PurpleBear

23 December 2024 11:54

Давно у нас не было созвонов сообщества, все под конец года заняты... Огромное спасибо Вадиму за выделенное время 💜

Созвон сообщества в Zoom 26.12 в 19:00
Гость: Вадим Шелест (Wildberries) @purple_medved
Тема: Поговорим о наступательной кибербезопасноти, различных форматах тестирований на проникновение, затронем набирающую популярность тему APT Bugbounty. Обсудим концепцию создания внутреннего Red Team подразделения, ключевые различиях между внутренними и внешними командами, цели и задачи подразделения, состав, специализацию и навыки участников команды, методы и формат взаимодействия со смежными командами. Рассмотрим тенденции рынка, перспективы стартапов в отрасли наступательной кибербезопасноти и многое другое.

Приходите, будет интересно! максимальный репост поддерживается

Подключаться по ссылке
Событие добавлено в календарь мероприятий Ever Secure, добавляй к себе, что бы не пропустить 😉

📹EverSecure">YT | 📺RT | 📺ever_secure">VK | 💰Bty
👀@ever_secure

PurpleBear

16 December 2024 14:32

Я очень редко делаю репосты, но после доклада Паши на VK Security Confab были вопросы - как именно мы строили VM as Code😎 которые теперь можно задать автору напрямую в комментариях☝️
Как говорится ставьте лайк, подписывайтесь на канал и стройте свои IaC сканеры)

PurpleBear

16 December 2024 07:07

Этим летом на канале была заметка про PortSpoof - метод эффективного противодействия активной разведке и сканированию портов, который можно реализовать за 5 минут на iptables. Сегодня хочу познакомить вас с эволюцией этого метода, решением которое реализовано на Rust c использованием nftables и детально описанно в блоге Synacktiv.

Но для начала немного теории, nftables - это инструмент использующий netfilter, как основной компонет для взаимодействия с сетевым стеком ядра Linux, а именно возможностью управлять фильтрацией траффика и перенаправлением пакетов. Архитектурно это реализовано следующим образом, netfilter пропускает пакеты через цепочки (chains), которые являются упорядоченным списком правил (rules) для каждого семейства протоколов сгрупированного в виде таблиц (tables), а каждое правило может содержать критерии - определенное действие или переход. Когда пакет проходит через цепочку, netfilter по очереди проверяет, соответствует ли пакет всем критериям очередного правила, и если так, то выполняет действие (если критериев в правиле нет, то действие выполняется для всех пакетов, проходящих через правило).

Для реализации данного метода противодействия сканированию используются правила содержащие критерий Send a packet to userspace for further analysis, которое с помощью nfnetlink_queue позволяет отправить пакеты программе для автоматической блокировки IP-адреса источника, который стучится на закрытые порты нашего сервера более определенного количества раз.

Дочитав статью до конца вам станет понятно, что сам nftables умеет делать так самостоятельно, но лично мне как и автору понравилось небольшое погружение в Rust😎

Таким образом, предложенное решение отлично работает на практике и каждый день блокирует десятки адресов различных сканнеров моих внешних тачек.

PurpleBear

27 November 2024 12:03

Linux Persistence with LKM

Существуют десятки актуальных способов закрепления в Linux, а также инструментов автоматизации этой задачи, например один из последних - PANIX, это bash скрипт, который мы используем на киберучениях в рамках Purple Team.
Но в формате активного противодействия, редко есть возможности тащить на тачку разные скрипты, поэтому мы рассмотрим ручной способ на примере LKM (Loadable kernel module) руткита Diamorphine.

Diamorphine хорошо известный руткит с открытым исходным кодом, который активно используется злоумышленниками в дикой природе уже много лет, который можно загрузить различными способами. Наиболее распространенный - это просто положить в /etc/modules или использовать службу systemd-modules-load. Файлы конфигурации модулей systemd-modules-load ищет в следующих директориях: /etc/modules-load.d, /usr/lib/modules-load.d, /usr/local/lib/modules-load.d, /run/modules-load.d
🔴 Необходимо каким-то образом доставить Diamorphine или собрать из исходников на тачке, например в контейнере или еще как-нибудь, обычно зависит от уровня зрелости мониторинга и степени паранойи SOC на текущем проекте😁
🔴 Во время компиляции Diamorphine позволяет указать "magic string" - строку в начале наименования файла или директории, которую руткит автоматически скроет при загрузке, например apt1337
🔴 Копируем руткит и создаем список зависимостей modules.dep
cp diamorphine.ko /usr/lib/modules/$(uname -r)/kernel/drivers/block/apt1337-diamorphine.ko
depmod
🔴 Создаем файл конфигурации systemd-modules-load
echo apt1337-diamorphine >/usr/lib/modules-load.d/apt1337-not_evil.conf
🔴 Загружаем модуль вручную
modprobe apt1337-diamorphine

Таким образом, при каждой перезагрузке системы руткит в качестве модуля LKM будет загружаться автоматически😎 Безусловно техника базовая и довольно распространенная, поэтому нуждается в доработке относительно сокрытия. Как минимум рекомендую использовать Timestomping для файлов в /usr/lib/modules/* и использовать менее очевидный нейминг.
Но все равно это будет светиться в /proc/sys/kernel/tainted так как загруженный модуль не подписан, но это уже тема другой заметки😁

PurpleBear

26 November 2024 10:00

🎉 Результаты розыгрыша:

Победители:
1. Vsevolod (@B0D0B0P0T)
2. fiodrych (@fiodrych)
3. Andy (@fr35b1)
4. Depost (@GorgonzolaCTF)
5. Cyber (@cyberopus)

Проверить результаты

PurpleBear

18 November 2024 09:30

У моих хороших друзей из Deteact есть вакансия:

Penetration Tester, ООО «Непрерывные технологии» https://deteact.ru/

ЗП: 150-300т.р. (есть ежеквартальные премии в среднем 25% от зп)
Формат: удаленка
Чем предстоит заниматься:
•Участие в проектах по тестированию на проникновение, red-team.
•Разработка/адаптация специализированных инструментов, автоматизация процессов.
•Исследование современных средств и систем обеспечения ИБ, написание эксплойтов.
Чем НЕ предстоит заниматься:
•Участие в пресейловых встречах.
•Разработка отчетов.

Что необходимо для успешного выполнения задач:
•Понимание red-team killchain.
•Уверенное владение всем необходимым инструментарием, опыт его доработки, автоматизации задач.
•Понимание принципов работы основных СЗИ (WAF, IPS, IDS, EDR, NAC), способов их обхода.
•Опыт проведения фишинговых атак.
Будет преимуществом:
•Опыт участия во всех стадиях red-team активностей.
•Опыт в тестировании на территории заказчика (СКУД, BadUSB/ETH, WiFi, etc).
•Опыт публичных выступлений, написания статей.
•Наличие профессиональной сертификации (OSEP, OSCE, OSWE, etc).

Мы можем предложить:
•Работа удалённо, с гибким началом рабочего дня.
•Молодой и позитивный коллектив, быстрорастущая компания.
•Интересные и разноплановые задачи, способствующие профессиональному развитию.
•Время на исследования и публикации.
•Участие в конференциях и обучение.
•Отсутствие бюрократии, дресс-кода, дружную атмосферу.
•Компания аккредитована в Минцифры, поэтому доступны соответствующие плюшки.

Контакты для отправки резюме: @Varvara_hrbp

PurpleBear

29 October 2024 08:12

Red Teaming: In-house vs Outsource

Небольшой философский пост для утра вторника😁Что же эффективнее, собственная внутренняя команда или внешний консалтинг?

Для себя сформулировал несколько ключевых отличий:
🔴 Outsource
🎯 Цель: Заработать денег💰
✅ Готовая команда универсальных квалифицированных исполнителей;
✅ Ротация участников команды;
✅ Универсальная методология проведения работ;
✅ Ограничение времени проекта в соответствии с условиями договора.

🔴 In-house
🎯 Цель: Сделать компанию более защищенной😎
✅ Специализация каждого участника команды;
✅ Постоянный состав команды;
✅ Адаптированная методология проведения работ с учетом индивидуальных особенностей инфраструктуры и СЗИ;
✅ Более глубокое понимание используемых технологий и выстроенных процессов;
✅ Отсутствие ограничений по времени;
✅ Налаженный процесс взаимодействия с ключевыми заказчиками.

Крупные компании во всем мире используют комбинированный подход, создают внутренние подразделения и привлекают внешние команды для проведения тестирований в формате Red Teaming. А что вы думаете по этому поводу? Оставляйте свое мнение в комментариях🙏

PurpleBear

22 October 2024 10:07

Stixview

Сегодняшняя короткая заметка посвящена инструменту для визуализации CTI отчетов в STIX2. Мне очень нравится визуальное представление любой аналитки, так как во-первых контекст позволяет увидеть более полную картину, во-вторых это просто красиво😁

Stixview представляет собой библиотеку на JS, которая принимает данные в формате STIX2 (Structured Threat Information Expression), по сути это просто JSON и строит граф взаимосвязей между объектами. Демо инструмента доступно по ссылке

Таким образом, можно автоматически разнообразить скучную аналитику и добавить интерактивное повествование в CTI отчет😎

PurpleBear

14 October 2024 08:55

UoWPrint

ValdikSS - мой хороший друг, легендарный исследователь и талантливый разработчик популярных инструментов, которыми пользуются сотни тысяч людей, создал очередной крутой проект🔥

UoWPrint - это сервер печати и сканирования с поддержкой стандартов AirPrint и Mopria через Wi-Fi, на Orange Pi 3G-IoT-A. Устройство позволяет превратить любой старый USB-принтер в принтер/МФУ с поддержкой Wi-Fi и печатать и сканировать из любой операционной системы (Windows, macOS, Linux, iOS и Android) без необходимости установки драйверов.

У меня есть старый-добрый МФУ HP LaserJet M1123 и я помню сколько времени и страданий много лет назад потребовалось чтобы собрать для него драйвера под ARMv7 на 3-ей малинке и завести CUPS, чтобы можно было просто печатать, обычно очень задумчиво и медленно🙈

UoWPrint же идеально работает прямо из коробки, достаточно подключить принтер по USB, поднять точку доступа или подключится к домашней сети в режиме клиента с помощью веб-интерфейса (далее можно переключать режимы кнопокой на устройстве) и наслаждаться возможностью печатать и сканировать.

Стоит отметить, что это некоммерческий проект для поддержки разработчиков ПО с открытым исходным кодом🙏
Девайс за 2000 руб (~25$) это стоимось одноплатника Orange Pi 3G-IoT-A с акриловым корпусом и предустановленным софтом UoWPrint. Из этой суммы с каждого проданного устройства - 2$ отправляются основным разработчикам CUPS, 2$ - разработчикам SANE/AirSane, а еще 2$ используются для финансирования улучшения драйверов Canon CAPT (v2+).
А так же сюда включены обновления прошивки и патчи👍 Например, недавние баги в CUPS (CVE-2024-47175, CVE-2024-47076, CVE-2024-47176), которые были опубликованы 26.09.24, пофикшены в версии прошивки v1.15 от 04.10.24

PS: На данный момент все устройства проданы, следите за обновлениями на printserver.ink

PurpleBear

09 October 2024 10:25

LocaltoNet

В полку решений для построения туннелей из атакуемой инфраструктуры прибыло🙈
LocaltoNet - reverse proxy, легитимное назначение которого заключается в возможности прокинуть доступ к внутренним ресурсам в интернет. Но как и аналоги ngrok, localxpose, tuna, xTunnel и прочие активно используются злоумышленниками в дикой природе для туннелирования трафика. Поэтому крайне важно обеспечить возможности своевременного обнаружения использования подобных инструментов в вашей инфраструктуре.

🔴 Поддерживает HTTP/HTTPS c сертами Let's Encrypt, TCP/UDP
🔴 Мультиплатформенный (клиенты для Windows, Linux, MacOS, Android) + образ контейнера лежит на docker hub
🔴 Имеет документированное API и поддержку Webhooks
🔴 Умеет получать и отправлять SMS через телеграмм бота если установить их ПО на телефон🤯
🔴 Бесплатный для 1-го туннеля с ограничением 1GB Bandwidth или $2/мес за туннель без ограничений

🔵 Самый простейший способ детекта по логам DNS остлеживать обращения к localtonet[.]com, *.localtonet[.]com, *.localto[.]net. Но за $2/мес можно использовать собственное доменное имя, что сделает данный способ обнаружения не эффективным.
🔵 Отслеживать запуск ПО и аргументов в командной строке и в процессах по названиям бинарей. Но переименование бинарей и враперы + обфускация аргументов также сделает данный способ не эффективным.
🔵 Application whitelisting реализованный в том или ином виде справится лучше в качестве проактивной меры.
🔵 Наиболее эффективным по моему мнению, будет анализ паттернов взаимодействия при аутентификации агента на проксе и написание правил для обнаружения на сетевом уровне на основе этой аналитики.

Таким образом, несмотря на то, что эти рекомендации исключительно общего характера (потому что халк-ломать только умеет🤣) так как не учитывают индивидуальные особенности инфраструктуры и разнообразие защитных решений, все же могут послужить отправной точкой в разработке способов своевременного обнаружения. А использование подобных инструментов во время проведения Purple Teaming проверить насколько эффективны эти способы на практике😎

PurpleBear

27 September 2024 10:14

Hacking Kia: Remotely Controlling Cars With Just a License Plate

Для пятничного поста я выбрал такую тему😎 Вообще исследования в сфере безопасности Automotive крайне интересное и востребованное направление, так как любой современный автомобиль по сути представляет собой компьютер на колесах.

Легендарный Sam Curry с друзьями на этот раз отломали все модели автомобилей Kia с 2013 года🙈 Эксплуатация обнаруженной узявимости позволяет за 30 сек получить контроль над любым автомобилем зная только VIN код (открыть/закрыть, завести/заглушить, определить местоположение, использовать клаксон🪿)

Суть узявимости заключается в том, что аутентификация в API для управления автомобилем используется также для регистрации аккаунта нового счастливого обладателя у диллера. Таким образом атакующий может зарегать аккаунт диллера (просто по кнопке регистрации на сайте😱), по VIN коду получить "one-time grant" токен для регистрации аккаунта и с этим токеном уже ходить в API для управления тачкой🤯

Для наглядной демонстрации исследователи создали POC-приложение, функциональность которого позволяет получить VIN по номеру автомобиля через third-party API, далее получить данные владельца (почту/телефон), поменять владельца с токеном диллера на свои, поехать кататься на новенькой Kia😎

На данный момент уязвимость исправлена, владельцы автомобилей этого популярного бренда могут спать спокойно...по крайней мере до следующей баги😂

PurpleBear

17 September 2024 10:04

KazHackStan 2024: Итоги

Это было просто эпично❤️‍🔥 Каждый год мне кажется, что круче уже быть не может, но ребята из TSARKA каждый раз доказывают, что может🔥

❤️ В первую очередь хочется выразить слова благодарности организаторам конференции Олжасу Сатиеву и его прекрасной жене Енлик и всей команде TSARKA за эти потрясающие 5 дней. Улкен рахмет и низкий поклон!

❤️Также спасибо всем спикерам и участникам, очень приятно было встретиться со старыми друзьями и завести новых!
Олжас на закрытии мероприятия сказал слова, которые прямо передают атмосферу KHS, когда рядом друг с другом на соседних креслах могут сидеть заместитель министра и простой студент, руководитель крупной компании и начинающий специалист и их объединяет стремление к знаниям и общая цель сделать наш мир чуточку более безопасным местом🔥

❤️Потрясающей красоты горы и природа, дружеская атмосфера и легендарное казахстанское гостеприимство🔥
Такие эмоции невозможно передать словами, это необходимо пережить самому!

До встречи на KazHackStan 2025❤️

PurpleBear

03 September 2024 15:49

Мы в поиске стажера в мою команду😎

Red Team Intern, Wildberries
ЗП: 40 000 - 100 000 рублей net
Уровень: Intern
Формат: удаленка или гибрид

Мы приглашаем студентов и выпускников технических ВУЗов по направлению ИБ рассмотреть стажировку в отделе анализа защищенности - одном из интереснейших направлений информационной безопасности!

Чем предстоит заниматься:
• поиск и исследование актуальных уязвимостей в ПО
• внешние и внутренние тестирования на проникновение
• анализ защищенности мобильных и веб-приложений
• подготовка рекомендаций по повышению уровня защищенности инфраструктуры
• имитация целевых атак (Red Team)

Что для этого нужно:
• общее понимание модели OSI
• базовые навыки администрирования операционных систем семейства Linux
• знание актуальных уязвимостей и способов их устранения (OWASP Top 10, CWE TOP 25)
• понимание принципов работы веб-приложений
• понимание принципов работы сетевых протоколов
• опыт автоматизации задач на Python или Go

Будет плюсом:
• опыт участия в CTF соревнованиях
• опыт участия в программах Bug Bounty
• умение читать и анализировать исходный код на распространенных языках программирования (Python, Java, Golang, C++)
• опыт работы с инструментами Nmap, Sqlmap, dirbuster, WireShark, Burp Suite, Metasploit, ОС Kali Linux

Мы предлагаем:
• полугодовая оплачиваемая стажировка, которая даст возможность получить ценный опыт и практические навыки в области информационной безопасности
• опыт работы в команде, состоящей из экспертов, готовых делиться своими знаниями и навыками
• возможность после завершения стажировки присоединиться к нам в качестве полноценного участника команды безопасности
• пятидневная рабочая неделя с возможностью выбрать занятость - 20/30/40 часов
• оформление по самозанятости

Какие шаги нужно предпринять, чтобы попасть на стажировку:
• заполнить анкету: https://forms.gle/cwMqQ3LzRn8bNis56
• успешно выполнить тестовое задание, доказывающее понимание основных принципов безопасности
• пройти интервью с будущими ментором и руководителем и продемонстрировать свои знания и мотивацию

PurpleBear

28 August 2024 09:10

Кто стучится к вам в почту? Социальная инженерия 2024

Отличная статья от крутых исследователей Ярослава Бабина и Константина Полишина из Positive Technologies о различных актуальных вариантах доставки полезной нагрузки, которые используются в качестве векторов получения первоначального доступа на Red Team проектах и в дикой природе.

🔴 HTML Smuggling
Варианты кастомизации старого надежного способа доставки, который с учетом всех возможных комбинаций методов инициирования распаковки и загрузки пейлоадов не теряет актуальности уже более 6 лет.

🔴 SVG Smuggling
Техники анлогичные предыдущей, только с использованием SVG-изображений для внедрения вредоносного кода в HTML-страницу. Ребята подробно рассмотрели SVG Smuggling с CDATA, SVG as CSS, SVG Polyglot.

🔴 PDF Smuggling
JavaScript в PDF-файлах, который отрабатывает при открытии PDF-вложений в Adobe Acrobat, Foxit Reader, PDF Reader и пр PDF ридерах.

🔴 PDF Polyglot (MalDoc in PDF)
Техника заключается в создании документа, который может одновременно быть валидным PDF-файлом и документом другого формата, например DOCX. Идея заключается в том, что такой файл можно открыть как в PDF-ридерах, так и в Microsoft Word, при этом в зависимости от программы содержимое файла будет отличаться.

🔴 PDF/DOCX/PPTX/etc Luring
По сути приманка для того, чтобы стимулировать "непреодолимое желание" пользователя перейти по ссылке из документа.

🔴 VBA Macros (VBA Purging/Stomping)
Любимые всеми макросы, которые Microsoft считает уже "побежденными векторами", по-прежнему актуальны в определенных условиях😎

🔴 VelvetSweatshop
Пасхалка в Excel, которую помнят только олды🙈откопали злодеи и используют в дикой природе.

🔴 QR-коды, DLL Side-Loading и другое
Таким образом, в статье рассмотрены наиболее актуальные в 2024 году техники доставки полезной нагрузки, которые будут интересны атакующим и защитникам👍 Авторам - большой респект!

PurpleBear

07 August 2024 09:33

Apache Airflow SSTI to RCE (CVE-2024-39877)

Сегодня рассмотрим CVE-2024-39877 (оценка по CVSS=8.8), которая позволяет получить RCE через эксплуатацию SSTI в контексте компонента Scheduler Apache Airflow

Apache Airflow - это ПО на python для создания, выполнения, отслеживания и управления операциями по обработке данных, созданное в 2014 году в Airbnb, которое получило широкое распространение в различных компаниях по всему миру.

Суть уязвимости заключается в отсутствии санитизации при обработке параметра doc_md, который создает описание DAG (Directed Acyclic Graph) в веб-интерфейсе Apache Airflow. Если doc_md не имеет расширения .md Airflow создает темплейт из содержимого jinja2.Template(doc_md) что приводит к SSTI:

doc_md="""
{{ ''.__class__.__mro__[1].__subclasses__() }}
"""

Этот пейлоад позволяет получить список всех классов с помощью MRO (resolution order), далее докручиваем до command injection с помощью доступных опасных методов (popen, run, call, check_call и пр)

Для успешной эксплуатации необходимо иметь права на создание DAG'ов на сервере Apache Airflow, что не позволяет использовать багу для пробива, но в качестве способа нестандартного закрепления вполне рабочий метод😎

🪲 Уязвимые версии ПО: Apache Airflow 2.4.0 до версии 2.9.3
✅ Рекомендации: Патч уже доступен, необходимо обновиться до версии 2.9.3

PurpleBear

23 December 2024 08:25

Всем привет!
Летом у нас была подборка по self-hosted лабораторным окружениям, сегодня предлагаю вашему вниманию список различных ресурсов позволяющих совершенствовать навыки по различным доменам знаний атакующих и защитников в онлайн формате:

☑️ HackTheBox - https://www.hackthebox.com
☑️ Standoff365 - https://range.standoff365.com/
☑️ Try Hack Me - https://tryhackme.com
☑️ Defbox - https://defbox.io/
☑️ Attack-Defense - https://attackdefense.com
☑️ Alert to win - https://alf.nu/alert1
☑️ CryptoHack - https://cryptohack.org/
☑️ CMD Challenge - https://cmdchallenge.com
☑️ Cyberdefenders - https://cyberdefenders.org/blueteam-ctf-challenges/
☑️ Defend The Web - https://defendtheweb.net/
☑️ Exploitation Education - https://exploit.education
☑️ Google CTF - https://capturetheflag.withgoogle.com/
☑️ Hacker101 - https://ctf.hacker101.com
☑️ Hacking-Lab - https://hacking-lab.com/
☑️ ImmersiveLabs - https://immersivelabs.com
☑️ Infinity Learning CWL - https://cyberwarfare.live/infinity-learning/
☑️ LetsDefend- https://letsdefend.io/
☑️ NewbieContest - https://www.newbiecontest.org/
☑️ OverTheWire - http://overthewire.org
☑️ Pentesterlab - https://pentesterlab.com
☑️ PentestIT LAB - https://lab.pentestit.ru
☑️ PicoCTF - https://picoctf.com
☑️ PWNABLE - https://pwnable.kr/play.php
☑️ Root-Me - https://www.root-me.org
☑️ SANS Holiday hack - https://www.sans.org/mlp/holiday-hack-challenge-2024
☑️ SmashTheStack - https://www.smashthestack.org/main.html
☑️ The Cryptopals Crypto Challenges - https://cryptopals.com
☑️ Vulnhub - https://www.vulnhub.com
☑️ Vulnmachine - https://www.vulnmachines.com/
☑️ W3Challs - https://w3challs.com
☑️ Websploit - https://websploit.org/
☑️ Zenk-Security - https://www.zenk-security.com/

PurpleBear

16 December 2024 14:32

Теперь немного про суть доклада.

- запись
- презентация
- описание

В безопасности мы часто сталкиваемся с задачами, которые на первый взгляд кажутся сложными. Но многие из них можно решить просто (относительно), если подойти к ним с правильной стороны. Возможно, тут дело в том, что мы, как инженеры, часто уходим в оверинжиниринг, кто знает…

Я неоднократно сталкивался с проектами, которые приходилось переосмысливать и перезапускать по несколько раз. Почему так происходит?
Дело в том, что невозможно предвидеть все проблемы на старте:
• технические ограничения могут проявиться только в процессе реализации
• бизнес-модель может измениться
• (что-угодно, вставь свое)

Если у вас всегда получается сделать все с первого раза - научите :))

Но важно не переступить грань и не перейти в фазу постоянно перезапускающихся проектов, все-таки мы тут, чтобы делать дела.

По итогам доклада хочется выделить две мысли.

Гибкость мышления. В условиях переменчивого мира и ограниченных ресурсов нам критически важно сохранять открытость ума. Нельзя зацикливаться на одном решении, подходе, практиках. Очень важно:
1. уметь проводить аналогии между проблемами ИБ и общими задачами IT + это поможет увидеть, как можно адаптировать решения IT под решение задач ИБ
2. иметь широкий взгляд на вещи, позволяющий увидеть нестандартные решения

Парадокс простоты. Интересно, что первое «простое», как нам кажется, решение обычно оказывается совсем не простым. А найти простое решение сложной проблемы зачастую бывает очень даже непросто. Это требует:
• глубокого понимания сути проблемы
• креативного подхода к поиску решений
• готовности отбросить привычные шаблоны мышления
• высокого уровня общей эрудиции

Нам надо стремиться к простоте. Постепенно совершенствуя наши процессы и подходы, мы можем находить эти упрощения. Простота позволит нам эффективнее решать наши задачи, концентрируя усилия на новых вызовах.

Илон Макс делился примером эволюции двигателя Raptor. Лучше один раз увидеть, чем 10 раз читать.

PurpleBear

09 December 2024 16:02

VK Security Confab Max

11 декабря компания VK приглашает профессионалов в области информационной безопасности на конференцию VK Security Confab Max. Мероприятие объединит ведущих экспертов VK и крупнейших BigTech-компаний, чтобы поделиться практическими кейсами, внутренними разработками и лучшими практиками в сфере практической информационной безопасности.

Конференция разделена на два трека, чтобы каждый участник мог найти что-то интересное для себя: от защиты облачных технологий до обнаружения сложных уязвимостей. На повестке дня – актуальные вызовы, с которыми сталкиваются специалисты по информационной безопасности и проверенные решения, которые помогают их преодолеть.
Программа обоих треков уже опубликована на сайте.

На конференции выступит мой хороший друг и коллега Павел Пархомец @ciso_space с докладом "Через тернии к IaC: наша эволюция сканирования распределенной инфраструктуры", в котором расскажет об опыте создания оркестратора для сканеров уязвимостей в огромной инфраструктуре WB, какой путь мы прошли, с какими трудностями столкнулись и размышления о том, как мы учились на своих ошибках в процессе создания подобного решения.

Приходите, будет интересно! У кого не получится присутствовать лично, ссылка на онлайн трансляцию будет в @vk_security

🕓 Дата: 11 декабря 2024 г.
📍 Локация: Москва, офис VK, БЦ SkyLight, Ленинградский проспект, 39, стр. 79

PurpleBear

26 November 2024 10:16

Поздравляю счастливых обладателей проходок!🎉🎉🎉
В течение дня свяжусь со всеми победителями в ЛС.

PS: Всем хорошего вторника и удачной недели!

PurpleBear

23 November 2024 08:28

Мои друзья из Лаборатории Касперского проводят Offensive Meetup #3

На нем мы расскажем про создание APT Wildbears😎 А именно как медведи охотятся за дикими ягодами, как заставить SOC нервничать при упоминании киберучений и почему Red Team становится Enabling Team для различных подразделений компании.

Мероприятие приватное, записей не будет, вход только по персональным приглашениям.
Но у меня есть 5 проходок, которые мы разыграем. Условия простые, необходимо быть подписанным на канал и нажать кнопку Участвовать, а счастливых обладателей определит рандом 26.11 в 12:00

Митап пройдет 05.12 в 18:30
в одном из баров Москвы, точная локация будет указана в персональном приглашении.

Какие еще будут доклады? https://telegra.ph/Offensive-Meetup-11-21

Желаю всем хороших выходных!

PurpleBear

11 November 2024 11:11

Securing SSH with FIDO2

Небольшая заметка про прикладную задачу обеспечения дополнительного уровня контроля для доступа по SSH.

Существует различные способы реализации 2FA для доступа на сервер по SSH с помощью YubiKey:
✅ PIV (Personal Identity Verification) модуль
Суть заключается в том, что публичный и приватный ключ RSA/ ECC создается прямо на YubiKey, им подписывается сертификат для взаимодействия с SSH сервером через интерфейс PKCS #11 https://github.com/Yubico/yubico-piv-tool
ssh -o "PKCS11Provider /usr/local/lib/libykcs11.dylib" user@remote
Проверенный способ, который часто используется в компаниях, к недостаткам которого можно отнести необходимость использования дополнительного софта и ограничение на кол-во слотов на самом девайсе.

✅ OpenPGP
Тут я даже не буду пытаться объяснить как работает GnuPG, а просто передам привет моему преподавателю криптографии😂 В двух словах, это самый хардкорный способ с точки зрения реализации, к преимуществам которого можно отнести возможность импорта существующих ключей и возможность распечатать бэкап на бумаге😎 https://gist.github.com/artizirk/d09ce3570021b0f65469cb450bee5e29

✅ FIDO2
Самый удобный способ, который не требует дополнительного ПО, так как нужна только версия OpenSSH 8.2p1 и выше. В соответствии со стандартом FIDO2 ключи могут храниться на самом девайсе и отдельно:

Резидентские ключи
ssh-keygen -t ed25519-sk -O resident -O application=my_secure_ssh_host -O verify-required
В данном случае ключ вообще никогда не покидает девайс и единственный недостаток это ограничение на кол-во слотов (на моем YubiKey 5 - 25 слотов) а также для более старыx версий прошивки, где используется CTAP (Client to Authenticator Protocol) v2.0 - это отсутствие возможности удалить только один ключ, вместо этого удалятся все 25🙈

Нерезидентские ключи
ssh-keygen -t ed25519-sk
Когда SSH сервер хочет аутентифицировать клиента, он отправляет Credential ID, это зашифрованная AES128 строка, которую расшифровать может только YubiKey, использованный при генерации ключа. Сам процесс происходит за счёт использования мастер-ключа уникального для каждого девайса, поэтому нерезидентские ключи не расходуют слоты и таким образом их количество неограниченно.

PurpleBear

25 October 2024 09:51

Weakpass

Ресурс с огромной коллекцией словарей для брутфорса от моего бывшего коллеги Ивана Юшкевича, который используют в своей повседневной работе многие пентестеры по всему миру😎 теперь позволяет удобно искать значения по хешам (NTLM,MD5,SHA1,SHA256) в удобном и приятном веб-интерфейсе🔥

Все это доступно любому желающему абсолютно бесплатно, без ограничений на количество и надоедливых капчей. К тому же стоит отметить что поиск осуществляется исключительно client-side, ничего не отправляется на backend приложения.

У сервиса есть API для автоматизации и интеграции в собственные инструменты. А также ничего не мешает выгрузить все словари для создания внутренних инструментов для регулярных проверок на соответствие парольной политике вашей компании, чтобы больше никаких Companyname2024! или Winter2024! не использовались в качестве значений пароля для доменных учетных записей пользователей.

PurpleBear

15 October 2024 13:19

Кто и зачем ломает контейнеры? Разбираемся в пентесте K8s

C моими хорошими друзьями Алексеем Федулаевым @ever_secure и Сергеем Канибором @k8security порассуждали на тему тестирований на проникновение кубовой инфраструктуры в подкасте SafeCode Live

Сломали вебчик, а что дальше? Мы оказываемся в контейнере внутри K8s. Что злоумышленник может сделать дальше и может ли вообще что-либо сделать?

А также обсудили: 
✅ отличия пентеста контейнеров от пентеста веба и инфраструктуры; 
✅ компетенции специалиста, который этим занимается;
✅ уязвимости и способы защитить контейнеры;
✅ истории из практики и многое другое

Приятного просмотра!

Аудио версия подкаста доступна на платформах:
— Apple Podcasts 
— Яндекс Музыка
— ВКонтакте

PurpleBear

11 October 2024 16:12

На следующей неделе выступаю на конференции IT Security Day 2024 с темой "Будущее наступательной кибербезопасности: Строим свою внутреннюю Red Team команду."

В докладе речь пойдет о процессе создания in-house Red Team подразделения. Мы поговорим о ключевых различиях между внутренними и внешними командами Red Team, обсудим цели и задачи подразделения, состав, навыки и подбор участников команды, методы и формат взаимодействия со смежными командами. А также критерии оценки эффективности деятельности с точки зрения бизнеса и стратегию развития подразделения Red Team.

📆 17 октября, 13:50
📍 г. Москва, отель "Арткорт Москва Центр", зал "Гранд"

PurpleBear

02 October 2024 09:55

В своем докладе на прошедшем этой весной киберфестивале Positive Hack Days Fest 2 я рассказывал о том, почему важно обеспечивать комплексный подход к безопасности атакующей инфраструктуры. В том числе упоминал о серьезных узявимостях в различных С2 фреймворках с открытым исходным кодом.

В продолжении этой темы, мне на глаза попалась статья - Vulnerabilities in Open Source C2 Frameworks, в которой автор рассмотрел найденные баги для популярных и не очень С2 фреймворков:

🔴 Sliver
Когда-то давно был моим фаворитом, а теперь там нашли довольно прикольную багу CVE-2024-41111 - RCE on the teamserver by a low-privileged operator, по сути command injection в аргумент для msfvenom, который Sliver использует для генерации msf stagers.
🔴 Havoc
Набирающий популярность фреймворк на Go c 3 багами: CVE-2024-41570 - Unauthenticated SSRF, Authenticated Command Injection, Service API Authentication Bypass (детали в статье).
🔴 Ninja С2, фреймворк на основе ликнутых исходников иранской APT Muddywater, отметился RCE через Unauthenticated Arbitrary File Download via path traversal веб сервера инструмента.
🔴 SHAD0W
Unauthenticated RCE - еще одна интересная бага, эксплуатация которой заключается в том, что Situational awareness данные об архитектуре, домене, версии ОС передаваемые при отстуке beacon'a на сервер, используются в качестве параметра для компиляции модулей пост-эксплуатации.
🔴 Covenant, когда-то тоже был одним из моих фаворитов, подвержен Authenticated Command Injection и повышению привилегий до администратора через UI (детали в статье).

Таким образом, все рассмотренные С2 фреймворки, за исключением Mythic (о котором уже неоднократно писал ранее) подвержены серьезным узявимостям, которые ставят под угрозу безопасность атакующей инфраструктуры и как следствие обеспечивают потенциальным злоумышленникам доступ к данным и инфре тестируемой организации.

PurpleBear

19 September 2024 09:06

В Burp Suite Proffesional/Community v2024.7.6 появилась новая функциональность Burp Organizer.

Суть фичи заключается в ведении логов запросов в отдельной вкладке, к которым можно прикреплять заметки, статусы, сортировать по хронологии и любому другому значению таблицы, а также применять различные фильтры.

Прикопать интересный запрос в Organizer можно с помощью Сtl+o из вкладки Proxy/Repeater/etc, чтобы в любой момент к нему вернуться

Organizer сохраняет следующие значения, которые можно кастомизирвоать:

# - The request index number.
Time - The time the request was made.
Status - The workflow status that you have applied to the message, for example Done or Paused.
Tool - The Burp tool that the message was sent from, such as Burp Repeater or Burp Intruder. If the message is sent from Burp Logger or from an item that is already in Organizer, then the tool identified here is the tool that originally generated the HTTP request.
Method - The HTTP method.
Host - The server hostname.
Path - The URL file path.
Query - The URL query string.
Param count - The number of parameters in the request.
Status code - The HTTP status code of the response.
Length - The length of the response in bytes.
Notes - Any notes that you have made.

Таким образом, можно организовать хаос с десятками вкладок в Repeater в красивую таблицу, с которой удобно работать. Мне очень не хватало подобной функциональности, а как Вам новая фича? Поделитесь пожалуйста своим мнением в комментариях🙏

PurpleBear

09 September 2024 08:45

В этому году на конференции KazHackStan выступаю с темой: Red Team tales: Однажды на Red Team проекте…

В докладе расскажу про интересные кейсы с Red Team проектов в формате веселых и поучительных историй. Мы поговорим про различные векторы получения первоначального доступа, начиная с пробива веб приложений на внешнем периметре и целевого фишинга, заканчивая получением физического доступа в офис заказчика. А именно, о том к чему приводит популярность и как бывает весело когда тебя узнают в лицо в офисе тестируемой компании во время физического проникновения, курьезные моменты при взаимодействии с заказчиками при оценке импакта, что делать когда твой тиммейт сорвал голос накануне запланированого вишинга и многое другое.

📍Главная сцена
📆 13 сентября, 14:30-15:00
📍 Rixos Almaty

PurpleBear

02 September 2024 09:25

CVE-2024-43044: From file read to RCE in Jenkins

Опубликованы технические детали и эксплоит для уязвимости CVE-2024-43044 (оценка по CVSS=8.8) Path Traversal, приводящая к удаленному исполнению кода на серверах Jenkins.

Суть баги заключается в том, что подключенный агент может читать произвольные файлы с контроллера, с помощью эксплуатации классического Path Traversal в ClassLoaderProxy#fetchJar библиотеки Remoting/Hudson library, который отвечает за получение jar файлов с контроллера на агенты.

Получив возможность чтения файлов, можно проэксплуатировать CVE-2024-23897, с помощью которой атакующий может создать валидные "Remember me" cookie для аккаунта администратора, чтобы выполнять произвольный код через консоль Groovy (Jenkins Scripting Engine).

Опубликованный эксплоит имеет несколько режимов работы для Inbound (JNLP) или SSH способов подключения агентов к контроллеру и автоматически выгружает хэши паролей всех пользователей в формате John The Ripper😎
Такиим образом, отломав тачку с агентом, атакующий получает возможность развивать атаку на сервер Jenkins и другие подключенные тачки с агентами.

⚙️ POC: https://github.com/convisolabs/CVE-2024-43044-jenkins
🪲 Уязвимые версии ПО: Jenkins до версии Jenkins 2.471 и LTS 2.452.4, LTS 2.462.1
✅ Рекомендации: Патч уже доступен, необходимо обновиться до версии 32.471 и LTS 2.452.4, LTS 2.462.1

PurpleBear

26 August 2024 09:08

Всем привет!
После небольшого отпуска, я снова в строю с новыми силами, мыслями, идеями и регулярными постами🤩
В качестве философского поста для старта рабочей недели предлагаю поговорить ... об отпуске😂

Раньше, я сильно недооценивал необходимость регулярного отдыха (даже когда-то давно за 5 лет вообще ни разу не был в отпуске), считая что не устал и отдохну на пенсии😁 Но со временем и опытом пришло понимание, что отпуск это не про физическое восстановление ресурсов организма, а скорее ментальная перезагрузка, связанная со сменой деятельности, локации, режима дня, окружения и даже климата.

Это именно возможность на короткое время забыть о рутине, распорядке и повседневных обязанностях и переключить сознание на другой режим работы. Поэтому определил для себя несколько тезисов для хорошего отпуска, которыми хотелось бы поделиться:

⏰ Продолжительность отпуска не менее 14 дней, так как обычно человеку на адаптацию к новым условиям необходимо 5-7 дней, чтобы просто привыкнуть.
🧭 Смена локации позволяет органично изменить привычный распорядок, при этом совсем не обязательно лететь куда-то на край света за десятки тысяч километров.
🌴Активный и пассивный отдых, но тут наверное больше зависит от индивидуальных предпочтений, но для себя заметил, что долго тюленить на пляже не могу, когда вокруг так много других развлечений🤪
💰По возможности воздержаться от соблазна взять с собой комп, чтобы немного поработать🙈
💻 Минимум служебных коммуникаций, последние годы я вообще отключаю уведомления во всех мессенджерах и обычно доступен только по телефону.


PS: Поделитесь, пожалуйста, в комментариях, какие у вас критерии хорошего отпуска🙏
PPS: Пользуясь случаем, сорян всем чьи сообщения заигнорил, в связи с последним пунктом😂 обязательно отвечу в ближайщее время

PurpleBear

05 August 2024 08:59

В конце прошлой недели состоялась церемония вручения наград победителям премии Pentest Award by Awillix

Мероприятие прошло на высшем уровне, море позитивных эмоций, было очень приятно встретить старых друзей и завести новых!

Огромное спасибо ребятам из компании Awillix за организацию такого крутого ивента❤️
Благодаря вам наша отрасль растет и развивается, в пентест приходят новые люди вдохновленные подобными инициативами. Это очень круто, респект!🔥

Еще раз хотел поздравить всех победителей! 🎉
А также поблагодарить всех участников за крутые кейсы, которые было очень интересно читать и оценивать❤️‍🔥

До встречи на Pentest Award 2025🔥