769
Мир проигравшего киберпанка. Картинки, новости, мануалы, DIY. Для связи: @the29a
BlueHat Oct 23. S02: A Touch of Pwn: Attacking Windows Hello Fingerprint Authentication
Видео с доклада на BlueHat 2023.
Synactiv выкатили свою майндкарту по пентесту Azure.
Читать полностью…
Building your first metasploit exploit
Люди регулярно используют Metasploit для использования эксплойтов, написанных другими. Но что на самом деле представляет собой процесс написания эксплойта и последующей его публикации в качестве модуля Metasploit?
В статье описывается процесс, которому автор следовал, чтобы преобразовать уязвимость Remote Code Execution (RCE) в PRTG, идентифицированную как CVE-2023-32781, в эксплойт Metasploit. Основное внимание здесь уделено разработке самого эксплойта, а не шагам по использованию RCE.
NMapify - это инструмент на Python, позволяющий создавать интеллектуальные карты для визуализации сетевых схем на основе XML-файлов Nmap.
Дополнительным преимуществом инструмента является автоматическая генерация тестовых ситуаций для каждого идентифицированного порта с помощью HackTricks, что должно упростить процесс тестирования на проникновение.
Не могу сказать, что он сильно пригодится в пентесте (хотя может), но для неторопливого решения ctf или если вы не безопасник, но хотите проверить свои ресурсы, то стоит рассмотреть.
Вышло видео доклада на hardwear.io: Blue2thprinting: Answering The Question Of 'WTF Am I Even Looking At?!
Читать полностью…
Команда из Aqua Nautilus (Aqua Research Team) начали писать довольно интересный инструмент - CVE-Half-Day-Watcher
CVE Half-Day Watcher сканирует NVD на предмет новых опубликованных CVE и проверяет наличие ссылок на GitHub, таких как коммиты, пулл-реквесты (PR) или issue, связанные с этими CVE. Затем проверяется, был ли коммит/PR включен в релиз на GitHub (в настоящее время для issue эта проверка пропускается). Если релиз, содержащий исправление, не доступен, он помечает CVE, указывая на возможный сценарий "half-day" уязвимости, когда уязвимость известна, но еще не исправлена.
Protect AI выкатили набор эксплоитов против AI/ML.
ai-exploits - коллекция эксплойтов и шаблонов сканирования для раскрытых уязвимостей, затрагивающих инструменты машинного обучения.
Каждый уязвимый инструмент имеет ряд вложенных папок, содержащих утилиты трех типов:
- Модули Metasploit
- Шаблоны Nuclei
- Шаблоны CSRF
Модули Metasploit предназначены для желающих эскплуатировать уязвимости, а шаблоны Nuclei - для сканирования большого количества удаленных серверов на предмет их уязвимости.
Видео-демонcтрация на примере Ray.io: AI Exploits Demo Video
Можно развернуть в Docker, или использовать отдельно как модуль Metasploit или шаблон Nuclei.
Что общего у Wireshark, Security Onion и Palo Alto?
Брэд Дункан и его блог.
Брэд Дункан (Bradley Duncan) ведёт крутой блог malware-traffic-analysis.net, посвященный анализу трафика и малвари (в том числе в трафике).
В блоге есть как тренировочные сэмплы трафика, так и вполне себе настоящие образцы малвари и трафика.
Репозиторий с IOC: github.com/brad-duncan/IOCs/tree/main
P. S. А ещё это один из немногих, кто использует Security Onion. Я писал про него в 2019 году, а с тех времен он сильно изменился.
На TryHackMe стартует традиционный Advent of Cyber 2023.
Как всегда, аноннсировано множество призов, куча заданий и небольшие бонусы участникам.
В этом году видео-прохождения будут от: _JohnHammond">John Hammond, SimplyCyber">Gerald Auger, InsiderPhD">InsiderPHD, InfoSecPat">InfoSec Pat, huskyhacks">HuskyHacks, David Alves, UnixGuy">UnixGuy, DayCyberwox">Day Cyberwox, Tib3rius">Tib3rius, alh4zr3d3">Alh4zr3d, TylerRamsbey">Tyler Ramsbey.
Старт события 1 Декабря 16:00 GMT (19:00 GMT+3).
Everything you need to know about FFUF
Большая статья о ffuf от codingo.
codingo описывает основные моменты работы, фильтрацию ошибок, использование фильтров, взаимодействие с Burp, режимы сканирования.
Так же есть видео-вариант статьи: How to Master FFUF for Bug Bounties and Pen Testing
Статья и видео от 2020 года, так что могут быть неактуальные моменты.
FBI shares tactics of notorious Scattered Spider hacker collective.
FBI и CISA опубликовали информацию о Scattered Spider.
Да, новость в русскоязычном сегменте уже была: участники до 20 лет, использование социальной инженерии и фишинг, Telegram-каналы и связи с 1337 Evil Russian Hackers.
Но больший интерес представляет набор инструментов, который чем-то особенным не выделяется.
Для разведки и бокового перемещения Scattered Spider использует ряд общедоступных программных средств:
- Fleetdeck.io : удаленный мониторинг и управление.
- Level.io : удаленный мониторинг и управление.
- Mimikatz : извлечение учетных данных
- Ngrok : удаленный доступ к веб-серверу через интернет-туннелирование.
- Pulseway : удаленный мониторинг и управление системой
- Screenconnect : управление удаленным подключением сетевых устройств.
- Splashtop : управление удаленным подключением сетевых устройств.
- Tactical.RMM : Удаленный мониторинг и управление системой.
- Tailscale : VPN для безопасной сетевой связи.
- Teamviewer : управление удаленным подключением сетевых устройств
Используемая малварь:
- AveMaria (WarZone): Обеспечивает удаленный доступ к системам жертвы.
- Raccoon Stealer: Кража информации, включая учетные данные для входа в систему, историю браузера, файлы cookie и другие данные.
- VIDAR Stealer: Похищает информацию, включая учетные данные для входа в систему, историю браузера, cookies и другие данные.
И снова мы получаем наглядный пример, что устроить успешную атаку на крупные компании (вроде Okta, MGM Resorts, Caesars Entertainment) не требует сложных техник или инструментов.
MITRE ATT&CK: Scattered Spider
Отчёт CISA (pdf): Scattered Spider
Статья на Bleeping Computer: FBI shares tactics of notorious Scattered Spider hacker collective
In a first, cryptographic keys protecting SSH connections stolen in new attack.
В ходе новой атаки похищены криптографические ключи, защищающие SSH-соединения.
Для раскрытия закрытого ключа достаточно всего лишь одной ошибки в виде перевернутого бита памяти.
Исследователи продемонстрировали, что значительная часть криптографических ключей, используемых для защиты данных в SSH-трафике между компьютерами и серверами, уязвима для полной компрометации при возникновении естественных вычислительных ошибок в процессе установления соединения.
Подчеркивая важность своего открытия, исследователи использовали полученные данные для вычисления приватной части почти 200 уникальных SSH-ключей, которые они наблюдали в ходе публичного сканирования Интернета, проведенного за последние семь лет. По мнению исследователей, такая же участь может постигнуть и ключи, используемые в соединениях IPsec. SSH - это криптографический протокол, используемый в защищенных shell-соединениях, позволяющих компьютерам получать удаленный доступ к серверам, обычно в чувствительных к безопасности корпоративных средах. IPsec - протокол, используемый в виртуальных частных сетях, которые направляют трафик по зашифрованному туннелю.
В электронном письме Райан Киган написал:
Несмотря на то, что протокол SSH существует уже почти 18 лет и чрезвычайно широко распространен, мы все еще находим новые способы использования ошибок в криптографических протоколах и выявления уязвимых реализаций. По нашим данным, примерно одна из миллиона подписей SSH раскрывает закрытый ключ хоста SSH. Хотя это случается редко, огромный объем трафика в Интернете означает, что эти ошибки RSA в SSH происходят регулярно. Несмотря на то, что подавляющее большинство SSH-соединений не затронуто, по-прежнему важно защититься от этих сбоев. В незащищенной реализации достаточно одной плохой подписи, чтобы раскрыть ключ.
К счастью, самые популярные реализации SSH включают контрмеры, предотвращающие возникновение ошибок подписи RSA, приводящих к катастрофической утечке ключей, но реализации, которые этого не сделали, все еще были достаточно распространены, чтобы появиться в наших данных.
Поводов для паники нет, но будьте бдительны.
Whitepaper (pdf): Passive SSH Key Compromise via Lattices
Github уже давно стал своеобразной социальной сетью для разработчиков. Добавив однажды возможность добавить README в репозиторий username/username, они открыли Ящик Пандоры, и разработчики денно и нощно пилят всякие штуки, добавляют ссылки, языки, технологии ссылки на иные соц. сети и множество других вещей. В целом, не могу сказать, что это плохо, так как Github это вполне себе резюме или его часть.
Можно такой README сделать и самому, а можно воспользоваться генератором: github-profile-readme-generator.
Можно развернуть самому (но там npm), или использовать уже развернутый на Github Pages генератор.
Указываем нужную инфу, выбираем навыки и получаем на выходе Markdown файл с разметкой, который и будет нашим README.md.
Часть ИБ-каналов в Telegram активно обсуждает взлом игрушек для взрослых с помощью Flipper Zero.
Но сама история началась несколько раньше.
Новости про взлом жопы начался ещё полгода назад (reddit, twitter), а одна из реализаций была написана почти год назад.
Сама идея недокументрованного использования не просто не нова, а крайне популярна. Есть целая библиотека - buttplug, реализована в Rust, Haskell, Python и куче других языков. А так же есть поддержка игровых движков вроде Unity, Godot и RPG Maker.
Есть поддержка игр (в том числе и VR) и игровых модификаций (например для Stardew Valley, ULTRAKILL и Skyrim и STALKER: Anomaly).
Так же это не первый случай удалённого взлома секс игрушек, про нечто аналогичное я писал ещё в 2018 году: про проект internetofdon.gs и управление дилдо через Tor (сама новость от 7 августа 2017).
Хотите физическую копию архива VX-Undeground?
Что входит в комплект?
- Внешний жесткий диск Seagate емкостью 10 ТБ
- 37 745 документов и образцов APT
- 7 147 архивных материалов (документы, старое ПО, сборки вредоносных программ)
- 11 460 документов по вредоносному ПО
- 36 000 000+ образцов вредоносного ПО (5,06 ТБ)
- 3 197 файлов с исходным кодом вредоносных программ
- Рукописное благодарственное письмо
Цена этого великолепия $500.00
Работает ли международная доставка в Россию не известно.
A Touch of Pwn Attacking Windows Hello Fingerprint Authentication
Microsoft Offensive Research and Security Engineering (MORSE) попросил исследователей из Blackwing Intelligence оценить безопасность трех лучших датчиков отпечатков пальцев, встроенных в ноутбуки и используемых для аутентификации по отпечаткам пальцев в Windows Hello. В результате проведенного исследования было обнаружено несколько уязвимостей, что позволило полностью обойти аутентификацию Windows Hello на всех трех ноутбуках.
Судя по всему, эта статья будет не единственной, можно пока отслеживать свежие новости в твиттере авторов:
- @0x30n
- @terastimo
Portswigger (те самые, которые Burp) зарелизили DAST, встраиваемый в пайплайны.
Он поможет найти:
- Cross-site scripting (XSS) (reflected)
- Cross-origin resource sharing (CORS) issues
- Vulnerable JavaScript dependency
- Content type is not specified
- Multiple content types specified
- HTML does not specify charset
- Duplicate cookies set
И он уже есть в GitHub Actions
subby - быстрый и простой инструмент для перебора поддоменов.
Может использовать как dns-запросы (автоматически обнаруживает wildcard записи), так и http(s)-запросы.
Использование:
DNS Mode - быстрое и скрытное. Использует только dns-запросы.
./subby -u <domain> -w </path/to/wordlist>
./subby -u https://<domain> -w </path/to/wordlist>
Embedded Systems Security and TrustZone
Онлайн-книга за авторством Димитриоса Сламариса.
В книге описано:
- Как собираются двоичные файлы микропрограмм. В том числе основы языка Си и принципы работы скриптов компоновщика
- Обзор архитектуры Arm M-profile и реализаций, основанных на M-профиле Arm.
- TrustZone-M
- Встраиваемые протоколы
- Инструменты hardware-хакера
Автор пишет один в свободное время, и книга все еще находится в процессе работы, является бета-версией и не закончена (и, возможно, никогда не будет закончена).
Trusted by Millions, Yet So Wrong
Считаете свой пароль надежным? Вы когда-нибудь использовали онлайн-инструментам для определения надежности пароля?
Вы можете удивиться, увидев, насколько ошибаются некоторые из наиболее популярных инструментов для подбора паролей.
Статья напоминает о исследовательской работе 2010 года, в которой точно показано, почему эти оценки надежности паролей неверны: Testing Metrics for Password Creation Policies by Attacking Large Sets of Revealed Passwords.
В старой версии документа NIST (например в NIST SP 800-63 от 2006 года) была предпринята попытка оценить стойкость пароля по энтропии, при этом игнорировалась реальность того, как пользователи выбирают свои пароли и как злоумышленники пользуются плохим выбором пользователей. Методология оценки стойкости паролей из документа NIST с тех пор была удалена, но эти инструменты для оценки стойкости паролей продолжают жить.
Рекомендации:
- Используйте MFA везде, где только можно. Не совсем рекомендация про пароли, но всё же;
- Не допускайте реюза паролей;
- Используйте менеджер паролей, например Keepassxc либо self-hosted Vaultwarden если необходимо хранить пароли в облаке;
- Если пароль генерируется случайным образом в менеджере паролей, можно использовать длинные пароли 15-30 символов;
- Если вы хотите использовать пароли без менеджера, вместо одиночных и предсказуемых слов используйте мнемофразы: часть стихотворения, песни, поговорки. Так же можно использовать спец. символы в качестве замены части обычных символов и\или пробелов, или как префикс\постфикс.
State of Cloud Security
Статья от любителей циферок и статистики для любителей циферок и статистики от Datadog.
Datadog проанализировали данные о состоянии безопасности тычячи организаций, использующих AWS, Azure и Google Cloud.
Тезисно:
1. Редко изменяются/обновляются учетные данные
2. MFA используется не достаточно, или не используется вовсе
3. Не все пользователи AWS используют IMDSv2
4. Увеличилось количество бакетов в паблике
5. Чрезмерные привилегии для некоторых сервисов
6. Доступные из публичной сети виртуальные машины
В целом, обошлось без сенсаций, есть тренд на улучшение, но не глобально.
Но в какой-то мере все эти цифры показывают, что за немалой частью проблем стоит не игнорирование требований или разгильдяйство, а просто непонимание, как это всё настраивать.
А про некоторые вещи вообще даже не знают (например IMDSv2).
DIALStranger или отчёт о уязвимости с четырехлетней выдержкой
Ресёрч из 2019 опубликован только 17.11.23. Казалось бы странно, но причина на это есть.
На примере CallStranger (CVE-2020-12695) можно было увидеть, что на исправление таких уязвимостей уходит довольно много времени (если вообще исправляется).
В чём суть?
Автор исследования обнаружил, что протокол не покрывает некоторые базовые функции безопасности, а большинство производителей телевизоров не реализовали протокол правильно. Хакеры могут воспроизводить любое видео на телевизорах как с участием пользователя, так и без него. Подробности можно найти в оригинальном исследовании 2019 года (DIAL Protocol Vulnerabilities and Implementation Errors - 2019) и в презентации Blackhat MEA 2023.
Для особо любопытствующих есть видео-демо.
Да кто такой этот ваш DIAL?
Discovery and Launch (DIAL) - это протокол, разработанный совместно компаниями Netflix и YouTube при поддержке Sony и Samsung. Он используется для удобного воспроизведения видео на телевизорах и других устройствах.
DIAL так же не является сугубо локальным протоколом, есть список портов и возможно, что условный Shodan что-нибудь найдёт. И возможно, что это будет ваш телевизор.
Same threats, different ransomware
Зловреды меняются, угрозы остаются. Именно такие выводы делают специалисты из Sophos.
В чудесном мире Ransomware-as-a-Service множество игроков, множество групп используют схожие зловреды, переключаясь между их вариантами.
Однако же, распространение не сильно отличается, и TTP примерно одна:
- Установление соединения через скомпрометированную учетную запись VPN без многофакторной аутентификации (MFA)
- Использование SystemBC, PortStarter и иногда Cobalt Strike.
- Использование Advanced Port/IP Scanner, AnyDesk, PuTTY и MegaSync.
- Сбор данных с помощью 7zip и эксфильтрация с помощью MegaSync, WinSCP и скриптов PowerShell.
- Эксплуатация уязвимостей типа ZeroLogon, а также использование таких Secretsdump и дамп базы данных ntds.dit в папку temp_l0gs
- Использование RDP для бокового перемещения и PSExec для распространения бинарного файла
Вроде все всё знают, все всё понимают, а картина в целом не меняется.
ffuf advanced tricks
Статья больше для тех, кто уже освоился с ffuf.
Темы немного другие (но пересекается с материалом от codingo):
- Конфигурационный файл
- Чтение со стандартного ввода и примеры использования
- Избежание ложных срабатываний с помощью функции match all и фильтрации с помощью regexp
- Использование внешних мутаторов полезной нагрузки
Fuzz Faster U Fool он же ffuf это это быстрый и довольно гибкий web фаззер.
Может подбирать директории, виртуальные хосты, так же может фаззить GET\POST параметры.
Но с большой гибкостью приходит и большая сложность (пользователи patator поймут), и без чтения документации не обойтись.
Можно почитать вики на github: github.com/ffuf/ffuf/wiki
Можно пройти комнату на TryHackMe: tryhackme.com/room/ffuf
Глянуть майндмапу: t.me/cultofwire/1049
Github: github.com/ffuf/ffuf
Обработка ошибок в shell порой делает потрясающие вещи. Например, мотивирует некоторых писать свои языки и\или шелл, применимые в DevOps.
Не могу сказать, что конструкция if grep мне сильно досаждала, но в целом в Bash могут встретится своеобразные проблемы.
Немного о самом NGS: https://ngs-lang.org/
NGS использует подмножество синтаксиса bash для запуска внешних программ и предоставляет дополнительные возможности для эргономики: обработку кодов выхода, анализ вывода и т. д.
Github: github.com/ngs-lang/ngs/
Сложно сказать, потащил бы я это в прод, но вещь интересная.
Happy coding, hopefully not in bash, you know, for your mental health.
Ещё немного украшательств для Github, но уже чуть более полезных - shields.io.
Есть статические (например, с произвольным текстом, или как ссылка на Discord/Slack), так и динамические (отображать метрики, статус билда).
Добавляются в readme репозитория в удобном формате (например Markdown или html).
Так же можно развернуть и свой сервер из исходников или в Docker.
Репозиторий проекта:
github.com/badges/shields
Shield на Dockerhub:
registry.hub.docker.com/r/shieldsio/shields/
Оказывается, Snyk это не только разные security-инструменты, но и небольшие бесплатные мини-уроки по безопасности.
Есть небольшие интерактивные примеры и примеры уязвимого кода на разных языках.
OWASP Топ 10 – 2021 на русском? Почему бы и нет.
Переведёно не только общее описание, но и все категории, с описанием, примерами и способами противодействия.
- A01:2021 - Нарушение контроля доступа
- A02:2021 - Сбои в криптографии
- A03:2021 - Внедрение кода
- A04:2021 - Небезопасный дизайн
- A05:2021 - Неправильная конфигурация
- A06:2021 - Уязвимые и устаревшие компоненты
- A07:2021 - Ошибки идентификации и аутентификации
- A08:2021 - Нарушение целостности данных и программного обеспечения
- A09:2021 - Журнал безопасности и сбои мониторинга
- A10:2021 - Подделка запросов со стороны сервера (SSRF)
Но если перевод делает глазам больно, всегда можно почитать OWASP Top 10 на английском.
A Big Look at OpenAPI Security
Пост рассматривает какие возможности безопасности дает нам OpenAPI, что на самом деле делают большие и малые компании и что вам следует делать, когда вы создаете свой собственный API.
Вроде есть стандарты и спецификации, но по факту нередко при разработке одни и те же вещи реализованы по разному.
TL;DR Используйте OAuth2 и apiKey.