Work and live with IT

/automated-response-c2-traffic-devices/images/Preview.png

Automatisch C2 traffic auf Endgeräten erkennen

Fabian Bader veröffentlicht auf 2021-10-18 enthalten in Defender for Endpoint Security Advanced Hunting KQL

Der Feodo Tracker von abuse.ch liefert eine Liste von IP-Adressen, die aktiv als C2-Server verwendet werden. Mit MDE und ein wenig Automatisierung kann man ganz einfach verhindern, dass sich Clients mit diesen Servern verbinden können und zusätzlich einen Alarm erhalten, wenn sie dies versuchen.

/defender-identity-npcap-windows-server-2022/images/Preview.png

Defender for Identity, Npcap und Windows Server 2022

Fabian Bader veröffentlicht auf 2021-10-05 enthalten in Defender for Identity Security Windows Server

Microsoft Defender for Identity ist ein sehr hilfreiches Tool um einen tiefen Einblick in eine Active Directory Umgebung zu erlangen. Die, auf jedem Domain Controller installierten, Agents sammeln dabei unter anderem Informationen direkt aus dem Netzwerkverkehr des Servers und leiten diese an Microsoft Defender weiter. Für die Analyse nutzt der Agent standardmäßig den WinPcap Treiber. Dieser führt auf einem Windows Server 2022 schon bei mäßiger Auslastung zu folgender Fehlermeldung: Die CPU, RAM und Netzwerkauslastung des betroffenen Domain Controllers ist jedoch nicht sonderlich hoch.

/bypass-sensitivity-label-restrictions/images/Preview.png

Bypass sensitivity label restrictions with mobile Edge and conditional access policies

Fabian Bader veröffentlicht auf 2021-08-30 enthalten in Azure AD Entra ID Conditional Access Identity and Access Microsoft Information Protection Security KQL

Vulnerability assesment by MSRC Severity Important Security Impact Security Feature Bypass Scope of the security vulnerability This article describes a security vulnerability that allowed an authenticated Microsoft 365 user to bypass additional protective measures based on sensitivity labels to download content to an unmanaged device. The user could not access files that she otherwise would not have access to. Fixed The issue has now been fixed by Microsoft and it is no longer possible to reproduce this behavior.

/golden-certificate-ocsp/images/OCSP-IssuedSerialNumbersDirectories.png

Golden Certificate and OCSP

Fabian Bader veröffentlicht auf 2021-08-08 enthalten in PKI Security

In this blog, I want to discuss one mitigation technique for the attack DPERSIST1 better known as “golden certificate”.

/create-persistent-defender-av-exclusions-circumvent-defender-endpoint-detection/images/EICAR.png

Create persistent Defender AV exclusions and circumvent Defender for Endpoint detection

Fabian Bader veröffentlicht auf 2021-08-04 enthalten in Defender AV Defender for Endpoint KQL

A user with administrative permissions is able to create Defender AV exclusions without using the Add-MPPrefence cmdlet. Because of the way the exclusion is created, most public guidelines and hunting queries on detecting this kind of change won’t detect it. Even more troubling is the fact that Microsoft Defender for Endpoint will not log any of those changes made. Therefore it’s not easy to detect and could go undetected for security personnel which relies on those queries and products.

/pulse-secure-windows-11/images/Preview.png

Pulse Secure VPN unter Windows 11 nutzen

Fabian Bader veröffentlicht auf 2021-07-26 enthalten in PowerShell

Offiziell unterstützt Pulse Secure Windows 11 noch nicht, dass heißt aber nicht das es nicht funktionieren würde. Jedoch ist es nicht ganz so einfach wie erwartet. Die Verbindung wird immer nach ein paar Sekunden wieder getrennt. Die manuelle Lösung welche im Forum beschrieben ist war mit jedoch etwas zu aufwändig. Die Einstellungen des “Juniper Networks Virtual Adapter” Das Netzwerk Binding “Juniper Network Service” aktivieren Da die virtuelle Netzwerkkarte bei nicht erfolgreichem Verbindungsaufbau automatisch wieder entfernt wird und dann die Einstellung verliert habe ich die Schritte per PowerShell automatisiert.