Beacon micro blog

Micro blog dedicato alle informazioni del mondo beacon, e come essi convivono con i controlli della NIS 2, ISO/IEC 27001:2022.

02 ottobre 2024

Watchguard annuncia ai propri partner la propria soluzione NDR,

e conferma di poter creare (con un modulo a pagamento a parte), report per la NIS2, ed ISO/IEC 27001.

Slide alla presentazione, e i competitori NDR di Watchguard.

14 settembre 2024

ChromeKatz disponibile anche come oggetto Beacon

CookieKatz Bof nel progetto in GitHub, ChromeKatz.

CredentialKatz è un progetto che consente agli operatori di scaricare tutte le credenziali dallo strumento

Credential Manager di Chrome ed Edge.

La maggior parte delle volte i browser basati su Chromium mantengono le password crittografate finchè

non sono necessarie, visualizzate nel Credential Manager o compilate automaticamente in un modulo di accesso.

Ma per qualche motivo, la funzione passwords_with_matching_reused_credentials_ della classe

PasswordReuseDetectorImpl viene popolata con tutte le credenziali dal Credential Manager, in testo normale.

COdice di CookieKatz-BOF

07 settembre 2024

Rilevata versione di Cobalt Strike 4.9 esposta al pubblico.

nome file: CobaltStrike 4.9 Cracked uCare@Pwn3rzs.7z

sha1sum: 6d18b196d16571c4f4e1e30d79ac2591b279bcb4

password archivio: 20231004_2218

Mappa di una prima rete Cobalt Strike rilevata con la versione 4.9.

Cobalt Strike 4.9 (in the wild)
Immagine completa

23 agosto 2024

Iniezione tramite AppDomain usata per rilasciare beacon.

Tecnica di attacco interessante. L'attaccante deve solo posizionare la libreria DLL e il file di configurazione

dannosi nella stessa directory dell'eseguibile di destinazione.

Quando l'applicazione .NET viene eseguita, la DLL dannosa viene caricata e il suo codice viene eseguito nel contesto

dell'applicazione legittima.

A differenza del caricamento laterale delle DLL, che può essere più facilmente rilevato dal software di sicurezza,

l'iniezione di AppDomainManager è più difficile da rilevare perchè il comportamento dannoso sembra

provenire da un file eseguibile legittimo e firmato.

In definitiva, questa libreria DLL esegue codice dannoso nel contesto dell'eseguibile Microsoft legittimo e firmato,

eludendo completamente il rilevamento e aggirando le misure di sicurezza.

back