7294
Полезный канал про технологии и информационную безопасность. Нам не поИБ на ИБ. А вам? О канале: http://telegra.ph/Cybershit-08-14 Связь: @cybrsht_bot
Эту неделю очень хочется начать с минутки мотивации, которой в последнее время мне не хватает чтобы регулярно вести канал.
Знакомьтесь, Кельвин Сиу (Kelvin Siu) из Гонконга, который за 12 месяцев получил 14 сертификаций. Пусть набор сертификатов странный, кажется Кельвин решил не мелочиться и сложить все яйца в одну корзину, но факт, что парень просто взял и за год закрыл такой объем сертификаций, малую часть которого многие закрывают годами.
Если вдаваться в детали, конечно там не так все просто — у него уже было 7 лет опыта в индустрии, а подготовка заняла куда больше времени, чем сама сдача (по 2-3 месяца подготовки на каждый экзамен). Судя по linkedin работает Кельвин аудитором в компании из большой четверки, а зная какие там бывают нагрузки мне вся ситуация кажется вообще легендарной.
Предлагаю порадоваться за Кельвина и пойти работать. Усерднее(!). Всем хорошей недели.
https://www.linkedin.com/pulse/thank-you-all-support-here-answers-your-questions-kelvin-siu/
Открытое письмо Дениса Баранова исследовательскому сообществу: «Наши ключевые ценности – открытость информации и знаний для сообщества, ответственный подход к разглашению при исследовании систем на наличие уязвимостей и практический подход к кибербезопасности».
Читать полностью…
Делать Infrastructure-as-code (IaC) сейчас модно, главное предварительно ознакомиться с лучшими практиками и не забыть подумать о безопасности. Для последнего существует несколько бесплатных утилит, как для конкретного решения, так и комплексных (например checkov).
Компания Checkmarx, многим известная своим SAST решением для анализа исходного кода, тоже решила сделать вклад в комьюнити и выпустила собственное opensource решение для статического анализа конфигураций — Keeping Infrastructure as Code Secure (KICS).
Поддерживает: Terraform, Kubernetes, Docker, Ansible, Helm и AWS CloudFormation.
А еще есть неплохая документация и запланированный на 15 апреля вебинар, где обещают рассказать о решении подробнее.
KICS > https://www.checkmarx.com/opensource/kics/
Docs > https://docs.kics.io
Git > https://github.com/Checkmarx/kics
Webinar > https://register.gotowebinar.com/register/3720624616764432144
1. Брутфорс аккаунта
- прямой (безлимит)
- горизонтальный
- cred stuffing
2. Брут пинкодов
- брут в “лоб”
- брут с ротацией IP
- запрашиваем от 1+кк аккаунтов код и пробуем один и тот же код
3. восстановление акков
- подмена хоста на восстановлении
- смена пароля или емейла без CSRF
- раскрытие токена при восстановлении акка
4. oauth
- привязка без CSRF (state)
5. мобилки
- одинаковая схема
6. session confusion
7. cache deception
8. логические баги (слушайте эфир)
9. доп скопы в oauth
10. юз одного токена к чужому акку
Вчера на хабре вышла неплохая статья про ошибки в конфигурации Nginx без указания авторства, но на самом деле это просто перевод материала годичной давности, написанный командой Detectify, которые и проводили это исследование.
Кстати, в феврале этого года Франс Розен, один из исследователей Detectify, опубликовал продолжение, рассмотрев некоторые новые проблемы в конфигурациях веб-серверов и лишний раз напомнил всем об утилитке Gixy для статического анализа мисконфигов Nginx.
Раз> https://blog.detectify.com/2020/11/10/common-nginx-misconfigurations/
Два> https://labs.detectify.com/2021/02/18/middleware-middleware-everywhere-and-lots-of-misconfigurations-to-fix/
Три> https://habr.com/ru/company/cloud4y/blog/547164/
Новые место и дата ZN 2021 📢
Ничто не заменит нам энергию живого общения! Поэтому ZeroNights приглашает вас отметить свое десятилетие офлайн в неформальной обстановке эпохи цифровой революции.
В этом году конференция пройдет 30 июня в пространстве «Севкабель Порт» г. Санкт-Петербург.
Открыта ранняя регистрация. Промокод EARLYBIRD на скидку 20% действует до конца марта.
Сайт: https://zeronights.ru/
Неплохой материал про опыт RedTeam при пентесте Active Directory, где автор рассказыват про инструменты и возможности обхода встроенных средств защиты с помощью обфускации, дополнительного шифрования пейлоада и упаковки исполняемого файла несколькими пакерами.
Команде защиты также на вооружение и проверок на своей инфраструктуре.
https://luemmelsec.github.io/Circumventing-Countermeasures-In-AD/
p.s также там есть и другие полезные материалы https://luemmelsec.github.io/
Как вам такой аудит сети РЖД?
https://habr.com/ru/post/536750/
Ого, вышлая новая версия OWASP Web Security Testing Guide!
https://github.com/OWASP/wstg/releases/tag/v4.2
В продолжении темы с плагинами для Burp, если вы занимаетесь тестированием веб-приложений с GraphQL, хотите получить структуру данных или просто поиграть с запросами и мутациями советую попробовать InQL Scanner (может быть stand-alone инструментом, что тоже удобно). Недавно ребята релизнули v3, куда завезли кучу новый фич и проапгрейдили свой механизм генерации запросов.
https://github.com/doyensec/inql
https://blog.doyensec.com/2020/11/19/inql-scanner-v3.html
Для тех, кто не знаком с GraphQL или только погружается в тему > /channel/cybershit/645
Ребята из Digital Security рассказали на Хабре о своем выборе плагинов для Burp Suite, которые они используют для повседневных задач.
https://habr.com/ru/company/dsec/blog/529088/
Очень крутой кейс про то, как имея на руках только снапшот виртуальной машины в момент ее компроментации и зашифированный pcap, автор смог не только вытащить сессионные ключи ssh, но и расшифровать трафик. Правда для этого пришлось проанализировать структуру OpenSSH, разложить все буквально на кусочки, понять в каких блоках памяти ОС хранятся данные, связанные с текущей ssh сессией, и в результате получить сессионный ключ.
Говорит, что было бы круто добавить эту функциональность в Wireshark.
https://research.nccgroup.com/2020/11/11/decrypting-openssh-sessions-for-fun-and-profit/
Кстати, уже завтра стартует The Standoff — кибербитва и онлайн-конференция по информационной безопасности. Помимо самого противостояния организаторы обещают насыщенную программу с докладами, поэтому у вас ещё есть время зарегистрироваться.
Программу обещают опубликовать завтра, а само мероприятие продлится до 17 ноября.
https://standoff365.com/ru
Презентации с Digital Security ON AIR 29.10.20
Темы:
Арсенал исследователя UEFI BIOS
Самое слабое звено инфраструктуры эквайринга
Золотой век Red Teaming С2 фреймворков
Защита Kubernetes со всех сторон
Доклады: https://www.youtube.com/playlist?list=PLpO1edtkcyU5vbVTfM1f7m_rhyAt-ZMcK
Сегодня речь пойдет об открытом и бесплатном инструменте для симуляции атак от израильской компании Guardicore — Infection Monkey. Первый релиз утилиты был еще в далеком 2015 году, а большой анонс состоялся на Black Hat 2016. Тогда это была специально зараженная виртуалка, которая пуляла в сеть различный вредоносный трафик без полезной нагрузки для тестирования систем IDS/IPS. С тех пор Infection Monkey сильно изменился, и ребята продолжают обновлять свой бесплатный продукт.
Сейчас это достаточно функциональный инструмент, позволяющий протестировать вашу инфраструктуру на восприимчивость к популярным эксплоитам, брутфорсам, эксплуатации mimikatz, соответствие парольным политикам, а в ряде случаев корректность сегментации сети. По завершению проверки можно посмотреть карту уязвимых хостов, получить рекомендации по исправлениям и отчет, разложенный по матрице Mitre ATT&CK.
В общем и целом, учитывая бесплатность и открытость Infection Monkey (тулза и проверки написаны на python), ее можно смело брать на вооружение (если у вас конечно не закуплены для этих целей другие специализированные решения). Но я бы все таки с осторожностью использовал ее в проде.
https://www.guardicore.com/infectionmonkey/
https://github.com/guardicore/monkey
Фичи: https://www.guardicore.com/infectionmonkey/features.html
Пример работы: https://www.youtube.com/watch?v=3tNrlutqazQ
Ребята из Яндекса в рамках Positive Hack Days рассказали, как они повышают ИБ-осведомленность своих сотрудников, начиная от мемов, которые размещают в офисных кофе-поинтах и заканчивая обучающей платформой для поиска багов в коде. Последнюю кстати выложили в открытый доступ и на GitHub. Говорят было бы круто, если бы вы помогли в развитии и использовали их наработки у себя, например дописав тесты под свои языки и сценарии.
http://securitygym.ru
https://github.com/yandex/securitygym
Article:
Новые взломы на Pwn2Own 2021: побеждены Ubuntu Desktop, Windows 10, Zoom и кое-что еще
> https://habr.com/ru/company/selectel/blog/550182/
На прошлой неделе у PortSwigger вышел неплохой материал для любителей поковыряться в OAuth2 и OIDC. Рассмотрены три новые уязвимости для демонстрации которых используются опенсорсные реализации OAuth и OpenID Connect — ForgeRock OpenAM и MITREid Connect.
> https://portswigger.net/research/hidden-oauth-attack-vectors
Для большего погружения в тему работы OAuth/OIDC, их реализации, известных атак и безопасности:
https://portswigger.net/web-security/oauth
https://portswigger.net/web-security/oauth/openid
https://www.polarsparc.com/xhtml/OAuth2-OIDC.html
https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html
Вчера в одном профильном чатике возникла любопытная дискуссия на тему того, нужен ли в современных реалиях WAF. Тема изъезженная, и тем не менее всегда есть, что обсудить.
Были озвучены десятки «ЗА» и «ПРОТИВ», и вот пожалуй самые интересные из них:
ЗА
- Виртуальный патчинг WAF позволяет закрыть что-то экстренное, когда у разработчиков на это нет времени.
- Сложно постоянно полагаться на качество кода вашей команды разработки, завтра может произойти что угодно: от ухода всей команды, до каких-то «срочных» нововведений по запросу от менеджмента.
- Не стоит забывать, что появление багов и уязвимостей циклично, одного харденинга будет недостаточно.
- Какой бы «тупой» WAF не был, он всегда мешает, и как следствие — увеличивает стоимость атаки.
- Масса «ЗА» касались мониторинга и быстрого детектирования атак, даже если WAF стоит не в режиме блокирования, оперативная сработка правил позволяет быстрее работать по инцидентам, разбирать L7 DDoS, логи, блокировать ботов и пр. Особенно если никаких других мониторингов нет.
- «Имхо, ваф — маст хэв, как антивирус и Яндекс браузер. То есть некоторым это не нужно, а родителям поставлю.»
- Для малого и среднего бизнеса, где нет ИБ подразделения, либо с его небольшой численностью, будет оптимальным решением какое-нибудь недорогое облачное коробочное решение, для энтерпрайза этого скорее всего будет недостаточно.
ПРОТИВ
- Внедрение WAF приведет к тому, что на багам перестанут уделять должное внимания со стороны разработки, а менеджмент расслабится.
- Если основная задача установки WAF связана с защитой API, лучше уделить внимание хенделингу API, будет дешевле. Или воспользоваться каким-то универсальным облачным решением, например CloudFlare.
- Построение полноценного CI/CD с должным уровнем код ревью и хорошими тестами (включая SAST, DAST, OAST и пр.) будет намного эффективнее WAF, но безусловно трудозатратнее.
- WAF требует много человеческих ресурсов при внедрении и сопровождении, может фолзить, влиять на стабильность защищаемых приложений.
- На практике вы сталкнетесь с тем, что WAF почти всегда будет «ломать» логику ваших приложений. Нужно быть готовым с этим работать.
АЛЬТЕРНАТИВНЫЕ МНЕНИЯ
- Конечно же ни одна дискуссия не обходится без обсуждения opensorce, здесь не исключение. Например посмотреть в сторону Naxsi под Nginx или ModSecurity.
- За годовую стоимость, сопоставимую с закупкой WAF у популярного вендора, можно создать/нанять «крутую» команду безопасников и используя opensource решения, реализовать отличные контроли, тесты, дашборды, запустить bug bounty, выстроить процессы со своей командой разработки.
ИТОГ
Как вы понимаете универсального решения нет, все индивидуально и сильно зависит от потребностей, возможностей и рисков.
БОНУС
Ребята из Wallarm опубликовали чеклист с актуальными критериями, помогающими выбрать современное решение для защиты ваших приложений и API.
ССЫЛКИ
Старт дискуссии> /channel/cb_sec/1405
Wallarm Protection Evaluation Checklist> https://www.wallarm.com/resources/waf-and-api-protection-evaluation-checklist
P.S Кстати, ребята собираются каждую субботу в Clubhouse (формат еще определяется) и трут за безопасность, при желании всегда можно поучаствовать в дискуссии.
OWASP TOP-10 недостаточно быстро обновляется в современных реалиях и построен на непрозрачных для сообщества метриках — подумали в Wallarm и, используя базу Vulners, выкатили свой OWASP TOP-10 2021, собрав более 4 миллионов бюллетеней безопасности от 144 поставщиков.
https://lab.wallarm.com/owasp-top-10-2021-proposal-based-on-a-statistical-data/
Где-то слышал мнение, что у современных анти-чит систем методы обнаружения куда более продвинутые, чем у EDR, представленных сегодня на рынке, или по крайней мере есть, что можно позаимствовать. Справедливости ради стоит отметить, что задачи у EDR куда шире, учитывая, что они не привязаны к конкретным процессам, как в случае с анти-читами.
Поэтому кто заскучал и хочет попробовать чего-то новенького, можно погрузиться в базовый реверс и исследование того, как работают видеоигры и читерский софт.
https://gamehacking.academy/
А вообще любопытная тема для изучения.
В заключение небольшая проверка на олдфагов: ArtMoney помните?)
Вчера в блоге Tenable появилась любопытная статья про локальное повышение привилегий в PsExec, позволяющее процессу, запущенному не от администратора, перейти в SYSTEM.
Работает для Windows 10 и более младших версий, вплоть до XP. Тестируемые версии PsExec v1.72 и до актуальной v2.2.
PoC прилагается.
https://medium.com/tenable-techblog/psexec-local-privilege-escalation-2e8069adc9c8
—Партнерский пост—
Мир кибербезопасности очень инертен, вымогателей становится только больше, промышленные системы и различные отрасли экономики каждый день страдают от масштабных APT-атак, а активные действия спецслужб только добавляют всему этому шоу пикантности. Ситуация эта вряд ли в ближайшем времени как-то изменится, и лишь продолжит усугубляться, поэтому наш долг держать руку на пульсе.
С этой задачей отлично справляется канал SecAtor. Ребята мониторят все горячие новости, шутят, разбирают отчеты крупных компаний, а их главная фишка — обзоры APT-группировок, вместе с их проделками.
Все по делу и на постоянной основе.
«Руки-ножницы российского инфосека» — SecAtor
InfoSec Black Friday Deals 2020
Традиционная подборка интересных предложений «Чёрной пятницы» из сферы инфосек — https://github.com/0x90n/InfoSec-Black-Friday
https://github.com/Securityinfos/Black-Friday-Deals
1Password с 50% скидкой, много платформ для обучения, трейнингов и лаб по скидке (SANS, Practical DevSecOps, PentesterLab и пр.) и многое другое.
Большая часть скорее всего появится завтра, но уже есть из чего выбирать.
У подразделения PortSwigger Research есть максимально полезная шпаргалка по XSS, которую они постоянно обновляют, убирая уже устаревшие пейлоады и наоборот, собирая и добавляя актуальные, в том числе присланные от комьюнити по всему миру.
https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
Как говорится — не bWAPP'ом единым!
Подборка заранее уязвимых приложений, сервисов, ОС и пр. для вашего обучения, либо тестирования различного рода сканеров.
https://github.com/vavkamil/awesome-vulnerable-apps/
Удивительно простой способ выполнить повышение привилегий в Ubuntu 20.04. Не баг а фича скрывается в службе, которая управляет учетными записями ОС (accountsservice) и менеджере рабочих столов GNOME (gdm3).
Перед экспериментами советую сделать снапшот, чревато блокировкой УЗ.
Детали > https://securitylab.github.com/research/Ubuntu-gdm3-accountsservice-LPE
Демонстрация > https://www.youtube.com/watch?v=8IjTq7GBupw
Все мы знаем, что безумное желание удешевить любое IoT устройство ни к чему хорошему не приводит, и вот очередная история про бюджетные телевизоры от китайской компании TCL, которые занимают чуть ли не 3 место по продажам на Amazon и продукция которой есть даже у наших крупных ритейлеров типа М.Видео или DNS.
Ребятам хватило буквально немного времени, чтобы обнаружить торчащую на нестандартном порту файловую систему Android TV, доступную через web и некорректные разрешения на некоторые критические файлы.
Кто знает, что там можно найти, если потратить на это больше времени.
Забавно, что после того, как о первой проблеме сообщили в TCL, те как-то без вмешательства владельца подопытного телевизора умудрились его обновить. Такие дела.
https://sick.codes/extraordinary-vulnerabilities-discovered-in-tcl-android-tvs-now-worlds-3rd-largest-tv-manufacturer/
Бывает и на синей улице праздник. Вот например набор бесплатных заданий для Blue Team в формате CTF.
Для любителей покопаться в событиях есть несколько лаб "Boss of the SOC" от команды Splunk, где вам нужно расследовать APT и ответить на вопросы со страницы задания, или например известные задания "Flare-on" по реверсу от FireEye, есть также анализ PCAP, дампов памяти и пр.
> https://cyberdefenders.org/
