Forwarded from Похек (Сергей Зыбнев)
#antiforensic #windows
Когда blue team начинают анализировать логи, то им довольно просто определить цепочку наших действий смотря по логам и запущенным процессам. Но нашёл для вас интересную тулзу, которая скрывает аргументы запуска команд.
Как показано в гифке. Сначала мы "парализуем" текущую командную строку, далее запуск mimikatz будет более менее без палева. И если просто переименовать процесс в какой-нибудь
excel.exe, то в логах будет виден только запуск Excel якобы. Понятное дело, что AV спалит очевидную нагрузку по куче факторов. Но как анти-форензика и real-time противодействие SOCу, думаю отлично будет. Как будет возможность, обязательно протестирую.Please open Telegram to view this post
VIEW IN TELEGRAM
WELA
#Log #Windows #BlueTeam
WELA (Windows Event Log Analyzer) призван стать незаменимым помощником при анализе журналов событий Windows. Самым большим плюсом WELA является создание простой для анализа временной шкалы входа в систему, чтобы помочь с быстрым реагированием на инциденты и расследованием. Генератор временной шкалы входа в систему использует только полезную информацию из журнала (4624, 4634, 4647, 4672, 4776), игнорируя около 90% шума, и преобразует любые трудночитаемые данные (например, шестнадцатеричные коды состояния) в удобочитаемый формат.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#Log #Windows #BlueTeam
WELA (Windows Event Log Analyzer) призван стать незаменимым помощником при анализе журналов событий Windows. Самым большим плюсом WELA является создание простой для анализа временной шкалы входа в систему, чтобы помочь с быстрым реагированием на инциденты и расследованием. Генератор временной шкалы входа в систему использует только полезную информацию из журнала (4624, 4634, 4647, 4672, 4776), игнорируя около 90% шума, и преобразует любые трудночитаемые данные (например, шестнадцатеричные коды состояния) в удобочитаемый формат.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Microsoft-Activation-Scripts
#Windows #Office
Активатор Windows и Office, использующий методы активации HWID / Ohook / KMS38 / Online KMS, с акцентом на открытый исходный код и меньшим количеством обнаружений антивирусом.
Ссылка на GitHub.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#Windows #Office
Активатор Windows и Office, использующий методы активации HWID / Ohook / KMS38 / Online KMS, с акцентом на открытый исходный код и меньшим количеством обнаружений антивирусом.
Ссылка на GitHub.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Windows Privileges for Fun and Profit.
#RedTeam #статья #Windows
Важной частью безопасности системы является управление привилегиями. Пользователи с высокими привилегиями (например, администраторы) имеют широкие возможности, и если эти привилегии будут использованы злоумышленником, это может привести к серьезным последствиям.
• SeAssignPrimaryToken;
• SeAudit;
• SeBackup;
• SeCreatePagefile;
• SeChangeNotify;
• SeCreatePagefile;
• SeSystemtime;
• SeTakeOwnership;
• SeTcb;
• SeTrustedCredManAccess;
• SeCreateToken;
• SeDebug;
• SeImpersonate;
• SeIncreaseBasePriority;
• SeIncreaseQuota;
• SeLoadDriver;
• SeRelabel;
• SE_CHANGE_NOTIFY_NAME (SeChangeNotifyPrivilege);
• Resources.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Onion Market — анонимный Р2Р-обменник для людей!
#RedTeam #статья #Windows
Важной частью безопасности системы является управление привилегиями. Пользователи с высокими привилегиями (например, администраторы) имеют широкие возможности, и если эти привилегии будут использованы злоумышленником, это может привести к серьезным последствиям.
• SeAssignPrimaryToken;
• SeAudit;
• SeBackup;
• SeCreatePagefile;
• SeChangeNotify;
• SeCreatePagefile;
• SeSystemtime;
• SeTakeOwnership;
• SeTcb;
• SeTrustedCredManAccess;
• SeCreateToken;
• SeDebug;
• SeImpersonate;
• SeIncreaseBasePriority;
• SeIncreaseQuota;
• SeLoadDriver;
• SeRelabel;
• SE_CHANGE_NOTIFY_NAME (SeChangeNotifyPrivilege);
• Resources.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Onion Market — анонимный Р2Р-обменник для людей!
Win Brute Logon
#bruteforce #pentest #Windows #password
Предназначен для имитации атаки методом перебора на аккаунт путём подбора большого количества комбинаций паролей за короткий промежуток времени. Инструмент использует отсутствие механизма блокировки учётной записи (блокировка аккаунтов стала включенной по умолчанию в Windows 11).
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#bruteforce #pentest #Windows #password
Предназначен для имитации атаки методом перебора на аккаунт путём подбора большого количества комбинаций паролей за короткий промежуток времени. Инструмент использует отсутствие механизма блокировки учётной записи (блокировка аккаунтов стала включенной по умолчанию в Windows 11).
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Windows Exploit Suggester - Next Generation (WES-NG)
#ReaTeam #pentest #Windows
Инструмент, основанный на выводе утилиты systeminfo операционной системы Windows. Он предоставляет список уязвимостей, которым подвержена ОС, включая эксплоиты для этих уязвимостей. Поддерживаются все версии Windows от Windows XP до Windows 11, включая их серверные эквиваленты.
На блоге BITSADMIN доступна подробная статья о WES-NG: «Обновления безопасности Windows для хакеров».
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#ReaTeam #pentest #Windows
Инструмент, основанный на выводе утилиты systeminfo операционной системы Windows. Он предоставляет список уязвимостей, которым подвержена ОС, включая эксплоиты для этих уязвимостей. Поддерживаются все версии Windows от Windows XP до Windows 11, включая их серверные эквиваленты.
На блоге BITSADMIN доступна подробная статья о WES-NG: «Обновления безопасности Windows для хакеров».
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
RPC и способы его мониторинга
#Windows #SOC #статья
Сегодня мы рассмотрим тему мониторинга RPC (Remote Procedure Call, удаленный вызов процедур), а также разберем возможные варианты логирования Microsoft Remote Procedure Call (MS‑RPC), связанного с актуальными и популярными на сегодняшний день атаками.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#Windows #SOC #статья
Сегодня мы рассмотрим тему мониторинга RPC (Remote Procedure Call, удаленный вызов процедур), а также разберем возможные варианты логирования Microsoft Remote Procedure Call (MS‑RPC), связанного с актуальными и популярными на сегодняшний день атаками.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
PowerRunAsSystem
#RedTeam #SYSTEM #Windows
Скрипт PowerShell, также доступный в виде устанавливаемого модуля через PowerShell Gallery, предназначен для того, чтобы выдавать себя за NT AUTHORITY/SYSTEM и выполнять команды или запускать интерактивные процессы без использования сторонних инструментов. Он достигает этого, используя только встроенные функции Windows.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#RedTeam #SYSTEM #Windows
Скрипт PowerShell, также доступный в виде устанавливаемого модуля через PowerShell Gallery, предназначен для того, чтобы выдавать себя за NT AUTHORITY/SYSTEM и выполнять команды или запускать интерактивные процессы без использования сторонних инструментов. Он достигает этого, используя только встроенные функции Windows.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
User Account Control/Uncontrol: Mastering the Art of Bypassing Windows UAC
#Windows #RedTeam #UAC #bypass #pentest
UAC (User Account Control) – механизм, который призван предотвратить несанкционированные административные действия, потенциально опасные для системы. UAC Bypass является достаточно распространённой атакой среди вредоносного ПО. В статье рассмотрена механика работы UAC и есть разбор некоторых рабочих методов по обходу UAC.
Ссылка на статью.
LH | Новости | OSINT | Курсы
#Windows #RedTeam #UAC #bypass #pentest
UAC (User Account Control) – механизм, который призван предотвратить несанкционированные административные действия, потенциально опасные для системы. UAC Bypass является достаточно распространённой атакой среди вредоносного ПО. В статье рассмотрена механика работы UAC и есть разбор некоторых рабочих методов по обходу UAC.
Ссылка на статью.
LH | Новости | OSINT | Курсы
Forwarded from Новостник Кибербеза
Защитник-предатель: почему BitLocker стал союзником хакеров?
#BitLocker #Windows #Ransomware
Компания Bitdefender представила дешифратор для шифровальщика ShrinkLocker, который использует встроенную функцию Windows — BitLocker — для шифрования файлов и блокировки восстановления системы. Пандемия атак с использованием ShrinkLocker началась после инцидента с медицинской организацией на Ближнем Востоке. ShrinkLocker зашифровывает диски, проверяя наличие BitLocker, и отправляет случайный пароль на сервер злоумышленников. Вредоносное ПО особенно привлекательно для начинающих хакеров и активно применяется против устаревших версий Windows. Bitdefender рекомендует хранить ключи BitLocker в Active Directory для предотвращения подобных атак.
LH | Новости | Курсы | OSINT
#BitLocker #Windows #Ransomware
Компания Bitdefender представила дешифратор для шифровальщика ShrinkLocker, который использует встроенную функцию Windows — BitLocker — для шифрования файлов и блокировки восстановления системы. Пандемия атак с использованием ShrinkLocker началась после инцидента с медицинской организацией на Ближнем Востоке. ShrinkLocker зашифровывает диски, проверяя наличие BitLocker, и отправляет случайный пароль на сервер злоумышленников. Вредоносное ПО особенно привлекательно для начинающих хакеров и активно применяется против устаревших версий Windows. Bitdefender рекомендует хранить ключи BitLocker в Active Directory для предотвращения подобных атак.
LH | Новости | Курсы | OSINT