Почему отваливаются и становятся невалидными доступы?

[Zer0Trace]

Привет всем!
Столкнулся с такой проблемой: после проверки доступов на валидность они часто становятся нерабочими – видимо, из-за смены пароля. Это происходит после чека. Может, кто-то знает, почему это случается или как можно избежать смены пароля после проверки и не тригерить систему и администраторов?
Буду благодарен за любые советы и рекомендации!

 

[dunkel]

Моментально получать бекдор в сеть через валид доступ. Но в ручную это тяжело делать, т.к нужно быть все время на низком старте (у тебя будет от пары минут до суток) - после твоего успешного логина у хорошего админа включается сигнализация и его катапультирует с кровати в три часа ночи чтобы быстренько высадить мутного пассажира (тебя) из сети, сменить креды и проверить логи. Но хороший пентестер как кость в горле - так просто нас не откашлять. Поэтому если жалко терять такие доступы надо скриптом автоматизировать скан и постэксплуатацию чтобы на каком нибудь хосте сразу запускался минимальный бекдор/бикон/барсук через днс (с отстуком через сутки раз несколько часов, не надо сразу отправлять 100500 траффика). Обычный tcp/http к левому хосту админ/ав быстро спалит и высадит тебя с хоста. Либо тоже ставь себе сигнализацию и будильник когда находиться валид доступ и наперегонки с сисадмином в три ночи соревнуйтесь в ctf кто быстрее ты закрепишься в системе/или он тебя высадит

 

[Zer0Trace]

Моментально получать бекдор в сеть через валид доступ. Но в ручную это тяжело делать, т.к нужно быть все время на низком старте (у тебя будет от пары минут до суток) - после твоего успешного логина у хорошего сисадмина включается сигнализация и его катапультирует с кровати в три часа ночи чтобы быстренько высадить мутного пассажира (тебя) из сети, сменить креды и проверить логи. Но хороший пентестер как кость в горле - так просто нас не откашлять. Поэтому если жалко терять такие доступы надо скриптом автоматизировать скан и постэксплуатацию чтобы на каком нибудь хосте сразу запускался минимальный бекдор/бикон/барсук через днс (с отстуком через сутки раз несколько часов, не надо сразу отправлять 100500 траффика). Обычный tcp/http к левому хосту админ/ав быстро спалит и высадит тебя с хоста. Либо тоже ставь себе сигнализацию и будильник когда находиться валид доступ и наперегонки с сисадмином в три ночи соревнуйтесь в ctf кто быстрее ты закрепишься в системе/или он тебя высадит

Спасибо!
То есть, как только появляется валидный доступ, лучше сразу проверять его и пытаться закрепиться в сети?
А как это можно автоматизировать? Если есть какие-то конкретные советы по скриптам или трюкам, которые ты бы порекомендовал для скрытого закрепления и обхода мониторинга админа, буду рад узнать.
Заранее спасибо за ответ!

 

[dunkel]

Спасибо!
То есть, как только появляется валидный доступ, лучше сразу проверять его и пытаться закрепиться в сети?

да, если ты через сутки попробуешь зайти админ скорее всего в рабочее время уже заметит что кто то не из сотрудников входил через test:12345 впн который он забыл оффнуть и закроет его

 

[Zer0Trace]

Но в ручную это тяжело делать, т.к нужно быть все время на низком старте

Было бы интересно узнать, что бы ты порекомендовал для упрощения этого процесса? Может, есть какие-то инструменты или подходы, которые помогут автоматизировать эти задачи?

 

[dunkel]

Было бы интересно узнать, что бы ты порекомендовал для упрощения этого процесса? Может, есть какие-то инструменты или подходы, которые помогут автоматизировать эти задачи?

Накидай скрипт на питоне/баш автомазацию nmap и других тулз, те же шаги которые бы ты делал руками. Советую еще поискать и читать блоги всяких иб компаний которые подробно разбирают хакерские атаки на корпы и их движения в сети, приемы, трюки и т.д.

 

[boroda4]

Привет всем!
Столкнулся с такой проблемой: после проверки доступов на валидность они часто становятся нерабочими – видимо, из-за смены пароля. Это происходит после чека. Может, кто-то знает, почему это случается или как можно избежать смены пароля после проверки и не тригерить систему и администраторов?
Буду благодарен за любые советы и рекомендации!

потому что ты можешь очень сильно шуметь в сети, потому что могут быть соседи-школотроны

 

[Zer0Trace]

Накидай скрипт на питоне/баш автомазацию nmap и других тулз, те же шаги которые бы ты делал руками. Советую еще поискать и читать блоги всяких иб компаний которые подробно разбирают хакерские атаки на корпы и их движения в сети, приемы, трюки и т.д.

Большое спасибо!
Ты еще говорил про "test 1234" и VPN, а если это RDP и не просто забытый VPN, а хороший лог, то ситуация не меняется?

 

[Zer0Trace]

потому что ты можешь очень сильно шуметь в сети, потому что могут быть соседи-школотроны

Спасибо за ответ, приму во внимание

 

[BlackAPT]

Создавайте скрипты для автоматизации персистентности и избегания шума.

Вы должны быть быстрыми и научиться злоупотреблять законными инструментами.

 

[Zer0Trace]

Пиветствую. Благодарю за ответ.
Может у вас есть инструменты котрыми вы можете поделиться ?
Заранее спасибо!

 

[BLUA]

Большое спасибо!
Ты еще говорил про "test 1234" и VPN, а если это RDP и не просто забытый VPN, а хороший лог, то ситуация не меняется?

Меняется, но совсем немного. Потому что RDP условно бухгалтера, а ты как зашёл - сетку начал сканить. Какой нибудь SIEM отстрелил, админ увидит, что-нибудь намутит. Но конечно это не аномалия с test:123

Скрипты автоматизации обычно каждый пишет себе сам, потому что некоторые техники ни кто палить не хочет. Для начала нужно конечно же научиться делать руками, чтобы понять потом что и как нужно автоматизировать.

 

[Zer0Trace]

Меняется, но совсем немного. Потому что RDP условно бухгалтера, а ты как зашёл - сетку начал сканить. Какой нибудь SIEM отстрелил, админ увидит, что-нибудь намутит. Но конечно это не аномалия с test:123

Скрипты автоматизации обычно каждый пишет себе сам, потому что некоторые техники ни кто палить не хочет. Для начала нужно конечно же научиться делать руками, чтобы понять потом что и как нужно автоматизировать.

Спастибо за совет.
Буду прбовать и смотреть, какие решения мне лучше подойдут