Заметки на полях
Что делают различные средства защиты когда видят возросшую активность с какого-то IP-адреса? Правильно, блокируют его от греха подальше. Это самый простой и распространенный способ борьбы с брутом, различными сканированиями и попытками эксплуатации уязвимостей.
При проведении RedTeam постоянно приходится проверять заблокирован ты или нет, чтобы контролировать корректность приходящих ответов от сервера. А также придумывать различные решения для периодической смены IP.
А тут недавно товарищи из Rhino Security Labs выпустили новый экстеншн для Burp Suite, который меняет IP-адрес при каждом запросе. Делает он все это через AWS API Gateway.
Естественно, у вас должен быть аккаунт на Амазоне, чтобы вы могли экстеншн использовать.
А для новых аккаунтов - стандартная амазоновская тема - бесплатное использование сервиса первый год, если в месяц до 1 миллиона вызовов API.
В общем, делимся с вами ссылкой:
https://github.com/RhinoSecurityLabs/IPRotate_Burp_Extension
Что делают различные средства защиты когда видят возросшую активность с какого-то IP-адреса? Правильно, блокируют его от греха подальше. Это самый простой и распространенный способ борьбы с брутом, различными сканированиями и попытками эксплуатации уязвимостей.
При проведении RedTeam постоянно приходится проверять заблокирован ты или нет, чтобы контролировать корректность приходящих ответов от сервера. А также придумывать различные решения для периодической смены IP.
А тут недавно товарищи из Rhino Security Labs выпустили новый экстеншн для Burp Suite, который меняет IP-адрес при каждом запросе. Делает он все это через AWS API Gateway.
Естественно, у вас должен быть аккаунт на Амазоне, чтобы вы могли экстеншн использовать.
А для новых аккаунтов - стандартная амазоновская тема - бесплатное использование сервиса первый год, если в месяц до 1 миллиона вызовов API.
В общем, делимся с вами ссылкой:
https://github.com/RhinoSecurityLabs/IPRotate_Burp_Extension
GitHub
GitHub - RhinoSecurityLabs/IPRotate_Burp_Extension: Extension for Burp Suite which uses AWS API Gateway to rotate your IP on every…
Extension for Burp Suite which uses AWS API Gateway to rotate your IP on every request. - RhinoSecurityLabs/IPRotate_Burp_Extension
Заметки на полях
Если вы каким-то образом (фишинг, сбрутили, от инсайдера и т.д.) получили валидные креды от корпоративной учётки пользователя на Office365 - у вас есть возможность получить больше информации об AD компании.
В большинстве случаев компании используют не только почту на Office 365, но и другие сервисы, в том числе и Azure. А пароли, конечно, доменные.
Поэтому, если вы получили логин и пароль пользователя, пусть даже самого бесправного - попробуйте эти креды на portal.azure.com. В случае успешного логина - вы получаете доступ к списку всех пользователей, групп и списку администраторов, что может помочь для дальнейшего исследования компании.
А как же MFA? А тут все зависит от администратора. Microsoft рекомендует ставить второй фактор для пользователей на все свои сервисы. Однако, не все следуют рекомендациям. Бывают ситуации, когда на почту есть MFA, а на portal.azure.com нет. У одного и того же пользователя, естественно.
#redteam
Если вы каким-то образом (фишинг, сбрутили, от инсайдера и т.д.) получили валидные креды от корпоративной учётки пользователя на Office365 - у вас есть возможность получить больше информации об AD компании.
В большинстве случаев компании используют не только почту на Office 365, но и другие сервисы, в том числе и Azure. А пароли, конечно, доменные.
Поэтому, если вы получили логин и пароль пользователя, пусть даже самого бесправного - попробуйте эти креды на portal.azure.com. В случае успешного логина - вы получаете доступ к списку всех пользователей, групп и списку администраторов, что может помочь для дальнейшего исследования компании.
А как же MFA? А тут все зависит от администратора. Microsoft рекомендует ставить второй фактор для пользователей на все свои сервисы. Однако, не все следуют рекомендациям. Бывают ситуации, когда на почту есть MFA, а на portal.azure.com нет. У одного и того же пользователя, естественно.
#redteam
Microsoft выкатывает обновления
Тут оказывается 13 августа Microsoft выпустила первые обновления, в которых начинает закручивать гайки. Первый шаг - начать убирать возможность ретрансляции NTLM на LDAP с помощью подписывания LDAP и привязки каналов по умолчанию.
Первые обновления для тестирования уже выпущены и вручную можно включить привязку канала LDAP и подпись LDAP, чтобы протестировать.
Принудительно обновления будут установлены в январе 2020 года. Рекомендуем вам заранее быть к этому готовыми.
Для Blueteam возможны проблемы с различными приложениями (например, OTRS системами).
Для Redteam - будет сложно тестировать, если у заказчика все не работает (а как всегда все сломается в январе, после обновления) + возможны изменения в домене.
В общем делимся ссылкой и всех призываем тестировать!
https://support.microsoft.com/en-us/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows
Тут оказывается 13 августа Microsoft выпустила первые обновления, в которых начинает закручивать гайки. Первый шаг - начать убирать возможность ретрансляции NTLM на LDAP с помощью подписывания LDAP и привязки каналов по умолчанию.
Первые обновления для тестирования уже выпущены и вручную можно включить привязку канала LDAP и подпись LDAP, чтобы протестировать.
Принудительно обновления будут установлены в январе 2020 года. Рекомендуем вам заранее быть к этому готовыми.
Для Blueteam возможны проблемы с различными приложениями (например, OTRS системами).
Для Redteam - будет сложно тестировать, если у заказчика все не работает (а как всегда все сломается в январе, после обновления) + возможны изменения в домене.
В общем делимся ссылкой и всех призываем тестировать!
https://support.microsoft.com/en-us/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows
Поиск в Shodan. Уровень Бог
Одна из мощных поисковых платформ - shodan - все это знают, все пользуются. Даже элементарные запросы приносят результаты.
Но можно делать запросы гораздо более интересными и находить различные устройства и сервисы, которые могут облегчить исследование периметра заказчика.
Делимся с вами парой ссылок:
https://github.com/BullsEye0/shodan-eye - инструмент, позволяющий находить различные устройства по ключевым словам или запросам
https://github.com/jakejarvis/awesome-shodan-queries - интересные готовые запросы для shodan
Есть много разных инструментов, каждый выбирает на свой вкус. Мы поделились с вами интересными запросами под эту мощную платформу.
Одна из мощных поисковых платформ - shodan - все это знают, все пользуются. Даже элементарные запросы приносят результаты.
Но можно делать запросы гораздо более интересными и находить различные устройства и сервисы, которые могут облегчить исследование периметра заказчика.
Делимся с вами парой ссылок:
https://github.com/BullsEye0/shodan-eye - инструмент, позволяющий находить различные устройства по ключевым словам или запросам
https://github.com/jakejarvis/awesome-shodan-queries - интересные готовые запросы для shodan
Есть много разных инструментов, каждый выбирает на свой вкус. Мы поделились с вами интересными запросами под эту мощную платформу.
GitHub
GitHub - BullsEye0/shodan-eye: Shodan Eye This tool collects all the information about all devices directly connected to the internet…
Shodan Eye This tool collects all the information about all devices directly connected to the internet using the specified keywords that you enter. Author: Jolanda de Koff - BullsEye0/shodan-eye
VPN split tunneling bypass
При получении доступа в корпоративную сеть заказчика с помощью его штатного vpn клиента - очень хочется поделиться этим доступом с коллегами.
Однако VPN клиенты накладывают определенные ограничения, такие как ограничение доступа к нашей локальной сети.
Мы смогли это побороть и рассказываем вам как:
https://medium.com/@karelova.ov/vpn-split-tunneling-bypass-f99067d19617
При получении доступа в корпоративную сеть заказчика с помощью его штатного vpn клиента - очень хочется поделиться этим доступом с коллегами.
Однако VPN клиенты накладывают определенные ограничения, такие как ограничение доступа к нашей локальной сети.
Мы смогли это побороть и рассказываем вам как:
https://medium.com/@karelova.ov/vpn-split-tunneling-bypass-f99067d19617
Medium
VPN split tunneling bypass
Зачастую, при проведении RedTeam, удается получить реквизиты доступа к корпоративному vpn (это может быть как пароль пользователя, так и…
Exchange Online и Basic Auth
Basic Auth в Exchange Online всё!
Точнее будет отключена с 13 октября 2020 года. И это большой удар по RedTeam командам, которые пользуются именно возможностью перехвата учётных записей, отсутствием mfa и zero trust в компании.
Что изменится? Basic Auth больше не будет работать. Пользователи будут использовать современную аутентификацию на основе генерируемого OAuth2.0 токена.
Как с этим жить пользователям? Придется использовать приложения, которые поддерживают Modern Auth (например, официальные приложения от Microsoft уже сейчас поддерживают).
Будут ли проблемы у пользователей и Blueteam в октябре 2020 года? Если вовремя учесть информацию и подготовить все для комфортной работы, то нет. Если ничего не делать (как это обычно и бывает), то проблем не избежать.
Будут ли проблемы у RedTeam? Да. Часть методик перестанет работать и надо придумывать новые способы получения аутентификационных данных
Делимся с вами ссылкой и, как всегда, рекомендуем заранее думать о последствиях различных изменений для вас:
https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/Improving-Security-Together/ba-p/805892
Basic Auth в Exchange Online всё!
Точнее будет отключена с 13 октября 2020 года. И это большой удар по RedTeam командам, которые пользуются именно возможностью перехвата учётных записей, отсутствием mfa и zero trust в компании.
Что изменится? Basic Auth больше не будет работать. Пользователи будут использовать современную аутентификацию на основе генерируемого OAuth2.0 токена.
Как с этим жить пользователям? Придется использовать приложения, которые поддерживают Modern Auth (например, официальные приложения от Microsoft уже сейчас поддерживают).
Будут ли проблемы у пользователей и Blueteam в октябре 2020 года? Если вовремя учесть информацию и подготовить все для комфортной работы, то нет. Если ничего не делать (как это обычно и бывает), то проблем не избежать.
Будут ли проблемы у RedTeam? Да. Часть методик перестанет работать и надо придумывать новые способы получения аутентификационных данных
Делимся с вами ссылкой и, как всегда, рекомендуем заранее думать о последствиях различных изменений для вас:
https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/Improving-Security-Together/ba-p/805892
TECHCOMMUNITY.MICROSOFT.COM
Improving Security - Together
Update: For latest on this subject, please see Basic Authentication and Exchange Online – April 2020 Update. For many years, client apps have used Basic Authentication to connect to servers, services and endpoints. It is enabled by default on most servers…
Bloodhound Cypher Cheatsheet
Все знают про Bloodhound - мощный инструмент, который показывает связи между объектами в Active Directory.
Для графической оболочки используется Neo4j (графовая база данных), которая, в свою очередь, использует язык Cypher. Cypher сложный язык. Поэтому ребята составили табличку, которая отражает самые популярные и нужные запросы (все уже написано - можно брать и использовать на своих данных).
А мы делимся с вами ссылкой:
https://hausec.com/2019/09/09/bloodhound-cypher-cheatsheet/
#redteam #blueteam
Все знают про Bloodhound - мощный инструмент, который показывает связи между объектами в Active Directory.
Для графической оболочки используется Neo4j (графовая база данных), которая, в свою очередь, использует язык Cypher. Cypher сложный язык. Поэтому ребята составили табличку, которая отражает самые популярные и нужные запросы (все уже написано - можно брать и использовать на своих данных).
А мы делимся с вами ссылкой:
https://hausec.com/2019/09/09/bloodhound-cypher-cheatsheet/
#redteam #blueteam
hausec
BloodHound Cypher Cheatsheet
Bloodhound uses Neo4j, a graphing database, which uses the Cypher language. Cypher is a bit complex since it’s almost like programming with ASCII art. This cheatsheet aims to cover some Cypher quer…
Заметки на полях
Довольно часто в Burp Suite требуется профазить какой-либо заенкоженный параметр, например, поле username в basic authorization, или значение userid внутри заенкоженного параметра cookie. Например, session=eyJhdXRoIjp7InVzZXJpZCI6ImFkbWluIiwidXNlcnRva2VuIjoiMTIzNDUifX0= ( {"auth":{"userid":"admin","usertoken":"12345"}} ).
В таком случае из стандартных средств нам подойдёт только Burp Intruder. Однако тогда не получится использовать Active Scan и дополнительные экстеншны, а устраивать танцы с бубнами вокруг составления итогового payload с последующим енкодингом - потраченное время и никакого удовольствия.
Но нас может выручить полезный экстеншн - Python Scripter. После его подключения появляется отдельная вкладка - Script, куда мы можем вписать свои скрипт для питона. Таким образом алгоритм работы следующий: декодим нужную cookie в Repeater или Intruder, устанавливаем место для фазинга (через scan manual insertion points или спец символ в Intruder), а во вкладке Script - пишем скрипт по енкодингу в base64. После этого - отправляем запрос на активное сканирование.
Для енкодинга нужных параметров мы используем следующие скрипты (https://github.com/mis-team/burpnoscripts):
1. В скрипте param-replacer.py необходимо указать:
- header и/или GET/POST параметр, который необходимо енкодить,
- функции енкодинга: processHeader, processParam (в скрипте написан base64)
- место, куда вставлять заенкоженный параметр (GET, POST, COOKIE).
2. Скрипт fuzz-replacer.py - альтернативный и более удобный вариант. Теперь наоборот - место енкодинга в запросе необходимо "обернуть" в FUZZ (как в знаменитом web фазере), а скрипт уже распознает его и сделает все сам.
Довольно часто в Burp Suite требуется профазить какой-либо заенкоженный параметр, например, поле username в basic authorization, или значение userid внутри заенкоженного параметра cookie. Например, session=eyJhdXRoIjp7InVzZXJpZCI6ImFkbWluIiwidXNlcnRva2VuIjoiMTIzNDUifX0= ( {"auth":{"userid":"admin","usertoken":"12345"}} ).
В таком случае из стандартных средств нам подойдёт только Burp Intruder. Однако тогда не получится использовать Active Scan и дополнительные экстеншны, а устраивать танцы с бубнами вокруг составления итогового payload с последующим енкодингом - потраченное время и никакого удовольствия.
Но нас может выручить полезный экстеншн - Python Scripter. После его подключения появляется отдельная вкладка - Script, куда мы можем вписать свои скрипт для питона. Таким образом алгоритм работы следующий: декодим нужную cookie в Repeater или Intruder, устанавливаем место для фазинга (через scan manual insertion points или спец символ в Intruder), а во вкладке Script - пишем скрипт по енкодингу в base64. После этого - отправляем запрос на активное сканирование.
Для енкодинга нужных параметров мы используем следующие скрипты (https://github.com/mis-team/burpnoscripts):
1. В скрипте param-replacer.py необходимо указать:
- header и/или GET/POST параметр, который необходимо енкодить,
- функции енкодинга: processHeader, processParam (в скрипте написан base64)
- место, куда вставлять заенкоженный параметр (GET, POST, COOKIE).
2. Скрипт fuzz-replacer.py - альтернативный и более удобный вариант. Теперь наоборот - место енкодинга в запросе необходимо "обернуть" в FUZZ (как в знаменитом web фазере), а скрипт уже распознает его и сделает все сам.
GitHub
GitHub - mis-team/burpnoscripts: Scripts for burp noscripter
Scripts for burp noscripter. Contribute to mis-team/burpnoscripts development by creating an account on GitHub.
Рубрика "Новости от Microsoft"
Небольшая новость - теперь пользователи Azure могут видеть все свои попытки входа в аккаунт. Причем не только удачные, но и неудачные! Таким образом, если RedTeam пытается подобрать пароль какого-то пользователя Azure - это будет сразу видно в попытках входа, как неудачный логин.
Для BlueTeam это очень крутая вещь, которая поможет в дальнейшем мониторить аномальные устройства, IP адреса, геолокацию. Что, кстати, уже используется в различных средствах защиты от Microsoft.
Защита Microsoft очень растет в последнее время!
https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Users-can-now-check-their-sign-in-history-for-unusual-activity/ba-p/916066
Небольшая новость - теперь пользователи Azure могут видеть все свои попытки входа в аккаунт. Причем не только удачные, но и неудачные! Таким образом, если RedTeam пытается подобрать пароль какого-то пользователя Azure - это будет сразу видно в попытках входа, как неудачный логин.
Для BlueTeam это очень крутая вещь, которая поможет в дальнейшем мониторить аномальные устройства, IP адреса, геолокацию. Что, кстати, уже используется в различных средствах защиты от Microsoft.
Защита Microsoft очень растет в последнее время!
https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Users-can-now-check-their-sign-in-history-for-unusual-activity/ba-p/916066
TECHCOMMUNITY.MICROSOFT.COM
Users can now check their sign-in history for unusual activity
Howdy folks, I’m excited to announce the public preview of Azure AD My Sign-Ins—a new feature that allows enterprise users to review their sign-in history to check for any unusual activity. As we discussed in a previous blog post, our team defends against…
Исследование обхода антивируса
Мы постоянно сталкиваемся с антивирусами. Постоянно наше ПО не работает, потому что детектируется антивирусом. Мы уже ввели в свой RedTeam процесс целый блок под названием "отмазывем от авера", в рамках которого проводим большую работу по предотвращению детектирования наших (и опенсорсных) утилит, скриптов и т.д. А все из-за того, что антивирусы очень хорошо развиваются в поведенческом детектировании и используют облачные базы для оперативного распространения информации. Таким образом то, что работало месяц назад - перестает работать.
Раньше мы пытались сделать так, чтобы ПО не детектировалось никаким антивирусом. Теперь используем другой подход - отмазывем от антивируса, который встречается у конкретного заказчика - это экономия сил и времени.
Причем используем определенную методику по исследованию детектирования антивируса. Иногда очень простые способы (например, переименование файла) - срабатывают, иногда приходится придумывать сложные и многоходовые решения.
Как происходит исследование? Об этом мы когда-нибудь напишем отдельную статью. А пока что можем поделиться с вами статьей от TrustedSec, в которой описываются некоторые методы исследования. В том числе и те, которые используем мы.
https://www.trustedsec.com/blog/discovering-the-anti-virus-signature-and-bypassing-it/
Статья очень классная и описывает как заведомо детектируемое ПО можно отмазать от антивируса.
Мы постоянно сталкиваемся с антивирусами. Постоянно наше ПО не работает, потому что детектируется антивирусом. Мы уже ввели в свой RedTeam процесс целый блок под названием "отмазывем от авера", в рамках которого проводим большую работу по предотвращению детектирования наших (и опенсорсных) утилит, скриптов и т.д. А все из-за того, что антивирусы очень хорошо развиваются в поведенческом детектировании и используют облачные базы для оперативного распространения информации. Таким образом то, что работало месяц назад - перестает работать.
Раньше мы пытались сделать так, чтобы ПО не детектировалось никаким антивирусом. Теперь используем другой подход - отмазывем от антивируса, который встречается у конкретного заказчика - это экономия сил и времени.
Причем используем определенную методику по исследованию детектирования антивируса. Иногда очень простые способы (например, переименование файла) - срабатывают, иногда приходится придумывать сложные и многоходовые решения.
Как происходит исследование? Об этом мы когда-нибудь напишем отдельную статью. А пока что можем поделиться с вами статьей от TrustedSec, в которой описываются некоторые методы исследования. В том числе и те, которые используем мы.
https://www.trustedsec.com/blog/discovering-the-anti-virus-signature-and-bypassing-it/
Статья очень классная и описывает как заведомо детектируемое ПО можно отмазать от антивируса.
TrustedSec
Discovering the Anti-Virus Signature and Bypassing It
Windows Defender blocks the Regsvr32 attack with the signature looking for the combination of http and scrobj.dll, but bypass techniques include renaming,…
Домен-фронтинг на базе TLS 1.3
Сегодня делимся с вами первой частью из серии статей про домен-фронтинг
https://habr.com/ru/post/475372/
Сегодня делимся с вами первой частью из серии статей про домен-фронтинг
https://habr.com/ru/post/475372/
Хабр
Домен-фронтинг на базе TLS 1.3
Введение Современные корпоративные системы фильтрации контента, от таких именитых производителей как Cisco, BlueCoat, FireEye имеют довольно много общего с боле...
OpenSSH в Windows 10
Сегодня поговорим ещё об одной "фишечке" от Microsoft - встроенных утилитах OpenSSH в Windows 10
Что это такое и зачем? Microsoft придумал встроить в Windows 10 утилиты OpenSSH, чтобы не надо было ставиться дополнительные утилиты, типо Putty.
Надо ли что-то включать дополнительно? Нет. Запустили эту "фишечку" уже давно, ещё в середине 2018 года и ssh-agent включен по умолчанию.
Удобно ли это? Да, удобно. Особенно для тех серверов, к которым доступ происходит не по паролю, а по ключу.
Насколько безопасно? А вот тут та самая "фишечка" и вылазит. С точки зрения Microsoft все классно. Все приватные ключи защищены с помощью DPAPI. С нашей точки зрения тоже все классно, потому что используется DPAPI, с помощью которого мы можем извлекать нужные нам данные.
Часто ли администраторы используют эту "фишечку"? Сложилось ощущение, что не все о ней знают. Но мы на практике пару раз встречали, что используют
Делимся с вами статьей, где можно найти подробности:
https://blog.ropnop.com/extracting-ssh-private-keys-from-windows-10-ssh-agent/
Сегодня поговорим ещё об одной "фишечке" от Microsoft - встроенных утилитах OpenSSH в Windows 10
Что это такое и зачем? Microsoft придумал встроить в Windows 10 утилиты OpenSSH, чтобы не надо было ставиться дополнительные утилиты, типо Putty.
Надо ли что-то включать дополнительно? Нет. Запустили эту "фишечку" уже давно, ещё в середине 2018 года и ssh-agent включен по умолчанию.
Удобно ли это? Да, удобно. Особенно для тех серверов, к которым доступ происходит не по паролю, а по ключу.
Насколько безопасно? А вот тут та самая "фишечка" и вылазит. С точки зрения Microsoft все классно. Все приватные ключи защищены с помощью DPAPI. С нашей точки зрения тоже все классно, потому что используется DPAPI, с помощью которого мы можем извлекать нужные нам данные.
Часто ли администраторы используют эту "фишечку"? Сложилось ощущение, что не все о ней знают. Но мы на практике пару раз встречали, что используют
Делимся с вами статьей, где можно найти подробности:
https://blog.ropnop.com/extracting-ssh-private-keys-from-windows-10-ssh-agent/
ropnop blog
Extracting SSH Private Keys From Windows 10 ssh-agent
The newest Windows 10 update includes OpenSSH utilities, including ssh-agent. Here’s how to extract unencrypted saved private keys from the registry
Домен-фронтинг на базе TLS 1.3. Часть 2
Сегодня делимся с вами второй частью статьи про домен-фронтинг
https://habr.com/ru/post/477696/
Сегодня делимся с вами второй частью статьи про домен-фронтинг
https://habr.com/ru/post/477696/
Хабр
Домен-фронтинг на базе TLS 1.3. Часть 2
Введение В первой части статьи мы дали краткое описание механизма encrypted SNI (eSNI). Показали каким образом на его основе можно уклоняться от детектирования с...
Немного про OSINT
При проведении RedTeam этап разведки играет очень важную роль - если osint проведен недостаточно качественно, то вся кампания может быть бесполезной. Конечно, основное внимание уделяется сетям компании, корпоративным почтовым адресам и той информации, которая пригодится без этапа фишинга.
Ресурсов для OSINT огромное количество. Как платных, так и бесплатных. Для тех, кто хочет прокачаться - есть крутой бот в телегам, который рассказывает про методы и ресурсы для OSINT - @HowToFind_RU_bot
Предупреждаем, что не все ресурсы, которые есть в боте - дают качественный результат.
Чаще всего нужно искать информацию по человеку по его email. Делимся с вами небольшой частью ресурсов, которые используем сами:
1. @Smart_SearchBot - бот в телегам, который позволяет искать информация по email, vk id, номеру телефона и ИНН. Бесплатный только 1 запрос, остальное за совершенно небольшие деньги.
2. @mailsearchbot - бот в телегам, который проверяет находится email в базах утечек паролей или нет. Показывает найденный пароль со звёздочками (т.е. не полностью). Однако, купив доступ может получить информацию полностью. Мы никогда не оплачивали. И так видно колличество символов в пароле и большинство символов - можно поискать в других местах.
3. https://domainbigdata.com/ - подскажет какие домены зарегистрированы на email
4. http://emailrep.io - подскажет на каких ресурсах есть аккаунты, зарегистрированные на искомый email
5. http://intelx.io - отличный поисковый ресурс, который ищет информацию по разным источникам, в том числе утекшим базам данных и даркнете
6. https://hunter.io/ - ресурс, который из открытых источников (презентации, сайты и др.) по домену компании ищет корпоративные email адреса.
#osint
При проведении RedTeam этап разведки играет очень важную роль - если osint проведен недостаточно качественно, то вся кампания может быть бесполезной. Конечно, основное внимание уделяется сетям компании, корпоративным почтовым адресам и той информации, которая пригодится без этапа фишинга.
Ресурсов для OSINT огромное количество. Как платных, так и бесплатных. Для тех, кто хочет прокачаться - есть крутой бот в телегам, который рассказывает про методы и ресурсы для OSINT - @HowToFind_RU_bot
Предупреждаем, что не все ресурсы, которые есть в боте - дают качественный результат.
Чаще всего нужно искать информацию по человеку по его email. Делимся с вами небольшой частью ресурсов, которые используем сами:
1. @Smart_SearchBot - бот в телегам, который позволяет искать информация по email, vk id, номеру телефона и ИНН. Бесплатный только 1 запрос, остальное за совершенно небольшие деньги.
2. @mailsearchbot - бот в телегам, который проверяет находится email в базах утечек паролей или нет. Показывает найденный пароль со звёздочками (т.е. не полностью). Однако, купив доступ может получить информацию полностью. Мы никогда не оплачивали. И так видно колличество символов в пароле и большинство символов - можно поискать в других местах.
3. https://domainbigdata.com/ - подскажет какие домены зарегистрированы на email
4. http://emailrep.io - подскажет на каких ресурсах есть аккаунты, зарегистрированные на искомый email
5. http://intelx.io - отличный поисковый ресурс, который ищет информацию по разным источникам, в том числе утекшим базам данных и даркнете
6. https://hunter.io/ - ресурс, который из открытых источников (презентации, сайты и др.) по домену компании ищет корпоративные email адреса.
#osint
Полезные исключения
При проведении RedTeam кампании в первую очередь обращаешь внимание на то, какие средства защиты стоят у заказчика - от этого кардинально зависит то, какие инструменты мы будем применять на машинах пользователей.
Часто нам помогают исключения, которые добавляются в антивирус. Исключение - это файлы, папки, ссылки и т.д., которые антивирус не будет проверять на наличие угроз.
При наличии таких исключений мы смело можем добавлять свои исполняемые файлы в папки исключений и таким образом на какое-то время обходить антивирус.
Интересно, что какие-то антивирусы записывают исключения в реестр, какие-то хранят в локальной базе данных.
Делимся вами информацией, где можно найти исключения для 4х популярных антивирусов:
SEP (Symantec Endpoint Protection)
Kaspersky Internet Security 20
Microsoft Windows Defender
McAfee
При проведении RedTeam кампании в первую очередь обращаешь внимание на то, какие средства защиты стоят у заказчика - от этого кардинально зависит то, какие инструменты мы будем применять на машинах пользователей.
Часто нам помогают исключения, которые добавляются в антивирус. Исключение - это файлы, папки, ссылки и т.д., которые антивирус не будет проверять на наличие угроз.
При наличии таких исключений мы смело можем добавлять свои исполняемые файлы в папки исключений и таким образом на какое-то время обходить антивирус.
Интересно, что какие-то антивирусы записывают исключения в реестр, какие-то хранят в локальной базе данных.
Делимся вами информацией, где можно найти исключения для 4х популярных антивирусов:
SEP (Symantec Endpoint Protection)
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Symantec\Symantec Endpoint Protection\AV\Exclusion\ScanningEngines\Kaspersky Internet Security 20
C:/ProgramData/KasperskyLab/AVP20.0/Data/settings_kis.kvdbMicrosoft Windows Defender
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\McAfee
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\ManagedServices\VirusScan\ExcludeМифы информационной безопасности
Под конец года решили сделать небольшую подборку наиболее часто встречающихся заблуждений у заказчиков и попробовать их развеять.
Все мифы основаны на реальных ситуациях с реальными заказчиками
1. Отключенная запись krbtgt автоматически защищает от атаки Golden Ticket
Данная учетная запись по умолчанию отключена. Однако, с ней невозможно ничего сделать (удалить, переименовать или включить), потому что учётная запись необходима для нормальной работы Kerberos в домене. На контроллерах домена хранится зашифрованная форма пароля KRBTGT - именно так проверяются билеты Kerberos - и именно ею успешно пользуются злоумышленники для формирования своего golden ticket.
2. При создании Golden Ticket для одного домена из леса – остальные домены в безопасности
Неправда. Можно не просто провести атаку, но и добавить дополнительный SID в группу Enterprise Admins. А каждый член группы Enterprise Admins является локальным администратором на контроллерах домена всех child- доменов в лесу. Таким образом, если злоумышленник сделает golden ticket для root домена - он будет обладать всем лесом.
3. Запись паролей некоторых учетных записей в поле denoscription не несет никакого риска, потому что у пользователей, не являющихся администраторами, не установлен ADUC
Получить информацию из denoscription может любой пользователь с помощью любых других утилит – ldap browser, powershell, adexplorer.
4. Всем сервисным аккаунтам требуются права доменного администратора
Неправда. Совершенно не всем. Для правильной настройки прав доступа системный администратор должен понимать каким сервисным учеткам действительно нужны права побольше (иногда достаточно локального администратора), а каким достаточно поменьше
5. Права доменного администратора можно получить только из-за неправильных настроек Active Directory
В большинстве своем проблема в словарных паролях и неконтролируемых учетных записях. Даже при наличии LAPS присутствуют различные учетки (уровня минимум локального администратора), которые не контролируются LAPS и создаются «временно, для тестов».
6. Админу постоянно в работе нужны права доменного администратора
На самом деле в работе системного администратора права доменного админа используются очень редко. Поэтому в целях безопасности у системного администратора должны быть 2 учетные записи – обычная для повседневного использования и с правами доменного администратора для особых случаев.
7. "Я поставил кучу антивирусов, anti-apt решений и полностью защищён"
Такая ошибка встречается постоянно. Многие компании становятся жертвами маркетинга и считают, что поставив дорогую железку, называемую anti-apt, смогут отбивать все атаки на свою систему... И это является основной ошибкой. Не существует волшебного сзи.
Все средства защиты надо правильно выбрать, правильно настроить и правильно реагировать на их срабатывания.
Под конец года решили сделать небольшую подборку наиболее часто встречающихся заблуждений у заказчиков и попробовать их развеять.
Все мифы основаны на реальных ситуациях с реальными заказчиками
1. Отключенная запись krbtgt автоматически защищает от атаки Golden Ticket
Данная учетная запись по умолчанию отключена. Однако, с ней невозможно ничего сделать (удалить, переименовать или включить), потому что учётная запись необходима для нормальной работы Kerberos в домене. На контроллерах домена хранится зашифрованная форма пароля KRBTGT - именно так проверяются билеты Kerberos - и именно ею успешно пользуются злоумышленники для формирования своего golden ticket.
2. При создании Golden Ticket для одного домена из леса – остальные домены в безопасности
Неправда. Можно не просто провести атаку, но и добавить дополнительный SID в группу Enterprise Admins. А каждый член группы Enterprise Admins является локальным администратором на контроллерах домена всех child- доменов в лесу. Таким образом, если злоумышленник сделает golden ticket для root домена - он будет обладать всем лесом.
3. Запись паролей некоторых учетных записей в поле denoscription не несет никакого риска, потому что у пользователей, не являющихся администраторами, не установлен ADUC
Получить информацию из denoscription может любой пользователь с помощью любых других утилит – ldap browser, powershell, adexplorer.
4. Всем сервисным аккаунтам требуются права доменного администратора
Неправда. Совершенно не всем. Для правильной настройки прав доступа системный администратор должен понимать каким сервисным учеткам действительно нужны права побольше (иногда достаточно локального администратора), а каким достаточно поменьше
5. Права доменного администратора можно получить только из-за неправильных настроек Active Directory
В большинстве своем проблема в словарных паролях и неконтролируемых учетных записях. Даже при наличии LAPS присутствуют различные учетки (уровня минимум локального администратора), которые не контролируются LAPS и создаются «временно, для тестов».
6. Админу постоянно в работе нужны права доменного администратора
На самом деле в работе системного администратора права доменного админа используются очень редко. Поэтому в целях безопасности у системного администратора должны быть 2 учетные записи – обычная для повседневного использования и с правами доменного администратора для особых случаев.
7. "Я поставил кучу антивирусов, anti-apt решений и полностью защищён"
Такая ошибка встречается постоянно. Многие компании становятся жертвами маркетинга и считают, что поставив дорогую железку, называемую anti-apt, смогут отбивать все атаки на свою систему... И это является основной ошибкой. Не существует волшебного сзи.
Все средства защиты надо правильно выбрать, правильно настроить и правильно реагировать на их срабатывания.
Дорогие друзья, коллеги, единомышленники!
Команда [MIS]Team от всей души поздравляет вас с наступающим Новым годом!
Желаем вам удачи и профессиональных успехов в 2020 году. Крутых ресечей, интересных уязвимостей.
Спасибо вам за то, что вы нас читаете, репостите и оцениваете наши старания!
Увидимся с вами в следующем году на различных конференциях!
Счастливого Нового года!
Ваши [MIS]Team
Команда [MIS]Team от всей души поздравляет вас с наступающим Новым годом!
Желаем вам удачи и профессиональных успехов в 2020 году. Крутых ресечей, интересных уязвимостей.
Спасибо вам за то, что вы нас читаете, репостите и оцениваете наши старания!
Увидимся с вами в следующем году на различных конференциях!
Счастливого Нового года!
Ваши [MIS]Team
Заметки на полях: Defender Check
При проведении RedTeam постоянно приходится проверять насколько наши тулзы и пейлоады детектируются антивирусом.
Однако, порой совершенно непонятно, что же является причиной детекта. Сегодня делимся с вами супер полезной тулзой, которая позволяет проверить на что реагирует Microsoft Defender. Называется Defender Check (https://github.com/matterpreter/DefenderCheck). С помощью нее можно увидеть какие именно байты вашей программы не устраивают Microsoft Defender и есть ли уже сигнатуры на проверяемую программу.
На картинке показаны результаты проверки с помощью Defender Check.
Красным цветом выделены результаты проверки последней официальной сборки mimikatz от 4.01.2020. Mimikatz выбран по причине того, что это 100% вариант детектирования всевозможными сзи.
Зелёным цветом выделен результат проверки нашей скомпилированной полезной нагрузки.
В общем рекомендуем. Действительно очень полезная тулза.
При проведении RedTeam постоянно приходится проверять насколько наши тулзы и пейлоады детектируются антивирусом.
Однако, порой совершенно непонятно, что же является причиной детекта. Сегодня делимся с вами супер полезной тулзой, которая позволяет проверить на что реагирует Microsoft Defender. Называется Defender Check (https://github.com/matterpreter/DefenderCheck). С помощью нее можно увидеть какие именно байты вашей программы не устраивают Microsoft Defender и есть ли уже сигнатуры на проверяемую программу.
На картинке показаны результаты проверки с помощью Defender Check.
Красным цветом выделены результаты проверки последней официальной сборки mimikatz от 4.01.2020. Mimikatz выбран по причине того, что это 100% вариант детектирования всевозможными сзи.
Зелёным цветом выделен результат проверки нашей скомпилированной полезной нагрузки.
В общем рекомендуем. Действительно очень полезная тулза.
Заметки на полях: про NetScaler
В этом году мир пошатнула новость о критических уязвимостях в Citrix Netscaler, патчей на которые нет и неизвестно когда появятся, а PoC'и распространяются с бешеной скоростью.
Мы хотим с вами поделиться информацией о полезных файлах, которые вам могут пригодиться после эксплуатации уязвимости:
1. /flash/nsconfig/ns.conf - хранятся хеши паролей
2. /flash/nsconfig/ssl - ssl сертификаты
3. /var/nstmp/sess_ - можно забрать проверенные cookie и использовать их повторно
Если получилось забрать файлы из пунктов 1 и 2 - можно настроить точно такой же NetScaler и использовать его как подставной для пользователей (ну или придумать другие сценарий на свой вкус).
Кстати, hashcat добавил функционал по подсчёту хешей NetScaler.
Небольшая заметка про хеши:
https://gist.github.com/rxwx/8d888e9169a3513479af69fc11a459a3
В этом году мир пошатнула новость о критических уязвимостях в Citrix Netscaler, патчей на которые нет и неизвестно когда появятся, а PoC'и распространяются с бешеной скоростью.
Мы хотим с вами поделиться информацией о полезных файлах, которые вам могут пригодиться после эксплуатации уязвимости:
1. /flash/nsconfig/ns.conf - хранятся хеши паролей
2. /flash/nsconfig/ssl - ssl сертификаты
3. /var/nstmp/sess_ - можно забрать проверенные cookie и использовать их повторно
Если получилось забрать файлы из пунктов 1 и 2 - можно настроить точно такой же NetScaler и использовать его как подставной для пользователей (ну или придумать другие сценарий на свой вкус).
Кстати, hashcat добавил функционал по подсчёту хешей NetScaler.
Небольшая заметка про хеши:
https://gist.github.com/rxwx/8d888e9169a3513479af69fc11a459a3
Gist
Cracking NetScaler hashes
Cracking NetScaler hashes. GitHub Gist: instantly share code, notes, and snippets.
Заметки на полях: AD для тестирования
При RedTeam нужна определенная среда для тестирования различных тулз на разных операционных системах. Да и вообще иметь собственную AD для разработки новых методик - это всегда круто. Есть несколько вариантов:
1. развернуть на своих мощностях
2. прикупить железку в дата центре (как пример Hetzner)
3. развернуть на облачных платформах
Выбор одного из вариантов зависит только от ваших потребностей, приципов и бюджета.
Сегодня поделимся с вами опытом по разворачиванию AD в Azure.
Хороший и очень подробный гайд можно найти тут: https://medium.com/@kamran.bilgrami/ethical-hacking-lessons-building-free-active-directory-lab-in-azure-6c67a7eddd7f
Однако, есть пара моментов, о которых нужно знать:
1. Microsoft поддерживает санкции и завести Azure из России не получится. Нужно использовать VPN, при указании страны не выбирать Россию и номер телефона тоже желательно иностранный (хотя раз через раз, иногда смски приходят и на российский номер, закономерность не выявлена). Потом заходить под созданным аккаунтом можно и из России.
2. Номер телефона должен принимать смски или звонки - код обязательно надо получить
3. Привязать карту банковскую тоже необходимо - с вас снимут 1 доллар для подтверждения работоспособности карты (виртуальные карты точно подходят, а вот про "мир" не уверены, опыты не проводили)
4. Почему-то не всегда дается бесплатный год пользования сервисом. Но бесплатные 30 дней есть и счет выставляется по итогу использования. В случае не оплаты и большого долга - аккаунт будет заблокирован
5. Даже за приостановленные виртуалки берут деньги
6. Azure разворачивает все очень быстро, поэтому основная рекомендация - развернуть контроллер домена и пару машин с разными версиями ОС в домене (мощности таких машин можно выбрать минимальные). Остальное наполнение зависит уже от вашего бюджета и нужные машины можно будет развернуть достаточно оперативно.
Процесс наполнения AD различными пользователями и OUшками можно автоматизировать с помощью тулзы: https://stealingthe.network/rapidly-creating-fake-users-in-your-lab-ad-using-youzer/
При RedTeam нужна определенная среда для тестирования различных тулз на разных операционных системах. Да и вообще иметь собственную AD для разработки новых методик - это всегда круто. Есть несколько вариантов:
1. развернуть на своих мощностях
2. прикупить железку в дата центре (как пример Hetzner)
3. развернуть на облачных платформах
Выбор одного из вариантов зависит только от ваших потребностей, приципов и бюджета.
Сегодня поделимся с вами опытом по разворачиванию AD в Azure.
Хороший и очень подробный гайд можно найти тут: https://medium.com/@kamran.bilgrami/ethical-hacking-lessons-building-free-active-directory-lab-in-azure-6c67a7eddd7f
Однако, есть пара моментов, о которых нужно знать:
1. Microsoft поддерживает санкции и завести Azure из России не получится. Нужно использовать VPN, при указании страны не выбирать Россию и номер телефона тоже желательно иностранный (хотя раз через раз, иногда смски приходят и на российский номер, закономерность не выявлена). Потом заходить под созданным аккаунтом можно и из России.
2. Номер телефона должен принимать смски или звонки - код обязательно надо получить
3. Привязать карту банковскую тоже необходимо - с вас снимут 1 доллар для подтверждения работоспособности карты (виртуальные карты точно подходят, а вот про "мир" не уверены, опыты не проводили)
4. Почему-то не всегда дается бесплатный год пользования сервисом. Но бесплатные 30 дней есть и счет выставляется по итогу использования. В случае не оплаты и большого долга - аккаунт будет заблокирован
5. Даже за приостановленные виртуалки берут деньги
6. Azure разворачивает все очень быстро, поэтому основная рекомендация - развернуть контроллер домена и пару машин с разными версиями ОС в домене (мощности таких машин можно выбрать минимальные). Остальное наполнение зависит уже от вашего бюджета и нужные машины можно будет развернуть достаточно оперативно.
Процесс наполнения AD различными пользователями и OUшками можно автоматизировать с помощью тулзы: https://stealingthe.network/rapidly-creating-fake-users-in-your-lab-ad-using-youzer/
Medium
Ethical Hacking Lessons — Building Free Active Directory Lab in Azure
Motivation
Заметки на полях: групповые политики сайтов в AD
Для упрощения жизни пользователям, особенно мобильным сотрудникам, администраторы стали применять достаточно эффективный способ - создавать групповые политики для сайтов AD.
Однако, в данном случае есть один момент, который не учитывается - многие сайты содержат контроллеры домена. При неправильном делегировании ссылки на объект групповой политики можно придумать различные виды атак на AD. От вредительства (связывания произвольных объектов с сайтом, содержащим контроллер домена) до дальнейшего развития атаки в AD и повышения привилегий.
GPMC (group policy management console) не показывает политики, связанные с сайтами.
Получить их можно, выполнив команду с помощью powershell.
Get-ADObject -Filter * -SearchBase "CN=Sites,CN=Configuration,DC=domain,DC=com" -SearchScope OneLevel | % { "Site Name: $($.Name)",((Get-Acl "AD:\$").Access | select IdentityReference,ActiveDirectoryRights | fl) }
Если в вашем или исследуемом домене найдены такие сайты - повод посмотреть групповые политики внимательно
Для упрощения жизни пользователям, особенно мобильным сотрудникам, администраторы стали применять достаточно эффективный способ - создавать групповые политики для сайтов AD.
Однако, в данном случае есть один момент, который не учитывается - многие сайты содержат контроллеры домена. При неправильном делегировании ссылки на объект групповой политики можно придумать различные виды атак на AD. От вредительства (связывания произвольных объектов с сайтом, содержащим контроллер домена) до дальнейшего развития атаки в AD и повышения привилегий.
GPMC (group policy management console) не показывает политики, связанные с сайтами.
Получить их можно, выполнив команду с помощью powershell.
Get-ADObject -Filter * -SearchBase "CN=Sites,CN=Configuration,DC=domain,DC=com" -SearchScope OneLevel | % { "Site Name: $($.Name)",((Get-Acl "AD:\$").Access | select IdentityReference,ActiveDirectoryRights | fl) }
Если в вашем или исследуемом домене найдены такие сайты - повод посмотреть групповые политики внимательно