[Перевод] Targeted Timeroasting: Кража пользовательских хешей с помощью NTP
В компании Avanpost мы занимаемся разработкой собственной службы каталогов Avanpost DS. Она плотно интегрируется с Microsoft Active Directory для обеспечения долговременного сосуществования инфраструктур: поддерживает различные виды доверительных отношений, включая двусторонние, специфичные...
Firewall не спасёт
Сгенерировано с помощью GIGA-CHAT Межсетевые экраны издревле применяются для блокирования входящего трафика нежелательных приложений. Обычно для этого создаются правила фильтрации, разрешающие входящий трафик по явно указанным сетевым портам и запрещающие весь остальной. При этом легитимные...
[Перевод] Крадем учетные данные Windows
В этой статье мы разберем различные сценарии получения паролей в системе Windows. Metasploit Metasploit поставляется со встроенным модулем, который помогает нам провести атаку на получение учетных данных пользователя в открытом виде. Поскольку это модуль после эксплуатации, его просто нужно связать...
Атака с помощью нового Mythic-агента на PowerShell — «QwakMyAgent»
Во второй половине сентября 2024 года специалистами Центра Кибербезопасности компании F.A.C.C.T. была выявлена атака на российскую компанию с использованием ранее необнаруженного Mythic агента, написанного на PowerShell. К исследованию новой атаки подключились также специалисты F.A.C.C.T. Threat...
Использование Windows Credential Manager для безопасности PowerShell
Скрипты Powershell в большинстве случаев используются для автоматизации выполнения определенных задач, и зачастую для их выполнения необходимо указывать определенные учетные данные, часто с повышенными правами. Для интерактивных сценариев это не проблема, поскольку при необходимости они могут...
[Перевод] Pivot to the Clouds: Кража cookie в 2024 году
Недавно Google опубликовала блог об обнаружении кражи данных из браузера с помощью журналов событий Windows. В этом посте есть несколько полезных советов для защитников о том, как обнаружить неправомерное использование вызовов DPAPI, пытающихся захватить конфиденциальные данные браузера. Изучить...
Проведение фишинг-учений с использованием вредоносных ссылок и HTML-приложений. Часть 1
Многим угрозам можно противопоставить технические средства защиты информации (СЗИ): как базовые, так и системные решения. Но сколько бы ни стоило СЗИ, и сколько бы ни знал о устройстве инфраструктуры специалист, главной головной болью все равно остается человеческий фактор. Прежде всего —...
Любовь в каждой атаке: как группировка TA558 заражает жертв вредоносами с помощью стеганографии
Приветствую! И снова в эфир врывается Александр Бадаев из отдела исследования киберугроз PT Expert Security Center. Но на этот раз мы работали в паре с Ксенией Наумовой, специалистом отдела обнаружения вредоносного ПО, недавно рассказывавшей читателям Хабра о трояне SafeRAT. Пришли к вам с новым...
AMSI bypass — От истоков к Windows 11
В одной из наших предыдущих статей (советую ознакомиться) мы рассматривали типовые механизмов защиты для операционных систем семейства Windows. В главе AMSI Bypass кратко рассмотрели принцип работы библиотеки и почему обход amsi.dll является одним из самых популярных среди злоумышленников. Сегодня...
Конструируем нейронную сеть для выявления вредоносного кода PowerShell
Технологии машинного обучения все стремительней входят в нашу жизнь и находят применение в различных сферах деятельности. В медицине развивается диагностика различных заболеваний и методов лечения. В автомобильной промышленности машинное обучение успешно применяется в сервисах для помощи водителю и...
[recovery mode] Аудит событий безопасности ОС Windows. Часть 1. Настройки аудита
Журналирование событий информационной безопасности является важным элементом системы защиты информации. Нам необходимо знать какое событие когда произошло, когда какой пользователь пытался зайти в систему, с какого узла, удачно или нет, и так далее. Конечно, некоторые события ИБ сохраняются в...
Как угнать данные за 15 минут
Привет, Хабр! Осенью состоялась десятая, юбилейная кибербитва Standoff. Три дня десять команд этичных хакеров со всего мира пытались ограбить банк, нарушить работу нефтегазовой отрасли и транспорта или реализовать другие недопустимые события в виртуальном Государстве F, построенном на настоящих...
PowerShell и LiveJournal (ЖЖ): три способа аутентификации
Я изучаю сетевое взаимодействие по протоколу HTTP(S). Мне было интересно попробовать связаться с «Живым Журналом» (он же «LiveJournal» или «ЖЖ») из программы-оболочки «PowerShell» и получить от этого веб-сервиса какие-нибудь данные. В статье описаны подходы к началу работы с ЖЖ из программы через...
BloodHound: групповые политики и локальный администратор
BloodHound — это популярный инструмент, который используется для сбора и анализа данных во время проведения пентеста внутренней инфраструктуры на базе Active Directory. Этот инструмент позволяет визуализировать некорректные настройки объектов Active Directory и строить цепочки атак. Основная...
Windows 10, PowerShell: файл сертификата открытого ключа (X.509) изнутри
Немного о том, как устроено в «Windows 10» хранение сертификатов открытого ключа, а также о том, как можно просматривать хранилища сертификатов и свойства отдельных сертификатов. В двух словах рассказано о том, какие инструменты можно использовать для работы с сертификатами открытого ключа, в...
[Перевод] Бесплатные сетевые IP-сканеры
В локальной сети (LAN) обычно есть множество обменивающихся данными хостов. Сканирование сетей при помощи IP-сканера позволяет отделам ИТ, сетевым администраторам и службам безопасности следить, какие IP обмениваются данными и какие типы устройств занимают IP-адреса. Также это помогает выявлять...
Расширение списка ACE для BloodHound
BloodHound – это популярный инструмент для сбора и анализа данных при проведении пентеста внутренней инфраструктуры на базе Active Directory. Этот инструмент позволяет визуализировать некорректные настройки объектов AD и строить цепочки атак. Основная его особенность — использование теории графов...
Как подружить openssl и powershell, или подпись на основе RSA для самых маленьких
В один прекрасный день наш сертификат подписи кода протух. Ну протух и протух, случается. У нас же есть новый сертификат! Щас переподпишем, и всё заработает! А вот и нет. У нового сертификата - новая цепочка доверия, а владельцы системы куда мы ставимся не настроены устанавливать сертификаты от (в...
Назад