Вопросики в Windows10

Пост из серии "фишечки" от microsoft.

При проведении RedTeam или пентеста все стараются получить права доменного администратора и, самое главное, не потерять их. Как уже говорили - всегда стараются использовать встроенные методы и фишечки. Постоянно появляются новые методы на основе DCShadow или DACL.

На BlackHat Europe ребята рассказали о новом подходе - использующем функции безопасности Windows 10.

В апреле Microsoft представила новую "фишечку" - секретные вопросы пользователя, используя которые он сможет восстановить доступ к локальной учётной записи. Вопросы не интеллектуальные от слова совсем. "Как звали вашего первого питомца?" - такие вопросы стоят на страже безопасности вашего домена.

Попав в сеть компании, используя функцию "сброс пароля" можно поменять пароль, а затем восстановить старый. Спасибо, dpapi!

Кстати, функция включена по умолчанию!

Подробнее можно прочитать в презентации доклада по ссылке ниже

https://i.blackhat.com/eu-18/Wed-Dec-5/eu-18-Baz-When-Everyones-Dog-Is-Named-Fluffy.pdf

Заметки на полях
Говорят, что для того, чтобы SEP (Symantec Endpoint Protection) не детектил вредонос на системе в виде .exe файла - его надо залить на машину не как .exe и локально сделать .exe

SEP проверяет репутацию файлов, загруженных из интернета, но, по всей видимости, доверяет машине, на которой он установлен.

UPD: проверили. Не работает.

Но работает другая: запуск вредоносного файла через PowerShell будет палиться SEPом. Если переименуем PowerShell в example.exe и запустим через него - отработает без каких-либо подозрений от SEP

Offline Attack on AD
Сегодня делимся с вами презентацией с HIP conference 2018.

Создатель DSInternals рассказывает о том как можно хулиганить в AD, как круто для злоумышленника, когда включен credential roaming и как слабые пароли могут изменить жизнь всего домена.

https://www.dsinternals.com/wp-content/uploads/HIP_AD_Offline_Attacks.pdf

Windows Defender ATP или агент по умолчанию

Помните, года так 3-4 назад всегда смеялись, что defender не антивирус и что его наличие на компьютере никак не мешает запуску всего, что нужно пентестеру.

Время идёт и заметили, что defender то стал более качественным и, действительно, иногда показывает результат гораздо лучший, чем некоторые другие антивирусы.

А тут ещё в ноябре вышел отчёт от команды Windows Defender ATP, в котором они рассказывают о новой атаке группировки Tropic Trooper.

В тексте проскальзывает, что обнаружили оперативно за счёт постоянного мониторинга процессов и приложений, а также оперативной отправки информации в Microsoft.

Возможно скоро вместо модных агентов для анти-apt решений будем ставить просто Windows. И все будет хорошо.

Помните, что большой брат (Windows) следит за вами. И ему очень интересно, что же у вас происходит на компьютере. По умолчанию, без лишних вопросов - ваш личный агент Windows Defender ATP.

Интересное чтиво
https://cloudblogs.microsoft.com/microsoftsecure/2018/11/28/windows-defender-atp-device-risk-score-exposes-new-cyberattack-drives-conditional-access-to-protect-networks/

OSINT китайских пользователей

А китайский язык тоже становится международным языком. Вы наверное заметили, что в аэропортах информация теперь дублируется не только на английском, но ещё и на китайском (правда не во всех ещё, но уже встречали такое).

Бывает так, что заказчиком RedTeam кампании выступает китайская фирма. И тут исследователей ждут сюрпризы, связанные с китайским языком и великим китайским фаерволом. Но работать надо. И на первом этапе надо каким-то образом провести OSINT.

Проводя OSINT невольно задумываешься о том, что многие методы работают для европейских пользователей и совершенно не очевидно их применение для Китая. Потому что иероглифы. Потому что совершенно непонятно.

Великий китайский фаервол и иероглифы надёжно защищают китайских пользователей от osint, а также массовых атак. В новостях постоянно проскальзывает информация об активности китайских APT группировок. И очень мало информации о том, что ресурсы Китая подверглись атаке.

А ещё в Китае запретили Facebook и Twitter. И методы по исследованию через такого рода соц сети тоже не работают.

В общем OSINT для Китая надо тоже как-то проводить. В Китае много своих местных соц сетей, разрешенных правительством. Одной из таких соц сетей является Maimai - аналог LinkedIn. Говорят, что по ней удобно искать сотрудников китайских компаний. И даже тулза есть специальная для OSINT под эту соц сеть. Называется MaiInt.

Единственный минус - нужны логины и пароли от этой соц сети - надо зарегистрироваться.

На выходе получается табличка с китайскими пользователями, которые имеют отношение к определенной компании, их должности и почты. И все конечно на китайском...

https://github.com/vysec/MaiInt

МФУ действительно многофункционально

Для удобства сотрудников и поддержки документооборота в компаниях используются сетевые МФУ и принтеры. И большинство из них имеет дефолтные логин и пароль для панели управления. При проведении RedTeam исследований такие устройства очень полезны.

Поскольку устройство сетевое - пользователю нужно проверить доступно оно или нет. В большинстве МФУ есть кнопка "проверить соединение". Что происходит в момент, когда пользователь на нее нажимает?

При подключении пользователя устройство должно проверить, что предоставленные креды пользователя валидны. Для этого оно должно спросить у ldap сервера все ли хорошо с пользователем и отправить предоставленные данные. Недостаток заключается в том, что можно подменить IP адрес сервера. И тогда, слушая 389 порт мы получаем креды пользователя в открытом виде.

#redteam

0day в MS Windows

Тут выпустили PoC для уязвимости, которая позволяет осуществлять произвольное чтение файлов.

Правда с правами системы. Но вдруг кому пригодится)

Исследователь опубликовал все в обход Microsoft. По всей видимости патчей ещё нет.

Подробнее почитать можно здесь -
https://www.bleepingcomputer.com/news/security/windows-zero-day-poc-lets-you-read-any-file-with-system-level-access/

Скачать реализацию здесь - https://drive.google.com/file/d/1fMuDp1Rqy4oUrM3W7r3ika03Y9-5Xtds/view?usp=sharing

У кого-то будет очень Happy Christmas!

Заметки на полях

Если вы очутились на машине заказчика и у вас нет времени бегать по папкам и смотреть какие документы где лежат - быстрое решение - посмотреть файлик index.dat

Он находится в \AppData\Roaming\Microsoft\Office\Recent\index.dat и показывает какие файлы открывались последними в различных приложениях MS Office.

Это могут быть какие-то интересные файлы с кредами или сетевой информацией. Найти нужный файл гораздо легче, зная его имя)

#redteam

Рейтинг упоминания критичных уязвимостей 2018 года по версии СМИ

Время подводить итоги года. Поскольку мы — часть компании, специализирующейся на аналитике СМИ — представляем вам рейтинг критичных уязвимостей, которые упоминались в СМИ в 2018 году. Обращаем ваше внимание, что рейтинг показывает то, какие уязвимости вызвали интерес у непрофильных СМИ (не ИТ и ИБ СМИ).


https://medium.com/@karelova.ov/рейтинг-упоминаний-критичных-уязвимостей-2018-года-по-версии-сми-f33c56911cae

Habr Time

Конец года - время отдавать долги. Мы тоже решили наконец сделать то, что надо было сделать давно - опубливать вторую статью по следам OFFZONE-2018.

Итак, статья по докладу main track ""Секретки" DPAPI или DPAPI для пентестеров" - читайте, изучайте!

Предупреждение - статья большая, много буковок

#offzone

https://habr.com/post/434514/

Рейтинг упоминаний крупных утечек данных 2018 года в СМИ

В 2018 году СМИ пестрили заголовками об утечках данных из различного рода организаций. Мы решили составить для вас рейтинг самых запомнившихся утечек, которые СМИ упоминали огромное количество раз.

https://medium.com/@karelova.ov/рейтинг-упоминаний-крупных-утечек-данных-в-2018-году-в-сми-d4f35273be08

В конце года не хочется делать супер умных постов. До Нового года 2 дня. Пора немного передохнуть и расслабиться. Небольшой комикс про Little Bobby, покоривший наши сердца))

Дорогие друзья, коллеги, единомышленники и подписчики!

[MIS]Team от всей души поздравляет вас с наступающим 2019 годом!

Желаем вам успехов, удачи, профессионального развития, карьерного роста, интересных ресечей, крутых уязвимостей и обходимых средств защиты!

Счастливого Нового года!!

Ваш [MIS]Team

Microsoft Exchange Mailbox Auditing

Все знают, что при проведении RedTeam кампаний очень важно получить доступ к почте клиента и попробовать поискать там информацию. Ибо это полная имитация действий злоумышленника.
BlueTeam достаточно сложно расследовать инцидент с почтой - они не знают какую информацию получил злоумышленник из почты и по умолчанию считают весь почтовый ящик скомпрометированным (если это хорошая BlueTeam).

Компания Microsoft тоже решила не стоять на месте и выпустила фишку - аудит почтовых ящиков в Office 365. Однако это была дополнительная функция, которую не все включали.

Поэтому в июле 2018 года Microsoft записали в свой roadmap (roadmap id 32224) задачу сделать аудит обязательным для всех клиентов и добавить какие-нибудь плюшечки.

И вот первая плюшечка будет реализована 1 февраля 2019 года - в логах будет отображаться какие письма читал пользователь, администратор или делегат. Это должно упросить работу BlueTeam при компрометации аккаунта.

А RedTeam опять придется с этим что-то думать.

Будьте готовы к обновлениям!

​​RedTeam SIEM

Мы привыкли, что SIEM - это про то, что находится со стороны заказчика, то что использует BlueTeam для детектирования аномальной активности.

А что если использовать инструменты BlueTeam для слежки за самой BlueTeam?

Такая идея посетила ребят и на BruCon 2018 они презентовали потрясающий инструмент - RedELK - систему мониторинга активности BlueTeam.

Система пока ещё сыровата, но каждая команда может доработать ее "под себя" - главное база есть.

Закрепление в системе и пост эксплуатация - одни из последних этапов RedTeam кампаний, но одни из самых важных. Для тренировки BlueTeam необходимо имитировать реакцию злоумышленника, который пытается скрыться.

RedELK позволяет собирать логи с машин, на которых произошло закрепление, анализировать их, мониторить С2 сервера на наличие каких-либо аномалий, а также мониторить открытые ресурсы (такие как Virustotal Spamhaus и т.д.) на наличие запросов от BlueTeam по семплам.

За счёт использования связки Elasticsearch, Kibana и Logstash система позволяет обрабатывать большое количество данных и выводить только нужную информацию.

А ещё можно настроить систему уведомлений для RedTeam, если пошла какая-то активность.

В общем, делимся с вами ссылочкой на эту систему
https://github.com/outflanknl/RedELK

#redteam

Windows Registry Forensics

Компания Fireeye, известная своими решениями по обнаружению целенаправленных атак, выпустила интересную статью.

Рассказывают о том, как им помогает анализ реестра ОС Windows для расследования.

Очень интересно для понимания какие следы можно оставить на компьютере заказчика.

Каждый найдет для себя интересное сам. Но что можно выделить:

- бэкап реестра делается каждые 10 дней с помощью RegldleBackup. Однако в Windows 10 он отсутствует и бэкап не делается;

- удаленные из реестра данные восстанавливают и анализируют;

- планировщик задач тоже ведёт логи, но не в Windows 10

#blueteam

https://www.fireeye.com/blog/threat-research/2019/01/digging-up-the-past-windows-registry-forensics-revisited.html

Заметки на полях

Если у вашего заказчика на машине стоит FireEye агент - плохая идея копировать туда Bloodhound.bin.

Агент детектирует данный файл по имени и хешу, а затем просто удаляет его.

Однако небольшие модификации бинарного файла могут решить эту проблему и не вызвать подозрений у FireEye.

#redteam

Windows updates

8 января компания Microsoft выпустила патчи для уязвимости CVE-2019-0543 (локальное повышение привилегий).

Теперь PowerShell сессии не будут запускаться от пользователя, который не является локальным администратором.

Исправление затрагивает не сам PowerShell, а WinRM, который PowerShell использует в качестве удаленного хоста и транспорта.

Будьте внимательны и не удивляйтесь, если после обновлений у вас что-то перестало работать

https://blogs.msdn.microsoft.com/powershell/2019/01/10/windows-security-change-affecting-powershell/

#redteam

О том как Твиттер помогает проводить OSINT

Исследование социальных сетей сотрудников заказчика позволяет понять многое об общественной жизни компании, более целенаправленно составить словарь для брута, продумать легенду для фишинга, определить интересы и круг общения каждого сотрудника.

Однако, искать аккаунты сотрудников не всегда лёгкая задача, особенно на первых этапах, когда о компании и сотрудниках неизвестно ничего.

Однако задачу можно немного упростить. И в этом поможет твиттер и сами сотрудники (конечно же). Удивительно, но в каждой компании есть немало людей, которые создают профили в социальных сетях на рабочую почту. Необъяснимо, но факт.

Так вот, если вы создадите почтовый ящик на outlook.com, добавите в адресную книгу все предполагаемые почты сотрудников заказчика (исходя из политики формирования корпоративного почтового адреса - это не сложно), а потом зарегистрируете твиттер-аккаунт на эту почту - то твиттер радостно вам предложит вам посмотреть аккаунты ваших друзей из адресной книги.

Естественно есть несколько минусов - твиттер не говорит какой аккаунт привязан к какой почте. Но по имени пользователя догадаться не так сложно.

Также это не будет работать, если пользователь отключил возможность нахождения своего аккаунта по почтовому адресу.

Твиттер помогает найти друзей и не только!

Enjoy!

#OSINT

Hammerthrow вместо тысячи действий

Наверное все сталкивались с проблемой, которая возникает на этапе постэксплуатации - BlueTeam начинает видеть в сети активность агента и блокирует IP-адреса и домены.

Сегодня расскажем вам о том, как можно решить такую проблему. Для CobaltStrike есть специальный скрипт - Hammerthrow.

По умолчанию CobaltStrike позволяет агенту менять доменные имена. Однако такая смена происходит по кругу и не всегда является эффективной.

Hammerthrow позволяет менять доменные имена рандомно и устанавливать свое время смены доменного имени. Таким образом средства защиты не обнаруживают каких-либо аномалий в трафике и реагируют спокойно.

Да, для работы такого скрипта необходимо большое количество доменных имён. Однако, это гораздо лучше, чем каждый раз терять агенты на машинах пользователей.

#redteam

https://youtube.com/watch?v=LJbMy_13b7E

Все начинается с Exchange

Мы всегда говорим, что любим, когда у заказчика Exchange, ибо с ним можно проводить различные хулиганства, в том числе атаку MSExchangeRelay.

Однако можно совершать какие-то действия не только с почтой, но и с контроллером домена.

По умолчанию группа Exchange Windows Permissions имеет определенные права в Active Directory, которые позволяют всем пользователям группы изменять доменные привилегии.

Таким образом можно осуществить атаку DCSync. И получить хеши всех паролей всех пользователей из AD.

А все начинается с классического NTLM Relay...

Более подробно написано в статье.

Очень рекомендуем!

#redteam


https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/