RedTeam SIEM
Мы привыкли, что SIEM - это про то, что находится со стороны заказчика, то что использует BlueTeam для детектирования аномальной активности.
А что если использовать инструменты BlueTeam для слежки за самой BlueTeam?
Такая идея посетила ребят и на BruCon 2018 они презентовали потрясающий инструмент - RedELK - систему мониторинга активности BlueTeam.
Система пока ещё сыровата, но каждая команда может доработать ее "под себя" - главное база есть.
Закрепление в системе и пост эксплуатация - одни из последних этапов RedTeam кампаний, но одни из самых важных. Для тренировки BlueTeam необходимо имитировать реакцию злоумышленника, который пытается скрыться.
RedELK позволяет собирать логи с машин, на которых произошло закрепление, анализировать их, мониторить С2 сервера на наличие каких-либо аномалий, а также мониторить открытые ресурсы (такие как Virustotal Spamhaus и т.д.) на наличие запросов от BlueTeam по семплам.
За счёт использования связки Elasticsearch, Kibana и Logstash система позволяет обрабатывать большое количество данных и выводить только нужную информацию.
А ещё можно настроить систему уведомлений для RedTeam, если пошла какая-то активность.
В общем, делимся с вами ссылочкой на эту систему
https://github.com/outflanknl/RedELK
#redteam
Мы привыкли, что SIEM - это про то, что находится со стороны заказчика, то что использует BlueTeam для детектирования аномальной активности.
А что если использовать инструменты BlueTeam для слежки за самой BlueTeam?
Такая идея посетила ребят и на BruCon 2018 они презентовали потрясающий инструмент - RedELK - систему мониторинга активности BlueTeam.
Система пока ещё сыровата, но каждая команда может доработать ее "под себя" - главное база есть.
Закрепление в системе и пост эксплуатация - одни из последних этапов RedTeam кампаний, но одни из самых важных. Для тренировки BlueTeam необходимо имитировать реакцию злоумышленника, который пытается скрыться.
RedELK позволяет собирать логи с машин, на которых произошло закрепление, анализировать их, мониторить С2 сервера на наличие каких-либо аномалий, а также мониторить открытые ресурсы (такие как Virustotal Spamhaus и т.д.) на наличие запросов от BlueTeam по семплам.
За счёт использования связки Elasticsearch, Kibana и Logstash система позволяет обрабатывать большое количество данных и выводить только нужную информацию.
А ещё можно настроить систему уведомлений для RedTeam, если пошла какая-то активность.
В общем, делимся с вами ссылочкой на эту систему
https://github.com/outflanknl/RedELK
#redteam
Windows Registry Forensics
Компания Fireeye, известная своими решениями по обнаружению целенаправленных атак, выпустила интересную статью.
Рассказывают о том, как им помогает анализ реестра ОС Windows для расследования.
Очень интересно для понимания какие следы можно оставить на компьютере заказчика.
Каждый найдет для себя интересное сам. Но что можно выделить:
- бэкап реестра делается каждые 10 дней с помощью RegldleBackup. Однако в Windows 10 он отсутствует и бэкап не делается;
- удаленные из реестра данные восстанавливают и анализируют;
- планировщик задач тоже ведёт логи, но не в Windows 10
#blueteam
https://www.fireeye.com/blog/threat-research/2019/01/digging-up-the-past-windows-registry-forensics-revisited.html
Компания Fireeye, известная своими решениями по обнаружению целенаправленных атак, выпустила интересную статью.
Рассказывают о том, как им помогает анализ реестра ОС Windows для расследования.
Очень интересно для понимания какие следы можно оставить на компьютере заказчика.
Каждый найдет для себя интересное сам. Но что можно выделить:
- бэкап реестра делается каждые 10 дней с помощью RegldleBackup. Однако в Windows 10 он отсутствует и бэкап не делается;
- удаленные из реестра данные восстанавливают и анализируют;
- планировщик задач тоже ведёт логи, но не в Windows 10
#blueteam
https://www.fireeye.com/blog/threat-research/2019/01/digging-up-the-past-windows-registry-forensics-revisited.html
Google Cloud Blog
Digging Up the Past: Windows Registry Forensics Revisited | Mandiant | Google Cloud Blog
Заметки на полях
Если у вашего заказчика на машине стоит FireEye агент - плохая идея копировать туда Bloodhound.bin.
Агент детектирует данный файл по имени и хешу, а затем просто удаляет его.
Однако небольшие модификации бинарного файла могут решить эту проблему и не вызвать подозрений у FireEye.
#redteam
Если у вашего заказчика на машине стоит FireEye агент - плохая идея копировать туда Bloodhound.bin.
Агент детектирует данный файл по имени и хешу, а затем просто удаляет его.
Однако небольшие модификации бинарного файла могут решить эту проблему и не вызвать подозрений у FireEye.
#redteam
Windows updates
8 января компания Microsoft выпустила патчи для уязвимости CVE-2019-0543 (локальное повышение привилегий).
Теперь PowerShell сессии не будут запускаться от пользователя, который не является локальным администратором.
Исправление затрагивает не сам PowerShell, а WinRM, который PowerShell использует в качестве удаленного хоста и транспорта.
Будьте внимательны и не удивляйтесь, если после обновлений у вас что-то перестало работать
https://blogs.msdn.microsoft.com/powershell/2019/01/10/windows-security-change-affecting-powershell/
#redteam
8 января компания Microsoft выпустила патчи для уязвимости CVE-2019-0543 (локальное повышение привилегий).
Теперь PowerShell сессии не будут запускаться от пользователя, который не является локальным администратором.
Исправление затрагивает не сам PowerShell, а WinRM, который PowerShell использует в качестве удаленного хоста и транспорта.
Будьте внимательны и не удивляйтесь, если после обновлений у вас что-то перестало работать
https://blogs.msdn.microsoft.com/powershell/2019/01/10/windows-security-change-affecting-powershell/
#redteam
Microsoft News
Windows Security change affecting PowerShell
Windows Security change affecting PowerShell January 9, 2019 The recent (1/8/2019) Windows security patch CVE-2019-0543, has introduced a breaking change for a PowerShell remoting scenario. It is a narrowly scoped scenario that should have low impact for…
О том как Твиттер помогает проводить OSINT
Исследование социальных сетей сотрудников заказчика позволяет понять многое об общественной жизни компании, более целенаправленно составить словарь для брута, продумать легенду для фишинга, определить интересы и круг общения каждого сотрудника.
Однако, искать аккаунты сотрудников не всегда лёгкая задача, особенно на первых этапах, когда о компании и сотрудниках неизвестно ничего.
Однако задачу можно немного упростить. И в этом поможет твиттер и сами сотрудники (конечно же). Удивительно, но в каждой компании есть немало людей, которые создают профили в социальных сетях на рабочую почту. Необъяснимо, но факт.
Так вот, если вы создадите почтовый ящик на outlook.com, добавите в адресную книгу все предполагаемые почты сотрудников заказчика (исходя из политики формирования корпоративного почтового адреса - это не сложно), а потом зарегистрируете твиттер-аккаунт на эту почту - то твиттер радостно вам предложит вам посмотреть аккаунты ваших друзей из адресной книги.
Естественно есть несколько минусов - твиттер не говорит какой аккаунт привязан к какой почте. Но по имени пользователя догадаться не так сложно.
Также это не будет работать, если пользователь отключил возможность нахождения своего аккаунта по почтовому адресу.
Твиттер помогает найти друзей и не только!
Enjoy!
#OSINT
Исследование социальных сетей сотрудников заказчика позволяет понять многое об общественной жизни компании, более целенаправленно составить словарь для брута, продумать легенду для фишинга, определить интересы и круг общения каждого сотрудника.
Однако, искать аккаунты сотрудников не всегда лёгкая задача, особенно на первых этапах, когда о компании и сотрудниках неизвестно ничего.
Однако задачу можно немного упростить. И в этом поможет твиттер и сами сотрудники (конечно же). Удивительно, но в каждой компании есть немало людей, которые создают профили в социальных сетях на рабочую почту. Необъяснимо, но факт.
Так вот, если вы создадите почтовый ящик на outlook.com, добавите в адресную книгу все предполагаемые почты сотрудников заказчика (исходя из политики формирования корпоративного почтового адреса - это не сложно), а потом зарегистрируете твиттер-аккаунт на эту почту - то твиттер радостно вам предложит вам посмотреть аккаунты ваших друзей из адресной книги.
Естественно есть несколько минусов - твиттер не говорит какой аккаунт привязан к какой почте. Но по имени пользователя догадаться не так сложно.
Также это не будет работать, если пользователь отключил возможность нахождения своего аккаунта по почтовому адресу.
Твиттер помогает найти друзей и не только!
Enjoy!
#OSINT
Hammerthrow вместо тысячи действий
Наверное все сталкивались с проблемой, которая возникает на этапе постэксплуатации - BlueTeam начинает видеть в сети активность агента и блокирует IP-адреса и домены.
Сегодня расскажем вам о том, как можно решить такую проблему. Для CobaltStrike есть специальный скрипт - Hammerthrow.
По умолчанию CobaltStrike позволяет агенту менять доменные имена. Однако такая смена происходит по кругу и не всегда является эффективной.
Hammerthrow позволяет менять доменные имена рандомно и устанавливать свое время смены доменного имени. Таким образом средства защиты не обнаруживают каких-либо аномалий в трафике и реагируют спокойно.
Да, для работы такого скрипта необходимо большое количество доменных имён. Однако, это гораздо лучше, чем каждый раз терять агенты на машинах пользователей.
#redteam
https://youtube.com/watch?v=LJbMy_13b7E
Наверное все сталкивались с проблемой, которая возникает на этапе постэксплуатации - BlueTeam начинает видеть в сети активность агента и блокирует IP-адреса и домены.
Сегодня расскажем вам о том, как можно решить такую проблему. Для CobaltStrike есть специальный скрипт - Hammerthrow.
По умолчанию CobaltStrike позволяет агенту менять доменные имена. Однако такая смена происходит по кругу и не всегда является эффективной.
Hammerthrow позволяет менять доменные имена рандомно и устанавливать свое время смены доменного имени. Таким образом средства защиты не обнаруживают каких-либо аномалий в трафике и реагируют спокойно.
Да, для работы такого скрипта необходимо большое количество доменных имён. Однако, это гораздо лучше, чем каждый раз терять агенты на машинах пользователей.
#redteam
https://youtube.com/watch?v=LJbMy_13b7E
YouTube
HAMMERTHROW: Rotate my domain
HAMMERTHROW is an aggressor script for CobaltStrike. It runs as an agent in the background by connecting to the teamserver and controls the listener. HAMMERT...
Все начинается с Exchange
Мы всегда говорим, что любим, когда у заказчика Exchange, ибо с ним можно проводить различные хулиганства, в том числе атаку MSExchangeRelay.
Однако можно совершать какие-то действия не только с почтой, но и с контроллером домена.
По умолчанию группа Exchange Windows Permissions имеет определенные права в Active Directory, которые позволяют всем пользователям группы изменять доменные привилегии.
Таким образом можно осуществить атаку DCSync. И получить хеши всех паролей всех пользователей из AD.
А все начинается с классического NTLM Relay...
Более подробно написано в статье.
Очень рекомендуем!
#redteam
https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/
Мы всегда говорим, что любим, когда у заказчика Exchange, ибо с ним можно проводить различные хулиганства, в том числе атаку MSExchangeRelay.
Однако можно совершать какие-то действия не только с почтой, но и с контроллером домена.
По умолчанию группа Exchange Windows Permissions имеет определенные права в Active Directory, которые позволяют всем пользователям группы изменять доменные привилегии.
Таким образом можно осуществить атаку DCSync. И получить хеши всех паролей всех пользователей из AD.
А все начинается с классического NTLM Relay...
Более подробно написано в статье.
Очень рекомендуем!
#redteam
https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/
dirkjanm.io
Abusing Exchange: One API call away from Domain Admin
In most organisations using Active Directory and Exchange, Exchange servers have such high privileges that being an Administrator on an Exchange server is enough to escalate to Domain Admin. Recently I came across a blog from the ZDI, in which they detail…
Виртуальные смарт-карты - это работает!
Компания Microsoft давно анонсировала, что пароли - это прошлый век и в новых версиях ОС Windows будет возможность альтернативных способов аутентификации.
Не наврали.
В статье описывается как можно создать виртуальную смарт-карту для аутентификации в домене. В качестве тестового стенда используется Windows Server 2016 и рабочая машина с Windows 10.
Интересно, познавательно, заставляет задуматься.
https://medium.com/@rootsecdev/virtual-smart-cards-and-password-hashes-in-active-directory-2016-environments-dd0340a4126
Компания Microsoft давно анонсировала, что пароли - это прошлый век и в новых версиях ОС Windows будет возможность альтернативных способов аутентификации.
Не наврали.
В статье описывается как можно создать виртуальную смарт-карту для аутентификации в домене. В качестве тестового стенда используется Windows Server 2016 и рабочая машина с Windows 10.
Интересно, познавательно, заставляет задуматься.
https://medium.com/@rootsecdev/virtual-smart-cards-and-password-hashes-in-active-directory-2016-environments-dd0340a4126
Medium
Virtual Smart Cards and password hashes in Active Directory 2016 Environments
The preface on this is to explore rotating password hashes in active directory 2016 environments and changes that were made to ease some…
Habr Time
Продолжение нашей прошлой статьи про расшифровку DPAPI-блобов.
В этот раз рассматриваем IE11
https://habr.com/ru/post/437390/
Продолжение нашей прошлой статьи про расшифровку DPAPI-блобов.
В этот раз рассматриваем IE11
https://habr.com/ru/post/437390/
Хабр
«Секретики» DPAPI. Взгляд на осла
В дополнение к нашей прошлой статье про расшифровку DPAPI-блобов расскажем еще о двух случаях, с которыми нам пришлось столкнуться. Речь пойдет о сохраненных паролях в браузерах MS IE11 и...
Alarm, Rubeus в сети
Все читали про большое исследование Elad Shamir, позволяющее провести атаку на AD, используя делегирование.
Был разработан инструментарий Rubeus, позволяющий осуществить атаку.
BlueTeam тоже не стоит на месте и первая компания уже добавила атрибуты для детектирования Rubeus в свои системы обнаружения вторжений.
Делимся с вами ссылкой на их пост. Если опустить рекламу компании - можно понять какие именно атрибуты были добавлены и оперативно добавить в свои средства защиты.
#blueteam
#WaggingtheDog
Детектирование - https://alsid.com/company/news/kerberos-resource-based-constrained-delegation-new-control-path
Исследование Wagging the Dog - https://shenaniganslabs.io/2019/01/28/Wagging-the-Dog.html
Все читали про большое исследование Elad Shamir, позволяющее провести атаку на AD, используя делегирование.
Был разработан инструментарий Rubeus, позволяющий осуществить атаку.
BlueTeam тоже не стоит на месте и первая компания уже добавила атрибуты для детектирования Rubeus в свои системы обнаружения вторжений.
Делимся с вами ссылкой на их пост. Если опустить рекламу компании - можно понять какие именно атрибуты были добавлены и оперативно добавить в свои средства защиты.
#blueteam
#WaggingtheDog
Детектирование - https://alsid.com/company/news/kerberos-resource-based-constrained-delegation-new-control-path
Исследование Wagging the Dog - https://shenaniganslabs.io/2019/01/28/Wagging-the-Dog.html
The Red Team Guide
Самые интересные и полезные вещи получаются, когда их создаёт несколько человек.
Делимся с вами ссылкой на книгу "The Red Team Guide", которая создаётся группой инициативных людей в формате краудсорсинга.
Интересно, полезно и необычно. Данная книга действительно будет местом сбора полезной информации. Ведь у каждого RedTeam специалиста, у каждой команды - свои взгляды, свой опыт и пул инструментов.
#redteam
https://docs.google.com/document/d/14VRt2veErhHrn5dwGybe2wxk3DYzU4lPyRCDzn_23WI/
Самые интересные и полезные вещи получаются, когда их создаёт несколько человек.
Делимся с вами ссылкой на книгу "The Red Team Guide", которая создаётся группой инициативных людей в формате краудсорсинга.
Интересно, полезно и необычно. Данная книга действительно будет местом сбора полезной информации. Ведь у каждого RedTeam специалиста, у каждой команды - свои взгляды, свой опыт и пул инструментов.
#redteam
https://docs.google.com/document/d/14VRt2veErhHrn5dwGybe2wxk3DYzU4lPyRCDzn_23WI/
Google Docs
The Red Team Guide (Review edition)
The Red Team Guide Review edition Note: This book will be free and available for public Original Initiative Post: The Red Team Guide - Crowdsourcing eBook on Peerlyst Authors (Who already published chapters): Ian Barwise Chiheb Chebbi Hamza M'hirsi…
Используем расширения для Chrome в macOS для закрепления в системе
Расширения для браузера Chrome давно используются при проведении атак на компанию, либо для закрепления в системе.
Усовершенствование средств защиты, в частности появление систем обнаружения угроз на конечных точках (EDR) - усложнили задачу использования расширений.
Однако для macOS проблема все ещё существует. Используя мобильные профили конфигурации есть возможность поставить вредоносное расширение для Chrome.
Интересная статья на примере загрузки на macOS вредоносного расширения, использующего в качестве полезной нагрузки фреймворк для пост-эксплуатации в macOS (Apfell).
https://posts.specterops.io/no-place-like-chrome-122e500e421f
Расширения для браузера Chrome давно используются при проведении атак на компанию, либо для закрепления в системе.
Усовершенствование средств защиты, в частности появление систем обнаружения угроз на конечных точках (EDR) - усложнили задачу использования расширений.
Однако для macOS проблема все ещё существует. Используя мобильные профили конфигурации есть возможность поставить вредоносное расширение для Chrome.
Интересная статья на примере загрузки на macOS вредоносного расширения, использующего в качестве полезной нагрузки фреймворк для пост-эксплуатации в macOS (Apfell).
https://posts.specterops.io/no-place-like-chrome-122e500e421f
Medium
No Place Like Chrome
Chrome extensions were first introduced to the public in December of 2009 and use HTML, JavaScript, and CSS to extend Chrome’s…
SSHazam. Скрываемся после закрепления
"Если хотите спасти мир - скажите волшебное слово" (с) Шазам
В наших реалиях - если хотите качественно закрепиться в системе заказчика - без волшебства не обойтись.
Делимся небольшой, но ёмкой статьёй о том как спрятать Empire-агентов в SSH туннель, чтобы избежать детектирования со стороны средств защиты.
https://www.blackhillsinfosec.com/sshazam-hide-your-c2-inside-of-ssh/
#redteam
"Если хотите спасти мир - скажите волшебное слово" (с) Шазам
В наших реалиях - если хотите качественно закрепиться в системе заказчика - без волшебства не обойтись.
Делимся небольшой, но ёмкой статьёй о том как спрятать Empire-агентов в SSH туннель, чтобы избежать детектирования со стороны средств защиты.
https://www.blackhillsinfosec.com/sshazam-hide-your-c2-inside-of-ssh/
#redteam
Black Hills Information Security
SSHazam: Hide Your C2 Inside of SSH - Black Hills Information Security
Carrie Roberts //* SSHazam is a method of running any C2 tool of your choice inside a standard SSH tunnel to avoid network detections. The examples here involve running PowerShell […]
Всё будет в Ажуре
Тенденция последних лет - переносить инфраструктуру в облако, использовать облачные сервисы и интегрировать их с доменом. Действительно, это удобно и, на первый взгляд, безопаснее.
Одним из популярных решений на данный момент является Azure AD. Очень удобно, когда AD компании синхронизируется с облачной платформой, и пользователи без проблем могут пользоваться как приложениями от Microsoft (Office365, SharePoint, OneDrive и т.д.), так и другими сервисами, которые могут интегрироваться с Azure AD.
Всем кажется, что все просто - поставил галочку, нажал кнопочку и все работает. Однако, все не совсем так. Точнее совсем не так. И сам Azure AD - сложная инфраструктура с большой документацией и различного рода настройками.
Делимся с вами статьей, которая рассказывает о разных способах интеграции Azure AD c AD компании. И насколько различные настройки полезны для проведения RedTeam.
https://blog.xpnsec.com/azuread-connect-for-redteam/
#redteam
Тенденция последних лет - переносить инфраструктуру в облако, использовать облачные сервисы и интегрировать их с доменом. Действительно, это удобно и, на первый взгляд, безопаснее.
Одним из популярных решений на данный момент является Azure AD. Очень удобно, когда AD компании синхронизируется с облачной платформой, и пользователи без проблем могут пользоваться как приложениями от Microsoft (Office365, SharePoint, OneDrive и т.д.), так и другими сервисами, которые могут интегрироваться с Azure AD.
Всем кажется, что все просто - поставил галочку, нажал кнопочку и все работает. Однако, все не совсем так. Точнее совсем не так. И сам Azure AD - сложная инфраструктура с большой документацией и различного рода настройками.
Делимся с вами статьей, которая рассказывает о разных способах интеграции Azure AD c AD компании. И насколько различные настройки полезны для проведения RedTeam.
https://blog.xpnsec.com/azuread-connect-for-redteam/
#redteam
XPN InfoSec Blog
@_xpn_ - Azure AD Connect for Red Teamers
With clients increasingly relying on cloud services from Azure, one of the technologies that has been my radar for a while is Azure AD. For those who have not had the opportunity to work with this, the concept is simple, by extending authentication beyond…
Неограниченное делегирование и Kerberos
В этом году модно говорить про проблемы с делегирование. Одним из ярких примеров был и остаётся PrivExchange.
Исследователи пошли дальше и решили узнать возможно ли как-то связать недостатки в делегировании и получение TGT билетов.
Был написан инструмент krbrelayx (https://github.com/dirkjanm/krbrelayx), в котором реализовано 2 способа получения прав доменного администратора путём неограниченного делегирования:
- SpoolService (не баг, а фича, которая основана на непреднамеренных рисках при двустороннем доверии между лесами в AD)
- PrivExchange (не баг, а фича этого года, по которой Microsoft всё-таки выпустил рекомендации по устранению)
В общем огненная статья!
Рекомендуем!
https://dirkjanm.io/krbrelayx-unconstrained-delegation-abuse-toolkit/
#redteam
В этом году модно говорить про проблемы с делегирование. Одним из ярких примеров был и остаётся PrivExchange.
Исследователи пошли дальше и решили узнать возможно ли как-то связать недостатки в делегировании и получение TGT билетов.
Был написан инструмент krbrelayx (https://github.com/dirkjanm/krbrelayx), в котором реализовано 2 способа получения прав доменного администратора путём неограниченного делегирования:
- SpoolService (не баг, а фича, которая основана на непреднамеренных рисках при двустороннем доверии между лесами в AD)
- PrivExchange (не баг, а фича этого года, по которой Microsoft всё-таки выпустил рекомендации по устранению)
В общем огненная статья!
Рекомендуем!
https://dirkjanm.io/krbrelayx-unconstrained-delegation-abuse-toolkit/
#redteam
GitHub
GitHub - dirkjanm/krbrelayx: Kerberos relaying and unconstrained delegation abuse toolkit
Kerberos relaying and unconstrained delegation abuse toolkit - dirkjanm/krbrelayx
MS ATA Bypass
По следам прошедшего выступления на DefconNN - написали небольшую заметку про Microsoft Advanced Threat Analytics.
https://medium.com/@karelova.ov/ms-ata-bypass-16572cf9cde3
#redteam
По следам прошедшего выступления на DefconNN - написали небольшую заметку про Microsoft Advanced Threat Analytics.
https://medium.com/@karelova.ov/ms-ata-bypass-16572cf9cde3
#redteam
Medium
MS ATA Bypass
Недавно на DefconNN мы рассказывали про платформу, помогающую детектировать целевые атаки и внутренние угрозы (Microsoft Advanced Threat…
Заметки на полях
А как вы справляетесь с большим количеством информации? Сложно структурировать информацию, которую получаешь в ходе проведения исследований, которая накапливается с опытом.
Самый большой лайфхак - все надо записывать. Даже если кажется, что такую информацию никогда не забудешь. Забудешь.
Поэтому сегодня делимся с вами структурированными записями про WAF.
Спасибо человеку, который все собрал в кучу.
https://github.com/0xInfection/Awesome-WAF
Чтобы не забыть и вспомнить, когда надо будет!
#redteam
А как вы справляетесь с большим количеством информации? Сложно структурировать информацию, которую получаешь в ходе проведения исследований, которая накапливается с опытом.
Самый большой лайфхак - все надо записывать. Даже если кажется, что такую информацию никогда не забудешь. Забудешь.
Поэтому сегодня делимся с вами структурированными записями про WAF.
Спасибо человеку, который все собрал в кучу.
https://github.com/0xInfection/Awesome-WAF
Чтобы не забыть и вспомнить, когда надо будет!
#redteam
GitHub
GitHub - 0xInfection/Awesome-WAF: Everything about Web Application Firewalls (WAFs) from Security Standpoint! 🔥
Everything about Web Application Firewalls (WAFs) from Security Standpoint! 🔥 - 0xInfection/Awesome-WAF
Поговорим о Jenkins
В последнее время в инфраструктуре заказчика стал часто встречаться такой инструмент как Jenkins. Любая компания, у которой есть необходимость автоматически деплоить приложения или инфраструктуру, управлять различными задачами - использует Jenkins.
Почему?
Потому что это бесплатно и очень удобно. Веб-интерфейс, огромное количество различных плагинов помогают инструменту быть юзер френдли.
Посмотрим теперь со стороны RedTeam: у нас есть очень популярный сервис, в котором много полезной информации, через который можно управлять инфраструктурой или задачами компании. На него можно логиниться, а значит он хранит пароли и какие-то ключи. Значит надо попробовать это все получить...
В общем делимся с вами 2-мя небольшими зарисовками о том как можно найти config.xml в Jenkins и расшифровать пароли, которые там хранятся.
https://carnal0wnage.attackresearch.com/2019/03/jenkins-identify-ip-addresses-of-nodes.html
https://carnal0wnage.attackresearch.com/2019/02/jenkins-decrypting-credentialsxml.html
#redteam
В последнее время в инфраструктуре заказчика стал часто встречаться такой инструмент как Jenkins. Любая компания, у которой есть необходимость автоматически деплоить приложения или инфраструктуру, управлять различными задачами - использует Jenkins.
Почему?
Потому что это бесплатно и очень удобно. Веб-интерфейс, огромное количество различных плагинов помогают инструменту быть юзер френдли.
Посмотрим теперь со стороны RedTeam: у нас есть очень популярный сервис, в котором много полезной информации, через который можно управлять инфраструктурой или задачами компании. На него можно логиниться, а значит он хранит пароли и какие-то ключи. Значит надо попробовать это все получить...
В общем делимся с вами 2-мя небольшими зарисовками о том как можно найти config.xml в Jenkins и расшифровать пароли, которые там хранятся.
https://carnal0wnage.attackresearch.com/2019/03/jenkins-identify-ip-addresses-of-nodes.html
https://carnal0wnage.attackresearch.com/2019/02/jenkins-decrypting-credentialsxml.html
#redteam
Carnal0Wnage
Jenkins - Identify IP Addresses of nodes
While doing some research I found several posts on stackoverflow asking how to identify the IP address of nodes. You might want to know thi...
Сказ о том, как происходит детектирование Empire с помощью sysinternals
Делимся с вами исследованием о том, как грамотная BlueTeam видит запуск и жизнь Empire на машине. Грамотная - потому что использует инструмент sysinternals, который позволяет анализировать внутреннюю работу Windows.
Честно - все как на ладони. Главное знать, куда смотреть и грамотно пользоваться инструментарием.
https://holdmybeersecurity.com/2019/02/27/sysinternals-for-windows-incident-response/
#blueteam
Делимся с вами исследованием о том, как грамотная BlueTeam видит запуск и жизнь Empire на машине. Грамотная - потому что использует инструмент sysinternals, который позволяет анализировать внутреннюю работу Windows.
Честно - все как на ладони. Главное знать, куда смотреть и грамотно пользоваться инструментарием.
https://holdmybeersecurity.com/2019/02/27/sysinternals-for-windows-incident-response/
#blueteam
MAQ - это тоже про AD
Чем глубже погружаешься в изучение Active Directory - тем больше кажется, что это ещё не до конца освоенная человечеством вселенная.
Делимся очередной статьей о "фишечках" AD.
В этот раз речь пойдет о MAQ (MachineAccountQuota) - атрибут, который указывает число учётных записей компьютеров, которые непривилегированный пользователь может создать в домене.
Угу.
Пользователь, обычный, без привилегий - создаёт учётные записи компьютеров в домене. Ну действительно, зачем тогда разграничения вообще нужны?
В общем суть в том, что MAQ - атрибут уровня доменного администратора и по умолчанию, при создании AD, для каждого пользователя домена ставится значение 10. Т.е. каждый пользователь может создавать по 10 учётных записей компьютера.
Созданная таким образом учётная запись автоматически добавляется в группу "компьютеры домена", у которой есть дополнительные привилегии.
Также имеется возможность на редактирование каких-то атрибутов учётной записи.
А это значит, что есть возможность делегирование полномочий - ну а там уже можно использовать атаку неограниченного делегирования Kerberos.
В общем статья интересная
Рекомендуем
https://blog.netspi.com/machineaccountquota-is-useful-sometimes/
Чем глубже погружаешься в изучение Active Directory - тем больше кажется, что это ещё не до конца освоенная человечеством вселенная.
Делимся очередной статьей о "фишечках" AD.
В этот раз речь пойдет о MAQ (MachineAccountQuota) - атрибут, который указывает число учётных записей компьютеров, которые непривилегированный пользователь может создать в домене.
Угу.
Пользователь, обычный, без привилегий - создаёт учётные записи компьютеров в домене. Ну действительно, зачем тогда разграничения вообще нужны?
В общем суть в том, что MAQ - атрибут уровня доменного администратора и по умолчанию, при создании AD, для каждого пользователя домена ставится значение 10. Т.е. каждый пользователь может создавать по 10 учётных записей компьютера.
Созданная таким образом учётная запись автоматически добавляется в группу "компьютеры домена", у которой есть дополнительные привилегии.
Также имеется возможность на редактирование каких-то атрибутов учётной записи.
А это значит, что есть возможность делегирование полномочий - ну а там уже можно использовать атаку неограниченного делегирования Kerberos.
В общем статья интересная
Рекомендуем
https://blog.netspi.com/machineaccountquota-is-useful-sometimes/
NetSPI
MachineAccountQuota is USEFUL Sometimes: Exploiting One of Active Directory's Oddest Settings
Learn about what MAQ is and beyond in our blog entitled MachineAccountQuota is USEFUL Sometimes: Exploiting One of Active Directory's Oddest Settings.
О том как Pulse Secure может помочь в повышении привилегий на Windows
Pulse Secure - программное обеспечение для создания SSL VPN в корпоративной сети. Достаточно популярное решение.
Если у пользователя стоить клиент Pulse Secure, то можно локально повысить привилегии на его машине.
Проблема заключается в том, что файлы журнала клиента Pulse Secure создаются системными процессами, а записывать в них могут все группы пользователей (т.к. логируются как системные, так и пользовательские процессы).
Таким образом непривилегированный пользователь может получить привилегии системы на локальном компьютере.
Подробнее вы можете прочитать по ссылке
https://offsec.provadys.com/pulse-secure-arbitrary-file-write-eop.html
И да, данная уязвимость известна (CVE-2018-11002), однако патчи ещё не выпущены
#redteam
Pulse Secure - программное обеспечение для создания SSL VPN в корпоративной сети. Достаточно популярное решение.
Если у пользователя стоить клиент Pulse Secure, то можно локально повысить привилегии на его машине.
Проблема заключается в том, что файлы журнала клиента Pulse Secure создаются системными процессами, а записывать в них могут все группы пользователей (т.к. логируются как системные, так и пользовательские процессы).
Таким образом непривилегированный пользователь может получить привилегии системы на локальном компьютере.
Подробнее вы можете прочитать по ссылке
https://offsec.provadys.com/pulse-secure-arbitrary-file-write-eop.html
И да, данная уязвимость известна (CVE-2018-11002), однако патчи ещё не выпущены
#redteam