10 meilleurs outils pour les chasseurs de menaces de Black Hat USA 2019

10 meilleurs outils pour les chasseurs de menaces de Black Hat USA 2019

Vous n’avez donc pas pu vous rendre à Las Vegas cette année, ou n’avez pas pu consulter les outils les plus récents et les plus performants sur les stands et les ateliers? Nous vous avons couvert.

Découvrez ces dix brèves critiques d'outils utiles présentées à Black Hat USA 2019 à l'intention des analystes du renseignement des menaces, des chercheurs OSINT, des enquêteurs spécialistes des sciences judiciaires et des chasseurs de menaces:

King Phisher: Boîte à outils de phishing pour les équipes rouges

Roi phisher

La source: Github

Roi phisher, créé par SecureState, est un outil conçu pour simuler des attaques de phishing basées sur un scénario réel et susceptibles de se produire sur un réseau d'entreprise. Il est destiné aux équipes rouges, permettant à l’utilisateur de créer des scénarios d’attaques complexes à tester en interne si un membre de l’organisation ne parvient pas à identifier l’appât.

Cet outil extrêmement flexible vous permet de lancer simultanément de nombreuses campagnes de phishing, de contrôler le contenu du courrier électronique de phishing (images intégrées, HTML, etc.), de cartographier l'emplacement de toutes les victimes de phishing et d'exécuter des vérifications SPF (Sender Policy Framework) pour falsifier l'adresse de l'expéditeur. lors de la livraison par courrier électronique.

King Phisher permet aux équipes rouges de cloner des pages Web à la volée. Plus besoin de passer par l'avant pour rendre le clone plus légitime par rapport au site d'origine. La boîte à outils a la capacité de collecter les informations d'identification directement à partir de telles pages, complétant ainsi ce cadre de phishing assez robuste.

CQForensic: Boîte à outils Pentesting and Forensics

CQURE

La source: BHUSA2019

Si vous êtes un pentester ayant des besoins d'infiltration de réseau et d'élévation de privilèges, alors CQTools pourrait vous faciliter la tâche.

Développée par l'équipe CQURE, cette boîte à outils polyvalente pour les tests d'intrusion et l'informatique légale facilite les activités de détection et d'usurpation d'identité, l'extraction d'informations et de mots de passe, la génération de shell et de données personnalisées personnalisées, le masquage de code des solutions antivirus, l'enregistrement au clavier et l'exploitation des informations collectées pour la création d'attaques.

CQWSLMon permet aux enquêteurs et aux analystes de surveiller les interactions Windows et WSL. CQRegKeyLastWriteTime vous permet de voir les temps de création et de modification des clés de registre. CQSecretsDumper vous permet de vider les informations d'identification, CQNTDSDTDecrypter vous permet de déchiffrer ntds.dit (stocke toutes les données AD). CQLsassSecretsDumper dumps la clé d'or / de sauvegarde DPAPI de LSASS.

CQTools inclut même un outil appelé CQDPAPIKeePassDBDecryptor qui déchiffre les données KeePass. Il utilise les données DPAPI obtenues à partir du contrôleur de domaine (Active Directory).

Exécution de code à distance dans le navigateur avec JSShell

JSShell

La source: Github

Si vous avez déjà utilisé le framework BeeF, vous allez adorer cet outil car il se verrouille également sur les navigateurs. JSShell, développé par Daniel Abeles, permet à l’utilisateur d’attacher / accrocher de nombreux clients pour exécuter le code à distance dans le navigateur. Vous pouvez associer la charge de script en tant que XSS sur des serveurs Web vulnérables lors du rapprochement ou de la simulation de scénarios d'attaque.

JSShell prend en charge les objets DOM cycliques, les scripts de pré-vol, la file d'attente et le contexte de commande, la pagination du shell, etc. Il est également extensible avec l’ajout de plugins pilotés par l’utilisateur. Si TLS / HTTPS est indispensable, JSShell prend en charge son intégration avec Let's Encrypt!

Comment automatiser et simplifier la collection OSINT

Mappeur de surface d'attaque

La source: Github

Vous recherchez un outil pour explorer rapidement un domaine, tous ses sous-domaines, adresses e-mail et employés de l'entreprise? Besoin de quelque chose pour la collecte d'informations à la volée?

AttackSurfaceMapper a.k. ASM vous a couvert. Créé par Andreas Georgiou et Jacob Wilkin; Il utilise de nombreux modules tels que LinkedInner pour cartographier les employés, Shodan pour l'analyse des ports passifs, le module WeLeakInfo pour connaître les bases de données d'un courrier électronique d'employé, DNSdumpster pour connaître tous les sous-domaines associés à un site, le module VirusTotal pour déterminer le degré de malveillance de certains artefacts. et beaucoup plus.

ASM prouve sa valeur pour les enquêtes OSINT et la collecte d’informations si vous essayez de passer d’un domaine à pratiquement tout ce qui est attaché au service sans alerter le CNO. Il saute d'un module à l'autre en fonction des données trouvées dans le module précédent.

Travailleurs de service à la porte dérobée

Travailleurs fantômes

La source: travailleurs de l'ombre.github.io

Travailleurs fantômes est un C2 open-source créé par Claudio Contin et Emmanuel Law conçu pour aider les pentesters et les équipes rouges à exploiter XSS et les «opérateurs de service» dans les navigateurs modernes pour un accès persistant à tout ce que le client a accès via le navigateur lui-même. Il comporte des fonctionnalités telles que la synchronisation en arrière-plan, les notifications push, l'empoisonnement du DOM (via le gestionnaire d'extraction), l'exécution de JS arbitraires, etc.

Considérez les opérateurs de service comme des scripts secondaires (généralement JS) s’exécutant en arrière-plan, séparément de la page Web. Les agents de service ont été conçus pour synchroniser des éléments, émettre des notifications, etc.

Ils peuvent également être utilisés comme outil de post-exploitation du navigateur, tant que le technicien de service reste actif. Un technicien de service peut agir en tant que proxy réseau sur le client sur lequel il s'exécute, permettant des interactions réseau directement à partir du navigateur, telles que l'analyse du port à partir de localhost.

Cette fonctionnalité proxy des opérateurs de service permet à l'utilisateur qui contrôle Shadow Workers C2 de naviguer sur le navigateur compromis du client en tant que victime. Cette puissante fonctionnalité permet aux pentesters d’accéder à tout ce que la victime a enregistré en tant que victime.

De plus, le mécanisme d'empoisonnement DOM permet aux travailleurs d'observation fantômes de modifier les demandes tant qu'elles sont dans la portée; (Par exemple, le logiciel réside dans / main /, alors il peut empoisonner n'importe quoi dans / main / et après).

Emmanuel Law et Claudio Contin ont également publié une extension Chrome pour aider à atténuer ce type d'attaque en permettant / bloquant les opérateurs de service installés par des applications Web. Vous pouvez trouver cet outil ici.

CIO Explorer permet de corréler des indicateurs de compromis

IoC Explorer

La source: Github

IoC Explorer (Indicateur de compromis) est un outil créé par Lion Gu (analyste de la sécurité de 360 ​​Enterprise Security Group) pour les chasseurs de menaces, SOC / NSOC et les équipes d’intervention en cas d’incident conçues pour corréler les artefacts de manière automatisée.

Par exemple, vous n'avez peut-être rien de plus qu'un courrier électronique à corréler avec certains fichiers binaires. IoC Explorer va essayer d'extraire tous les domaines enregistrés sous cet email et générer une liste d'adresses IP. Ensuite, l'outil met en corrélation les fichiers binaires pouvant être connectés à ces adresses IP.

L'outil s'appuie sur diverses sources d'informations sur les menaces pour corréler différents artefacts. Il utilise VirusTotal pour IP vers fichier, domaine pour fichier, domaine pour IP, fichier pour IP, fichier pour domaine et relations entre fichiers.

En plus de VirusTotal, IoC Explorer utilise QiAnXin pour les domaines IP à IP, de domaine à e-mail, de courrier électronique à domaine, de fichier à IP et de fichier à domaine. IoC Explorer est très flexible: si ses sources d'informations sur les menaces ne répondent pas à vos besoins en informations, vous pouvez toujours ajouter vos sources pour résoudre des artefacts liés à d'autres artefacts.

AVET – l'outil anti-virus Evasion

UN VÉTÉRINAIRE

Source: BHUSA2019

UN VÉTÉRINAIRE est un outil conçu pour intégrer les fichiers EXE, DLL et shellcode d’un exécutable qui ne peut pas être détecté par les programmes antivirus actuels. AVET utilise des techniques d’évasion telles que le creusement de processus et l’injection de shellcode / DLL.

Les systèmes de chiffrement / codage incluent RC4 pour le chiffrement / déchiffrement. L’outil comporte des techniques d’évasion du bac à sable, telles que le fichier (si le fichier existe, n’exécutez pas), le nom d’hôte, le nombre de cœurs de processeur, le préfixe d’adresse MAC spécifique au fournisseur et les clés de registre spécifiques.

AVET fonctionne avec le module psexec de Metasploit. À cette fin, l'exécutable doit d'abord être compilé en tant que service Windows, et ce n'est qu'alors que la charge utile peut être utilisée dans Metasploit.

Travailler aux côtés de Metasploit rend AVET particulièrement utile pour les pentesters déjà familiarisés avec le cadre et qui cherchent à éviter la détection de l’AV après leur exploitation.

Lors d'une démonstration en direct dans Blackhat USA Arsenal, AVET a pu échapper à la détection de McAfee AntiVirus, mais a ensuite été détecté par Windows Defender. Pour un utilitaire gratuit à source ouverte, cet outil est un excellent choix pour tester la fiabilité du logiciel audiovisuel de votre environnement.

L'intelligence de la menace rencontre le DNS: IOC2RPZ

IOC2RPZ

La source: Youtube

Le DNS est au cœur du fonctionnement d'Internet. Il prend dans un domaine et crache une adresse IP correspondante. Un logiciel malveillant utilise parfois le DNS pour communiquer avec son serveur de commande et de contrôle. Les entreprises de publicité utilisent également le système DNS à des fins de suivi en utilisant des structures de domaine complexes.

Les serveurs DNS publics résolvent certains de ces problèmes. Le problème est que vous ne devez pas seulement leur faire entièrement confiance. De plus, vous n’avez aucun contrôle sur le serveur et sur la manière dont il peut répondre à vos requêtes. Un DNS public basé sur des stratégies n'existe pas.

DNS RPZ (Response Policy Zone) a été créé pour fournir ce mécanisme de stratégie à un serveur DNS. Prendre en compte les IoC (indicateurs de compromis), puis les alimenter vers un serveur DNS régi par des règles, s'avère efficace pour bloquer les campagnes de programmes malveillants / de phishing à partir d'une approche heuristique.

Avec IOC2RPZ, vous pouvez prendre des milliers d’IoC et créer des flux RPZ qui se gèrent / se mettent à jour automatiquement. Il prend en charge DoT (DNS sur TLS) et crée des zones par demandes entrantes. IoC provient d’un large éventail de sources.

L'expiration d'IoC permet la suppression d'informations obsolètes. IOC2RPC prend le meilleur de deux mondes (IoC + RPZ piloté par Intel) et les combine de manière pratique pour aider à créer un «pare-feu dynamique» au niveau DNS.

Nouveau Linux Distro pour OSINT Research et DFIR

TSURUGI

Source: BHUSA2019

TSURUGI est une distribution Linux dédiée avec Enquêtes OSINT, Criminalistique numérique et réponse aux incidents (DFIR). Il contient une variété de modules – pour la reconnaissance d'images / références croisées, le hachage, le montage, l'analyse d'artefacts, la récupération de données, l'analyse de mémoire, la récupération de mots de passe, l'analyse de réseau et d'autres tâches connexes. Il inclut même des modules pour la collecte d'informations sur les périphériques iOS et Android.

Pour OSINT en particulier, TSURUGI est fourni avec EmailHarvester, Maltego, tweet_analyzer, SnapStory, linkedin2username, TorCrawl, WhatBreach et également le navigateur Tor.

Le module de reconnaissance d'image de TSURUGI s'avère particulièrement utile pour les enquêtes OSINT, où l'analyste souhaite comparer une personne à une grande quantité d'échantillons d'images. TSURUGI dessine les points du visage et les montures pour une détection précise de la ressemblance.

Détection MITM avec MITMEngine

MALCOLM

La source: MALCOLM

Moteur, une bibliothèque open-source développée par Gabriele Fisher et Luke Valenta de Cloudflare, a été spécialement conçue pour détecter MITM («monstres dans les middlebox») entre le client et le serveur lors de l’établissement d’une connexion TLS.

MITMEngine alimente également les solutions Cloudflare. MALCOLM projet, un tableau de bord qui affiche les statistiques d’interception HTTPS sur le réseau de Cloudflare. Selon Cloudflare, L’interception HTTPS se produit principalement dans deux situations:

  • Lorsqu'un certificat racine tiers est installé et approuvé sur un périphérique
  • Lors de l'accès à une ressource Web via un autre serveur ayant également accès à la clé privée TLS de la ressource Web (par exemple, un proxy Web).

Les attaques MITM sont généralement des attaques passives (les données ne sont pas modifiées en transit), ce qui les rend difficiles à détecter. La méthode Fisher / Valenta a adopté une nouvelle approche en détectant les boîtiers intermédiaires via les certificats.

Certes, il peut exister des raisons légitimes pour lesquelles un certificat peut différer de celui fourni par le serveur. Les outils antivirus, par exemple, peuvent parfois intégrer leurs certificats à ce qui existe déjà. Même les réseaux internes d'entreprise internes peuvent injecter leurs certificats racine.

Les logiciels malveillants peuvent également surveiller le trafic chiffré si un certificat non autorisé est installé sur la victime. Certains mandataires qui mettent fin aux connexions TLS peuvent également surveiller le trafic chiffré si le navigateur confie au certificat de ce dernier le traitement du proxy pour gérer toutes les données qui le traversent. Les avertissements de certificat générés par les navigateurs ne sont pas fiables. MITMEngine comble les lacunes critiques.

*

Les outils suivants n’ont pas figuré dans ma liste de candidats cette année. Pourtant, ils méritent un examen plus approfondi, alors vérifiez-les:

  • Redhunt OS v2: Machine virtuelle pour l'émulation de l'adversaire et la chasse aux menaces
  • BOtB: Break out of the Box, outil d'analyse, d'exploitation et de CICD
  • Medaudit: pour l'audit des dispositifs médicaux et des infrastructures de santé