🔓 Сила шифрования или как я выявил недостаток работы Defender’а 🔓

В данной статье рассмотрим, как технологии шифрования помогают в защите конфиденциальности и целостности данных, а также как современные средства безопасности могут оказаться недостаточными для полноценный защиты.

Читать: https://teletype.in/@hackerblog/PtB5Fw2oQbX

UPD: Ура-ура! Наконец, я закончил, наверное, самый трудозатратный ресёрч на канале, который занял у меня 3 месяца. Посты теперь будут выходить чаще.

Кстати, эта вулна встречается в одном из тасков на Codeby🛤️

Proof of Concept (PoC) for #CVE-2024-23334, demonstrating how #malicious actors can exploit vulnerabilities in aiohttp using #LFI .

https://github.com/jhonnybonny/CVE-2024-23334

Private: @ExploitServiceBot
Malware Shop: @MalwareShopBot
All projects @MalwareLinks

🔑 Немножко про Pass-the-Hash со стороны защиты 🔑

sekurlsa::pth /user:pudge /domain:stend.domain /ntlm:<>

На приведенном ниже изображении можно увидеть успешно проведенную атаку PTH c использованием утилиты mimikatz и, как следствие, запуск командной строки из-под пользователя “Администратор”.

Данная активность в сети, конечно, оставит свои следы. Такие сработки правил, как: Windows_Hacktool_Usage, MalSecLogon_PPID_Spoofing и Pass_the_Hash прекрасно отработают на вышеописанную деятельность.

Теперь поподробнее:
Pass_the_Hash
Пользователь "администратор" выполнил локальную атаку Pass-the-Hash на узле computer-1.stend.domain, чтобы повысить привилегии. Атакующий использовал NTLM-хеш пользователя pudge.
Фильтр для поиска событий: ((((object = "account") AND (action = "elevate")) AND (logon_type = 9)) AND (msgid = "4624")) AND (logon_service = "seclogo")

MalSecLogon_PPID_Spoofing
Пользователь "администратор", возможно, использовал технику подмены идентификатора родительского процесса (PPID Spoofing) и создал процесс cmd.exe от процесса mimikatz.exe на узле computer-1.stend.domain.
Фильтр для поиска событий: (object.process.name = "mimikatz.exe" OR object.name = "mimikatz.exe") AND (msgid = "1")

Windows_Hacktool_Usage
Обнаружено использование утилит для взлома (mimikatz.exe) систем Windows на узле computer-1.stend.domain.
Фильтр для поиска событий: (object.process.name = "mimikatz.exe" OR object.name = "mimikatz.exe") AND (msgid = "1")

Меня иногда просят посоветовать self-hosted лабы по различным доменам знаний деятельности пентестеров для наработки и совершенствования навыков на практике, поэтому ловите небольшую подборку:

☑️ Kubernetes Goat - Vulnerable by design Kubernetes cluster
☑️ DVWA - Damn Vulnerable Web Application
☑️ DVWS - Damn Vulnerable Web Sockets
☑️ DVHMA - Damn Vulnerable Hybrid Mobile App (Android)
☑️ DVIA - Damn Vulnerable iOS App
☑️ DVIA2 - Damn Vulnerable iOS App v2
☑️ CI/CD Goat - Vulnerable CI/CD environment
☑️ DVGA - Damn Vulnerable GraphQL Application
☑️ VAmPI - Vulnerable REST API
☑️ DVSA - Damn Vulnerable Serverless Application
☑️ DVFaaS - Damn Vulnerable Functions as a Service (AWS Lambda)
☑️ AWS Goat - Damn Vulnerable AWS Infrastructure
☑️ DVCA - Damn Vulnerable Cloud Application (AWS privesc)
☑️ Azure Goat - Damn Vulnerable Azure Infrastructure
☑️ GCP Goat - Damn Vulnerable GCP Infrastructure
☑️ DVTA - Damn Vulnerable Thick Client App
☑️ DVJA - Damn Vulnerable Java (EE) Application
☑️ DVID - Damn Vulnerable IoT Device
☑️ DVAS - Damn Vulnerable Application Scanner
☑️ DVB - Damn Vulnerable Bank
☑️ DVWPS - Damn Vulnerable WordPress Site
☑️ DVNA - Damn Vulnerable NodeJS Application
☑️ DVGM - Damn Vulnerable Grade Management
☑️ Tiredful API - REST API intentionally designed broken App
☑️ DVCSharp - Damn Vulnerable C# Application (API)
☑️ DVRF - Damn Vulnerable Router Firmware
☑️ DVLLMP - Damn Vulnerable LLM Project
☑️ DVLLMA - Damn Vulnerable LLM Agent

Безусловно некоторые из них уже устарели и содержат не самые актуальные баги, а с некоторыми придется повозиться чтобы установить и развернуть, но все же это хорошая отправная точка для погружения в интересующую тематику😎

Посты будут выходить реже до конца июля😢
Сессия, сами понимаете 🥹

CVE-2024-27804

уязвимости ядра iOS/macOS, которая приводит к выполнению произвольного кода с привилегиями ядра.

https://github.com/R00tkitSMM/CVE-2024-27804

Private: @ExploitServiceBot
Malware Shop: @MalwareShopBot
All projects @MalwareLinks

Angel Drainer: https://tttttt.me/+p2mOn-eGo4UzMTEx
Support: @angelsupport

Что бы хотели видеть на канале?🧐

Кстати, совсем недавно проходил Hackosint (CTF по осинту)
Ребята из нашей команды заняли 1 место😎

🎉🎊Поздравим их🎉🎊



P.S. Прикреплю сюда райтапы на таски, поскольку они были очень необычные и интересные

! upd
Здарова всем, там race condition по sshd;

Скрипт проверки:
https://github.com/xaitax/CVE-2024-6387_Check

Идея проверки, проверяется версия удаленного сервера, уязвимые версии:

'SSH-2.0-OpenSSH_8.5p1'
'SSH-2.0-OpenSSH_8.6p1'
'SSH-2.0-OpenSSH_8.7p1'
'SSH-2.0-OpenSSH_8.8p1'
'SSH-2.0-OpenSSH_8.9p1'
'SSH-2.0-OpenSSH_9.0p1'
'SSH-2.0-OpenSSH_9.1p1'
'SSH-2.0-OpenSSH_9.2p1'
'SSH-2.0-OpenSSH_9.3p1'
'SSH-2.0-OpenSSH_9.4p1'
'SSH-2.0-OpenSSH_9.5p1'
'SSH-2.0-OpenSSH_9.6p1'
'SSH-2.0-OpenSSH_9.7p1'

Сам PoC к уязвимости, был написан на С, на x32 систем, для х64 пока нет, но думаю что вопрос времени;

Пока есть три варианта, митингации (но можно таким образом вызвать отказ в обслуивании):

LoginGraceTime=0

И пропатчить бинарь из portable версии sshd (чет мне не очень этот вариант нравится);

Третий вариант, обновить пакеты:
openssh-server
openssh-client
openssh-sftp-server
До версии 9.8p1 *

Задетектить атаку можно, по логам sshd (journalctl -t sshd), будут сообщения вроде (Timeout before authentication);

Накидайте лютому 🥹

https://tttttt.me/boost/hackerblog

Немножко про As-Rep Roasting и его артефакты

🔥Атака As-rep Roasting позволяет злоумышленнику воспользоваться отключенной преаутентификацией Kerberos для пользователя с целью компрометации УЗ 🔥

Читать: https://habr.com/ru/articles/826620/

P.S. занялся глубоким изучением атак под капотом и их детектом, поэтому на канале пока что будет лютий пюрплтим🟪

🟪Дампим домен и смотрим артефакты🟪

🔥 Атака позволяет злоумышленнику сдампить домен для получения информации о пользователях и группах, а также для последующего построения пути компрометации домена 🔥

В данной статье разберем способы дампа домена с помощью bloodhound, разберем в чем их разница и, самое главное, научимся детектить данную атаку на уровне трафика и событий Windows

Читать: https://habr.com/ru/articles/828292/

🔐Pass-The-Hash и его артефакты🔐

🔥 Атака Pass The Hash позволяет злоумышленнику повторно использовать NT хэш для входа систему, избегая ввода пароля и используя протокол NTLM для авторизации, вместо базового Kerberos🔥

В данной статье рассмотрим атаку PTH под капотом, разберем принцип её работы, закрепим на практике и, самое главное, научимся детектить её в домене

Читать: https://habr.com/ru/articles/829972/

©️Немного про копирование NTDS.DIT©️

Для комфортного дампа информации и извлечения паролей из этой базы данных, её необходимо скопировать на свой хост. Но как это сделать?

Основной проблемой копирования служит ошибка "Файл уже используется". Она возникает из-за того, что ntds.dit постоянно используется EFS (Encrypted File System). Для обхода данной проблемы, есть 2 основных варианта: Invoke-NinjaCopy и vssadmin

Invoke-NinjaCopy
Данный PS скрипт позволит скопировать ntds.dit и другие файлы, которые используются службами Windows, обходя ошибку копирования. Основным плюсом является побайтовое копирование, которое возможно благодаря анализу структуры NTFS и поиска определенной сигнатуры без запуска посторонних служб и внедрения в процессы.
Копирование NTDS.DIT: Invoke-NinjaCopy -path c:\Windows\NTDS\ntds.dit -verbose -localdestination c:\ntds.dit

vssadmin
Использование данной утилиты для копирования ntds.dit также называют "теневым копированием". Основным плюсом является то, что данный инструмент уже установлен в WIndows.
Создание теневой копии: vssadmin create shadow /for=C:
Копирование NTDS.DIT: copy \\?\...\ntds.dit C:\ntds.dit

Также для чтения файла необходим файл SYSTEM: reg save hklm\system C:\sys

🎫Golden Ticket и его артефакты🎫

🔥 Атака Golden Ticket позволяет злоумышленнику выпустить золотой билет Kerberos (TGT) с помощью секретного ключа (хэш) сервисной учетной записи KRBTGT. Данная техника позволяет максимально скрыть следы своего присутствия, поскольку для инфраструктуры злоумышленник будет казаться легитимным пользователем, но без фактической аутентификации и с желаемыми правами 🔥

В данной статье рассмотрим атаку на теории и практике, разберемся с ключевыми моментами и, самое главное, научимся детектить её в домене.

Читать: https://habr.com/ru/articles/836818/