👨‍💻 Взломаю ваш мейнфрейм и обойду файрвол командой ping

Да, примерно так звучит стандартная фраза из фильма про хакеров. Но у меня возникает к Вам вопрос — "Вы смотрели фильмы про хакеров?" Там они такие крутые: взламывают системы за секунды, стучат по клавиатуре как сумасшедшие, а иногда даже используют... котиков!

😊 Вот и назрел вопрос — "Но так ли это на самом деле?"

Но так ли всё на самом деле в жизни? Разобраться в этом нам поможет статья от наших друзей.

🗣 ТЫК


🗂 Немного моей подборки:

🔵 Castle, 8 сезон, 8 серия

Стандартный сериал с ТВ-3

Помните битву хакеров, где кубики Рубика заменяли файерволы, а котики – атаки? Да, зрелищно, но к реальности отношения не имеет.

🔵 NCIS

Ещё один сериал с ТВ-3

А как Вам сцена, где два агента одновременно печатают на одной клавиатуре, отражая хакерскую атаку👀? Смешно, но в жизни так не бывает.

🔵 Парк Юрского Периода

Маленькая Лекс взламывает парк через графический интерфейс, говоря: "Это Unix, я знаю!". Ну, во-первых, Unix не так прост, а во-вторых, в реальности такие системы управляются не через интерфейс, а через командную строку.

❕

- В фильмах про хакеров иногда можно увидеть правдивые моменты (mr.robot, Stalk, whoami).
- Хакеры – не всегда плохие люди (пентесты и ББ никто не отменял)
- Кибербезопасность – это важно!

🖥 Подводные камни некоторых решений, или как система, работающая на тебя, может обернуться против

😜<Тут не будет рекламы DLP системы>

В данной статье речь пойдет о самом спорном решении в ИБ — DLP (Data Loss Prevention). Вокруг этой системы очень давно идут споры об этичности применения системы и нарушении Конституции РФ (статья 23 и 138).

В ходе расследования инцидента DLP может являться хорошим источником информации, данные из которой в дальнейшем можно использовать как доказательную базу в суде. Как пример — Дело №33-90/11, правда в данном кейсе бизнесу не хватило прямых доказательств причастности сотрудника. А вот уже Дело №81-1197/2021 имеет четкую доказательную базу (подробнее об этом - ТЫК).

Всё это только на усмотрение суда

В компании должны быть легализованы ДЛП решения. Необходимо знать о том, что процесс регламентирован, иначе суд не примет улики не только во внимание, но могут и возникнут последствия ответных исков на компанию.

⏳ Современные тенденции

В последнее время многие российские DLP системы активно рекламируют использование решения класса UAM в своих системах. UAM (User Activity Monitoring) записывают ВСЮ активность пользователя на компьютере (keylogger ⚠️, анализ поведения сотрудников, анализ сообщений в переписке, время "рабочей" активности). Это хоть и позволяет собрать дополнительные доказательства по выявленному инциденту ИБ, но также хранит в себе много аналитики личной информации. Такие решения основаны на том, чтобы специалист ИБ видел, возможно, излишнюю информацию о сотрудниках компании.

Один из примеров использования личной информации сотрудника в попытке зарекомендовать себя (а может быть и по просьбе самого начальника) рассмотрен в статье — ТЫК. В данном случае можно спокойно налететь на нарушение Конституции. Это уже не DLP в ее стандартном понимании, а какое-то хранилище личных данных, доступ к которому есть у "избранных" 👍.

В настоящее время зарубежный рынок с решениями класса DLP настроен на автоматизированную работу с информацией. Они запрещают прохождение чувствительной информации за периметр компании на основании заранее проработанных политик. Это минимизирует работу аналитиков данных систем, которые не имеют доступ к личной информации, но могут оперативно реагировать на инциденты. Такие классы решений более эффективны, чем аргументы некоторых вендоров об использовании "скелетов в шкафу" сотрудников компании.

🤨Что делать, если такая система будет необходима

Если перед вами стоит выбор системы, то необходимо максимально стараться отыскать автоматизированную систему, в которой ручной анализ будет сводиться к минимуму. При этом следует обращать внимание на:
🔵гибкость создания политик;
🔵возможность анализа КИ самой системой, без необходимости получения аналитиком доступа к информации;
🔵возможность блокировки доступа на запрещаемые в компании сайты и ресурсы,
🔵гибкость настройки агента на конечных устройствах.

#blueteam

💻 Bubunta Ubunta Hardening

Порой базовых настроек безопасности не хватает, приходится заниматься "закалкой" своих хостов, а делать это вручную - довольно тягомотное занятие. Честно говоря, когда-то у меня была идея самостоятельно написать bash скрипт для закалки того же дебиана, но я подзабил на это :))). Так вот закалка, о которой мы говорим, как раз упрощается с помощью готового 🌐 фрейморка.

🔥 Фреймворк написан на Bash и устанавливает несколько наборов инструментов безопасности.
Если быть точнее, то основной набор инструментов включает в себя:

- SSH Intrusion Detection (отдельный демон⭐️)
- Auditd ("закаленная" конфигурация)
- Автоматизированное развертывание Fail2Ban
- Автоматизированная установка обновлений через Cron
- Автоматизированное развертывание RKHunter
- Автоматизированное развертывание Lynis
- Развертывание огненной стены firewall 🛡
- Автоматизированная "закалка" сети (TCP/IP Stack Hardening)
- Автоматизированное развертывание AppArmor
- Автоматизированная установка парольной политики (по заявлением разработчика фреймворка - довольно консервативной, еще и с логгированием)
- Автоматизированная "закалка" SSH (MFA, Key-Based аутентификация)

Я бы ещё от себя добавил, но сегодня не об этом 🤗

📕 Установка:

apt update && apt upgrade -y
apt install -y git #Если гита у вас не стоит

git clone https://github.com/error-try-again/UbuntuHardeningFramework.git
cd UbuntuHardeningFramework/hardening/
chmod +x automated_hardening.sh
./automated_hardening.sh

Или в виде серии отдельных автономных скриптов:

cd hardening/standalones
find . -type f -name '*.sh' -exec sudo bash {} \;

❕ Если вы еще не ставили этот фреймворк, то также необходимо будет создать отдельную учетку пользователя, который будет использоваться для входа, а также для административного доступа

./security/create_administrative_user.sh <your_new_user>

Это основные шаги по установке, более подробное описание можно получить на 💻 GitHub

✉️

Также фреймворк поддерживает уведомления и алерты в почту по практически всем перечисленным пунктам из основного набора инструментов.

📌 Помимо прочего разработчик предложил дорожную карту по дальнейшему развитию, где указано:

- Добавление точных примеров конфига
- Добавление документации
- Доп. средства для управления оповещениями и журналами
- Оптимизация конфигурации

Не болейте💙
#blueteam

🔺 Ускоряем пентест CI/CD

Пост должен был выйти чуть позже, но увидев, что скоро начнется соревнование для попадания на Standoff 13 👨‍💻 я решил выпустить его чуть раньше. Он может вам пригодиться, особенно, если оценивать прошлый год.

В последние годы пентестеры все больше обращают внимание на присутствие платформ DevOps, а уже и DevSecOps. Эти экосистемы состоят из различных сервисов, используемых в конвейерах CI/CD, включая:

🔵 Репозитории исходного кода (Gitlab, Gitea)

🔵 Реестры контейнеров (Docker Registry, Sonatype Nexus, JFrog)

🔵 Серверы автоматизации (Gitlab-CI, Jenkins)

🔵 Инструменты для обеспечения качества и безопасности кода (много об этом говорили).

⏱ Перспективы копать именно под CI/CD: Возможности и проблемы

Для злоумышленников и пентестеров экосистема CI/CD представляет собой "обоюдоострый меч" — богатство информации и потенциальные точки входа. Слияние множества сервисов, от репозиториев до серверов автоматизации, хранит в себе кучу данных, включая исходный код, образы контейнеров и различные учетные данные 🌐. Такая среда облегчает горизонтальное перемещение, а скомпрометированные API-токены открывают путь для дальнейшей эксплуатации.

Мой личный опыт работы показывает, что компрометация облачных сервисов через CI/CD — это быстрый путь к эскалации. (привет уязвимостям в GitLab 🤗)

📕

Пример таких уязвимостей:

CVE-2022-2185 — ТЫК
CVE-2021-22205 — ТЫК
CVE-2023-5009 — ТЫК
CVE-2023-7028 — ТЫК
CVE-2024-0402 — ТЫК

Но тут возникают сложности... множество целей в экосистеме CI/CD, зависимость от официальных API для атак и огромный объем данных требуют стратегического и автоматизированного подхода.

😜 Виновник поста или швейцарский нож для тестирования на проникновение в CI/CD

💻 Сразу ссылка на инструмент — ТЫК

Epyon был представлен в 2022 году как универсальный инструмент для работы пентестеров в экосистемах CI/CD. Разработанный на языке 💻, включает в себя ряд модулей, предназначенных для взаимодействия с распространенными системами DevOps, и легко интегрируется с такими инструментами, как Gitleaks и TruffleHog, для улучшения разведки и эксплуатации (именно этим мне он и понравился).

Модули Epyon охватывают широкий спектр, включая:

1. Gitlab
2. Github
3. Jenkins
4. Azure DevOps
5. Sonatype Nexus
6. Docker Registry
7. Sonarqube
8. Gitea
9. Artifactory
10. Terraform Cloud/Enterprise

✏️ Перейдем к тестам

Я протестировал его в своей домашней лаборатории, изучив модули Gitlab(community), Jenkins, Nexus(community) и Docker Registry (про него и поговорим).

Изначально хотел проверить на Gitlab, но столкнулся с проблемой. У меня слишком много проектов, которые пришлось бы скрывать, чтобы не показывать спойлеры для будущих проектов и стратап-идей.

Пример: HTTP API Docker Registry.

Команда epyon registry может быть использована для взаимодействия с реестром Docker:

Epyon позволяет пользователям легко взаимодействовать с API реестра и получать информацию о нескольких образах контейнеров. Следующий список показывает шаги, которые были выполнены в этом примере:

⏩ Шаг 01: Получить список образов

Опция list-images может быть использована для перечисления всех образов контейнеров.

⏩ Шаг 02: Получить теги для каждого образа

Опция list-tags получит все доступные теги для каждого образа.

⏩ Шаг 03: Скачать образы контейнеров

Опция download-images загрузит и извлечет содержимое образа (загруженные файлы будут помещены в каталог, указанный в файле config.yaml).

⏩ Шаг 04: Поиск учетных данных

Недавно в каком-то из чатов спрашивали про поиск учеток в докере. Так вот, как там и ответил, я буду использовать Trufflehog.

🥂 Profit

Вот нами уже и найдены login/pass, api key и много других критически важных артефактов

🛡 Заключение

В нашем деле важно уметь сокращать время, затрачиваемое на выполнение рутинных задач. И данный инструмент с этим справляется как нельзя кстати. Из минусов хочу отметить отсутствие тонкой настройки работы через конфиг, хотя сделать это через библиотеку go viper достаточно просто.

#redteam

⚙️ Возвращаемся к пентесту и DAST-у

У меня вновь появилась тяга к тыканью кавычек и проведению ресёрчей не только по SCA (этим занимался около 2-х последних месяцев).

Худший язык для сбора транзитивных зависимостей — python (за исключением модулей poetry). Нашел замечательный выход из ситуации — venv + <инструмент про который скоро расскажу> + скрипт на Go (опционально)

Так вот, к чему я это всё? Я начинаю перерабатывать список своих инструментов и новых возможностей в них (Да-да нуклеи, это я про тебя и твои возможности в 3.2). А сегодня предлагаю начать с чего-нибудь известного и того, что помогает мне в обнаружении SSTI (ещё CSTI, но в меньшей степени).

👩‍❤️‍👨 Для самых маленьких

SSTI (Server-Side Template Injection) — это когда злоумышленник может вставить вредоносный код в шаблон на сайте, который затем выполняется сервером. Это как если бы вы дали кому-то возможность написать что-то на вашей доске объявлений, и вместо обычного сообщения они написали команду, заставившую вашу доску сделать что-то нехорошее.

Да, вы не ошиблись, подобные сноски станут нормой, ведь нужно помогать новым людям в нашем сообществе получать новую информацию.

🤨 Так чем же нам искать SSTI ? Ручками

TInjA — это CLI-инструмент для проверки веб-страниц на наличие уязвимостей инъекций шаблонов. Он поддерживает ✍️✍️ наиболее актуальных шаблонизатора (по состоянию на сентябрь 2023 года) для восьми различных языков программирования.

Ссылка на GitHub 💻 — ТЫК

🤨 Так что же в нем такого, ведь у нас есть множество альтернатив

Изначально я хотел сравнить в тестах TInjA и tplmap, но время и ограничение на количество символов в посте подкачали.

Интересный факт — TPLMap это сокращение от Template Mapper, а также это не просто инструмент для поиска и эксплуатации SSTI, но ещё и хороший помощник в раскрутке RCE через SSTI

Начнем с установки и настройки нашего инструмента

go install -v github.com/Hackmanit/TInjA@1.1.3

Да в прочем-то и всё, он готов к работе... Но мы не забудем про настройки (он подходит даже для интеграции в пайплайн 💻)

--header/-H задает заголовки, которые должны быть добавлены к запросу.

--cookie/-c указывает cookie, которые должны быть добавлены в запрос.

--data/-d указывает POST-тело, которое должно быть добавлено к запросу.

💡 Но чем же он меня зацепил

А тем, что он написан на 💻, а также имеет функцию подгрузки конфига из JSON файла, что мне очень нравится. Нам всего лишь нужно выбрать специфичный флаг при запуске tinja jsonl -j "/path/to/file"

{
"request":{
    "method":"POST",
    "endpoint":"http://example.com/path",
    "body":"name=admin",
    "headers":{
        "Content-Type":"application/x-www-form-urlencoded"
    }
}

😜Также присутствует редкое сканирование CSTI через флаг --csti

Важно отметить, что для сканирования CSTI используется headless-браузер, что может увеличить использование оперативной памяти и процессора. Учитывайте это при работе с докерами 💻.

И, наконец, классное дополнение, если у Вас сложная сеть с проксями и подобным (или вам надо прогнать это через бурп) — настройка прокси

--proxyurl указывает URL и порт прокси-сервера, который будет использоваться для сканирования. 
tinja url -u "http://example.com/" --proxyurl "http://127.0.0.1:8080"

--proxycertpath указывает сертификат CA прокси в формате PEM (необходим при сканировании HTTPS-адресов).  
tinja url -u "http://example.com/" --proxyurl "http://127.0.0.1:8080" --proxycertpath "/path/to/file/cacert.pem"

Для сканирования HTTPS-адресов с помощью прокси необходим сертификат CA прокси в формате PEM. Сертификаты Burp Suite CA предоставляются, например, в формате DER и чтобы это нормально работало, делаем следующее:

openssl x509 -inform DER -outform PEM -text -in cacert.der -out cacert.pem

🤨 Так почему мы должны использовать именно его ?

Вкусовщина, но он облегчит вашу жизнь если:
➡️ У вас есть пайплайны(хорошо интегрируется и быстро работает)
➡️ Вы открыты к новым инструментам в работе (Go инструмент с легкой настройкой)
➡️ Вы занимаетесь ББ (большое количество поддерживаемых шаблонизаторов)

#redteam

🛡 Не все студенты идут в redteam

Не так давно писали о молодой площадке🌐DefBox, которая является аналогом HackTheBox и TryHackMe в сфере blueteam. То был отзыв по первому взгляду, идея нам показалось отличной:

Если бы такая платформа была несколько лет назад, то я пошел бы в BlueTeam - ЖБ'

Сейчас же я уже сам решил посмотреть, что оно из себя представляет. Впечатления хорошие, взаимодействие с площадкой удобное, с лабами тоже.

От себя однозначно
👍

🖋 Краткий комментарий

Принцип решения лаб: для начала идет запуск лабораторной, чтобы пользователь мог познакомиться с ней в интерфейсе Kibana через логи с машины. Для этого знакомства, кстати, реализован поиск хайлатов, которые бывают очевидными и не очень - например, "От какого пользователя запущен веб-сервер?". После знакомства уже можно запускать атаку на машину, которую можете либо вы сами провести, либо предусмотрен заготовленный набор атак (для каждой лабы свой). Дальше шерстить логи и на основе них писать правило алерта для детекта атаки. Завершение, кстати, реализовано через webhook'и к API DefBox в ELK. Написал правило, добавил вебхук при алерте, перезапустил атаку. Если правило верное и алерт отработал как надо, то полетит POST к апишке.

ℹ️ Разве что ключевые моменты в запросе ELK надо выбирать с умом, иначе получите свой значок за False alert🙂

📕 Что еще сказать?
➖ Каждая лаба уникальная, на данный момент их уже 9️⃣
➖ Если вы любите быть в топе лидерборда, то сейчас самое время начинать. Занять место в топе куда проще среди сотен людей, нежели тысяч
➖ Разработчики общаются с коммьюнити и если у вас вдруг есть идеи, что еще добавить, то их могут рассмотреть
➖ Мне не хватает русской локализации, но и ангельский тоже полезно знать
➖ Дальше обещают машины не только с линухой, но и с шиндовсом

Короче говоря, площадка хорошая, площадка полезная. Глядишь, такими темпами не все заряженные на ИБшку студенты будут уходить в redteam. А для особо неравнодушных у разработчиков есть свои Patreon и Бусти

♥️ Не реклама, а от чистого сердца♥️

#blueteam

🤨 Почему Nuclei можно и нужно использовать как фаззер

Ха, попались, это кликбейт... Хотел бы написать я, но у меня есть действительно интересная тема для дискуссии.

📕 А что мы вообще сейчас хотим видеть от фаззеров?

Если подойти к вопросу максимально просто, то скорость и оптимизация, а ну и чтобы не вылетало. Вот и всё? Однозначно нет, нам нужно покрытие, возобновление работы после прерывания или случайного "нажатия не туда", кастомизация и простота использования (сюда можно было бы добавить AI, но сейчас оно из каждого утюга, вскоре и чебупели мне будет AI подогревать🤗).

А что из этого мы можем получить, используя тот же движок от Burp 😈? Всё, кроме AI и оптимизации (говорим про большие проекты). А ещё он же платный, даже если мы говорим про его "free" dastardly

⚠️ Да начнется холивар

😱 Nuclei — лучший и самый удобный фаззер. Да, но почему это так ? Кластеризация темплейтов, многопоточность 💻, возобновляемые прерывания, интеграция со всеми продуктами ProjectDiscovery (странно было бы если такого не было). Даже открыв исходники Нукли мы можем увидеть то, с чем он может работать:

/pkg/fuzz/component/body.go
/pkg/fuzz/component/cookie.go
/pkg/fuzz/component/headers.go
/pkg/fuzz/component/path.go
/pkg/fuzz/component/query.go
/pkg/fuzz/component/value.go

Мало? Можете дописать сами или закинуть в "хотелки", разрабы помогут и подскажут.

На самом деле, про него действительно мало чего написано и рассказано, только индусы и сами ProjectDiscovery про него пишут.

❌ Но всё ли так хорошо ?

🙃🥹😘👍

Конечно нет, иначе это была бы фантастика. Чтобы использовать Нукли по максмуму нужно использовать ... katana. Нет, мы не будем брать длинный японский меч и бить им по экрану, чтобы он лучше работал, нами будет сделан краулинг эндпоинтов.

katana -u example.com -f qurl -o fuzz_list.txt -hl -nos -jc -jsl

Всё что касается HEADLESS - нужно отдельно настраивать
`-jsl` очень сильно нагружает ОП
В данном примере RATE-LIMIT я не трогал, но он очень хорошо масштабируется

Либо можно использовать немого другой инструмент, но смысл остаётся — ТЫК
Буквально:

git clone https://github.com/0xKayala/NucleiFuzzer.git
cd NucleiFuzzer
sudo chmod +x install.sh
./install.sh
nf -h

Вот у нас есть эндпоинты, сам фаззер, но нет результатов. Что же нам теперь делать? Правильно, устанавливаем темплейты для фаззинга (пора бы свои тоже писать начать. ЭТО ВСЕХ КАСАЕТСЯ!), а также смотрим, как это чудо запускать:

nuclei -t custom-fuzzing-templates -list fuzz_list.txt -dast -im list -irr -je best_fuzzer_result.json

`-fuzz` устарел, поэтому мы используем `-dast`
`-irr` нужен, чтобы мы сохраняли req/res в самом отчете
Во флаге `-im` мы можем указать следующие значения `list`, `burp`, `jsonl`, `yaml`, `openapi`, `swagger`

Нет, я не перехваливаю его, есть же Ffuf — ТЫК, а если его использовать в связке с ffufPostprocessing — ТЫК, то он раскрывается очень хорошо.

После написания поста, нашел улучшенную версию ffufPostprocessing. Самое удивительное, что я даже знаю этого человека reewardius/ffufPostprocessing — ТЫК

❔ Заключение

Теперь Nuclei я использую не только как сканнер уже известных уязвимостей и подобие фаззера, но и как полноценный инструмент в своих задачах. В скором времени выложу свой инструмент (сборная солянка) на Go, он будет написан как говно с костылями, но будет работать и помогать не только с DAST, но и с BB и пентестами.

😜 UPD: Обязательно заходите в комментарии к записи, там больше материала ❤️❤️

#redteam #devsecops