7400
Полезный канал про технологии и информационную безопасность. Нам не поИБ на ИБ. А вам? О канале: http://telegra.ph/Cybershit-08-14 Связь: @cybrsht_bot
OWASP TOP-10 недостаточно быстро обновляется в современных реалиях и построен на непрозрачных для сообщества метриках — подумали в Wallarm и, используя базу Vulners, выкатили свой OWASP TOP-10 2021, собрав более 4 миллионов бюллетеней безопасности от 144 поставщиков.
https://lab.wallarm.com/owasp-top-10-2021-proposal-based-on-a-statistical-data/
Где-то слышал мнение, что у современных анти-чит систем методы обнаружения куда более продвинутые, чем у EDR, представленных сегодня на рынке, или по крайней мере есть, что можно позаимствовать. Справедливости ради стоит отметить, что задачи у EDR куда шире, учитывая, что они не привязаны к конкретным процессам, как в случае с анти-читами.
Поэтому кто заскучал и хочет попробовать чего-то новенького, можно погрузиться в базовый реверс и исследование того, как работают видеоигры и читерский софт.
https://gamehacking.academy/
А вообще любопытная тема для изучения.
В заключение небольшая проверка на олдфагов: ArtMoney помните?)
Вчера в блоге Tenable появилась любопытная статья про локальное повышение привилегий в PsExec, позволяющее процессу, запущенному не от администратора, перейти в SYSTEM.
Работает для Windows 10 и более младших версий, вплоть до XP. Тестируемые версии PsExec v1.72 и до актуальной v2.2.
PoC прилагается.
https://medium.com/tenable-techblog/psexec-local-privilege-escalation-2e8069adc9c8
—Партнерский пост—
Мир кибербезопасности очень инертен, вымогателей становится только больше, промышленные системы и различные отрасли экономики каждый день страдают от масштабных APT-атак, а активные действия спецслужб только добавляют всему этому шоу пикантности. Ситуация эта вряд ли в ближайшем времени как-то изменится, и лишь продолжит усугубляться, поэтому наш долг держать руку на пульсе.
С этой задачей отлично справляется канал SecAtor. Ребята мониторят все горячие новости, шутят, разбирают отчеты крупных компаний, а их главная фишка — обзоры APT-группировок, вместе с их проделками.
Все по делу и на постоянной основе.
«Руки-ножницы российского инфосека» — SecAtor
InfoSec Black Friday Deals 2020
Традиционная подборка интересных предложений «Чёрной пятницы» из сферы инфосек — https://github.com/0x90n/InfoSec-Black-Friday
https://github.com/Securityinfos/Black-Friday-Deals
1Password с 50% скидкой, много платформ для обучения, трейнингов и лаб по скидке (SANS, Practical DevSecOps, PentesterLab и пр.) и многое другое.
Большая часть скорее всего появится завтра, но уже есть из чего выбирать.
У подразделения PortSwigger Research есть максимально полезная шпаргалка по XSS, которую они постоянно обновляют, убирая уже устаревшие пейлоады и наоборот, собирая и добавляя актуальные, в том числе присланные от комьюнити по всему миру.
https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
Как говорится — не bWAPP'ом единым!
Подборка заранее уязвимых приложений, сервисов, ОС и пр. для вашего обучения, либо тестирования различного рода сканеров.
https://github.com/vavkamil/awesome-vulnerable-apps/
Удивительно простой способ выполнить повышение привилегий в Ubuntu 20.04. Не баг а фича скрывается в службе, которая управляет учетными записями ОС (accountsservice) и менеджере рабочих столов GNOME (gdm3).
Перед экспериментами советую сделать снапшот, чревато блокировкой УЗ.
Детали > https://securitylab.github.com/research/Ubuntu-gdm3-accountsservice-LPE
Демонстрация > https://www.youtube.com/watch?v=8IjTq7GBupw
Все мы знаем, что безумное желание удешевить любое IoT устройство ни к чему хорошему не приводит, и вот очередная история про бюджетные телевизоры от китайской компании TCL, которые занимают чуть ли не 3 место по продажам на Amazon и продукция которой есть даже у наших крупных ритейлеров типа М.Видео или DNS.
Ребятам хватило буквально немного времени, чтобы обнаружить торчащую на нестандартном порту файловую систему Android TV, доступную через web и некорректные разрешения на некоторые критические файлы.
Кто знает, что там можно найти, если потратить на это больше времени.
Забавно, что после того, как о первой проблеме сообщили в TCL, те как-то без вмешательства владельца подопытного телевизора умудрились его обновить. Такие дела.
https://sick.codes/extraordinary-vulnerabilities-discovered-in-tcl-android-tvs-now-worlds-3rd-largest-tv-manufacturer/
Бывает и на синей улице праздник. Вот например набор бесплатных заданий для Blue Team в формате CTF.
Для любителей покопаться в событиях есть несколько лаб "Boss of the SOC" от команды Splunk, где вам нужно расследовать APT и ответить на вопросы со страницы задания, или например известные задания "Flare-on" по реверсу от FireEye, есть также анализ PCAP, дампов памяти и пр.
> https://cyberdefenders.org/
На днях посмотрел новый фильм от Netflix — The Social Dilemma. Очень любопытная картина про современные социальные сети, алгоритмы и их деструктивное влияние на общество.
Фильм поднимает сразу несколько реально важных проблем, в том числе затрагивает вопросы приватности и защиты персональных данных.
На мой взгляд присутствует недосказанность со стороны главных анти-героев картины — IT-корпораций, тем не менее к просмотру рекомендую.
https://www.netflix.com/ru/title/81254224
Кстати, на фильм уже отреагировала компания Facebook, опубликовав своё опровержение по нескольким пунктам https://about.fb.com/wp-content/uploads/2020/10/What-The-Social-Dilemma-Gets-Wrong.pdf
Неплохой материал про опыт RedTeam при пентесте Active Directory, где автор рассказыват про инструменты и возможности обхода встроенных средств защиты с помощью обфускации, дополнительного шифрования пейлоада и упаковки исполняемого файла несколькими пакерами.
Команде защиты также на вооружение и проверок на своей инфраструктуре.
https://luemmelsec.github.io/Circumventing-Countermeasures-In-AD/
p.s также там есть и другие полезные материалы https://luemmelsec.github.io/
Как вам такой аудит сети РЖД?
https://habr.com/ru/post/536750/
Ого, вышлая новая версия OWASP Web Security Testing Guide!
https://github.com/OWASP/wstg/releases/tag/v4.2
В продолжении темы с плагинами для Burp, если вы занимаетесь тестированием веб-приложений с GraphQL, хотите получить структуру данных или просто поиграть с запросами и мутациями советую попробовать InQL Scanner (может быть stand-alone инструментом, что тоже удобно). Недавно ребята релизнули v3, куда завезли кучу новый фич и проапгрейдили свой механизм генерации запросов.
https://github.com/doyensec/inql
https://blog.doyensec.com/2020/11/19/inql-scanner-v3.html
Для тех, кто не знаком с GraphQL или только погружается в тему > /channel/cybershit/645
Ребята из Digital Security рассказали на Хабре о своем выборе плагинов для Burp Suite, которые они используют для повседневных задач.
https://habr.com/ru/company/dsec/blog/529088/
Очень крутой кейс про то, как имея на руках только снапшот виртуальной машины в момент ее компроментации и зашифированный pcap, автор смог не только вытащить сессионные ключи ssh, но и расшифровать трафик. Правда для этого пришлось проанализировать структуру OpenSSH, разложить все буквально на кусочки, понять в каких блоках памяти ОС хранятся данные, связанные с текущей ssh сессией, и в результате получить сессионный ключ.
Говорит, что было бы круто добавить эту функциональность в Wireshark.
https://research.nccgroup.com/2020/11/11/decrypting-openssh-sessions-for-fun-and-profit/
Кстати, уже завтра стартует The Standoff — кибербитва и онлайн-конференция по информационной безопасности. Помимо самого противостояния организаторы обещают насыщенную программу с докладами, поэтому у вас ещё есть время зарегистрироваться.
Программу обещают опубликовать завтра, а само мероприятие продлится до 17 ноября.
https://standoff365.com/ru
Презентации с Digital Security ON AIR 29.10.20
Темы:
Арсенал исследователя UEFI BIOS
Самое слабое звено инфраструктуры эквайринга
Золотой век Red Teaming С2 фреймворков
Защита Kubernetes со всех сторон
Доклады: https://www.youtube.com/playlist?list=PLpO1edtkcyU5vbVTfM1f7m_rhyAt-ZMcK
Сегодня речь пойдет об открытом и бесплатном инструменте для симуляции атак от израильской компании Guardicore — Infection Monkey. Первый релиз утилиты был еще в далеком 2015 году, а большой анонс состоялся на Black Hat 2016. Тогда это была специально зараженная виртуалка, которая пуляла в сеть различный вредоносный трафик без полезной нагрузки для тестирования систем IDS/IPS. С тех пор Infection Monkey сильно изменился, и ребята продолжают обновлять свой бесплатный продукт.
Сейчас это достаточно функциональный инструмент, позволяющий протестировать вашу инфраструктуру на восприимчивость к популярным эксплоитам, брутфорсам, эксплуатации mimikatz, соответствие парольным политикам, а в ряде случаев корректность сегментации сети. По завершению проверки можно посмотреть карту уязвимых хостов, получить рекомендации по исправлениям и отчет, разложенный по матрице Mitre ATT&CK.
В общем и целом, учитывая бесплатность и открытость Infection Monkey (тулза и проверки написаны на python), ее можно смело брать на вооружение (если у вас конечно не закуплены для этих целей другие специализированные решения). Но я бы все таки с осторожностью использовал ее в проде.
https://www.guardicore.com/infectionmonkey/
https://github.com/guardicore/monkey
Фичи: https://www.guardicore.com/infectionmonkey/features.html
Пример работы: https://www.youtube.com/watch?v=3tNrlutqazQ
Микросервисная архитектура уже давно и основательно пришла в нашу жизнь, но как оказалось далеко не везде, где используется контейнерная оркестрация есть модель угроз или хотя бы подходящий список векторов атак для этой платформы. В сегодняшнем материале речь пойдет про моделирование угроз под Kubernetes и к сожалению на эту тему не так много материалов, как хотелось бы.
На сегодняшний день есть всего 3 общественные инициативы:
1. Cloud Native Computing Foundation (CNCF)
https://github.com/cncf/financial-user-group/tree/master/projects/k8s-threat-model
2. NCC Group
https://www.nccgroup.com/uk/about-us/newsroom-and-events/blogs/2017/november/kubernetes-security-consider-your-threat-model/
3. Результаты работы группы экспертов Security Audit Working Group, которые недавно уже убрали с публичного репозитория k8s, но интернет все помнит.
Также можно глянуть матрицу угроз от Microsoft (ATT&CK-like)
https://www.microsoft.com/security/blog/2020/04/02/attack-matrix-kubernetes/
Все эти материалы будут отличной отправной точкой при подготовки собственной модели угроз или аудите k8s, но несмотря на то, что это самые актуальные на сегодняшний день материалы, главное всегда держать в голове тот факт, что даже год — это уже слишком много в контексте контейнерной оркестрации, и многие вещи могут сильно измениться от версии к версии.
Продолжая цикл материалов, рассказывающих про проект Atomic Threat Coverage и их инициативу по развитию коммьюнити вокруг MITRE ATT&CK, не могу не анонсировать их второй двухнедельный спринт Open Security Collaborative Development (OSCD) по наполнению и распространению знаний и общих проблем кибербезопасности.
В этот раз ребята сфокусируются на Threat Simulation, Threat Detection и Incident Response и будут разрабатывать тесты для Atomic Red Team, Sigma правила и TheHive Responders, улучшая их покрытие фреймворков MITRE ATT&CK и ATC RE&CT.
Спринт стартует 5-го октября и продлится 2 недели.
Если идея глобального объединения для борьбы с угрозами вам близка, то смело пишите ребятам в телегу и записывайтесь: @aw350m3 @zinint @yugoslavskiy @CatSchrodinger
Проект > https://oscd.community/index_ru.html
Спринт > https://oscd.community/sprints/sprint_2_ru.html
