Mimikatzの使用例に関するメモ。 Windowsマシンにおけるローカルアカウントの資格情報のダンプを行います。 ※ 許可されていない環境では実施しないこと ■ 検証 検証は次の流れで行います。せっかくなので、資格情報のクラックも試します。 検証用アカウントの追加 検証用フォルダの作成と設定 事前確認 検証用アカウントでのサインインとサインアウト 資格情報のダンプ NTLMハッシュのクラック 事後作業 各手順の詳細を記載します。 1. 検証用アカウントの追加 次のような検証用アカウント(ローカルアカウント)を追加します (Windowsアカウントの新規作成については参考1が分かりやすいです…
ミミミミミッミって何?というところからでしたが、この書籍の著者の文章の書き方が私は好きです。 ミミミミミッミ https://booth.pm/ja/items/1861943 「さてはアンチ(ウイルス)だな、オメー」登場以来、数々の攻撃における認証情報窃取に悪用されてきた指定暴力団Mimikatz。本書ではその基本原理から検出回避方法まで徹底解説。君だけのMimikatzを作成してWindows Defenderの奥歯をガタガタ言わせたれ!※本書はC言語の学習とWindowsのセキュリティを実験するための本です もう、この文言だけで虜になってしまいます。こんな感じで楽しい文章書けたらいいなあ…
security-tools.hatenablog.com 【要点】 ◎プロセスメモリからパスワードを抜き出す、パスワード解読ツール。標的型攻撃などに多用されている 【目次】 概要 【ATT&CK】 【最新情報】 記事 【ニュース】 【ブログ】 【公開情報】 【資料】 【ツール】 【図表】 関連情報 【関連まとめ記事】 概要 【ATT&CK】 ID 名称 URL S0002 Mimikatz https://attack.mitre.org/software/S0002/ 【最新情報】 ◆MS、脆弱性「Zerologon」について再度注意喚起 - まずはパッチ適用を、対処FAQも更新 (Sec…
1.CrowdStrikeについて 2.EDRとは 2.1 なぜEDRが必要か 2.2 EPPとEDR 2.3 EDRの動作 2.4 EDRとふるまい検知の違い 2.5 EDRとNDR、XDR 2.6 他社との比較 2.7 EDRのデメリット 2.8 FAQ 3.導入に関して 3.1 導入構成 3.2 対応OS 3.3 既存のEPPとの共存 3.4 オフラインの環境での利用はできない? 3.5 導入スケジュール 3.6 設定のチューニング 4. 監視サービス 4.1 サービス概要 4.2 監視サービスの構成 5.端末の操作 5.1 インストール 5.2 Windwos Defenderの無効化…
デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 Active Directoryに対する攻撃手法に、Resource-based Constrained Delegation(以下、RBCD)攻撃というものがあります。 この攻撃手法は原理が分かりづらく、私自身対策方法について勘違いしている部分がありました。 「机上で考えていたRBCD攻撃の対策方法が、実際に案件でRBCD攻撃を行う中で不十分であると気づいた」といったことがあったので、その内容を踏まえてRBCD攻撃の対策方法について本記事で解説します。 (解説は必要ないからRBCD攻撃の対策だけ完結に知りたい!という方…
https://app.hackthebox.com/sherlocks/OpTinselTrace-5 Hack The Box Sherlocksとは Sherlock Scenario You'll notice a lot of our critical server infrastructure was recently transferred from the domain of our MSSP - Forela.local over to Northpole.local. We actually managed to purchase some second hand serv…
【訳】二重の恐喝プレー・ランサムウェアが世界300の組織を襲う 【要約】 Playランサムウェアが世界中の約300の組織に影響を与えており、二重の恐喝モデルを使用しています。このランサムウェアはデータを流出させた後、システムを暗号化し、北米、南米、ヨーロッパ、オーストラリアの多くの企業やインフラ組織に影響を及ぼしています。Playは、Microsoft ExchangeサーバーやFortinetアプライアンスのセキュリティ欠陥を悪用して侵入し、ファイルを暗号化しています。脅威はフィッシングメールではなく脆弱性を悪用する傾向が増えており、特に2023年上半期に急増しています。このグループはランサ…
【訳】ハッカー、新マルウェア「Agent Raccoon」を使って米国の標的にバックドアを仕掛ける 【図表】 DNSクエリのサンプル(Unit 42) credmanをセットアップするレジストリコマンド (Unit 42) 出典: https://www.bleepingcomputer.com/news/security/hackers-use-new-agent-raccoon-malware-to-backdoor-us-targets/ 【要約】 新しいマルウェア「Agent Raccoon」が、米国、中東、アフリカの組織に対するサイバー攻撃に使用されている。攻撃者は国家の脅威行為者と…
ペネトレーションテスト一般の知識・技術としてOffsec社のOSCPを勉強してきたものの、ADやAV/EDR回避といったことに弱点を感じたので、CRTO試験を受けてきました。 自称えせコバルトストライカーになれたかなと。。。 RTOについて コース内容 環境面について テキスト ラボ(Snap Labs) 費用について 受けようと思ったきっかけ 受験のバックグラウンド 受講から試験まで スケジュール感 詰まった時のコミュニティ頼み 試験環境等 受験後の感想 OSCPと比較してどうなのよ問題 雑感 最後に RTOについて コース内容 Zeropoint Security社が提供する「Red Te…
はじめに フォレンジックのタイムライン分析の基盤として利用できるtimesketchを試してみた。試すと今まで分析を行ってきた中での若干のモヤッとが解消されるような気がする。 私はフォレンジックアナリストではないため、細かい表記ゆれや言葉の定義の間違いなどは優しく指摘してほしいです。よろしくお願いします。 きっかけ いつものようにYamatoSecurityのhayabusaのGithubページを見ていると、分析方法としてtimesketchが紹介されていることに気がついた。 github.com 前から紹介されてたかな〜と思いつつtimesketchについて調べてみると結構面白いことができそ…
OSCPを取ってきたので例によって受験記を残します。 OSCPについて この記事を読んでいる時点でOSCPについて知らない人はいねぇよなぁ!!?と思いますが念のため。 OSCP(Offensive Security Certified Professional)とは、OffSec社が提供するペネトレーションテストの知識を証明するための資格です。 日本の視点から見ると、高難易度の資格に分類されるような気がしますが、英語圏ではペネトレーションテストの入門的な資格という位置づけのようです。 試験は実際に用意されたホストに対して攻撃を行い、どこまで侵害できるかが得点の鍵になります。 そのため、焦点は初…
■ 概要 2023年8月6日(日)に行われた防衛省サイバーコンテスト2023のメモ。印象に残った問題に対するアプローチや解法などをまとめる。最終順位は59/267位(ユーザ名:iomat)。 ■ 問題とアプローチ 【Crypto】Administartor Hash (NTLM hash) lsassのダンプファイルが与えられるため、このファイルから管理者用アカウントのNTLMハッシュを入手せよという問題。mimikatz.exeを用いてハッシュ値を抽出した。 PS: > .\mimikatz.exe mimikatz# sekurlsa::minidump <lsass.DMPのパス> mi…
先日 2023/8/6(日) に開催された、防衛省サイバーコンテスト2023に参加していた。 www.mod.go.jp 防衛省サイバーコンテスト2023ポスター スコア スコアグラフ 結果は260/560, 42位であった。あまり経験がないPWNとNWが、20点問題どころか10点問題も外しており、壊滅的であった。精進せねば…。 簡単なものしか解けていないが、どう考えたかを残しておく。 なお、謎のこだわりでヒントなしだったので、ちゃんとヒント見ておけばよかったと後悔している。
防衛省サイバーコンテスト 2023(参加者間では「防衛省CTF」等とも呼ばれていました)へ参加しました。そのwrite-up記事です。 本コンテストは3回目の開催で、今回からコンテスト終了後はwrite-up等の公開が許可されています。なお、前回以前の募集ページも同一URLであり、以前の内容は現時点では閲覧不能のようです。参考として前回以前の募集時のInternet Archiveリンクを貼っておきます: 第1回(2021/03/14開催)募集時ページ 第2回(2022/08/21開催)募集時ページ 2023/08/08(火) 22:35頃に、「Analysis」問題、「Ladder」問題の解…
[crypto] Simple Substitution Cipher [crypto] Substitution Cipher [crypto] Administrator Hash(NTLM hash) [crypto] Administrator Password [crypto] Hash Extension Attack [forensics] The Place of The First Secret Meeting [forensics] The Deleted Confidential File [forensics] They Cannot Be Too Careful. […
防衛省 サイバーコンテスト 2023 (防衛省CTF) に参加し、 403pts / 14位 でした。 目標は「低難易度の問題を全問正解」でしたが、思ったよりもフレンドリーな難易度でなんとかなりました。 苦手なpwnを全部解けたのはうれしいです。 Welcome OpenVPNの設定ファイルが提供されるのでダウンロードして接続。 問い合わせ先メールアドレスを聞かれるのでflag{}に入れる。 [Forensics] The Place of The First Secret Meeting (10pts) 会社 A が内部告発を受け、海外の競合会社 B へ機密情報の持ち出しが行われた可能性…
ご無沙汰しております。みらい(@Minimal_Mirai)です。 先日、OSCPの合格通知を頂きましたので合格記としてここまで学んだことや試験時の注意点について共有したいと思います。 OSCPを知ったきっかけ OSCP開始前のスキルについて Lab攻略開始 1回目の試験 PGを利用したスキル鍛錬とLabの延長 2回目の試験 試験本番 合格通知 注意点 学生の間にOSCPの取得を目指す方へ まとめ OSCPを知ったきっかけ まず私は現在22歳、情報系の専門学校4回(24卒)です。 私がOSCPを知ったのは、2021年頃でコロナ禍のリモート期間中でした。 この頃は、もっと手を動かして攻撃技術を学…