
Вторая статья по итогам выступления нашей команды на OFFZONE-2018. На этот раз рассмотрим доклад с MainTrack “Windows DPAPI “Sekretiki” or DPAPI for pentesters”.
Рейтинг упоминаний крупных утечек данных 2018 года в СМИ
В 2018 году СМИ пестрили заголовками об утечках данных из различного рода организаций. Мы решили составить для вас рейтинг самых запомнившихся утечек, которые СМИ упоминали огромное количество раз.
https://medium.com/@karelova.ov/рейтинг-упоминаний-крупных-утечек-данных-в-2018-году-в-сми-d4f35273be08
В 2018 году СМИ пестрили заголовками об утечках данных из различного рода организаций. Мы решили составить для вас рейтинг самых запомнившихся утечек, которые СМИ упоминали огромное количество раз.
https://medium.com/@karelova.ov/рейтинг-упоминаний-крупных-утечек-данных-в-2018-году-в-сми-d4f35273be08
Medium
Рейтинг упоминаний крупных утечек данных 2018 года в СМИ
В 2018 году СМИ пестрили заголовками об утечках данных из различного рода организаций. Мы решили составить для вас рейтинг самых…
Microsoft Exchange Mailbox Auditing
Все знают, что при проведении RedTeam кампаний очень важно получить доступ к почте клиента и попробовать поискать там информацию. Ибо это полная имитация действий злоумышленника.
BlueTeam достаточно сложно расследовать инцидент с почтой - они не знают какую информацию получил злоумышленник из почты и по умолчанию считают весь почтовый ящик скомпрометированным (если это хорошая BlueTeam).
Компания Microsoft тоже решила не стоять на месте и выпустила фишку - аудит почтовых ящиков в Office 365. Однако это была дополнительная функция, которую не все включали.
Поэтому в июле 2018 года Microsoft записали в свой roadmap (roadmap id 32224) задачу сделать аудит обязательным для всех клиентов и добавить какие-нибудь плюшечки.
И вот первая плюшечка будет реализована 1 февраля 2019 года - в логах будет отображаться какие письма читал пользователь, администратор или делегат. Это должно упросить работу BlueTeam при компрометации аккаунта.
А RedTeam опять придется с этим что-то думать.
Будьте готовы к обновлениям!
Все знают, что при проведении RedTeam кампаний очень важно получить доступ к почте клиента и попробовать поискать там информацию. Ибо это полная имитация действий злоумышленника.
BlueTeam достаточно сложно расследовать инцидент с почтой - они не знают какую информацию получил злоумышленник из почты и по умолчанию считают весь почтовый ящик скомпрометированным (если это хорошая BlueTeam).
Компания Microsoft тоже решила не стоять на месте и выпустила фишку - аудит почтовых ящиков в Office 365. Однако это была дополнительная функция, которую не все включали.
Поэтому в июле 2018 года Microsoft записали в свой roadmap (roadmap id 32224) задачу сделать аудит обязательным для всех клиентов и добавить какие-нибудь плюшечки.
И вот первая плюшечка будет реализована 1 февраля 2019 года - в логах будет отображаться какие письма читал пользователь, администратор или делегат. Это должно упросить работу BlueTeam при компрометации аккаунта.
А RedTeam опять придется с этим что-то думать.
Будьте готовы к обновлениям!
RedTeam SIEM
Мы привыкли, что SIEM - это про то, что находится со стороны заказчика, то что использует BlueTeam для детектирования аномальной активности.
А что если использовать инструменты BlueTeam для слежки за самой BlueTeam?
Такая идея посетила ребят и на BruCon 2018 они презентовали потрясающий инструмент - RedELK - систему мониторинга активности BlueTeam.
Система пока ещё сыровата, но каждая команда может доработать ее "под себя" - главное база есть.
Закрепление в системе и пост эксплуатация - одни из последних этапов RedTeam кампаний, но одни из самых важных. Для тренировки BlueTeam необходимо имитировать реакцию злоумышленника, который пытается скрыться.
RedELK позволяет собирать логи с машин, на которых произошло закрепление, анализировать их, мониторить С2 сервера на наличие каких-либо аномалий, а также мониторить открытые ресурсы (такие как Virustotal Spamhaus и т.д.) на наличие запросов от BlueTeam по семплам.
За счёт использования связки Elasticsearch, Kibana и Logstash система позволяет обрабатывать большое количество данных и выводить только нужную информацию.
А ещё можно настроить систему уведомлений для RedTeam, если пошла какая-то активность.
В общем, делимся с вами ссылочкой на эту систему
https://github.com/outflanknl/RedELK
#redteam
Мы привыкли, что SIEM - это про то, что находится со стороны заказчика, то что использует BlueTeam для детектирования аномальной активности.
А что если использовать инструменты BlueTeam для слежки за самой BlueTeam?
Такая идея посетила ребят и на BruCon 2018 они презентовали потрясающий инструмент - RedELK - систему мониторинга активности BlueTeam.
Система пока ещё сыровата, но каждая команда может доработать ее "под себя" - главное база есть.
Закрепление в системе и пост эксплуатация - одни из последних этапов RedTeam кампаний, но одни из самых важных. Для тренировки BlueTeam необходимо имитировать реакцию злоумышленника, который пытается скрыться.
RedELK позволяет собирать логи с машин, на которых произошло закрепление, анализировать их, мониторить С2 сервера на наличие каких-либо аномалий, а также мониторить открытые ресурсы (такие как Virustotal Spamhaus и т.д.) на наличие запросов от BlueTeam по семплам.
За счёт использования связки Elasticsearch, Kibana и Logstash система позволяет обрабатывать большое количество данных и выводить только нужную информацию.
А ещё можно настроить систему уведомлений для RedTeam, если пошла какая-то активность.
В общем, делимся с вами ссылочкой на эту систему
https://github.com/outflanknl/RedELK
#redteam
Windows Registry Forensics
Компания Fireeye, известная своими решениями по обнаружению целенаправленных атак, выпустила интересную статью.
Рассказывают о том, как им помогает анализ реестра ОС Windows для расследования.
Очень интересно для понимания какие следы можно оставить на компьютере заказчика.
Каждый найдет для себя интересное сам. Но что можно выделить:
- бэкап реестра делается каждые 10 дней с помощью RegldleBackup. Однако в Windows 10 он отсутствует и бэкап не делается;
- удаленные из реестра данные восстанавливают и анализируют;
- планировщик задач тоже ведёт логи, но не в Windows 10
#blueteam
https://www.fireeye.com/blog/threat-research/2019/01/digging-up-the-past-windows-registry-forensics-revisited.html
Компания Fireeye, известная своими решениями по обнаружению целенаправленных атак, выпустила интересную статью.
Рассказывают о том, как им помогает анализ реестра ОС Windows для расследования.
Очень интересно для понимания какие следы можно оставить на компьютере заказчика.
Каждый найдет для себя интересное сам. Но что можно выделить:
- бэкап реестра делается каждые 10 дней с помощью RegldleBackup. Однако в Windows 10 он отсутствует и бэкап не делается;
- удаленные из реестра данные восстанавливают и анализируют;
- планировщик задач тоже ведёт логи, но не в Windows 10
#blueteam
https://www.fireeye.com/blog/threat-research/2019/01/digging-up-the-past-windows-registry-forensics-revisited.html
Google Cloud Blog
Digging Up the Past: Windows Registry Forensics Revisited | Mandiant | Google Cloud Blog
Заметки на полях
Если у вашего заказчика на машине стоит FireEye агент - плохая идея копировать туда Bloodhound.bin.
Агент детектирует данный файл по имени и хешу, а затем просто удаляет его.
Однако небольшие модификации бинарного файла могут решить эту проблему и не вызвать подозрений у FireEye.
#redteam
Если у вашего заказчика на машине стоит FireEye агент - плохая идея копировать туда Bloodhound.bin.
Агент детектирует данный файл по имени и хешу, а затем просто удаляет его.
Однако небольшие модификации бинарного файла могут решить эту проблему и не вызвать подозрений у FireEye.
#redteam
Windows updates
8 января компания Microsoft выпустила патчи для уязвимости CVE-2019-0543 (локальное повышение привилегий).
Теперь PowerShell сессии не будут запускаться от пользователя, который не является локальным администратором.
Исправление затрагивает не сам PowerShell, а WinRM, который PowerShell использует в качестве удаленного хоста и транспорта.
Будьте внимательны и не удивляйтесь, если после обновлений у вас что-то перестало работать
https://blogs.msdn.microsoft.com/powershell/2019/01/10/windows-security-change-affecting-powershell/
#redteam
8 января компания Microsoft выпустила патчи для уязвимости CVE-2019-0543 (локальное повышение привилегий).
Теперь PowerShell сессии не будут запускаться от пользователя, который не является локальным администратором.
Исправление затрагивает не сам PowerShell, а WinRM, который PowerShell использует в качестве удаленного хоста и транспорта.
Будьте внимательны и не удивляйтесь, если после обновлений у вас что-то перестало работать
https://blogs.msdn.microsoft.com/powershell/2019/01/10/windows-security-change-affecting-powershell/
#redteam
Microsoft News
Windows Security change affecting PowerShell
Windows Security change affecting PowerShell January 9, 2019 The recent (1/8/2019) Windows security patch CVE-2019-0543, has introduced a breaking change for a PowerShell remoting scenario. It is a narrowly scoped scenario that should have low impact for…
О том как Твиттер помогает проводить OSINT
Исследование социальных сетей сотрудников заказчика позволяет понять многое об общественной жизни компании, более целенаправленно составить словарь для брута, продумать легенду для фишинга, определить интересы и круг общения каждого сотрудника.
Однако, искать аккаунты сотрудников не всегда лёгкая задача, особенно на первых этапах, когда о компании и сотрудниках неизвестно ничего.
Однако задачу можно немного упростить. И в этом поможет твиттер и сами сотрудники (конечно же). Удивительно, но в каждой компании есть немало людей, которые создают профили в социальных сетях на рабочую почту. Необъяснимо, но факт.
Так вот, если вы создадите почтовый ящик на outlook.com, добавите в адресную книгу все предполагаемые почты сотрудников заказчика (исходя из политики формирования корпоративного почтового адреса - это не сложно), а потом зарегистрируете твиттер-аккаунт на эту почту - то твиттер радостно вам предложит вам посмотреть аккаунты ваших друзей из адресной книги.
Естественно есть несколько минусов - твиттер не говорит какой аккаунт привязан к какой почте. Но по имени пользователя догадаться не так сложно.
Также это не будет работать, если пользователь отключил возможность нахождения своего аккаунта по почтовому адресу.
Твиттер помогает найти друзей и не только!
Enjoy!
#OSINT
Исследование социальных сетей сотрудников заказчика позволяет понять многое об общественной жизни компании, более целенаправленно составить словарь для брута, продумать легенду для фишинга, определить интересы и круг общения каждого сотрудника.
Однако, искать аккаунты сотрудников не всегда лёгкая задача, особенно на первых этапах, когда о компании и сотрудниках неизвестно ничего.
Однако задачу можно немного упростить. И в этом поможет твиттер и сами сотрудники (конечно же). Удивительно, но в каждой компании есть немало людей, которые создают профили в социальных сетях на рабочую почту. Необъяснимо, но факт.
Так вот, если вы создадите почтовый ящик на outlook.com, добавите в адресную книгу все предполагаемые почты сотрудников заказчика (исходя из политики формирования корпоративного почтового адреса - это не сложно), а потом зарегистрируете твиттер-аккаунт на эту почту - то твиттер радостно вам предложит вам посмотреть аккаунты ваших друзей из адресной книги.
Естественно есть несколько минусов - твиттер не говорит какой аккаунт привязан к какой почте. Но по имени пользователя догадаться не так сложно.
Также это не будет работать, если пользователь отключил возможность нахождения своего аккаунта по почтовому адресу.
Твиттер помогает найти друзей и не только!
Enjoy!
#OSINT
Hammerthrow вместо тысячи действий
Наверное все сталкивались с проблемой, которая возникает на этапе постэксплуатации - BlueTeam начинает видеть в сети активность агента и блокирует IP-адреса и домены.
Сегодня расскажем вам о том, как можно решить такую проблему. Для CobaltStrike есть специальный скрипт - Hammerthrow.
По умолчанию CobaltStrike позволяет агенту менять доменные имена. Однако такая смена происходит по кругу и не всегда является эффективной.
Hammerthrow позволяет менять доменные имена рандомно и устанавливать свое время смены доменного имени. Таким образом средства защиты не обнаруживают каких-либо аномалий в трафике и реагируют спокойно.
Да, для работы такого скрипта необходимо большое количество доменных имён. Однако, это гораздо лучше, чем каждый раз терять агенты на машинах пользователей.
#redteam
https://youtube.com/watch?v=LJbMy_13b7E
Наверное все сталкивались с проблемой, которая возникает на этапе постэксплуатации - BlueTeam начинает видеть в сети активность агента и блокирует IP-адреса и домены.
Сегодня расскажем вам о том, как можно решить такую проблему. Для CobaltStrike есть специальный скрипт - Hammerthrow.
По умолчанию CobaltStrike позволяет агенту менять доменные имена. Однако такая смена происходит по кругу и не всегда является эффективной.
Hammerthrow позволяет менять доменные имена рандомно и устанавливать свое время смены доменного имени. Таким образом средства защиты не обнаруживают каких-либо аномалий в трафике и реагируют спокойно.
Да, для работы такого скрипта необходимо большое количество доменных имён. Однако, это гораздо лучше, чем каждый раз терять агенты на машинах пользователей.
#redteam
https://youtube.com/watch?v=LJbMy_13b7E
YouTube
HAMMERTHROW: Rotate my domain
HAMMERTHROW is an aggressor script for CobaltStrike. It runs as an agent in the background by connecting to the teamserver and controls the listener. HAMMERT...