Windows Sysinternals - Sysmon

Sysmon крайне полезная штука для мониторинга конечных точек на Windows.

Sysmon, сокращение от System Monitor, - это системная служба Windows и драйвер устройства, которые отслеживают и регистрируют системную активность на хосте Windows от Sysinternals. Sysmon значительно расширяет логирование системы. Сюда входит информация о создании и завершении процессов, сетевых подключениях, создании файлов и многое другое. Он без проблем уживается в связке EDR/AV - Sysmon - Wazuh. Однако, EDR-решения он не заменяет, а заполняет пробелы в мониторинге.

Но Sysmon это не совсем решение вида "установил и забыл" и желательны доработки напильником. Например, как у Tier Zero Security.
У них в примерах используется HELK, но в стандартном Wazuh всё будет работать так же.

Со стороны самого Wazuh сейчас чуть проще, с версии 3.8 есть нативная поддержка. Что не отменяет настройку.

Microsoft выпустили курс по кибербезопасности - Security-101.

Курс рассчитан на новичков и включает в себя 7 модулей с квизом в конце каждого модуля. Материал доступен как в виде текста, так и видео.

Что описано в курсе:
- Основные концепции кибербезопасности, такие как триада CIA, различия между рисками, угрозами и т. д,
- Что такое контроль безопасности и какие формы он принимает.
- Что такое Zero Trust.
- Ключевые концепции и темы в области идентификации,
сетевых технологий, операций безопасности, инфраструктуры и безопасности данных.
- Приведение примеров инструментов, используемых для реализации средств контроля безопасности.

Данный мини-курс можно назвать небольшой подготовкой к курсу Microsoft Security, Compliance, and Identity Fundamentals., который в свою очередь является подготовкой к Exam SC-900: Microsoft Security, Compliance, and Identity Fundamentals exam.

Security Incident & Vulnerability Response Playbooks

Security Playbooks, они же сценарии реагирования, они же просто плейбуки в построении защиты крайне полезный инструмент. И речь даже не про условную "зрелость компании" (хоть это тоже), а про готовые сценарии действий в случае инцидента., которые позволят избежать этапа "кто виноват?" и "что делать?".

И что немаловажно, в процессе написания и внедрения плейбуков всплывёт множество проблем, которые неизбежно надо будет решать.
Разумеется, с ноля написать плейбук не выйдет, и имеет смысл перенять опыт западных коллег.

СISA:
Security Incident & Vulnerability Response Playbooks

WA Cyber Security Unit:
WA SOC Cyber Security Playbooks

У нас же с плейбуками всё как-то грустно. Positive Technologies выступали с презентацией на SoC Forum 2023, небольшая презентация с описанием реагирования на утечку в дарквебе от Kaspersky и how-to по написанию сценария на примере подозрения на фишинг.

В целом не густо, но имеем что имеем.

How to Make Nmap Recognize New Services

Пользоваться nmap любят все, а расширять функционал детектом новых сервисов не только лишь все.
А это вполне посильная задача. Ведь есть целый мануал.

В принципе, ничего сложного, если вы дружите с Wireshark и программируете.

Comparison of Enterprise SAST/DAST Products

Немного "что-то на богатом". Большая сравнительная таблица SAST/DAST-продуктов.
Рассматривался только различный энтерпрайз:
- CheckMarx One Platform
- Veracode
- Rapid7 AppSpider (InsightAppSec Edition)
- Wiz.IO
- Fortify Static Code Analyzer
- Acunetix
- Invicti/NetSparker
- CloudDefense.AI
- Rapid7 Insight
- Fortify WebInspect
- SonarQube

Сравнения проводятся по семи категориям (с множеством подкатегорий) по десятибальной шкале.
В топ-3 оказались CheckMarx One, Veracode и Rapid7 AppSpider.

Хотелось бы такую же сравнительную таблицу для решений с открытым кодом.

LogSnare - небольшая лаба котороая показывает, как можно использовать уязвимости IDOR. Так же есть возможность посмотреть как IDOR работает со стороны проверки и логирования.

В самой лабе есть три небольших задания, которые не дадут запутаться.

Всё работает в Docker:

docker pull seaerkin/log-snare
docker run -p 127.0.0.1:8080:8080 seaerkin/log-snare

Лаба небольшая и проходится минут за 15-20, но можно усложнить себе задачу, включив валидацию.

API-Security-Checklist - чеклист безопасности API от Shieldfy. Чеклист охватывает множество топиков (вроде аутентификации, СI/CD, ввода и мониторинга).

Чеклист ведётся на 29 языках, так что с минимальной адаптацией можно брать в работу.

Кстати, если вы пишите свой инструмент для проверки своего API, то тем более советую присмотреться, так как почти все необходимые проверки указаны.

Living Off The Land - атаки во взломанной системе, позволяющие для продвижения и/или закрепления использовать только то, что уже есть в системе. По каким-то причинам термин Living Off The Land часто применяется только к Windows, хотя в случае с системами на Linux это работает довольно похоже.

Смысл Living Off The Land довольно прост - использовать те инструменты, которые уже есть. Это может быть привычный Certutil в Windows и curl в Linux, так и иные бинарники (а это могут быть nmap, python и куча всего) которые либо имеют чрезмерные права, либо своим функционалом могут сыграть на руку атакующему (sudo из vim выглядит круто, хоть и встречается только в ctf).

Но раз есть что-то, что можно собрать в список, должны быть и сами списки.
GTFOBins - список бинарников для Linux-систем
LOLBAS - список бинарников для Windows. В дополнении ещё и с указанием техник по MITRE ATT&CK.

Немного про Living Off The Land:
CISA - Identifying and Mitigating Living Off the Land Techniques
The Hacker News - LOLBAS in the Wild: 11 Living-Off-The-Land Binaries That Could Be Used for Malicious Purposes

MouseJacking (With Flipper Zero): Tales from Pen Testing Trenches

Flipper Zero годится не только чтобы открывать люки зарядки у Tesla, но и для MouseJacking. Пентестеры из Brackish Security с помощью Flipper Zero с модулем NRF24 провели атаку MouseJacking на территории заказчика.

Гуляя по в поисках зданию, пентестеры вещали нагрузку в эфир, пока наконец не добрались до цели.
Далее всё просто: PowerShell - загрузка пэйлоада - meterpreter.

Такую атаку нельзя обнаружить, так как всё это выглядит как простая работа HID-устройства. Так же стоит отметить, что с технической точки зрения атака довольно простая, и при желании можно её провести удалённо с дрона. А если на машине с уязвимым донглом некому ловить пэйлоад, то вероятность успеха стремится к 100%.

И разумеется, MouseJacking можно провести не только с помощью Flipper Zero, это будет работать и на более доступном железе вроде CrazyRadio + Pineapple

Список уязвимых к MouseJacking устройств:
Bastille: MouseJack Affected Devices

Advanced CyberChef Techniques for Configuration Extraction - Detailed Walkthrough and Examples

CyberChef для некоторых стал привычным инструментом для всяких вещей вроде URL Encode/URL Decode, Defang URL или From Base64. Но он способен и на сложные вещи. К ним относятся такие вещи, как управление потоком, регистры и различные возможности регулярных выражений.

В статье автор разобрал некоторые из более продвинутых операций CyberChef и то, как как их можно применить для разработки экстрактора конфигурации для многоступенчатого загрузчика вредоносного ПО.

Что это за расширенные операции?
- Регистры
- Регулярные выражения и группы захвата
- Управление потоком через форкинг и слияние
- Слияние
- Вычитание
- Расшифровка AES

В статье функционал CyberChef был рассмотрен на сэмпле с Malware Bazaar, так что все примеры довольно наглядны.

It's now possible to find the AWS Account ID for any S3 Bucket (private or public)

Обновлённый метод определения ID бакета AWS.
Эта техника частично использует подход Бена Бридтса, описанный в 2021 году.

Метод основан на применении пользовательской политики при вступлении в роль и определении разрешения данной политики IAM для запроса и использует в озможность использовать подстановочный знак к ключу s3:ResourceAccount позволяет находить идентификатор учетной записи постепенно.

Как это работает:
- Определяется регион нужного бакета
- В том же регионе разворачивается VPC и EC2
- Изменяем политику VPC Endpoint чтобы определить, начинается ли идентификатор учетной записи сегмента с "0"
- Делаем запрос, параллельно проверяя, что происходит в CloudTrail
- Повторяем до получения нужного результата

Результаты показывают, что метод может быть автоматизирован и может быть использован для поиска других ключей состояния ресурса, связанных с бакетом.

С одной стороны это не является серьезной проблемой, так как ID бакета не является приватной информацией, но всё же ID бакета не то, чем хотелось бы делиться.

Для желающих доступен скрипт, используемый в статье:
github.com/tracebit-com/find-s3-account

Conditional Love for AWS Metadata Enumeration

Ещё одна статья на тему получения ID бакетов, так же основывается на работе Бена Бридтса, но в данном случае не ограничились бакетами. Например, можно получить OwnerEmail, account ID и org ID.

Используемый в статье инструмент доступен на Github.
github.com/plerionhq/conditional-love/

My Personal Study Guide For Delving into Hacking and Cybersecurity

Учебный план здорового человека (а не Ахмед за 90 дней).

Автор разделил план на 4 уровня, но без конкретной привязки по времени. И этот план довольно хардкорен.

Начиная с Гарвардского CS50 (он крутой, советую посмотреть хотя бы старый в переводе Vert Dider) и "Хакинг: Исскуство эксплоита", до курсов от guyinatuxedo (nightmare) и множества CTF различной сложности.

Немного бесполезных фактов: EvilGophish теперь умеет в Smishing и QR-коды с интеграцией оных в фишинговые страницы.
Но есть нюанс. Это доступно только для спонсоров на Github.

Бесплатная версия EvilGophish всё ещё доступна на Github, но больше не поддерживается.

Остальные фреймворки покрылись пылью, но есть SniperPhish, который ещё как-то поддерживался (правда последняя версия вышла год назад).

Ссылки:
QR Code Phishing with EvilGophish
Introduction to Smishing: Understanding SMS Phishing Tactics

Немного исторических артефактов из мира RAT.

XENA - платформа создания и управления RAT на основе блокчейна и машинного обучения. В чём заключается использование блокчейна и ML не ясно, но в описании оно есть.

Уже вроде бы и как часть истории, хоть и подаёт признаки жизни.

Был заявлен вполне неплохой функционал:
- Кросс-платформенность
- Запуск shell-команд
- Получение сведений об операционной системе.
- Persistent в Linux. (требуется root)
- Дамп истории и поиска в Chromium. (linux)
- SSH brute-forcer.
- Поиск в duckduckgo (не совсем ясно, зачем)
- Ловит активную сессию на сайте Gettr (тоже не понятно, трампистов ловили наверное)
- Работа через P2P

Проект пару лет не развивается, так как команда переключилась на v2, перейдя с пяти языков на один Golang. Параллельно ещё и перейдя на itch.io. Так же уменьшилось количество поддерживаемых систем для агентов, остались Windows и Linux, а в v1 агенты работали на Windows, macOS, Linux и FreeBSD.
В принципе, это вполне рабочий инструмент. Хоть и странный, как по мне.

Репозиторий на Github: github.com/zarkones/XENA
Страница проекта на itch.io: zarkones.itch.io/xena

OffensiveNotion - использование Notion как С2 или шутка, вышедшая из под контроля и ставшая реальным проектом.

Авторы поняли что можно использовать API разработчика Notion для создания платформы C2 и написали кроссплатформенный агент на Rust. Он работает на Linux и Windows. Все C2-коммуникации проходят через API разработчика Notion.

Выглядит странно и не удобно, но вполне работоспособно. А так как оно использует API Notion, агент и трафик выглядят легитимно, что затрудняет детект.

Wiki проекта:
Github: OffensiveNotion/wiki
Статья одного из авторов о проекте:
Meduim: We Put A C2 In Your Notetaking App: OffensiveNotion

subfinder и sublist3r инструменты хорошие и быстрые, но могут давать немного разный результат. А так как вывод в одном формате, мы можем собрать всё в один список.

Ищем возможные поддомены:

subfinder -d domain.com -nc -o domain_subfinder.txt      
sublist3r -n -d domain.com -o domain_sublist3r.txt       

Собираем в один файл:

cat domain_subfinder.txt domain_sublis3r.txt | sort | uniq > domain_uniq.txt

А дальше уже на своё усмотрение. Можно поискать веб:

eyewitness -f domain_uniq.txt.txt --web
httpx -l domain_uniq.txt -sc

Или просто передать в nuclei или nmap.

Bluetooth vulnerability allows unauthorized user to record and play audio on Bluetooth speakers

На улице теплеет, а это значит, что на во дворах снова появятся адепты "чистого звука" с "фирменными JBL" с Aliexpress. Но так как китайские устройства с Bluetooth часто идут с нехитрым сопряжением (вроде Just Works),
то такие устройства зачастую уязвимы и позволяют несанкционированному пользователю записывать и воспроизводить звук на динамиках Bluetooth

Эта проблема безопасности была обнаружена и представлена ​​компанией Tarlogic на RootedCon 2024. Пару недель спустя они опубликовали PoC-инструмент под названием BlueSpy, который использует эту уязвимость.

Эта атака работает не на всех аудиоустройствах Bluetooth, поскольку некоторые из них, когда они уже подключены к другому устройству, не могут быть обнаружены, сопряжены или подключены. Это означает, что если мы не можем их видеть, мы не можем ими управлять.

В статье использовался Raspberry Pi 4 с управлением по ssh со смартфона, но в теории можно использовать более компактный сетап с Raspberry Pi Zero.

Ссылки:
Github: BlueSpy
Tarlogic Blog: BlueSpy – Spying on Bluetooth conversations

Breaking news: спустя долгих семь лет Drozer обновился сразу до версии 3.0.0 и доступен в виде wheel-пакета.

Это beta-релиз переработанной версии drozer и поддерживает python3.

В настоящее время существуют следующие известные проблемы:
- Создание кастомного функционала агентов приведет к сбою клиента drozer. Эта функциональность считается недоступной для бета-версии. (или я не так понял и перевёл)
- Невозможно запустить drozer на хосте Windows; либо VM, либо в Docker. Про WSL не известно.

Github: Drozer
WithSecure: Drozer

CloudIntel Attacks Monitoring Project - репозиторий c IoC и анализом вредоносных вредоносов, связанных с публичными облаками (ранее это был AWSAttacks, ориентированный только на AWS).

Данные обновляются каждые 24 часа и автоматически публикуются на Github. Есть API, но он находится в разработке и для доступа нужно запрашивать демо-доступ. Хоть и указано про сэмплы зловредов, но они есть только в виде ссылок на Virustotal (загрузка доступна только premium-пользователям).

Документация проекта: Cloudintel Wiki
Сайт/API: cloudintel.info

Подробней можно почитать в блоге автора.

Shellfeck - A BrainF*ck Inspired Shell Obfuscation Proof-of-Concept

Немного прекрасного и упоротого.

Shellfeck - PoC, который сочетает в себе модифицированный интерпретатор BrainFuck и обфускацию shell-команд. Набор инструкций используется тот же, что и в BrainFuck, за исключением того, что вместо того, чтобы получать входные данные, он вызывает system() с выведенными на данный момент данными и очищает их.

Вместо того чтобы иметь полезную нагрузку всего из 8 символов, которые можно распознать как символы BrainFuck и легко написать сигнатуры, он сопоставляет все возможные значения для 8 битов с одной из 8 команд BrainFuck. Сопоставление взвешивается в зависимости от того, насколько распространена конкретной команды в генерируемой полезной нагрузке (то есть, если команда + составляет 90 % генерируемой полезной нагрузки, то ~90 % из 256 байткодов будут сопоставлены команде +.

Использование:

- Запускаем

./generate_shellfeck_instructions.py --command <command>

Например, можем указать whoami.

./generate_shellfeck_instructions.py --command whoami

Примечание: По умолчанию используется случайный алгоритм. Рекомендуется указать --algo sstelian, если вы хотите получить компактную полезную нагрузку.

- Компилируем

gcc shellfeck.c

- Запускаем скомпилированный файл.