~/docs/llmnr_poisoning.pcap

LLMNR sta per Local-Link Multicast Name Resolution, mentre che NBT-NS sta per NetBIOS Name Service.

Questi due protocolli sono di default abilitati su Windows (a partire da Windows Vista) e il loro scopo è quello di intervenire a supporto del sistema operativo quando non è in grado di risolvere un nome host tramite il servizio DNS o via il suo file host locale.

~/docs/kerberos.ht

In questi giorni mi sono imbattuto in una discussione con un gruppo di colleghi sul funzionamento di Kerberos per l’autenticazione delle sessioni su Windows. La cosa interessante che ne è venuta fuori è che, sebbene in generale tutti considerano Kerberos più efficace degli altri metodi di autenticazione (a giusta ragione), ben pochi sanno come funziona. … Leggi tutto

~/docs/windows_logon_type.sam

Cos’è il logon In breve: il logon è un processo per ottenere l’accesso a sistemi locali o remoti utilizzando un set di credenziali valide. Le informazioni sull’utente vengono convalidate dall’autorità di sicurezza locale (LSA) nel caso di un account locale mentre che, nel caso di un account di dominio, il Security Accounts Manager (SAM) sarà … Leggi tutto

~/tips/powerShell_transcription_log

Disclaimer Questo post è nato dall’ispirazione che mi è venuta dopo la lettura di questo articolo (PowerShell ♥ the Blue Team) e di quest’altro (Hunting for Malicious PowerShell using Script Block Logging) del quale consiglio caldamente la lettura per contestualizzare maggiormente il focus. TL;DR Per abilitare la trascrizione dei comandi powershell aprire la console delle … Leggi tutto

~/tips/4625-logon_failure

Una delle componenti più complesse quando si implementa un SIEM è la gestione dei falsi positivi, specialmente quando questi si celano dietro a meccanismi che si danno per conosciuti come l’autenticazione. Da qualche tempo a questa parte avevo delle segnalazioni di questo tipo A prima vista la gestione errori di Windows server ha segnalato che … Leggi tutto

Do I need SSL inspection?

TL;DR – how to Yes, you do. In order to do that you’ve to generate an RSA key with $ openssl genrsa -aes256 -out private-key.pem 2048 and, when prompted, enter a passphrase for encrypting the private key. $ openssl req -new -x509 -days 3650 -extensions v3_ca -key private-key.pem -out certificate.pem and, when prompted, type the … Leggi tutto

Active Directory GPO auditing

Audit events in your environment is crucial for the discovery and investigation of security incidents: it is also important to know the best practice for configuring the Windows Server 2016/2019 policy.Here’s a list of my presonal tips which I normally implement in my organization.DISCLAIMER: images are not from my lab (except for the log view), … Leggi tutto

Active Directory GPO best practices

I wanted to write these tips to make all Microsoft system administrators aware of ten “tips” immediately applicable on their infrastructures to increase the security level in Active Directory.The list is obviously not exhaustive, the idea is to shed light on those less implemented but – in my opinion – important policies.Happy reading. 1. Prevent … Leggi tutto