[MIS]ter & [MIS]sis Team

2021-09-03 16:00:48 Заметки на полях: Немного образовательного контента

Сентябрь - время каких-то учебных начинаний, хочется узнать что-то новое, записаться на кучу курсов. Но на все времени не хватает.
Подготовили для вас небольшую подборку интересных и вдохновляющих видео с конференций!

1. TEC (The Experts Conference) Talks

Разговоры с экспертами про Azure и Office365. Познавательно

К сожалению, интересные видео доступны только по ссылке - поэтому делимся с вами отдельно ссылкой на каждое видео



- AD in the Cloud: Untangling the Security Implications of the Many Variations of Hybrid AD



- Seven Azure AD Premium Features Worth Paying For



- Hiding In the Cloud: How attackers can use application consent for sustained persistence



- Office 365 & Azure Active Directory Security



- M&A AD Consolidations and Migrations: Lessons Learned from MaineHealth

2. Black Hat Asia 2021

Видео с конференции собраны в одном плейлисте. Интересно будет послушать разным направлениям ИБ

https://www.youtube.com/playlist?list=PLH15HpR5qRsU7QyLAmtTPLvETPwMChsFY

3. BlackHat USA 2021

Плейлист с видео, который по всей видимости, еще будет дополняться. Но уже есть что посмотреть

https://www.youtube.com/playlist?list=PLH15HpR5qRsUM_MtDv3BKjCViY3L0zGDX

4. SANS New to Cyber Summit 2021

Немного необычная тема для конференции - поиск себя в отрасли ИБ. Эксперты рассказывают про навыки, которыми надо обладать, чтобы пойти в какую-то отрасль ИБ, что изучать, как заниматься. Международный взгляд, полезный именно для понимания и (возможно) какого-то вдохновения в профессиональной сфере.

https://www.youtube.com/playlist?list=PLtgaAEEmVe6AmhtkQA35LWWCag2hHlHqo

5. SANS DFIR Summit 2021

У SANS всегда очень крутые конференции. Интересные и полезные темы, доступные видео. Рекомендуем!

https://www.youtube.com/playlist?list=PLfouvuAjspTq0KqVVYNiZuWH1sx_bw3tm Открыть/Комментировать

2021-07-12 13:00:21 Заметки на полях: Пентестим Kubernetes

Лет 6 назад проект Kubernetes только начинал развиваться, а сегодня - его используют компании во всем мире. Kubernetes присутствует в сетях, наверное, всех крупных компании. Соответственно, возникает вопрос, а нужно ли проверять безопасность контейнеров приложения при пентесте или анализе этого приложения? И если надо, то, как это сделать?

Сегодня поделимся с вами информацией о том, на что нужно обратить внимание при анализе Kubernetes и получении первоначального доступа. По крайней мере тем, как видим это мы. И поделимся полезными (на наш взгляд) ссылками.

Итак, что нужно проверить в первую очередь:

1.Открытые порты. Если Kubernetes настроен правильно, то доступно извне очень ограниченное число портов. Но мы с вами знаем, что правильная настройка чего-либо встречается редко. К примеру, для удобства разработчиков, администраторов, очень часто оставляют доступный ssh порт с не очень надежным паролем. Поэтому всегда проверяем наличие открытых TCP портов для различных узлов: 22,443,2379,2380,4194,6443,6782-6784,6666,8080,8443,9099,10250-10252,30000-32767

2. Доступность API и немного профаззить каталоги. Цель - найти скрытые каталоги или файлы, а также точки в которых разрешен анонимный доступ. По умолчанию в Kubernetes API не разрешен анонимный доступ и очень сильная ролевая модель доступа, в которой по умолчанию запрещено все. Но опять же - проверить надо.

3. Доступ к etcd (обычно это порты 6666 и 2379). etcd - хранит информацию о конфигурации и секретах кластера. Доступ для записи в etcd - это, по сути, root-доступ к всему кластеру. На самом деле даже доступ на чтение - это риск повышения привилегий. Качественная настройка - доступ до etcd только с серверов API

4. Доступ к Kubelet. Kubelet - это такой посредник в общении каждого модуля кластера и API. И вот тут по умолчанию между API и Kubelet настроен анонимный доступ. Чтобы проверить доступна ли точка kubelet - нужно проверить доступ на порт 10250 и каталог pods. Если есть доступ к такой точке, то можно воспользоваться уже готовым инструментом для атаки - https://github.com/cyberark/kubeletctl

5. Доступ к панели управления Kubernetes. По сути, это веб-приложение, которое позволяет управлять кластером. До версии 1.8 в панели управления была учетная запись службы с полными привилегиями. В новых версиях открытая панель управления встречается редко, а кластеры с облачным управлением переводят все на централизованный интерфейс на своих порталах. Однако для старых версий проверка все еще актуальна

Эти пункты стоит проверить, чтобы понять - можете вы получить первоначальный доступ к Kubernetes или нет. Более глубокий анализ - это уже тема для более детальной статьи.

Если вам интересно что-то почитать на тему Kubernetes, его пентеста и безопасности - делимся несколькими ссылками:

https://cheatsheetseries.owasp.org/cheatsheets/Kubernetes_Security_Cheat_Sheet.html - подробный разбор того как безопасно развернуть, настроить и контролировать Kubernetes

https://www.microsoft.com/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat-matrix-for-kubernetes/ - матрица угроз Kubernetes от Microsoft, в стиле ATT&CK

https://github.com/magnologan/awesome-k8s-security - отличный ресурс, где собрано огромное количество ссылок и информации по Kubernets и его безопасности Открыть/Комментировать

2021-05-14 13:00:40 Заметки на полях: Microsoft Incident response playbook

Ежедневно атакам подвергаются сотни организаций. А у крупных организаций инциденты безопасности происходят каждый день. Большое количество инцидентов, в конечном итоге, очень плохо влияет на BlueTeam - глаз замыливается и какие-то действительно серьезные инциденты пропускаются.

Пропуск инцидентов еще усугубляется тем, что не у всех организаций (даже крупных) есть инструкция (или playbook) о том, как надо обрабатывать инциденты, на что обращать внимание, как расследовать. Нет каких-то чеклистов, чтобы быстро посмотреть, проверить, сохранить и потом (в случае необходимости) вернуться к инциденту.

У компании Microsoft есть небольшой гайд по тому как реагировать на самые распространенные типы атак.

Под самыми распространенными понимают всего 3 вида атак:

1) Фишинг
2) password spraying
3) Предоставление разрешения для приложения - предоставление разрешений приложению для доступа к каким-то данным пользователя или организации (например, была распространенная фишинговая атака, когда злоумышленник создавал свое приложение и оно просило доступ к авторизационным данным пользователя)

Конечно, playbook от Microsoft ориентирован больше на их продукты - Azure Sentinel, Azure AD.

Но схемы процесса для расследования и чеклисты - очень информативные и полезные - их можно использовать для построения процессов в своей компании.

Очень рекомендуем ознакомиться - https://docs.microsoft.com/en-us/security/compass/incident-response-playbooks и составить playbook для своей организации. Или хотя бы иметь представление, где можно посмотреть, если на данный момент не актуально Открыть/Комментировать

2021-04-16 13:00:56 ​​Заметки на полях: немного о внутренних процессах Windows

И для хорошего специалиста важно не только уметь запускать различные утилиты, но и понимать принцип их работы. А чтобы понять принцип работы утилиты - необходимо понимать процессы, на которые направлены эти утилиты.

Один из основных вопросов для понимания работы ОС Windows "Что происходит, когда пользователь вводит свой пароль при загрузке ОС Windows?"

Давайте разберемся.
Вариантов аутентификации пользователя несколько:
1. доменная аутентификация
2. локальная аутентификация

Рассмотрим вариант локальной аутентификации:

1. Пользователь вводит пароль. Или не только пароль. Пользователь может войти с помощью сертификата, смарт-карты или отпечатка пальца. Принцип похож. Поэтому для простоты будем разбирать на примере ввода пароля.
2. Пароль преобразуется в нужный вид для ОС и происходит RPC (Remote Procedure Call) вызов к LSA (Local Security Authority)
3. LSA обращается к DLL модулям, выполняющим проверки аутентификации. Для входа на локальный компьютер - это модуль MSV1_0.
4. Модуль MSV1_0 получает данные, которые ввел пользователь и отправляет запрос в SAM.
5. Полученные данные из SAM сравниваются с теми, которые поступили и если они совпадают - модуль говорит LSA, что пользователь вошел в систему

Доменная аутентификация с помощью Kerberos:

1. Пользователь вводит свой доменный пароль на доменный компьютер
2. Для того, чтобы пользователь мог зайти на компьютер, даже в случае недоступности контроллера домена - в LSA хранятся кэшированные данные пользователя
3. Таким образом MSV1_0 может проверить подлинность данных пользователя
4. Затем Kerberos отправляет запрос AS-REQ в Active Directory и получает TGT
5. Этот TGT кэшируется в памяти, но не сохраняется в SAM

Если вы хотите глубже разобраться в теме внутренних процессов при аутентификации в Windows - очень рекомендуем видео - https://syfuhs.net/ops108-windows-authentication-internals-in-a-hybrid-world - просто, понятно, интересно. Кстати, там рассматриваются и другие способы входа - через Windows Hello, FIDO и Azure AD Открыть/Комментировать

2021-03-31 13:00:43 Заметки на полях: пентест мобильных приложений

В современном мире мобильные приложения распространяются с бешеной скоростью. Создатели продуктов в первую очередь думают не о создании сайта, а о создании приложения, которое позволит быстрее зайти на рынок. А приложения, увы, не всегда пишутся качественно, а при этом обрабатывают большое количество чувствительной информации и являются слабым звеном в безопасности инфраструктуры Заказчика.

Поэтому при проведении аудита информационной безопасности - необходимо смотреть не только внешние ресурсы, но и мобильные приложения.

Сегодня хотим поделиться с вами полезными ссылками для проведения пентеста Android приложений

https://github.com/Ignitetechnologies/Android-Penetration-Testing - полезные статьи для начинающих, в которых по шагам описано, что нужно сделать для того, чтобы посмотреть Android приложение

https://github.com/jdonsec/AllThingsAndroid - шикарный репозиторий с различными статьями и видео по пентесту Android приложений

https://github.com/tanprathan/MobileApp-Pentest-Cheatsheet - хорошие подсказки по исследованию приложений не только под Android, но и под iOS. Не можем не поделиться - информация действительно полезная и хорошо структурированная Открыть/Комментировать

2021-03-12 12:00:36 Заметки на полях: PowerShell для пентестера. Часть 5

Сегодня рассказ немного необычный. Рассказываем про известный модуль - PSReadline.

Все команды, введенные в PowerShell хранятся открытым текстом в профиле пользователя по пути \AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt. Там можно встретить команды, которые выполнялись на компьютере пользователя и иногда даже какие-то пароли. Для RedTeam специалиста это может быть полезно.

Также хороший специалист подумает о том, что его PowerShell действия тоже логируются и с этим надо что-то сделать, чтобы не предоставить BlueTeam информацию в открытом виде. Вариантов не очень много - либо поменять пусть к файлу, в котором хранится история, либо использовать флаг - не записывать в историю.

Ссылочка на официальную документацию с флагами: https://docs.microsoft.com/en-us/powershell/module/psreadline/set-psreadlineoption?view=powershell-7.1&viewFallbackFrom=powershell-6

Если кому интересно почитать: https://www.windowsmanagementexperts.com/the-danger-of-default-settings-the-psreadline-module/the-danger-of-default-settings-the-psreadline-module.htm Открыть/Комментировать

2021-03-11 12:00:36 Заметки на полях: PowerShell для пентестера. Часть 4

Нельзя было упустить из виду один из самых популярных и полезных фреймворков, который используют многие пентестеры - Nishang (https://github.com/samratashok/nishang)

Фреймворк представляет собой набор скриптов и полезных нагрузок на PowerShell. Тут и добавить нечего на самом деле.

Да, все детектируется активно. Поэтому применять надо с умом. Но каждый, уважающий себя пентестер, должен знать о существовании данного набора скриптов Открыть/Комментировать

2021-03-10 12:00:24 Заметки на полях: PowerShell для пентестера. Часть 3

Сегодня поговорим про модуль DSInternals (https://github.com/MichaelGrafnetter/DSInternals)

Командлеты модуля позволяют работать с файлом ntds.dit в онлайн и оффлайн режиме. Чаще всего этот модуль используется системными администраторами для выявления пользователей, у которых пароль словарный, пустой или никогда не истекает.

Но для пентестера или RedTeam специалиста это тоже очень важно. Найти все учетные записи, у которых одинаковый несложный пароль или тех пользователей, у которых стоит Password Never Expires - совершенно реальные кейсы из жизни пентестера. Также модуль предоставляет возможно получить бэкапные ключи DPAPI.

Для тех, кому интересно почитать - https://www.dsinternals.com/en/ - блог про разные фишечки DSInternals Открыть/Комментировать

2021-03-09 12:00:25 Заметки на полях: PowerShell для пентестера. Часть 2

Еще один из интересных и полезных командлетов - Az.

Az - официальный модуль от Microsoft, позволяющий работать в Azure PowerShell с помощью PowerShell.

А как же этот модуль поможет для пентеста?

Когда-то мы писали пост (https://t.me/mis_team/149), в котором рассказывали, как можно использовать токен доступа Azure. Для всех манипуляций с токеном использовали командлет Az.

Также на основе Az работает платформа для исследования Azure - PowerZure (https://github.com/hausec/PowerZure)

Подробнее про PowerZure можно почитать тут - https://posts.specterops.io/attacking-azure-azure-ad-and-introducing-powerzure-ca70b330511a Открыть/Комментировать

2021-03-08 12:00:53 Заметки на полях: PowerShell для пентестера. Часть 1

Сегодня мы начинаем 5-дневный марафон, на котором расскажем про Microsoft PowerShell модули и коллекции PowerShell модулей, полезных для пентестера или RedTeam специалиста.

Короткие заметки с основной сутью модуля, где скачать и, возможно, интересные и полезные статьи.

Итак, первая, самая популярная коллекция PowerSploit (https://github.com/PowerShellMafia/PowerSploit).

PowerSploit - коллекция различных PowerShell модулей, которые могут быть полезны на разных этапах пентеста - от рекона до закрепления.

К сожалению, с августа 2020 года проект перестал поддерживаться (т.е. скрипты и документация больше не обновляются).

Хорошая статья про то как можно детектировать различные модули PowerShell из PowerSploit: https://neil-fox.github.io/PowerSploit-usage-&-detection/ Открыть/Комментировать