v
Ооочень круто. Ты как обычно крут!
Ща ты закончишь филонить на безработице и мы с тобой поболтаем и по этому вопросу :)
Ща ты закончишь филонить на безработице и мы с тобой поболтаем и по этому вопросу :)
Size: a a a
2019 December 11
NA
:))) ок
2019 December 12
G
Там куча хешей не сильно актуальных. Как и NSLR hashes.
HT
Коллеги, а кто-то знает, как SACL на процесс можно повесить, или чтобы он его унаследовал? Вот у товарища мониторинг доступа в lsass c помощью мимикатз на базе 4656 и 4663, но как он этого добился - не описывает https://github.com/hunters-forge/ThreatHunter-Playbook/blob/master/playbooks/windows/06_credential_access/T1003_credential_dumping/lsass_access_non_system_account.md
Если завтра напомните, расскажу как такого добиться)
$
Там куча хешей не сильно актуальных. Как и NSLR hashes.
Каков критерий «неактуальности»?
Z
Пробивать сетевые коннекты по базе в 200к иоков, не очень простая задача. Скажем так не для каждого Заказчика.
Да ладно, нормализация в помощь;) даже у меня работает;)
SS
Если завтра напомните, расскажу как такого добиться)
https://tyranidslair.blogspot.com/2017/10/bypassing-sacl-auditing-on-lsass.html Здесь, вроде, было написано, не?
A
Коллеги, кто подскажет, в чем смысл мониторит 4656 - запрос прав, если можно смотреть 4663 - применение прав. Или мы пытаемся поймать не только факт использования, но и попытки использования на стандии условной разветки, хватает ли нам прав?
М
ну так не всегда же права выдадутся
A
нас же интересует доступ, а не выдача прав
A
это чисто вспомогательный шаг для нашей логики, как я пока вижу
A
Sergey Soldatov
https://tyranidslair.blogspot.com/2017/10/bypassing-sacl-auditing-on-lsass.html Здесь, вроде, было написано, не?
Не, здесь про bypass. Про установку SACL - нет. Как я понял из изысканий своих, есть дефолтный SACL, если адуит объектов ядра включить, он и мониторится
A
Таких байпасов много, вот, например, еще https://medium.com/palantir/tampering-with-windows-event-tracing-background-offense-and-defense-4be7ac62ac63 - отключаем запись эвентов любого провайдера, в том числе стандартных, пишущих в секьюрити
12
Можно отслеживать событие очистки логов
A
Логи там никтоне чистит, фильтр сессии меняют, события провайдера под него не попадают и не записываются соответственно
A
причем там аж 4 варианта байпаса, 1 без реута, 3 с ребутом
12
не очень понятно какими правами нужно обладать чтобы менять фильтры сессий провадйеров
$
причем там аж 4 варианта байпаса, 1 без реута, 3 с ребутом
Ты не «аудит отслеживания процессов» ищешь?
A
Ты не «аудит отслеживания процессов» ищешь?
Нет, он за создание\завершение отвечает, именно за доступ к ним
A
не очень понятно какими правами нужно обладать чтобы менять фильтры сессий провадйеров
В статье все есть, Admin\System в зависимости от метода. Ну так и чтоб привилегированный токен к процессу привязать, тоже Admin нужен