769
Мир проигравшего киберпанка. Картинки, новости, мануалы, DIY. Для связи: @the29a
ML в безопасности CI это может хорошо, но защищать и атаковать самим лучше.
Два awesome-списка.
Для атакующих: Awesome CI/CD Attacks
- Techniques
- Publicly Exposed Sensitive Data
- Initial Code Execution
- Post Exploitation
- Defense Evasion
- Offensive Tools
- Case Studies
Для защищающих: Awesome CI/CD Security
- Book
- Blogs
- Videos
- Repositories
- Playground
- Cases
Интересное исследование от Project Zero в двух частях.
Казалось бы, реестр Windows вещь весьма простая и понятная. Однако и он таит в себе множество различных уязвимостей. За 20-месячный период с мая 2022 года по декабрь 2023 года автор исследования получилось целых 50 CVE.
В ходе исследования было сдано 39 отчетов об ошибках в трекер ошибок Project Zero, которые были исправлены Microsoft как 44 CVE. Причин расхождения между этими цифрами несколько:
- Некоторые отдельные отчеты включали информацию о нескольких проблемах, например issue 2375 была решена четырьмя CVE,
- Некоторые группы отчетов были исправлены одним патчем, например issue 2392 и 2408 как CVE-2023-23420.
- Один отчет об ошибке был закрыт как WontFix и вообще не был рассмотрен в бюллетене по безопасности (issue 2508).
Все отчеты были представлены в соответствии с политикой Project Zero в отношении 90-дневного срока раскрытия информации, и Microsoft во всех случаях успешно уложилась в этот срок. Среднее время от отчета до исправления составило 81 день.
Кроме того, в период с ноября 2023 года по январь 2024 года автор сообщил о 20 проблемах, которые имели незначительное или неясное влияние на безопасность, но он считал, что поставщика всё же следует о них уведомить. Они были отправлены без срока раскрытия и не были опубликованы на трекере Project Zero, но были опубликованы на GitHub Project Zero.
По результатам оценки Microsoft решила исправить 6 из них в бюллетене по безопасности в марте 2024 года, а остальные 14 были закрыты как WontFix с возможностью их устранения в будущей версии Windows.
В общей сложности получилось 50 CVE, которые Microsoft классифицирует как:
- 39x Уязвимость ядра Windows, связанная с повышением привилегий
- 9x Уязвимость ядра Windows, связанная с раскрытием информации
- 1x Уязвимость раскрытия информации в памяти ядра Windows
- 1x Уязвимость ядра Windows, связанная с отказом в обслуживании
Само исследование в двух частях:
The Windows Registry Adventure #1: Introduction and research results
The Windows Registry Adventure #2: A brief history of the feature
❯ docker run hello-world
Unable to find image 'hello-world:latest' locally
latest: Pulling from library/hello-world
c1ec31eb5944: Pull complete
Digest: sha256:266b191e926f65542fa8daaec01a192c4d292bff79426f47300a046e1bc576fd
Status: Downloaded newer image for hello-world:latest
Hello from Docker!
This message shows that your installation appears to be working correctly.
Ложки-то нашлись, а осадок остался!Читать полностью…
Fifty Things you can do with a Software Defined Radio
На носу лето, а это значит, что можно "выгулять" свои SDR и прочие устройства для прослушивания эфира. Или просто развернуть антенну побольше.
Послушать в эфире есть что, автор статьи указал аж 50 вариантов применения SDR. В нашем случае будет чуть меньше (не уверен, что у нас будет слышно Freenet), но вполне можно послушать не только банальное FM-радио и AirBand, но и "послушать" разные датчики на 433МГц, а особо пытливые могут даже получить множество разных данных со спутников.
Для тех, кто только хочет начать: RTL SDR донгл стоит брать сразу V4, он сильно лучше V3. Могут быть проблемы с их преобретением, но всё же лучше брать их. Так же для начала нет большого смысла сразу брать HackRF, LimeSDR и иные навороченные SDR, просто послушать эфир RTL SDR хватит. Особенно если речь идёт именно о V4.
Комплектная телескопическая диполь-антенна не предел мечтаний, но избавит вас от первоначальных мук выбора антенн (увы, нет одной антенны для всех диапазонов).
По софту всё довольно просто.
Android:
SDR++
Linux/Windows:
qgrx
SDR++
SDRangel
А для тех, кто не хочет обзаводиться новым железом, но послушать всё равно интересно, есть целая карта с множеством доступных WebSDR.
KICS stands for Keeping Infrastructure as Code Secure
Многие знают и используют различные SAST для кода, но о сканировании IaC задумываются далеко не все. Кто-то обходится линтерами, но это редко решает проблемы безопасности. Но готовые решения есть, и даже не за Камаз денег.
KICS - сканер infrastructure-as-code от Checkmarx. Опенсорсный, расширяемый и работающий.
Поддерживает множество платформ:
- Terraform
- Ansible
- Helm
- Docker
- Docker Compose
- Kubernetes
И множество других (даже Tencent Cloud есть, хоть и в бете).
Интегрируется в CI/CD, но может работать и в виде Docker-контейнера:
# Сканирование директории
docker run -t -v {path_to_host_folder_to_scan}:/path checkmarx/kics:latest scan -p /path -o "/path/"
# Сканирование файла
docker run -t -v {path_to_host_folder}:/path checkmarx/kics:latest scan -p /path/{filename}.{extension} -o "/path/"
Nmap Dashboard with Grafana
Дашборд в Grafana для nmap? А почему бы и нет?
Результаты сканирования nmap визуализировали не раз и не два (я как-то писал про разные способы, вроде NMapify, nmap-formatter, WebMap).
Тут суть тоже довольно проста: генерируем отчёт в xml, скриптом генерируем базу sqlite, которую скармливаем Grafana.
Вариант не очень универсальный (обрабатываются скрипты http-title и ssl-cert), но как ещё один способ визуализации выглядит интересно.
Репозиторий: github.com/hackertarget/nmap-did-what/
YARA is dead, long live YARA-X
Yara мертва, но пока что чуть-чуть. Спустя много лет Yara решили переписать на Rust и назвали её - YARA-X.
Обещают улучшение пользовательского опыта (информативные ошибки, обновлённый CLI), совместимость с правилами Yara на 99% (есть особенности в правилах) и улучшенную производительность.
Забрасывать Yara пока не планируют, будут выходить исправления и небольшие фичи, но крупных обновлений можно не ждать.
Что касаемо Yara-x, то она ещё в бете, но уже вполне пригодна для использования.
Если вы используете готовые правила (например от Yara Forge), я бы пока не торопился переходить.
Основные различия YARA-X vs YARA можно почитать в документации проекта.
Initial Access Brokers, Infostealers, and Everything Between Them
Запоздалое открытие от Hudson Rock о инфостилерах. Не так давно была взломана компания Change Healthcare с использованием украденной учетной записи Citrix без MFA. Эта атака не только привела к нарушению работы бизнеса, но и привела к выплате выкупа в размере 22 миллионов долларов. Вероятная причина — заражение сотрудника стилером.
Что же обнаружили исследователи из Hudson Rock?
- На апрель 2024 года обнаружено 105 организаций, к которым продавался доступ
- 63% организаций были скомпрометированы из-за заражения сотрудников инфостилерами.
- Торговля идёт бойко, всё неплохо продаётся и покупается.
В целом, это направление теневого бизнеса уже не ново, но всё ещё может удивить некоторых.
Вероятно, они наконец-то смогли зарегистрироваться на одном известном форуме.
The Hidden Economy of Open Source Software
К Open Source не применим стандартный подход подсчёта ценности (умножение цены на проданное количество), и всего 5% разработчиков OSS отвечают за 96% его стоимости.
Недавнее обнаружение бэкдора в XZ Utils (CVE-2024-3094), утилите сжатия данных, используемой широким спектром различных компьютерных приложений с открытым исходным кодом на базе Linux, подчеркивает важность безопасности программного обеспечения с открытым исходным кодом. Хотя программное обеспечение с открытым исходным кодом часто не ориентировано на потребителя, оно является важнейшим компонентом вычислительных, таких как безопасная связь между машинами.
Программное обеспечение с открытым исходным кодом стало краеугольным камнем технологической индустрии, оказывая влияние на все: от небольших стартапов до глобальных корпораций. Несмотря на повсеместное присутствие и основополагающую роль в продвижении инноваций, истинная экономическая ценность OSS до сих пор оставалась неизведанной территорией.
Но так как проблема насущная, исследователи Гарвардской школы бизнеса Мануэль Хоффманн, Фрэнк Нэгл и Януо Чжоу провели небольшое исследование на тему влияния Open Source на отрасль.
Текст исследования The Value of Open Source Software в pdf.
Мальчишки и девчонки, а так же их родители, написать эксплоит под Linux не хотите ли?
Веселые истории "Cult Of Wire" покажет вам, но не забывайте отдых дать глазам.
Ещё немного археологии из мира ИБ.
chameleon - ханипот-комбайн, эмулирующий 19 сервисов (DNS, HTTP Proxy, HTTP, HTTPS, SSH, POP3, IMAP, STMP, RDP, VNC, SMB, SOCKS5, Redis, telnet, Postgres, MySQL, MSSQL, Elastic и LDAP) для мониторинга трафика, активностей ботов и попытки логина и брутфорса.
Большинство ханипотов выступают в роли серверов (некоторые эмулируют протоколы прикладного уровня) и был реализован модульный подход (ханипоты запускаются как скрипты или импортируются как объекты).
К этому всему есть Grafana с настроенными дашбордами.
Что ещё:
- Настройки серверов с именем пользователя, паролем и баннером (имя пользователя и пароль по умолчанию являются тестовыми)
- Полезная нагрузка ICMP, DNS TCP и UDP анализируется и проверяется на соответствие общим шаблонам.
- Неструктурированные и структурированные журналы анализируются и хранятся в Postgres
- Все порты открыты и отслеживаются по умолчанию
- Автоматизация и возможность развертывания на AWS ec2
Проект не обновляется с 2020 (разве что иногда readme обновляют иногда).
maciej.pocwierz/how-an-empty-s3-bucket-can-make-your-aws-bill-explode-934a383cb8b1">How an empty S3 bucket can make your AWS bill explode
TLDR: был у автора пустой AWS S3 бакет в eu-west-1, на который он загрузил пару файлов для тестирования. Бакет должен был укладываться в рамки free-tier, но вместо free-tier его ждали почти 100 000 000 PUT-запросов и счет в $1300.
А проблема оказалась в мисконфиге.
Как выяснилось, один из популярных инструментов с открытым исходным кодом по умолчанию хранил свои резервные копии в S3. А в качестве имени бакета они использовали то же самое имя, которое использовал автор.
Но есть нюансы: AWS учитывает для биллинга и неавторизованные запросы. Так же дополнительные косты хранятся в перенаправлении между регионами (S3 без указанного региона по умолчанию направляются в us-east-1 и перенаправляются по мере необходимости, и владелец за это платит).
Так же мисконфиг мог бы привести к заметной утечке данных, так как бэкапы делались в бакет автора.
Итого:
1. На текущий момент имя бакета можно считать чувствительной информацией, так как даже неавторизированные запросы могут привести к большим счетам.
2. Не используйте имена бакетов как есть. Можно добавить дополнительный суффикс к имени. Не стоит использовать короткие и общие имена.
3. При использовании S3 указывайте регион.
AWS уже разбираются с проблемой и автору уже вернули средства. Но ситуация получается довольно странная.
Nuclei не даёт покоя писателям разных автоматизаций и иных костылей, и на свет выходят порой занятные штуки. Например NucleiScanner.
Он использует Subfinder для сбора субдоменов, Gau для сбора URL-адресов путем фильтрации нежелательных расширений ParamSpider для выявления потенциальных точек входа и шаблоны Nuclei Scanning для сканирования на наличие уязвимостей.
Может работать как с одним доменом, так и со списком из файла.
Что под капотом:
- Nuclei / Nuclei Templates
- Subfinder
- Gau
- ParamSpider
- httpx
Docker нет, но сам скрипт проверяет наличие установленных инструментов. Правда httpx не один такой, так что будьте внимательны.
Был когда-то ничего не обещающий проект sentinel (он же в гугл-кэше). Названием не примечательный, сентинелов пруд пруди. Весь из себя all-in-one для исследователей-расследователей, с интеграцией кучей API, да почил в Бозе.
Но настойчивые разработчики не оставили попыток, и начали на основе sentinel пилить новый проект - horus. Снова all-in-one OSINT / digital forensics tool. Так же с оригинальным названием (нет), уникальным функционалом (которого на текущий момент почти нет).
К чему это я? Да не знаю.
Но наверное не стоит сразу пилить комбайн, который за кучу времени не довели до ума.
На Reddit проект засветился, звёзд на Github собрал, народ в Discord собрали. Может и за разработку возьмутся.
Fine-tuning Semgrep for Ruby Security: Pundit and SQL injection
Semgrep мощный инструмент анализа кода, и хотя в нем есть довольно много правил сообщества, они охватывают не всё, и вы столкнётесь с ситуацией, когда правила необходимо писать в соответствии с кодовой базой.
Статья рассматривает примеры написания правил semgrep для Ruby On Rails.
Первое правило направлено на обнаружение распространенного шаблона неправильного использования API, который может сделать Ruby-приложения уязвимыми для SQL-инъекций. Это общее правило, и его можно использовать без изменений в большинстве Rails-приложений.
Второе правило обеспечивает правильное использование авторизации Pundit в Rails-приложении на определенных моделях. Это скорее "шаблон правила", чем полноценное правило, и требует некоторой настройки в зависимости от сканируемой кодовой базы.
Правила автора доступны на Github.
Для желающих писать свои правила у semgrep есть документация и онлайн-редактор, позволяющий сразу проверять работу правил на куске кода.
Снова кожаные мешки перекладывают свои заботы и задачи безопасности CI на машинное обучение.
RedFlag - инструмент для определения изменений кода с высоким уровнем риска. В качестве AI выступает Claude от Amazon, и интегрируется с Github и Jira (опционально).
Задумка довольно проста: сравниваются ветки (или коммиты, или тэги), полученные коммиты проверяются на наличие прилинкованных задач в Jira, добавляется немного промптов и генерируется репорт.
Можно позапускать ручками, интегрировать в CI/CD или в так называемом Evaluation Mode для оценки производительности.
Выглядит интересно и отчёты довольно неплохие, но несколько сомнительно, как по мне. Пока что вызывает вопросы детекты. А так же стоимость и доступность того же Claude.
Документация: Github: Redflag Wiki
Пример репорта: Redflag Example Report
Статья в блоге авторов: Introducing RedFlag: Using AI to Scale Addepar's Offensive Security Team
Учебный центр Эшелон решили импортозаместить CISSP, и выпустили курс ССК (Сертифицированный специалист по кибербезопасности).
ССК представляют как прямой Российский аналог CISSP. Ранее преподаватели Эшелона с сертификатами CISSP проводили курсы по подготовке и сдаче самого CISSP.
Домены так же схожи:
- Менеджмент информационной безопасности
- Законодательство в области информационной безопасности
- Контроль доступа
- Сетевая безопасность
- Криптография
- Обеспечение непрерывности бизнеса и восстановление после сбоев
- Контроль и мониторинг информационной безопасности
- Разработка безопасного программного обеспечения
И для подготовки и сдачи экзамена не потребуется чемодан денег, онлайн-подготовка к сдаче экзамена и онлайн-экзамен будут бесплатными.
Обладатели CISSP (есть тут такие?) смогут получить сертификат ССК без сдачи экзамена.
Вообще идея хорошая. Хорошо иметь стандартные сертификации для своего рынка. Хотелось бы ещё видеть аналоги курсов и сертификатов от Offensive Security. И возможно даже CEH (но это не точно).
Пресс-релиз
Регистрация на курс подготовки
Примеры вопросов
А для самых упоротых увлеченных могу ещё порекомендовать канал на Youtube - saveitforparts">saveitforparts.
Парень из говна и палок подручных средств собирает всякие штуки для приёма данных со спутников. Разумеется, не без RTД-SDR и Raspberry Pi.
Чего только стоит самодельная спутниковая станция с семифутовой (примерно 2,1 метра) антенной и прекрасным чемоданом для инструментов в качестве гермобокса.
Docker Hub перестал работать в России и Беларуси.
На хабре уже идут активные обсуждения, и есть варианты решения.
Если есть VPN, то добавляем маршруты:
ip route add 52.0.0.0/8 via <VPN gw>
ip route add 44.0.0.0/8 via <VPN gw>
ip route add 54.0.0.0/8 via <VPN gw>
sudo bash -c 'cat <<EOF > /etc/docker/daemon.json
{
"registry-mirrors" : [
"https://mirror.gcr.io",
"https://daocloud.io",
"https://c.163.com/",
"https://huecker.io/",
"https://registry.docker-cn.com"
]
}
EOF'
# Перезапускаем Docker
sudo systemctl restart docker
"registry-mirrors" : [
"https://yandex.cr/mirror/",
"https://ghcr.io",
"https://public.ecr.aws",
"https://eu-central-1.mirror.aliyuncs.com",
"https://docker.mirrors.ustc.edu.cn"
]
/etc/containers/registries.conf[[registry]]
prefix = "docker.io"
location = "eu-central-1.mirror.aliyuncs.com"
# Перезапускаем podman
sudo systemctl restart podman
Cyber Security Transformation Chef (CSTC) - это плагин для Burp Suite, позволяющий расширить Burp для цепочки простых операций над каждым входящим или исходящим HTTP-сообщением. Его также можно использовать для быстрого применения пользовательского форматирования к каждому сообщению.
Инструмент использует графический интерфейс, основная идея которого схожа с CyberChef. Но у авторов своё видение и концепция, которую они назвали lanes. Выход преобразования CSTC всегда определяется по последней строке, на которой выполняется активная операция.
CSTC работает в Burp Suite Community Edition и Burp Suite Professional.
Без документация разобраться будет сложно, поэтому есть:
Описание функционала в виде видео: Youtube: Cyber Security Transformation Chef CSTC
Описание функционала в виде статьи в блоге: herolab.usd.de: Cyber Security Transformation Chef
Credential leakage risks hiding in Frontend code (real statistics from Korean websites)
Разработчикам из Южной Кореи не чужды особенности разработки зарубежных коллег и они так же заботливо оставляют секреты в коде.
А если серьёзно, то проблема хоть и банальная, но встречается и сегодня. Cremit обнаружили, что 14 из 70 южнокорейских сайтов раскрывают секреты.
И речь не всегда только про довольно банальные учетные данные к каким-то интеграциям, вроде Firebase, а OAuth и AWS IAM.
Напоминание атакующим:
Не забывайте смотреть в исходники. Возможно, 14 из 70 попадут именно вам.
Напоминание защитникам:
Используйте инструменты для поиска секретов в коде, вроде trufflehog. От неправильного использования секретов он не защитит, но хотя бы подсветит, куда стоит обратить внимание.
Что было. Что будет. Чем сердце успокоится.
На OffensiveCon 2024 Solar Designer (фаундер Openwall) сделал неплохой доклад "Password cracking: past, present, future".
Видео с доклада пока что нет, но есть слайды (картинками и PDF).
У Breachforums снова дела не очень. Судя по всему, прикрыли и Doxbin. Так же есть слухи о поимке админа Doxbin c активным применением демократии по лицу.
Небольшая хроника:
- RaidForums (EN) - RIP. Закрыт ФБР в феврале 2022 года.
- Breached.vc (EN) - RIP. Закрыт ФБР в марте 2023 года.
- BreachForums.st (EN) - RIP. Закрыт ФБР в мае 2024 года.
Было бы интересно узнать, был ли Baphomet единственным, кого взяли под стражу. Или IntelBroker - это тот, кто им действительно нужен.
Так же интересно, связанно ли это с 0day для Outlook (новость и ссылка на breachforums).
Ждем Breached v4?
JFrog Security research discovers coordinated attacks on Docker Hub that planted millions of malicious repositories
Занятная новость от JFrog - почти 20% общедоступных репозиториев содержали вредоносный контент. Контент варьировался от простого спама, пропагандирующего пиратский контент, до чрезвычайно вредоносных объектов, таких как вредоносное ПО и фишинговые сайты, загружаемых с автоматически созданных учетных записей.
Команда исследователей из JFrog обнаружила, что ~4,6 млн. репозиториев в Docker Hub не имеют образов и иного содержимого, кроме документации репозитория. Более глубокая проверка показала, что подавляющее большинство этих репозиториев без образов были загружены с вредоносным умыслом - их страница пытается обманом заставить пользователей посетить фишинговые сайты или сайты, на которых размещено опасное вредоносное ПО.
В статью попали попали три "кампании", где местами обнаруживаются довольно занятные штуки вроде редиректов на ресурсы из ru-сегмента, вроде http://rd[.]lesac[.]ru/ и исключений в геотаргетинге:
"excludeGeoTargeting": [Читать полностью…
"RU",
"AZ",
"AM",
"BY",
]
BC-Security зарелизили Moriarty - инструмент для поиска неустановленных обновлений, обнаружения и уязвимостей и потенциально применимых эксплоитов для повышения привилегий.
Moriarty является своеобразным логическим продолжением детищ _RastaMouse: Watson и Sherlock, добавляя расширенное сканирование на новые уязвимости и интегрируя дополнительные проверки.
Поддерживаемые версии Windows:
- Windows 10 (1507, 1511, 1607, 1703, 1709, 1803, 1809, 1903, 1909, 2004, 20H2, 21H1, 21H2, 22H1, 22H2)
- Windows 11 (21H2, 22H1, 22H2, 23H1)
- Windows Server 2016, 2019, 2022
У меня тут вопрос возник: а как вы храните и агрегируете находки?
Речь сейчас не про какой-то коммерческий OSINT, где нашёл-собрал-отрепортил, а так сказать - для души.
Допустим, я ищу что-то по каким-то лицам или организациям. И храню всё это в Obsidian. Вся гибкость и удобство докручиваются руками или плагинами.
Но тут вознкает вопрос: есть ли что-то более удобное и чем пользуетесь вы?
Dispo Adventures, Episode 1: Reverse-engineering and “running Windows 95” on a disposable vape with a colour LCD screen
Пока все реверсят разные роутеры и прочее, кто-то реверсит вейпы.
Современые устройства для употребления никотина бывают довольно продвинуты технически: неплохой LCD-экран, интересный контроллер (в статье был N32G031K8Q7-1 на Arm, в целых 48MHz).
Spoiler: нет, Windows 95 запустить не удалось. Но переделать оформление и запустить анимацию в виде скринсейвера 3D Pipes вполне.
А для владельцев схожих девайсов и иных любопытных всё доступно в виде репы на Github.
Тут на днях появился russian-offensive-security-questions - отличный список возможных вопросов для пентестеров и AppSec-специалистов. Он может быть использован для подготовки к предстоящему собеседованию или для оценки областей знаний, которые вам необходимо дополнительно изучить.
Вопросы разбиты по категориям, хотя они довольно условны. Сами вопросы тоже не для сеньоров-помидоров, и немалую часть вопросов встречается и на не-сеньорных позициях. Так же может быть интересно и защищающей стороне, так как темы смежные.
P.S. Это ещё без программирования. Тут я бы ещё учитывал то, что надо джуну/мидлу Python/Go.
CVENotifier - инструмент для парсинга CVE-фида с vuldb.com. CVENotifier фильтрует по ключевым словам и отправляет оповещение в Slack через веб-хук о последних CVE только для той технологии или продуктов, которые вы указали в качестве ключевых слов.
Сами оповещения настраиваются через cronjob. Docker нет, но проект не большой, можно собрать самому (для cron в контейнерах лучше использовать supercronic).
Я костылил похожую штуку несколько проще. В Vulners генерировался rss-feed, который передовался в RSS Reader в Slack. В целом, оно было удобней и более настраиваемое со стороны самих фидов.
На CyberCamp 2023 был отличный доклад - Анатомия DDoS-атак на базе TCP, TLS и UDP от Георгия Тарасова на тему SYN, SYN+ACK, ACK Flood, SSL/TLS и TLS Renegotiation. А так же немного про атаки поверх UDP (DNS, NTP).
Читать полностью…