Архив метки: Windows

📝 Как проанализировать реестр Windows на наличие изменений?

Реестр Windows

Реестр – это централизованная иерархическая база данных в Microsoft Windows, которая идля хранения информации, необходимой для настройки системы для различных пользователей, приложений и устройств. Реестр Windows предоставляет собой архив для сбора и хранения следующих данных параметров конфигурации компонентов Windows, установленного оборудования/программного обеспечения/ приложений и другого. Система реестра была впервые представлена в Windows 95 и с тех пор и с тех пор используется во всех ОС Windows.

Все конфигурационные параметры реестра находятся в разделах реестра:

  • HKEY_CLASSES_ROOT – Конфигурационные параметры для приложений и файлов;

  • HKEY_CURRENT_USER – Данные, которые ссылаются на профиль пользователя, который вошел в систему;

  • HKEY_LOCAL_MACHINE – Конфигурационные параметры системного уровня;

  • HKEY_USERS – Данные для всех учетных записях на текущем устройстве;

  • HKEY_LOCAL_CONFIG  – Информационные сведения об используемом профиле оборудования.

 

 

 

 

Не станем подробно изучать структуру, а лучше отметим, что всякий раз, когда пользователь устанавливает программное приложение, оборудование или драйвер устройства в операционной системе на базе Windows, начальные параметры конфигурации этих программ и драйверов сохраняются в виде ключей и их значений в реестре Windows. Во время использования программного или аппаратного обеспечения изменения, внесенные в конфигурацию, также находят свое отражение в реестре.

С точки зрения форензики, реестр Windows – это сундук с сокровищами. Он не только хранит записи о настройках приложений и ОС, но также отслеживает и пользовательские данные и хранит их в хорошо структурированном виде. Для анализа реестра мы можем использовать MUICache View, Process Monitor, Registry Editor, Regshot, USBDeview и RegRipper.

Для наглядности, для начала,  разберем инструмент Regshot.

Regshot

Утилита предназначена для фиксации изменений в реестре ОС Windows на основе создания снимков реестра и их дальнейшего сравнения.

Возможности:

  1. Выполнение снимков реестра Windows

  2. Сравнение 2-х снимков;

  3. Нахождение между ними изменений

Cкачать можно по ссылке https://sourceforge.net/projects/regshot

Запустим Regshot в нашей системе и сделаем первый снимок, выбрав при этом html отчет

 

 

После того как первый снимок будет сделан, зайдем в настройки браузера и зададим прокси сервер с ip адрессом 192.168.44.1 и портом 8080 и сохраним изменения

 

 

После этого сделаем второй снимок реестра, после чего нажмём “Compare” для вывода на экран html файла с данными по изменению реестра. И теперь мы наглядно видим в каких ветках реестра были добавлены наши значения

 

Проверим и найдем указанное значение в реестре:

 

 

 



2021-09-14T12:05:17
Аудит ИБ

👥Как заполучить доступ к учетной записи локального администратора?

Как получить пароль от учетной записи локального администратора?

Ранее мы писали о том как получить админский пароль в домене Active Directory. Но тогда речь шла о паролях администраторов домена.

В этой статье мы рассмотрим инструмент для проведения локальных атак повышения привилегий в системах Microsoft Windows. Инструмент называется localbrute.ps1 и представляет собой простой инструмент, написанный на PowerShell. Он не требует никаких сторонних модулей, а также мало весит, что делает его привлекательным дополнением к традиционным атакам на повышение привилегий, которые применяются  к различным сценариям тестирования на проникновение.

Зачем атаковать локальные учетные записи Windows?

Атаки на локальные учетные записи администраторы, такие как встроенная учетная запись “Administrator” или любая другая учетная запись, входящая в локальную группу “Администраторы”, могут быть довольно интересным вектором атаки, особенно если не включена политика по блокировке этих учетных записей, после заданного количества неудачных попыток входа А если нам это удастся подобрать пароль, то мы получим полный контроль над системой и сможем делать все те сочные вещи, которые мы любим делать, как пентестеры, например:

  • Отключить все средства защиты и контроля безопасности системы

    извлекать учетные данные в открытом виде из памяти и других мест (файлы, реестр и т.д.)

  • Запускать эксплойты для атаки на другие системы в сети

  • Устанавливать необходимое программное обеспечение

  • Получить доступ к защищенным областям системы для поиска конфиденциальной информации и многое другое.

Все из вышеуказанного  может помочь нам в горизонтальном продвижении дальше в инфраструктуре.

Атака на локальные учетные записи Windows не представляет собой ничего нового, однако в текущей статье мы НЕ ставим целью сделать это удаленно, используя всем изветстные инструменты тестирования на проникновение, такие как Metasploit smb_login scanner, Nmap smb-brute NSE script, CrackMapExec или т.д. Представленный нами инструмент PowerShell выполняет брутфорс локально на целевой системе, поэтому его использование довольно специфично.

Где этот инструмент может быть полезен?

Этот инструмент может быть полезен в тех случаях, когда мы уже получили доступ обычного пользователя на машине Windows и можем выполнять команды на ней – например, через RDP-сессию или через службы терминалов. Мы также можем использовать этот инструмент в случае, когда тестируем какую-то ограниченную или изолированную среду – например, среду VDI, где нам предоставили доступ только на уровне пользователя, и теперь мы должны проводить тестирование оттуда с ограниченным доступом к нашим любимым утилитам для пентестинга.

Другим примером может быть симуляция действий обиженого работника. Имея доступ к образцу рабочей станции сотрудника, возможно, укрепленной и защищенной различными средствами контроля и безопасности, сможем ли мы что-то сделать и нанести потенциальный ущерб организации?

Во всех этих случаях инструмент localbrute.ps1 может помочь нам в повышении привилегий.

Особенности инструмента

В двух словах, инструмент localbrute.ps1 выполняет автоматические попытки входа в систему локально в системе, используя встроенные функции Windows.

Ниже перечислены основные возможности инструмента:

  1. Выполняет атаки на вход в систему для любой выбранной локальной учетной записи, используя предоставленный список слов.

  2. Маленький и простой – его можно легко набрать вручную на клавиатуре

  3. Написан  PowerShell, и не требует дополнительных модулей

  4. Не обнаруживается решениями AV / EDR

Использование инструмента LocalBrute.ps1

1) Первое, что нам нужно сделать, это определить учетные записи локальных администраторов в системе

C помощью этой команды в cmd или ps мы можем найти членов группы локальных администраторов:

 

net localgroup administrators

 

 

2) Теперь, чтобы запустить инструмент localbrute, введем:

 

Import-Module .localbrute.ps1 



# Usage: localbrute <Имя УЗ> <путь к файлу со словариком> [debug] 



# Пример: localbrute Administrator .passwords.txt

 

 

Как Мы видим, пароль Ss123456! успешно получен

Как это работает?

Скрипт всего напросто итеративно просматривает предоставленный список слов (список паролей), строка за строкой и пытается аутентифицироваться под указанной учетной записью пользователя локально в системе. Он использует внутренние функции Windows DirectoryServices.AccountManagement на локальной машине. По сути, это позволяет нам тестировать аутентификацию для любой локальной учетной записи в нашей системе.

При прерывании (^C) инструмент записывает последнего кандидата на подбор пароля, который был отработан из данного списка слов для данного имени пользователя. Это позволяет инструменту продолжить (возобновить) атаку после перезапуска. В файле состояния также ведется учет уже скомпрометированных учетных записей.

Включим режим отладки (debug), чтобы увидеть, что именно делает инструмент.  Для примера запустим атаку на учетную запись itsecforu, затем прервем работу скрипта и запустим снова:

 

 

Как видно на скриншоте, инструмент продолжил свою работу с 118 слова из словаря, на нём была прервана работы. Однако обратите внимание на то, что если включен режим отладки, то скорость работы снижается примерно на 20-30%.

Заключение

Рассмотренный скрипт localbrute.ps1 – это простой инструмент перебора логинов, который может быть использован как дополнительный метод, при проведение атак повышения привилегий в системах Windows. Благодаря отсутствию политики блокировки локальных учетных записей, мы можем использовать его для проверки надежности паролей локальных привилегированных учетных записей и обнаружения учетных записей, настроенных на слабые пароли. Благодаря компактному размеру, он может пригодиться во время различных тестов на проникновение и симуляций атак.

Так что, всем LAPS!

LAPS – это инструмент Microsoft, который обеспечивает управление паролями локальных учетных записей компьютеров, подключенных к домену. Он устанавливает уникальный пароль для каждой учетной записи локального администратора и сохраняет его в Active Directory для легкого доступа.

¯_(ツ)_/¯ Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.



2021-09-12T19:58:31
Аудит ИБ

Видео Microsoft Mechanics обсуждает производительность Win 11

2021-09-10T12:20:15
Microsoft

Загружайте изображения в Facebook напрямую через Windows Live Gallery

К сожалению, до сегодняшнего дня я не нашел ни одного приложения для Windows, которое упростило бы загрузку изображений в Facebook. Я не говорю, что таких инструментов нет, все, что я говорю, это то, что я не удовлетворен доступными инструментами. Но если у вас есть Windows Live Gallery, для нее есть отличный небольшой плагин с открытым исходным кодом, который называется LiveЗагрузить в Facebook это сделает загрузку фотографий в Facebook куском пирога.

После установки откройте галерею Windows Live Gallery, выберите изображения, которые вы хотите загрузить, перейдите в «Опубликовать»> «Другие службы» и выберите «LiveUpload to Facebook».

Windows Live Gallery - загрузка в фейсбук Щелкните изображение выше, чтобы увеличить.

Откроется новое окно с просьбой выбрать учетную запись, в которую вы хотите загрузить фотографии. Если вы запускаете этот плагин впервые, вам нужно будет добавить новую учетную запись. Теперь нажмите «Далее», а на следующем шаге нажмите «Войти».

Просмотр процесса входа в Facebook

Загрузится новая веб-страница, на которой вы должны разрешить LiveUpload доступ к вашему профилю Facebook.

разрешить доступ к liveupload в facebook

Теперь вернитесь в галерею Windows Live, и вы увидите окно полной авторизации, нажмите «Далее», и снова откроется Facebook, где вы должны разрешить загрузку фотографий.

Примечание: После того, как вы разрешите доступ, вам больше не будет предлагаться, если вы не удалите приложение из своего профиля.

Вернитесь в галерею Windows Live еще раз и выберите альбом, в который вы хотите загрузить изображения. Вы можете создать новый альбом и изменить настройки конфиденциальности.

выберите альбом facebook

На следующем этапе нажмите «Опубликовать», и все готово.

liveupload в facebook - загрузка

Что делает этот плагин уникальным, так это то, что вы можете связать теги людей галереи Windows Live с пользователями Facebook, эти ссылки сохраняются, чтобы во второй раз процесс упростился.

LiveЗагрузить в Facebook - LinkAccounts

После того, как я попробовал этот плагин, я должен признать, что он вызвал у меня зависимость, так как я больше не захожу на Facebook, чтобы загружать свои фотографии. Попробуйте, и вы будете одинаково поражены. Наслаждаться!

Сообщение Загружайте изображения в Facebook напрямую через Windows Live Gallery появились сначала на My Road.

Windows 11 станет доступной с 5 октября

Во вторник вечером Microsoft наконец назвала дату выхода Windows 11. Новая операционная система Windows будет доступен, начиная с 5-го октября. С этого момента потребители смогут покупать новые ПК с предустановленной Windows 11. В связи с изменением планов, о которых мы слышали ранее в этом году, обновление ОС также начнет распространяться на подходящие/соответствующие ПК с Windows 10 через Центр обновления Windows.

Microsoft заявляет, что развертывание обновлений будет «поэтапным и измеряться с упором на качество». Из анонса в блоге Windows (ссылка вверху) видно, что Microsoft планирует в первую очередь запускать уведомления Центра обновления Windows для тех, у кого есть новые ПК, и постепенно продвигается вниз по стеку рынка. Он также будет использовать свои интеллектуальные модели, чтобы обеспечить более раннее обслуживание систем с меньшей вероятностью возникновения проблем с обновлением. Microsoft рассчитывает предложить бесплатные обновления для всех подходящих систем к середине 2022 года.

Если вы думаете, что ваш компьютер готов к работе с Windows 11 — а вы тоже — тогда вы сможете «подтолкнуть» Центр обновления Windows, чтобы проверить, готов ли он для вашего устройства. Мы видели, как обновления Windows работают подобным образом в течение некоторого времени, и кажется, что это достойный подход для удовлетворения медленных, устойчивых и нетерпеливых толп первых пользователей и тех, кто находится между ними.

Windows 11 станет доступной с 5 октября

 

Microsoft нашла время в своем сообщении в блоге, чтобы подытожить основные моменты Windows 11 в 11 пунктах. Напоминаем, что вы можете найти сокращенную версию хвастовства Microsoft ниже:

  • Новый дизайн пользовательского интерфейса

  • Обновленное меню «Пуск» с интеграцией с облаком и Microsoft 365

  • Макеты Snap, группы Snap и рабочие столы

  • Интегрированный чат от Microsoft Teams

  • Виджеты для ваших личных лент

  • Windows 11 — «лучшая Windows для игр», включающая технологию DX12 Ultimate (см. Видео ниже)

  • Появился новый Microsoft Store

  • Улучшена доступность

  • Win 11 открывает новые возможности для разработчиков

  • Новая Windows оптимизирована для скорости, эффективности и множественности ввода.

  • Windows 11 обещает гибридную работу