0. В общем и целом
Плюс атаки в том, что захватывать контроллер не нужно, что сильно уменьшает кол-во алертов.
1. Кстати говоря об алертах: создание дампа файла базы данных Windows NTDS.DIT в 99% случаев приведет к алертам на SIEM\IPS\IDS. А такие тулзы как Mimikatz и Empire могут в этом помочь (Поняли?))).
2. Для успешной атаки нужна учетка с правами
3. Так как атака направлена на легитимные службы windows (типа MS-DRSR) - которые кстати нельзя отключить, защититься становится крайне сложно, нужно проводить аудит прав юзеров и админов и мониторить сеть - а именно: все IP-адреса контроллеров домена должны быть в белых списках IPS\IDS и если пойдут запросы типа DSGetNCChange не из белого списка - привет аларм.
4. Вот тут хороший и подробный разбор примера атаки, обязательно почитайте !
5. Кстати атака DCsync открывает путь к двум другим атакам: silver tickets и golden tickets ))))
DCSync атака направленна на то, чтобы притвориться контроллером домена и вытащить учетки с настоящего контроллера домена.Плюс атаки в том, что захватывать контроллер не нужно, что сильно уменьшает кол-во алертов.
1. Кстати говоря об алертах: создание дампа файла базы данных Windows NTDS.DIT в 99% случаев приведет к алертам на SIEM\IPS\IDS. А такие тулзы как Mimikatz и Empire могут в этом помочь (Поняли?))).
2. Для успешной атаки нужна учетка с правами
"DS-Replication-Get-Changes".3. Так как атака направлена на легитимные службы windows (типа MS-DRSR) - которые кстати нельзя отключить, защититься становится крайне сложно, нужно проводить аудит прав юзеров и админов и мониторить сеть - а именно: все IP-адреса контроллеров домена должны быть в белых списках IPS\IDS и если пойдут запросы типа DSGetNCChange не из белого списка - привет аларм.
4. Вот тут хороший и подробный разбор примера атаки, обязательно почитайте !
5. Кстати атака DCsync открывает путь к двум другим атакам: silver tickets и golden tickets ))))
👍6😱5
Сегодня вечером за BINарщину пояснит старая, добрая, но свежая IDA PRO 7.7
Бонусом в комплекте SDK tools
Бонусом в комплекте SDK tools
RedTeam сборник рецептов.
В составе:
01: OSINT
02: Облачная разведка
03: Пассивный сбор данных
04: Атаки на Windows
05: Web App
06: Phishing
07: Password Spray
08: Cobalt Strike (
09: Работа с проксями
10: Post-Exploitation !!!
11: Offensive C# (
12: Exploit Dev (жир жирок)
13:......и много чего еще, забираем тут
В составе:
01: OSINT
02: Облачная разведка
03: Пассивный сбор данных
04: Атаки на Windows
05: Web App
06: Phishing
07: Password Spray
08: Cobalt Strike (
куда ж без него) 09: Работа с проксями
10: Post-Exploitation !!!
11: Offensive C# (
прости господи)12: Exploit Dev (жир жирок)
13:......и много чего еще, забираем тут
👍9🔥4
CloudSploit
Это такой openSource проект, заточенный для пробива облачных платформ:
01:
ТЫЦ
Это такой openSource проект, заточенный для пробива облачных платформ:
01:
Amazon Web Services
02: Microsoft Azure
03: Google Cloud Platform
04: Oracle Cloud Infrastructure
05: GitHub
содержит в себе сценарии для детекта кривых конфигураций, типичных ошибок и угроз безопасности. Расширяется плагинами. Умеет и в докер и в selfHost. В комплекте модная методичка, в которой по пунктам расписано что и зачем.ТЫЦ
👍6🔥1
Xenomorph00: Знаменитый Ридли Скотт хотел запилить кино, но запилил троян, так то !
01: Это свежий (в поле зрения аверов попал в феврале 2022 года) банковский android троян, корни свои берет у другого банкера ALien (раздавали в конце 2021 года за 500 $, ныне исходники тихо лежат на гите).
02: Среда распространения Google Play.
03: Успел пошатать 56 банков.
04: В целом пока находится в зачаточном состоянии, НО - потенциал огромен.
05: Рекомендую почитать полное описание троянца и глянуть ВИДЕО его работы !
00: Свежая RCE в Windows 🎃🎃🎃
01: CVE-2022-21971
02: затронуты:
—- windows10
—-windows 11
—-win srv 19
—-win srv 22
POC exploit уже присутствует
😎😎😎
01: CVE-2022-21971
02: затронуты:
—- windows10
—-windows 11
—-win srv 19
—-win srv 22
POC exploit уже присутствует
😎😎😎
👍4
⚡️RaidForum⚡️
Знаменитый форум по сливу баз\паролей\программ\доступов\ и в целом инфы был взломан минимум 3 дня назад. Сейчас по адресу raidforums.com висит клон !!! (возможно собирает учетки)
Модератор сообщил что новый сайт готовят к работе по адресу https://rf.to/
Будьте внимательны !!!
Знаменитый форум по сливу баз\паролей\программ\доступов\ и в целом инфы был взломан минимум 3 дня назад. Сейчас по адресу raidforums.com висит клон !!! (возможно собирает учетки)
Модератор сообщил что новый сайт готовят к работе по адресу https://rf.to/
Будьте внимательны !!!
👍10
нужна обновленная версия Acunetix ? (ver 14.6.220117111)
Anonymous Poll
63%
Да
5%
Нет
32%
Мимо проходил
👍7
У нас тут появилась Саша, Саша будет немного админить канал и иногда отвечать на вопросы.
не обижайте Сашу, а то она подломит вам сервер)))
не обижайте Сашу, а то она подломит вам сервер)))
Telegram
@evil_byte
Owner: @Pozdech
👍11🔥4
Поговорим немного про
А именно о том, как сделать снапшот AD/LDAP и спокойно пойти в бар, разглядывая с ноута что там в этой АДэ попивая пиво, не отсвечивая в сети перед админами и всякими IDS\IPS.
active directory и LDAP ?А именно о том, как сделать снапшот AD/LDAP и спокойно пойти в бар, разглядывая с ноута что там в этой АДэ попивая пиво, не отсвечивая в сети перед админами и всякими IDS\IPS.
🔥32
Способ относится к разряду пост-эксплуатации, когда на уже есть доступ к атакуемому домену. Именно поэтому это будет полезно
- нам понадобится тулза ADExplorerSnapshot.py с ее помощью можно подключаться к контроллеру домена и смотреть "а чо там у LDAP", НО, мы вроде в бар собрались под пиво все это смотреть, поэтому у тулзы есть функция снапшота. Этой же тулзой перегоняем снимки в JSON формат.
- Тут в дело вступает вторая тулза BloodHound , именно для него мы готовили JSON.
BloodHound - это веб-приложение, передавая на него сграбленный json можно доооолго разглядывать сложные взаимосвязи и хитросплетения в AD/LDAP запивая нефильтрованным, именно из таких графов выявляются НЕочевидные связи AD, на основе которых строятся атаки red тимеров, а blue тимы могут строить защиты.
- Кстати, BloodHound есть в докере.
😜
админам и red\blue team.- нам понадобится тулза ADExplorerSnapshot.py с ее помощью можно подключаться к контроллеру домена и смотреть "а чо там у LDAP", НО, мы вроде в бар собрались под пиво все это смотреть, поэтому у тулзы есть функция снапшота. Этой же тулзой перегоняем снимки в JSON формат.
- Тут в дело вступает вторая тулза BloodHound , именно для него мы готовили JSON.
BloodHound - это веб-приложение, передавая на него сграбленный json можно доооолго разглядывать сложные взаимосвязи и хитросплетения в AD/LDAP запивая нефильтрованным, именно из таких графов выявляются НЕочевидные связи AD, на основе которых строятся атаки red тимеров, а blue тимы могут строить защиты.
- Кстати, BloodHound есть в докере.
😜
👍7😱2
Все уже наверно слышали новость что у Nvidia была утечка по мимо всего были слиты 71 тыр акков сотрудников компании.
Сегодня эти аккаунты (часть) попали в паблик.
Сегодня эти аккаунты (часть) попали в паблик.
😱5👍1
Ребята из LAPSUS$ которые отломали компанию NVIDIA, так же отломала Samsung.
Иииии слили около 190 гигов данных, в которых:
01 Исходники разных продуктов Samsung
02 Механизмы аутентификации
03 Загрузчики
04 Сервера активации
05 Knox (система защиты моб. устройств)
06 API и Online сервисы
07 Проприетарные компонетнты от Qualcomm
08 Коды всех TA-апплетов (Trusted Applet) , коды управления ключами, модулеи DRM
09 Компоненты для обеспечения биометрической идентификации
Все это дело ливанули в торрент )
🎃🎃🎃
Иииии слили около 190 гигов данных, в которых:
01 Исходники разных продуктов Samsung
02 Механизмы аутентификации
03 Загрузчики
04 Сервера активации
05 Knox (система защиты моб. устройств)
06 API и Online сервисы
07 Проприетарные компонетнты от Qualcomm
08 Коды всех TA-апплетов (Trusted Applet) , коды управления ключами, модулеи DRM
09 Компоненты для обеспечения биометрической идентификации
Все это дело ливанули в торрент )
🎃🎃🎃
🔥16👍5