-60%

Оформить подписку на «Хакер»:

4000 руб

на 1 год

 920 руб

на 1 месяц

Xakep #299. Sysmon

Sysmon, или «Системный монитор», — популярнейшее средство аудита Windows, разработанное в Microsoft. Выведение его из строя — приоритет для злоумышленников, атакующих систему и желающих остаться незамеченными. В этом номере мы расскажем о том, как нарушитель может «ослепить» мониторинг, а для укрепления защиты построим грамотный пайплайн, рассчитанный на большие конфиги Sysmon.

Также в номере:

  • Фаззим исполняемые файлы при помощи AFL++ с санитайзерами
  • Разоблачаем CVE-пустышки и пишем эксплоит при помощи ChatGPT
  • Пробуем нанять хакера и наблюдаем за ним
  • Изучаем эксплоиты социальной инженерии
  • Разбираем спайварь на C#
Содержание
(Подписчикам доступно 17 статей)

COVER STORY

Ослепить Sysmon

Выводим мониторинг из строя максимально незаметно

Получив доступ к системе, злоумышленник первым делом пытается ослепить средства аудита, чтобы как можно дольше оставаться незамеченным. В этой статье мы с тобой попробуем ослепить Sysmon и сделать это максимально незаметно для штатного аудита Windows. Достичь этого нам позволят манипуляции с хендлами и дескрипторами безопасности.

Ослепить Sysmon полностью

Манипулируем объектами ETW, чтобы обойти мониторинг

Получив доступ к системе, злоумышленник первым делом пытается вывести из строя средства аудита, чтобы как можно дольше оставаться незамеченным. В этой статье я покажу, как атакующий может ослепить средства мониторинга Windows путем манипуляций с подсистемой Event Tracing for Windows (ETW).

Detection-as-Сode

Строим пайплайн для конфига Sysmon

Конфигурационный файл встроенного в Windows средства мониторинга Sysmon может разрастаться до тысячи строк, которые описывают правила отбора регистрируемых в логах событий. Стандартный набор функций Sysmon для проверки конфига неудобен и затрудняет работу аналитика. В этой статье я покажу, как составлять пайплайн CI/CD для валидации конфига Sysmon и сделать невозможной потерю событий.

16 февраля 2024 года

ВЗЛОМ

Вызывайте санитайзер

Фаззим исполняемые файлы при помощи AFL++ с санитайзерами

Фаззинг, как ты, наверное, знаешь, — это техника, которая позволяет автоматизировать поиск уязвимостей в софте. Бывает фаззинг методом «черного ящика», когда у нас нет исходников программы, а бывает основанный на покрытии — то есть применяемый к исходникам. В этой статье сосредоточимся на втором виде и на примере AFL++ разберем, какую роль здесь играют санитайзеры и как их применять.

Проблемы с CVE

Разоблачаем баги-пустышки и пишем эксплоит при помощи ChatGPT

Куда мы в первую очередь смотрим, глядя на очередную CVE’шку? Правильно, на уровень угрозы, то есть оценку CVSS. Но бывает, что эта цифра плохо соответствует реальной опасности. В этой статье я на примерах покажу, как это случается, а также поговорим о других проблемах CVE.

Мыльная история

Как я нанял злого хакера для взлома электронной почты

Однажды самый известный в нашей стране почтальон по фамилии Печкин сказал: «Вот до чего бывают люди до чужого добра жадные!» И он был прав, причем не в последнюю очередь применительно к пользовательским учеткам. За минувший год у двоих моих знакомых увели аккаунты в наиболее популярной российской соцсети, а еще у троих ломанули электронную почту. И я задумался: а сколько сейчас стоит взлом почтового ящика и каким образом обычно действуют злоумышленники?

SQL-инъекции

Разбираем на пальцах одну из самых популярных хакерских техник

В этой статье я разберу тему SQL-инъекций с самого начала — для тех, кто только осваивается в мире инфосека. Мы пройдемся по базовым уязвимостям и пошагово разберем несложные атаки. Потом поговорим о sqlmap — инструменте для автоматического пентеста SQLi. В конце порекомендую ресурсы для дальнейшего изучения.

15 февраля 2024 года

HTB Drive

Повышаем привилегии через собственный модуль SQLite

В этом райтапе я покажу, как провести атаку на базу данных SQLite при помощи собственного загружаемого модуля. Но сначала получим доступ к приватным данным через уязвимость IDOR и захватим учетку пользователя.

HTB Visual

Захватываем сервер на Windows через проект Visual Studio

В этом райтапе я покажу, как проникнуть на хост через бэкдор в настройках проекта Visual Studio. Затем получим сессию от имени службы веб‑сервера, активируем привилегию SeImpersonate и используем очередную «картошку» для выполнения кода от имени системы.

HTB Keeper

Собираем мастер-пароль KeePass из дампа памяти процесса

В этом райтапе я покажу, как можно восстановить мастер‑пароль от базы данных парольного менеджера KeePass из дампа памяти процесса, чтобы получить учетные данные и ключи. На пути к этому по традиции попентестим веб‑сервис и соберем данные для продвижения.

КОДИНГ

Спайварь на C#

Как устроены средства слежения за пользователями

При редтиминге иногда приходится изучать обстановку не только внутри сети, но и за ее пределами. В частности, по ту сторону монитора. Работает ли кто‑то за устройством в текущий момент, какое окно открыто, что говорят в микрофон. Давай посмотрим, как можно, используя легитимные возможности системы, следить за ничего не подозревающим пользователем.

Под капотом у PassMark

Исследуем популярный бенчмарк и пишем свои тесты

Существуют сотни программ для оценки производительности, но абсолютным лидером среди них можно назвать PassMark — «индустриальный стандарт с 1998 года», как его позиционирует сам разработчик. На сайте программы — огромная база оценок самых разных девайсов. Давай посмотрим, что находится под капотом у легендарной программы для бенчмарков.

14 февраля 2024 года

UNITS

Титры

Кто делает этот журнал