Cybershit

#Ликбез\n\nОчень крутая, масштабная и пугающая статья от американской журналистки Авы Кофман (Ava Kofman) про технологии распознавания речи, используемые американскими спецслужбами. Голос - легкий и доступный материал для идентификации и поиска человека в любой точке земного шара. \n\nВсе ваши онлайн звонки, ноутбуки, телефоны, все эти "Окей Google"... Создать ваш voiceprint не составляет труда. Причем возможность идентификации каждого по голосу куда более приоритетная задача чем суть всех ваших разговоров.\n\nБу!\nP.s осторожно, много английских букв!\n\nhttps://theintercept.com/2018/01/19/voice-recognition-technology-nsa/

Вообще идея создания подобной карточной ИБ-игры преследует меня уже давно. Хочется и чтобы на конференциях можно было зарубиться, и не погруженным в мир ИБ было интересно. Мы с другом даже делали прототип, но дальше тестов к сожалению ничего не уехало :(\nНа самом деле там не все так просто

15-ти часовой курс для начинающих пентестеров https://www.youtube.com/watch?v=3Kq1MIfTWCE

Вчера в блоге Tenable появилась любопытная статья про локальное повышение привилегий в PsExec, позволяющее процессу, запущенному не от администратора, перейти в SYSTEM. \nРаботает для Windows 10 и более младших версий, вплоть до XP. Тестируемые версии PsExec v1.72 и до актуальной v2.2.\nPoC прилагается.\nhttps://medium.com/tenable-techblog/psexec-local-privilege-escalation-2e8069adc9c8

0

Неплохие площадки для экспериментов с docker и kubernetes, если лень разворачивать лабы и разбираться с админской частью.\nhttps://labs.play-with-docker.com/\nhttps://labs.play-with-k8s.com/\nЕсть и песочницы и отдельные таски, где можно подтянуть темы, которые вы давно откладывали, например как работают linux capabilities или seccomp профили

Прошло как-то мимо глаз, надеюсь не ваших — нерекурсивная ZIP-бомба, способная из 10 МБайт превращаться в 281 ТБайт, а из 46 МБайт в 4.5 ПБайт! Лучший подарок для вашей песочницы!\n\nИ никакой магии, тот же самый алгоритм DEFLATE при сжатии.\n\n[RU] https://habr.com/ru/post/459254/\n[EN] https://www.bamsoftware.com/hacks/zipbomb/

Понял тут, что не рассказывал о trufflehog, наверное лучшем на сегодншний день решении для поиска секретов. SSH и API ключи, пароли к бд, токены, облачные учетные данные и многое другое. Там уже 700 детекторов/регулярок, причем для некоторых есть сразу автоматическая проверка. Нашли например креды к AWS или GCP, нажали кнопочку и trufflehog любезно постучал в нужную апишку для валидации.\nЕще помимо привычных множественных сканов репозиториев, есть возможность поиска по файловой системе и даже s3 бакетам. Бонусом можно скачать плагин для браузера чтобы и по JS пройтись.\nКороче, мастхев для безопасности ваших пайплайнов и обнаружения секретов, которые кто-то случайно забыл положить куда следует или удалить. Ну или не случайно 😏\n> https://github.com/trufflesecurity/trufflehog

Застрахуй братуху, застрахуй или зачем вам ИБ, если можно просто купить полис?\nhttps://cloud.yandex.ru/insurance-offer\nhttps://sber.insure/products/cyber/\nСудя по количеству материалов по запросу "cybersecurity insurance" за рубежом это уже частая практика, посмотрим приживется ли у нас. Любопытно глянуть на реальные кейсы.\np.s ого первый пост с лета :0

​Делать Infrastructure-as-code (IaC) сейчас модно, главное предварительно ознакомиться с лучшими практиками и не забыть подумать о безопасности. Для последнего существует несколько бесплатных утилит, как для конкретного решения, так и комплексных (например checkov). \nКомпания Checkmarx, многим известная своим SAST решением для анализа исходного кода, тоже решила сделать вклад в комьюнити и выпустила собственное opensource решение для статического анализа конфигураций — Keeping Infrastructure as Code Secure (KICS).\nПоддерживает: Terraform, Kubernetes, Docker, Ansible, Helm и AWS CloudFormation.\nА еще есть неплохая документация и запланированный на 15 апреля вебинар, где обещают рассказать о решении подробнее.\nKICS > https://www.checkmarx.com/opensource/kics/\nDocs > https://docs.kics.io\nGit > https://github.com/Checkmarx/kics\nWebinar > https://register.gotowebinar.com/register/3720624616764432144

При анализе вредоносного ПО часто возникает потребность в эмуляции исполняемых двоичных файлов в кросс-платформенных средах и на разных ОС, будь это Windows PE в Linux, Linux ELF на Windows, или DOS на MacOS. \nДо недавнего времени для такого швейцарского ножа приходилось иметь под рукой множество эмуляторов и отладчиков, но в конца 2019 года малазийский исследователь Лау Кайджерн (Lau Kaijern) опубликовал в открытый доступ свой новый инструмент — Qiling, который сейчас активно развивается. Над проектом работает не один Лау, и ребята позиционируют свое детище как ядро для других более высокоуровневых проектов, параллельно докручивая функциональность и гибкие возможности API.\nФактически Qiling — это кросс-платформенный фреймфорк на Python, позволяющий вам эмулировать исполняемые файлы, будь это обычные PE, прошивка для вашего роутера или IoT устройства или даже UEFI. А благодаря поддержки API, Qiling можно использовать как вспомогательный инструмент для Ghidra, IDA Pro и пр.\nGitHub > https://github.com/qilingframework/qiling\nАрхитектура Qiling и примеры использования > https://blog.lazym.io/2020/09/05/Dive-deeper-Analyze-real-mode-binaries-like-a-Pro-with-Qiling-Framework/\nОбнаружение множественных вызовов Windows API с помощью Qiling > https://lopqto.me/posts/automated-dynamic-import-resolving

В Kaspersky решили не мелочиться и сделать VR игру для знакомства топ-менеджмента с рисками ИБ.\nТакой Standoff на минималках)\nhttps://www.kaspersky.com/blog/vr-interactive-simulation/40188/

​​DetectionLab — проект, позволяющий за несколько часов развернуть небольшую виртуальную лабу на базе Windows, для использования ее в исследовательских целях и тестировании. В чем суть? Весь деплой и конфигурация уже автоматизированы (DevOps, мать его) на базе Terraform, Ansible и Vagrant, а Packer вам пригодится только если вы решите использовать собственные образы ОС.\nНа выходе вы получаете 4 сконфигурированные тачки с правильными настройками логирования, рабочий домен, log forwarder, Splunk и пр. Все это можно использовать для самых разнообразных целей и гибко менять.\nХотите видеть какие типы событий и журналов генерят бинари, инструменты или техники атак, пишите SIGMA правила, администрируете SIEM, расследуете или вообще находитесь по ту сторону баррикад (тачки без харденинга) — применение можно найти везде. И важно, что проект существует уже не первый год и постоянно поддерживается, что редкость для таких инициатив. \nПроект > https://github.com/clong/DetectionLab\nМатериал > https://medium.com/@clong/introducing-detection-lab-61db34bed6ae

Ubiquiti ТОП за свои деньги?

​​Ого-го!\n\nЛаборатория Касперского анонсировала бесплатный доступ к своему Threat Intelligence Portal для всех желающих!\n\nhttps://opentip.kaspersky.com/\n\nПервая моя ассоциация была примерно такой: Ого, появился русский аналог VirusTotal! Но в блоге, посвященном анонсу, ребята из ЛК это опровергают и выделяют следующие причины: их продукт использует больше технологий обнаружения, чем это делает зарубежный аналог, весь анализ проводится собственными средствами и технологиями, без привлечения внешних систем, а результаты анализа не доступны широкому кругу подписчиков, как это сделано на VirusTotal.\n\nХотя платная подписка для получения той самой Threat Intelligence все же присутствует :)\n\nБложик: https://eugene.kaspersky.com/2019/10/24/open-tip/

🐐 Kubernetes Goat — наверное самый популярный проект для изучения безопасности Kubernetes.\nКруто, что благодаря сообществу они продолжают развивать и добавлять новые сценарии. Например недавно добавили лабы для изучения Cilium Tetragon и Kyverno.\nБольшинство сценариев простые, зато их уже более 20 штук, поэтому для общего понимания очень даже.\n> https://madhuakula.com/kubernetes-goat/\n> https://github.com/madhuakula/kubernetes-goat

Article: \nНовые взломы на Pwn2Own 2021: побеждены Ubuntu Desktop, Windows 10, Zoom и кое-что еще\n> https://habr.com/ru/company/selectel/blog/550182/

OWASP TOP-10 недостаточно быстро обновляется в современных реалиях и построен на непрозрачных для сообщества метриках — подумали в Wallarm и, используя базу Vulners, выкатили свой OWASP TOP-10 2021, собрав более 4 миллионов бюллетеней безопасности от 144 поставщиков.\nhttps://lab.wallarm.com/owasp-top-10-2021-proposal-based-on-a-statistical-data/

Очень крутой кейс про то, как имея на руках только снапшот виртуальной машины в момент ее компроментации и зашифированный pcap, автор смог не только вытащить сессионные ключи ssh, но и расшифровать трафик. Правда для этого пришлось проанализировать структуру OpenSSH, разложить все буквально на кусочки, понять в каких блоках памяти ОС хранятся данные, связанные с текущей ssh сессией, и в результате получить сессионный ключ.\nГоворит, что было бы круто добавить эту функциональность в Wireshark.\nhttps://research.nccgroup.com/2020/11/11/decrypting-openssh-sessions-for-fun-and-profit/

InfoSec Black Friday Deals 2020\nТрадиционная подборка интересных предложений «Чёрной пятницы» из сферы инфосек — https://github.com/0x90n/InfoSec-Black-Friday\nhttps://github.com/Securityinfos/Black-Friday-Deals\n1Password с 50% скидкой, много платформ для обучения, трейнингов и лаб по скидке (SANS, Practical DevSecOps, PentesterLab и пр.) и многое другое. \nБольшая часть скорее всего появится завтра, но уже есть из чего выбирать.

Оказывается у GitHub есть специальная программа для студентов, позволяющая получить очень многое полезное ПО совершенно бесплатно.\n\nhttps://education.github.com/pack\n\nСтудентам на заметку ;)

Если вы еще не интегрировали MITRE ATT&CK в свои процессы, вот вам отличный повод еще раз понять, как применять фреймворк на практике — CISA выпустило свое краткое руководство, где с помощью общих инструкций и на примере трояна TrickBot показали как работать с MITRE ATT&CK и сопоставить поведение злоумышленника.\nhttps://us-cert.cisa.gov/sites/default/files/publications/Best%20Practices%20for%20MITRE%20ATTCK%20Mapping.pdf

Недавно компания Cisco представила свои руководства по форензике, определяющие последовательность действий по сбору информации со скомпроментированных узлов при расследовании киберугроз.\n\nКажется пора делать новый экзамен для сисько-форензиков — Cisco Certified Forensic Investigator (CCFI) :)\n\nhttps://blogs.cisco.com/security/new-forensic-investigation-procedures-for-first-responder-guides\n\nhttps://tools.cisco.com/security/center/tacticalresources.x

Советую как будет время глянуть вчерашний ИБ-митап Яндекса, достаточно интересные и разные темы. Cразу спойлер — про слив упомянули, но ничего не рассказали, обещали потом.\nА вообще парням большой респект за то, что несмотря на то, что происходит в мире российского ИБ, они просто рассказывают важные и интересные вещи о том, как можно и нужно делать ИБ, без какого-либо продающего контекста (ну если только чуть-чуть). Ну и в опенсорс коммитят конечно же 🙂\nВсе доклады классные, просто бери обводи и обновляй свои ИБ планы на 2023-2024 года.\n00:04:13 Про DevSecOps в Яндекс.Облаке, немного продающий облако, но затрагивающий лучшие практики о том, как построить процессы ИБ в финтехе и не только.\n01:10:15 Про выстраивание и автоматизацию процессов безопасности, экономию времени на ревью доступов, взаимодействия между командами и пр. Оч крутые кейсы для внедрения в любой организации.\n01:38:32 Про организацию безопасного удаленного доступа до инфраструктуры, тут больше понравилась вторая часть, которая реально затрагивает большинство проблем при внедрении решений типа Teleport или Boundary.

​​Люблю май за тепло, праздники и традиционную конференцию PHDays, где безопасность, люди и взлом сливаются во едино и несут важность ИБ в мир.\n\nВ этом году мероприятие стало форумом и пройдет на новой площадке в «Крокус Экспо» 21 и 22 мая.\n\nПосетителей ждут доклады от экспертов области, новые конкурсы и уже ставшее традиционным противостояние The Standoff, где примут участие почти 200 человек. Кстати в прошлом году на The Standoff победила дружба и жвачка, посмотрим, кто окажется сильнее в этот раз! ;)\n\nЧатик по The Standoff с хакерами: @TheStandoff\nНовый формат "Конкурсы":https://www.phdays.com/ru/program/contests/\nОсновная программа: https://www.phdays.com/ru/program/schedule/\n\nА еще у ребят сейчас проходит квест по форензике. Легенда тут: https://bit.ly/2UDWT0Q Точка входа через телеграм: @jaxhunt_bot\n\nSEE YOU?! 😊

0

0

Пора возвращаться, октябрь на дворе.\n\nНа разогреве начнем с райтапов недавнего Flare-On 2019 по реверсу от Алексея из DSec.\n\nhttps://habr.com/ru/company/dsec/blog/469393/

Как вам такой аудит сети РЖД?\nhttps://habr.com/ru/post/536750/

Очень красивый бесплатный курс по OWASP Top 10 с элементами геймификации.\nhttps://application.security/free-application-security-training

Удивительно простой способ выполнить повышение привилегий в Ubuntu 20.04. Не баг а фича скрывается в службе, которая управляет учетными записями ОС (accountsservice) и менеджере рабочих столов GNOME (gdm3).\nПеред экспериментами советую сделать снапшот, чревато блокировкой УЗ.\nДетали > https://securitylab.github.com/research/Ubuntu-gdm3-accountsservice-LPE\nДемонстрация > https://www.youtube.com/watch?v=8IjTq7GBupw

Как говорится — не bWAPP\'ом единым!\nПодборка заранее уязвимых приложений, сервисов, ОС и пр. для вашего обучения, либо тестирования различного рода сканеров.\nhttps://github.com/vavkamil/awesome-vulnerable-apps/

Для участия в розыгрыше нажмите на «Я участвую»\n*****\nПобедители: Mak Mih

Неплохой консольный инструмент, способный немного скрасить будни SOC аналитика https://github.com/TheresAFewConors/Sooty\n\n- прямой и обратный DNS lookup, Whois.\n- проверка URL, IP и email по различным репутационным базам и сервисам.\n- работа с VirusTotal, AbuseIPDB, URLScan, HaveIBeenPwned и пр.

​​Сегодня в Москве прошла презентация платформы для проверки эффективности кибербезопасности — Verodin, которую в начале лета приобрела компания FireEye (на секундочку за $250 млн).\n\nЭтой штукой предлагается автоматизировать процесс тестирования средств зашиты и уровня защищенности, а в конечном итоге заменить пентестеров, тестировщиков и даже аналитиков безопасности! Шутка, конечно, ведь этого никогда не произойдет. Правда, же? 😢\n\nПо сути, решение представляет собой портативный red teaming, позволяющий воспроизвести полные циклы атак, посмотреть, как реагируют средства защиты, системы логирования и отрабатывают правила корреляции. Есть даже возможность развернуть в облаке специальные модули Verodin, откуда к вам будет сыпаться различный вредоносный трафик, очевидно обезвреженный. \n\nВ общем звучит очень круто, но нужно смотреть на деле, возможно именно сейчас формируется новый класс продуктов и услуг, которые с помощью легкой руки регуляторов станут в будущем даже обязательными. Есть у кого потестить?)))\n\nhttps://www.verodin.com/\n\n👨🏻‍💻 — Инженеры будут жить вечно!\n🤖 — Кожаные ублюдки скоро станут никому не нужны :\'(

У подразделения PortSwigger Research есть максимально полезная шпаргалка по XSS, которую они постоянно обновляют, убирая уже устаревшие пейлоады и наоборот, собирая и добавляя актуальные, в том числе присланные от комьюнити по всему миру.\nhttps://portswigger.net/web-security/cross-site-scripting/cheat-sheet

Просто игра, обучающая основам реверс-инжениринга. Это так мило 🙂\n\nhttps://squallygame.com/

​Идея обучения своих сотрудников вопросам ИБ не является чем-то новым, но последнее время стремительно набирает популярность.\nПоэтому в рамках этого партнерского материала хочу вам рассказать про своих знакомых из компании Secure-T, которые мне предложили разыграть среди подписчиков бесплатную проверку социалкой на 150 человек.\nРебята не первый год на рынке и уже обучают и тестируют более 10 тысяч сотрудников крупных организаций.\nВот немного статистики из их последних двух фишинговый рассылок:\n1-й кейс — 46% сотрудников перешли по ссылке в открытом письме, а 14% ввели свои учетные данные в поддельные формы;\n2-й кейс — 50% сотрудников перешли по ссылке в письме, а 28,5% ввели свои учетные данные в поддельные формы.\nВ рамках проверки они подготовят фишинговые шаблоны и проверят знания сотрудников в вашей организации. По завершении работ вам будет предоставлен отчет.\nУсловия для участия простые: \n1. Быть подписанными на канал\n2. Тыкнуть на кнопку «Я участвую»\nТянуть не будем, розыгрыш состоится уже в эту пятницу, результаты будут в 19:00. С победителем розыгрыша я дополнительно свяжусь.\nНу а для тех, кто хочет побольше узнать о деятельности ребят:\nСайт компании: https://secure-t.ru/\nСайт продукта: https://edu.secure-t.ru/

Мерч, который мы заслужили!\n\nhttps://market.zeronights.ru/

0day в механизме аутентификации "Sign in with Apple" на 100 000$. \nhttps://bhavukjain.com/blog/2020/05/30/zeroday-signin-with-apple/

Ребята из Digital Security рассказали на Хабре о своем выборе плагинов для Burp Suite, которые они используют для повседневных задач. https://habr.com/ru/company/dsec/blog/529088/

Ого, вышлая новая версия OWASP Web Security Testing Guide! \nhttps://github.com/OWASP/wstg/releases/tag/v4.2

Где-то слышал мнение, что у современных анти-чит систем методы обнаружения куда более продвинутые, чем у EDR, представленных сегодня на рынке, или по крайней мере есть, что можно позаимствовать. Справедливости ради стоит отметить, что задачи у EDR куда шире, учитывая, что они не привязаны к конкретным процессам, как в случае с анти-читами.\nПоэтому кто заскучал и хочет попробовать чего-то новенького, можно погрузиться в базовый реверс и исследование того, как работают видеоигры и читерский софт. \nhttps://gamehacking.academy/\nА вообще любопытная тема для изучения.\nВ заключение небольшая проверка на олдфагов: ArtMoney помните?)

Неплохой материал про опыт RedTeam при пентесте Active Directory, где автор рассказыват про инструменты и возможности обхода встроенных средств защиты с помощью обфускации, дополнительного шифрования пейлоада и упаковки исполняемого файла несколькими пакерами.\nКоманде защиты также на вооружение и проверок на своей инфраструктуре.\nhttps://luemmelsec.github.io/Circumventing-Countermeasures-In-AD/\np.s также там есть и другие полезные материалы https://luemmelsec.github.io/

Ребята из Яндекса в рамках Positive Hack Days рассказали, как они повышают ИБ-осведомленность своих сотрудников, начиная от мемов, которые размещают в офисных кофе-поинтах и заканчивая обучающей платформой для поиска багов в коде. Последнюю кстати выложили в открытый доступ и на GitHub. Говорят было бы круто, если бы вы помогли в развитии и использовали их наработки у себя, например дописав тесты под свои языки и сценарии.\nhttp://securitygym.ru\nhttps://github.com/yandex/securitygym

—Партнерский пост—\nМир кибербезопасности очень инертен, вымогателей становится только больше, промышленные системы и различные отрасли экономики каждый день страдают от масштабных APT-атак, а активные действия спецслужб только добавляют всему этому шоу пикантности. Ситуация эта вряд ли в ближайшем времени как-то изменится, и лишь продолжит усугубляться, поэтому наш долг держать руку на пульсе. \nС этой задачей отлично справляется канал SecAtor. Ребята мониторят все горячие новости, шутят, разбирают отчеты крупных компаний, а их главная фишка — обзоры APT-группировок, вместе с их проделками.\nВсе по делу и на постоянной основе.\n«Руки-ножницы российского инфосека» — SecAtor

Наверное лучший доклад с прошедшего DEFCON\n\nhttps://www.youtube.com/watch?v=CsQ2VWEfduM

Достойный материал про напрасно позабытый метод HTTP Request Smuggling, который позволил управлять корпоративными мобильными устройствами (вплоть до полного сброса), отправляя поддельные запросы на MDM сервер Citrix, и получить $17,000+ в качестве вознаграждения по Bug Bounty.\nhttps://medium.com/@ricardoiramar/the-powerful-http-request-smuggling-af208fafa142

​​Помните материал про Гитхабификацию ИБ, где автор рассказывал об унификации процесса обмена и реагирования на угрозы ИБ, с привязкой к MITRE ATT&CK? Сегодня я хочу вам рассказать об одном проекте под названием Atomic Threat Coverage.\nРебята подружили Atomic Red Team, предназначенный для проведения автоматизированных тестов, имитирующих действия RedTeam, с проектом Sigma и их правилами обнаружения угроз, обвязали все это вокруг MITRE ATT&CK, прикрутив туда аналитику и визуализацию.\nТ.е по факту вы получаете собственную структурированную базу знаний, с возможностью загрузки/выгрузки как публичной, так и собственной аналитики, и все это с наложением на самый популярный рабочий фреймворк от MITRE.\nНедавно они запустили новый проект RE&CT, который, как уже понятно из названия, покрывает противоположную сторону MITRE ATT&CK — превентивную, и описывает техники реагирования на инциденты. \nКороче, ребята прям жестко упарываются по incident response, популяризации MITRE и global threat intelligence, выступают на конференциях, устраивают спринты по написани Sigma-правил и пр. Поэтому если вы давно планировали начать мапить узрозы на MITRE ATT&CK, погружаться во все это можно смело начиная с Atomic Threat Coverage. Но предупреждаю сразу, запасайтесь временем, ресечить придется много.\nКстати, может кому-то будет греть душу, что половина команды русскоговорящие :)\nAtomic Threat Coverage > https://github.com/atc-project/atomic-threat-coverage\nRE&CT > https://atc-project.github.io/atc-react/index_RU/\nTg > @atomic_threat_coverage

Несколько полезных инструментов о которых рассказывали на секции Tool.Zone (OFFZONE):\n\nhttps://github.com/raw-packet/raw-packet - WiFi MITM для Apple.\nhttps://github.com/SecurityFTW/cs-suite - Аудит безопасности AWS/GCP/Azure.\nhttps://github.com/sdnewhop/grinder - автоматизации сканирования интернета с использованием Shodan, Censys и nmap.\nhttps://github.com/meliht/Mr.SIP - аудит и атаки на SIP, в том числе SIP MITM.\nhttps://github.com/averonesis/kubolt - снова Shodan, но на этот раз для поиска общедоступных кластеров kubernetes и их последующая эксплуатация.