Используем YARA правила, чтобы отключить сборщик событий Windows

YARA-правила позволяют путем анализа некоторых статических данных определять аномалии хоть в памяти, хоть на диске. Например, если в лицухе у ехешника указан Benjamin DELPY, то что-то идет не так :D

Но мы можем внедрять собственные YARA-правила. Например, следующее:
rule disable { condition: true }

Это приведет к тому, что все события, поступающие в Windows Event Log Service будут им же и отброшены.

Для реализации такого необычного метода отключения логирования уже написан POC

От MS Exchange к компрометации домена AD

https://posts.specterops.io/pwned-by-the-mail-carrier-0750edfad43b

P.S. складывается ощущение, что статья неполная😅

#ad #pentest #redteam

Много же кто знаком с прекрасным проектом GOAD? Так вот из той же категории выпущена лаборатория SCCM. Качайте и играйтесь)))

https://mayfly277.github.io/posts/SCCM-LAB-part0x0/

#ad #lab #pentest

Ну и вот такой прикольный гайд по атакам AWS нашел))

https://rezaduty-1685945445294.hashnode.dev/attacking-aws

UPD: и ещё вот такую скинули

http://itsecwiki.org/index.php/Aws

#aws #cloud #pentest

Список DLL, которые использует группа Lazarus:

Missing DLL:
spoolsv.exe ➡️ ualapi.dll

Side-loaded:
mobsync.exe ➡️ propsys.dll
MDEServer.exe ➡️ winmde.dll
ComcastVNC.exe ➡️ version.dll
colorcpl.exe ➡️ colorui.dll
presentationhost.exe ➡️ mscoree.dll
CameraSettingsUIHost.exe ➡️ DUI70.dll
wsmprovhost.exe ➡️ mi.dll
SgrmLpac.exe ➡️ winhttp.dll
TieringEngineService.exe ➡️ ESENT.dll
WmiApSrv.exe ➡️ wbemcomn.dll
dfrgui.exe ➡️ SXSHARED.dll
SyncHost.exe ➡️ WinSync.dll
wmiprvse.exe ➡️ ncobjapi.dll
wmiprvse.exe ➡️ wbem\sspicli.dll
wmiprvse.exe ➡️ wbem\wmiclnt.dll
svchost.exe(IKEEXT) ➡️ wlbsctrl.dll

#apt #redteam #dllhijack #maldev

Подготовил исследование шелл-кода загрузчика Badger BRC4. В данной статье описаны алгоритм хэширования API, процесс расшифрования основной полезной нагрузки и конфигурации.

https://teletype.in/@threathunt_pedia/EBYsz4Z_DOU

Что нового: алгоритм хеширования схож с модулями CobaltStrike, используются низкоуровневые функции для обхода AV/EDR. В следующем меатериале разберу основную нагрузку DLL Badger BRC4.

#reverse #bruteratel

Качественный разбор, но жаль что версии 1.2.2. Если у кого есть свежая версия, или другая интересная малварь, кидайте админу того канала @rayhunt454. Говорит, что оформит разбор))

@Michaelzhm прислал статейку) Нового ничего нет, но если кто не знал про данную технику из категории Blind EDR, то вам понравится... Достигается путём изменения значения альтитуды минифильтра и перекрытия коллбэков EDR.

https://tierzerosecurity.co.nz/2024/03/27/blind-edr.html

#bypass #evasion #edr #redteam #maldev

😈 [ Zoro @Evi1cg ]

atexec-pro

🔗 https://github.com/ridter/atexec-pro
🔗 https://www.zcgonvh.com/post/Advanced_Windows_Task_Scheduler_Playbook-Part.3_from_RPC_to_lateral_movement.html

🐥 [ tweet ]

люблю такой креатив

Большая коллекция BOF'ов для работы с MSSQL

https://github.com/Tw1sm/SQL-BOF

#redteam #bof #cobaltstrike

Оставлю тут🫣, популярный дистрибутив все-таки....

UPD. Как я понял, не только Kali пострадала🤔

UPD2. Ещё и на Маках...

В этой заметке хочу рассказать про новую платформу Xintra - APT Emulation Labs, которая позиционируется как площадка для прокачки навыков IR against APT-level threats.
Я уже несколько раз писал про платформы для обучения и совершенствования навыков защитников, поэтому еще одна точно лишний не будет😎

➕На данный момент площадка представляет собой лабораторное окружение в веб-интерфейсе с 3 лабами имитирующими Incident Response кейсы по отработке различных навыков на примере атак APT-29🐻, APT-10🐼, AlphV (BlackCat)🐈‍⬛
➕ Каждая лаба состоит из 40-60 вопросов, на которые предстоит ответить при расследовании инцидента
➕ Со слов разработчиков на решение каждой лабы потребуется 30-40 часов для опытных аналитиков SOC и 60-70 часов для новичков

➖7 дневная триалка только после привязки карты
➖минимальная стоимость подписки - 45$/мес

Таким образом, платформ для прокачки навыков защитников становится больше и это радует👍 А если хочется сначала понять зайдет-не зайдет рекомендую посмотреть на бесплатную defbox.io

🏭 We've tested the new RCE in Microsoft Outlook (CVE-2024-21378) in a production environment and confirm it works well!

A brief instruction for red teams:

1. Compile our enhanced DLL;
2. Use NetSPI's ruler and wait!

No back connect required!

🔥 📐📏

#maldev #redteam

Инструмент для имитации поведения AV/EDR. Утилита позволяет оттачивать навыки обхода средств защиты при создании своих загрузчиков.

1. Собираем проект ./compile.sh
2. Создаём файл ioc.json с паттернами шелл-кода
3. Запускаем инструмент, указываем идентификатор вредоносного процесса: .\CrimsonEDRPanel.exe -d C:\Temp\CrimsonEDR.dll -p 1234

https://github.com/Helixo32/CrimsonEDR

CVE-2024-21338: Windows Admin-to-Kernel LPE

Уязвимы Windows 10 & 11

PoC: https://github.com/hakaioffsec/CVE-2024-21338

Blog: https://hakaisecurity.io/cve-2024-21338-from-admin-to-kernel-through-token-manipulation-and-windows-kernel-exploitation/research-blog/

#lpe #windows #exploit #redteam

Ну это прям реально полный гайд по Bloodhound CE. Для тех, кто ещё старым пользуется.

https://m4lwhere.medium.com/the-ultimate-guide-for-bloodhound-community-edition-bhce-80b574595acf

#pentest #enum #bloodhound

Ой, красота))) Получить данные из LSA без дампа LSASS.

Tool: https://github.com/EvanMcBroom/lsa-whisperer

Blog: https://posts.specterops.io/lsa-whisperer-20874277ea3b

#redteam #pentest #creds #dump

Windows Admin to Kernel (KSecDD driver)

https://github.com/floesen/KExecDD

#lpe #kernel #redteam