Im NSIDE Tech Blog veröffentlichen die Analysten der NSIDE interessante technische Artikel, neue Erkenntnisse und von uns entwickelte Techniken.
Keylogging mal anders: wdigest & tspkg
In einem Red Team Assessment kommt es häufig vor, dass man Administratorrechte auf einem einzelnen Windows-Server erlangt. Meistens geschieht dies durch Kompromittieren der Zugangsdaten eines Administrators des Servers, aber auch ein veraltetes Betriebssystem oder eine Sicherheitslücke in einer Anwendung auf dem Server sind häufige Gründe. Zunächst einmal ein kleiner Erfolg für uns als simulierte Angreifer (also Red Teamer), der uns aber nicht notwendigerweise weiter bringt auf unserem Weg zu kritischen Funktionen des Zielunternehmens. Nach der initialen Überprüfung der defensiven Kapazitäten des Server (also Identifizierung der Antiviren- und EDR-Systeme sowie der aktiven Härtungsmaßnahmen wie AppLocker oder Constrained Language Mode) erfolgt als nächstes das „Looting“ des Servers, also das Suchen nach für uns wertvollen Informationen. Ob nun das Auslesen von Zugangsdaten aus dem Arbeitsspeicher mit Mimikatz […]