The Atomic bomb for kiddies /exploring NSA exploits/
1 like156 views
Документ обсуждает уязвимости в системах Windows и методы использования эксплойтов, таких как EternalBlue и DoublePulsar, с акцентом на автоматизацию атак. Он также затрагивает аспекты кибербезопасности, включая утечки данных от NSA и советы по защите от уязвимостей. Включены ссылки на ресурсы, информацию о шадоу брокерах и рекомендации по работе с безопасностью в IT-среде.
![●
SNOWDEN DOCS https://search.edwardsnowden.com/
●
WIKILEAKS VAULT7 https://wikileaks.org/ciav7p1/
●
EQUATION GROUP LEAK
https://github.com/adamcaudill/EquationGroupLeak
●
SHADOW BROKERS [Lost in translation]
https://steemit.com/shadowbrokers/@theshadowbrokers/lo
st-in-translation
https://github.com/misterch0c/shadowbroker
LINKS / Источники](https://image.slidesharecdn.com/nsaexploits-170705045834/85/The-Atomic-bomb-for-kiddies-exploring-NSA-exploits-5-320.jpg)
![Check:
●
msf > use auxiliary/scanner/smb/smb_ms17_010
●
nmap -sC -p445 --open --max-hostgroup 3 --script smb-vuln-ms17-
010.nse X.X.X.X/X
Exploits:
●
msf > use exploit/windows/smb/ms17_010_eternalblue
* [Only x64 arch, targets limited]
●
https://github.com/gh0stsec/Eternalblue-Doublepulsar-Metasploit
* [x86, x64, all targets]
IN PUBLIC / Что есть в паблике](https://image.slidesharecdn.com/nsaexploits-170705045834/85/The-Atomic-bomb-for-kiddies-exploring-NSA-exploits-11-320.jpg)
The Atomic bomb for kiddies /exploring NSA exploits/
- 1. The Atomic bomb for kiddies /exploring NSA exploits/ DEFCON #3 Astana
- 2. #WHOWEARE Dauren Nickname: b4zed Networking Pentesting Bugbounty Member: ЦАРКА CCNA Security Yerbol Nickname: neo Reverse Engineering Hardware Programming Member: ЦАРКА Lawyer
- 3. NSA/ Tailored Access Operations (TAO) Equation Group LEAK SHADOW BROKERS ВЫ ВСЁ УЖЕ СЛЫШАЛИ.. THE STORY / Кинематографично
- 4. THE STORY / Вброс в паблик MICROSOFT ?? SHADOW BROKERS NSA (TAO) EQUATION GROUP E.SNOWDEN HACKERS /RESEARCHERS SCRIPT KIDDIES CYBER CRIMINALS/ PETYAs etc.
- 5. ● SNOWDEN DOCS https://search.edwardsnowden.com/ ● WIKILEAKS VAULT7 https://wikileaks.org/ciav7p1/ ● EQUATION GROUP LEAK https://github.com/adamcaudill/EquationGroupLeak ● SHADOW BROKERS [Lost in translation] https://steemit.com/shadowbrokers/@theshadowbrokers/lo st-in-translation https://github.com/misterch0c/shadowbroker LINKS / Источники
- 6. OMG! 0day exploits for FREE!
- 7. FUZZBUNCH / DOUBLEPULSAR ● Как Metasploit ● Работает на Windows ● Python 2.6 ● Все включено ● Под угрозой все версии Windows HOW TO USE https://www.exploit-db.com/docs/4 1896.pdf
- 9. FUZZBUNCH / DOUBLEPULSAR Doublepulsar — ring 0 бэкдор позволяет dll инжект в процессы системы. И другие.. but... it`s already enough to have fun & profit
- 10. CARCATH.PY / Автоматизация FuzzBunch ● Работает на Unix OS ● Нужен Wine ● В связке с Metasploit / Meterpreter ● X64 x86 ● More automatisation Demo:http://telegra.ph/HOW-TO-USE-CARCATCHPY-05-15
- 11. Check: ● msf > use auxiliary/scanner/smb/smb_ms17_010 ● nmap -sC -p445 --open --max-hostgroup 3 --script smb-vuln-ms17- 010.nse X.X.X.X/X Exploits: ● msf > use exploit/windows/smb/ms17_010_eternalblue * [Only x64 arch, targets limited] ● https://github.com/gh0stsec/Eternalblue-Doublepulsar-Metasploit * [x86, x64, all targets] IN PUBLIC / Что есть в паблике
- 12. AFTERSHOCK:CRYPTOR HEAVEN /Рай для крипторов WannaCry SambaCry Petya..etc..
- 13. Проверено 2294 хоста: ● Уязвимы — 24 ● Заражены — 1 1% Все еще уязвим SHODAN search country:KZ $shodan parse —fields ip_str kzsmb.json.gz > /tmp/hosts.txt $msf > use auxiliary/scanner/smb/smb_ms17_010 $msf > set RHOSTS file:/tmp/hosts.txt $msf > run
- 14. НИЧЕГО...ПРОДОЛЖАТЬ В ТОМ ЖЕ ДУХЕ... ● ИГНОРИРОВАТЬ УТЕЧКИ ● ШАДОУ БРОКЕРЗ? КТО ЭТО? ● ЗАНИМАТЬСЯ «БУМАЖНОЙ» ИБ ● ПИЛИТЬ БЮДЖЕТЫ С SIEM/DLP/SOC (нужное подчеркнуть) ● ЭКОНОМИТЬ НА ШТАТЕ ИБ ● НЕ АВТОМАТИЗИРОВАТЬ УСТАНОВКУ ОБНОВЛЕНИЙ ● ИСПОЛЬЗОВАТЬ WINDOWS XP/Windows 2003/ ● НЕ ПРОВОДИТЬ ВНУТРЕННИЙ АУДИТ/PENTEST ● БЫТЬ ЗАВИСЫМЫМ ОТ ПРОДУКТОВ MICROSOFT ● НЕ ХОДИТЬ НА DEFCON ВСТРЕЧИ https://support.microsoft.com/en-us/help/4023262/how-to-verify-that-m s17-010-is-installed MITIGATE / Что делать?
- 15. CVE 2017-0199 ОС Microsoft Windows Наличие пакета Microsoft Office/Word Доступ в Интернет
- 16. HTA HTML Application (HTA) — приложение Microsoft Windows, написанное на HTML или Dynamic HTML. Jscript VBScript
- 17. OLE Link Внедренные объекты становятся частью файла Word или почтового сообщения и после вставки теряют связь с исходным файлом. Связанные объекты могут обновляться при изменении исходного файла. Связанные данные хранятся в исходном файле. В файле Word (целевом файле) хранятся только сведения о расположении исходного файла и отображается представление связанных данных.
- 18. RTF (Rich Text Format)
- 19. Генерируем RTF и готовим HTA
- 20. Результат
- 21. Что произошло
- 22. Дополнительно RTF файл можно переименовать в DOC без потери функционала Множество способов генерации OLE объекта Нет необходимости запускать макросы
- 23. На последок... Не отключать автоматическое обновление Запускать подозрительные файлы в защищенном режиме