Windows updates

8 января компания Microsoft выпустила патчи для уязвимости CVE-2019-0543 (локальное повышение привилегий).

Теперь PowerShell сессии не будут запускаться от пользователя, который не является локальным администратором.

Исправление затрагивает не сам PowerShell, а WinRM, который PowerShell использует в качестве удаленного хоста и транспорта.

Будьте внимательны и не удивляйтесь, если после обновлений у вас что-то перестало работать

https://blogs.msdn.microsoft.com/powershell/2019/01/10/windows-security-change-affecting-powershell/

#redteam

О том как Твиттер помогает проводить OSINT

Исследование социальных сетей сотрудников заказчика позволяет понять многое об общественной жизни компании, более целенаправленно составить словарь для брута, продумать легенду для фишинга, определить интересы и круг общения каждого сотрудника.

Однако, искать аккаунты сотрудников не всегда лёгкая задача, особенно на первых этапах, когда о компании и сотрудниках неизвестно ничего.

Однако задачу можно немного упростить. И в этом поможет твиттер и сами сотрудники (конечно же). Удивительно, но в каждой компании есть немало людей, которые создают профили в социальных сетях на рабочую почту. Необъяснимо, но факт.

Так вот, если вы создадите почтовый ящик на outlook.com, добавите в адресную книгу все предполагаемые почты сотрудников заказчика (исходя из политики формирования корпоративного почтового адреса - это не сложно), а потом зарегистрируете твиттер-аккаунт на эту почту - то твиттер радостно вам предложит вам посмотреть аккаунты ваших друзей из адресной книги.

Естественно есть несколько минусов - твиттер не говорит какой аккаунт привязан к какой почте. Но по имени пользователя догадаться не так сложно.

Также это не будет работать, если пользователь отключил возможность нахождения своего аккаунта по почтовому адресу.

Твиттер помогает найти друзей и не только!

Enjoy!

#OSINT

Hammerthrow вместо тысячи действий

Наверное все сталкивались с проблемой, которая возникает на этапе постэксплуатации - BlueTeam начинает видеть в сети активность агента и блокирует IP-адреса и домены.

Сегодня расскажем вам о том, как можно решить такую проблему. Для CobaltStrike есть специальный скрипт - Hammerthrow.

По умолчанию CobaltStrike позволяет агенту менять доменные имена. Однако такая смена происходит по кругу и не всегда является эффективной.

Hammerthrow позволяет менять доменные имена рандомно и устанавливать свое время смены доменного имени. Таким образом средства защиты не обнаруживают каких-либо аномалий в трафике и реагируют спокойно.

Да, для работы такого скрипта необходимо большое количество доменных имён. Однако, это гораздо лучше, чем каждый раз терять агенты на машинах пользователей.

#redteam

https://youtube.com/watch?v=LJbMy_13b7E

Все начинается с Exchange

Мы всегда говорим, что любим, когда у заказчика Exchange, ибо с ним можно проводить различные хулиганства, в том числе атаку MSExchangeRelay.

Однако можно совершать какие-то действия не только с почтой, но и с контроллером домена.

По умолчанию группа Exchange Windows Permissions имеет определенные права в Active Directory, которые позволяют всем пользователям группы изменять доменные привилегии.

Таким образом можно осуществить атаку DCSync. И получить хеши всех паролей всех пользователей из AD.

А все начинается с классического NTLM Relay...

Более подробно написано в статье.

Очень рекомендуем!

#redteam


https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/

Виртуальные смарт-карты - это работает!

Компания Microsoft давно анонсировала, что пароли - это прошлый век и в новых версиях ОС Windows будет возможность альтернативных способов аутентификации.

Не наврали.

В статье описывается как можно создать виртуальную смарт-карту для аутентификации в домене. В качестве тестового стенда используется Windows Server 2016 и рабочая машина с Windows 10.

Интересно, познавательно, заставляет задуматься.

https://medium.com/@rootsecdev/virtual-smart-cards-and-password-hashes-in-active-directory-2016-environments-dd0340a4126

Habr Time

Продолжение нашей прошлой статьи про расшифровку DPAPI-блобов.

В этот раз рассматриваем IE11

https://habr.com/ru/post/437390/

Alarm, Rubeus в сети

Все читали про большое исследование Elad Shamir, позволяющее провести атаку на AD, используя делегирование.

Был разработан инструментарий Rubeus, позволяющий осуществить атаку.

BlueTeam тоже не стоит на месте и первая компания уже добавила атрибуты для детектирования Rubeus в свои системы обнаружения вторжений.

Делимся с вами ссылкой на их пост. Если опустить рекламу компании - можно понять какие именно атрибуты были добавлены и оперативно добавить в свои средства защиты.


#blueteam
#WaggingtheDog

Детектирование - https://alsid.com/company/news/kerberos-resource-based-constrained-delegation-new-control-path

Исследование Wagging the Dog - https://shenaniganslabs.io/2019/01/28/Wagging-the-Dog.html

The Red Team Guide

Самые интересные и полезные вещи получаются, когда их создаёт несколько человек.

Делимся с вами ссылкой на книгу "The Red Team Guide", которая создаётся группой инициативных людей в формате краудсорсинга.

Интересно, полезно и необычно. Данная книга действительно будет местом сбора полезной информации. Ведь у каждого RedTeam специалиста, у каждой команды - свои взгляды, свой опыт и пул инструментов.

#redteam


https://docs.google.com/document/d/14VRt2veErhHrn5dwGybe2wxk3DYzU4lPyRCDzn_23WI/

Используем расширения для Chrome в macOS для закрепления в системе

Расширения для браузера Chrome давно используются при проведении атак на компанию, либо для закрепления в системе.

Усовершенствование средств защиты, в частности появление систем обнаружения угроз на конечных точках (EDR) - усложнили задачу использования расширений.

Однако для macOS проблема все ещё существует. Используя мобильные профили конфигурации есть возможность поставить вредоносное расширение для Chrome.

Интересная статья на примере загрузки на macOS вредоносного расширения, использующего в качестве полезной нагрузки фреймворк для пост-эксплуатации в macOS (Apfell).

https://posts.specterops.io/no-place-like-chrome-122e500e421f

SSHazam. Скрываемся после закрепления

"Если хотите спасти мир - скажите волшебное слово" (с) Шазам

В наших реалиях - если хотите качественно закрепиться в системе заказчика - без волшебства не обойтись.

Делимся небольшой, но ёмкой статьёй о том как спрятать Empire-агентов в SSH туннель, чтобы избежать детектирования со стороны средств защиты.


https://www.blackhillsinfosec.com/sshazam-hide-your-c2-inside-of-ssh/

#redteam

Всё будет в Ажуре

Тенденция последних лет - переносить инфраструктуру в облако, использовать облачные сервисы и интегрировать их с доменом. Действительно, это удобно и, на первый взгляд, безопаснее.

Одним из популярных решений на данный момент является Azure AD. Очень удобно, когда AD компании синхронизируется с облачной платформой, и пользователи без проблем могут пользоваться как приложениями от Microsoft (Office365, SharePoint, OneDrive и т.д.), так и другими сервисами, которые могут интегрироваться с Azure AD.

Всем кажется, что все просто - поставил галочку, нажал кнопочку и все работает. Однако, все не совсем так. Точнее совсем не так. И сам Azure AD - сложная инфраструктура с большой документацией и различного рода настройками.

Делимся с вами статьей, которая рассказывает о разных способах интеграции Azure AD c AD компании. И насколько различные настройки полезны для проведения RedTeam.

https://blog.xpnsec.com/azuread-connect-for-redteam/

#redteam

Неограниченное делегирование и Kerberos

В этом году модно говорить про проблемы с делегирование. Одним из ярких примеров был и остаётся PrivExchange.

Исследователи пошли дальше и решили узнать возможно ли как-то связать недостатки в делегировании и получение TGT билетов.

Был написан инструмент krbrelayx (https://github.com/dirkjanm/krbrelayx), в котором реализовано 2 способа получения прав доменного администратора путём неограниченного делегирования:

- SpoolService (не баг, а фича, которая основана на непреднамеренных рисках при двустороннем доверии между лесами в AD)

- PrivExchange (не баг, а фича этого года, по которой Microsoft всё-таки выпустил рекомендации по устранению)

В общем огненная статья!

Рекомендуем!

https://dirkjanm.io/krbrelayx-unconstrained-delegation-abuse-toolkit/

#redteam

MS ATA Bypass

По следам прошедшего выступления на DefconNN - написали небольшую заметку про Microsoft Advanced Threat Analytics.

https://medium.com/@karelova.ov/ms-ata-bypass-16572cf9cde3

#redteam

Заметки на полях

А как вы справляетесь с большим количеством информации? Сложно структурировать информацию, которую получаешь в ходе проведения исследований, которая накапливается с опытом.

Самый большой лайфхак - все надо записывать. Даже если кажется, что такую информацию никогда не забудешь. Забудешь.

Поэтому сегодня делимся с вами структурированными записями про WAF.
Спасибо человеку, который все собрал в кучу.

https://github.com/0xInfection/Awesome-WAF

Чтобы не забыть и вспомнить, когда надо будет!

#redteam

Поговорим о Jenkins

В последнее время в инфраструктуре заказчика стал часто встречаться такой инструмент как Jenkins. Любая компания, у которой есть необходимость автоматически деплоить приложения или инфраструктуру, управлять различными задачами - использует Jenkins.

Почему?

Потому что это бесплатно и очень удобно. Веб-интерфейс, огромное количество различных плагинов помогают инструменту быть юзер френдли.

Посмотрим теперь со стороны RedTeam: у нас есть очень популярный сервис, в котором много полезной информации, через который можно управлять инфраструктурой или задачами компании. На него можно логиниться, а значит он хранит пароли и какие-то ключи. Значит надо попробовать это все получить...

В общем делимся с вами 2-мя небольшими зарисовками о том как можно найти config.xml в Jenkins и расшифровать пароли, которые там хранятся.

https://carnal0wnage.attackresearch.com/2019/03/jenkins-identify-ip-addresses-of-nodes.html

https://carnal0wnage.attackresearch.com/2019/02/jenkins-decrypting-credentialsxml.html

#redteam

Сказ о том, как происходит детектирование Empire с помощью sysinternals


Делимся с вами исследованием о том, как грамотная BlueTeam видит запуск и жизнь Empire на машине. Грамотная - потому что использует инструмент sysinternals, который позволяет анализировать внутреннюю работу Windows.

Честно - все как на ладони. Главное знать, куда смотреть и грамотно пользоваться инструментарием.

https://holdmybeersecurity.com/2019/02/27/sysinternals-for-windows-incident-response/

#blueteam

MAQ - это тоже про AD

Чем глубже погружаешься в изучение Active Directory - тем больше кажется, что это ещё не до конца освоенная человечеством вселенная.

Делимся очередной статьей о "фишечках" AD.
В этот раз речь пойдет о MAQ (MachineAccountQuota) - атрибут, который указывает число учётных записей компьютеров, которые непривилегированный пользователь может создать в домене.

Угу.
Пользователь, обычный, без привилегий - создаёт учётные записи компьютеров в домене. Ну действительно, зачем тогда разграничения вообще нужны?

В общем суть в том, что MAQ - атрибут уровня доменного администратора и по умолчанию, при создании AD, для каждого пользователя домена ставится значение 10. Т.е. каждый пользователь может создавать по 10 учётных записей компьютера.

Созданная таким образом учётная запись автоматически добавляется в группу "компьютеры домена", у которой есть дополнительные привилегии.
Также имеется возможность на редактирование каких-то атрибутов учётной записи.

А это значит, что есть возможность делегирование полномочий - ну а там уже можно использовать атаку неограниченного делегирования Kerberos.

В общем статья интересная
Рекомендуем

https://blog.netspi.com/machineaccountquota-is-useful-sometimes/

О том как Pulse Secure может помочь в повышении привилегий на Windows

Pulse Secure - программное обеспечение для создания SSL VPN в корпоративной сети. Достаточно популярное решение.

Если у пользователя стоить клиент Pulse Secure, то можно локально повысить привилегии на его машине.

Проблема заключается в том, что файлы журнала клиента Pulse Secure создаются системными процессами, а записывать в них могут все группы пользователей (т.к. логируются как системные, так и пользовательские процессы).

Таким образом непривилегированный пользователь может получить привилегии системы на локальном компьютере.

Подробнее вы можете прочитать по ссылке
https://offsec.provadys.com/pulse-secure-arbitrary-file-write-eop.html

И да, данная уязвимость известна (CVE-2018-11002), однако патчи ещё не выпущены

#redteam

Azure AD и Active Directory

На прошлой неделе в Германии проходила конференция Troopers.

Делимся с вами презентацией с выступления Dirk-jan (того самого, который опубликовал ресеч про PrivExchange).

https://github.com/mis-team/interesting/blob/master/inyourcloud_TR19.pdf

Инструментарий и видео будут опубликованы позже. Но и из презентации можно почерпнуть много полезных вещей:

1) о взаимодействии AD и Azure AD
2) о том, что такое AD Sync и как эта база формируется
3) о том как может помочь/навередить SSO (это с какой стороны посмотреть)

А самое главное - компрометация аккаунта в AzureAD (который отвечает за синхронизацию хешей пользователей между AD и Azure) означает автоматическую компрометацию домена компании.

В общем рекомендуем почитать, а потом ещё и послушать, а может быть и поюзать...

#redteam

Заметки на полях: инфраструктура для работы

Все знают, что основная платформа для проведения работ в сфере тестирования на проникновение - kali linux.

Однако она не всегда удобна, да и, на самом деле, совсем не удобна, для проведения RedTeam кампаний на этапе работы уже внутри сети.

Гораздо удобнее имитировать действия обычного пользователя с Windows машины. Но инструменты то нужны специфические. И тут начинается - не всегда все нормально устанавливается, тратится много времени и в общем-то совершенно не удобно.

Опытные команды используют docker-контейнеры или самописные скрипты для разворачивания новой машины со всеми плюшками в один клик.

Однако не все готовы к такому. И тут совершенно недавно компания Fireeye выпустила совершенно крутую штуку (так по крайней мере кажется на первый взгляд, мы сами ещё не тестировали) - CommandoVM - Windows машина со всеми необходимыми инструментами для проведения пентеста или RedTeam.

Делимся с вами ссылками на пост от Fireeye с примерами

https://www.fireeye.com/blog/threat-research/2019/03/commando-vm-windows-offensive-distribution.html

И гитхаб, откуда можно все скачать

https://github.com/fireeye/commando-vm

#redteam

Рейтинг упоминания киберпреступных группировок в медиапространстве в 1 квартале 2019 года

Киберпреступные группировки постоянно упоминаются в различных источниках медиапространства. Сегодня мы публикуем небольшой рейтинг по упоминаниям в 1 квартале 2019 года.

На самом деле интересно - в атаках активно используются свежие уязвимости, начинают проявлять себя новые преступные группировки


https://medium.com/@karelova.ov/рейтинг-упоминания-киберпреступных-группировок-в-медиапространстве-в-1-квартале-2019-года-301dac270977