Pull to refresh

Comments 17

Спасибо за пост!

Есть вопрос. Вы писали:
Взаимодействие с серверной частью Cobalt Strike происходит посредством создания скрытых каналов с использованием протоколов DNS, HTTP, HTTPS для предотвращения обнаружения сетевого взаимодействия с помощью стандартных систем IDS/IPS.

На хостах с доступом в интернет запускалась версия Beacon, которая устанавливала соединение с удаленным сервером управления по скрытому каналу. Для предотвращения обнаружения такого сетевого взаимодействия с помощью стандартных систем IDS/IPS использовались протоколы DNS, HTTP, HTTPS.

Можно поподробнее рассказать что из себя представляет скрытый канал?|
Это просто нестандартное использование DNS и HTTP трафика?
Или что-то более умное? Стеганография?..
Используется DNS туннелирование с периодом ожидания, инкапсулированный траффик шифруется — при отправки информации с зараженных машин в логах просто периодически возникают DNS запросы «длинных» случайных поддоменов.
tcp трафик поверх dns — например утилита dns2tcp
5. Полученный зашифрованный пароль расшифровывается с помощью ключа опубликованного на официальном сайте Microsoft MSDN.

Waaaat? Это вообще что? Как? У меня нет слов, всё действительно настолько плохо?
Ну, на самом деле надо еще постараться, чтобы настолько облегчить жизнь хакерам… Основные проблемы из-за ленивости администраторов.
UFO landed and left these words here

Ну, пароли зашифрованные с общеизвестным ключом пока еще не используются.

там нет контроллера доменов и нет такой магии


в банках все устроенно через одно место и там все должно быть безопасно и там такие драконевские меры безопасности на обычном компе, но при этом чуть чуть знаний и все эти заборы обходятся

Простите за «невтему», но не удержался…

Не только в банках устроено через одно место…
Московское Центральное Кольцо.


Офигенный детектив.
Фильм можно снять
У пользователей Firefox в вашей статье галочки в й съезжают.
Обычно это бывает после обработки текста на Мак.
Имейте в виду для следующих публикаций, пожалуйста.
Интересно, а через сколько лет все статьи #поибэ и собственно сами атаки будут начинаться не с вот этого:

«Cobalt проникает в банковскую сеть через рассылку фишинговых писем с эксплойтом или исполняемый файл в архиве с паролем. Для банков СНГ преступники отправляли вложения «Договор_хранения2016.zip» и «список документов.doc». Для иностранных — «The rules for European banks.doc» и «Bitcoin ATM’s.doc».
На получение полного доступа к контроллеру домена уходит от 10 минут до 1 недели.»

А с нормальных олдовых вещей в духе Митника или Батлера?

Т.е. в банках сидят целые ИБ-отделы, с 6-значными зарплатами, куча платного софта, а к ним всё равно проникают через старый добрый фишинг.
Чувствую, что никогда.
Работаю у одного из провайдера интернет услуг, а он в свою очередь с банком А.
Месяц назад пришла рассылка на всю корп.почту от банка Б, с ужасной версткой и ошибками в тексте. Внутри был word файл с шифравальшиком. Предупредили всех за 5 минут.
Через 15 минут звонок из бухгалтерии: «У нас тут ничего не работает». Занавес.
Подскажите пожалуйста как правильно декодировать пароль по Base64 и расшифровать пароль с помощью ключа? а то у меня не получается декодировать, я нашел у себя файл Groups.xml с паролем.

4. Для получения пароля в открытом виде атакующие декодируют пароль по Base64, получая строку вида 4e9906e8fcb66cc9faf49310620ffee8f496e806cc057990209b09a433b66c1b — это пароль, зашифрованный с помощью AES-256.
5. Полученный зашифрованный пароль расшифровывается с помощью ключа 4e9906e8fcb66cc9faf49310620ffee8f496e806cc057990209b09a433b66c1b, опубликованного на официальном сайте Microsoft MSDN.
Возможно, декодирование не получается из-за того, что строка пароля в вашем Groups.xml не кратна 4, следует добавить к ней символы "=". И декодировать следует в файл (обычные онлайн декодеры могут не подойти, нужно использовать Base64 to file или Base64 to Hex)
Only those users with full accounts are able to leave comments. Log in, please.