SharpKiller

Lifetime AMSI bypass by @ZeroMemoryEx ported to .NET Framework 4.8

Live scan for new powershell processes every 0.5 seconds -> Automatically patches new powershell instances

Вторая часть из цикла статей про передовые методы обфускации полезных нагрузок уже доступна.
Вашему вниманию техника VBA Purging

Приятного чтения, не забывайте перепроверить всё руками.

https://docs.google.com/spreadsheets/d/1b4mUxa6cDQuTV2BPC6aA-GR4zGZi0ooPYtBe4IgPsSc

Выбирайте лучшее

Если кто-то не совсем разобрался с техникой DLL Hijacking, или может совсем не в курсе, что это такое, советую данный материал. Очень хорошая работа!

https://elliotonsecurity.com/perfect-dll-hijacking/

So today, we're doing 100% original research reverse engineering the Windows library loader to not just cleanly workaround Loader Lock but, in the end, disable it outright. Plus, coming up with some stable mitigation & detection mechanisms defenders can use to help guard against DLL hijacking.

#maldev #redteam

legba

A multiprotocol credentials bruteforcer / password sprayer and enumerator built with Rust and the Tokio asynchronous runtime in order to achieve better performances and stability while consuming less resources than similar tools.

Plugins:
◦ AMQP (ActiveMQ, RabbitMQ, Qpid, JORAM and Solace)
◦ DNS
◦ FTP
◦ HTTP
◦ IMAP
◦ Kerberos
◦ LDAP
◦ MongoDB
◦ Microsoft SQL
◦ MySQL
◦ PostgreSQL
◦ POP3
◦ RDP
◦ SSH / SFTP
◦ SMTP
◦ STOMP (ActiveMQ, RabbitMQ, HornetQ and OpenMQ)
◦ Telnet
◦ VNC

GhostTask

• Creates scheduled tasks with a restrictive security denoscriptor, making them invisible to all users.
• Establishes scheduled tasks directly via the registry, bypassing the generation of standard Windows event logs.
• Provides support to modify existing scheduled tasks without generating Windows event logs.
• Supports remote scheduled task creation (by using specially crafted Silver Ticket).
• Supports to run in C2 with in-memory PE

To create a scheduled task using this tool, "NT AUTHORITY/SYSTEM" privileges are required

😈 [ Almond OffSec @AlmondOffSec ]

Understanding the different types of LDAP authentication methods is fundamental to apprehend subjects such as relay attacks or countermeasures. This post by @lowercase_drm introduces them through the lens of Python libraries.

🔗 https://offsec.almond.consulting/ldap-authentication-in-active-directory-environments.html

🐥 [ tweet ]

здесь есть абзац на эту тему https://infostart.ru/1c/articles/1748248, думаю базу сначала придется раскатать на сервер 1С

Злоупотребление ACL: GenericAll

GenericAll – это полный контроль над объектом (можно обратиться к посту и посмотреть какие ActiveDirectoryRights входят в GenericAll), поэтому можно использовать все ранее описанные методы злоупотребления ACL. PowerView и BloodHound отображают такие права одинаково GenericAll.

Остановлюсь на одном моменте. При проведении работ в окружении ActiveDirectory может встретиться ситуация, в которой скомпрометированному пользователю или группе предоставлены права GenericAll для какой-то OU (Organization Unit), но при этом права GenericAll отсутствуют над объектами, входящих в эту OU. Это означает, что на OU отсутствует наследие на дочерние объекты. Если посмотреть на результат получения ACL с помощью PowerView для этой OU, можно заметить, что параметр InheritanceFlag установлен в None.

Имея права GenericAll можно изменить наследие для объектов, в данном случае на OU. Это можно выполнить с помощью PowerView:

$Guids = Get-DomainGUIDMap;
$AllObjectPropertyGuid = $Guids.GetEnumerator() | Where-Object {$_.value -eq 'All'} | Select -ExpandProperty name;
$ACE = New-ADObjectAccessControlEntry -Verbose -PrincipalIdentity <user> -Right GenericAll -AccessControlType Allow -InheritanceType All -InheritedObjectType $AllObjectPropertyGuid;

# Указать явный идентификатор OU
$OU = Get-DomainOU -Raw '<SID или ObjectID>';
$DsEntry = $OU.GetDirectoryEntry();
$dsEntry.PsBase.Options.SecurityMasks = 'Dacl'; $dsEntry.PsBase.ObjectSecurity.AddAccessRule($ACE);
$dsEntry.PsBase.CommitChanges()

Повторная проверка ACL OU покажет, что параметр InheritanceFlags изменился на ContainerInherit и если запросить дочерний объект, то для него должны быть назначены права GenericAll.

#Внутрянка #RedTeam #PurpleTeam

Лаборатория Active Directory

Для проверки работоспособности цепочек атак и тестирования новых TTP требуется тестовая площадка Active Directory.

Можно самостоятельно развернуть лабораторию или использовать автоматизированное средство Detection Lab. Оно поможет сократить трудозатраты. Лаборатория разворачивается автоматически и, практически, без проблем. Плюс лаборатории в том, что она также настраивает средства обнаружения атак (Sysmon, MS ATA, Splunk и др). Таким образом можно проверить какие TTP обнаруживаются, а какие проходят незаметно.

Но Detection Lab не создает никакого окружения и наполнения. В этом случае есть две утилиты, которые «наполнят» Active Directory различными объектами и недостатками:
• Vulnerable-AD
• BadBlood

#Организация #Практика

Темы для изучения по направлению Red Team

Я перебирал свои старые конспекты и записи и нашел интересный конспект, который частично касается тем для изучения по направлению Red Team. Этот перечень не мой, но хочу предоставить его для ознакомления. Перечень достаточно интересный перечень, который может стать планом развития на следующий год.

Основные темы

• Active Directory лежит в основе большинства инфраструктур большинства современных организаций и пониманием возможностей горизонтального движения и повышение привилегий в AD является необходимым навыком.
• Tradecraft OpSec. Возможность закрепления в сети организации — это безусловно хорошо, но при слабой операционной безопасности, этот доступ будет быстро утерян в большинстве зрелых сред. Обучение работы с индикаторами компрометации (IOC), которые «выдают» инструменты, эти индикаторы должны гармонировать с шумом окружающей среды организации.
• Framework C2. Необходимо понимать его особенности и ограничения. Знание нескольких С2 дает большую гибкость в выборе правильного, в зависимости от конкретной ситуации, а также не будет требовать поиска и подбора необходимой команду в самый разгар операции.
• Infostruture Design. Эффективно построение и внедрение инфраструктуры для проведения операции Red Team является важным аспектом. Инфраструктура должна быть не только способной противостоять активному реагированию, но также должна защищать данные клиента.
• Pivot. Ключевым навыком, позволяющий уклоняться от новейших EDR, является способность работать через C2. Изучение позволит эффективно обходить EDR и «приносить собственные инструменты» в среду.

Разработка

• Process Injection. Удаленное внедрение процесса — это мощный способ «слиться» с окружающей средой, будь то внедрение имплантата в скрытый процесс или просто маскировка действий после эксплуатации. Тем не менее, методы инъекции также хорошо знакомы защитникам, так как знание IoC, связанных с каждой стратегией инъекции, и способность разрабатывать свои собственные загрузчики — это ценный набор навыков, которым нужно обладать.
• Implant Development для С2. Так же рекомендуется создать свою простую C2
• Payload Creation. Получение начального доступа является одним из самых сложных аспектов операции Red Team. Многие из общедоступных фреймворков генерации полезных нагрузок (payload) подписаны (имеют известный отпечаток) и не будут иметь большой успех в зрелых современных организациях. Если разрабатывать свои собственные полезные нагрузки, то шансы увеличиваются, чтобы получить драгоценный имплант для команды.

Мои небольшие комментарии

Разработка вообще является важной темой для Red Team, можно использовать общедоступные утилиты и средства для проведения работ. Но через некоторое время они будут обнаруживаться всеми и подойдут только для проведения внутрянки.

Инфраструктура и использование C2 не является обязательным в проведении операции Red Team. Если во время этапа «Первоначального доступа» будут обнаружены способы получения доступа во внутреннюю сеть организации не через Социальную инженерию.

Pivot тоже не обязательно будет связан с C2, это могут быть различные способы бокового движения или создания правил на файрволле.

#RedTeam #Обучение #Организация