Comments 17
Спасибо за пост!
Есть вопрос. Вы писали:
Можно поподробнее рассказать что из себя представляет скрытый канал?|
Это просто нестандартное использование DNS и HTTP трафика?
Или что-то более умное? Стеганография?..
Есть вопрос. Вы писали:
Взаимодействие с серверной частью Cobalt Strike происходит посредством создания скрытых каналов с использованием протоколов DNS, HTTP, HTTPS для предотвращения обнаружения сетевого взаимодействия с помощью стандартных систем IDS/IPS.
На хостах с доступом в интернет запускалась версия Beacon, которая устанавливала соединение с удаленным сервером управления по скрытому каналу. Для предотвращения обнаружения такого сетевого взаимодействия с помощью стандартных систем IDS/IPS использовались протоколы DNS, HTTP, HTTPS.
Можно поподробнее рассказать что из себя представляет скрытый канал?|
Это просто нестандартное использование DNS и HTTP трафика?
Или что-то более умное? Стеганография?..
5. Полученный зашифрованный пароль расшифровывается с помощью ключа опубликованного на официальном сайте Microsoft MSDN.
Waaaat? Это вообще что? Как? У меня нет слов, всё действительно настолько плохо?
Ну, на самом деле надо еще постараться, чтобы настолько облегчить жизнь хакерам… Основные проблемы из-за ленивости администраторов.
UFO just landed and posted this here
Ну, пароли зашифрованные с общеизвестным ключом пока еще не используются.
там нет контроллера доменов и нет такой магии
в банках все устроенно через одно место и там все должно быть безопасно и там такие драконевские меры безопасности на обычном компе, но при этом чуть чуть знаний и все эти заборы обходятся
Офигенный детектив.
Фильм можно снять
Фильм можно снять
У пользователей Firefox в вашей статье галочки в й съезжают.
Обычно это бывает после обработки текста на Мак.
Имейте в виду для следующих публикаций, пожалуйста.
Обычно это бывает после обработки текста на Мак.
Имейте в виду для следующих публикаций, пожалуйста.
Интересно, а через сколько лет все статьи #поибэ и собственно сами атаки будут начинаться не с вот этого:
«Cobalt проникает в банковскую сеть через рассылку фишинговых писем с эксплойтом или исполняемый файл в архиве с паролем. Для банков СНГ преступники отправляли вложения «Договор_хранения2016.zip» и «список документов.doc». Для иностранных — «The rules for European banks.doc» и «Bitcoin ATM’s.doc».
На получение полного доступа к контроллеру домена уходит от 10 минут до 1 недели.»
А с нормальных олдовых вещей в духе Митника или Батлера?
Т.е. в банках сидят целые ИБ-отделы, с 6-значными зарплатами, куча платного софта, а к ним всё равно проникают через старый добрый фишинг.
«Cobalt проникает в банковскую сеть через рассылку фишинговых писем с эксплойтом или исполняемый файл в архиве с паролем. Для банков СНГ преступники отправляли вложения «Договор_хранения2016.zip» и «список документов.doc». Для иностранных — «The rules for European banks.doc» и «Bitcoin ATM’s.doc».
На получение полного доступа к контроллеру домена уходит от 10 минут до 1 недели.»
А с нормальных олдовых вещей в духе Митника или Батлера?
Т.е. в банках сидят целые ИБ-отделы, с 6-значными зарплатами, куча платного софта, а к ним всё равно проникают через старый добрый фишинг.
Чувствую, что никогда.
Работаю у одного из провайдера интернет услуг, а он в свою очередь с банком А.
Месяц назад пришла рассылка на всю корп.почту от банка Б, с ужасной версткой и ошибками в тексте. Внутри был word файл с шифравальшиком. Предупредили всех за 5 минут.
Через 15 минут звонок из бухгалтерии: «У нас тут ничего не работает». Занавес.
Работаю у одного из провайдера интернет услуг, а он в свою очередь с банком А.
Месяц назад пришла рассылка на всю корп.почту от банка Б, с ужасной версткой и ошибками в тексте. Внутри был word файл с шифравальшиком. Предупредили всех за 5 минут.
Через 15 минут звонок из бухгалтерии: «У нас тут ничего не работает». Занавес.
Подскажите пожалуйста как правильно декодировать пароль по Base64 и расшифровать пароль с помощью ключа? а то у меня не получается декодировать, я нашел у себя файл Groups.xml с паролем.
4. Для получения пароля в открытом виде атакующие декодируют пароль по Base64, получая строку вида 4e9906e8fcb66cc9faf49310620ffee8f496e806cc057990209b09a433b66c1b — это пароль, зашифрованный с помощью AES-256.
5. Полученный зашифрованный пароль расшифровывается с помощью ключа 4e9906e8fcb66cc9faf49310620ffee8f496e806cc057990209b09a433b66c1b, опубликованного на официальном сайте Microsoft MSDN.
Возможно, декодирование не получается из-за того, что строка пароля в вашем Groups.xml не кратна 4, следует добавить к ней символы "=". И декодировать следует в файл (обычные онлайн декодеры могут не подойти, нужно использовать Base64 to file или Base64 to Hex)
openssl enc -d -base64 -A -in <Файлик с паролем в base64 из Groups.xml> -aes-256-cbc -K 4e9906e8fcb66cc9faf49310620ffee8f496e806cc057990209b09a433b66c1b -iv 000000000000000000000000000000
https://stephenhirst.azurewebsites.net/?p=6042
https://stephenhirst.azurewebsites.net/?p=6042
Sign up to leave a comment.
По следу Cobalt: тактика логической атаки на банкоматы в расследовании Group-IB