Параноидальная безопасность или необходимость? 😠

Если тебе надоело объяснять бизнесу, для чего нужен XDR, пуляй это видео 😶


Видео safebdv про сравнение EDR/XDR/SIEM/SOAR

00:00 Введение в XDR

• Видео обсуждает важность обнаружения и реагирования на хакерские атаки в современных условиях.
• Упоминается, что в 2023 году в России было совершено около 680 000 преступлений с использованием информационных технологий, ущерб от которых превысил 156 миллиардов рублей.

01:52 XDR и его преимущества

• XDR (Extended Detection and Response) - это инструмент, который автоматизирует работу существующей команды безопасности и помогает выявить больше техник и тактик хакеров, чем все другие продукты.
• XDR сокращает время обнаружения хакера, выявляет точки входа и помогает правильно среагировать на атаки.

02:14 Что нужно бизнесу

Как можно быстрее узнать, что у тебя в сети хакеры и как можно быстрее удалить их из сети.

03:02 Dwell time = MTTD + MTTR

После обнаружения хакера в сети требуется как можно быстрее разобраться где все точки входа и не упустить ни одной.

03:17 Устраняем причины скрытной работы хакера

Мы не видим хакера, потому что он работает от имени легитимного пользователя легитимными утилитами.

04:37 Киберучения позволяют разобраться в том как бороться с хакерами

04:49 EDR, NDR, XDR сокращают время обнаружения хакера

05:27 XDR это EDR, который получил информацию от сетевых сенсоров и достаточно мощное хранилище с быстрым доступом

• XDR может быть использован в различных ситуациях, включая атаки шифровальщиков, когда хакеры могут быть обнаружены и заблокированы.
• XDR также может быть полезен для обнаружения и реагирования на неизвестные угрозы, включая использование неизвестных уязвимостей.

06:00 Таблица сравнения задач SIEM, SOAR, TIP, XDR, EDR, NDR

06:20 Обоснуем необходимость XDR для бизнеса

• XDR может быть особенно полезен для компаний с большим количеством компьютеров и сотрудников, так как он помогает быстро обнаруживать и реагировать на угрозы.
• XDR также может помочь в обнаружении и блокировании неизвестных угроз, что особенно важно в условиях быстрого развития технологий и появления новых уязвимостей.

09:22 Могут найти неизвестные еще техники атак

• Продукты класса EDR (Endpoint Detection and Response) могут предотвратить использование уязвимостей и неизвестных угроз в операционных системах компании.
• EDR может обнаруживать и останавливать атаки, даже если они используют неизвестные техники.
• EDR также может автоматически получать информацию о найденных уязвимостях от других заказчиков.

10:20 Общая база атак от поставщика спасает все компании

• EDR может защитить машины с уязвимыми версиями операционных систем, которые не обновляются.
• EDR не загружает память и процессор рабочих станций, что делает его более выгодным для использования.
• EDR может выявлять и останавливать продвинутые атаки, не зная о них, и помогает выявить все точки входа хакера.

11:02 EDR, NDR, XDR автоматически простраивают цепочки атак

На графе видно как хакер зашел в сеть и как перемещался по ней до своего обнаружения одним их сенсоров.

12:33 EDR помогает централизованно находить файлы злоумышленника

Во время расследования вы можете искать любые объекты на хостах с EDR из единой системы управления.

13:06 Как проводится реагирование на атаки

13:26 Логично защиту начинать с сетевых сенсоров

На вебкамеры, принтеры и роутеры агенты EDR поставить не получится.

13:37 Выводы по EDR и XDR

14:32 Различие XDR и SIEM

• EDR и SIEM имеют разные подходы к обнаружению угроз.
• EDR фокусируется на быстром обнаружении и реагировании на угрозы, в то время как CM больше ориентирован на мониторинг и аудит.
• EDR предоставляет больше возможностей для автоматического реагирования на угрозы, в то время как SIEM чаще используется для оповещения о событиях и ручного реагирования.
• EDR и SIEM дополняют друг друга и могут использоваться вместе для обеспечения комплексной защиты IT-инфраструктуры.

16:01 В зрелой компании всегда будет XDR

🦔THF

Authentication Bypass to RCE in Versa Concerto

На прошедшем phd ребята из project discovery представили несколько своих зиродеев. Сам доклад можно глянуть тут. Одним из таргетов была Versa Concerto:

Versa Concerto is a widely used network security and SD-WAN orchestration platform

Их ресёрч вышел совсем недавно, и в нём разобраны отличные находки, которые собираються в красивую цепочку:

1. Auth bypass за счет TOCTOU
2. Примитив записи файла (однако файл быстро удалялся из-за отсутствия токена доступа)
3. Race condition to RCE - имея примитив из п.2, остаеться попасть в race window, загрузив ld.so.preload, ссылающуюся на hook.so, и саму вредоносную либу hook.so, которая будет подгружена.
4. Так как каждые 10 секунд внутри контейнера запускается curl, необходимо, чтобы в момент его запуска и ld.so.preload, и hook.so находились в системе. Как только все условия выполнены — RCE (пока в контейнере).

❗️Также упоминается уязвимость hop-by-hop headers, которая позволяет получить административный доступ и, например, выполнить п.3 и п.4 без необходимости попадания в race window.

5. Поскольку каталоги /usr/bin и /bin контейнера были примаунчены к одноимённым каталогам хостовой ОС, и на хосте по умолчанию работал cron, появилась возможность перезаписать бинарный файл и добиться его исполнения уже на хосте, что позволило получить RCE на хостовой машине.

Красиво!🔥

Ресерч: https://projectdiscovery.io/blog/versa-concerto-authentication-bypass-rce

#web #vulns

🔄💻 ADACLScanner v8.2

Инструмент для аудита разрешений в 💻 Active Directory, которые предоставлены через списки управления
доступом (ACL – Access Control List)

UPD

Added info for Windows 2022 and Windows 2025
Added Exchange Schema version 'Exchange Server 2019 CU10

Написан на 💻 PowerShell

SACL - список используемый для аудита доступа к данному объекту.
DACL - список указывающий права пользователей и групп на действия с данным объектом.

Разрешения, которые нам интересны 👍:

GenericAll - полные права на объект
GenericWrite - редактировать атрибуты объекта
WriteOwner - изменить владельца объекта
WriteDACL - редактировать ACE объекта
AllExtendedRights - расширенные права на объект
ForceChangePassword - сменить пароль объекта
Self - возможность добавить себя в группу

Работает в GUI или консольном режимах:

Invoke-WebRequest -Uri 'https://raw.githubusercontent.com/canix1/ADACLScanner/refs/heads/master/ADACLScan.ps1' -OutFile ADACLScan.ps1

.\ADACLScan.ps1

.\ADACLScan.ps1 -Base (Get-ADRootDSE).defaultNamingContext -Owner -Scope subtree -Filter '(objectClass=*)' | Where-Object {$_.Access -eq 'Owner'}

Экспорт в xls, csv, html
Большое количество возможностей

💻 Home
😉 Active Directory ACL investigation
😉 Take Control Over AD Permissions

#adaclscanner #powershell #redteam #soft

✈️ Whitehat Lab 💬 Chat