МФУ действительно многофункционально
Для удобства сотрудников и поддержки документооборота в компаниях используются сетевые МФУ и принтеры. И большинство из них имеет дефолтные логин и пароль для панели управления. При проведении RedTeam исследований такие устройства очень полезны.
Поскольку устройство сетевое - пользователю нужно проверить доступно оно или нет. В большинстве МФУ есть кнопка "проверить соединение". Что происходит в момент, когда пользователь на нее нажимает?
При подключении пользователя устройство должно проверить, что предоставленные креды пользователя валидны. Для этого оно должно спросить у ldap сервера все ли хорошо с пользователем и отправить предоставленные данные. Недостаток заключается в том, что можно подменить IP адрес сервера. И тогда, слушая 389 порт мы получаем креды пользователя в открытом виде.
#redteam
Для удобства сотрудников и поддержки документооборота в компаниях используются сетевые МФУ и принтеры. И большинство из них имеет дефолтные логин и пароль для панели управления. При проведении RedTeam исследований такие устройства очень полезны.
Поскольку устройство сетевое - пользователю нужно проверить доступно оно или нет. В большинстве МФУ есть кнопка "проверить соединение". Что происходит в момент, когда пользователь на нее нажимает?
При подключении пользователя устройство должно проверить, что предоставленные креды пользователя валидны. Для этого оно должно спросить у ldap сервера все ли хорошо с пользователем и отправить предоставленные данные. Недостаток заключается в том, что можно подменить IP адрес сервера. И тогда, слушая 389 порт мы получаем креды пользователя в открытом виде.
#redteam
0day в MS Windows
Тут выпустили PoC для уязвимости, которая позволяет осуществлять произвольное чтение файлов.
Правда с правами системы. Но вдруг кому пригодится)
Исследователь опубликовал все в обход Microsoft. По всей видимости патчей ещё нет.
Подробнее почитать можно здесь -
https://www.bleepingcomputer.com/news/security/windows-zero-day-poc-lets-you-read-any-file-with-system-level-access/
Скачать реализацию здесь - https://drive.google.com/file/d/1fMuDp1Rqy4oUrM3W7r3ika03Y9-5Xtds/view?usp=sharing
У кого-то будет очень Happy Christmas!
Тут выпустили PoC для уязвимости, которая позволяет осуществлять произвольное чтение файлов.
Правда с правами системы. Но вдруг кому пригодится)
Исследователь опубликовал все в обход Microsoft. По всей видимости патчей ещё нет.
Подробнее почитать можно здесь -
https://www.bleepingcomputer.com/news/security/windows-zero-day-poc-lets-you-read-any-file-with-system-level-access/
Скачать реализацию здесь - https://drive.google.com/file/d/1fMuDp1Rqy4oUrM3W7r3ika03Y9-5Xtds/view?usp=sharing
У кого-то будет очень Happy Christmas!
BleepingComputer
Windows Zero-Day PoC Lets You Read Any File with System Level Access
For a third time in four months, a security researcher announces a zero-day vulnerability in Microsoft Windows and provides exploit code that allows reading into unauthorized locations.
Заметки на полях
Если вы очутились на машине заказчика и у вас нет времени бегать по папкам и смотреть какие документы где лежат - быстрое решение - посмотреть файлик index.dat
Он находится в \AppData\Roaming\Microsoft\Office\Recent\index.dat и показывает какие файлы открывались последними в различных приложениях MS Office.
Это могут быть какие-то интересные файлы с кредами или сетевой информацией. Найти нужный файл гораздо легче, зная его имя)
#redteam
Если вы очутились на машине заказчика и у вас нет времени бегать по папкам и смотреть какие документы где лежат - быстрое решение - посмотреть файлик index.dat
Он находится в \AppData\Roaming\Microsoft\Office\Recent\index.dat и показывает какие файлы открывались последними в различных приложениях MS Office.
Это могут быть какие-то интересные файлы с кредами или сетевой информацией. Найти нужный файл гораздо легче, зная его имя)
#redteam
Рейтинг упоминания критичных уязвимостей 2018 года по версии СМИ
Время подводить итоги года. Поскольку мы — часть компании, специализирующейся на аналитике СМИ — представляем вам рейтинг критичных уязвимостей, которые упоминались в СМИ в 2018 году. Обращаем ваше внимание, что рейтинг показывает то, какие уязвимости вызвали интерес у непрофильных СМИ (не ИТ и ИБ СМИ).
https://medium.com/@karelova.ov/рейтинг-упоминаний-критичных-уязвимостей-2018-года-по-версии-сми-f33c56911cae
Время подводить итоги года. Поскольку мы — часть компании, специализирующейся на аналитике СМИ — представляем вам рейтинг критичных уязвимостей, которые упоминались в СМИ в 2018 году. Обращаем ваше внимание, что рейтинг показывает то, какие уязвимости вызвали интерес у непрофильных СМИ (не ИТ и ИБ СМИ).
https://medium.com/@karelova.ov/рейтинг-упоминаний-критичных-уязвимостей-2018-года-по-версии-сми-f33c56911cae
Medium
Рейтинг упоминания критичных уязвимостей 2018 года по версии СМИ
Время подводить итоги года. Поскольку мы — часть компании, специализирующейся на аналитике СМИ — представляем вам рейтинг критичных…
Habr Time
Конец года - время отдавать долги. Мы тоже решили наконец сделать то, что надо было сделать давно - опубливать вторую статью по следам OFFZONE-2018.
Итак, статья по докладу main track ""Секретки" DPAPI или DPAPI для пентестеров" - читайте, изучайте!
Предупреждение - статья большая, много буковок
#offzone
https://habr.com/post/434514/
Конец года - время отдавать долги. Мы тоже решили наконец сделать то, что надо было сделать давно - опубливать вторую статью по следам OFFZONE-2018.
Итак, статья по докладу main track ""Секретки" DPAPI или DPAPI для пентестеров" - читайте, изучайте!
Предупреждение - статья большая, много буковок
#offzone
https://habr.com/post/434514/
Хабр
«Секретики» DPAPI или DPAPI для пентестеров
Вторая статья по итогам выступления нашей команды на OFFZONE-2018. На этот раз рассмотрим доклад с MainTrack “Windows DPAPI “Sekretiki” or DPAPI for pentesters”.
Рейтинг упоминаний крупных утечек данных 2018 года в СМИ
В 2018 году СМИ пестрили заголовками об утечках данных из различного рода организаций. Мы решили составить для вас рейтинг самых запомнившихся утечек, которые СМИ упоминали огромное количество раз.
https://medium.com/@karelova.ov/рейтинг-упоминаний-крупных-утечек-данных-в-2018-году-в-сми-d4f35273be08
В 2018 году СМИ пестрили заголовками об утечках данных из различного рода организаций. Мы решили составить для вас рейтинг самых запомнившихся утечек, которые СМИ упоминали огромное количество раз.
https://medium.com/@karelova.ov/рейтинг-упоминаний-крупных-утечек-данных-в-2018-году-в-сми-d4f35273be08
Medium
Рейтинг упоминаний крупных утечек данных 2018 года в СМИ
В 2018 году СМИ пестрили заголовками об утечках данных из различного рода организаций. Мы решили составить для вас рейтинг самых…
Microsoft Exchange Mailbox Auditing
Все знают, что при проведении RedTeam кампаний очень важно получить доступ к почте клиента и попробовать поискать там информацию. Ибо это полная имитация действий злоумышленника.
BlueTeam достаточно сложно расследовать инцидент с почтой - они не знают какую информацию получил злоумышленник из почты и по умолчанию считают весь почтовый ящик скомпрометированным (если это хорошая BlueTeam).
Компания Microsoft тоже решила не стоять на месте и выпустила фишку - аудит почтовых ящиков в Office 365. Однако это была дополнительная функция, которую не все включали.
Поэтому в июле 2018 года Microsoft записали в свой roadmap (roadmap id 32224) задачу сделать аудит обязательным для всех клиентов и добавить какие-нибудь плюшечки.
И вот первая плюшечка будет реализована 1 февраля 2019 года - в логах будет отображаться какие письма читал пользователь, администратор или делегат. Это должно упросить работу BlueTeam при компрометации аккаунта.
А RedTeam опять придется с этим что-то думать.
Будьте готовы к обновлениям!
Все знают, что при проведении RedTeam кампаний очень важно получить доступ к почте клиента и попробовать поискать там информацию. Ибо это полная имитация действий злоумышленника.
BlueTeam достаточно сложно расследовать инцидент с почтой - они не знают какую информацию получил злоумышленник из почты и по умолчанию считают весь почтовый ящик скомпрометированным (если это хорошая BlueTeam).
Компания Microsoft тоже решила не стоять на месте и выпустила фишку - аудит почтовых ящиков в Office 365. Однако это была дополнительная функция, которую не все включали.
Поэтому в июле 2018 года Microsoft записали в свой roadmap (roadmap id 32224) задачу сделать аудит обязательным для всех клиентов и добавить какие-нибудь плюшечки.
И вот первая плюшечка будет реализована 1 февраля 2019 года - в логах будет отображаться какие письма читал пользователь, администратор или делегат. Это должно упросить работу BlueTeam при компрометации аккаунта.
А RedTeam опять придется с этим что-то думать.
Будьте готовы к обновлениям!
RedTeam SIEM
Мы привыкли, что SIEM - это про то, что находится со стороны заказчика, то что использует BlueTeam для детектирования аномальной активности.
А что если использовать инструменты BlueTeam для слежки за самой BlueTeam?
Такая идея посетила ребят и на BruCon 2018 они презентовали потрясающий инструмент - RedELK - систему мониторинга активности BlueTeam.
Система пока ещё сыровата, но каждая команда может доработать ее "под себя" - главное база есть.
Закрепление в системе и пост эксплуатация - одни из последних этапов RedTeam кампаний, но одни из самых важных. Для тренировки BlueTeam необходимо имитировать реакцию злоумышленника, который пытается скрыться.
RedELK позволяет собирать логи с машин, на которых произошло закрепление, анализировать их, мониторить С2 сервера на наличие каких-либо аномалий, а также мониторить открытые ресурсы (такие как Virustotal Spamhaus и т.д.) на наличие запросов от BlueTeam по семплам.
За счёт использования связки Elasticsearch, Kibana и Logstash система позволяет обрабатывать большое количество данных и выводить только нужную информацию.
А ещё можно настроить систему уведомлений для RedTeam, если пошла какая-то активность.
В общем, делимся с вами ссылочкой на эту систему
https://github.com/outflanknl/RedELK
#redteam
Мы привыкли, что SIEM - это про то, что находится со стороны заказчика, то что использует BlueTeam для детектирования аномальной активности.
А что если использовать инструменты BlueTeam для слежки за самой BlueTeam?
Такая идея посетила ребят и на BruCon 2018 они презентовали потрясающий инструмент - RedELK - систему мониторинга активности BlueTeam.
Система пока ещё сыровата, но каждая команда может доработать ее "под себя" - главное база есть.
Закрепление в системе и пост эксплуатация - одни из последних этапов RedTeam кампаний, но одни из самых важных. Для тренировки BlueTeam необходимо имитировать реакцию злоумышленника, который пытается скрыться.
RedELK позволяет собирать логи с машин, на которых произошло закрепление, анализировать их, мониторить С2 сервера на наличие каких-либо аномалий, а также мониторить открытые ресурсы (такие как Virustotal Spamhaus и т.д.) на наличие запросов от BlueTeam по семплам.
За счёт использования связки Elasticsearch, Kibana и Logstash система позволяет обрабатывать большое количество данных и выводить только нужную информацию.
А ещё можно настроить систему уведомлений для RedTeam, если пошла какая-то активность.
В общем, делимся с вами ссылочкой на эту систему
https://github.com/outflanknl/RedELK
#redteam
Windows Registry Forensics
Компания Fireeye, известная своими решениями по обнаружению целенаправленных атак, выпустила интересную статью.
Рассказывают о том, как им помогает анализ реестра ОС Windows для расследования.
Очень интересно для понимания какие следы можно оставить на компьютере заказчика.
Каждый найдет для себя интересное сам. Но что можно выделить:
- бэкап реестра делается каждые 10 дней с помощью RegldleBackup. Однако в Windows 10 он отсутствует и бэкап не делается;
- удаленные из реестра данные восстанавливают и анализируют;
- планировщик задач тоже ведёт логи, но не в Windows 10
#blueteam
https://www.fireeye.com/blog/threat-research/2019/01/digging-up-the-past-windows-registry-forensics-revisited.html
Компания Fireeye, известная своими решениями по обнаружению целенаправленных атак, выпустила интересную статью.
Рассказывают о том, как им помогает анализ реестра ОС Windows для расследования.
Очень интересно для понимания какие следы можно оставить на компьютере заказчика.
Каждый найдет для себя интересное сам. Но что можно выделить:
- бэкап реестра делается каждые 10 дней с помощью RegldleBackup. Однако в Windows 10 он отсутствует и бэкап не делается;
- удаленные из реестра данные восстанавливают и анализируют;
- планировщик задач тоже ведёт логи, но не в Windows 10
#blueteam
https://www.fireeye.com/blog/threat-research/2019/01/digging-up-the-past-windows-registry-forensics-revisited.html
Google Cloud Blog
Digging Up the Past: Windows Registry Forensics Revisited | Mandiant | Google Cloud Blog
Заметки на полях
Если у вашего заказчика на машине стоит FireEye агент - плохая идея копировать туда Bloodhound.bin.
Агент детектирует данный файл по имени и хешу, а затем просто удаляет его.
Однако небольшие модификации бинарного файла могут решить эту проблему и не вызвать подозрений у FireEye.
#redteam
Если у вашего заказчика на машине стоит FireEye агент - плохая идея копировать туда Bloodhound.bin.
Агент детектирует данный файл по имени и хешу, а затем просто удаляет его.
Однако небольшие модификации бинарного файла могут решить эту проблему и не вызвать подозрений у FireEye.
#redteam
Windows updates
8 января компания Microsoft выпустила патчи для уязвимости CVE-2019-0543 (локальное повышение привилегий).
Теперь PowerShell сессии не будут запускаться от пользователя, который не является локальным администратором.
Исправление затрагивает не сам PowerShell, а WinRM, который PowerShell использует в качестве удаленного хоста и транспорта.
Будьте внимательны и не удивляйтесь, если после обновлений у вас что-то перестало работать
https://blogs.msdn.microsoft.com/powershell/2019/01/10/windows-security-change-affecting-powershell/
#redteam
8 января компания Microsoft выпустила патчи для уязвимости CVE-2019-0543 (локальное повышение привилегий).
Теперь PowerShell сессии не будут запускаться от пользователя, который не является локальным администратором.
Исправление затрагивает не сам PowerShell, а WinRM, который PowerShell использует в качестве удаленного хоста и транспорта.
Будьте внимательны и не удивляйтесь, если после обновлений у вас что-то перестало работать
https://blogs.msdn.microsoft.com/powershell/2019/01/10/windows-security-change-affecting-powershell/
#redteam
Microsoft News
Windows Security change affecting PowerShell
Windows Security change affecting PowerShell January 9, 2019 The recent (1/8/2019) Windows security patch CVE-2019-0543, has introduced a breaking change for a PowerShell remoting scenario. It is a narrowly scoped scenario that should have low impact for…
О том как Твиттер помогает проводить OSINT
Исследование социальных сетей сотрудников заказчика позволяет понять многое об общественной жизни компании, более целенаправленно составить словарь для брута, продумать легенду для фишинга, определить интересы и круг общения каждого сотрудника.
Однако, искать аккаунты сотрудников не всегда лёгкая задача, особенно на первых этапах, когда о компании и сотрудниках неизвестно ничего.
Однако задачу можно немного упростить. И в этом поможет твиттер и сами сотрудники (конечно же). Удивительно, но в каждой компании есть немало людей, которые создают профили в социальных сетях на рабочую почту. Необъяснимо, но факт.
Так вот, если вы создадите почтовый ящик на outlook.com, добавите в адресную книгу все предполагаемые почты сотрудников заказчика (исходя из политики формирования корпоративного почтового адреса - это не сложно), а потом зарегистрируете твиттер-аккаунт на эту почту - то твиттер радостно вам предложит вам посмотреть аккаунты ваших друзей из адресной книги.
Естественно есть несколько минусов - твиттер не говорит какой аккаунт привязан к какой почте. Но по имени пользователя догадаться не так сложно.
Также это не будет работать, если пользователь отключил возможность нахождения своего аккаунта по почтовому адресу.
Твиттер помогает найти друзей и не только!
Enjoy!
#OSINT
Исследование социальных сетей сотрудников заказчика позволяет понять многое об общественной жизни компании, более целенаправленно составить словарь для брута, продумать легенду для фишинга, определить интересы и круг общения каждого сотрудника.
Однако, искать аккаунты сотрудников не всегда лёгкая задача, особенно на первых этапах, когда о компании и сотрудниках неизвестно ничего.
Однако задачу можно немного упростить. И в этом поможет твиттер и сами сотрудники (конечно же). Удивительно, но в каждой компании есть немало людей, которые создают профили в социальных сетях на рабочую почту. Необъяснимо, но факт.
Так вот, если вы создадите почтовый ящик на outlook.com, добавите в адресную книгу все предполагаемые почты сотрудников заказчика (исходя из политики формирования корпоративного почтового адреса - это не сложно), а потом зарегистрируете твиттер-аккаунт на эту почту - то твиттер радостно вам предложит вам посмотреть аккаунты ваших друзей из адресной книги.
Естественно есть несколько минусов - твиттер не говорит какой аккаунт привязан к какой почте. Но по имени пользователя догадаться не так сложно.
Также это не будет работать, если пользователь отключил возможность нахождения своего аккаунта по почтовому адресу.
Твиттер помогает найти друзей и не только!
Enjoy!
#OSINT
Hammerthrow вместо тысячи действий
Наверное все сталкивались с проблемой, которая возникает на этапе постэксплуатации - BlueTeam начинает видеть в сети активность агента и блокирует IP-адреса и домены.
Сегодня расскажем вам о том, как можно решить такую проблему. Для CobaltStrike есть специальный скрипт - Hammerthrow.
По умолчанию CobaltStrike позволяет агенту менять доменные имена. Однако такая смена происходит по кругу и не всегда является эффективной.
Hammerthrow позволяет менять доменные имена рандомно и устанавливать свое время смены доменного имени. Таким образом средства защиты не обнаруживают каких-либо аномалий в трафике и реагируют спокойно.
Да, для работы такого скрипта необходимо большое количество доменных имён. Однако, это гораздо лучше, чем каждый раз терять агенты на машинах пользователей.
#redteam
https://youtube.com/watch?v=LJbMy_13b7E
Наверное все сталкивались с проблемой, которая возникает на этапе постэксплуатации - BlueTeam начинает видеть в сети активность агента и блокирует IP-адреса и домены.
Сегодня расскажем вам о том, как можно решить такую проблему. Для CobaltStrike есть специальный скрипт - Hammerthrow.
По умолчанию CobaltStrike позволяет агенту менять доменные имена. Однако такая смена происходит по кругу и не всегда является эффективной.
Hammerthrow позволяет менять доменные имена рандомно и устанавливать свое время смены доменного имени. Таким образом средства защиты не обнаруживают каких-либо аномалий в трафике и реагируют спокойно.
Да, для работы такого скрипта необходимо большое количество доменных имён. Однако, это гораздо лучше, чем каждый раз терять агенты на машинах пользователей.
#redteam
https://youtube.com/watch?v=LJbMy_13b7E
YouTube
HAMMERTHROW: Rotate my domain
HAMMERTHROW is an aggressor script for CobaltStrike. It runs as an agent in the background by connecting to the teamserver and controls the listener. HAMMERT...
Все начинается с Exchange
Мы всегда говорим, что любим, когда у заказчика Exchange, ибо с ним можно проводить различные хулиганства, в том числе атаку MSExchangeRelay.
Однако можно совершать какие-то действия не только с почтой, но и с контроллером домена.
По умолчанию группа Exchange Windows Permissions имеет определенные права в Active Directory, которые позволяют всем пользователям группы изменять доменные привилегии.
Таким образом можно осуществить атаку DCSync. И получить хеши всех паролей всех пользователей из AD.
А все начинается с классического NTLM Relay...
Более подробно написано в статье.
Очень рекомендуем!
#redteam
https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/
Мы всегда говорим, что любим, когда у заказчика Exchange, ибо с ним можно проводить различные хулиганства, в том числе атаку MSExchangeRelay.
Однако можно совершать какие-то действия не только с почтой, но и с контроллером домена.
По умолчанию группа Exchange Windows Permissions имеет определенные права в Active Directory, которые позволяют всем пользователям группы изменять доменные привилегии.
Таким образом можно осуществить атаку DCSync. И получить хеши всех паролей всех пользователей из AD.
А все начинается с классического NTLM Relay...
Более подробно написано в статье.
Очень рекомендуем!
#redteam
https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/
dirkjanm.io
Abusing Exchange: One API call away from Domain Admin
In most organisations using Active Directory and Exchange, Exchange servers have such high privileges that being an Administrator on an Exchange server is enough to escalate to Domain Admin. Recently I came across a blog from the ZDI, in which they detail…
Виртуальные смарт-карты - это работает!
Компания Microsoft давно анонсировала, что пароли - это прошлый век и в новых версиях ОС Windows будет возможность альтернативных способов аутентификации.
Не наврали.
В статье описывается как можно создать виртуальную смарт-карту для аутентификации в домене. В качестве тестового стенда используется Windows Server 2016 и рабочая машина с Windows 10.
Интересно, познавательно, заставляет задуматься.
https://medium.com/@rootsecdev/virtual-smart-cards-and-password-hashes-in-active-directory-2016-environments-dd0340a4126
Компания Microsoft давно анонсировала, что пароли - это прошлый век и в новых версиях ОС Windows будет возможность альтернативных способов аутентификации.
Не наврали.
В статье описывается как можно создать виртуальную смарт-карту для аутентификации в домене. В качестве тестового стенда используется Windows Server 2016 и рабочая машина с Windows 10.
Интересно, познавательно, заставляет задуматься.
https://medium.com/@rootsecdev/virtual-smart-cards-and-password-hashes-in-active-directory-2016-environments-dd0340a4126
Medium
Virtual Smart Cards and password hashes in Active Directory 2016 Environments
The preface on this is to explore rotating password hashes in active directory 2016 environments and changes that were made to ease some…
Habr Time
Продолжение нашей прошлой статьи про расшифровку DPAPI-блобов.
В этот раз рассматриваем IE11
https://habr.com/ru/post/437390/
Продолжение нашей прошлой статьи про расшифровку DPAPI-блобов.
В этот раз рассматриваем IE11
https://habr.com/ru/post/437390/
Хабр
«Секретики» DPAPI. Взгляд на осла
В дополнение к нашей прошлой статье про расшифровку DPAPI-блобов расскажем еще о двух случаях, с которыми нам пришлось столкнуться. Речь пойдет о сохраненных паролях в браузерах MS IE11 и...
Alarm, Rubeus в сети
Все читали про большое исследование Elad Shamir, позволяющее провести атаку на AD, используя делегирование.
Был разработан инструментарий Rubeus, позволяющий осуществить атаку.
BlueTeam тоже не стоит на месте и первая компания уже добавила атрибуты для детектирования Rubeus в свои системы обнаружения вторжений.
Делимся с вами ссылкой на их пост. Если опустить рекламу компании - можно понять какие именно атрибуты были добавлены и оперативно добавить в свои средства защиты.
#blueteam
#WaggingtheDog
Детектирование - https://alsid.com/company/news/kerberos-resource-based-constrained-delegation-new-control-path
Исследование Wagging the Dog - https://shenaniganslabs.io/2019/01/28/Wagging-the-Dog.html
Все читали про большое исследование Elad Shamir, позволяющее провести атаку на AD, используя делегирование.
Был разработан инструментарий Rubeus, позволяющий осуществить атаку.
BlueTeam тоже не стоит на месте и первая компания уже добавила атрибуты для детектирования Rubeus в свои системы обнаружения вторжений.
Делимся с вами ссылкой на их пост. Если опустить рекламу компании - можно понять какие именно атрибуты были добавлены и оперативно добавить в свои средства защиты.
#blueteam
#WaggingtheDog
Детектирование - https://alsid.com/company/news/kerberos-resource-based-constrained-delegation-new-control-path
Исследование Wagging the Dog - https://shenaniganslabs.io/2019/01/28/Wagging-the-Dog.html
The Red Team Guide
Самые интересные и полезные вещи получаются, когда их создаёт несколько человек.
Делимся с вами ссылкой на книгу "The Red Team Guide", которая создаётся группой инициативных людей в формате краудсорсинга.
Интересно, полезно и необычно. Данная книга действительно будет местом сбора полезной информации. Ведь у каждого RedTeam специалиста, у каждой команды - свои взгляды, свой опыт и пул инструментов.
#redteam
https://docs.google.com/document/d/14VRt2veErhHrn5dwGybe2wxk3DYzU4lPyRCDzn_23WI/
Самые интересные и полезные вещи получаются, когда их создаёт несколько человек.
Делимся с вами ссылкой на книгу "The Red Team Guide", которая создаётся группой инициативных людей в формате краудсорсинга.
Интересно, полезно и необычно. Данная книга действительно будет местом сбора полезной информации. Ведь у каждого RedTeam специалиста, у каждой команды - свои взгляды, свой опыт и пул инструментов.
#redteam
https://docs.google.com/document/d/14VRt2veErhHrn5dwGybe2wxk3DYzU4lPyRCDzn_23WI/
Google Docs
The Red Team Guide (Review edition)
The Red Team Guide Review edition Note: This book will be free and available for public Original Initiative Post: The Red Team Guide - Crowdsourcing eBook on Peerlyst Authors (Who already published chapters): Ian Barwise Chiheb Chebbi Hamza M'hirsi…
Используем расширения для Chrome в macOS для закрепления в системе
Расширения для браузера Chrome давно используются при проведении атак на компанию, либо для закрепления в системе.
Усовершенствование средств защиты, в частности появление систем обнаружения угроз на конечных точках (EDR) - усложнили задачу использования расширений.
Однако для macOS проблема все ещё существует. Используя мобильные профили конфигурации есть возможность поставить вредоносное расширение для Chrome.
Интересная статья на примере загрузки на macOS вредоносного расширения, использующего в качестве полезной нагрузки фреймворк для пост-эксплуатации в macOS (Apfell).
https://posts.specterops.io/no-place-like-chrome-122e500e421f
Расширения для браузера Chrome давно используются при проведении атак на компанию, либо для закрепления в системе.
Усовершенствование средств защиты, в частности появление систем обнаружения угроз на конечных точках (EDR) - усложнили задачу использования расширений.
Однако для macOS проблема все ещё существует. Используя мобильные профили конфигурации есть возможность поставить вредоносное расширение для Chrome.
Интересная статья на примере загрузки на macOS вредоносного расширения, использующего в качестве полезной нагрузки фреймворк для пост-эксплуатации в macOS (Apfell).
https://posts.specterops.io/no-place-like-chrome-122e500e421f
Medium
No Place Like Chrome
Chrome extensions were first introduced to the public in December of 2009 and use HTML, JavaScript, and CSS to extend Chrome’s…