Beacon micro blog
Micro blog dedicato alle informazioni del mondo beacon, e come essi convivono con i controlli della NIS 2, ISO/IEC 27001:2022. |
02 ottobre 2024 |
Watchguard annuncia ai propri partner la propria soluzione NDR, |
e conferma di poter creare (con un modulo a pagamento a parte), report per la NIS2, ed ISO/IEC 27001. |
14 settembre 2024 |
ChromeKatz disponibile anche come oggetto Beacon |
CookieKatz Bof nel progetto in GitHub, ChromeKatz. |
CredentialKatz è un progetto che consente agli operatori di scaricare tutte le credenziali dallo strumento |
Credential Manager di Chrome ed Edge. |
La maggior parte delle volte i browser basati su Chromium mantengono le password crittografate finchè |
non sono necessarie, visualizzate nel Credential Manager o compilate automaticamente in un modulo di accesso. |
Ma per qualche motivo, la funzione passwords_with_matching_reused_credentials_ della classe |
PasswordReuseDetectorImpl viene popolata con tutte le credenziali dal Credential Manager, in testo normale. |
07 settembre 2024 |
Rilevata versione di Cobalt Strike 4.9 esposta al pubblico. |
nome file: CobaltStrike 4.9 Cracked uCare@Pwn3rzs.7z |
sha1sum: 6d18b196d16571c4f4e1e30d79ac2591b279bcb4 |
password archivio: 20231004_2218 |
Mappa di una prima rete Cobalt Strike rilevata con la versione 4.9.
23 agosto 2024 |
Iniezione tramite AppDomain usata per rilasciare beacon. |
Tecnica di attacco interessante. L'attaccante deve solo posizionare la libreria DLL e il file di configurazione |
dannosi nella stessa directory dell'eseguibile di destinazione. |
Quando l'applicazione .NET viene eseguita, la DLL dannosa viene caricata e il suo codice viene eseguito nel contesto |
dell'applicazione legittima. |
A differenza del caricamento laterale delle DLL, che può essere più facilmente rilevato dal software di sicurezza, |
l'iniezione di AppDomainManager è più difficile da rilevare perchè il comportamento dannoso sembra |
provenire da un file eseguibile legittimo e firmato. |
In definitiva, questa libreria DLL esegue codice dannoso nel contesto dell'eseguibile Microsoft legittimo e firmato, |
eludendo completamente il rilevamento e aggirando le misure di sicurezza. |
back |