История Макса часть 1

Джесс, ну прости. Конечно я помню про ужин. Очень хочу провести этот вечер с тобой, ты же знаешь это, милая. Не бросай трубку... - МАКС

Ну почему отношения это так сложно, недоумевал я. Год назад даже не думал, что влипну в подобную историю. Сколько себя помню, всегда был один и не расстраивался по этому поводу. Родителей не помню, а жизнь в детдоме я предпочел забыть и никогда больше не вспоминать. Мой характер в уверенностью можно описать парой слов - абсолютно не социальный.

Именно поэтому я 18 лет так и провел в стенах детского дома, читая книги и изучая прикладные науки. Не знаю почему, но погружаться в волшебный мир фэнтези всегда для меня было лучшим средством абстрагироваться от этого мира и с легкостью преодолевать все невзгоды. Чуть позже мне попались на глаза книги по программированию и это привнесло новые эмоции в мои будни.

Макс, мы ждем тебя. Ты готов? - СЭМ

Сэм нашел меня на одном из форумов, где я продавал 0-day для разных Enterprise-продуктов по довольно низким ценам. Если сравнивать с zerodium, то отдавал их практически даром.

Из-за проблем с коммуникацией, на работу я так и не устроился. А мой старенький thinkpad, который подарили на выпуск по достижению 18 летнего возраста, остался единственной возможностью не погрязнуть в пучине большого города. Если бы не он, то даже не знаю, какая судьба ожидала меня.

Я бесконечно благодарен Миссис Морис, сотруднице детдома, которая разглядела во мне не просто интровертного ребенка, а нечто большее и всячески старалась поддерживать меня на протяжении всех этапов моего взросления. Она умерла год назад от онкологии, а я так и не смог отблагодарить ее должным образом, о чем сожалею каждый день. Именно эта женщина всегда советовала мне жить каждым днем и радоваться любому новому опыту, не бояться совершать ошибки и быть открытым этому миру. Правда мне все равно плохо даются ее рекомендации.

Макс, как планировали, рассылка по 5 обговоренным сотрудникам. Как будет пробитие, действуем по плану. - СЭМ

Только спустя полгода после наших атак, cve-2021-40444 официально опубликуют какие-то там ресерчеры и поднимут шумиху. А пока это результат моей 7 месячной работы, который позволяет со 100% шансом пробить периметр компании, которая используют Microsoft Office.

После предложения Сэма присоединиться к их компании и выйти на новый уровень своего развития, я думал примерно неделю, а затем согласился на условиях неразглашения своей личности, как в целом и принято в даркнете.

Меня ввели в курс дела и я даже немного удивился такой организации. По словам Сэма у нас был менеджер, который организовывал работу и получал заказы(Сэм), был человек, который устраивался на работу в компании, которые надо было компрометировать(Томми), был кодер(Кен), веббер(Джош), спец по Active Directory(Бэн), спец по AWS, GCP, AliCloud, HuaweiCloud(Шон), и даже девопс для организации рабочей среды(Лари). В итоге я был 8 членом этой команды. И меня радовала такая немногочисленность.

Чуть позже я понял, что Томми не выходил на связь более 6 месяцев и работа по внедрению человека в компанию приостановлена. Наш инсайдер-социальщик пропал, поэтому было принято решение найти того, кто сможет пробивать периметр другими путями с высоким шансом. А мои последние работы как раз были связаны с продуктами Microsoft Office.

Как итог я попал в APT, которая специализируется на кибершпионаже. Максимальная скрытность и продолжительное пребывание - это 2 основных столпа нашей работы. Да, я оказался в кругу одних из лучших специалистов разных отраслей. Что я тогда чувствовал? Неуверенность, настороженность и легкую эйфорию.

Так двое есть. Остальные вероятно еще обедают. Бэн уже начал рекон. - СЭМ

Путем проб и ошибок мы выявили, что оптимально отправлять письма после обеда. Люди, как правило возвращаются в это время сытыми и с притупленным вниманием. Да и промежуток между 2 и 5 вечера самый непродуктивный. Люди чаще делятся на тех, кто преимущественно любит работать в промежутке с 6 утра до 1 дня и с 6 вечера до поздней ночи.

Пару CV для HR, пара фин доков для бухгалтерии и 1 в отдел документооборота. Эти рабочие пчелки обрабатывают такое количество документов ежедневно, что наши затеряются в потоке и с высокой долей ветоятности будут открыты.

Еще 1 прилетел. Бэн говорит, что все настроено по лучшим практикам. Пользаки ограничены почти во всем, что не касается их отделов. Все важные операции через терминальный сервер. На локальных тачках лишь доки для повседневных работ. В качестве EDR - Sentinel One, что плохо. Пока сидим в памяти еще ок, но кидать файл на жесткий и пробовать закрепляться довольно рискованно. Дернуть сохраненные креды из credmanager пока не получается. - СЭМ

Конечно многие думают, что Cobalt Strike лучший C2 из коммерческих. Особенно 4.6 со SleepMask, множеством вариантов конфигов, BOFами, reflective loaderами и в целом это действительно не лишено здравого смысла. Правда есть несколько нюансов, он очень популярен и шанс его детекта очень высок, как-бы его не обфусцировали и какие конфиги не писали. Хотя мы и достигали FUD на нагрузках, все равно не рискуем использовать его первым.

Защитные решения многих компаний включают в себя прокси и это вызывает дополнительные трудности для получения желаемого отстука. Именно поэтому мы используем небольшой загрузчик c dns-коммуникацией. Он слегка переписывается под каждый таргет, тем самым позволяет с 99% уверенностью получать желаемый результат.

Есть инфа из DPAPI 3х пользаков, правда Бэн говорит, что на VPN у многих 2FA. У бухгалтеров совсем душно, токены для авторизации, двухфакторка почти на все действия. Не жизнь а сплошное подтверждение по пушам и смс. Наверно и поход в туалет у них сопровождается опечатыванием клавиатуры и монитора с последующим актом вскрытия. - СЭМ

С Джесс я познакомился год назад, как раз во время депрессии, связанной с утратой Миссис Морис. Я сидел в парке, подавленный, разбитый и по моим щекам текли слезы. Я не хотел себе признаваться, что это все реально и на самом деле происходит. Я потерял самого близкого человека в своей жизни, не мог осознать и принять это. Что-то чуждое вырывалось из моей грудной клетки, я хотел кричать, плакать, в последний раз обнять Миссис Морис, сказать, как она мне дорога, как я ей благодарен, да просто угостить чашечкой ее любимого зеленого чая, это же так просто! Почему это внезапно стало невозможным? Врачи уверяли, что все пройдет хорошо и шансы на выздоровление велики.

И почему именно во время операции какие-то мудаки решили пошифровать инфру больницы? Почему именно этот день? Почему эти люди настолько невежественные, лишенные каких-либо моральных рамок, позволяют себе подвергать опасности невинных людей ради пары сраных биткоинов?

Это случилось, а я ощутил полное бессилие, опустошение и потерю веры в людей. Мое апатичное существование длилось уже пару недель. Плохо помню тот день, когда я вышел за кофе, присел на лавку, слезы неумолимо и бесконтрольно вновь потекли из глаз, а я и не сопротивлялся этому. Мне было плевать на взгляды прохожих, их мнение и чужие жизни в целом. По такому сценарию я жил уже несколько дней: дом, кофе, лавка, слезы и ночная работа. Все это было на автомате и я даже сначала не заметил соседку, читающую книгу на другой стороне лавки.

Макс, есть несколько учеток в группе VPN, которым пока не настроили 2FA, 3 из них никем не используются и выключены, а пара недавно создана для аутсорсинговой компании. Вероятно придется составить еще несколько писем. Мы пока пробиваем, что за контора. В описании только пара слов без явной принадлежности. Подключились к почте HR через мобильный клиент, там тоже ищем инфу. Пока составляй на какую либо трендовую тему. NFT например, либо заказ на аутсорс, характер работ сообщу чуть позже. - СЭМ

Я залип в своих мыслях и не заметил, как стакан кофе медленно, но верно выскальзывал из моих рук и финалом этого действа было падение на землю с сопутствующими брызгами во все стороны. Девушку не задело, а вот я изрядно так замарался. Это происшествие меня совсем не расстроило, я наверно даже был благодарен этому стаканчику, что он вырвал меня из грустных мыслей и на моем лице промелькнула улыбка. Что-то отрезвляющее было в этом незначительном событии, я внезапно осознал, что моя жизнь продолжается и надо двигаться дальше, несмотря ни на что.

Когда я обратил внимание на собеседницу, то перед моим взором возникла девушка, лет 20. Темные, шелковистые, прямые волосы, блеск которых притягивал взор мимопроходящих завистниц. Голубые глаза, глубина которых очаровывала. Ее белоснежная улыбка обезоруживала и располагала. Тем не менее девушка не была красавицей, но здоровье, уверенность в себе и бесконечная жизнерадостность вызывали у меня настоящее уважение и неподдельный восторг. Она была очень милой с чувством стиля, что позволяло одеваться красиво, не тратя на шмотки безумные деньги. Белые кеды, синие джинсы и черная кожанка поверх белой длинной футболки на ней дополняли картину приятным оформлением.

Так Макс, есть зацепки, контора занимается интеграцией софтовых решений, есть несколько контактов менеджеров, ищем инженеров. Если найдем, то кидаем им. Если нет, то пойдем через первых. - СЭМ

Мало того, что меня застали врасплох, так еще и девушка первая предложила общение. Я промычал что-то невнятное и от этого растерялся еще больше. Она слегка приподняла правую бровь и вновь улыбнулась.

Продолжение следует....