PurpleBear

14 октября 2024 08:55

UoWPrint

ValdikSS - мой хороший друг, легендарный исследователь и талантливый разработчик популярных инструментов, которыми пользуются сотни тысяч людей, создал очередной крутой проект🔥

UoWPrint - это сервер печати и сканирования с поддержкой стандартов AirPrint и Mopria через Wi-Fi, на Orange Pi 3G-IoT-A. Устройство позволяет превратить любой старый USB-принтер в принтер/МФУ с поддержкой Wi-Fi и печатать и сканировать из любой операционной системы (Windows, macOS, Linux, iOS и Android) без необходимости установки драйверов.

У меня есть старый-добрый МФУ HP LaserJet M1123 и я помню сколько времени и страданий много лет назад потребовалось чтобы собрать для него драйвера под ARMv7 на 3-ей малинке и завести CUPS, чтобы можно было просто печатать, обычно очень задумчиво и медленно🙈

UoWPrint же идеально работает прямо из коробки, достаточно подключить принтер по USB, поднять точку доступа или подключится к домашней сети в режиме клиента с помощью веб-интерфейса (далее можно переключать режимы кнопокой на устройстве) и наслаждаться возможностью печатать и сканировать.

Стоит отметить, что это некоммерческий проект для поддержки разработчиков ПО с открытым исходным кодом🙏
Девайс за 2000 руб (~25$) это стоимось одноплатника Orange Pi 3G-IoT-A с акриловым корпусом и предустановленным софтом UoWPrint. Из этой суммы с каждого проданного устройства - 2$ отправляются основным разработчикам CUPS, 2$ - разработчикам SANE/AirSane, а еще 2$ используются для финансирования улучшения драйверов Canon CAPT (v2+).
А так же сюда включены обновления прошивки и патчи👍 Например, недавние баги в CUPS (CVE-2024-47175, CVE-2024-47076, CVE-2024-47176), которые были опубликованы 26.09.24, пофикшены в версии прошивки v1.15 от 04.10.24

PS: На данный момент все устройства проданы, следите за обновлениями на printserver.ink

PurpleBear

09 октября 2024 10:25

LocaltoNet

В полку решений для построения туннелей из атакуемой инфраструктуры прибыло🙈
LocaltoNet - reverse proxy, легитимное назначение которого заключается в возможности прокинуть доступ к внутренним ресурсам в интернет. Но как и аналоги ngrok, localxpose, tuna, xTunnel и прочие активно используются злоумышленниками в дикой природе для туннелирования трафика. Поэтому крайне важно обеспечить возможности своевременного обнаружения использования подобных инструментов в вашей инфраструктуре.

🔴 Поддерживает HTTP/HTTPS c сертами Let's Encrypt, TCP/UDP
🔴 Мультиплатформенный (клиенты для Windows, Linux, MacOS, Android) + образ контейнера лежит на docker hub
🔴 Имеет документированное API и поддержку Webhooks
🔴 Умеет получать и отправлять SMS через телеграмм бота если установить их ПО на телефон🤯
🔴 Бесплатный для 1-го туннеля с ограничением 1GB Bandwidth или $2/мес за туннель без ограничений

🔵 Самый простейший способ детекта по логам DNS остлеживать обращения к localtonet[.]com, *.localtonet[.]com, *.localto[.]net. Но за $2/мес можно использовать собственное доменное имя, что сделает данный способ обнаружения не эффективным.
🔵 Отслеживать запуск ПО и аргументов в командной строке и в процессах по названиям бинарей. Но переименование бинарей и враперы + обфускация аргументов также сделает данный способ не эффективным.
🔵 Application whitelisting реализованный в том или ином виде справится лучше в качестве проактивной меры.
🔵 Наиболее эффективным по моему мнению, будет анализ паттернов взаимодействия при аутентификации агента на проксе и написание правил для обнаружения на сетевом уровне на основе этой аналитики.

Таким образом, несмотря на то, что эти рекомендации исключительно общего характера (потому что халк-ломать только умеет🤣) так как не учитывают индивидуальные особенности инфраструктуры и разнообразие защитных решений, все же могут послужить отправной точкой в разработке способов своевременного обнаружения. А использование подобных инструментов во время проведения Purple Teaming проверить насколько эффективны эти способы на практике😎

PurpleBear

27 сентября 2024 10:14

Hacking Kia: Remotely Controlling Cars With Just a License Plate

Для пятничного поста я выбрал такую тему😎 Вообще исследования в сфере безопасности Automotive крайне интересное и востребованное направление, так как любой современный автомобиль по сути представляет собой компьютер на колесах.

Легендарный Sam Curry с друзьями на этот раз отломали все модели автомобилей Kia с 2013 года🙈 Эксплуатация обнаруженной узявимости позволяет за 30 сек получить контроль над любым автомобилем зная только VIN код (открыть/закрыть, завести/заглушить, определить местоположение, использовать клаксон🪿)

Суть узявимости заключается в том, что аутентификация в API для управления автомобилем используется также для регистрации аккаунта нового счастливого обладателя у диллера. Таким образом атакующий может зарегать аккаунт диллера (просто по кнопке регистрации на сайте😱), по VIN коду получить "one-time grant" токен для регистрации аккаунта и с этим токеном уже ходить в API для управления тачкой🤯

Для наглядной демонстрации исследователи создали POC-приложение, функциональность которого позволяет получить VIN по номеру автомобиля через third-party API, далее получить данные владельца (почту/телефон), поменять владельца с токеном диллера на свои, поехать кататься на новенькой Kia😎

На данный момент уязвимость исправлена, владельцы автомобилей этого популярного бренда могут спать спокойно...по крайней мере до следующей баги😂

PurpleBear

17 сентября 2024 10:04

KazHackStan 2024: Итоги

Это было просто эпично❤️‍🔥 Каждый год мне кажется, что круче уже быть не может, но ребята из TSARKA каждый раз доказывают, что может🔥

❤️ В первую очередь хочется выразить слова благодарности организаторам конференции Олжасу Сатиеву и его прекрасной жене Енлик и всей команде TSARKA за эти потрясающие 5 дней. Улкен рахмет и низкий поклон!

❤️Также спасибо всем спикерам и участникам, очень приятно было встретиться со старыми друзьями и завести новых!
Олжас на закрытии мероприятия сказал слова, которые прямо передают атмосферу KHS, когда рядом друг с другом на соседних креслах могут сидеть заместитель министра и простой студент, руководитель крупной компании и начинающий специалист и их объединяет стремление к знаниям и общая цель сделать наш мир чуточку более безопасным местом🔥

❤️Потрясающей красоты горы и природа, дружеская атмосфера и легендарное казахстанское гостеприимство🔥
Такие эмоции невозможно передать словами, это необходимо пережить самому!

До встречи на KazHackStan 2025❤️

PurpleBear

03 сентября 2024 15:49

Мы в поиске стажера в мою команду😎

Red Team Intern, Wildberries
ЗП: 40 000 - 100 000 рублей net
Уровень: Intern
Формат: удаленка или гибрид

Мы приглашаем студентов и выпускников технических ВУЗов по направлению ИБ рассмотреть стажировку в отделе анализа защищенности - одном из интереснейших направлений информационной безопасности!

Чем предстоит заниматься:
• поиск и исследование актуальных уязвимостей в ПО
• внешние и внутренние тестирования на проникновение
• анализ защищенности мобильных и веб-приложений
• подготовка рекомендаций по повышению уровня защищенности инфраструктуры
• имитация целевых атак (Red Team)

Что для этого нужно:
• общее понимание модели OSI
• базовые навыки администрирования операционных систем семейства Linux
• знание актуальных уязвимостей и способов их устранения (OWASP Top 10, CWE TOP 25)
• понимание принципов работы веб-приложений
• понимание принципов работы сетевых протоколов
• опыт автоматизации задач на Python или Go

Будет плюсом:
• опыт участия в CTF соревнованиях
• опыт участия в программах Bug Bounty
• умение читать и анализировать исходный код на распространенных языках программирования (Python, Java, Golang, C++)
• опыт работы с инструментами Nmap, Sqlmap, dirbuster, WireShark, Burp Suite, Metasploit, ОС Kali Linux

Мы предлагаем:
• полугодовая оплачиваемая стажировка, которая даст возможность получить ценный опыт и практические навыки в области информационной безопасности
• опыт работы в команде, состоящей из экспертов, готовых делиться своими знаниями и навыками
• возможность после завершения стажировки присоединиться к нам в качестве полноценного участника команды безопасности
• пятидневная рабочая неделя с возможностью выбрать занятость - 20/30/40 часов
• оформление по самозанятости

Какие шаги нужно предпринять, чтобы попасть на стажировку:
• заполнить анкету: https://forms.gle/cwMqQ3LzRn8bNis56
• успешно выполнить тестовое задание, доказывающее понимание основных принципов безопасности
• пройти интервью с будущими ментором и руководителем и продемонстрировать свои знания и мотивацию

PurpleBear

28 августа 2024 09:10

Кто стучится к вам в почту? Социальная инженерия 2024

Отличная статья от крутых исследователей Ярослава Бабина и Константина Полишина из Positive Technologies о различных актуальных вариантах доставки полезной нагрузки, которые используются в качестве векторов получения первоначального доступа на Red Team проектах и в дикой природе.

🔴 HTML Smuggling
Варианты кастомизации старого надежного способа доставки, который с учетом всех возможных комбинаций методов инициирования распаковки и загрузки пейлоадов не теряет актуальности уже более 6 лет.

🔴 SVG Smuggling
Техники анлогичные предыдущей, только с использованием SVG-изображений для внедрения вредоносного кода в HTML-страницу. Ребята подробно рассмотрели SVG Smuggling с CDATA, SVG as CSS, SVG Polyglot.

🔴 PDF Smuggling
JavaScript в PDF-файлах, который отрабатывает при открытии PDF-вложений в Adobe Acrobat, Foxit Reader, PDF Reader и пр PDF ридерах.

🔴 PDF Polyglot (MalDoc in PDF)
Техника заключается в создании документа, который может одновременно быть валидным PDF-файлом и документом другого формата, например DOCX. Идея заключается в том, что такой файл можно открыть как в PDF-ридерах, так и в Microsoft Word, при этом в зависимости от программы содержимое файла будет отличаться.

🔴 PDF/DOCX/PPTX/etc Luring
По сути приманка для того, чтобы стимулировать "непреодолимое желание" пользователя перейти по ссылке из документа.

🔴 VBA Macros (VBA Purging/Stomping)
Любимые всеми макросы, которые Microsoft считает уже "побежденными векторами", по-прежнему актуальны в определенных условиях😎

🔴 VelvetSweatshop
Пасхалка в Excel, которую помнят только олды🙈откопали злодеи и используют в дикой природе.

🔴 QR-коды, DLL Side-Loading и другое
Таким образом, в статье рассмотрены наиболее актуальные в 2024 году техники доставки полезной нагрузки, которые будут интересны атакующим и защитникам👍 Авторам - большой респект!

PurpleBear

07 августа 2024 09:33

Apache Airflow SSTI to RCE (CVE-2024-39877)

Сегодня рассмотрим CVE-2024-39877 (оценка по CVSS=8.8), которая позволяет получить RCE через эксплуатацию SSTI в контексте компонента Scheduler Apache Airflow

Apache Airflow - это ПО на python для создания, выполнения, отслеживания и управления операциями по обработке данных, созданное в 2014 году в Airbnb, которое получило широкое распространение в различных компаниях по всему миру.

Суть уязвимости заключается в отсутствии санитизации при обработке параметра doc_md, который создает описание DAG (Directed Acyclic Graph) в веб-интерфейсе Apache Airflow. Если doc_md не имеет расширения .md Airflow создает темплейт из содержимого jinja2.Template(doc_md) что приводит к SSTI:

doc_md="""
{{ ''.__class__.__mro__[1].__subclasses__() }}
"""

Этот пейлоад позволяет получить список всех классов с помощью MRO (resolution order), далее докручиваем до command injection с помощью доступных опасных методов (popen, run, call, check_call и пр)

Для успешной эксплуатации необходимо иметь права на создание DAG'ов на сервере Apache Airflow, что не позволяет использовать багу для пробива, но в качестве способа нестандартного закрепления вполне рабочий метод😎

🪲 Уязвимые версии ПО: Apache Airflow 2.4.0 до версии 2.9.3
✅ Рекомендации: Патч уже доступен, необходимо обновиться до версии 2.9.3

PurpleBear

31 июля 2024 09:44

Mythic 3.3 Beta

Пару недель назад был анонсирован релиз новой верии Mythic 3.3 Beta, которая включают в себя большое количество изменений относительно новой функциональности и фичей, призванных сделать работу Red Team оператора с С2 фреймворком еще более удобной😎

🔴 Eventing
Автоматизация действий при наступлении определенных событий, например, запуск Situational Awareness скриптов когда прилетает новый callback или автоматические увеличение sleep time для всех агентов в конце рабочего дня и уменьшение с утра и прочая приятная автоматизация.
🔴 Command Augmentation
В Сallback Configuration меню добавили возможность создания пресетов кастомных команд, которые можно исполнять на соответствующих агентами прямо из интерфейса С2 фреймворка
🔴 Auto Triage Tracking
Теперь все файлы автоматически маркируются тегами (загруженные, просмотренные) для удобства триажа собранного лута
🔴 Custom Authentication and Invites
Поддержка SSO (SAML и ADFS) и одноразовые invite ссылки для самостоятельной регистрации учеток для ваших тиммейтов
🔴 Dead Callback Estimation
Долго не отвечающие агенты помечаются в UI как Dead Callbacks на основе времени последнего checkin и параметра sleep_info
🔴 Consuming Container Tracking
Отдельный список контейнеров с возможностью загрузки/удаления файлов конфигурации прямо из интерфейса Mythic
🔴 Многое другое, полный список фич и фиксов можно посмотреть в Changelog

Приятно видеть, что Mythic интенсивно развивается и поддерживается Cody Thomas aka its-a-feature, в отличии от большинства open source C2 фреймворков. Эта работа требует огромного количества времени и ресурсов, поэтому не поленитесь поставить звездочку проекту на github, особенно если используете Mythic на своих проектах🙏

#red_teaming #Mythic_C2

PurpleBear

29 июля 2024 08:46

Progressive Web Apps (PWAs) Phishing

Сегодня предлагаю поговорить об интересном методе доставки полезной нагрузки в рамках фишинговых компаний от mrd0x - Progressive Web Apps (PWAs) Phishing

Технология PWA приложений поддерживается всеми браузерами с 2018 года, но широкого распространения пока не получила. По сути, концепция PWA - это некое подобие "виртуальной машины" для запуска приложений в браузере с интеграцией с ОС по аналогии с нативными приложениями. На уровне архитектутры PWA состоит из Manifest File, в котором описаны метаданные в JSON (в том числе название, собственная иконка), Service Worker - скрипт, который запускается в браузере (в том числе поддерживаются push notifications, и background sync) и HTML File + CSS, JavaScript, которые связывают все это вместе.

Автором предлагается следующий сценарий:
🔴 Жертва заманивается на страницу под контролем атакующего.
🔴 Далее в окне pop-up уведомления жертве предлагается установить приложение. 
🔴 После установки приложения открывается фишинговая страница, имитирующая новое окно браузера с фейковым url адресом под контролем атакующего.
🔴 Profit😜

Таким образом, в теории это выглядит как эффективный метод доставки, требующий от пользователя минимум интерактивного взаимодействия (переход по ссылке и нажатие на кнопку Install, что реализуемо при наличии убедительного претекста, например, установка нового сертификата для VPN).
А также "легитимный" url в "новом окне браузера", например, с формой логина портала корпоративного SSO😎 добавляют убедительности, так как большинство Sесurity Awarness тренингов в первую очередь рекомендуют проверить адрес веб-страницы при определении фишинга.

PurpleBear

19 июля 2024 09:47

TE.0 HTTP Request Smuggling

Новая техника эксплуатации HTTP Request Smuggling представлена в блоге Bugcrowd

Суть TE.0 такая же как у CL.0 только в данном случае фронт принимает, а бэкэнд игнорирует заголовок Transfer-Encoding. Кто бы мог подумать, что в мире найдутся сервера обрабатывающие запрос, который начинается с number + newline😎

OPTIONS / HTTP/1.1
Host: {HOST}
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.6312.122 Safari/537.36
Transfer-Encoding: chunked
Connection: keep-alive

50
GET <http://our-collaborator-server/> HTTP/1.1
x: X
0
EMPTY_LINE_HERE
EMPTY_LINE_HERE

Такие нашлись у GCP load balancer'ов, эксплуатация TE.0 позволила обойти Google IAP (Identity-Aware Proxy) и получить доступ к ресурсам за этой проксей с байпасом механизмов аутентификации и авторизации, за репорт баги Google выплатили исследователям $8.5k

Особенности эксплуатации TE.0:
✅ Значение chunk length должно быть в hex number в соответствии с HTTP/1.1 RFC
✅ 2 EMPTY_LINE_HERE в конце последнего чанка запроса
✅ Использование различных методов при отправке пейлоада (в кейсе с GCP успешно отработал OPTIONS)

PurpleBear

16 июля 2024 16:43

Хотите прикоснуться к закрытому комьюнити Кибердома и познакомиться с нами ближе?

Приходите на Киберланч, который пройдет 25 июля на летней террасе на крыше Кибердома.

⚓️ Киберланч – ежемесячное открытое мероприятие клуба резидентов Кибердома. В этот день вы можете прийти познакомиться с нашим пространством и клубом, узнать о программах и возможностях Кибердома для наших резидентов.

⚗️ В этот раз в ламповой обстановке Кибердома в кругу единомышленников и крутых экспертов поговорим про Purple Teaming и обсудим следующие темы:

🔝 Основные отличия и преимущества Purple Teaming
🔝 Особенности проведения тестирования на проникновение
🔝 Разница в подходах к реализации Purple Teaming для внешних и внутренних команд.

Помогут разобраться в этих вопросах эксперты:

🔝 Вадим Шелест – лауреат премии «Киберпросвет» в номинации «За популяризацию Purple Team», руководитель группы анализа защищенности Wildberries.

🔝 Алексей Горелкин – резидент Кибердома, эксперт в сфере информационной безопасности и генеральный директор инновационного стартапа Phishman.

🔳 По традиции гости Киберланча смогут посетить экскурсию по уникальным пространствам кибербез-хаба, включая киберполигон, завести новые полезные знакомства и обменяться впечатлениями с другими участниками.

❗️ Зарегистрироваться на ивент можно по ссылке.

🔀 Ждем 25 июля в 16.00 в Кибердоме по адресу: ул. 2-я Звенигородская, д.12, строение 18.

#анонсы
18+

🏠 Подписаться на Кибердом & Бизнес

PurpleBear

10 июля 2024 09:25

BlueToolkit

Тестирование беспроводных сетей в рамках комплексных pentest и red teaming проектов по дефолту включены в состав методологии практически у всех offensive команд.

Но к сожалению, часто эти работы ограничиваются только Wi-Fi сетями, как наиболее вероятной потенциальной точкой входа, реже проводятся атаки MouseJacking и совсем редко эксплуатируются Bluetooth Classic и BLE уязвимости.

Поэтому сегодня хочу рассказать про интересный инструмент, позволяющий автоматизировать эксплуатацию подобных узявимостей.

BlueToolkit - это фреймворк, который содержит 43 эксплойта для ВТ/BLE уязвимостей с подробным описанием каждой баги, условий эксплуатации и необходимого оборудования. Устанавливается на Ubuntu/Debian или VM и позволяет стать Bluetooth ниндзей🥷

Я без проблем поставил на свой старенький Nexus 5X с Kali NetHunter, который обычно использую на таких проектах😎Во время тестов был очень удивлен количеством Bluetooth устройств вокруг в обычном многоквартирном доме 😂 телевизоры, принтеры, датчики и всякий разный IoT и даже дверной звонок соседей🙊

Обязательно расскажу про опыт использования в "боевых условиях", как подвернется соответсвующий проект.

PurpleBear

03 июля 2024 10:55

WASM Smuggling for Initial Access

Про использовании HTML Smuggling для доставки пейлоадов для получения первоначального доступа я уже неоднократно писал и рассказывал, эта техника долгие годы отлично работала практически из коробки. Но на данный момент некоторые песочницы и client proxy научились эффективно детектить HTML Smuggling в автоматизированном режиме, поэтому злоумышленники адаптировали Web Assembly для усложнения идентификации использования этой техники.

Про WASM Smuggling я слышал только из TI отчетов и никогда ранее не использовал на практике, поэтому этот пост больше про теорию и сбор информации для начала исследования

Web Assembly (WASM) позволяет использовавть C, C++, Rust, Go и другие для запуска в браузере, это значительно усложняет автоматизированный анализ в сравнении с обфусцированным JavaScript, поэтому позволяет оставаться ниже радаров защитных решений.

🖊References:
WebAssembly Is Abused by eCriminals to Hide Malware
WebAssembly Smuggling: It WASM’t me
The Silk Wasm: Obfuscating HTML Smuggling with Web Assembly
WASM Smuggling for Initial Access and W.A.L.K. Tool Release

⚙️Tools:
The Silk Wasm - HTML Smuggling with Web Assembly
W.A.L.K. - Web Assembly Lure Krafter

В следующих постах из этой серии я обязательно поделюсь результатами ресерча и опытом использования этой техники.

PS: Может быть кто-то использует WASM Smuggling на проектах для получения первоначального доступа, расскажите пожалуйста в комментариях о своих результатах.

PurpleBear

25 июня 2024 10:07

T-Guard
Сегодня хотелось рассказать об интересном проекте - как построить свой SOC с блэкджеком и аналитиками из подручных open source компонентов.
Для большой компании в качестве боевого SOC такое решение скорее всего не подойдет придется долго допиливать, но T-Guard отлично подходит для отработки сценариев в лабораторном окружении при подготовке к Purple Teaming

Архитектура T-Guard:
🔵 Wazuh Agents - агенты для сбора логов и телеметрии
🔵 Wazuh Server - SIEM
🔵 IRIS - incident response платформа для анализа и расследования инцидентов
🔵 MISP - Threat Intelegence platform
🔵 Shuffle - SOAR для автоматизации этапов расследования и реагирования
🔵 Cкрипт для установки компонентов с помощью docker compose

Компоненты можно кастомизировать, например, заменить Wazuh на Osquery + ELK, потыкать дефолтные правила и ощутить всю боль detection engineering🙈

Таким образом можно почувствовать себя в роли аналитика SOC, чтобы лучше понять как работают инструменты защитников😎

PurpleBear

20 июня 2024 14:43

В конце прошлого месяца были опубликованы детали уязвимости CVE-2024-4956 (оценка по CVSS=7.5) классический path traversal в Sonatype Nexus Repository 3.x

Данная уязвимость, несмотря на недооценённую оценку критичности имеет большой потенциал для развития supply chain атак, благодаря широкому распространению open-source версии данного ПО в разных компаниях по всему миру.
Sonatype Nexus Repository представляет собой менеджер репозиториев для хранения артефактов. Поддерживаются следующие форматы артефактов: Java (Maven), образы Docker, Python, Ruby, NPM, Bower, RPM-пакеты, gitlfs, apt, Go, Nuget и пр.

Эксплуатация очень тривиальна и позволяет не аутентифицированному злоумышленнику получить доступ к чтению файлов на сервере ПО:
curl https://nexus_target/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

Но предположим, что мы не просто хотим читать файлики, а получить доступ и протроянить артефакты для развития дальнейших атак 😎
Nexus для аутентификации использует Apache Shiro 1 хеши, которые можно прочитать из OrientDB .pcl файлов с помощью эксплуатации этой уязвимости, но была проблема была в том, что оригинальный Hashcat не умел в Shiro 1, до момента пока Dylan Evans aka fin3ss3g0d не написал для него модуль - mode 12150, а заодно и скрипт автоматизирующий этот вектор эксплуатации👍

⚙️ POC: https://github.com/fin3ss3g0d/CVE-2024-4956
🔎 Shodan: title:"Sonatype Nexus Repository"
🔎 Nuclei template: https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-4956.yaml
🪲 Уязвимые версии ПО: Sonatype Nexus Repository OSS/Pro до версии 3.68.1
✅ Рекомендации: Патч уже доступен, необходимо обновиться до версии 3.68.1

PurpleBear

11 октября 2024 16:12

На следующей неделе выступаю на конференции IT Security Day 2024 с темой "Будущее наступательной кибербезопасности: Строим свою внутреннюю Red Team команду."

В докладе речь пойдет о процессе создания in-house Red Team подразделения. Мы поговорим о ключевых различиях между внутренними и внешними командами Red Team, обсудим цели и задачи подразделения, состав, навыки и подбор участников команды, методы и формат взаимодействия со смежными командами. А также критерии оценки эффективности деятельности с точки зрения бизнеса и стратегию развития подразделения Red Team.

📆 17 октября, 13:50
📍 г. Москва, отель "Арткорт Москва Центр", зал "Гранд"

PurpleBear

02 октября 2024 09:55

В своем докладе на прошедшем этой весной киберфестивале Positive Hack Days Fest 2 я рассказывал о том, почему важно обеспечивать комплексный подход к безопасности атакующей инфраструктуры. В том числе упоминал о серьезных узявимостях в различных С2 фреймворках с открытым исходным кодом.

В продолжении этой темы, мне на глаза попалась статья - Vulnerabilities in Open Source C2 Frameworks, в которой автор рассмотрел найденные баги для популярных и не очень С2 фреймворков:

🔴 Sliver
Когда-то давно был моим фаворитом, а теперь там нашли довольно прикольную багу CVE-2024-41111 - RCE on the teamserver by a low-privileged operator, по сути command injection в аргумент для msfvenom, который Sliver использует для генерации msf stagers.
🔴 Havoc
Набирающий популярность фреймворк на Go c 3 багами: CVE-2024-41570 - Unauthenticated SSRF, Authenticated Command Injection, Service API Authentication Bypass (детали в статье).
🔴 Ninja С2, фреймворк на основе ликнутых исходников иранской APT Muddywater, отметился RCE через Unauthenticated Arbitrary File Download via path traversal веб сервера инструмента.
🔴 SHAD0W
Unauthenticated RCE - еще одна интересная бага, эксплуатация которой заключается в том, что Situational awareness данные об архитектуре, домене, версии ОС передаваемые при отстуке beacon'a на сервер, используются в качестве параметра для компиляции модулей пост-эксплуатации.
🔴 Covenant, когда-то тоже был одним из моих фаворитов, подвержен Authenticated Command Injection и повышению привилегий до администратора через UI (детали в статье).

Таким образом, все рассмотренные С2 фреймворки, за исключением Mythic (о котором уже неоднократно писал ранее) подвержены серьезным узявимостям, которые ставят под угрозу безопасность атакующей инфраструктуры и как следствие обеспечивают потенциальным злоумышленникам доступ к данным и инфре тестируемой организации.

PurpleBear

19 сентября 2024 09:06

В Burp Suite Proffesional/Community v2024.7.6 появилась новая функциональность Burp Organizer.

Суть фичи заключается в ведении логов запросов в отдельной вкладке, к которым можно прикреплять заметки, статусы, сортировать по хронологии и любому другому значению таблицы, а также применять различные фильтры.

Прикопать интересный запрос в Organizer можно с помощью Сtl+o из вкладки Proxy/Repeater/etc, чтобы в любой момент к нему вернуться

Organizer сохраняет следующие значения, которые можно кастомизирвоать:

# - The request index number.
Time - The time the request was made.
Status - The workflow status that you have applied to the message, for example Done or Paused.
Tool - The Burp tool that the message was sent from, such as Burp Repeater or Burp Intruder. If the message is sent from Burp Logger or from an item that is already in Organizer, then the tool identified here is the tool that originally generated the HTTP request.
Method - The HTTP method.
Host - The server hostname.
Path - The URL file path.
Query - The URL query string.
Param count - The number of parameters in the request.
Status code - The HTTP status code of the response.
Length - The length of the response in bytes.
Notes - Any notes that you have made.

Таким образом, можно организовать хаос с десятками вкладок в Repeater в красивую таблицу, с которой удобно работать. Мне очень не хватало подобной функциональности, а как Вам новая фича? Поделитесь пожалуйста своим мнением в комментариях🙏

PurpleBear

09 сентября 2024 08:45

В этому году на конференции KazHackStan выступаю с темой: Red Team tales: Однажды на Red Team проекте…

В докладе расскажу про интересные кейсы с Red Team проектов в формате веселых и поучительных историй. Мы поговорим про различные векторы получения первоначального доступа, начиная с пробива веб приложений на внешнем периметре и целевого фишинга, заканчивая получением физического доступа в офис заказчика. А именно, о том к чему приводит популярность и как бывает весело когда тебя узнают в лицо в офисе тестируемой компании во время физического проникновения, курьезные моменты при взаимодействии с заказчиками при оценке импакта, что делать когда твой тиммейт сорвал голос накануне запланированого вишинга и многое другое.

📍Главная сцена
📆 13 сентября, 14:30-15:00
📍 Rixos Almaty

PurpleBear

02 сентября 2024 09:25

CVE-2024-43044: From file read to RCE in Jenkins

Опубликованы технические детали и эксплоит для уязвимости CVE-2024-43044 (оценка по CVSS=8.8) Path Traversal, приводящая к удаленному исполнению кода на серверах Jenkins.

Суть баги заключается в том, что подключенный агент может читать произвольные файлы с контроллера, с помощью эксплуатации классического Path Traversal в ClassLoaderProxy#fetchJar библиотеки Remoting/Hudson library, который отвечает за получение jar файлов с контроллера на агенты.

Получив возможность чтения файлов, можно проэксплуатировать CVE-2024-23897, с помощью которой атакующий может создать валидные "Remember me" cookie для аккаунта администратора, чтобы выполнять произвольный код через консоль Groovy (Jenkins Scripting Engine).

Опубликованный эксплоит имеет несколько режимов работы для Inbound (JNLP) или SSH способов подключения агентов к контроллеру и автоматически выгружает хэши паролей всех пользователей в формате John The Ripper😎
Такиим образом, отломав тачку с агентом, атакующий получает возможность развивать атаку на сервер Jenkins и другие подключенные тачки с агентами.

⚙️ POC: https://github.com/convisolabs/CVE-2024-43044-jenkins
🪲 Уязвимые версии ПО: Jenkins до версии Jenkins 2.471 и LTS 2.452.4, LTS 2.462.1
✅ Рекомендации: Патч уже доступен, необходимо обновиться до версии 32.471 и LTS 2.452.4, LTS 2.462.1

PurpleBear

26 августа 2024 09:08

Всем привет!
После небольшого отпуска, я снова в строю с новыми силами, мыслями, идеями и регулярными постами🤩
В качестве философского поста для старта рабочей недели предлагаю поговорить ... об отпуске😂

Раньше, я сильно недооценивал необходимость регулярного отдыха (даже когда-то давно за 5 лет вообще ни разу не был в отпуске), считая что не устал и отдохну на пенсии😁 Но со временем и опытом пришло понимание, что отпуск это не про физическое восстановление ресурсов организма, а скорее ментальная перезагрузка, связанная со сменой деятельности, локации, режима дня, окружения и даже климата.

Это именно возможность на короткое время забыть о рутине, распорядке и повседневных обязанностях и переключить сознание на другой режим работы. Поэтому определил для себя несколько тезисов для хорошего отпуска, которыми хотелось бы поделиться:

⏰ Продолжительность отпуска не менее 14 дней, так как обычно человеку на адаптацию к новым условиям необходимо 5-7 дней, чтобы просто привыкнуть.
🧭 Смена локации позволяет органично изменить привычный распорядок, при этом совсем не обязательно лететь куда-то на край света за десятки тысяч километров.
🌴Активный и пассивный отдых, но тут наверное больше зависит от индивидуальных предпочтений, но для себя заметил, что долго тюленить на пляже не могу, когда вокруг так много других развлечений🤪
💰По возможности воздержаться от соблазна взять с собой комп, чтобы немного поработать🙈
💻 Минимум служебных коммуникаций, последние годы я вообще отключаю уведомления во всех мессенджерах и обычно доступен только по телефону.


PS: Поделитесь, пожалуйста, в комментариях, какие у вас критерии хорошего отпуска🙏
PPS: Пользуясь случаем, сорян всем чьи сообщения заигнорил, в связи с последним пунктом😂 обязательно отвечу в ближайщее время

PurpleBear

05 августа 2024 08:59

В конце прошлой недели состоялась церемония вручения наград победителям премии Pentest Award by Awillix

Мероприятие прошло на высшем уровне, море позитивных эмоций, было очень приятно встретить старых друзей и завести новых!

Огромное спасибо ребятам из компании Awillix за организацию такого крутого ивента❤️
Благодаря вам наша отрасль растет и развивается, в пентест приходят новые люди вдохновленные подобными инициативами. Это очень круто, респект!🔥

Еще раз хотел поздравить всех победителей! 🎉
А также поблагодарить всех участников за крутые кейсы, которые было очень интересно читать и оценивать❤️‍🔥

До встречи на Pentest Award 2025🔥

PurpleBear

29 июля 2024 15:05

Всем привет!
На прошлой неделе принимал участие в Киберланче, посвященном Purple Teaming на площадке Кибердома. Новый и очень интересный для меня формат свободной дискуссии в кругу резидентов и гостей Кибердома, в рамках которой мы обсудили Purple Teaming, как эффективный формат оценки и совершенствования уровня защищенности.

Вместо 20 мин, которые были запланированы на мое выступление, мы общались почти 1.5 часа🤪
Большое спасибо всем участникам за проявленный интерес, вопросы, мнения и комментарии🙏 Особенно приятно, что в аудитории были люди не из отрасли ИБ, которым интересна тема Purple Teaming, это очень круто👍

Также хотелось выразить слова благодарности администрации Кибердома за организацию подобных мероприятий и популяризацию отрасли ИБ, большой респект👍

PS: Отдельное спасибо Сергею Зыбневу aka @poxek за шикарный подарок🔥

PurpleBear

23 июля 2024 08:59

В докладе на киберфестивале Positive Hack Days Fest 2 я рассказывал про использование Teleport, как open source PAM-решения для атакующей инфраструктуры, которое позволяет управлять доступами и ролями пользователей.

PAM - это Privileged Access Management система, для обеспечения доступа к виртуальным машинам, серверам, кластерам Kubernetes и пр. Существует большое количество проприетарных PAM‑решений, однако большинство из них заточено под классическую Windows-инфраструктуру и не учитывают некоторые возможности Linux.

Идея использовать Teleport для Red Teaming инфры появилась после доклада Строим свой PAM на основе Teleport на Positive Hack Days 12, где мои коллеги Антон Жаболенко и Павел Пархомец рассказывали, о том как в Wildberries используется Teleport для управления доступами на более чем 30 тыс хостов🔥

На прошлой неделе на хабре опубликовали статью по мотивам этого крутейшего доклада. В ней детально описаны критерии выбора идеального PAM, а также опыт и результаты внедрения Teleport в огромной инфраструктуре Wildberries.

Рекомендую этот материал для всех кто в поиске PAM решения для своей инфраструктуры или просто хочет побольше узнать как работает Teleport.

Оставляйте свои вопросы и комментарии на хабре или прямо под этим постом.

PurpleBear

17 июля 2024 09:06

SharpHound Detection

В блоге ipurple team опубликовали статью о возможностях обнаружения SharpHound коллектора на С# для BloodHound

Авторы предлагают следующую схему детекта:
🔵 Обнаружение запуска SharpHound на основе использование API: NetSessionEnum (\PIPE\srvsvc) из srvcli.dll, NetWkstaUserInfo (\PIPE\wkssvc) из netapi32.dll, RegEnumKeyW (\PIPE\winreg) из advapi32.dll
🔵 Обнаружение обращений к \\*\IPC$ с использованием SAMR (RPC over SMB) c помощью GPO Audit File Share (Event ID 5140), GPO Audit Detailed File Share (Event ID 5145), GPO Audit Directory Service Access (Event ID 4662)
🔵 LDAP запросы с помощью SilkETW с поддержкой YARA
SilkETW.exe -t user -pn Microsoft-Windows-LDAP-Client -ot eventlog -l verbose -y yara -yo all

Таким образом, на основе совокупности этих признаков предлагается обнаруживать активность атакующих по сбору информации об AD инфраструктуре с использованием SharpHound. Очень интересно услышать мнение защитников об эффективности данной схемы особенно в отношении false positive, поэтому буду очень рад вашим комментариям.

PurpleBear

15 июля 2024 09:25

В поисках новых техник для нашей внутренней кастомной версии матрицы MITRE (о том как мы ее ведем рассказывал в этой заметке) наткнулся на репозиторий SaaS attack techniques от Push Security. В нем собраны техники атак на SaaS платформы (Software as a Service) смапленные на MITRE. Практически в любой компании можно найти продукты по этой модели распространения (почта, офисные приложения, ЭДО, рекламная аналитика и пр)😎

Поэтому сегодня предлагаю рассмотреть технику SAMLjacking из этого списка для получения первоначального доступа. По сути это фишинг для получения учетных данных с использованием SaaS SSO функциональности.

Злоумышленик регистрирует аккаунт у SaaS провайдера, создает приглашения присоединиться к "новому корпоративному аккаунту" для списка целей, которое приходит им на почту с легитимного домена SaaS провайдера, например Miro, Мой Офис, Контур и пр.

SSO url для этого аккаунта настроен на сервер под контролем злодея сразу же, либо переключается уже в процессе через некоторое время использования сервиса, чтобы усыпить бдительность потенциальных жертв. Так злоумышленник получает учетные данные жертвы при аутентификации через SSO.

Таким образом, при наличии убедительного претекста, это вполне эффективная техника получения первоначального доступа, которая используется в дикой природе особенно в отношении новых сотрудников в период онбординга.

PurpleBear

05 июля 2024 14:34

В качестве темы для пятничного поста предлагаю продолжить разговор про сканирование внешнего периметра на больших скоупах.

Я всегда в процессе поиска инструментов для оптимизации пайплайнов, автоматизирующих внешнее сканирование, поэтому недавно на глаза попался Smap - аналог консольной утилиты nrich от shodan о котором хотелось бы рассказать в этой заметке.

Smap - это "сканнер портов" который использует API shodan.io (ключ не нужен) для получения информации по tcp/top-1237 портам без необходимости их реального сканирования, что бывает очень удобно на первоначальном этапе сбора и валидации скоупа.
Например, пока идет следующая итерация tcp/10k пайплайна сканирования naabu/masscan/etc -> nmap, у вашей команды уже есть с чем работать, не дожидаясь этих результатов😎

В отличии от nrich он умеет работать с хостнеймами и подсетями в CIDR и сохраняет полученные результаты:
oX // nmap's xml format
oG // nmap's greppable format
oN // nmap's default format
oA // output in all 3 formats above at once
oP // IP:PORT pairs seperated by newlines
oS // custom smap format
oJ // json

Таким образом, использование подобных утилит не сможет полноценно заменить этап сканирования, но позволяет сэкономить время на первоначальном этапе работ.

PurpleBear

01 июля 2024 10:00

Putting the C2 in C2loudflare

Использование сервисов Cloudflare для сокрытия атакующей инфраструктуры уже давно стало модным трендом среди злоумышленников. Бесплатный уровень подписки, отсутствие необходимости привязывать карту, простота конфигурации Cloudflare Workers в качестве редиректоров позволяют эффективно прятать С2 за customworkername.customsubdomain.workers.dev или собственными доменами.

По ссылке подробная инструкция по развертыванию и подключению простого редиктора на js до С2 на Azure. VM в Azure разворачиваются из снапшотов кастомных темплейтов - просто и быстро без terraform, ansible, контейнеров, фраппучино😁 и прочего DevOps.

Для себя в этой статье открыл tmux-resurrect, плагин который восстанавливает tmux env после перезагрузки системы.

Таким образом, подобный подход конечно лишен изящества, преимуществ автоматизации и гибкости, но при этом очень прост и позволяет менее чем за 5 минут развернуть минимально необходимый набор компоненетов атакующей инфраструктуры практически бесплатно😎

PurpleBear

21 июня 2024 10:08

Осталось всего несколько дней для того чтобы подать заявку на участие в премии Pentest award by Awillix

Ждем ваши работы в номинациях:

🪲 Пробив WEB
⚙️ Пробив инфраструктуры
📲 Девайс
🔬«**ck the logic» — За находку самых топовых логических баг.
💡«Раз bypass, два bypass» — За самый красивый обход средств защиты информации.
🎣 «Ловись рыбка» — За самый оригинальный фишинг или попытку засоциалить сотрудников. Оценивается всё: нагрузка, текст фишинга, использование нестандартных инструментов.

Горячо приветствуется творческий подход, оригинальность по форме и содержанию, креативная подача, развернутое повествование, обезличенное описание контекста и вводных, примеры эксплуатации. Оценивать будем строго, но справедливо😎

Не упускайте шанс побороться за звание лучшего этичного хакера, получить призы и потусить с единомышленниками в камерной атмосфере на церемонии награждения. 

Делитесь своими наработками — https://award.awillix.ru/

PurpleBear

17 июня 2024 09:26

Nmap-did-what

Бывает что на длительных проектах необходимо постоянно диффать результаты регулярных итераций сканирования, с целью своевременного обнаружения новых потенциально уязвимых хостов и открытых портов. Особенно актуальна такая задача для внутренних offensive команд в динамичных сегментах инфраструктуры, например, внутреннее облако, где по сути любой пользователь может поднять и развернуть все что угодно...чтобы просто потестить😜

Для тех кому нужна подобная аналитика с визуализацией хочу порекомендовать утилиту - nmap-did-what. Инструмент представляет собой скрипт на python, который парсит XML выхлоп nmap и складывает результаты в SQLite базу данных, которая в свою очередь используется как datasource для контейнера Grafana, развёрнутого с помощью docker compose.

✅ Clone the repository

git clone https://github.com/hackertarget/nmap-did-what.git
cd nmap-did-what

python nmap-to-sqlite.py nmap_output.xml

docker-compose up -d