How I Hacked My Air Purifier to Remove Cloud Dependency

Стандартная история с нестандартным развитием событий. Захотел человек отвязать очиститель воздуха от облака и инегрировать его в Home Assistant, а получился детальный реверс китайской железки на ESP32.

А работа проделана действительно детальная, автор начал от анализа мобильного приложения и трафика, до модификации прошивки и MITM.

I Know What Your Password Was Last Summer...

Немного про пароли от Lares. Исследователи из Lares потратили шесть месяцев, изучая предыдущие два года взломанных паролей и делятся с нами результатами. С чувством, толком, расстановкой. А ещё психологией, hashcat и кучей видеокарт вроде 4090.

Весь анализ, получен в результате взлома паролей windows NTLM в течение двух лет; общее количество хэшей составило 186149, уникальных хэшей - 99918, а взломано было 31200, в по причине повторяющихся паролей у разных пользователей и отраслей.

Ситуация сильно не меняется и что мы снова получаем:
- Повторное использование паролей
- Распространенные слабые пароли
- Отраслевые закономерности

Так же довольно часто встречаются конструкции вроде месяцГОД, времягодаГОД.

Рекомендация: используйте длинные фразы (вроде стихов, песен или запоминающихся цитат) и по возможности используйте парольный менеджер, где уже можно сгенерировать пароль произвольной сложности.

Начнем понедельник с чего-нибудь интересного.

Например с анализа загрузчика шеллкода Cobalt Strike в PowerShell используя CyberChef и эмулятор speakeasy.

Ghidra в Minecraft.

Не известно зачем и за какие грехи, но оно есть и даже работает.

Mageni - это платформа управления уязвимостями с открытым исходным кодом. Mageni обеспечивает более быстрое, удобное и компактное управление уязвимостями для современных программ кибербезопасности.

Mageni автоматизирует цикл управления уязвимостями, Авторы так же заявляют о том, что сканер поможет соответствовать стандартам безопасности, таким как PCI DSS, NIST и другим.

Для чего предназначен Mageni:
- Обнаружение ассетов
- Обнаружение портов и сервисов
- Обнаружение приложений
- Обнаружение неавторизованных устройств
- Сканирование уязвимостей
- Оценка уязвимостей
- Управление поверхностью атаки
- Отчеты об уязвимостях
- Устранение уязвимостей
- Приоритизация уязвимостей
- Проверка уязвимостей
- Анализ уязвимостей
- Устранение уязвимостей для обеспечения соответствия стандартам PCI DSS, NIST, HIPAA, ISO, NERC, FISMA, NIS
- Тестирование безопасности IoT, OT и SCADA

Из минусов:
- Установка через snap и работа через multipass
- Нет API
- Нет интеграции со сторонними сервисами (например оркестраторами, коллекторами и прочим)
- Нет подготовленного контейнера docker

Ещё и установочный скрипт заботливо не доступен без VPN.

Если standalone-сканер засунутый в multipass вас не пугает, то стоит присмотреться. Что касаемо разных стандартов, то тут инструмент будет не особо интересен. Да и как по мне, минусы перевешивают.

Документация: mageni.net/docs

Давно образовательных лаб не было. Время это исправлять.

WebSploit Labs - это учебная среда, созданная Омаром Сантосом для проведения различных тренингов по этическому взлому, поиску багов, реагированию на инциденты, цифровой криминалистике и поиску угроз. WebSploit Labs включает в себя несколько уязвимых приложений, работающих в контейнерах Docker поверх Kali Linux или Parrot Security OS, несколько дополнительных инструментов и более 9 000 ресурсов по кибербезопасности.

Что под капотом:
19 контейнеров, в том числе сам JuiceShop, WebGoat, DVWA и множество других. В целом, никакой магии, просто собранные в одном месте уязвимые приложения, запакованные в готовые контейнеры.

Минимальные требования для VM :
4GB RAM
2 vCPU
50 GB HDD

Как развернуть:
1. Устанавливаем основную систему
Скачиваем и разворачиваем Kali или Parrot OS в любом удобном гипервизоре (VirtualBox, VMWare Workstation/Fusion, ESXi, KVM, Proxmox).
В теории, можно выбрать произвольный deb-дистрибутив, но в таком случае может потребоваться правка установочного скрипта. И нужных инструментов может не оказаться в репозиториях.

2. Разворачиваем Websploit Labs
После установки дистрибутива запускаем скрипт для развертывания окружения:

curl -sSL https://websploit.org/install.sh | sudo bash

Скрипт установит сам Docker, развернет необходимые контейнеры и установит необходимые инструменты.

Примечание:
В силу особенностей новых процессоров от Apple, на системах Apple M1/M2/M3 WebSploit Labs работать не будет.

Страница проекта: WebSploit Labs
Репозиторий: github.com/The-Art-of-Hacking/h4cker
Сайт автора: omarsantos.io

Practical WPA2 Security Assessment of Wireless Routers

Немного о взломе Wi-Fi без Aircrack-ng. Инструменты поменялись, смысл остался: пакеты перехватываются, хэш брутфорсится. И для успешной атаки достаточно Apple MacBook M3 Pro и небольшого словаря на 559569 слов.

- Если возможно, то используйте WPA3. В WPA3 есть Simultaneous Authentication of Equals (SAE) и Protected Management Frames (PMF), которые усложняют жизнь взломщику.
- Если используете WPA2, используйте сложные пароли, а не 12345678.
- Меняйте настройки по умолчанию. Отключайте то, что вам вряд ли необходимо, например WPS. Меняйте стандартный пароль точки доступа, так как часто они формируются по довольно предсказуемому принципу.

Tib3rius опубликовал список вопросов, которые могут попасть при собеседовании на должность AppSec.

Всего 61 вопрос, вопросы довольно сложные, но под спойлером есть ответы.

Так же на днях LetsDefend опубликовали список вопросов на позицию SOC-инженера.

Большая часть вопросов довольно общая, но охватывает множество доменов.

Метод HTTP TRACE является одним из методов HTTP, используемых для отладки и диагностики. Когда клиент отправляет запрос HTTP TRACE на сервер, сервер должен ответить эхом на полученный запрос клиенту. Это может быть полезно для устранения неполадок или понимания того, как запрос обрабатывается посредниками и сам сервер.

Включение метода HTTP TRACE на рабочем сервере может привести к возникновению уязвимости безопасности, известной как
уязвимость, известную как Cross-Site Tracing (XST). Эта уязвимость возникает, когда злоумышленнику удается обмануть браузер пользователя, чтобы сделать TRACE-запрос на веб-сайт, а затем прочитать конфиденциальные данные, содержащиеся в ответе, такие как файлы cookie и маркеры аутентификации.

Наличие метода TRACE обычно считается багом уровня Info. Но если знать, что искать, то метод TRACE (и любой другой механизм, отражающий запросы) может быть добавлен в практическую цепочку атак и значительно усилит воздействие эксплойта.

Возможный импакт:
- Information Disclosure: чувствительная информация, такая как HTTP-заголовки и файлы cookie.
- Session Hijacking: Злоумышленник может украсть куки сеанса и токены аутентификации.
- Cross-Site Scripting (XSS): Если ответ TRACE содержит данные, вводимые пользователем, без надлежащей обработки, может привести к XSS.

Да, скорее всего критичного импакта TRACE не даст, но как минимум, раскроет информацию о сервере и заголовках.

Статьи на тему:
PortSwigger KB - HTTP TRACE method is enabled
PortSwigger - Information disclosure due to insecure configuration
OWASP - Cross Site Tracing
OWASP WSTG - Test HTTP Methods
Black Hills Information Security - Three Minutes with the HTTP TRACE Method
attack ships on fire - Exploiting TRACE
Virtue Security - Web Server TRACE Enabled

Getting Bored of Cyberwar - Exploring the Role of Low-level Cybercrime Actors in the Russia-Ukraine Conflict

Британские ученые исследователи опубликовали свою работу, посвященную кибервойне на фоне СВО.

Перевод аннотации:

О роли кибератак, осуществляемых низкоуровневыми киберпреступниками, в российско-украинском конфликте написано немало. Мы проанализировали 358 тыс. атак с целью порчи веб-страниц, 1,7 млн отраженных DDoS-атак, 1764 сообщения на форумах Hack Forums с упоминанием двух стран и 441 объявление (с 58 тыс. ответов) волонтерской хакерской группы за два месяца до и четыре месяца после вторжения. Мы обнаружили, что конфликт ненадолго, но привлек внимание низкоуровневых киберпреступников: значительно увеличилось количество обсуждений в сети и обоих типов атак, направленных против России и Украины. Однако свидетельств громких действий было немного; роль этих игроков в продолжающейся гибридной войне незначительна, и их следует отделять от настойчивых и мотивированных "хактивистов", участвующих в спонсируемых государством операциях. Их участие в конфликте, судя по всему, было кратковременным и мимолетным: через несколько недель они явно потеряли интерес к обсуждению ситуации и осуществлению как дефейсов, так и DDoS-атак против России или Украины.

Текст исследования в pdf.

Отчасти с их исследованием можно согласиться, но только отчасти. Ажиотаж давно спал, интерес со стороны западных хактивистов исчез (вероятно, кроме state sponsored). Так же перестали издавать шум лица, причисляющие себя к Anonymous (вероятно, вернулись в школу).

Хоть градус несколько снизился, хактивисты довольно активно работают по обе стороны конфликта. Российскую сторону активно представляют
Beregini (хоть и указано, что они из Украины), NoName057(16), Джокер ДНР и Народная CyberАрмия.

C Украинской стороны тоже представителей достаточно. Некоторые из них представители DefCon-UA/2600. Но там без своих приколов не обходится, вроде взлома через инсайдера и последующий его деанон.

Исследователь с ником CyberKnow ведёт в Twitter активные сводки хактивистких групп. Привязка к гео довольно условная, но глянуть интересно.

Exploiting Unsynchronised Clocks

По данным RIPE, более 40 % компьютеров, подключенных к Интернету имеют несколько секунд дрейфа часов, что при правильной комбинации заголовков, что сделает HTTP-ответ непреднамеренно кэшируемым.

Да, казалось бы небольшой отклонение времени вызывает ошибки кэширования, что в итоге приводит к отравлению кэша с Time Drift.

В чем суть:
Заголовок expires работает путем установки значения в будущем, что сообщает браузеру, что он может кэшировать ответ до указаного времени. Возможность непреднамеренного кэширования возникает, когда приложение пытается сигнализировать о том, что ресурс не должен кэшироваться, устанавливая значение expires в текущее время ("сейчас"), фактически становится моментом в будущем, и браузер все равно будет кешировать ответ.

Статья покровы не срывает, но нюанс с дрифтом времени зачастую не учитывается, и очень зря.

Помните странную новость про якобы DDoS с помощью зубных щеток?
Да, для DDoS они не пригодны. Но Аарон Кристофель запустил на них Doom.
Не на всех разумеется, в данном случае это evowera planck mini.

Сама щетка имеет не только экран, но и управляется ESP32-C3 с Wi-Fi и Bluetooth на борту.

Основные детали взлома щетки автор описал в twitter.
Кастомная прошивка доступна на Github.

Кстати, Аарон Кристофель так же один из первых (если не первый) реверсил ценники на E-ink и Xiaomi Thermometer и собирал для них прошивки. И рикролл на прайсчекере, куда без этого.

Running GTA: Vice City on a TP-Link TL-WDR4900 wireless router

GTA: Vice City запустили на роутере TP-Link TL-WDR4900.

Но роутер не абы какой. Запустили GTA на роутере TP-LINK TL-WDR4900 v1, который в отличии от своих собратьев не на ARM или MIPS, а на процессоре PowerPC e500v2 32bit (версии 2.x уже были на MIPS) от NXP (SoC Freescale MPC85xx).

Кроме того, у этого процессора есть поддержка PCIe, оставалось только распаять слот, что и было сделано.
Для полноты сборки на роутере был запущен Debian 10 с видеокартой AMD Radeon HD 7470 (более новая AMD Radeon RX570 не заработала из-за amdgpu) и в итоге получилась вполне рабочая сборка, хоть и без NPC.

List of 39 Documented Windows Persistence Techniques

А сколько способов закрепления в Windows вы знаете? А их как минимум 39, 12 из которых не требуют админских прав.

1. Registry Run Keys
2. Service Registry Permission Weakness
3. Scheduled Tasks
4. Shortcut Modification
5. BITS Jobs
6. PowerShell Profile
7. Screensaver
8. Component Object Model Hijacking
9. Change Default File Association
10. Office Application Startup
11. Visual Studio Code Extensions
12. Explorer
13. WinLogon Helper DLL
14. RID Hijacking
15. Time Providers
16. Image File Execution Options Injection
17. Application Shimming
18. DLL Search Order Hijacking
19. AppInit DLLs
20. Netsh Helper DLL
21. Accessibility Features
22. Port Monitors
23. Security Support Provider
24. AMSI
25. WMI Event Subscription
26. Print Spooler
27. Certificates
28. Notepad++
29. Event Log
30. Event Log Online Help
31. Context Menu
32. Service Control Manager
33. Windows Telemetry
34. Scheduled Task Tampering
35. Disk Clean Up
36. Windows Setup Script
37. Waitfor
38. New Service
39. Modifying Existing Service

Windows Sysinternals - Sysmon

Sysmon крайне полезная штука для мониторинга конечных точек на Windows.

Sysmon, сокращение от System Monitor, - это системная служба Windows и драйвер устройства, которые отслеживают и регистрируют системную активность на хосте Windows от Sysinternals. Sysmon значительно расширяет логирование системы. Сюда входит информация о создании и завершении процессов, сетевых подключениях, создании файлов и многое другое. Он без проблем уживается в связке EDR/AV - Sysmon - Wazuh. Однако, EDR-решения он не заменяет, а заполняет пробелы в мониторинге.

Но Sysmon это не совсем решение вида "установил и забыл" и желательны доработки напильником. Например, как у Tier Zero Security.
У них в примерах используется HELK, но в стандартном Wazuh всё будет работать так же.

Со стороны самого Wazuh сейчас чуть проще, с версии 3.8 есть нативная поддержка. Что не отменяет настройку.

Microsoft выпустили курс по кибербезопасности - Security-101.

Курс рассчитан на новичков и включает в себя 7 модулей с квизом в конце каждого модуля. Материал доступен как в виде текста, так и видео.

Что описано в курсе:
- Основные концепции кибербезопасности, такие как триада CIA, различия между рисками, угрозами и т. д,
- Что такое контроль безопасности и какие формы он принимает.
- Что такое Zero Trust.
- Ключевые концепции и темы в области идентификации,
сетевых технологий, операций безопасности, инфраструктуры и безопасности данных.
- Приведение примеров инструментов, используемых для реализации средств контроля безопасности.

Данный мини-курс можно назвать небольшой подготовкой к курсу Microsoft Security, Compliance, and Identity Fundamentals., который в свою очередь является подготовкой к Exam SC-900: Microsoft Security, Compliance, and Identity Fundamentals exam.

Security Incident & Vulnerability Response Playbooks

Security Playbooks, они же сценарии реагирования, они же просто плейбуки в построении защиты крайне полезный инструмент. И речь даже не про условную "зрелость компании" (хоть это тоже), а про готовые сценарии действий в случае инцидента., которые позволят избежать этапа "кто виноват?" и "что делать?".

И что немаловажно, в процессе написания и внедрения плейбуков всплывёт множество проблем, которые неизбежно надо будет решать.
Разумеется, с ноля написать плейбук не выйдет, и имеет смысл перенять опыт западных коллег.

СISA:
Security Incident & Vulnerability Response Playbooks

WA Cyber Security Unit:
WA SOC Cyber Security Playbooks

У нас же с плейбуками всё как-то грустно. Positive Technologies выступали с презентацией на SoC Forum 2023, небольшая презентация с описанием реагирования на утечку в дарквебе от Kaspersky и how-to по написанию сценария на примере подозрения на фишинг.

В целом не густо, но имеем что имеем.

How to Make Nmap Recognize New Services

Пользоваться nmap любят все, а расширять функционал детектом новых сервисов не только лишь все.
А это вполне посильная задача. Ведь есть целый мануал.

В принципе, ничего сложного, если вы дружите с Wireshark и программируете.

Comparison of Enterprise SAST/DAST Products

Немного "что-то на богатом". Большая сравнительная таблица SAST/DAST-продуктов.
Рассматривался только различный энтерпрайз:
- CheckMarx One Platform
- Veracode
- Rapid7 AppSpider (InsightAppSec Edition)
- Wiz.IO
- Fortify Static Code Analyzer
- Acunetix
- Invicti/NetSparker
- CloudDefense.AI
- Rapid7 Insight
- Fortify WebInspect
- SonarQube

Сравнения проводятся по семи категориям (с множеством подкатегорий) по десятибальной шкале.
В топ-3 оказались CheckMarx One, Veracode и Rapid7 AppSpider.

Хотелось бы такую же сравнительную таблицу для решений с открытым кодом.

LogSnare - небольшая лаба котороая показывает, как можно использовать уязвимости IDOR. Так же есть возможность посмотреть как IDOR работает со стороны проверки и логирования.

В самой лабе есть три небольших задания, которые не дадут запутаться.

Всё работает в Docker:

docker pull seaerkin/log-snare
docker run -p 127.0.0.1:8080:8080 seaerkin/log-snare

Лаба небольшая и проходится минут за 15-20, но можно усложнить себе задачу, включив валидацию.