Fsecurity | HH

🔗Ссылка: https://www.securitylab.ru/news/559086.php

Yara Yara Daze Всем, кто занимается malware analysis, точно знаком такой инструмент, как YARA 😉. С помощью него во многих компаниях 🔴 составляют наборы сигнатурных правил для определения и классификации вредоносов. 🤔 So, что такое хорошие YARA-правила? Это правила, которые могут детектировать предназначенный им класс или семейство ВПО, не детектируют ничего лишнего (false positive) и способны сохранять актуальность, даже если ВПО подвергается небольшим изменениям. 😏 Нет общего совета, как сделать хорошее YARA-правило — это зависит от сампла к самплу. Мы поделимся некоторыми Tips&Tricks про детект строк, которые будут полезны начинающим: 🔹 Не стоит забывать fullword — этот модификатор на строки гарантирует, что сигнатурная строка не будет находиться между буквенно-цифровыми символами (осторожнее с golang). 🔹 filesize выручает в тех случаях, когда сампл маленький и кроме общих сигнатур в нем ничего нет:

   rule CustomSocksProxy {
      strings:
          $a_1 = "SOCKS5 Proxy listening" wide
          $a_2 = "New connection from" wide
      condition:
          uint16(0) == 0x5a4d and filesize < 100KB and all of ($a_*)
  }

🔹 Лучше избегать сигнатур длиной в 3-4 символа. 🔹 Иногда очень полезно прописывать условие расстояния между строками. Например, если в файле есть какие-нибудь white- / blacklist, как имена процессов, можно ограничить их расположение в окне конкретной длины:

rule CheckProcessList {
      strings:
          $base = "\\system32\\cmd.exe" wide
          $str2 = "\\task.exe" wide
          $str3 = "cmd.exe" wide
          $str4 = "\\alg.exe" wide
          $str5 = "powershell.exe" wide
      condition:
      for all of ($str*): (@ - @base < 100) and for all of ($str*): (@base - @ < 100)
  }

🔹 Строки логирования лучше не разбивать на подстроки длиной 4-5 символов, если там общие слова, которые могут встретиться в любом контексте: детект подстроки \\\\dc2 в строке \nUsing:\n\t session_enum.exe \\\\dc1 \\\\dc2 \n — плохой детект. 🔹 Чтобы детект строк пережил различные кодировки, чередование заглавных и строчных букв, можно использовать три модификатора wide ascii nocase:

   rule SomeAPTScript {
      strings:
          $a1 = "GetRef(" ascii wide
          $a2 = " & ChrW(\"&H\" &" ascii wide
          $a3 = "Mid(" ascii wide
          $a4 = "Join(" ascii wide
          $a5 = "=0 Step -2" ascii wide
          $a6 = "Function [" ascii wide
          $a7 = "MSXML2.ServerXMLHTTP" ascii wide
          $v1 = "<Script " ascii nocase wide
          $v2 = "VBSCript" ascii nocase wide
          $v3 = "JSCript" ascii nocase wide
          $wscript = "WScript.CreateObject(\"WScript.Shell\")" ascii nocase wide
      condition:
          filesize < 30KB and $wscript and 2 of ($v*) and 5 of ($a*)
  }

И, конечно, главное — не забывать смотреть в документацию YARA 👀, следить за обновлениями и подсматривать на рули коллег. Успехов в работе. #tips #malware #YARA @ptescalator

BYOI Обход SentinelOne через инсталлятор 🤩

EDR Bypass / Ransomware Deployment Toolset: Legit MSI installer + taskkill Targeted EDR: SentinelOne (v23.4.x) Used Malware: Babuk (variant)

Кратко:

Исследователи Stroz Friedberg (Aon) описали технику

Bring Your Own Installer (BYOI)

: злоумышленник с правами администратора запускает

обновление или даунгрейд агента SentinelOne

, после чего

прерывает процесс установки (msiexec.exe)

до появления новых процессов. В результате — агент SentinelOne

не работает, не защищает, не виден в консоли

.

Форензика:

•

SentinelOne%4Operational.evtx

EventID 1: смены версий EventID 93:

unload

•

Application.evtx

: EventID 1042 (

MsiInstaller exited

) • Агент пропадает из консоли SentinelOne • Babuk разворачивается без помех

😾

Detection Tips 🔎: • Мониторинг резких смен версий SentinelOne • Аномалии в работе msiexec.exe • Уход агента в оффлайн в консоли SentinelOne Mitigation: Включить Online Authorization в Policy — запрещает локальные обновления без консоли. 🔗 https://www.aon.com/en/insights/cyber-labs/bring-your-own-installer-bypassing-sentinelone 🦔 THF

🔗Ссылка: https://habr.com/ru/articles/55700/

🤘 Сегодня под микроскопом интересный кейс повышения привилегий. 💡 В Acronis True Image 2021 была обнаружена уязвимость DLL Hijacking в компоненте «Rescue Media Builder» (MediaBuilder.exe). Суть в том, что приложение при запуске пыталось подгрузить библиотеку tcmalloc.dll, которой не было в стандартной поставке. 😈 Windows, в своем стремлении помочь, начинала искать эту DLL согласно Search Order, заглядывая в том числе и в директории из переменной PATH. Как вы понимаете, если в PATH есть папка, куда пользователь может писать (например, %USERPROFILE%\AppData\Local\Microsoft\WindowsApps), то туда можно было подложить свою зловредную tcmalloc.dll. 🚀 При запуске Rescue Media Builder, приложение цепляло подмененную DLL, и атакующий получал выполнение кода с правами администратора. Но это еще не все! Имея права админа, можно было провернуть трюк с schtasks.exe для создания и запуска задачи от имени NT AUTHORITY\SYSTEM, например:

> schtasks /create /SC WEEKLY /RU \"NT AUTHORITY\SYSTEM\" /TN EOP /TR C:\Windows\System32\winver.exe /IT /RL HIGHEST
> schtasks /run /I /TN EOP

И вот у нас уже полный контроль над системой! 💸 В итоге, любой локальный пользователь мог эскалировать свои привилегии до SYSTEM. Команда Acronis оперативно отреагировала на репорт от z3ron3, выпустила фикс и дала баунти в размере $250. 📖 Полный разбор этой уязвимости и рекомендации по защите читайте на нашем сайте: eh.su/reports/79

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://dzen.ru/a/Z__3nhy76z5EwQAx

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

😈 [ Alex Neff @al3x_n3ff ] A new module has been merged into NetExec: change-password🔥 Accounts with STATUS_PASSWORD_EXPIRED aren't a problem anymore, just reset their password. You can also abuse ForceChangePassword to reset another user's password. Made by @kriyosthearcane, @mehmetcanterman and me. 🐥 [ tweet ] вьетнамские флешбеки 5летней давности - https://snovvcra.sh/2020/10/31/pretending-to-be-smbpasswd-with-impacket.html

🔗Ссылка: https://infosecwriteups.com/google-cloud-account-takeover-via-url-parsing-confusion-c5e47389b7c7

🔗Ссылка: https://www.s0ld13r.kz/posts/wmihacker-2.0/

🔗Ссылка: https://snovvcra.sh/2020/10/31/pretending-to-be-smbpasswd-with-impacket.html

🔗Ссылка: https://opennet.ru/63181/

🔗Ссылка: https://github.com/geeksniper/active-directory-pentest

Задача для собеседования №1 Пока нет идей для постов, решил публиковать задачки для разминки мозгов. Посты будут называться «Задача для собеседования». Итак, первая задача. Во время сбора и анализа информации было обнаружено, что на рабочей станции W-434 запущена служба Web Client. Учетная запись компьютера W-434 может читать «пароль» от сервисной учетной записи GMSA$. Сервисная учетная GMSA$ запись входит в группу, которая позволяет читать атрибут LAPS для локального администратора на сервере SERVERHTTP. А сама учетная запись сервера настроена на неограниченное делегирование Kerberos. Дополнительное условие уровень домена – 2016. Задача получить привилегии доменного администратора в домене. Решение: Наличие запущенной службы Web Client разрешает выполнять технику NTLM Relay из HTTP в LDAP, а уровень домена 2016 позволяет использовать технику Shadow Credentials в качестве полезной нагрузки. Выполняем принудительную аутентификацию рабочей станции `W-434` и перенаправляем NTLM аутентификацию в LDAP для выполнения техники Shadow Credentials. Используем полученную пару открытого и закрытого ключа и получаем TGT билет для объекта компьютер `W-434`. В контексте учетной записи компьютера `W-434` получаем хэш пароля от сервисной учетной записи `GMSA$`. Выполнив технику Overpass-the-Hash, получаем возможность выполнять запросы к домену от имени сервисной учетной записи. Так как сервисная учетная запись `GMSA$` является членом группы `READ_LAPS`, получаем значение атрибута `ms-Mcs-AdmPwd` сервера `SERVERHTTP`, в котором содержится пароль от локального администратора. С помощью учетных данных локального администратора получаем доступ на сервер `SERVERHTTP`. Запускаем `Rubeus` в режиме монитора и выполняем принудительную аутентификацию контроллера домена, в качестве слушателя указываем сервер `SERVERHTTP`. Через несколько секунд получаем TGT билет контроллера домена. Выполняем технику Pass-the-Ticket и импортируем полученный билет контроллера домена. Теперь можем выполнить технику DCSync в контексте контроллера домена и получаем хэш пароля администратора домена. #Внутрянка #Задачи

🔗Ссылка: https://github.com/CyberAlbSecOP/Awesome_GPT_Super_Prompting

По следам подмены файлов при обновлении на vipnet клиентах (пост), про уязвимости dll hijacking захотелось написать. Что это и с чем это едят можно прочитать тут и просто в гугле. Проблемы с подменой dll есть не только у vipnet, проблемы у многих вендров поИБэ. Примеры на скринах с уязвимыми подписанными бинарями: Клиент VPN Код Безопасности, EDR агент Positive Technologies, антивирус Dr.Web...Ну и чтобы не кукарекали про Российское горе ИБ....checkpoint там же. Проблема намного больше чем кажется...

🔗Ссылка: https://opennet.ru/63182/

В "этих выших кобальтах" уже не хватает поставляемых BOF API, поэтому пойдем на опережение, и будем их вводить в AdaptixC2. Первое - это API AxAddScreenshot. Благодаря этому API, прекрасная работа ScreenshotBOF больше не сохраняет скрины на диск, а сразу закидывает на сервер, где фреймворк уже сам все обработает. Как показано на примере, в одном случае делаем скриншот всего экрана, а в другом достаем изображение окна определенного процесса (браузер хром), даже несмотря на то, что оно свёрнуто