SEQuest - социальный redteam фестиваля PHDays!

Мы это сделали! Первый конкурс по социальной инженерии в истории PHDays, да и любых конференций по кибербезопасности. Крутых технических конкурсов всегда было достаточно, как и в этом году — $natch. AI CTF, Web3 Hack, IDS Bypass и легендарная 2drunk2hack. Но раньше не было ни одного ИБ-шного конкурса, где бы не требовались бы технические навыки.

Есть такая штука — социотехническое тестирование, в котором большую роль играет социальная инженерия. Идея была в том, чтобы оценить "устойчивость" организации к попыткам не технологических, а социальных атак.

Почему мы называем это redteam? Потому что это и был классический redteam — противодействие нашим участникам со стороны организаторов фестиваля было полностью настоящим, а скрытность давала преимущества. А после сдачи каждого задания, сторону защиты оперативно информировали и дообучали.

Делать что-то впервые всегда особенно сложно. Например, мы пытались предугадать, сколько же будет участников? Думали 30-40 человек, оказалось более 200!
Думали, что хотя бы одно задание решит человек 10, на деле их было более 30. Одни задания мы считали более сложными, чем другие, но в реальности все было ровно наоборот.

В итоге, все задания были решены, но ни один участник не решил их все! Правила в ходе конкурса старались дополнять по-минимуму, бОльшую часть узких мест они закрывали и в первоначальной редакции, добавлялись лишь нюансы, хоть и важные. С верификацией решений тоже вышло все прозрачно, хоть и из-за количества участников у стенда регулярно набиралась очередь.

Обратная связь от участников и комьюнити получилась шикарная, конкурс и ожидаемо привлёк к себе внимание и получил восторженные отзывы. В целом можем сказать, что первый блин ну точно не комом, хотя нам совершенно точно есть куда расти и есть над чем работать.

От себя хотим сказать огромное спасибо организаторам фестиваля за терпение и поддержку, участникам за участие, волонтерам за помощь и всем причастным просто за то, что вы есть! А подробный разбор заданий, и способов успешного их решения участниками будет в отдельной статье!

Шифровальный блицкриг - захват сети за 2 дня

Американские исследователи из Mandiant (приобретена Google в 2022 году) выкатили очень серьезное исследование тенденций мирового рынка кибервымогателей. Само исследование по ссылке, а пока ключевые выводы:

- количество инцидентов растет, количество известных утечек очень существенно растет, появляется большое количество ранее неизвестных семейств криминального ПО

- в трети случаев, шифрование было запущено в течение 48 часов после получения атакующими первоначального доступа. То есть за 2 суток успевают разломать все и получить нужные права.

- В 76% случаев запуск шифровальщиков происходит во внерабочее время, самое “горячее” время, 3 часа ночи.

- бум шифровальщиков начался после 2019 года, количество утечек резко возросло в 2023 году.

- с 2022 года атакующие стали уделять гораздо больше внимания всем остальным ОС - Linux, VMware ESXi. Плюс Unix, MacOS и прочие - хоть Windows и все еще доминирует.

- 15% запусков шифровальщиков происходят в течение дня после начала атаки, еще треть - в течение 2 суток.

А теперь важно: далеко не факт, что на такие атаки SOC вообще полноценно отреагирует, а третья линия может просто не успеть подключиться. Про подобную тактику мы рассказывали тут. Грубо говоря, взлом происходит "с пятницы на воскресенье", пока основные линии SOC еще не включились в работу.

Но нашим ощущениям, запуск за сутки после получения первичного доступа - это скорее запуск шифрования “на удачу”, без поиска бекапов, и поиска наиболее критичных данных для компании. Ведь по ощущениям, и развить атаку до прав администратора дома, и саботировать бекапирование, и выделить самые критичные данные за одни сутки - крайне сложно.

Вывод: мы считаем, что проблема кибервымогателей становится все более массовой, а схема RaaS от разделения ролей приходит к максимизации "покрытия" числа жертв с упором на скорость атаки. Интересная тенденция - и, как мы и говорили, скоро МСП+ станут типичной целью.

Обнаруженная критическая уязвимость в VEEAM снова показывает, что возможно все.

Забавно, но один наш бывший друг, работая в VEEAM, утверждал, что подобное невозможно в принципе. И приводил три основных пункта:

1. У нас такое качество кода/разработки и ревью, что любые серьезные уязвимости никогда не пройдут.
2. Пентесты/внешние исследователи не нужны, у нас разрабы сами умеют проверять свой код!
3. Ты просто не сталкивался с высокой культурой работы с кодом, поэтому и думаешь, что тут что-то такое могут найти! В самом VEEAM проблем нет, только если проблемы с настройкой серверов, но они на стороне клиента, или нашего облака.

И вот оно как обернулось, уязвимость к тому же поражает своей простотой! Злоумышленник отправляет данные для входа, указывая,что проверять их нужно у него же! А сервис VEEAM это принимает за чистую монету и не проверяет, куда его отправили, возвращается к злоумышленнику же с вопросом "этого можно пускать?". Вот так можно выписать себе же доступ к системе.

Хочется спросить — ну и где были все эти опытнейшие разработчики с высочайшей культурой работы с кодом? А ситуация, на самом деле, очень простая: все ошибаются. Чем меньше степеней защиты, тем больше шансов, что критическая ошибка уйдет в релиз — это, в общем, правда жизни.

А нам вспоминается прикол с одного из мест работы одного из фаундеров 3side, когда очень опытный разраб, отвечая на вопрос о том, почему он заливает изменения сразу в прод, с лицом опытного сапера ответил: "меня учили не ошибаться". Место работы, кстати, считалось "системно значимым" — если вы понимаете, о чем мы. Такие дела.

"Так безопасно?" №12: Как войти в кибербезопасность? Часть 2.

В предыдущей части я рассказывал о том, как научиться тому, что поможет вам работать в сфере кибербезопасности. В этом посте мы обсудим нюансы и ограничения, которые накладывает эта область.

Кибербезопасность — это сфера, где особое внимание уделяется репутации специалистов. Фактически, это люди, которым доступны все секреты компании и максимальные права и привилегии в инфраструктуре. Такой высокий уровень доверия можно заслужить только при наличии безупречной репутации и биографии. Это касается всех, от инженера по безопасности в крупном банке до специалиста по анализу защищённости в компании-подрядчике.

Мы, Третья сторона, не исключение. Мы тщательно проверяем репутацию и биографию наших исполнителей, иногда даже более тщательно, чем в банках и компаниях, занимающихся информационной безопасностью. Это связано с тем, что потенциальный репутационный ущерб в нашем случае может быть особенно значительным. Ведь мы стартап, и цена ошибки на старте выше.

Что может помешать вам получить работу в сфере кибербезопасности? На какие “красные флаги” обращают внимание компании при рассмотрении кандидатов?

1. Судимости. Люди с судимостями считаются менее надёжными, чем остальные. Считается, что если человек однажды переступил закон, то он может сделать это снова, если представится удобный случай. С подозрением также относятся к административным правонарушениям, особенно если они связаны с политикой. Даже если компания не интересуется политическими взглядами своих сотрудников, подобные случаи могут указывать на импульсивность и несерьёзность.

2. Участие в киберпреступлениях, продажа баз данных и данных платёжных карт на форумах, объявления о криминальных услугах, хактивизм. Как и в первом пункте, хоть и без уголовного дела, это может свидетельствовать о возможном повторном нарушении закона, отсутствии моральных принципов, ненадёжности и несерьёзности. Сейчас не начало 2000-х, когда репутация «чёрной шляпы» считалась бонусом при приёме на работу. Сейчас единичный «чёрный» эпизод может навсегда закрыть вам путь на легальную сторону!

3. Зависимости: наркотики, включая лёгкие, азартные игры, злоупотребление алкоголем. Человек с зависимостями ненадёжен, особенно если его зависимости заметны. В таком случае он, вероятно, уже начинает терять контроль над своей жизнью, а это недопустимо для работы в нашей сфере.

4. Крупные долги и банкротство. Обычно это указывает на зависимости или проблемы с законом. Если такая ситуация уже в прошлом и произошла не из-за вышеперечисленных причин, стоит объяснить это на собеседовании.

Добавлю, что ситуация не так строга, как может показаться. Например, нарушения правил дорожного движения обычно не вызывают большого внимания, как и административные правонарушения, связанные с распитием алкоголя в публичных местах.

Прежде чем начать свой путь в кибербезопасности, важно понимать, что здесь легко потерять свою карьеру. Негативная информация на нашем небольшом рынке распространяется быстро. Что же делают специалисты в таких случаях?

Я лично не знаю таких случаев, но слышал, что некоторые специалисты переходят в IT, где требования к репутации и биографии не так строги. Они становятся разработчиками или системными администраторами.

В следующей части я расскажу вам о специализациях «атакующей» и «защищающей» сторон, управлении в области кибербезопасности и исследовательских направлениях!

#3side_так_безопасно

Отличный разбор решения заданий SEQuest от нашего финалиста!

Он сделал упор на осторожную и скрытную тактику, за что ему большое уважение от организаторов)

#PHDays Fest 2 По многочисленным просьбам (не шутка) выкладываю writeup, райтап, он же описание прохождение квеста SEQuest.

Спасибо парням из @By3side за организацию (и лично @Bam_hack). Будет круто, если #СИ станет постоянной дисциплиной на PHD.

https://telegra.ph/PHDays-Fest-2-Prohozhdenie-SEQuest-06-23

Любой человек уязвим

Этот тезис не преувеличение, и вот еще одно ему доказательство. Сотрудник прокуратуры, который в 2015 году рассказывал про то, как избежать мошенничества, продал свою Audi Q7 и перевел все свои накопления мошенникам. Они просто ему звонили от имени разных служб, перебирая таким образом сценарии. Самым успешным оказался звонок от "РосФинМониторинга".

Мы все ждем когда какого-либо известного коллегу из кибербезопасности разведут, чтоб закрепить мой тезис. Надеюсь журналисты и это не упустят и подсветят!

И любая система уязвима

Ransomware-группировка Lockbit, разгром инфраструктуры которой недавно устроило ФБР, не планирует распадаться.

Чуть более чем через 2 часа они опубликуют первую порцию из 33 терабайт данных, украденных из Федеральной резервной системы США (ФРС США). Это важнейшая банковская структура страны.

Если данные не окажутся фейком, то после такой «ответки» от киберкриминала ФБР явно не будет выглядеть победителями. Ждем начало следующего раунда противостояния!


UPD. Таймер достиг нуля, данные оказались не ФРС, а BaaS провайдера Evolve Bank & Trust. «Ответка» не удалась.

RegreSSHion - новая/старая уязвимость OpenSSH

Иногда уязвимости возвращаются, и это происходит не из-за ошибок в исправлении, а потому что программное обеспечение меняется. Из-за обновлений уязвимость может снова стать актуальной.

Эта уязвимость «спала» с 2006 года, когда ей присвоили идентификатор CVE-2006-5051. В октябре 2020 года она «проснулась» в версии OpenSSH 8.5p1 и получила новый идентификатор CVE-2024-6387 с той же оценкой «Критическая». Она позволяет удаленно выполнять код с правами root на любой Linux-системе, основанной на glibc, без необходимости использовать OpenBSD.

Использовать эту уязвимость будут очень скоро, так как её подробный анализ уже выложил Qualys, а число потенциально уязвимых серверов исчисляется десятками миллионов.

В интернете пишут, что уязвимы версии от 8.5p1 до 9.8p1, но ЭТО НЕ ТАК!

Были выпущены промежуточные обновления для старых, но всё ещё поддерживаемых версий Linux. Например, для Launchpad/Debian/Ubuntu это можно увидеть на скриншоте в новости или по ссылке. Версия 8.9p1 - безопасна.

Поэтому, обновляйтесь до безопасных версий!
Если это невозможно, закрывайте порт с помощью белого списка IP-адресов.

Но сделайте это как можно быстрее, потому что атаки могут начаться в любой момент.

Еще одна статья о противодействии мошенничеству

В этот раз давали комментарии профильному изданию по кибербезопасности SecurityMedia!

https://securitymedia.org/info/otvetit-nelzya-ignorirovat-opasnosti-telefonnogo-moshennichestva-i-kak-im-protivostoyat.html