Mein Notebook ist mein ständiger Begleiter. Und ich verbringe viel Zeit im Zug. Diese nutze ich, um Fragen für Kursteilnehmer zu beantworten. Oder ich informiere mich selbst über Neuerungen bei Microsoft. Oder ich schreibe kleine Scripte, weil’s mir Spass macht… Ach, es gibt so viel zum Probieren! 🙂
Größere Szenarien stelle ich in eigens dafür aufgebauten LAB-Umgebungen nach und zeichne diese auf. Ebenso arbeite ich stetig an meiner eigenen Infrastruktur. Da für mich Dokumentationen beim Consulting ein wichtiger Bestandteil meiner Arbeit sind, führe ich diese natürlich auch bei meinen eigenen Services stetig mit.
Hier stelle ich euch allen meine kleinen WSHowTo’s rund um viele interessante Themen zur Verfügung. Klickt euch einfach durch meine Beitragkategorien. Einige Themen habe ich auch zu Serien zusammengefasst.
Verhindert eine Rechteerweiterung eines Angreifers durch GPO-Poisoning proaktiv, indem ihr eure GPO-Rechtedelegationen regelmäßig bereinigt. Was bietet sich da mehr an als ein Powershell-Script?
Vielleicht haben einige von euch meine Hacking-Videos gesehen. Andere haben vielleicht schon einmal meinen Hacking/IT-Security-Workshop besucht. Und vielleicht wolltet ihr danach wissen, wie meine Powershell-ReverseShell genau funktioniert? Hier gibt es die Antwort.
Gruppenrichtlinien können auch von Angreifern für Rechteausweitungen und die Kompromittierung anderer Computer benutzt werden. Hier zeige ich einen unschönen Bug und wie dieser ausgenutzt werden kann. Und natürlich gibt es Tipps und Gegenmaßnahmen!
In diesem Video zeige ich euch einen kompletten Angriff aus der Perspektive eines Angreifers. Wie gewohnt spielt dabei die PowerShell wieder eine große Rolle.
Die letzten Jahre habe ich mich immer tiefer in die IT-Security eingearbeitet. Zum besseren Verständnis gehört es da auch dazu, sich in die Rolle eines Angreifers zu versetzen. Etliche Incident Responses, bei denen ich teilhaben durfte, zeigten mir, dass mein LAB sehr nah an der Realität dran ist.
In dieser…
Mit dem kostenlosen Windows-Feature “Windows Eventlog Forwarding” kann man schnell und zentral wichtige Eventlogs sammeln und sich so für forensische Analysen vorbereiten. Hier seht ihr, wie ich das in meiner Demo-Umgebung implementiere.
Angriffe häufen sich und werden immer professioneller. Mit einer klassischen Sicherheitsstrategie alleine kommen wir nicht mehr weit. Daher müssen wir umdenken und uns neu ausrichten. In diesem Beitrag möchte ich mein Modell vorstellen. Es ist einfacher als das Mitre Att&ck Framework, kann aber auch mit diesem kombiniert werden.
Exchange Server haben extrem hohe Rechte im Active Directory. Daher sind sie auch ein beliebtes Ziel bei Angreifern und diese fanden bisher über 650! Schwachstellen. Aber wie kann ein Exchange Server für die Übernahme eines AD genutzt werden? Hier gibt es ein simples Beispiel…
Exchange Server sind im Standard so hoch berechtigt, dass jeder, der sie kontrolliert, problemlos das Active Directory übernehmen kann. Diese Berechtigungen sollte man aufsplitten und damit die IT-Sicherheit ordentlich verbessern.
In diesem Beitrag zeige ich euch, wie ich sysmon in meiner kleinen Infrastruktur fälchendeckend ausrolle und konfiguriere. Und da ich bereits einen Event-Collector im Einsatz habe, zeige ich auch, wie ich die Events an diesen Server weiterleite.
