User
Вы уже разобрали Silver и Golden Ticket? Это лишь прелюдия.
Diamond & Sapphire — последние «сокровища» в цепочке уязвимостей с билетами.
В статье рассмотрим:
✅ Эволюция атак: от серебра с золотом — к алмазам и сапфирам.
✅ Хакерский workflow: как создать "драгоценные" билеты.
✅ Противостояние: артефакты и детекторы на Sigma, чтобы ловить даже призрачные следы.
Silver Ticket — не просто атака, а теневая операция в сердце Active Directory.
❓Как злоумышленники подделывают билеты
❓Какие следы они оставляют
❓Какие инструменты они используют
❓Какие артефакты помогут обнаружить данную активность
✅В статье раскроем секреты этой атаки
Сегодня мы берем в работу горячие кейсы для блюшников с платформы Standoff (ивент УК Сити-2022).
В программе:
✅ Киллчейны — строим, как Лего, только вместо деталек— артефакты.
✅ SIEM-магия — учимся дружить с тулзой, которая видит всё, даже ваш кофе-брейк в логах.
✅ Охота на артефакты — находим то, что хакеры хотели спрятать лучше, чем собака кость.
Запаситесь чипсами и колой, ведь расследование без перекуса - не расследование!
🔥Атака Kerberoasting позволяет злоумышленнику захватить сервисную УЗ путём запроса TGS с указанием имени этой сервисной УЗ и последующим брутфорсом билета.
А можно ли как-то провести атаку, не имея в арсенале доступ ни к одной доменной УЗ?
Привет! В этой статье мы кратко рассмотрим уязвимость CVE-2020-1472 aka Zerologon со стороны красных и синих: на практическом примере научимся эксплуатировать уязвимость, используя разные векторы, а также отметим основные артефакты атаки.
🔥 Атака Golden Ticket позволяет злоумышленнику выпустить золотой билет Kerberos (TGT) с помощью секретного ключа (хэш) сервисной учетной записи KRBTGT. Данная техника позволяет максимально скрыть следы своего присутствия, поскольку для инфраструктуры злоумышленник будет казаться легитимным пользователем, но без фактической аутентификации и с желаемыми правами.
В данной статье разберем атаку на практике и научимся ее детектить по артефактам...
🔥 Атака Pass The Hash позволяет злоумышленнику повторно использовать NT хэш для входа систему, избегая ввода пароля и используя протокол NTLM для авторизации, вместо базового Kerberos.
Но как она делается и, самое главное, детектится в домене?...
🔥 Атака Domain Dump позволяет злоумышленнику сдампить домен для получения информации о пользователях и группах, а также для последующего построения пути компрометации домена.
Но как она делается и, самое главное, детектится в домене?...
🔥 Атака As-rep Roasting позволяет злоумышленнику воспользоваться отключенной преаутентификацией Kerberos для пользователя с целью компрометации УЗ.
Но как она устроена и какие есть артефакты для её детекта?
Привет! Если ты думаешь, что знаешь всё о Burp Suite, я тебя удивлю! Этот мощный инструмент для тестирования веб-приложений скрывает в себе ещё больше возможностей, способных значительно упростить и ускорить работу. Сегодня мы изучим функционал макросов на практике и увидим, как они могут стать надежным помощником в процессе тестирования и анализа веб-приложений...
Внимание! Статья несёт исключительно информативный характер. Подобные действия преследуются по закону!
В наше время цифровая безопасность все более актуальна, поскольку важность защиты конфиденциальной информации и данных не может быть переоценена. Шифрование информации становится все более неотъемлемой частью нашей цифровой жизни, обеспечивая надежную защиту от несанкционированного доступа.
К сожалению, шифрование часто используется не только в хороших, но и плохих целях...
Внимание! Статья несёт исключительно информативный характер. Подобные действия преследуются по закону!
Привет! Сегодня хотелось бы рассмотреть стандартный, но необычный способ закрепления в системе через RDP, используя utilman.exe.
Представим следующую ситуацию: нам удалось получить reverse shell от целевого хоста. Безусловно, нам необходим backdoor для обеспечения постоянного доступа. В процессе сканирования мы узнаем об открытом 3389 порте. И как нам быть?
Добро пожаловать во вторую часть статьи "PAM backdoor". В предыдущей части мы обсудили, что такое PAM (Pluggable Authentication Modules) и как можно создать собственный модуль для PAM. В этой второй части мы пойдём немного по другому пути и изменим уже существующий модуль, а также настроим логирование для сбора паролей.
Кто не читал первую часть, вам сюда.
Внимание! Статья несёт исключительно информативный характер. Подобные действия преследуются по закону!
Привет! В двух статьях мы сфокусируемся на том, как злоумышленники могут использовать модуль PAM для создания backdoor'ов, погрузимся в мир аутентификации, раскроем работу PAM под капотом, научимся скрывать свои следы и, самое главное, реализуем это всё на практике.