👾 S.E.Заметка. EDRHunt и методы обхода AV.
• Более подробное описание есть в статье от разработчика: https://www.fourcore.vision/blogs/Red-Team-Adventure:-Digging-into-Windows-Endpoints-for-EDRs-and-profit-cUf
• Репозиторий: https://github.com/FourCoreLabs/EDRHunt
📌 В дополнение:
• Тулза, автоматизирующая работу с
‼️ Полезно для #Red_Team и #Blue_team. Твой S.E. #Заметка
🖖🏻 Приветствую тебя user_name.• EDRHunt — тулза которая сканирует и идентифицирует установленные EDR и AV на хостах с #Windows, путем анализа служб, драйверов, запущенных процессов и ключей реестра. Сканирование системы в поисках информации, выполняются с помощью WMI-запросов через COM и собственные API для перечисления установленных драйверов. Обнаружение EDR на данный момент доступно:
• Windows Defender;• Kaspersky Security;• Symantec Security;• Crowdstrike Security;• McAfee Security;• Cylance Security;• Carbon Black;• SentinelOne;• FireEye;• Elastic EDR.• Более подробное описание есть в статье от разработчика: https://www.fourcore.vision/blogs/Red-Team-Adventure:-Digging-into-Windows-Endpoints-for-EDRs-and-profit-cUf
• Репозиторий: https://github.com/FourCoreLabs/EDRHunt
📌 В дополнение:
• Тулза, автоматизирующая работу с
mpcmdrun.exe (Windows Defender), разбивает файл на куски и скармливает дефендеру для выявления конкретного куска, который палится (по статическим сигнатурам): https://github.com/t3hbb/DefenderCheck/. Ссылку нашел у @OrderOfSixAngles.‼️ Полезно для #Red_Team и #Blue_team. Твой S.E. #Заметка
👤 Поиск данных о корпорациях и их владельцах.
• Рекомендуем тебе ознакомиться с сегодняшним материалом, благодаря которому, ты узнаешь о методах и инструментах для поиска данных о корпорациях и их владельцах.
🧷 https://gijn.org/2021/12/30/poisk-dannyih-o-korporatsiyah-i-ih-vladeltsah/
‼️ Другую дополнительную информацию ты можешь найти по хэштегам #СИ и #OSINT. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• В государственных реестрах юридических лиц отражена, в лучшем случае, только вершина айсберга. К сожалению, личности реальных владельцев часто бывают неизвестны. Для сокрытия настоящих, «бенефициарных» владельцев создаются так называемые «фирмы-прокладки». Но не спешите отчаиваться. Существует множество способов получить информацию о компании, о ее настоящих владельцах и многом другом. Среди них:• Бесплатные базы данных;• Базы данных по подписке;• Официальные реестры;• Корпоративные сайты;• Реестры судебных решений;• Поиск в Интернете;• Социальные сети.• Рекомендуем тебе ознакомиться с сегодняшним материалом, благодаря которому, ты узнаешь о методах и инструментах для поиска данных о корпорациях и их владельцах.
🧷 https://gijn.org/2021/12/30/poisk-dannyih-o-korporatsiyah-i-ih-vladeltsah/
‼️ Другую дополнительную информацию ты можешь найти по хэштегам #СИ и #OSINT. Твой S.E.
🔖 S.E.Заметка. Базы данных в среде Active Directory.
• Найти все локальные экземпляры SQL можно командой:
Локальных:
Получить список экземпляров SQL, в которые разрешен вход текущему пользователю домена:
🖖🏻 Приветствую тебя user_name.
• В среде Active Directory, как правило, несколько серверов баз данных. PowerUpSQL — полезный инструмент для обнаружения и перечисления серверов Microsoft SQL и атак на них.• Найти все локальные экземпляры SQL можно командой:
Get-SQLInstanceLocal -Verbose• Чтобы найти все экземпляры SQL в сети или домене, используй команды:
Get-SQLInstanceDomain -Verbose• После поиска собираем информацию об экземплярах SQL.
Get-SQLInstanceBroadcast -Verbose
Get-SQLInstanceScanUDP -Verbose
Локальных:
Get-SQLInstanceLocal | Get-SQLServerInfoИ удаленных:
Get-SQLServerInfo -Instance "Имя ПК"• Когда мы нашли все экземпляры SQL и собрали информацию о них, мы можем:
Получить список экземпляров SQL, в которые разрешен вход текущему пользователю домена:
Get-SQLInstanceDomain –Verbose | Get-SQLConnectionTestThreaded –Verbose -Threads 10Попытаться получить права администратора для экземпляра SQL:
Invoke-SQLEscalatePriv -Verbose -Instance "Имя ПК"Перечислить экземпляры SQL по всему домену с использованием паролей по умолчанию:
Get-SQLInstanceDomain -Verbose | Get-SQLServerLoginDefaultPw -VerboseСдампить информацию о SQL Server и базе данных в файлы CSV или XML:
Invoke-SQLDumpInfo -Verbose -Instance "Имя ПК"Запустить функции аудита для сервера SQL:
Invoke-SQLAudit -Verbose -Instance "Имя ПК"#AD, #Заметка. Твой S.E.
🔐 AD security.
• #Подборка достаточно большая и на английском языке. Но каждый из Вас, найдет для себя крайне много полезной информации. От себя хочу напомнить, что для того чтобы правильно строить свою инфраструктуру, понимать как взломать ту или иную систему, ты должен знать как всё устроено и как эта система работает.
• Active Directory Security;
• Active Directory Kill Chain Attack & Defense;
• Top 16 Active Directory Vulnerabilities;
• Active Directory Exploitation Cheat Sheet;
• Windows & Active Directory Exploitation Cheat Sheet and Command Reference;
• Red Teaming - Enumeration;
• Полезные шпаргалки для пентестеров.
• Подробные гайды по атакам на AD.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #AD #hack и #Пентест. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• За последние 6 лет ни один Black Hat или DEF CON не обошелся без докладов на тему атак на Microsoft Active Directory. Сегодня я поделюсь с тобой небольшой подборкой с полезными ресурсами, которые раскрывают все аспекты защиты и уязвимостей #AD. • #Подборка достаточно большая и на английском языке. Но каждый из Вас, найдет для себя крайне много полезной информации. От себя хочу напомнить, что для того чтобы правильно строить свою инфраструктуру, понимать как взломать ту или иную систему, ты должен знать как всё устроено и как эта система работает.
• Active Directory Security;
• Active Directory Kill Chain Attack & Defense;
• Top 16 Active Directory Vulnerabilities;
• Active Directory Exploitation Cheat Sheet;
• Windows & Active Directory Exploitation Cheat Sheet and Command Reference;
• Red Teaming - Enumeration;
• Полезные шпаргалки для пентестеров.
• Подробные гайды по атакам на AD.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #AD #hack и #Пентест. Твой S.E.
💬 true story от Group IB. Social Engineering.
• В рамках Red Team проекта для банка стояла сверхзадача - получить доступ к сегменту дистанционного банковского обслуживания (ДБО). Итерация редтиминга была уже далеко не первой, и более классические форматы вроде пентеста и аудитов приложений заказчик проводил регулярно. Соответственно, периметр не изобиловал дырками. Мы решили проверить разные гипотезы, в том числе связанные с неверно настроенным Wi-Fi в отделениях.
• Мы провели разведку в нескольких филиалах, выбрали наиболее подходящий с самым интересным радиоэфиром и наименее серьезными сотрудниками. Один из них и купился на легенду нашего специалиста о том, что ему срочно нужно зайти в онлайн‑банкинг при нулевом балансе мобильного счета. Логично: чтобы оплатить интернет, нужен доступ в интернет. Сотрудник выдал пароль от Wi-Fi, специалист потыкал в телефон, поблагодарил и ушел. Ушел, конечно же, в локалку!
• Для горизонтального продвижения мы использовали информацию, полученную в процессе внешней разведки: в личном блоге одного из администраторов БД не слишком надежно хранился пароль непривилегированного пользователя от серверов #Linux. С этой учеткой мы получили SSH и на одном из серверов нашли билет Kerberos — уже с привилегиями админа.
• Повысились на хосте и получили пользователей администраторов Linux. К нашему удивлению, привилегий текущего пользователя уже хватило для достижения цели.
💬 Надеюсь что тебе понравилась данная история, если это так, то ты можешь найти обучающий материал по социальной инженерии и другим темам, по соответствующим хештегам: #СИ #Пентест #Взлом. Твой S.E. Источник: @Group_IB
🖖🏻 Приветствую тебя user_name.
• Сегодня я подготовил для тебя очередную и интересную историю от Group IB, принятого чтения:• В рамках Red Team проекта для банка стояла сверхзадача - получить доступ к сегменту дистанционного банковского обслуживания (ДБО). Итерация редтиминга была уже далеко не первой, и более классические форматы вроде пентеста и аудитов приложений заказчик проводил регулярно. Соответственно, периметр не изобиловал дырками. Мы решили проверить разные гипотезы, в том числе связанные с неверно настроенным Wi-Fi в отделениях.
• Мы провели разведку в нескольких филиалах, выбрали наиболее подходящий с самым интересным радиоэфиром и наименее серьезными сотрудниками. Один из них и купился на легенду нашего специалиста о том, что ему срочно нужно зайти в онлайн‑банкинг при нулевом балансе мобильного счета. Логично: чтобы оплатить интернет, нужен доступ в интернет. Сотрудник выдал пароль от Wi-Fi, специалист потыкал в телефон, поблагодарил и ушел. Ушел, конечно же, в локалку!
• Для горизонтального продвижения мы использовали информацию, полученную в процессе внешней разведки: в личном блоге одного из администраторов БД не слишком надежно хранился пароль непривилегированного пользователя от серверов #Linux. С этой учеткой мы получили SSH и на одном из серверов нашли билет Kerberos — уже с привилегиями админа.
• Повысились на хосте и получили пользователей администраторов Linux. К нашему удивлению, привилегий текущего пользователя уже хватило для достижения цели.
💬 Надеюсь что тебе понравилась данная история, если это так, то ты можешь найти обучающий материал по социальной инженерии и другим темам, по соответствующим хештегам: #СИ #Пентест #Взлом. Твой S.E. Источник: @Group_IB
🔖 S.E.Заметка. Awesome Privacy.
🧷 Надеюсь что ты найдешь для себя полезную информацию: https://github.com/pluja/awesome-privacy
📌 Обязательно обрати внимание на нашу подборку полезных материалов в 10 частях: Часть 1 • Часть 2 • Часть 3 • Часть 4 • Часть 5 • Часть 6 • Часть 7 • Часть 8 • Часть 9 • Часть 10
#Заметка #Privacy. Твой S.E.
🖖🏻 Приветствую тебя user_name.• Предлагаю ознакомиться с огромным списком опенсорсного софта и ресурсов. По ссылке ниже, ты сможешь найти необходимые инструменты на все случаи жизни. Начиная от приложений для редактирования видео и заканчивая софтом для 2FA.
🧷 Надеюсь что ты найдешь для себя полезную информацию: https://github.com/pluja/awesome-privacy
📌 Обязательно обрати внимание на нашу подборку полезных материалов в 10 частях: Часть 1 • Часть 2 • Часть 3 • Часть 4 • Часть 5 • Часть 6 • Часть 7 • Часть 8 • Часть 9 • Часть 10
#Заметка #Privacy. Твой S.E.
👨🏻💻 Бесплатные курсы на русском языке: Cisco ССNA 200-301 и Comp TIA A+.
• Пентестеру необходимо знать предполагаемую структуру, средства защиты и вид оборудования. Очень часто приходится действовать по принципу «черного ящика». Следовательно, надо быть готовыми к любым сюрпризам, а также знать особенности крупных поставщиков сетевого оборудования (Cisco, Juniper, Huawei). Именно данные устройства будут составлять костяк любой продвинутой сети.
• Для изучения сетевых технологий и основ сетей, в нашем канале опубликовано достаточно материала. Сегодня мы дополним этот список полезными и бесплатными курсами на русском языке.
Курс ССNA 200-301
➖ Урок 1 (Сертификация Cisco)
➖ Урок 2 (Switch & Router)
➖ Урок 3 (Точки доступа)
➖ Урок 4 (Firewalls)
➖ Урок 5 (скорость и объем)
➖ Урок 6 (Кабели)
➖ Урок 7 (методы коммуникаций)
➖ Урок 8 (Маска подсети)
➖ Урок 9 (Default gateway & DNS Server)
➖ Урок 10 (NAT, Public & Private addresses)
➖ Урок 11 (виды IP коммуникаций)
➖ Урок 12 (протоколы TCP, UDP, ICMP)
➖ Урок 13 (Инструменты инженера)
➖ Урок 14 (Distribution switches)
➖ Урок 15 (Модели OSI и TCP)
➖ Урок 16 (введение в IOS)
➖ Урок 17 (подключение по консоли)
➖ Урок 18 (Режимы IOS)
➖ Урок 19 (Базовые команды)
➖ Урок 20 (Файловая система IOS)
➖ Урок 21 (Базовая конфигурация)
➖ Урок 22 (SSH)
➖ Урок 23 (Interface Syntax)
➖ Урок 24 (Switching fundamentals)
➖ Урок 25 (STP Protocol)
➖ Урок 26 (STP root bridge)
➖ Урок 27 (STP Best route)
➖ Урок 28 (Настройка STP)
➖ Урок 29 (STP portfast & BPDU Guard)
➖ Урок 30 (L2 Security)
➖ Урок 31 (Etherchannel)
➖ Урок 32 (Etherchannel config)
➖ Урок 33 (Лицензирование IOS)
➖ Урок 34 (Таблица маршрутизации)
Курс Comp TIA A+
➖ Урок 1 (Принцип работы компьютера)
➖ Урок 2 (Биос)
➖ Урок 3 (Чипсет)
➖ Урок 4 (Слоты)
➖ Урок 5 (Оперативная память)
➖ Урок 6 (Карты расширения)
➖ Урок 7 (Устройства хранения данных)
➖ Урок 8 (Процессор)
➖ Урок 9 (Коннекторы)
➖ Урок 10 (Блок питания)
➖ Урок 11 (Индивидуальная конфигурация)
➖ Урок 12 (Виды экранов)
➖ Урок 13 (Кабели и адаптеры)
➖ Урок 14 (Периферийные устройства)
➖ Урок 15 (Принтеры)
➖ Урок 16 (Обслуживание принтеров)
➖ Урок 17 (Операционные системы)
➖ Урок 18 (Методы загрузки)
➖ Урок 19 (Разделы и файловые системы)
📌 Дополнительная информация: https://news.1rj.ru/str/Social_engineering/1648
‼️ Еще больше материала, доступно по хештегам: #Сети #tcpdump #Nmap #Cisco #Сети #WireShark. А так же, делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.• Каждая компания вне зависимости от того, какие функции и цели она преследует, состоит из локальной вычислительной сети (LAN). LAN – это фундамент, без которого организация не может существовать. Локальная сеть отвечает за взаимодействие сотрудников между собой или с интернетом, автоматизацию работы, предоставление услуг клиентам.
• Пентестеру необходимо знать предполагаемую структуру, средства защиты и вид оборудования. Очень часто приходится действовать по принципу «черного ящика». Следовательно, надо быть готовыми к любым сюрпризам, а также знать особенности крупных поставщиков сетевого оборудования (Cisco, Juniper, Huawei). Именно данные устройства будут составлять костяк любой продвинутой сети.
• Для изучения сетевых технологий и основ сетей, в нашем канале опубликовано достаточно материала. Сегодня мы дополним этот список полезными и бесплатными курсами на русском языке.
Курс ССNA 200-301
➖ Урок 1 (Сертификация Cisco)
➖ Урок 2 (Switch & Router)
➖ Урок 3 (Точки доступа)
➖ Урок 4 (Firewalls)
➖ Урок 5 (скорость и объем)
➖ Урок 6 (Кабели)
➖ Урок 7 (методы коммуникаций)
➖ Урок 8 (Маска подсети)
➖ Урок 9 (Default gateway & DNS Server)
➖ Урок 10 (NAT, Public & Private addresses)
➖ Урок 11 (виды IP коммуникаций)
➖ Урок 12 (протоколы TCP, UDP, ICMP)
➖ Урок 13 (Инструменты инженера)
➖ Урок 14 (Distribution switches)
➖ Урок 15 (Модели OSI и TCP)
➖ Урок 16 (введение в IOS)
➖ Урок 17 (подключение по консоли)
➖ Урок 18 (Режимы IOS)
➖ Урок 19 (Базовые команды)
➖ Урок 20 (Файловая система IOS)
➖ Урок 21 (Базовая конфигурация)
➖ Урок 22 (SSH)
➖ Урок 23 (Interface Syntax)
➖ Урок 24 (Switching fundamentals)
➖ Урок 25 (STP Protocol)
➖ Урок 26 (STP root bridge)
➖ Урок 27 (STP Best route)
➖ Урок 28 (Настройка STP)
➖ Урок 29 (STP portfast & BPDU Guard)
➖ Урок 30 (L2 Security)
➖ Урок 31 (Etherchannel)
➖ Урок 32 (Etherchannel config)
➖ Урок 33 (Лицензирование IOS)
➖ Урок 34 (Таблица маршрутизации)
Курс Comp TIA A+
➖ Урок 1 (Принцип работы компьютера)
➖ Урок 2 (Биос)
➖ Урок 3 (Чипсет)
➖ Урок 4 (Слоты)
➖ Урок 5 (Оперативная память)
➖ Урок 6 (Карты расширения)
➖ Урок 7 (Устройства хранения данных)
➖ Урок 8 (Процессор)
➖ Урок 9 (Коннекторы)
➖ Урок 10 (Блок питания)
➖ Урок 11 (Индивидуальная конфигурация)
➖ Урок 12 (Виды экранов)
➖ Урок 13 (Кабели и адаптеры)
➖ Урок 14 (Периферийные устройства)
➖ Урок 15 (Принтеры)
➖ Урок 16 (Обслуживание принтеров)
➖ Урок 17 (Операционные системы)
➖ Урок 18 (Методы загрузки)
➖ Урок 19 (Разделы и файловые системы)
📌 Дополнительная информация: https://news.1rj.ru/str/Social_engineering/1648
‼️ Еще больше материала, доступно по хештегам: #Сети #tcpdump #Nmap #Cisco #Сети #WireShark. А так же, делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🔖 S.E.Заметка. Red Team и пентест AD.
🧷 Крутой материал для Red Team и Blue Team: https://luemmelsec.github.io/Circumventing-Countermeasures-In-AD/
👤 Блог автора: https://luemmelsec.github.io/
‼️ Дополнительную информацию ты можешь найти по хештегу #Пентест #AV #Red_Team и #Blue_Team. Твой S.E.
🖖🏻 Приветствую тебя user_name.• Нашел отличный материал, который будет полезен многим, кто интересуется пентестом. Автор описывает инструменты и методы обхода встроенных средств защиты, благодаря шифрованию пейлоада, обфускации и его упаковки несколькими пакерами.
🧷 Крутой материал для Red Team и Blue Team: https://luemmelsec.github.io/Circumventing-Countermeasures-In-AD/
👤 Блог автора: https://luemmelsec.github.io/
‼️ Дополнительную информацию ты можешь найти по хештегу #Пентест #AV #Red_Team и #Blue_Team. Твой S.E.
🔘 AirTag. Stealth Mode.
• В случае с AirTag, для пользователей iPhone предусмотрены программные оповещения, чтобы узнать о потенциальном преследовании. Если возникают такие подозрения, то можно посмотреть на список незнакомых маячков AirTag вокруг. Но если у пострадавшего устройство #Android, ему не повезло. Через 72 часа AirTag подаст звуковой сигнал. Сигнал сработает только в том случае, если злоумышленник в течение 3х суток не сбросил таймер, то есть не оказался рядом с маячком.
• Однако, на некоторых маркетах (eBay и Etsy), с недавних пор, начали появляться модифицированные версии AirTag, скрывающие своё присутствие от других пользователей. Такие устройства работают беззвучно, не выдавая своего местоположения. Согласно описанию товара, устройство внешне ничем не отличается от обычного AirTag за 29$, но под его аккумулятором есть небольшое отверстие, для отключения питания динамика. Цена модифицированного AirTag составляет 77$.
• Напоминаю, метки - это хороший, а самое главное дешевый инструмент для Социального Инженера. При правильном применении, ты можешь получить много информации о своей цели, а как применять полеченную информацию зависит только от твоих навыков и фантазии. Дополнительный материал ты можешь найти по хештегу #СИ. Твой S.E. #Новости #AirTag
🖖🏻 Приветствую тебя user_name.• Stalkerware — мобильный софт для сталкинга, то есть навязчивой слежки за человеком. Это растущий класс программного обеспечения, который позволяет получать геолокацию смартфона, просматривать текстовые сообщения, фотографии, звонки и т.д. Такой софт используется любителями и профессионалами, в работе государственной разведки и правоохранительных органов, для слежки за независимыми журналистами и активистами. Радиометки Apple AirTag не исключение. Они отлично дополняют инструментарий stalkerware.
• В случае с AirTag, для пользователей iPhone предусмотрены программные оповещения, чтобы узнать о потенциальном преследовании. Если возникают такие подозрения, то можно посмотреть на список незнакомых маячков AirTag вокруг. Но если у пострадавшего устройство #Android, ему не повезло. Через 72 часа AirTag подаст звуковой сигнал. Сигнал сработает только в том случае, если злоумышленник в течение 3х суток не сбросил таймер, то есть не оказался рядом с маячком.
• Однако, на некоторых маркетах (eBay и Etsy), с недавних пор, начали появляться модифицированные версии AirTag, скрывающие своё присутствие от других пользователей. Такие устройства работают беззвучно, не выдавая своего местоположения. Согласно описанию товара, устройство внешне ничем не отличается от обычного AirTag за 29$, но под его аккумулятором есть небольшое отверстие, для отключения питания динамика. Цена модифицированного AirTag составляет 77$.
• Напоминаю, метки - это хороший, а самое главное дешевый инструмент для Социального Инженера. При правильном применении, ты можешь получить много информации о своей цели, а как применять полеченную информацию зависит только от твоих навыков и фантазии. Дополнительный материал ты можешь найти по хештегу #СИ. Твой S.E. #Новости #AirTag
📦 Песочница из которой не выбраться. ОС Qubes. Релиз 4.1.
В разные времена предпринималось множество попыток создать защищенную операционную систему на основе технологий изоляции и виртуализации приложений. В свое время в рамках проекта Syngularity этим занималась даже Microsoft, однако ни одна из этих попыток не увенчалась успехом. Как бы хороши ни были идеи, заложенные в ОС, почти в 100% случаев они становились «жертвой второй системы» — перетащить юзеров и разработчиков на новую платформу не удавалось.
• В основе системы лежит гипервизор Xen, поверх которого запускается несколько виртуальных машин (доменов), каждая из которых ответственна за выполнение своей системной функции. В отдельных доменах работает сетевой стек (включая набор драйверов), файловые системы и драйверы RAID. Для запуска приложений применяются отдельные домены, но не по одному на каждое из них (иначе система умерла бы от быстрого исчерпания ОЗУ), а разделенные на классы (например, работа, развлечения, банковские операции).
• Возможна организация доступа к приложениям в виртуальной машине с #Windows, а также создание виртуальных машин на базе Whonix для обеспечения анонимного доступа через #Tor. Пользовательская оболочка построена на основе Xfce. Когда пользователь запускает из меню приложение, это приложение стартует в определенной виртуальной машине. Содержание виртуальных окружений определяется набором шаблонов.
• Канал передачи данных между доменами зашифрован и имеет строгие ограничения на тип передаваемой информации и возможных адресатов. Это значит, например, что если злоумышленник найдет дыру в сетевом стеке #Linux и сможет получить доступ к сетевому домену, то он фактически окажется заперт внутри него, так как все, что может делать сетевой домен, — это обрабатывать запросы на сетевые подключения и передачу данных от авторизованных доменов. Это не спасет от снифинга и спуфинга, но защитит данные, хранящиеся в домене-хранилище.
📌 Теперь переходим к релизу от 04.02.2022, основные изменения:
🧷 Полезные ссылки:
• Описание других ОС:
• Parrot OS • CSI Linux • Kali Linux • MOFO Linux • Whonix • Obscurix • OS Tails • Kodachi •
Твой S.E. #Qubes
В разные времена предпринималось множество попыток создать защищенную операционную систему на основе технологий изоляции и виртуализации приложений. В свое время в рамках проекта Syngularity этим занималась даже Microsoft, однако ни одна из этих попыток не увенчалась успехом. Как бы хороши ни были идеи, заложенные в ОС, почти в 100% случаев они становились «жертвой второй системы» — перетащить юзеров и разработчиков на новую платформу не удавалось.
🖖🏻 Приветствую тебя user_name.
• QubesOS — это всего лишь #Linux-дистрибутив на основе Fedora, однако в отличие от других он изначально построен на идее жесткой изоляции приложений и компонентов системы с помощью виртуализации.• В основе системы лежит гипервизор Xen, поверх которого запускается несколько виртуальных машин (доменов), каждая из которых ответственна за выполнение своей системной функции. В отдельных доменах работает сетевой стек (включая набор драйверов), файловые системы и драйверы RAID. Для запуска приложений применяются отдельные домены, но не по одному на каждое из них (иначе система умерла бы от быстрого исчерпания ОЗУ), а разделенные на классы (например, работа, развлечения, банковские операции).
• Возможна организация доступа к приложениям в виртуальной машине с #Windows, а также создание виртуальных машин на базе Whonix для обеспечения анонимного доступа через #Tor. Пользовательская оболочка построена на основе Xfce. Когда пользователь запускает из меню приложение, это приложение стартует в определенной виртуальной машине. Содержание виртуальных окружений определяется набором шаблонов.
• Канал передачи данных между доменами зашифрован и имеет строгие ограничения на тип передаваемой информации и возможных адресатов. Это значит, например, что если злоумышленник найдет дыру в сетевом стеке #Linux и сможет получить доступ к сетевому домену, то он фактически окажется заперт внутри него, так как все, что может делать сетевой домен, — это обрабатывать запросы на сетевые подключения и передачу данных от авторизованных доменов. Это не спасет от снифинга и спуфинга, но защитит данные, хранящиеся в домене-хранилище.
📌 Теперь переходим к релизу от 04.02.2022, основные изменения:
• Добавлен фоновый процесс qrexec policy и новая система правил для RPC-механизма Qrexec, который позволяет выполнять команды в контексте заданных виртуальных окружений. Система правил Qrexec определяет кто, что и где может делать в Qubes.• Предложены три новых шаблона виртуальных окружений на основе Gentoo Linux - минимальный, с Xfce и c GNOME.• Реализована возможность применения отдельного окружения GUI Domain с компонентами для обеспечения работы графического интерфейса.• Переписана реализация межсетевого экрана.• Окружения sys-firewall и sys-usb по умолчанию теперь запускаются в режиме "disposable", т.е. являются одноразовыми и могут создаваться по требованию.• В инсталляторе предоставлена возможность выбора между Debian и Fedora для шаблонов виртуальных машин.🧷 Полезные ссылки:
• Полный список изменений: https://www.qubes-os.org/news/2022/02/04/qubes-4-1-0/• Скачать Qubes: https://www.qubes-os.org/downloads/• Обновиться: https://www.qubes-os.org/doc/upgrade/4.1/• Гайд по установке: https://www.qubes-os.org/doc/installation-guide/• Описание других ОС:
• Parrot OS • CSI Linux • Kali Linux • MOFO Linux • Whonix • Obscurix • OS Tails • Kodachi •
Твой S.E. #Qubes
👍2
👾 Выявление угроз и реагирование. Инструменты для Blue Team.
Индустрия информационной безопасности асимметрична: атакующий находится в более удобном положении, чем специалист по защите. Атакованной стороне нужно быть эффективной всегда, 24/7, а нападающей достаточно быть эффективной лишь единожды. Кроме того, у атакующего есть возможность тщательно изучить свою жертву перед активной фазой атаки, в то время как другая сторона начинает изучение нарушителя уже во время этой атаки.
• Blue Team Training Toolkit (BT3) — Старый, но полезный инструмент. Позволяет имитировать заражение вредоносным ПО, изучать особенности поведения малвари и анализировать происходящее в сетевом трафике.
• Atomic Red Team — библиотека тестов на базе MITRE ATT&CK, эмулирующих действия Red Team команды. У проекта есть небольшая, но очень полезная документация.
• APT Simulator — крайне полезный набор скриптов под #Windows. Используется для того, чтобы система выглядела так, как будто была скомпрометирована — подойдет в качестве проверки для Blue Team и проверки средств защиты.
• https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/attack-simulator?view=o365-worldwide - эмулятор фишинговых атак и подбора пароля к учетным записям от Microsoft.
• Caldera — отличный фреймворк на базе MITRE ATT&CK, который имитирует взломанную систему, его плюс - отдельные плагины, которые можно подключать по мере необходимости.
📌 Дополнительная информация:
• Информационная безопасность. Функционал и отличия команд: https://news.1rj.ru/str/Social_engineering/1404
• Необходимая и крайне полезная подборка материала для #Blue_Team: https://github.com/CyberSecurityUP/Awesome-Blue-Team-Operations
• Operator Handbook — это полезное руководство, которое содержит три дисциплины (Red Team, #OSINT, Blue Team) и объединяет их в одно полное справочное руководство. Книга содержит 123 отдельных списка шпаргалок для многих наиболее часто используемых инструментов и методов. Более 400 страниц информации, которая поможет Социальным Инженерам, Red Team и Blue Team специалистам.
#Red_Team #Blue_Team. Твой S.E.
Индустрия информационной безопасности асимметрична: атакующий находится в более удобном положении, чем специалист по защите. Атакованной стороне нужно быть эффективной всегда, 24/7, а нападающей достаточно быть эффективной лишь единожды. Кроме того, у атакующего есть возможность тщательно изучить свою жертву перед активной фазой атаки, в то время как другая сторона начинает изучение нарушителя уже во время этой атаки.
🖖🏻 Приветствую тебя user_name.• Сегодня поговорим о крутых инструментах, благодаря которым, Blue Team может тренироваться в выявлении угроз и реагировании на них.
• Blue Team Training Toolkit (BT3) — Старый, но полезный инструмент. Позволяет имитировать заражение вредоносным ПО, изучать особенности поведения малвари и анализировать происходящее в сетевом трафике.
• Atomic Red Team — библиотека тестов на базе MITRE ATT&CK, эмулирующих действия Red Team команды. У проекта есть небольшая, но очень полезная документация.
• APT Simulator — крайне полезный набор скриптов под #Windows. Используется для того, чтобы система выглядела так, как будто была скомпрометирована — подойдет в качестве проверки для Blue Team и проверки средств защиты.
• https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/attack-simulator?view=o365-worldwide - эмулятор фишинговых атак и подбора пароля к учетным записям от Microsoft.
• Caldera — отличный фреймворк на базе MITRE ATT&CK, который имитирует взломанную систему, его плюс - отдельные плагины, которые можно подключать по мере необходимости.
📌 Дополнительная информация:
• Информационная безопасность. Функционал и отличия команд: https://news.1rj.ru/str/Social_engineering/1404
• Необходимая и крайне полезная подборка материала для #Blue_Team: https://github.com/CyberSecurityUP/Awesome-Blue-Team-Operations
• Operator Handbook — это полезное руководство, которое содержит три дисциплины (Red Team, #OSINT, Blue Team) и объединяет их в одно полное справочное руководство. Книга содержит 123 отдельных списка шпаргалок для многих наиболее часто используемых инструментов и методов. Более 400 страниц информации, которая поможет Социальным Инженерам, Red Team и Blue Team специалистам.
#Red_Team #Blue_Team. Твой S.E.
👁 S.E.Заметка. Анализируем трафик. PCAPdroid.
• PCAPdroid использует системный сервис #VPN для получения всего трафика генерируемого Android-приложениями. Никаких серверов за пределами устройства не используется, благодаря механизму VPN приложение пропускает весь трафик через себя (локальная обработка) и благодаря этому позволяет получать данные для анализа.
🧷 Премиум версию можно скачать у Джаза: https://news.1rj.ru/str/tvoijazz/1814
🔖 Мануал и описание на RU: https://emanuele-f.github.io/PCAPdroid/ru/
Твой S.E. #PCAPdroid
🖖🏻 Приветствую тебя user_name.
• PCAPdroid — инструмент с открытым исходным кодом, предназначенный для захвата и мониторинга собственного трафика без необходимости получения Root-прав на устройстве. Сценарии использования:• Анализ соединений, созданных приложениями установленными на устройстве;• Создание дампа сетевого трафика #Android-устройства и отправка на другое устройство для анализа в стороннем приложении (например #Wireshark);• Расшифровка HTTPS/TLS трафика конкретного приложения.• PCAPdroid использует системный сервис #VPN для получения всего трафика генерируемого Android-приложениями. Никаких серверов за пределами устройства не используется, благодаря механизму VPN приложение пропускает весь трафик через себя (локальная обработка) и благодаря этому позволяет получать данные для анализа.
🧷 Премиум версию можно скачать у Джаза: https://news.1rj.ru/str/tvoijazz/1814
🔖 Мануал и описание на RU: https://emanuele-f.github.io/PCAPdroid/ru/
Твой S.E. #PCAPdroid
🧩 Powershell в практике пентеста.
То, что так хорошо подходит в качестве мощного инструмента автоматизации для администраторов, по итогу оказывается полезным как для хакеров, так и для пентестеров.
• Соответственно, атакующий, который ранее получили доступ (например через #фишинг), также сможет проделать то же самое, т.к. сможет использовать те же возможности, находясь в домене #AD. И деятельность атакующего совсем не обязательно будет обнаружена.
• Теперь давайте предположим, что хакеры смогут даже получить всю подробную информацию об отдельных пользователях с помощью команды
• К сожалению, компании (особенно малый и средний бизнес в RU сегменте) небрежно относятся к атрибутам AD (и к ИБ в целом), которые они делают общедоступными для всех сотрудников — например, домашний или мобильный телефон, адрес и т.п.
• Что атакующий может сделать с этой информацией? Атакующий может легко воспользоваться способами #СИ и провести атаку: возможно, отправив электронное письмо с достаточным количеством личной информации, полученного из AD-атрибутов, чтобы оно выглядело как легитимный запрос службы поддержки с просьбой «сбросить пароль».
• По итогу, с помощью PowerShell атакующий может незаметно собирать внутренние пользовательские данные и затем использовать их в своих атаках. Напомню, что PowerShell — это командная оболочка и несложный скриптовый язык, который используется во всех современных системах Windows. К тому же большинство команд исполняется в памяти, что может помочь избежать антивирусного детекта.
• Для изучения PowerShell и применения полученных знаний на практике, у нас уже собрана большая база необходимого материала. Обрати внимание на бесплатный курс и отличную литературу на русском языке. Обращаю твое внимание, что огромное количество материала ты можешь найти если воспользуешься поиском в нашем канале, как по словам, так и по хештегу #PowerShell.
Твой S.E.
То, что так хорошо подходит в качестве мощного инструмента автоматизации для администраторов, по итогу оказывается полезным как для хакеров, так и для пентестеров.
🖖🏻 Приветствую тебя user_name.
• Давайте предположим, что ИТ-админу была поставлена задача: определить, кто на самом деле использует определенный сервер. Благодаря #PowerShell и PowerView, админ может быстро просматривать пользователей, вошедших на сервер, без необходимости быть залогиненным самому на этом сервере.• Соответственно, атакующий, который ранее получили доступ (например через #фишинг), также сможет проделать то же самое, т.к. сможет использовать те же возможности, находясь в домене #AD. И деятельность атакующего совсем не обязательно будет обнаружена.
• Теперь давайте предположим, что хакеры смогут даже получить всю подробную информацию об отдельных пользователях с помощью команды
Get-NetUser, которая сдампит все атрибуты пользователя в AD.• К сожалению, компании (особенно малый и средний бизнес в RU сегменте) небрежно относятся к атрибутам AD (и к ИБ в целом), которые они делают общедоступными для всех сотрудников — например, домашний или мобильный телефон, адрес и т.п.
• Что атакующий может сделать с этой информацией? Атакующий может легко воспользоваться способами #СИ и провести атаку: возможно, отправив электронное письмо с достаточным количеством личной информации, полученного из AD-атрибутов, чтобы оно выглядело как легитимный запрос службы поддержки с просьбой «сбросить пароль».
• По итогу, с помощью PowerShell атакующий может незаметно собирать внутренние пользовательские данные и затем использовать их в своих атаках. Напомню, что PowerShell — это командная оболочка и несложный скриптовый язык, который используется во всех современных системах Windows. К тому же большинство команд исполняется в памяти, что может помочь избежать антивирусного детекта.
• Для изучения PowerShell и применения полученных знаний на практике, у нас уже собрана большая база необходимого материала. Обрати внимание на бесплатный курс и отличную литературу на русском языке. Обращаю твое внимание, что огромное количество материала ты можешь найти если воспользуешься поиском в нашем канале, как по словам, так и по хештегу #PowerShell.
Твой S.E.
🍍 Железо для вардрайвинга. Pineapple Nano своими руками.
• Вардрайвинг, всегда начинается с выбора оборудования. И сегодня ты узнаешь о том, как своими руками собрать устройство для атак на беспроводные сети:
🧷 Читать статью: https://habr.com/ru/post/650305/
Твой S.E. #wifi #mitm #Alfa
🖖🏻 Приветствую тебя user_name.
• WiFi Pineapple начинался как проект кастомной прошивки для роутера фирмы Alfa и тогда носил название Jasager. Под руководством команды из Hak5 проект за годы дорос до отдельного и весьма специфичного устройства, которое позволяет не только перехватывать Wi-Fi, но и проводить последующие атаки #MiTM в сети.• Вардрайвинг, всегда начинается с выбора оборудования. И сегодня ты узнаешь о том, как своими руками собрать устройство для атак на беспроводные сети:
🧷 Читать статью: https://habr.com/ru/post/650305/
Твой S.E. #wifi #mitm #Alfa
🧩 S.E.Заметка. Ettercap.
• Как и другие снифферы, Ettercap умеет работать с протоколами Telnet, FTP, IMAP, SMB, LDAP и несколькими другими, но с Ettercap можно потрошить и шифрованный трафик, передаваемый по HTTPS и SSH. Несмотря на то что тулза создавалась с прицелом под #MiTM, с ее помощью вполне можно идентифицировать удаленные операционные системы методом фингерпринтинга, наряду с такими рутинными процедурами, как определение IP, открытых портов, запущенных на исследуемом узле служб, типа адаптера и MAC-адреса сетевого интерфейса.
• После установки и запуска Ettercap начинает сниффить трафик в сети и собирать результат в создаваемых программой профайлах, откуда его можно извлечь для анализа. Этот анализ позволяет установить, в частности, такие данные, как IP-адрес, имя и тип хоста, предположительная версия работающей там ОС, открытые порты и запущенные сервисы. Вполне достаточный стартовый набор для любого исследователя.
• Для изучения данного инструмента и перехода к практическому применению, я рекомендую ознакомиться с полезным материалом:
• Домашняя страница Ettercap.
• Руководство по Ettercap на русском языке.
• Графические оболочки Ettercap.
• Фильтры Ettercap для перехвата и модификации данных на лету.
• Плагины Ettercap.
• Как использовать Ettercap?
• Альтернативы Ettercap.
• Запуск атаки человек-посередине, перехват паролей и пересылаемых данных.
• Обход HTTPS и HSTS.
• Просмотр данных (посещённых сайтов и захваченных паролей) в Ettercap.
• Подмена данных на лету в Ettercap.
• Подцепление на BeEF.
• Заражение бэкдорами.
• Использование плагинов Ettercap.
Твой S.E. #Ettercap
🖖🏻 Приветствую тебя user_name.• Ettercap — это всеобъемлющий набор для #MitM атак. Умеет сниффить живые соединения, фильтровать на лету содержимое передаваемых данных и многие другие трюки. Он поддерживает активное и пассивное вскрытие многих протоколов и включает многие функции для анализа сети и хостов.
• Как и другие снифферы, Ettercap умеет работать с протоколами Telnet, FTP, IMAP, SMB, LDAP и несколькими другими, но с Ettercap можно потрошить и шифрованный трафик, передаваемый по HTTPS и SSH. Несмотря на то что тулза создавалась с прицелом под #MiTM, с ее помощью вполне можно идентифицировать удаленные операционные системы методом фингерпринтинга, наряду с такими рутинными процедурами, как определение IP, открытых портов, запущенных на исследуемом узле служб, типа адаптера и MAC-адреса сетевого интерфейса.
• После установки и запуска Ettercap начинает сниффить трафик в сети и собирать результат в создаваемых программой профайлах, откуда его можно извлечь для анализа. Этот анализ позволяет установить, в частности, такие данные, как IP-адрес, имя и тип хоста, предположительная версия работающей там ОС, открытые порты и запущенные сервисы. Вполне достаточный стартовый набор для любого исследователя.
• Для изучения данного инструмента и перехода к практическому применению, я рекомендую ознакомиться с полезным материалом:
• Домашняя страница Ettercap.
• Руководство по Ettercap на русском языке.
• Графические оболочки Ettercap.
• Фильтры Ettercap для перехвата и модификации данных на лету.
• Плагины Ettercap.
• Как использовать Ettercap?
• Альтернативы Ettercap.
• Запуск атаки человек-посередине, перехват паролей и пересылаемых данных.
• Обход HTTPS и HSTS.
• Просмотр данных (посещённых сайтов и захваченных паролей) в Ettercap.
• Подмена данных на лету в Ettercap.
• Подцепление на BeEF.
• Заражение бэкдорами.
• Использование плагинов Ettercap.
Твой S.E. #Ettercap
❗️ Релиз Kali Linux 2022.1
Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной безопасности: от средств для тестирования web-приложений и проникновения в беспроводные сети до программ для считывания данных с идентификационных RFID чипов.
В новом выпуске:
• В состав сборок для архитектуры ARM добавлены пакеты feroxbuster и ghidra. Решены проблемы с работой Bluetooth на платах Raspberry Pi.
• Улучшена совместимость с платформами виртуализации VMware при запуске #Kali в гостевой системе с использованием рабочего стола на базе i3 (kali-desktop-i3). В подобных окружениях включена по умолчанию поддержка буфера обмена и интерфейса drag&drop.
Добавлены новые инструменты:
• dnsx - инструментарий для работы с DNS, позволяющий разом отправлять запросы на несколько DNS-серверов.
• email2phonenumber - #OSINT инструмент для определения телефонного номера по email.
• naabu - простая утилита для сканирования портов.
• nuclei - инструмент для сканирования сети.
• PoshC2 - фреймворк для организации управления с серверов Command & Control (C2), поддерживающий работу через прокси.
• proxify - прокси для HTTP/HTTPS, позволяющий перехватывать и манипулировать трафиком.
• Обновлено оформление процесса загрузки, экрана входа в систему и инсталлятора. Переработано загрузочное меню. Предложены новые обои для рабочего стола с символикой дистрибутива. Переделана страница, показываемая по умолчанию в браузере, на которую добавлены ссылки на документацию и утилиты, а также реализована функция поиска.
• Одновременно подготовлен релиз NetHunter 2022.1, о котором можно прочитать тут: https://www.kali.org/get-kali/#kali-mobile
• Подробное описание релиза: https://www.kali.org/blog/kali-linux-2022-1-release/
‼️ Дополнительную информацию ты можешь найти по хештегу #kali. Твой S.E.
Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной безопасности: от средств для тестирования web-приложений и проникновения в беспроводные сети до программ для считывания данных с идентификационных RFID чипов.
🖖🏻 Приветствую тебя user_name.• Состоялся релиз дистрибутива Kali Linux 2022.1. Для загрузки подготовлены несколько вариантов iso-образов, размером 471 МБ, 2.8 ГБ, 3.5 ГБ и 9.4 ГБ — это полная сборка "kali-linux-everything", включающая все имеющиеся пакеты (кроме Kaboxer) для самодостаточной установки на системы, не имеющие подключения к сети. Размер сборки 9.4 ГБ и она доступна для загрузки только через BitTorrent.
В новом выпуске:
• В состав сборок для архитектуры ARM добавлены пакеты feroxbuster и ghidra. Решены проблемы с работой Bluetooth на платах Raspberry Pi.
• Улучшена совместимость с платформами виртуализации VMware при запуске #Kali в гостевой системе с использованием рабочего стола на базе i3 (kali-desktop-i3). В подобных окружениях включена по умолчанию поддержка буфера обмена и интерфейса drag&drop.
Добавлены новые инструменты:
• dnsx - инструментарий для работы с DNS, позволяющий разом отправлять запросы на несколько DNS-серверов.
• email2phonenumber - #OSINT инструмент для определения телефонного номера по email.
• naabu - простая утилита для сканирования портов.
• nuclei - инструмент для сканирования сети.
• PoshC2 - фреймворк для организации управления с серверов Command & Control (C2), поддерживающий работу через прокси.
• proxify - прокси для HTTP/HTTPS, позволяющий перехватывать и манипулировать трафиком.
• Обновлено оформление процесса загрузки, экрана входа в систему и инсталлятора. Переработано загрузочное меню. Предложены новые обои для рабочего стола с символикой дистрибутива. Переделана страница, показываемая по умолчанию в браузере, на которую добавлены ссылки на документацию и утилиты, а также реализована функция поиска.
• Одновременно подготовлен релиз NetHunter 2022.1, о котором можно прочитать тут: https://www.kali.org/get-kali/#kali-mobile
• Подробное описание релиза: https://www.kali.org/blog/kali-linux-2022-1-release/
‼️ Дополнительную информацию ты можешь найти по хештегу #kali. Твой S.E.
Social Engineering
❗️ Релиз Kali Linux 2022.1 Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной безопасности: от средств для тестирования web-приложений и проникновения в беспроводные сети до программ для считывания данных с …
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи из Secureworks подробно разобрали вредоносное ПО ShadowPad.
ShadowPad - сложный и модульный бэкдор: он извлекает информацию о хосте, выполняет команды, взаимодействует с файловой системой и реестром и развертывает новые модули для расширения функциональности.
В последние годы стал активно применяться многими китайскими АРТ. Как мы уже упоминали, ShadowPad, автором которого считается APT Winnti, используется по меньшей мере пятью китайскими хакерскими группами.
ShadowPad имеет заметные сходства с вредоносным ПО PlugX, которое, в свою очередь, использовалось в резонансных атаках на NetSarang, CCleaner и ASUS. Хотя первоначальные кампании по доставке ShadowPad были связаны с актором, отслеживаемым как Bronze Atlas, также известным как Barium, связанной с Chengdu 404, позже после 2019 года он использовался несколькими китайскими АРТ.
ShadowPad в своей работе применяет специальный механизм упаковки под названием ScatterBee, который используется для запутывания вредоносных 32-битных и 64-битных полезных нагрузок.
Полезные нагрузки развертываются на хосте либо в зашифрованном виде с помощью загрузчика DLL, либо встраиваются в отдельный файл вместе с загрузчиком DLL, который затем расшифровывает и выполняет встроенную полезную нагрузку ShadowPad в памяти с использованием специального алгоритма дешифрования, адаптированного к версии вредоносного ПО.
Эти загрузчики DLL запускают вредоносные программы после того, как они были загружены легитимным исполняемым файлом, уязвимым для метода перехвата порядка поиска библиотек DLL.
Отдельные цепочки заражения, которые наблюдали Secureworks, также включали третий файл, содержащий зашифрованную полезную нагрузку ShadowPad, которая работает путем выполнения легитимного двоичного файла (например, BDReinit.exe или Oleview.exe) для загрузки DLL, которая и загружает и расшифровывает третий файл.
Кроме того, злоумышленник размещает файл DLL в каталог Windows System32 для загрузки службой настройки удаленного рабочего стола (SessionEnv), что в конечном итоге приводит к развертыванию Cobalt Strike на скомпрометированных системах.
В одном из расследовавшихся инцидентов с применением ShadowPad исследователи и вовсе наблюдали за тем, как хакеры вручную выполняли команды без применения автоматических сценариев.
По результатам своей аналитики Secureworks, предположили применение ShadowPad несколькими АРТ, включая Bronze Geneva (Hellsing), Bronze Butler (Tick) и Bronze Huntley (Tonto Team), которые действуют в интересах сил стратегической поддержки Народно-освободительной армии (PLASSF).
Исследователи пришли к выводу о том, что вредоносное ПО было разработано злоумышленниками, связанными с Bronze Atlas, а затем передано АРТ, действующим в интересах Министерства государственной безопасности КНР (MSS) и PLA примерно в 2019 году. Как мы и предполагали.
ShadowPad - сложный и модульный бэкдор: он извлекает информацию о хосте, выполняет команды, взаимодействует с файловой системой и реестром и развертывает новые модули для расширения функциональности.
В последние годы стал активно применяться многими китайскими АРТ. Как мы уже упоминали, ShadowPad, автором которого считается APT Winnti, используется по меньшей мере пятью китайскими хакерскими группами.
ShadowPad имеет заметные сходства с вредоносным ПО PlugX, которое, в свою очередь, использовалось в резонансных атаках на NetSarang, CCleaner и ASUS. Хотя первоначальные кампании по доставке ShadowPad были связаны с актором, отслеживаемым как Bronze Atlas, также известным как Barium, связанной с Chengdu 404, позже после 2019 года он использовался несколькими китайскими АРТ.
ShadowPad в своей работе применяет специальный механизм упаковки под названием ScatterBee, который используется для запутывания вредоносных 32-битных и 64-битных полезных нагрузок.
Полезные нагрузки развертываются на хосте либо в зашифрованном виде с помощью загрузчика DLL, либо встраиваются в отдельный файл вместе с загрузчиком DLL, который затем расшифровывает и выполняет встроенную полезную нагрузку ShadowPad в памяти с использованием специального алгоритма дешифрования, адаптированного к версии вредоносного ПО.
Эти загрузчики DLL запускают вредоносные программы после того, как они были загружены легитимным исполняемым файлом, уязвимым для метода перехвата порядка поиска библиотек DLL.
Отдельные цепочки заражения, которые наблюдали Secureworks, также включали третий файл, содержащий зашифрованную полезную нагрузку ShadowPad, которая работает путем выполнения легитимного двоичного файла (например, BDReinit.exe или Oleview.exe) для загрузки DLL, которая и загружает и расшифровывает третий файл.
Кроме того, злоумышленник размещает файл DLL в каталог Windows System32 для загрузки службой настройки удаленного рабочего стола (SessionEnv), что в конечном итоге приводит к развертыванию Cobalt Strike на скомпрометированных системах.
В одном из расследовавшихся инцидентов с применением ShadowPad исследователи и вовсе наблюдали за тем, как хакеры вручную выполняли команды без применения автоматических сценариев.
По результатам своей аналитики Secureworks, предположили применение ShadowPad несколькими АРТ, включая Bronze Geneva (Hellsing), Bronze Butler (Tick) и Bronze Huntley (Tonto Team), которые действуют в интересах сил стратегической поддержки Народно-освободительной армии (PLASSF).
Исследователи пришли к выводу о том, что вредоносное ПО было разработано злоумышленниками, связанными с Bronze Atlas, а затем передано АРТ, действующим в интересах Министерства государственной безопасности КНР (MSS) и PLA примерно в 2019 году. Как мы и предполагали.
Secureworks
ShadowPad Malware Analysis
In this threat analysis, ShadowPad samples reveals clusters of activity linked to threat groups affiliated with the Chinese Ministry of State Security (MSS) civilian intelligence agency and the People's Liberation Army (PLA).
💬 true story. «Кража» со взломом: пентест финансовой организации.
• Это реальная история. События, о которых рассказывается в посте, произошли не так уж давно. Из уважения к читателям все рассказано так, как было на самом деле:
🧷 Читать статью: https://habr.com/ru/company/bastion/blog/591613/
Твой S.E.
🖖🏻 Приветствую тебя user_name.
• В этом посте автор расскажет, как сломанная логика, самописные сервисы и графические пароли могут привести к захвату сетевой инфраструктуры компании, полной потере денег и пользовательских данных.• Это реальная история. События, о которых рассказывается в посте, произошли не так уж давно. Из уважения к читателям все рассказано так, как было на самом деле:
🧷 Читать статью: https://habr.com/ru/company/bastion/blog/591613/
Твой S.E.
CheatSheet Digital Forensics S.E..pdf
888.6 KB
🔎 Форензика. 108 страниц полезных команд.
#Форензика, как аспект #ИБ, развита гораздо в меньшем объеме нежели #пентест или организация защитных средств. Правильных подход при проведении мероприятий по сбору цифровых доказательств может дать не только восстановить картину возможного инцидента, но и позволит выявить пути и предпосылки возникновения инцидента.
Твой S.E. #Форензика #Заметка
#Форензика, как аспект #ИБ, развита гораздо в меньшем объеме нежели #пентест или организация защитных средств. Правильных подход при проведении мероприятий по сбору цифровых доказательств может дать не только восстановить картину возможного инцидента, но и позволит выявить пути и предпосылки возникновения инцидента.
🖖🏻 Приветствую тебя user_name.
• Основная цель при проведении форензики — использование методов и средств для сохранения (неизменности), сбора и анализа цифровых вещественных доказательств, для того чтобы восстановить события инцидента. Выше ты сможешь найти полезную шпаргалку (108 страниц полезной информации), по всем командам Windows для тех, кому интересна сегодняшняя тема. Либо можешь изучить данный материал по адресу: https://www.jaiminton.com/cheatsheet/DFIR/# Рекомендую к изучению.Твой S.E. #Форензика #Заметка
💬 true story. Карты. Деньги. Double VPN.
Эта небольшая местами печальная, а местами смешная история, о том как можно потерять всё на ровном, если совсем забыть про свою совесть.
ненормативную лексику, описание проникновения на компьютеры, роутеры, применение социальной инженерии. В нём постоянно происходит какая-то малопонятная ерунда, которая может поджечь стул мамкиным хакерам экспертам по кибербезопасности и ввести в ступор даже матерых спецов, поэтому большая просьба пройти всех чувствительных мальчиков и девочек от экрана подальше. Супер крутым пентестерам, кормящим матерям, лицам не достигшими 18 лет, а также высоконравственным личностям - читать не рекомендуется. Всем остальным - адекватным и с чувством юмора - милости просим.
🧷 Читать статью: https://rentry.co/once-upon-a-time
• P.S. Хотел упомянуть автора данной статьи, но автор неизвестен. Ссылку нашел в чате у Ареса: @cepter
Твой S.E. #СИ #Пентест #Hack
Эта небольшая местами печальная, а местами смешная история, о том как можно потерять всё на ровном, если совсем забыть про свою совесть.
🖖🏻 Приветствую тебя user_name.
• Текст содержит 🧷 Читать статью: https://rentry.co/once-upon-a-time
• P.S. Хотел упомянуть автора данной статьи, но автор неизвестен. Ссылку нашел в чате у Ареса: @cepter
Твой S.E. #СИ #Пентест #Hack