Fsecurity | HH

Сегодня я увидел в нескольких каналах информацию про атаку Targeted Timeroasting и очень вдохновился ею. В двух словах, что такое атака Timeroasting - Это атака, позволяющая получить хеш пароля машинной учетной записи. В целом, мы знаем, что это для нас бесполезно, т.к. пароль машины чаще всего очень длинный и сложный. Но есть сценарии, когда пароль все таки бывает простой и, в совокупности с атакой pre2k, можно построить интересный вектор. Об этом в своем блоге недавно писал @snovvcrash. Суть атаки Targeted Timeroasting немного в другом: если у нас есть права GenericWrite на объект пользователя, то мы можем превратить этого пользователя в компьютер (что?) и запросить хеш для него. Превратить пользователя в компьютер можно двумя простыми шагами: 1. Меняем userAccountControl на 4096 (UF_WORKSTATION_TRUST_ACCOUNT) 2. Переименовываем sAMAccountName в тоже имя, но со знаком $ на конце После этих действий сервис времени будет уверен, что это теперь компьютер и отдаст вам хеш. Хорошо, как можно это использовать? 1 Сценарий. У нас есть права Domain Admins и не хочется шуметь с помощью атаки DcSync, тогда можно запустить Targeted Timeroasting на всех пользователей и вы получите хеши учеток, которые потом надо будет еще сбрутать. 2 Сценарий. Захватили учетку HelpDesk. Чаще всего у этой учетки есть права GenericWrite на половину домена. CA в домене нет, значит не провести атаку Shadow Creds. Проведя атаки Targeted Kerberoasting или Targeted AsReproasting мы получим билеты, которые нет возможности побрутить по большим словарям. А с помощью атаки Targeted Timeroasting мы, во-первых, не сильно нашумим на SIEM (не факт, конечно), а во-вторых, получим хеши, которые можно перебирать с чудовещной скоростью. Остальные сценарии придумайте сами :) Свежий ресерч про эту атаку вы можете прочитать в блоге. Брутить хеши на hashcat можно так:

git clone https://github.com/hashcat/hashcat && cd hashcat
git checkout 5236f3bd7 && make
./hashcat -m31300

Для атаки Targeted Timeroasting был разработан PowerShell скрипт. Но сегодня я переписал атаку на Python и выложил у себя в репозитории: https://github.com/PShlyundin/TimeSync Назвал инструмент TimeSync, потому что мне эта атака очень напомнила классический DcSync.

Добрый день, уважаемые подписчики! В сегодняшней статье мы с Вами рассмотрим атаку на беспроводные сети Wi-Fi типа Evil Twin, осуществляемую через поддельный портал авторизации с целью похищения данных. Актуальность данного материала обусловлена недостаточным качеством документации по инструментам, таким как eaphammer, которые позволяют проводить подобные атаки. https://teletype.in/@giscyberteam/captive_portal #WiFi #SocialEngineering

🔗Ссылка: https://habr.com/ru/companies/bastion/articles/873850/

🔗Ссылка: https://habr.com/ru/articles/873672/

🔄🖼️ go-secdump v0.4.0 Инструмент для удалённого копирования 🏠 Windows секретов (SAM, LSA) без сохранения на диск Добавлено:

Added calculation of Kerberos AES Keys for the machine account password. Could be useful when NTLM auth is disabled

Пример: ./go-secdump --host DC01 --user Administrator --pass Password --local --sam --lsa --dcc2 Relay: ./go-secdump --host 192.168.0.100 -n --relay Основные опции:

--host <target>
-P, --port <port>
-d, --domain <domain>
-u, --user <username>
-p, --pass <pass>
-n, --no-pass
--hash <NT Hash>
--local
-k, --kerberos
--dc-ip
--target-ip
--aes-key
--dump
--sam
--lsa
--dcc2
--relay
--relay-port <port>

💻 Home 💻 Download #soft #golang #redteam #gosecdump ✈️ Pentest HaT

🔗Ссылка: https://opennet.ru/62594/

Наш Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

CVE-2024-12084 Rsync Переполнение буфера кучи: возникает из-за неправильной обработки длины контрольных сумм в демоне Rsync, что приводит к записи за пределами буфера. Затрагивает версии от 3.2.7 до < 3.4.0 и может привести к RCE. * POC

Когда читаешь свой старый отчет по пентесту

🔗Ссылка: https://habr.com/ru/companies/oleg-bunin/articles/875114/

🔗Ссылка: https://opennet.ru/62593/

🔗Ссылка: https://www.securitylab.ru/news/555598.php

Закинул на ОРДУ материал по безопасности агентов. Хотя там не только речь про сами угрозы, но и про кейсы применения агентов в ИБ. https://cyberorda.com/llm_agent_security/ Жду ваших репостов ! Предложения по наполнению можно написать в ISSUE. А ещё вы можете посмотреть на орде про MlSecOps и стандарты по AppSec.

🔗Ссылка: https://belkasoft.com/forensic-analysis-of-lnk-files

Наш Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗 Ссылка: https://www.securitylab.ru/news/555613.php

👨‍💻 Привет! Всё в порядке, мы живы. Начинаем вкатываться в новый год. Допустим у нас есть внешний сервер для проведения пентестов, редтимов и всего этого, и мы хотим его спрятать от посторонних глаз ботов и сок-аналитиков. Звучит просто, но что, если на сервере висит открытый порт? Как с ним быть? 1️⃣ Начну с пинга. По умолчанию популярные linux-дистрибутивы имеют службу, отвечающую за обработку ICMP-пакетов. Убрать это просто. Достаточно добавить правило блокировки пакетов в межсетевой экран

nft add rule inet filter input icmp type echo-request drop  

2️⃣ Порты. Нужно постоянно держать в голове, что 24/7 по нашему серверу бегают боты и сканеры. Для начала на всякий случай стоит добавить правила на дроп всех соединений. VPS-провайдеры любят вместе с дистрибутивом ставить какой-нибудь агент заббикса. В этом случае лучше написать правила на блокировку всего трафика и потом по мере необходимости добавлять белые списки:

# Очистка текущих правил 
sudo nft flush ruleset

# Создание таблицы и цепочек 
nft add table inet filter 
nft add chain inet filter input { type filter hook input priority 0; policy drop; } 
nft add chain inet filter output { type filter hook output priority 0; policy drop; } 
nft add chain inet filter forward { type filter hook forward priority 0; policy drop; }

# Исключение для lo  
nft add rule inet filter input iif lo accept 
nft add rule inet filter output oif lo accept

# Разрешение трафика для 22/tcp порта 
nft add rule inet filter input ct state established,related accept 
nft add rule inet filter output ct state established,related accept 
nft add rule inet filter input tcp dport 22 ct state new accept 
nft add rule inet filter output tcp sport 22 accept 
nft list ruleset > /etc/nftables.conf 
 

Для скрытия открытого порта достаточно переместить его на нестандартный (например, tcp/64022 вместо tcp/22). Это можно сделать, не изменяя конфигурацию сервиса, на котором открыт сокет:

nft add chain ip nat prerouting { type nat hook prerouting priority 0; } nft add chain ip nat postrouting { type nat hook postrouting priority 100; } 
nft add rule ip nat prerouting tcp dport 64022 dnat to :22

Или, если не хочется возится с правилами, можно использовать socat:

socat TCP-LISTEN:64022,fork TCP:localhost:22 

Но можно сделать еще лучше — фильтровать соединения от всех IP-адресов, которые не выполнили заданные условия. Я сделал для этого небольшой 🔗 PoC (гифка оттуда), использующий nftables для фильтрации и временной разблокировки конкретного адреса ко всем портам, если с него поступил HTTP-запрос. Есть также 🔗 похожее популярное решение . Таким образом боты и аналитики soc не смогут увидеть открытый порт, так как не придет TCP SYN+ACK пакет.

Да оплати ты ей уже корзину На российских маркетплейсах (названия вы сами знаете) начали всё чаще появляться уже зараженные вредоносами товары: USB-кабели, переходники, сетевые адаптеры, роутеры, устройства для умного дома. Про такого типа устройства мы с вами уже говорили в этом посте. Суть в том, что смышленые продавцы хотят получить прибыль не только с разницы между стоимостью закупки и продажи товара, но и с данных, которыми они смогут завладеть, если вы подключите их устройство в сеть или к своему смартфону. Ну а если вы это сделаете не только дома, а еще и в офисе, то вообще можете озолотить этих селлеров. К слову, такие инфицированные устройства для продавцов стоят на порядок дороже обычных (по понятным причинам), но и окупаемость у них мощнее, если они попадут в нужные руки. Для базовой защиты от такой угрозы стоит покупать технику только у проверенных продавцов и в магазинах с хорошей репутацией, но проблема в том, что это может быть атака через цепочку поставок, о которой может не знать даже добросовестный продавец. В общем, будьте осторожны так и живем. #Кибергигиена ⚡️ Пакет Безопасности | Чат | 🛍 Другие каналы

🔗Ссылка: https://www.securitylab.ru/news/555586.php