PsExec Kullanımı ve Önemli Komutlar

Merhaba, bu yazımda sizlere PsExec kullanımı ve önemli komutlar konusundan PsExec, Sysinternals tarafından geliştirilen bir komut satırı aracıdır ve özellikle bir etki alanında (domain) sistem yönetimi ve uzaktan komut çalıştırma için oldukça kullanışlıdır. PsExec ile bir etki alanında yapabileceklerinizden bazıları şunlardır. PsExec v2.43 Uzaktan Komut Çalıştırma PsExec ile bir etki alanındaki…

Tactics Techniques and Procedures Cyber Security

The estimated number of published OT vulnerabilities that are actuality exploitable varies. A survey by researchers from Virginia Tech and other research institutes estimating that “5.5% of all 100,000+ vulnerabilities contained in the National Vulnerability Database have been exploited in the wild.

The European Union Agency for Cybersecurity (ENISA) claims that “at least 8.65% of vulnerabilities are exploitable… this number is expected to be higher due to zero-day exploits and the incompleteness of the datasets”. It should be noted that this figure refers to both OT and IT vulnerabilities.

Tactics Techniques and Procedures

Many 2019 reports point out a rise in masquerading. This is done, for example, to steal log-on IDs and passwords or find security gaps in programs. In addition, we’ve also observed a rise in the use of SMB protocol exploitation.

According to Crowdstrike’s report, there has been a rise in malware-free attacks. Malware-free attacks are attacks where the initial tactic did not result in a file or file fragment being written to disk, for example attacks where code executes from memory or where stolen credentials are used for remote login using known tools.

“Hands-on-keyboard” techniques have also been on the rise, including command-line interface attacks, PowerShell and credential theft, credential dumping, and account discovery.

The hacking “industry” is transitioning to an outsourced service model. This model includes Ransomware-as-a-service (RaaS) (e.g. LockerGoga that attacked ICS manufacturing facilities), Malware-as-a-service (MaaS), and Download-as-a-Service (DaaS).

Finally, there has been a prolific use of network shell commands, RDP, RATs, Active directory scanners, network protocol vulnerability exploitation, non-secure DNS manipulation (DNS tunneling, Anchoring), and RCE remote code execution.

2019 OT Advisories and Increase in Attacks

All the 2019 reports I have read were unequivocal about the rise of attacks on the ICS sector. Moreover, in a recent survey of OT leaders, 77% of respondents said they had experienced a malware intrusion in the past year, and half experienced between three and ten. Tactics Techniques and Procedures Cyber Security

The Tactics, Techniques and Procedures (TTP’s) aimed at the ICS environment that made the headlines were BitPaymer, Ryuk, and LockerGoga.

BitPaymer – BitPaymer is a Ransomware that collects data such as Active Directory (AD) credentials, private user data and lists of all computers on the network. BitPaymer uses the PowerShell Empire tool for lateral movement in the network.

Ryuk – Ryuk is a ransomware that resembles and is probably somewhat based on BitPaymer. It uses TrickBot modules (e.g. pwgrab) to execute credentials theft, and PowerShell Empire traffic for reconnaissance and lateral movement.

LockerGoga – uses the PsExec (a sys-admin tool) to perform reconnaissance and lateral movement in the network. Since LockerGoga neither gives the victims a chance to recover the files nor specifically asks for payment, it is likely intended to disrupt operations.

How to Run a Program in Windows as the SYSTEM (LocalSystem) Account

How to Run a Program in Windows as the SYSTEM (LocalSystem) Account

Local System Account The LocalSystem account is a service control manager-defined local account. Because the security subsystem does not recognize this account, you cannot specify its name in a LookupAccountName call. It has extensive privileges on the local computer and serves as the network computer. The SYSTEM (a.k.a. LocalSystem) account, which has a high privilege level, owns many Windows…

View On WordPress

Black Basta Ransomware Becomes Major Threat in Two Months

Black Basta Ransomware Becomes Major Threat in Two Months

Home › Cybercrime Black Basta Ransomware Becomes Major Threat in Two Months By Kevin Townsend on June 24, 2022 Tweet Security researchers have assessed the Black Basta ransomware threat level as HIGH, and the number of victims is still rising Black Basta ransomware has become a major new threat in just a couple months. Evidence suggests it was still in development in February 2022, and only…

View On WordPress

AutoRDPwn - The Shadow Attack Framework

AutoRDPwn - The Shadow Attack Framework #Powershell #Hacking #Windows

AutoRDPwn is a script created in Powershell and designed to automate the Shadow attack on Microsoft Windows computers. This vulnerability allows a remote attacker to view his victim’s desktop without his consent, and even control it on request. For its correct operation, it is necessary to comply with the requirements described in the user guide.

Requirements Powershell 5.0 or higher

Changes

Vers…

View On WordPress

Originally forked from jdforsythe and worth a look for anyone looking for something similar to PSEXEC in the command prompt (CMD) to connect to a remote machine via Powershell.

Microsoft disponibiliza nova versão da Suite Sysinternals para Windows, Nano Server e ARM64

Microsoft disponibiliza nova versão da Suite Sysinternals para Windows, Nano Server e ARM64

A Microsoft disponibilizou hoje uma nova atualização (build 2022.07.19) da Suite Sysinternals para Windows, Nano Server e ARM64. Esta Suite gratuita é destinada a IT Pros e Power Users e inclui ferramentas para monotorização de processos (Process Explorer e Process Monitor), monotorização e conversão de Discos Rígidos (DiskMon e Disk2vhd), analise de Dumps (ProcDump), entre outros. (more…)

View On WordPress

PSExec Kullanımı

Merhaba, bu yazımda sizlere kısaca PSExec kullanımı konusundan basitçe bahsedeceğim. PsExec, Microsoft’un Sysinternals paketinin bir parçası olan bir araçtır ve ağ üzerinden uzaktaki bir bilgisayara komut satırı erişimi sağlar. Bu araç sayesinde sistem yöneticileri, uzaktan bilgisayarlarda program başlatma, servis yönetimi ve sistem komutlarını çalıştırma gibi işlemleri gerçekleştirebilirler.…

View On WordPress

real people know you need to use `psexec -i -s explorer` to gain REAL admin rights

Moses Staff : il rapporto Check Point                                               

Nel settembre 2021, il gruppo di hacker Moses Staff ha iniziato a prendere di mira le organizzazioni israeliane, con un’ondata di attacchi informatici seh segue quella iniziata circa un anno fa dai gruppi Pay2Key e BlackShadow.

Gli utlimi due gruppi – Pay2Key e BlackShadow – però hanno agito principalmente per ragioni politiche – sottolinea il rapporto CheckPoint – nel tentativo di danneggiare l’immagine del Paese, chiedendo denaro e conducendo lunghe e pubbliche trattative con le vittime. Moses Staff si comporta diversamente.

Moses Staff afferma apertamente che la loro motivazione nell’attaccare le società israeliane facendo trapelare i dati sensibili rubati e crittografando le reti delle vittime, senza richiedere un riscatto. Il loro scopo sarebbe

“Combattere contro la resistenza ed esporre i crimini dei sionisti nei territori occupati”.

Per comprendere il gruppo i risultati chiave del rapporto di CheckPoint sono:

MosesStaff effettua attacchi mirati facendo trapelare dati, crittografando le reti. Non vi è alcuna richiesta di riscatto e nessuna opzione di decrittazione; i loro motivi sono puramente politici.    

L’accesso iniziale alle reti delle vittime è presumibilmente ottenuto sfruttando vulnerabilità note nell’infrastruttura pubblica come i server Microsoft Exchange.    

Gli strumenti utilizzati di base sono: PsExec, WMIC e Powershell.    

Gli attacchi utilizzano la libreria open source DiskCryptor per eseguire la crittografia del volume e bloccare i computer delle vittime con un bootloader che non consente l’avvio delle macchine senza la password corretta.

L’attuale metodo di crittografia del gruppo può essere reversibile in determinate circostanze. 

Leggi su Andrea Biraghi Cyber Security

IBM X-Force Tehdit Raporu: Siber suçlarda başı Cryptojacking çekiyor

IBM X-Force Tehdit Raporu: Siber suçlarda başı Cryptojacking çekiyor

IBM Güvenlik İş Birimi’nin hazırladığı 2019 IBM X-Force Tehdit Raporu çıktılarına göre, siber saldırıların yarısından çoğu, kötü amaçlı yazılım saldırıları yerine hedeflenmiş iş e-postalarını ele geçirmeyi hedefliyor.

IBM Güvenlik İş Birimi, IBM X-Force Tehdit Yllık Raporu’nun (2019 IBM X-Force Threat Intelligence Index) sonuçlarını duyurdu. Rapora göre, artan güvenlik önlemleri ve farkındalık,…

View On WordPress

Ataque de ransomware a gran escala, golpea duramente a Europa

Ataque de ransomware a gran escala, golpea duramente a Europa

Madrid, 28 de junio de 2017 - Un ataque de ransomware a gran escala del que se ha comunicado que ha sido causado por una variante del ransomware Petya está golpeando actualmente a varios usuarios, particularmente en Europa. Esta variante, que Trend Micro ya detecta como RANSOM_PETYA.SMA, es conocida por utilizar tanto el exploit EternalBlue como la herramienta PsExec como vectores de infección. Tanto a usuarios como a organizaciones se les aconseja seguir los siguientes pasos de mitigación inmediatamente para prevenir y evitar la infección:

• Aplicar el parche de seguridad MS17-010 • Desactivar el puerto TCP 445 • Restringir las cuentas con acceso al grupo de administradores

Trend Micro también protege a sus clientes contra esta amenaza con Predictive Machine Learning y otras importantes funciones de seguridad frente al ransomware que se encuentran en Trend MicroXGen™ security. Actualmente, la compañía está trabajando en el análisis de esta amenaza y actualizará esta publicación tan pronto tenga más detalles disponibles.

Corriente de infección

Como se mencionó anteriormente, la entrada inicial de este ransomware en el sistema implica el uso de la herramienta PsExec, una herramienta oficial de Microsoft utilizada para ejecutar procesos en sistemas remotos. También utiliza la vulnerabilidad de EternalBlue -previamente empleada en el ataque de WannaCry- que se dirige a una vulnerabilidad en Server Message Block (SMB) v1. Una vez en un sistema, esta variante Petya utiliza el proceso rundll32.exe para ejecutarse por sí misma.  El cifrado real es llevado a cabo por un archivo llamado perfc.dat, ubicado en la carpeta de Windows.

Este ransomware añade entonces una tarea programada, que reinicia el sistema después de al menos una hora (Mientras tanto, la Master Boot Record (MBR) también se modifica para que el encriptador realice el cifrado y se muestre la nota de rescate correspondiente. Inicialmente, se muestra una notificación falsa de CHKDSK, es decir, cuando el cifrado se lleva a cabo realmente. Normalmente el ransomware, no cambia las extensiones de los archivos cifrados. Más de 60 extensiones de archivos están dirigidas al cifrado, vale la pena señalar que las extensiones de archivo objetivo se centran en los tipos de archivo utilizados en la configuración de la empresa; imágenes y archivos de vídeo (dirigidos por otros ataques de ransomware) están particularmente ausentes.

Figura 1. Diagrama de infección

Figuras 2 y 3. Avisos de Ransomware que se muestran después del reinicio

Aparte del uso del exploit EternalBlue, hay otras similitudes a WannaCry. Al igual que este ataque, el proceso de rescate de esta variante Petya es relativamente simple: también utiliza una dirección Bitcoin codificada, haciendo que el descifrado sea un proceso mucho más laborioso por parte de los atacantes. Esto contrasta con los ataques anteriores de Petya, que tenían una interface de usuario (UI) más desarrollada para este proceso. A cada usuario afectado se le pide que pague un rescate de 300 dólares. Hasta este momento, se han pagado aproximadamente 7.500 dólares en la dirección de Bitcoin. Como en todos los ataques de ransomware, Trend Micro aconseja no pagar el rescate –en este caso, esto es particularmente importante, ya que la cuenta de correo electrónico mencionada en la nota de rescate ya no está activa.

PsExec y línea de Comando de Información de Administración de Windows (WMIC) Petya utiliza hábilmente los procesos legítimos de Windows PsExec y Windows Management Information Command-line, que es una interfaz que simplifica el uso de Windows Management Instrumentation (WMI).

Una vez que Petya se ha descargado, despliega psexec.exe como dllhost.dat en la máquina de destino. El malware también desgarta una copia de sí mismo en \\{nombre de máquina remota}\admin $\{malware filename}. A continuación, ejecuta la copia desplegada utilizando dllhost.dat localmente (que es el nombre de archivo de la herramienta PSExec) con los parámetros siguientes:

dllhost.dat \\{remote machine name} -accepteula -s -d C:\Windows\System32\rundll32 “C:\Windows\{malware filename}”,#1 {random number minimum 10} {enumerated credentials}

El formato de {enumerated credentials} es el siguiente:

"Un1: pw1" "un2: pw2" "un3: pw3" ... "unN: pwN"

Si esto no tiene éxito, entonces Petya utilizará WMIC.EXE para ejecutar el archivo en la máquina remota:

%System%\wbem\wmic.exe /node:”{node}” /user:”{user name}” /password:”{password}” process call create “C:\Windows\System32\rundll32 \”C:\Windows\{malware filename}\” #1 {random number minimum 10} {enumerated credentials}”

Petya utilizará PSExec o WMIC para difundir el malware a otros sistemas dentro de la red local. Si esta parte de la cadena de infección no funciona, solo entonces Petya explotará la vulnerabilidad EternalBlue.

Método de extracción de información Trend Micro ha descubierto que esta variante de Petya utiliza un método avanzado para extraer información del sistema infectado. Utiliza un Mimikatz personalizado, una herramienta de seguridad legítima, para extraer nombres de usuario y contraseñas. Los ejecutables Mimikatz de 32 bits y 64 bits se cifran y almacenan en la sección de recursos del ransomware. El método de extracción se ejecuta cuando el proceso de malware principal abre un conducto, que es utilizado por el Mimikatz personalizado para escribir sus resultados. Estos resultados son leídos por el proceso principal del malware. Como se mencionó anteriormente, Petya es capaz de extenderse a otros sistemas dentro de la red local utilizando esta información extraída.

Procedimiento de modificación del disco Antes del cifrado, Petya modificará primero el MBR como parte de su proceso. Inicialmente, el sector después Volume Boot Record (VBR) se escribe con código (0xBAADF00D), lo que hace que el sistema no arranque.

También accede a los siguientes sectores:

• Los sectores 0 a 18 (desplazamiento de disco 0 a 25FFh) se sobrescriben con su propio programa de arranque. • El sector 32 (desplazamiento del disco 4000h a 41FFh) se escribe con algunos datos aleatorios estructurados. • El sector 33 (offset de disco 4200h a 43FFh) se llena con 07h.

El MBR original está cifrado:

• El sector 34 (desplazamiento de disco 4400h a 45FFh) se escribe con el MBR original cifrado XOR.

Si el proceso anterior falla, sobreescribirá los sectores 0-9 con código (0xBAADF00D).

Soluciones de Trend Micro

Puedes encontrar más información sobre las soluciones de Trend Micro en este artículo.

Los siguientes hashes SHA256 están relacionados con esta amenaza:

027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1

(Updated on June 28, 2017, 9:50 PDT to add more technical information)

Access locked out SQL instances, i.e. sa account or windows/sql logins with sysadmin passwords are lost or disabled

David Lister from SQL Services ...   Info on Breaking into SQL ;)  PSExec tool gives you an option to run a remote process or an application using System account, if SYSTEM account has permission on that application. Although there are many more features that are  For example, if SQL Server has NT AUTHORITYSYSTEM as one of its logins, then you can use this account to login to SQL Server. However, you can’t use SQL Server Management Studio or sqlcmd to login to SQL Server using NT AUTHORITYSYSTEM. Try it yourself! However, PSExec gives you an opportunity to login to SQL Server using NT AUTHORITYSYSTEM. Once you download PSExec tool bundle command prompt and type following command: D:PSTools>psexec -i -s "C:Program Files (x86)Microsoft SQL Server100ToolsBinnVSShellCommon7IDESsms.exe" Here, –i allow the program to run so that it interacts with the desktop of the specified session on the remote system. If no session is specified the process runs in the console session. -s runs the process in SYSTEM account. The above command will launch SQL Server Management Studio and gives you a “Connect to Server” window and the User Name will be pre-populated with NT AUTHORITYSYSTEM. If NT AUTHORITYSYSTEM has a login authority to the server, you will be able to login to the SQL Server. If you do not use “–i” switch, you won’t be able to launch management studio! So, make sure you use –i and –s both! However, if there is a deny to this login, for example because of Trigger etc., then you won’t be able to login to SQL Server using this technique.

[Media] ​​psexec_noinstall

​​psexec_noinstall The repository contains psexec, which will help to exploit the forgotten pipe. https://github.com/MzHmO/psexec_noinstall #pentesting #redteam