Fsecurity | HH

Закрепляю версию: AdaptixC2 v0.9 Что нового: https://adaptix-framework.gitbook.io/adaptix-framework/changelog-and-updates/v0.8-greater-than-v0.9

🔗Ссылка: https://habr.com/ru/articles/949518/

Как убить службу AV/EDR не прибегая к symlink и сторонним драйверам в Windows

Статья име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по безопас­ности, про­водя­щих тес­тирова­ние в рам­ках кон­трак­та. Автор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции. Рас­простра­нение вре­донос­ных прог­рамм, наруше­ние работы сис­тем и наруше­ние тай­ны перепис­ки прес­леду­ются по закону.

Как показал кейс с использованием Procmon и аналогичных утилит, ключевая идея состоит в поиске драйвера, который фиксирует события на самых ранних этапах загрузки операционной системы. Возникает естественный вопрос: можно ли обойтись без установки собственных драйверов и дополнительных компонентов, опираясь только на доступные в системе механизмы и не прибегая к символическим ссылкам. А что, если немножечко изменить те пути куда уже пишутся какие то логи самой системой? И тут есть отличная веточка реестра HKLM\SYSTEM\CurrentControlSet\Control\WMI в которой существуют AutoLogger и GlobalLogger. WMI AutoLogger - способ настраивать одну или несколько автосессий трассировки, которые стартуют при загрузке. В отличие от GlobalLogger, каждая AutoLogger-сессия самостоятельно рассылает провайдерам сигнал включения и может быть точно настроена под нужный набор провайдеров. AutoLogger не предназначен для записи специальных событий ядра NT Kernel Logger - для этого используется GlobalLogger. WMI GlobalLogger - исторически более ранний механизм единственной глобальной сессии. Он также стартует на раннем этапе загрузки и может включать ядровые провайдеры через специальные флаги. Важно, что контроллер GlobalLogger не вызывает EnableTrace для провайдеров - провайдер сам должен определить, что глобальная сессия активна, и включить запись. В AutoLogger уже есть достаточное количество различных сессий, можете тестировать разные (какие то работают, какие-то нет). В моем случае использовалась HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ReadyBoot, где можно заменить путь указанный в FileName на путь к файлу службы, который хотим перезаписать. Для GlobalLogger по умолчанию у меня не было никаких настроек, но можно добавить их самостоятельно:

$reg  = [wmiclass]'root\default:StdRegProv'
$HKLM = 2147483650
$base = 'SYSTEM\CurrentControlSet\Control\WMI\GlobalLogger'
$null = $reg.CreateKey($HKLM,$base)
$reg.SetDWORDValue($HKLM,$base,'Start',1)
$reg.SetStringValue($HKLM,$base,'FileName','C:\<путь до файла службы который требуется перезаписать>.exe')
$flags = 0x00000010 -bor 0x00000020
$bytes = [BitConverter]::GetBytes([UInt32]$flags)
$reg.SetBinaryValue($HKLM,$base,'EnableKernelFlags',$bytes)

Из минусов только наличие прав админа и перезагрузка хоста, но в целом выглядит жизнеспособно.

🔗Ссылка: https://www.yeswehack.com/learn-bug-bounty/ultimate-guide-race-condition-vulnerabilities

Hunting C2 Panels: Beginner’s Guide for Identifying Command and Control Dashboards Открытые панели управления и контроля (C2) представляют собой активные информационные панели, используемые злоумышленниками для проведения своих кампаний. Они предоставляют операторам централизованную точку для наблюдения за зараженными устройствами, перемещения украденных данных и отправки новых инструкций. На практике эти панели работают как центры управления операцией. Через простой веб-интерфейс злоумышленники могут видеть жертв, собирать информацию, такую как местоположение или системные данные, собирать учётные данные или криптовалютные кошельки, а также распространять новые вредоносные нагрузки. Подобные панели являются стандартным компонентом современных семейств вредоносных программ В этом руководстве рассматриваются некоторые из наиболее распространённых сегодня в интернете панелей: Supershell, HookBot, Chaos RAT, UnamWebPanel, Metasploit и Mythic. У каждой из них есть характерные особенности, которые её выдают: URL-адрес, заголовок, хэш значка сайта или даже ссылка на код. Умение распознавать эти подсказки облегчает отслеживание инфраструктуры злоумышленников и блокировку до того, как они будут использованы не по назначению. 🫆https://hunt.io/blog/hunting-c2-panels-beginners-guide 🦔THF

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗 Ссылка: https://bash-prompt-generator.org/

🔗Ссылка: https://habr.com/ru/post/650889/

🔗Ссылка: https://iz.ru/1960462/moshenniki-stali-rassylat-vredonosnye-faily-pod-vidom-pravok-izi

Пока нет контента от меня 🤫 Хочу сообщить вам о ролике с Latte на канале у it Roy 🔗 Ссылка: https://www.youtube.com/watch?v=KG5z_9pB6eE Приятного просмотра 🍷👾

🔗Ссылка: https://opennet.ru/63959/

🔗Ссылка: https://www.securitylab.ru/news/563876.php

Возможно кто то из вас скажет "так есть же portspoof". Действительно, но есть у него один маленький изъян - он уж слишком рандомный и каждый раз на одном и том же порту иммитирует новый сервис, что уже не правдоподобно и может быть вычислено. И вот как кстати можно обойти portspoof: достаточно два раза сделать nmap -sV, где баннеры не совпали там подделка, где совпали - истинный сервис. Разумеется такой недочёт исправлен в моем скрипте.

Надоело что ваш периметр постоянно сканируют nmap? Как на счет сделать все порты открытыми? Сделать это можно буквально в пару команд:

iptables -t nat -A PRETOUTING -i eth0 -p tcp --dport 22 -j REDIRECT --to-ports 22
iptables -t nat -A PREROUTING -i eth0 -p tcp -m conntrack --ctstate NEW -j REDIRECT --to-ports 1234
while sleep 1; do nc -nv -lp 1234; done

А коммерческие фаерволы умеют это из коробки. Но я предлагаю пойти дальше - иммитировать случайный сервис на каждом псевдо-открытом порту. Мой ещё один скрипт из defence-коллекции (https://github.com/s0i37/defence/blob/main/services.py) прекрасно справляется с этим. Он использует туже самую базу фингерпринтов nmap для иммитации сервиса (nmap-service-probes), но на этот раз использует ответы. И как теперь среди этого найти настоящие сервисы?

🔗Ссылка: https://habr.com/ru/articles/947178/

🔗Ссылка: https://habr.com/ru/companies/bastion/articles/937210/

#tools ADKAVEH 💻 ADKAVEH – Active Directory Enumeration & Attack Framework. Инструмент обладает следующим функционалом: перечисление объектов домена, симуляция небольшого количества атак.

🔗Ссылка: https://habr.com/ru/companies/piter/articles/949634/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈