~/docs/ldap_enumeration.check

Enumeration Quando si parla di enumerazione (enumeration) si parla di tutte quelle operazioni eseguite sui sistemi atte a restiture informazioni relative al contesto per il quale si sta interrogando. Nel caso specifico di oggi parleremo di enumerazione del servizio LDAP. Event 1644 L’evento in questione registra un log sull’event viewer per ogni ricerca LDAP effettuata … Leggi tutto

~/docs/golden-ticket.krbtgt

Il Golden Ticket in Active Directory, proprio come ne la fabbrica di cioccolato di Willy Wonka, garantisce al portatore un accesso illimitato a tutte le risorse della nostra Active Directory. Un attacco Golden Ticket abusa del protocollo Kerberos il quale usa sistemi per crittografare e firmare i messaggi. Uno di questi è l’hash della password … Leggi tutto

~/blueteam/win_audit_policy.gpo

Prefazione Raccogliere tutti i log necessari per fare auditing su server e workstation Windows è un processo necessario per la gestione di una corretta postura delle nostre infrastrutture e passa da un processo di configurazione mediante le Group Policy (o i criteri di gruppo locali se la macchina non fosse membro di un dominio) andando … Leggi tutto

~/docs/llmnr_poisoning.pcap

LLMNR sta per Local-Link Multicast Name Resolution, mentre che NBT-NS sta per NetBIOS Name Service.

Questi due protocolli sono di default abilitati su Windows (a partire da Windows Vista) e il loro scopo è quello di intervenire a supporto del sistema operativo quando non è in grado di risolvere un nome host tramite il servizio DNS o via il suo file host locale.

~/docs/kerberos.ht

In questi giorni mi sono imbattuto in una discussione con un gruppo di colleghi sul funzionamento di Kerberos per l’autenticazione delle sessioni su Windows. La cosa interessante che ne è venuta fuori è che, sebbene in generale tutti considerano Kerberos più efficace degli altri metodi di autenticazione (a giusta ragione), ben pochi sanno come funziona. … Leggi tutto

~/docs/windows_logon_type.sam

Cos’è il logon In breve: il logon è un processo per ottenere l’accesso a sistemi locali o remoti utilizzando un set di credenziali valide. Le informazioni sull’utente vengono convalidate dall’autorità di sicurezza locale (LSA) nel caso di un account locale mentre che, nel caso di un account di dominio, il Security Accounts Manager (SAM) sarà … Leggi tutto

~/tips/powerShell_transcription_log

Disclaimer Questo post è nato dall’ispirazione che mi è venuta dopo la lettura di questo articolo (PowerShell ♥ the Blue Team) e di quest’altro (Hunting for Malicious PowerShell using Script Block Logging) del quale consiglio caldamente la lettura per contestualizzare maggiormente il focus. TL;DR Per abilitare la trascrizione dei comandi powershell aprire la console delle … Leggi tutto

~/tips/4625-logon_failure

Una delle componenti più complesse quando si implementa un SIEM è la gestione dei falsi positivi, specialmente quando questi si celano dietro a meccanismi che si danno per conosciuti come l’autenticazione. Da qualche tempo a questa parte avevo delle segnalazioni di questo tipo A prima vista la gestione errori di Windows server ha segnalato che … Leggi tutto

Do I need SSL inspection?

TL;DR – how to Yes, you do. In order to do that you’ve to generate an RSA key with $ openssl genrsa -aes256 -out private-key.pem 2048 and, when prompted, enter a passphrase for encrypting the private key. $ openssl req -new -x509 -days 3650 -extensions v3_ca -key private-key.pem -out certificate.pem and, when prompted, type the … Leggi tutto

Active Directory GPO auditing

Audit events in your environment is crucial for the discovery and investigation of security incidents: it is also important to know the best practice for configuring the Windows Server 2016/2019 policy.Here’s a list of my presonal tips which I normally implement in my organization.DISCLAIMER: images are not from my lab (except for the log view), … Leggi tutto