Киберпиздец. Страница 2

—Партнерский пост—

Мир кибербезопасности очень инертен, вымогателей становится только больше, промышленные системы и различные отрасли экономики каждый день страдают от масштабных APT-атак, а активные действия спецслужб только добавляют всему этому шоу пикантности. Ситуация эта вряд ли в ближайшем времени как-то изменится, и лишь продолжит усугубляться, поэтому наш долг держать руку на пульсе.

С этой задачей отлично справляется канал SecAtor. Ребята мониторят все горячие новости, шутят, разбирают отчеты крупных компаний, а их главная фишка — обзоры APT-группировок, вместе с их проделками.

Все по делу и на постоянной основе.

«Руки-ножницы российского инфосека» — SecAtor

Ребята из Digital Security рассказали на Хабре о своем выборе плагинов для Burp Suite, которые они используют для повседневных задач. https://habr.com/ru/company/dsec/blog/529088/

InfoSec Black Friday Deals 2020

Традиционная подборка интересных предложений «Чёрной пятницы» из сферы инфосек — https://github.com/0x90n/InfoSec-Black-Friday
https://github.com/Securityinfos/Black-Friday-Deals

1Password с 50% скидкой, много платформ для обучения, трейнингов и лаб по скидке (SANS, Practical DevSecOps, PentesterLab и пр.) и многое другое.

Большая часть скорее всего появится завтра, но уже есть из чего выбирать.

Ребята из Digital Security рассказали на Хабре о своем выборе плагинов для Burp Suite, которые они используют для повседневных задач.

https://habr.com/ru/company/dsec/blog/529088/

У подразделения PortSwigger Research есть максимально полезная шпаргалка по XSS, которую они постоянно обновляют, убирая уже устаревшие пейлоады и наоборот, собирая и добавляя актуальные, в том числе присланные от комьюнити по всему миру.

https://portswigger.net/web-security/cross-site-scripting/cheat-sheet

Очень крутой кейс про то, как имея на руках только снапшот виртуальной машины в момент ее компроментации и зашифированный pcap, автор смог не только вытащить сессионные ключи ssh, но и расшифровать трафик. Правда для этого пришлось проанализировать структуру OpenSSH, разложить все буквально на кусочки, понять в каких блоках памяти ОС хранятся данные, связанные с текущей ssh сессией, и в результате получить сессионный ключ.

Говорит, что было бы круто добавить эту функциональность в Wireshark.

https://research.nccgroup.com/2020/11/11/decrypting-openssh-sessions-for-fun-and-profit/

Как говорится — не bWAPP'ом единым!

Подборка заранее уязвимых приложений, сервисов, ОС и пр. для вашего обучения, либо тестирования различного рода сканеров.

https://github.com/vavkamil/awesome-vulnerable-apps/

Кстати, уже завтра стартует The Standoff — кибербитва и онлайн-конференция по информационной безопасности. Помимо самого противостояния организаторы обещают насыщенную программу с докладами, поэтому у вас ещё есть время зарегистрироваться.

Программу обещают опубликовать завтра, а само мероприятие продлится до 17 ноября.

https://standoff365.com/ru

Удивительно простой способ выполнить повышение привилегий в Ubuntu 20.04. Не баг а фича скрывается в службе, которая управляет учетными записями ОС (accountsservice) и менеджере рабочих столов GNOME (gdm3).

Перед экспериментами советую сделать снапшот, чревато блокировкой УЗ.

Детали > https://securitylab.github.com/research/Ubuntu-gdm3-accountsservice-LPE
Демонстрация > https://www.youtube.com/watch?v=8IjTq7GBupw

Презентации с Digital Security ON AIR 29.10.20

Темы:
Арсенал исследователя UEFI BIOS
Самое слабое звено инфраструктуры эквайринга
Золотой век Red Teaming С2 фреймворков
Защита Kubernetes со всех сторон

Доклады: https://www.youtube.com/playlist?list=PLpO1edtkcyU5vbVTfM1f7m_rhyAt-ZMcK

Все мы знаем, что безумное желание удешевить любое IoT устройство ни к чему хорошему не приводит, и вот очередная история про бюджетные телевизоры от китайской компании TCL, которые занимают чуть ли не 3 место по продажам на Amazon и продукция которой есть даже у наших крупных ритейлеров типа М.Видео или DNS.

Ребятам хватило буквально немного времени, чтобы обнаружить торчащую на нестандартном порту файловую систему Android TV, доступную через web и некорректные разрешения на некоторые критические файлы.

Кто знает, что там можно найти, если потратить на это больше времени.

Забавно, что после того, как о первой проблеме сообщили в TCL, те как-то без вмешательства владельца подопытного телевизора умудрились его обновить. Такие дела.

https://sick.codes/extraordinary-vulnerabilities-discovered-in-tcl-android-tvs-now-worlds-3rd-largest-tv-manufacturer/

​Сегодня речь пойдет об открытом и бесплатном инструменте для симуляции атак от израильской компании Guardicore — Infection Monkey. Первый релиз утилиты был еще в далеком 2015 году, а большой анонс состоялся на Black Hat 2016. Тогда это была специально зараженная виртуалка, которая пуляла в сеть различный вредоносный трафик без полезной нагрузки для тестирования систем IDS/IPS. С тех пор Infection Monkey сильно изменился, и ребята продолжают обновлять свой бесплатный продукт.

Сейчас это достаточно функциональный инструмент, позволяющий протестировать вашу инфраструктуру на восприимчивость к популярным эксплоитам, брутфорсам, эксплуатации mimikatz, соответствие парольным политикам, а в ряде случаев корректность сегментации сети. По завершению проверки можно посмотреть карту уязвимых хостов, получить рекомендации по исправлениям и отчет, разложенный по матрице Mitre ATT&CK.

В общем и целом, учитывая бесплатность и открытость Infection Monkey (тулза и проверки написаны на python), ее можно смело брать на вооружение (если у вас конечно не закуплены для этих целей другие специализированные решения). Но я бы все таки с осторожностью использовал ее в проде.

https://www.guardicore.com/infectionmonkey/
https://github.com/guardicore/monkey

Фичи: https://www.guardicore.com/infectionmonkey/features.html
Пример работы: https://www.youtube.com/watch?v=3tNrlutqazQ

Бывает и на синей улице праздник. Вот например набор бесплатных заданий для Blue Team в формате CTF.

Для любителей покопаться в событиях есть несколько лаб "Boss of the SOC" от команды Splunk, где вам нужно расследовать APT и ответить на вопросы со страницы задания, или например известные задания "Flare-on" по реверсу от FireEye, есть также анализ PCAP, дампов памяти и пр.

> https://cyberdefenders.org/

​Микросервисная архитектура уже давно и основательно пришла в нашу жизнь, но как оказалось далеко не везде, где используется контейнерная оркестрация есть модель угроз или хотя бы подходящий список векторов атак для этой платформы. В сегодняшнем материале речь пойдет про моделирование угроз под Kubernetes и к сожалению на эту тему не так много материалов, как хотелось бы.

На сегодняшний день есть всего 3 общественные инициативы:

1. Cloud Native Computing Foundation (CNCF)
https://github.com/cncf/financial-user-group/tree/master/projects/k8s-threat-model
2. NCC Group
https://www.nccgroup.com/uk/about-us/newsroom-and-events/blogs/2017/november/kubernetes-security-consider-your-threat-model/
3. Результаты работы группы экспертов Security Audit Working Group, которые недавно уже убрали с публичного репозитория k8s, но интернет все помнит.

Также можно глянуть матрицу угроз от Microsoft (ATT&CK-like)
https://www.microsoft.com/security/blog/2020/04/02/attack-matrix-kubernetes/

Все эти материалы будут отличной отправной точкой при подготовки собственной модели угроз или аудите k8s, но несмотря на то, что это самые актуальные на сегодняшний день материалы, главное всегда держать в голове тот факт, что даже год — это уже слишком много в контексте контейнерной оркестрации, и многие вещи могут сильно измениться от версии к версии.

На днях посмотрел новый фильм от Netflix — The Social Dilemma. Очень любопытная картина про современные социальные сети, алгоритмы и их деструктивное влияние на общество.

Фильм поднимает сразу несколько реально важных проблем, в том числе затрагивает вопросы приватности и защиты персональных данных.

На мой взгляд присутствует недосказанность со стороны главных анти-героев картины — IT-корпораций, тем не менее к просмотру рекомендую.

https://www.netflix.com/ru/title/81254224

Кстати, на фильм уже отреагировала компания Facebook, опубликовав своё опровержение по нескольким пунктам https://about.fb.com/wp-content/uploads/2020/10/What-The-Social-Dilemma-Gets-Wrong.pdf

​​Помните материал про Гитхабификацию ИБ, где автор рассказывал об унификации процесса обмена и реагирования на угрозы ИБ, с привязкой к MITRE ATT&CK? Сегодня я хочу вам рассказать об одном проекте под названием Atomic Threat Coverage. Ребята подружили Atomic…

Достойный материал про напрасно позабытый метод HTTP Request Smuggling, который позволил управлять корпоративными мобильными устройствами (вплоть до полного сброса), отправляя поддельные запросы на MDM сервер Citrix, и получить $17,000+ в качестве вознаграждения по Bug Bounty.

https://medium.com/@ricardoiramar/the-powerful-http-request-smuggling-af208fafa142

​​DetectionLab — проект, позволяющий за несколько часов развернуть небольшую виртуальную лабу на базе Windows, для использования ее в исследовательских целях и тестировании. В чем суть? Весь деплой и конфигурация уже автоматизированы (DevOps, мать его) на базе Terraform, Ansible и Vagrant, а Packer вам пригодится только если вы решите использовать собственные образы ОС.

На выходе вы получаете 4 сконфигурированные тачки с правильными настройками логирования, рабочий домен, log forwarder, Splunk и пр. Все это можно использовать для самых разнообразных целей и гибко менять.

Хотите видеть какие типы событий и журналов генерят бинари, инструменты или техники атак, пишите SIGMA правила, администрируете SIEM, расследуете или вообще находитесь по ту сторону баррикад (тачки без харденинга) — применение можно найти везде. И важно, что проект существует уже не первый год и постоянно поддерживается, что редкость для таких инициатив.

Проект > https://github.com/clong/DetectionLab
Материал > https://medium.com/@clong/introducing-detection-lab-61db34bed6ae