https://youtu.be/cB0_-qKbal4?si=UVjjsJ4JqsG8pjio

@Netzwerksicherheit

C:\Windows\System32\drivers\etc\hosts

Das Aktivieren des Schreibschutzes für die Hosts-Datei ist aus folgenden Gründen sinnvoll:

1. Schutz vor Malware und unerwünschten Änderungen: Manche Malware oder schädliche Software versucht, die Hosts-Datei zu manipulieren, um den Datenverkehr umzuleiten (z. B. auf Phishing-Seiten oder Server, die der Angreifer kontrolliert). Der Schreibschutz verhindert, dass solche Programme die Datei ohne Ihre Erlaubnis ändern können.

2. Vermeidung von versehentlichen Änderungen: Wenn die Hosts-Datei für bestimmte Netzwerk- oder Entwicklungszwecke angepasst wurde, kann es sinnvoll sein, diese vor versehentlichen Änderungen zu schützen. Das Aktivieren des Schreibschutzes stellt sicher, dass die Datei nicht versehentlich editiert oder gelöscht wird.

### Wie aktiviert man den Schreibschutz?

1. Navigieren Sie zu C:\Windows\System32\drivers\etc\hosts.
2. Klicken Sie mit der rechten Maustaste auf die Datei hosts und wählen Sie Eigenschaften.
3. Im Reiter Allgemein setzen Sie ein Häkchen bei Schreibgeschützt.
4. Klicken Sie auf Übernehmen und dann auf OK.

Um später Änderungen an der Datei vorzunehmen, müssen Sie den Schreibschutz temporär aufheben, indem Sie das Häkchen wieder entfernen.

@Netzwerksicherheit

Eine kurze Erklärung von EMC-Angriffen (Electromagnetic Compatibility) auf CPUs für Laien:

EMC-Angriffe nutzen die elektromagnetischen Felder aus, die von elektronischen Geräten wie CPUs erzeugt werden. Diese elektromagnetischen Felder können unbeabsichtigt Informationen übertragen, die dann von Angreifern abgehört werden können.

Bei einem EMC-Angriff auf eine CPU versuchen Hacker, diese elektromagnetischen Felder abzuhören, um an vertrauliche Informationen zu gelangen, die die CPU verarbeitet. Das können zum Beispiel Passwörter, Kreditkartennummern oder andere sensible Daten sein.

Die Reichweite für solche Angriffe ist jedoch begrenzt. In der Regel funktionieren EMC-Angriffe nur über sehr kurze Distanzen von wenigen Zentimetern bis maximal wenigen Metern. Außerdem hängt die Reichweite stark vom verwendeten Messaufbau und der Qualität der Abschirmung des Zielsystems ab.

Je weiter man sich vom Zielgerät entfernt, desto schwächer werden die übertragenen elektromagnetischen Felder und desto schwieriger wird es für die Angreifer, die relevanten Informationen abzuhören. Deshalb sind EMC-Angriffe in der Praxis auf sehr begrenzte räumliche Reichweiten beschränkt.

@Netzwersicherheit

Ein Beispiel Script gegen CoboltStrike und ähnliche die C2 Angriffe "CommandControl" nutzen, (bitte anpassen!)

```
# C2 Lockdown Script for Windows Server 2019
# This script will block outbound network traffic to suspicious domains and IPs, disable potentially abused services,
# and implement basic security hardening.

# 1. Block outbound traffic to known malicious IPs/domains using Windows Firewall
$maliciousIPs = @(
"192.168.1.100",
"203.0.113.5"
# Add more known C2 IPs here
)

$maliciousDomains = @(
"maliciousdomain.com",
"badserver.net"
# Add more known C2 domains here
)

# Block known malicious IPs
foreach ($ip in $maliciousIPs) {
New-NetFirewallRule -DisplayName "Block Malicious IP $ip" -Direction Outbound -RemoteAddress $ip -Action Block
}

# Block known malicious domains (via DNS blocking)
foreach ($domain in $maliciousDomains) {
$domainIPs = [System.Net.Dns]::GetHostAddresses($domain)
foreach ($ip in $domainIPs) {
New-NetFirewallRule -DisplayName "Block Malicious Domain $domain" -Direction Outbound -RemoteAddress $ip.IPAddressToString -Action Block
}
}

# 2. Disable unused or potentially vulnerable services
$servicesToDisable = @(
"WinRM", # Windows Remote Management (can be abused)
"PSRemoting", # PowerShell Remoting
"RemoteRegistry" # Remote Registry Service
)

foreach ($service in $servicesToDisable) {
Stop-Service -Name $service -Force
Set-Service -Name $service -StartupType Disabled
}

# 3. Enable basic Windows Defender features and update signatures
Write-Output "Enabling Windows Defender and updating signatures..."
Set-MpPreference -DisableRealtimeMonitoring $false
Update-MpSignature

# Enable attack surface reduction rules (requires Windows Defender ATP)
Write-Output "Enabling attack surface reduction rules..."
Set-MpPreference -AttackSurfaceReductionRules_Actions Enabled

# 4. Disable execution of scripts from untrusted sources (Constrained Language Mode)
Write-Output "Enforcing Constrained Language Mode..."
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope LocalMachine -Force

# 5. Set up logging for unusual activities
Write-Output "Setting up enhanced logging..."
# Enable script block logging
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1 -Force

# Enable module logging
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging" -Name "EnableModuleLogging" -Value 1 -Force

# Enable transcripting
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription" -Name "EnableTranscripting" -Value 1 -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription" -Name "IncludeInvocationHeader" -Value 1 -Force

# 6. Alert administrators
$adminEmails = @("[email protected]", "[email protected]")
$subject = "C2 Lockdown Activated on Server $(hostname)"
$body = "The C2 Lockdown script has been executed on server $(hostname) at $(Get-Date). Please review the server's security settings and logs for any signs of compromise."
foreach ($email in $adminEmails) {
Send-MailMessage -To $email -From "[email protected]" -Subject $subject -Body $body -SmtpServer "smtp.domain.com"
}

Write-Output "C2 Lockdown script executed successfully."

# End of Script
```

@Netzwerksicherheit

#C2-Block #IT-SEC #Powershell

Ich möchte an ALLE einen Hinweis geben
dass wir hier vor ner zerschossenen Wirtschaft (irreparabel) stehen, wenn WIR nicht ins Tun
kommen

und mit neuen technischen Möglichkeiten
ohne "Herrschende" zu Recht kommen

Stichwort Blockchain
Book: Power To The Peoplei

https://www.redpacketsecurity.com/cisa-snowflake-recommends-customers-take-steps-to-prevent-unauthorized-access-03-06-2024/ @Netzwerksicherheit