Tib3rius опубликовал список вопросов, которые могут попасть при собеседовании на должность AppSec.

Всего 61 вопрос, вопросы довольно сложные, но под спойлером есть ответы.

Так же на днях LetsDefend опубликовали список вопросов на позицию SOC-инженера.

Большая часть вопросов довольно общая, но охватывает множество доменов.

Метод HTTP TRACE является одним из методов HTTP, используемых для отладки и диагностики. Когда клиент отправляет запрос HTTP TRACE на сервер, сервер должен ответить эхом на полученный запрос клиенту. Это может быть полезно для устранения неполадок или понимания того, как запрос обрабатывается посредниками и сам сервер.

Включение метода HTTP TRACE на рабочем сервере может привести к возникновению уязвимости безопасности, известной как
уязвимость, известную как Cross-Site Tracing (XST). Эта уязвимость возникает, когда злоумышленнику удается обмануть браузер пользователя, чтобы сделать TRACE-запрос на веб-сайт, а затем прочитать конфиденциальные данные, содержащиеся в ответе, такие как файлы cookie и маркеры аутентификации.

Наличие метода TRACE обычно считается багом уровня Info. Но если знать, что искать, то метод TRACE (и любой другой механизм, отражающий запросы) может быть добавлен в практическую цепочку атак и значительно усилит воздействие эксплойта.

Возможный импакт:
- Information Disclosure: чувствительная информация, такая как HTTP-заголовки и файлы cookie.
- Session Hijacking: Злоумышленник может украсть куки сеанса и токены аутентификации.
- Cross-Site Scripting (XSS): Если ответ TRACE содержит данные, вводимые пользователем, без надлежащей обработки, может привести к XSS.

Да, скорее всего критичного импакта TRACE не даст, но как минимум, раскроет информацию о сервере и заголовках.

Статьи на тему:
PortSwigger KB - HTTP TRACE method is enabled
PortSwigger - Information disclosure due to insecure configuration
OWASP - Cross Site Tracing
OWASP WSTG - Test HTTP Methods
Black Hills Information Security - Three Minutes with the HTTP TRACE Method
attack ships on fire - Exploiting TRACE
Virtue Security - Web Server TRACE Enabled

Getting Bored of Cyberwar - Exploring the Role of Low-level Cybercrime Actors in the Russia-Ukraine Conflict

Британские ученые исследователи опубликовали свою работу, посвященную кибервойне на фоне СВО.

Перевод аннотации:

О роли кибератак, осуществляемых низкоуровневыми киберпреступниками, в российско-украинском конфликте написано немало. Мы проанализировали 358 тыс. атак с целью порчи веб-страниц, 1,7 млн отраженных DDoS-атак, 1764 сообщения на форумах Hack Forums с упоминанием двух стран и 441 объявление (с 58 тыс. ответов) волонтерской хакерской группы за два месяца до и четыре месяца после вторжения. Мы обнаружили, что конфликт ненадолго, но привлек внимание низкоуровневых киберпреступников: значительно увеличилось количество обсуждений в сети и обоих типов атак, направленных против России и Украины. Однако свидетельств громких действий было немного; роль этих игроков в продолжающейся гибридной войне незначительна, и их следует отделять от настойчивых и мотивированных "хактивистов", участвующих в спонсируемых государством операциях. Их участие в конфликте, судя по всему, было кратковременным и мимолетным: через несколько недель они явно потеряли интерес к обсуждению ситуации и осуществлению как дефейсов, так и DDoS-атак против России или Украины.

Текст исследования в pdf.

Отчасти с их исследованием можно согласиться, но только отчасти. Ажиотаж давно спал, интерес со стороны западных хактивистов исчез (вероятно, кроме state sponsored). Так же перестали издавать шум лица, причисляющие себя к Anonymous (вероятно, вернулись в школу).

Хоть градус несколько снизился, хактивисты довольно активно работают по обе стороны конфликта. Российскую сторону активно представляют
Beregini (хоть и указано, что они из Украины), NoName057(16), Джокер ДНР и Народная CyberАрмия.

C Украинской стороны тоже представителей достаточно. Некоторые из них представители DefCon-UA/2600. Но там без своих приколов не обходится, вроде взлома через инсайдера и последующий его деанон.

Исследователь с ником CyberKnow ведёт в Twitter активные сводки хактивистких групп. Привязка к гео довольно условная, но глянуть интересно.

Exploiting Unsynchronised Clocks

По данным RIPE, более 40 % компьютеров, подключенных к Интернету имеют несколько секунд дрейфа часов, что при правильной комбинации заголовков, что сделает HTTP-ответ непреднамеренно кэшируемым.

Да, казалось бы небольшой отклонение времени вызывает ошибки кэширования, что в итоге приводит к отравлению кэша с Time Drift.

В чем суть:
Заголовок expires работает путем установки значения в будущем, что сообщает браузеру, что он может кэшировать ответ до указаного времени. Возможность непреднамеренного кэширования возникает, когда приложение пытается сигнализировать о том, что ресурс не должен кэшироваться, устанавливая значение expires в текущее время ("сейчас"), фактически становится моментом в будущем, и браузер все равно будет кешировать ответ.

Статья покровы не срывает, но нюанс с дрифтом времени зачастую не учитывается, и очень зря.

Помните странную новость про якобы DDoS с помощью зубных щеток?
Да, для DDoS они не пригодны. Но Аарон Кристофель запустил на них Doom.
Не на всех разумеется, в данном случае это evowera planck mini.

Сама щетка имеет не только экран, но и управляется ESP32-C3 с Wi-Fi и Bluetooth на борту.

Основные детали взлома щетки автор описал в twitter.
Кастомная прошивка доступна на Github.

Кстати, Аарон Кристофель так же один из первых (если не первый) реверсил ценники на E-ink и Xiaomi Thermometer и собирал для них прошивки. И рикролл на прайсчекере, куда без этого.

Running GTA: Vice City on a TP-Link TL-WDR4900 wireless router

GTA: Vice City запустили на роутере TP-Link TL-WDR4900.

Но роутер не абы какой. Запустили GTA на роутере TP-LINK TL-WDR4900 v1, который в отличии от своих собратьев не на ARM или MIPS, а на процессоре PowerPC e500v2 32bit (версии 2.x уже были на MIPS) от NXP (SoC Freescale MPC85xx).

Кроме того, у этого процессора есть поддержка PCIe, оставалось только распаять слот, что и было сделано.
Для полноты сборки на роутере был запущен Debian 10 с видеокартой AMD Radeon HD 7470 (более новая AMD Radeon RX570 не заработала из-за amdgpu) и в итоге получилась вполне рабочая сборка, хоть и без NPC.

List of 39 Documented Windows Persistence Techniques

А сколько способов закрепления в Windows вы знаете? А их как минимум 39, 12 из которых не требуют админских прав.

1. Registry Run Keys
2. Service Registry Permission Weakness
3. Scheduled Tasks
4. Shortcut Modification
5. BITS Jobs
6. PowerShell Profile
7. Screensaver
8. Component Object Model Hijacking
9. Change Default File Association
10. Office Application Startup
11. Visual Studio Code Extensions
12. Explorer
13. WinLogon Helper DLL
14. RID Hijacking
15. Time Providers
16. Image File Execution Options Injection
17. Application Shimming
18. DLL Search Order Hijacking
19. AppInit DLLs
20. Netsh Helper DLL
21. Accessibility Features
22. Port Monitors
23. Security Support Provider
24. AMSI
25. WMI Event Subscription
26. Print Spooler
27. Certificates
28. Notepad++
29. Event Log
30. Event Log Online Help
31. Context Menu
32. Service Control Manager
33. Windows Telemetry
34. Scheduled Task Tampering
35. Disk Clean Up
36. Windows Setup Script
37. Waitfor
38. New Service
39. Modifying Existing Service

Windows Sysinternals - Sysmon

Sysmon крайне полезная штука для мониторинга конечных точек на Windows.

Sysmon, сокращение от System Monitor, - это системная служба Windows и драйвер устройства, которые отслеживают и регистрируют системную активность на хосте Windows от Sysinternals. Sysmon значительно расширяет логирование системы. Сюда входит информация о создании и завершении процессов, сетевых подключениях, создании файлов и многое другое. Он без проблем уживается в связке EDR/AV - Sysmon - Wazuh. Однако, EDR-решения он не заменяет, а заполняет пробелы в мониторинге.

Но Sysmon это не совсем решение вида "установил и забыл" и желательны доработки напильником. Например, как у Tier Zero Security.
У них в примерах используется HELK, но в стандартном Wazuh всё будет работать так же.

Со стороны самого Wazuh сейчас чуть проще, с версии 3.8 есть нативная поддержка. Что не отменяет настройку.

Microsoft выпустили курс по кибербезопасности - Security-101.

Курс рассчитан на новичков и включает в себя 7 модулей с квизом в конце каждого модуля. Материал доступен как в виде текста, так и видео.

Что описано в курсе:
- Основные концепции кибербезопасности, такие как триада CIA, различия между рисками, угрозами и т. д,
- Что такое контроль безопасности и какие формы он принимает.
- Что такое Zero Trust.
- Ключевые концепции и темы в области идентификации,
сетевых технологий, операций безопасности, инфраструктуры и безопасности данных.
- Приведение примеров инструментов, используемых для реализации средств контроля безопасности.

Данный мини-курс можно назвать небольшой подготовкой к курсу Microsoft Security, Compliance, and Identity Fundamentals., который в свою очередь является подготовкой к Exam SC-900: Microsoft Security, Compliance, and Identity Fundamentals exam.

Security Incident & Vulnerability Response Playbooks

Security Playbooks, они же сценарии реагирования, они же просто плейбуки в построении защиты крайне полезный инструмент. И речь даже не про условную "зрелость компании" (хоть это тоже), а про готовые сценарии действий в случае инцидента., которые позволят избежать этапа "кто виноват?" и "что делать?".

И что немаловажно, в процессе написания и внедрения плейбуков всплывёт множество проблем, которые неизбежно надо будет решать.
Разумеется, с ноля написать плейбук не выйдет, и имеет смысл перенять опыт западных коллег.

СISA:
Security Incident & Vulnerability Response Playbooks

WA Cyber Security Unit:
WA SOC Cyber Security Playbooks

У нас же с плейбуками всё как-то грустно. Positive Technologies выступали с презентацией на SoC Forum 2023, небольшая презентация с описанием реагирования на утечку в дарквебе от Kaspersky и how-to по написанию сценария на примере подозрения на фишинг.

В целом не густо, но имеем что имеем.

How to Make Nmap Recognize New Services

Пользоваться nmap любят все, а расширять функционал детектом новых сервисов не только лишь все.
А это вполне посильная задача. Ведь есть целый мануал.

В принципе, ничего сложного, если вы дружите с Wireshark и программируете.

Comparison of Enterprise SAST/DAST Products

Немного "что-то на богатом". Большая сравнительная таблица SAST/DAST-продуктов.
Рассматривался только различный энтерпрайз:
- CheckMarx One Platform
- Veracode
- Rapid7 AppSpider (InsightAppSec Edition)
- Wiz.IO
- Fortify Static Code Analyzer
- Acunetix
- Invicti/NetSparker
- CloudDefense.AI
- Rapid7 Insight
- Fortify WebInspect
- SonarQube

Сравнения проводятся по семи категориям (с множеством подкатегорий) по десятибальной шкале.
В топ-3 оказались CheckMarx One, Veracode и Rapid7 AppSpider.

Хотелось бы такую же сравнительную таблицу для решений с открытым кодом.

LogSnare - небольшая лаба котороая показывает, как можно использовать уязвимости IDOR. Так же есть возможность посмотреть как IDOR работает со стороны проверки и логирования.

В самой лабе есть три небольших задания, которые не дадут запутаться.

Всё работает в Docker:

docker pull seaerkin/log-snare
docker run -p 127.0.0.1:8080:8080 seaerkin/log-snare

Лаба небольшая и проходится минут за 15-20, но можно усложнить себе задачу, включив валидацию.

API-Security-Checklist - чеклист безопасности API от Shieldfy. Чеклист охватывает множество топиков (вроде аутентификации, СI/CD, ввода и мониторинга).

Чеклист ведётся на 29 языках, так что с минимальной адаптацией можно брать в работу.

Кстати, если вы пишите свой инструмент для проверки своего API, то тем более советую присмотреться, так как почти все необходимые проверки указаны.

Living Off The Land - атаки во взломанной системе, позволяющие для продвижения и/или закрепления использовать только то, что уже есть в системе. По каким-то причинам термин Living Off The Land часто применяется только к Windows, хотя в случае с системами на Linux это работает довольно похоже.

Смысл Living Off The Land довольно прост - использовать те инструменты, которые уже есть. Это может быть привычный Certutil в Windows и curl в Linux, так и иные бинарники (а это могут быть nmap, python и куча всего) которые либо имеют чрезмерные права, либо своим функционалом могут сыграть на руку атакующему (sudo из vim выглядит круто, хоть и встречается только в ctf).

Но раз есть что-то, что можно собрать в список, должны быть и сами списки.
GTFOBins - список бинарников для Linux-систем
LOLBAS - список бинарников для Windows. В дополнении ещё и с указанием техник по MITRE ATT&CK.

Немного про Living Off The Land:
CISA - Identifying and Mitigating Living Off the Land Techniques
The Hacker News - LOLBAS in the Wild: 11 Living-Off-The-Land Binaries That Could Be Used for Malicious Purposes

MouseJacking (With Flipper Zero): Tales from Pen Testing Trenches

Flipper Zero годится не только чтобы открывать люки зарядки у Tesla, но и для MouseJacking. Пентестеры из Brackish Security с помощью Flipper Zero с модулем NRF24 провели атаку MouseJacking на территории заказчика.

Гуляя по в поисках зданию, пентестеры вещали нагрузку в эфир, пока наконец не добрались до цели.
Далее всё просто: PowerShell - загрузка пэйлоада - meterpreter.

Такую атаку нельзя обнаружить, так как всё это выглядит как простая работа HID-устройства. Так же стоит отметить, что с технической точки зрения атака довольно простая, и при желании можно её провести удалённо с дрона. А если на машине с уязвимым донглом некому ловить пэйлоад, то вероятность успеха стремится к 100%.

И разумеется, MouseJacking можно провести не только с помощью Flipper Zero, это будет работать и на более доступном железе вроде CrazyRadio + Pineapple

Список уязвимых к MouseJacking устройств:
Bastille: MouseJack Affected Devices

Advanced CyberChef Techniques for Configuration Extraction - Detailed Walkthrough and Examples

CyberChef для некоторых стал привычным инструментом для всяких вещей вроде URL Encode/URL Decode, Defang URL или From Base64. Но он способен и на сложные вещи. К ним относятся такие вещи, как управление потоком, регистры и различные возможности регулярных выражений.

В статье автор разобрал некоторые из более продвинутых операций CyberChef и то, как как их можно применить для разработки экстрактора конфигурации для многоступенчатого загрузчика вредоносного ПО.

Что это за расширенные операции?
- Регистры
- Регулярные выражения и группы захвата
- Управление потоком через форкинг и слияние
- Слияние
- Вычитание
- Расшифровка AES

В статье функционал CyberChef был рассмотрен на сэмпле с Malware Bazaar, так что все примеры довольно наглядны.

It's now possible to find the AWS Account ID for any S3 Bucket (private or public)

Обновлённый метод определения ID бакета AWS.
Эта техника частично использует подход Бена Бридтса, описанный в 2021 году.

Метод основан на применении пользовательской политики при вступлении в роль и определении разрешения данной политики IAM для запроса и использует в озможность использовать подстановочный знак к ключу s3:ResourceAccount позволяет находить идентификатор учетной записи постепенно.

Как это работает:
- Определяется регион нужного бакета
- В том же регионе разворачивается VPC и EC2
- Изменяем политику VPC Endpoint чтобы определить, начинается ли идентификатор учетной записи сегмента с "0"
- Делаем запрос, параллельно проверяя, что происходит в CloudTrail
- Повторяем до получения нужного результата

Результаты показывают, что метод может быть автоматизирован и может быть использован для поиска других ключей состояния ресурса, связанных с бакетом.

С одной стороны это не является серьезной проблемой, так как ID бакета не является приватной информацией, но всё же ID бакета не то, чем хотелось бы делиться.

Для желающих доступен скрипт, используемый в статье:
github.com/tracebit-com/find-s3-account

Conditional Love for AWS Metadata Enumeration

Ещё одна статья на тему получения ID бакетов, так же основывается на работе Бена Бридтса, но в данном случае не ограничились бакетами. Например, можно получить OwnerEmail, account ID и org ID.

Используемый в статье инструмент доступен на Github.
github.com/plerionhq/conditional-love/

My Personal Study Guide For Delving into Hacking and Cybersecurity

Учебный план здорового человека (а не Ахмед за 90 дней).

Автор разделил план на 4 уровня, но без конкретной привязки по времени. И этот план довольно хардкорен.

Начиная с Гарвардского CS50 (он крутой, советую посмотреть хотя бы старый в переводе Vert Dider) и "Хакинг: Исскуство эксплоита", до курсов от guyinatuxedo (nightmare) и множества CTF различной сложности.