Red Team

Selon la documentation du projet publiée sur GitHub, “apimspray” est un toolkit de password spraying ciblant Entra ID, destiné à la recherche autorisée et au Red Teaming. 🧰 Description et prérequis Outil spécialisé pour Entra ID (Azure AD), utilisant des passerelles Azure API Management (APIM) comme couche de proxy distribué et rotatif (IP rotating). Prérequis : Azure CLI (az) et abonnement Azure actif pour déployer des ressources APIM en tier Consumption (coût annoncé négligeable pour de courts tests, typiquement < 0,01 $). Installation/prise en main: clonage du dépôt, installation des dépendances Python, session Azure CLI authentifiée, exécution depuis Azure Cloud Shell possible. 🏗️ Déploiement des passerelles ...

Selon Ars Technica (Dan Goodin), Dallas County (Iowa) a accepté, cinq jours avant l’ouverture d’un procès, de verser 600 000 $ à deux professionnels de la sécurité de Coalfire, Gary DeMercurio et Justin Wynn, arrêtés en 2019 lors d’un pentest physique autorisé d’un palais de justice. Contexte et fait marquant ⚖️: En septembre 2019, les pentesters menaient un exercice de red team autorisé par l’Iowa Judicial Branch, incluant explicitement des « attaques physiques » (ex. lockpicking) sous conditions. Malgré une lettre d’autorisation vérifiée par des adjoints arrivés sur place, le shérif du comté de Dallas, Chad Leonard, a ordonné leur arrestation pour cambriolage (felony), plus tard réduite à des contraventions de trespass; toutes les charges ont ensuite été abandonnées. ...

Selon le dépôt GitHub du projet Chronix, l’outil propose un espace de travail collaboratif auto‑hébergé destiné aux pentesters et opérateurs Red Team, pour capturer notes, commandes, sorties et contexte opérationnel tout au long des engagements. 🛠️ Fonctionnalités principales : journalisation chronologique (source, destination, outil, commande, sortie, résultat), notes collaboratives en Markdown avec auto‑sauvegarde et historique, synchronisation temps réel via WebSocket, filtres/recherche (par outil, cible, texte), exports CSV/Markdown (notes en .md ou archive .zip avec pièces jointes), et collage d’images (PNG/JPEG/GIF/WebP) directement dans les notes. ...

Selon l’annonce du projet OpenMalleableC2, cette bibliothèque open source implémente le format de profil Malleable C2 de Cobalt Strike pour transformer et transporter des données sur HTTP de manière flexible et transparente. Le projet vise à combler les limites de personnalisation du trafic HTTP observées dans des frameworks C2 open source existants (comme Mythic, Havoc, Adaptix) en permettant la réutilisation directe des profils Malleable C2 et de l’écosystème associé. Il se présente comme « framework-agnostic » afin de s’intégrer à divers outils de recherche et d’équipes rouges. 🛠️ ...

Source : SpecterOps (billet de blog de Daniel Mayer). Contexte : l’auteur détaille la création d’un Beacon Object File (BOF) permettant d’énumérer et d’exécuter des commandes dans WSL2 sur différentes versions, afin de faciliter le pivot depuis des hôtes Windows fortement surveillés. • Constats clés : WSL2 s’exécute comme une VM Hyper‑V séparée et est « rarement » monitorée, offrant aux attaquants un espace d’exécution discret. Les approches classiques via WslLaunch/WslApi.dll appellent en réalité WSL.exe via CreateProcess, générant des artefacts visibles mais communs. L’interface COM de WSL2 a évolué de façon non rétrocompatible, rendant un client COM unique difficile sans gérer de multiples versions. ...

Selon l’annonce du projet EvilNeko, l’outil vise à opérationnaliser les techniques de Browser‑in‑the‑Browser (BITB) pour les équipes rouges et aider les équipes bleues à les détecter. EvilNeko est présenté comme un projet permettant de passer à l’échelle l’infrastructure d’attaques BITB au-delà d’un seul utilisateur/session, en s’inspirant des travaux de Mr. d0x et des idées du projet EvilNoVNC. L’objectif est de fournir un moyen réaliste d’émuler ces techniques pour des tests autorisés et de contribuer à la détection côté défense. 🐱‍💻 ...

Selon Darknet, ChromeAlone transforme le navigateur Chromium en un implant C2 furtif. L’outil offre la capture d’identifiants, l’accès aux fichiers et des mécanismes de persistance, et se positionne comme une alternative basée sur le navigateur à Cobalt Strike. Points clés 🧩: Implant C2 intégré à Chromium Capture d’identifiants Accès aux fichiers Persistance Alternative basée navigateur à Cobalt Strike TTPs mentionnées: Implantation C2 furtive via navigateur Chromium Credential capture (capture d’identifiants) File access (accès aux fichiers) Persistance Il s’agit d’un article de présentation d’outil décrivant ses capacités et sa finalité. ...

Selon Darknet, un outil nommé PyRIT est mis en avant pour la reconnaissance automatisée d’environnements Azure, avec une intégration de GPT-4, et est présenté comme un outil de red team unique développé par Microsoft. 🛠️ Nature de l’outil : outil de red team dédié à la reconnaissance. ☁️ Cible : environnements Azure. 🤖 Intégration : GPT-4. 🏢 Origine : développé par Microsoft. L’article le décrit explicitement comme « un outil de reconnaissance de red team unique construit par Microsoft », conçu pour automatiser les activités de repérage dans le cloud Azure en s’appuyant sur l’intégration d’un modèle GPT-4. ...

L’article publié sur Darknet.org.uk présente PsMapExec, un outil récent conçu pour les équipes de sécurité offensive, également appelées red teams. Cet outil est basé sur PowerShell et est spécifiquement développé pour faciliter les opérations d’énumération et de mouvement latéral dans les environnements internes. PsMapExec est particulièrement efficace lors d’opérations utilisant WinRM (Windows Remote Management) et SMB (Server Message Block), deux protocoles couramment utilisés dans les infrastructures Windows. L’outil permet aux professionnels de la sécurité de simuler des attaques et d’identifier des vulnérabilités potentielles dans les systèmes informatiques des entreprises. ...

Cet article, publié par Quarkslab, décrit une compromission d’une instance Confluence hébergée sur une machine virtuelle EC2 dans un compte AWS lors d’un engagement Red Team. Bien que l’équipe ait compromis la machine hébergeant Confluence, elle n’avait pas d’accès applicatif direct mais a pu interagir avec la base de données sous-jacente. L’article détaille comment l’équipe a exploré la structure de la base de données Confluence et les mécanismes de génération de tokens API. Plusieurs méthodes ont été envisagées pour obtenir un accès privilégié sans utiliser de identifiants valides, notamment en modifiant des mots de passe d’utilisateurs, en créant de nouveaux comptes administrateurs, ou en générant des tokens API. ...