​​​​Ответный ход Microsoft

Одной из крутых уязвимостей было неограниченное TGT делегирование между лесами.

9 июля компания Microsoft выпустила обновления. Теперь все. TGT делегирование между лесами по умолчанию не работает!

Однако это не значит, что другие уязвимости пофиксили😉

https://techcommunity.microsoft.com/t5/Premier-Field-Engineering/Changes-to-Ticket-Granting-Ticket-TGT-Delegation-Across-Trusts/ba-p/440283

Используем пайпы для пивотинга

Опубликовали статью о том, как можно использовать SMB пайпы для "более полезных деструктивных действий".

https://habr.com/ru/post/460659/

Ghostwriter

Любая командная работа и коллаборация - это непросто, но очень важно. Для RedTeam особенно важно не упустить какую-то информацию, постараться совершить минимум ошибок и видеть картину целиком. Без платформы для коммуникации не справиться.

Ребята из SpecterOps опубликовали новую платформу с кучей интересных фишечек - Ghostwriter.

Что интересного в платформе:

1. Легко и быстро разворачивается с помощью Docker Compose.

2. Представляет собой веб-платформу, в которой можно создавать различные проекты и задачи, делиться информацией. Удобно то, что в одном месте можно хранить всю информацию по проекту. В том числе и информацию об инфраструктуре проекта (сервера, учётные записи, их актуальность и работоспособность).

3. Поддерживает различные типы данных, которые можно загрузить в систему.

4. Отслеживает актуальность доменных имён и наличие их в черных списках (или каких-либо комментариев по поводу домена) у Bluecoat, VirusTotal, McAfee и т.д.

5. Отслеживает, что на ваших серверах для СС не открыты лишние порты, проводя переодические сканирования.

6. Интегрируется со Slack.

7. Автоматически генерирует отчёт по проекту в различных форматах по созданным темплейтам. При этом позволяет самому определять какую информацию из проекта в отчёт включать.

В общем проект кажется очень интересным. Надо тестировать. SpecterOps планирует продолжать его дорабатывать. За что им огромное спасибо!

А мы делимся с вами ссылкой для того, чтобы сами могли поэкспериментировать и пощупать

https://github.com/GhostManager/Ghostwriter

#redteam

Кинопятница

"Если бы я мог подарить тебе в жизни всего одну вещь, я подарил бы тебе способность видеть себя моими глазами" (с)

Сегодня мы делимся с вами докладами с конференции SANS Blue Team Summit 2019.

Небольшой обзор "фильмов" от нас: https://medium.com/@karelova.ov/%D0%BA%D0%B8%D0%BD%D0%BE%D0%BF%D1%8F%D1%82%D0%BD%D0%B8%D1%86%D0%B0-sans-blueteam-summit-2019-67008d68ce87

Ссылка на "фильмы":
"Blue Team Summit 2019": https://www.youtube.com/playlist?list=PLtgaAEEmVe6BC2iANzTd0GvOC65xJ-o58

https://youtu.be/RB7yIAWglmE

#redteam #blueteam

Про Burp Suite

Burp Suite знают все. Кто-то использует ломаные версии, кому-то достаточно фришной версии, а кто-то покупает. А что происходит, когда вы запускаете Burp? Правильно, проверка лицензии и запуск. А может ещё что-то?

Мы решили проверить и выяснили, что Burp Suite при старте отсылает номер лицензии к себе домой на portswigger.net.

Учитывая тот факт, что бурп является must have для всех пентестеров, то это может являться нехилым таким демаскирующих фактором.

К примеру, вполне возможен такой сценарий деанона: внезапно вам захотелось посмотреть систему, которая не участвует в Bug Bounty.
Вы обкладываетесь супер-пупер-тройным-тор VPN-ном и ломаете какое-нибудь web-приложение, полагая что все анонимно.

Владелец ресурса, видя а логах веб-сервера всякие burpcollaborator и т.д. пишет письмо в portswigger. Рассказывает, что его поломали с помощью бурпа с такого то ip-адреса, нанесли ущерб, слили персональные данные, вывели деньги со всех счетов. Вот, мол, логи..

Ребята из portswigger смотрят на license id, который приходил к ним с этого ip, когда и кем была куплена эта лицензия, и откуда ещё (с каких ip) приходили запросы с таким же license id...

И сливает эту инфу владельцу ресурса, а он, в свою очередь, несёт все это сами знаете куда, и, как говорится, со всеми вытекающими...

Вот такой вот "весёлый" деанон кейс получается..

В качестве ремедиэйшена, советуем занулить portswigger.net на 127.0.0.1 в вашей системе.

P.S. мы не утверждаем, что portswigger предоставляет данные другим, но и не исключаем такой возможности. Лучше знать и иметь ввиду, что всякое может быть.

Немного про Fortigate SSL VPN

По следам прошедшего BHUSA делимся с вами одним из крутых ресечей от Orange Tsai.

https://blog.orange.tw/2019/08/attacking-ssl-vpn-part-2-breaking-the-fortigate-ssl-vpn.html

Все уязвимости пропатчены в новых версиях, но мы то знаем, что пользователи не всегда их ставят))

Поэтому если видите FortiOS ниже версий 5.4.11, 5.6.9, 6.0.5, 6.2.0 - можете смело использовать то, о чем пишет Orange!😉

#redteam

Заметки на полях

Тренд последнего времени - фишинг с использованием ссылок типа file://x.x.x.x или \\х.х.х.х\

Т.е. использование 445 порта. Однако, многие компании стали закрывать открытыф наружу 445 порт. Что же делать в этом случае?

Оказывается, если в состав UNC-path добавить [@80], например так:\\evildomain.com[@80]\File1.docx, то винда пойдет на evildomain.com не по 445-му порту, а по 80-му. И тут уже можно нафантазировать много различных сценариев использования такой фишечки.

Pulse Secure SSL VPN

Orange Tsai и Meh Chang на Blackhat USA рассказали о найденных уязвимостях в SSL VPN. Очень крутые исследования и действительно серьезные уязвимости.

Вчера была опубликована 3-я и самая интересная часть - Pulse Secure SSL VPN PreAuth RCE. Скомпрометировать всех пользователей и запустить все что угодно на компьютере пользователя через панель админа - круто!

А пример с Твиттером наглядно показывает, что пользователи не торопятся ставить пропатченные версии.

Патч выпущен 24 апреля 2019 года.

Делимся с вами статьей от Orange
https://blog.orange.tw/2019/09/attacking-ssl-vpn-part-3-golden-pulse-secure-rce-chain.html

И презентацией с выступления на BHUSA
https://i.blackhat.com/USA-19/Wednesday/us-19-Tsai-Infiltrating-Corporate-Intranet-Like-NSA.pdf

Заметки на полях

Что делают различные средства защиты когда видят возросшую активность с какого-то IP-адреса? Правильно, блокируют его от греха подальше. Это самый простой и распространенный способ борьбы с брутом, различными сканированиями и попытками эксплуатации уязвимостей.

При проведении RedTeam постоянно приходится проверять заблокирован ты или нет, чтобы контролировать корректность приходящих ответов от сервера. А также придумывать различные решения для периодической смены IP.

А тут недавно товарищи из Rhino Security Labs выпустили новый экстеншн для Burp Suite, который меняет IP-адрес при каждом запросе. Делает он все это через AWS API Gateway.

Естественно, у вас должен быть аккаунт на Амазоне, чтобы вы могли экстеншн использовать.

А для новых аккаунтов - стандартная амазоновская тема - бесплатное использование сервиса первый год, если в месяц до 1 миллиона вызовов API.

В общем, делимся с вами ссылкой:

https://github.com/RhinoSecurityLabs/IPRotate_Burp_Extension

Заметки на полях

Если вы каким-то образом (фишинг, сбрутили, от инсайдера и т.д.) получили валидные креды от корпоративной учётки пользователя на Office365 - у вас есть возможность получить больше информации об AD компании.

В большинстве случаев компании используют не только почту на Office 365, но и другие сервисы, в том числе и Azure. А пароли, конечно, доменные.

Поэтому, если вы получили логин и пароль пользователя, пусть даже самого бесправного - попробуйте эти креды на portal.azure.com. В случае успешного логина - вы получаете доступ к списку всех пользователей, групп и списку администраторов, что может помочь для дальнейшего исследования компании.

А как же MFA? А тут все зависит от администратора. Microsoft рекомендует ставить второй фактор для пользователей на все свои сервисы. Однако, не все следуют рекомендациям. Бывают ситуации, когда на почту есть MFA, а на portal.azure.com нет. У одного и того же пользователя, естественно.

#redteam

Microsoft выкатывает обновления

Тут оказывается 13 августа Microsoft выпустила первые обновления, в которых начинает закручивать гайки. Первый шаг - начать убирать возможность ретрансляции NTLM на LDAP с помощью подписывания LDAP и привязки каналов по умолчанию.

Первые обновления для тестирования уже выпущены и вручную можно включить привязку канала LDAP и подпись LDAP, чтобы протестировать.

Принудительно обновления будут установлены в январе 2020 года. Рекомендуем вам заранее быть к этому готовыми.
Для Blueteam возможны проблемы с различными приложениями (например, OTRS системами).
Для Redteam - будет сложно тестировать, если у заказчика все не работает (а как всегда все сломается в январе, после обновления) + возможны изменения в домене.

В общем делимся ссылкой и всех призываем тестировать!

https://support.microsoft.com/en-us/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows

Поиск в Shodan. Уровень Бог

Одна из мощных поисковых платформ - shodan - все это знают, все пользуются. Даже элементарные запросы приносят результаты.

Но можно делать запросы гораздо более интересными и находить различные устройства и сервисы, которые могут облегчить исследование периметра заказчика.

Делимся с вами парой ссылок:

https://github.com/BullsEye0/shodan-eye - инструмент, позволяющий находить различные устройства по ключевым словам или запросам

https://github.com/jakejarvis/awesome-shodan-queries - интересные готовые запросы для shodan

Есть много разных инструментов, каждый выбирает на свой вкус. Мы поделились с вами интересными запросами под эту мощную платформу.

VPN split tunneling bypass

При получении доступа в корпоративную сеть заказчика с помощью его штатного vpn клиента - очень хочется поделиться этим доступом с коллегами.

Однако VPN клиенты накладывают определенные ограничения, такие как ограничение доступа к нашей локальной сети.

Мы смогли это побороть и рассказываем вам как:

https://medium.com/@karelova.ov/vpn-split-tunneling-bypass-f99067d19617

Exchange Online и Basic Auth

Basic Auth в Exchange Online всё!
Точнее будет отключена с 13 октября 2020 года. И это большой удар по RedTeam командам, которые пользуются именно возможностью перехвата учётных записей, отсутствием mfa и zero trust в компании.

Что изменится? Basic Auth больше не будет работать. Пользователи будут использовать современную аутентификацию на основе генерируемого OAuth2.0 токена.

Как с этим жить пользователям? Придется использовать приложения, которые поддерживают Modern Auth (например, официальные приложения от Microsoft уже сейчас поддерживают).

Будут ли проблемы у пользователей и Blueteam в октябре 2020 года? Если вовремя учесть информацию и подготовить все для комфортной работы, то нет. Если ничего не делать (как это обычно и бывает), то проблем не избежать.

Будут ли проблемы у RedTeam? Да. Часть методик перестанет работать и надо придумывать новые способы получения аутентификационных данных

Делимся с вами ссылкой и, как всегда, рекомендуем заранее думать о последствиях различных изменений для вас:

https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/Improving-Security-Together/ba-p/805892

Bloodhound Cypher Cheatsheet

Все знают про Bloodhound - мощный инструмент, который показывает связи между объектами в Active Directory.

Для графической оболочки используется Neo4j (графовая база данных), которая, в свою очередь, использует язык Cypher. Cypher сложный язык. Поэтому ребята составили табличку, которая отражает самые популярные и нужные запросы (все уже написано - можно брать и использовать на своих данных).

А мы делимся с вами ссылкой:

https://hausec.com/2019/09/09/bloodhound-cypher-cheatsheet/

#redteam #blueteam

Заметки на полях

Довольно часто в Burp Suite требуется профазить какой-либо заенкоженный параметр, например, поле username в basic authorization, или значение userid внутри заенкоженного параметра cookie. Например, session=eyJhdXRoIjp7InVzZXJpZCI6ImFkbWluIiwidXNlcnRva2VuIjoiMTIzNDUifX0= ( {"auth":{"userid":"admin","usertoken":"12345"}} ).

В таком случае из стандартных средств нам подойдёт только Burp Intruder. Однако тогда не получится использовать Active Scan и дополнительные экстеншны, а устраивать танцы с бубнами вокруг составления итогового payload с последующим енкодингом - потраченное время и никакого удовольствия.

Но нас может выручить полезный экстеншн - Python Scripter. После его подключения появляется отдельная вкладка - Script, куда мы можем вписать свои скрипт для питона. Таким образом алгоритм работы следующий: декодим нужную cookie в Repeater или Intruder, устанавливаем место для фазинга (через scan manual insertion points или спец символ в Intruder), а во вкладке Script - пишем скрипт по енкодингу в base64. После этого - отправляем запрос на активное сканирование.

Для енкодинга нужных параметров мы используем следующие скрипты (https://github.com/mis-team/burpnoscripts):

1. В скрипте param-replacer.py необходимо указать:
- header и/или GET/POST параметр, который необходимо енкодить,
- функции енкодинга: processHeader, processParam (в скрипте написан base64)
- место, куда вставлять заенкоженный параметр (GET, POST, COOKIE).

2. Скрипт fuzz-replacer.py - альтернативный и более удобный вариант. Теперь наоборот - место енкодинга в запросе необходимо "обернуть" в FUZZ (как в знаменитом web фазере), а скрипт уже распознает его и сделает все сам.

Рубрика "Новости от Microsoft"

Небольшая новость - теперь пользователи Azure могут видеть все свои попытки входа в аккаунт. Причем не только удачные, но и неудачные! Таким образом, если RedTeam пытается подобрать пароль какого-то пользователя Azure - это будет сразу видно в попытках входа, как неудачный логин.

Для BlueTeam это очень крутая вещь, которая поможет в дальнейшем мониторить аномальные устройства, IP адреса, геолокацию. Что, кстати, уже используется в различных средствах защиты от Microsoft.

Защита Microsoft очень растет в последнее время!

https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Users-can-now-check-their-sign-in-history-for-unusual-activity/ba-p/916066

Исследование обхода антивируса

Мы постоянно сталкиваемся с антивирусами. Постоянно наше ПО не работает, потому что детектируется антивирусом. Мы уже ввели в свой RedTeam процесс целый блок под названием "отмазывем от авера", в рамках которого проводим большую работу по предотвращению детектирования наших (и опенсорсных) утилит, скриптов и т.д. А все из-за того, что антивирусы очень хорошо развиваются в поведенческом детектировании и используют облачные базы для оперативного распространения информации. Таким образом то, что работало месяц назад - перестает работать.

Раньше мы пытались сделать так, чтобы ПО не детектировалось никаким антивирусом. Теперь используем другой подход - отмазывем от антивируса, который встречается у конкретного заказчика - это экономия сил и времени.

Причем используем определенную методику по исследованию детектирования антивируса. Иногда очень простые способы (например, переименование файла) - срабатывают, иногда приходится придумывать сложные и многоходовые решения.

Как происходит исследование? Об этом мы когда-нибудь напишем отдельную статью. А пока что можем поделиться с вами статьей от TrustedSec, в которой описываются некоторые методы исследования. В том числе и те, которые используем мы.

https://www.trustedsec.com/blog/discovering-the-anti-virus-signature-and-bypassing-it/

Статья очень классная и описывает как заведомо детектируемое ПО можно отмазать от антивируса.

Домен-фронтинг на базе TLS 1.3

Сегодня делимся с вами первой частью из серии статей про домен-фронтинг

https://habr.com/ru/post/475372/

OpenSSH в Windows 10

Сегодня поговорим ещё об одной "фишечке" от Microsoft - встроенных утилитах OpenSSH в Windows 10

Что это такое и зачем? Microsoft придумал встроить в Windows 10 утилиты OpenSSH, чтобы не надо было ставиться дополнительные утилиты, типо Putty.

Надо ли что-то включать дополнительно? Нет. Запустили эту "фишечку" уже давно, ещё в середине 2018 года и ssh-agent включен по умолчанию.

Удобно ли это? Да, удобно. Особенно для тех серверов, к которым доступ происходит не по паролю, а по ключу.

Насколько безопасно? А вот тут та самая "фишечка" и вылазит. С точки зрения Microsoft все классно. Все приватные ключи защищены с помощью DPAPI. С нашей точки зрения тоже все классно, потому что используется DPAPI, с помощью которого мы можем извлекать нужные нам данные.

Часто ли администраторы используют эту "фишечку"? Сложилось ощущение, что не все о ней знают. Но мы на практике пару раз встречали, что используют

Делимся с вами статьей, где можно найти подробности:
https://blog.ropnop.com/extracting-ssh-private-keys-from-windows-10-ssh-agent/

Домен-фронтинг на базе TLS 1.3. Часть 2

Сегодня делимся с вами второй частью статьи про домен-фронтинг

https://habr.com/ru/post/477696/