Red Team

Source : SpecterOps (billet de blog de Daniel Mayer). Contexte : l’auteur détaille la création d’un Beacon Object File (BOF) permettant d’énumérer et d’exécuter des commandes dans WSL2 sur différentes versions, afin de faciliter le pivot depuis des hôtes Windows fortement surveillés. • Constats clés : WSL2 s’exécute comme une VM Hyper‑V séparée et est « rarement » monitorée, offrant aux attaquants un espace d’exécution discret. Les approches classiques via WslLaunch/WslApi.dll appellent en réalité WSL.exe via CreateProcess, générant des artefacts visibles mais communs. L’interface COM de WSL2 a évolué de façon non rétrocompatible, rendant un client COM unique difficile sans gérer de multiples versions. ...

Selon l’annonce du projet EvilNeko, l’outil vise à opérationnaliser les techniques de Browser‑in‑the‑Browser (BITB) pour les équipes rouges et aider les équipes bleues à les détecter. EvilNeko est présenté comme un projet permettant de passer à l’échelle l’infrastructure d’attaques BITB au-delà d’un seul utilisateur/session, en s’inspirant des travaux de Mr. d0x et des idées du projet EvilNoVNC. L’objectif est de fournir un moyen réaliste d’émuler ces techniques pour des tests autorisés et de contribuer à la détection côté défense. 🐱‍💻 ...

Selon Darknet, ChromeAlone transforme le navigateur Chromium en un implant C2 furtif. L’outil offre la capture d’identifiants, l’accès aux fichiers et des mécanismes de persistance, et se positionne comme une alternative basée sur le navigateur à Cobalt Strike. Points clés 🧩: Implant C2 intégré à Chromium Capture d’identifiants Accès aux fichiers Persistance Alternative basée navigateur à Cobalt Strike TTPs mentionnées: Implantation C2 furtive via navigateur Chromium Credential capture (capture d’identifiants) File access (accès aux fichiers) Persistance Il s’agit d’un article de présentation d’outil décrivant ses capacités et sa finalité. ...

Selon Darknet, un outil nommé PyRIT est mis en avant pour la reconnaissance automatisée d’environnements Azure, avec une intégration de GPT-4, et est présenté comme un outil de red team unique développé par Microsoft. 🛠️ Nature de l’outil : outil de red team dédié à la reconnaissance. ☁️ Cible : environnements Azure. 🤖 Intégration : GPT-4. 🏢 Origine : développé par Microsoft. L’article le décrit explicitement comme « un outil de reconnaissance de red team unique construit par Microsoft », conçu pour automatiser les activités de repérage dans le cloud Azure en s’appuyant sur l’intégration d’un modèle GPT-4. ...

L’article publié sur Darknet.org.uk présente PsMapExec, un outil récent conçu pour les équipes de sécurité offensive, également appelées red teams. Cet outil est basé sur PowerShell et est spécifiquement développé pour faciliter les opérations d’énumération et de mouvement latéral dans les environnements internes. PsMapExec est particulièrement efficace lors d’opérations utilisant WinRM (Windows Remote Management) et SMB (Server Message Block), deux protocoles couramment utilisés dans les infrastructures Windows. L’outil permet aux professionnels de la sécurité de simuler des attaques et d’identifier des vulnérabilités potentielles dans les systèmes informatiques des entreprises. ...

Cet article, publié par Quarkslab, décrit une compromission d’une instance Confluence hébergée sur une machine virtuelle EC2 dans un compte AWS lors d’un engagement Red Team. Bien que l’équipe ait compromis la machine hébergeant Confluence, elle n’avait pas d’accès applicatif direct mais a pu interagir avec la base de données sous-jacente. L’article détaille comment l’équipe a exploré la structure de la base de données Confluence et les mécanismes de génération de tokens API. Plusieurs méthodes ont été envisagées pour obtenir un accès privilégié sans utiliser de identifiants valides, notamment en modifiant des mots de passe d’utilisateurs, en créant de nouveaux comptes administrateurs, ou en générant des tokens API. ...