Security Support Provider Interface (SSPI) - программный интерфейс в Microsoft Windows между приложениями и провайдерами безопасности.

В статье рассмотрим:
1. Как устроен SSPI и зачем нужны провайдеры
2. Разбор и создание кастомного SSP для перехвата учетных данных
3. Где искать следы в системе: реестр, логи, артефакты
4. Методы обнаружения и защиты

Это удивительная история о том, как простое резюме стало оружием хакера, а Word внезапно научился создавать сетевые туннели.

Мы пройдем весь путь расследования: от первого подозрительного события до раскрытия полной последовательности атаки.

Как один файл смог обойти защиту и открыть лазейку в систему?

Вы уже разобрали Silver и Golden Ticket? Это лишь прелюдия. 

Diamond & Sapphire — последние «сокровища» в цепочке уязвимостей с билетами.

В статье рассмотрим:
✅ Эволюция атак: от серебра с золотом — к алмазам и сапфирам.
✅ Хакерский workflow: как создать "драгоценные" билеты.
✅ Противостояние: артефакты и детекторы на Sigma, чтобы ловить даже призрачные следы.

Silver Ticket — не просто атака, а теневая операция в сердце Active Directory.

❓Как злоумышленники подделывают билеты

❓Какие следы они оставляют

❓Какие инструменты они используют

❓Какие артефакты помогут обнаружить данную активность

✅В статье раскроем секреты этой атаки

Сегодня мы берем в работу горячие кейсы для блюшников с платформы Standoff (ивент УК Сити-2022).

В программе:
✅ Киллчейны — строим, как Лего, только вместо деталек— артефакты.
✅ SIEM-магия — учимся дружить с тулзой, которая видит всё, даже ваш кофе-брейк в логах.
✅ Охота на артефакты — находим то, что хакеры хотели спрятать лучше, чем собака кость.

Запаситесь чипсами и колой, ведь расследование без перекуса - не расследование!

🔥Атака Kerberoasting позволяет злоумышленнику захватить сервисную УЗ путём запроса TGS с указанием имени этой сервисной УЗ и последующим брутфорсом билета.
А можно ли как-то провести атаку, не имея в арсенале доступ ни к одной доменной УЗ?

Привет! В этой статье мы кратко рассмотрим уязвимость CVE-2020-1472 aka Zerologon со стороны красных и синих: на практическом примере научимся эксплуатировать уязвимость, используя разные векторы, а также отметим основные артефакты атаки.

🔥 Атака Golden Ticket позволяет злоумышленнику выпустить золотой билет Kerberos (TGT) с помощью секретного ключа (хэш) сервисной учетной записи KRBTGT. Данная техника позволяет максимально скрыть следы своего присутствия, поскольку для инфраструктуры злоумышленник будет казаться легитимным пользователем, но без фактической аутентификации и с желаемыми правами.

В данной статье разберем атаку на практике и научимся ее детектить по артефактам...

🔥 Атака Pass The Hash позволяет злоумышленнику повторно использовать NT хэш для входа систему, избегая ввода пароля и используя протокол NTLM для авторизации, вместо базового Kerberos.

Но как она делается и, самое главное, детектится в домене?...

🔥 Атака Domain Dump позволяет злоумышленнику сдампить домен для получения информации о пользователях и группах, а также для последующего построения пути компрометации домена.

Но как она делается и, самое главное, детектится в домене?...

🔥 Атака As-rep Roasting позволяет злоумышленнику воспользоваться отключенной преаутентификацией Kerberos для пользователя с целью компрометации УЗ.

Но как она устроена и какие есть артефакты для её детекта?

Привет! Если ты думаешь, что знаешь всё о Burp Suite, я тебя удивлю! Этот мощный инструмент для тестирования веб-приложений скрывает в себе ещё больше возможностей, способных значительно упростить и ускорить работу. Сегодня мы изучим функционал макросов на практике и увидим, как они могут стать надежным помощником в процессе тестирования и анализа веб-приложений...

Внимание! Статья несёт исключительно информативный характер. Подобные действия преследуются по закону!

В наше время цифровая безопасность все более актуальна, поскольку важность защиты конфиденциальной информации и данных не может быть переоценена. Шифрование информации становится все более неотъемлемой частью нашей цифровой жизни, обеспечивая надежную защиту от несанкционированного доступа.

К сожалению, шифрование часто используется не только в хороших, но и плохих целях...

Внимание! Статья несёт исключительно информативный характер. Подобные действия преследуются по закону!

Привет! Сегодня хотелось бы рассмотреть стандартный, но необычный способ закрепления в системе через RDP, используя utilman.exe.

Представим следующую ситуацию: нам удалось получить reverse shell от целевого хоста. Безусловно, нам необходим backdoor для обеспечения постоянного доступа. В процессе сканирования мы узнаем об открытом 3389 порте. И как нам быть?

Добро пожаловать во вторую часть статьи "PAM backdoor". В предыдущей части мы обсудили, что такое PAM (Pluggable Authentication Modules) и как можно создать собственный модуль для PAM. В этой второй части мы пойдём немного по другому пути и изменим уже существующий модуль, а также настроим логирование для сбора паролей.

Кто не читал первую часть, вам сюда.

Внимание! Статья несёт исключительно информативный характер. Подобные действия преследуются по закону!

Привет! В двух статьях мы сфокусируемся на том, как злоумышленники могут использовать модуль PAM для создания backdoor'ов, погрузимся в мир аутентификации, раскроем работу PAM под капотом, научимся скрывать свои следы и, самое главное, реализуем это всё на практике.