NTUSER.MAN

Описание: https://jh.live/flare-011526 || Управляйте анализом угроз и уязвимой поверхностью атаки с помощью Flare! Попробуйте бесплатную пробную версию и посмотрите, какая информация доступна: https://jh.live/flare-011526

Видеодемонстрация трюка с NTUSER.MAN, который я видел в сети перед Новым годом — я не знал, что это существует 👀 Спасибо DeceptIQ и другим... мы демонстрируем:

1. взлом входа в Windows с помощью пустого профиля пользователя,
2. получение первоначального доступа без проблем с помощью импланта Sliver C2,
3. экспорт, загрузка и захват существующего профиля целевого пользователя NTUSER.DAT или раздела реестра HKCU,
4. преобразование разделов реестра из .reg в двоичный файл с помощью инструмента HiveSwarming.exe,
5. и обеспечение постоянного присутствия с помощью нового бэкдорированного профиля NTUSER.MAN, который мы загружаем!


Никаких записей в реестр, вызовов API или обратных вызовов реестра, потому что это всего лишь один файл, размещенный на диске! Довольно круто.

Это моя первая запись после месячного перерыва на праздники, и это было мучительно — много неудач и ошибок, и это заняло много часов 😅

Я экспериментирую с мемами в миниатюрах и короткими заголовками видео, чтобы СРАВНИТЬ их с кликбейтом.

Также экспериментирую с более длинными текстовыми промо-роликами для социальных сетей при выпуске видео, чтобы добавить больше деталей и контекста в превью. Мне больше не нужно кормить алгоритмы, но есть и LLM-ы!

Приятно снова что-то выпускать.

---------

https://deceptiq.com/blog/ntuser-man-...
https://github.com/elastic/detection-...
https://learn.microsoft.com/en-us/win...
https://github.com/stormshield/HiveSw...
https://persistence-info.github.io/

Изучите кибербезопасность и многое другое с Just Hacking Training: https://jh.live/training
Узнайте, чем еще я занимаюсь: https://jh.live/newsletter
ℹ️ Партнерская программа:
Научитесь программировать с CodeCrafters: https://jh.live/codecrafters
Создайте свой собственный VPN с OpenVPN: https://jh.live/openvpn
Получите обучение по программе Blue Team и сертификаты SOC Analyst от CyberDefenders: https://jh.live/cyberdefense