Признавайтесь! Кто любит фолзы? Правильно, никто :)

Поэтому делюсь с вами Living off the False Positive. Это автогенерируемая коллекция ложных срабатываний, взятых из некоторых наиболее популярных наборов правил. Информация классифицирована по методам ATT&CK, источнику правил и источнику данных. Записи включают детали связанных правил, а также их описание и логику обнаружения.

Цель состоит в том, чтобы предоставить эту информацию как красным, так и синим командам. Красные команды могут использовать эту информацию для маскировки, а синие - для оценки слабых мест в своей логике обнаружения. Интересно, что эта информация также может помочь при сортировке и расследовании предупреждений, позволяя выявить общие False Positive, связанные с определенными методами и источниками данных.

➡️ https://br0k3nlab.com/LoFP/

🌚 @poxek

Это пока анонс, как выйдет, обязательно выложу тут)

P.S. но обещаю, что будет смешно и интересно 😉

SQLMap Cheat Sheet
#sqli #cheatsheet

Очередная, но максимальная полная методчика по использованию sqlmap, включая tamper'sы. Советую всем сохранить на всякий случай)

💻 Github репозиторий

🌚 @poxek

Важное объявление!

Завтра вероятно эфир переноситься на другую дату. Я не успел выздороветь и не хочу вам портить качество стрима. Поэтому, если завтра, не очнусь резко здоровым, то перенесу на другую ближайшую свободную дату.

Не болейте! ❤️

POST based Reflected XSS = SelfXSS, but...

Сама по себе POST based Reflected XSS - хрень. Заставить пользователя ввести в какую-то формочку на сайте вашу полезную нагрузку, звучит как SelfXSS 😁
Но, но, но...

Однако есть несколько сценариев, в которых эти уязвимости вполне можно использовать. Reflected XSS в POST просто нужно соединить с другими уязвимостями. Есть три сценария, которые я хотел бы проиллюстрировать:

- Method Tampering
- Подделка межсайтовых запросов (CSRF)
- Spoofed JSON с CSRF

➡️ Это всё можно изучить в статье от TrustedSec: Цепочка уязвимостей для эксплуатации POST based Reflected XSS

А для любителей практики есть:

git clone https://github.com/hoodoer/postBasedXSS; cd postBasedXSS; pip install -r requirements.txt; python postXssServer.py; xdg-open http://localhost

🌚 @poxek

🖼️ Distroless Контейнеры или минимализм ради безопасности и эффективности

В эпоху, когда любой проект зависит от модулей (да-да, log4j тому яркий пример) концепция distroless контейнеров от Google выступает как маяк безопасности. Эти контейнеры, лишенные лишнего балласта в виде стандартных инструментов и библиотек операционных систем, представляют собой идеальное сочетание минимализма и функциональности. Но что делает их такими особенными и почему они становятся неотъемлемой частью современной разработки и кибербезопасности?

🤨 Что это такое

Distroless контейнеры — это как "рюкзаки" для вашего приложения, в которые вы кладете только самое необходимое для путешествия. Если обычный контейнер — это рюкзак, в который вы упаковали не только теплую куртку, но и кучу вещей "на всякий случай", которые в итоге только занимают место и утяжеляют ваш багаж, то distroless контейнер очень легкий и содержит только то, что действительно нужно вашему приложению для работы.

🤨 Как это работает

Ключ к созданию distroless контейнера лежит в использовании минимального базового образа, который включает в себя только необходимые библиотеки и зависимости для запуска конкретного приложения. Google предоставляет несколько таких базовых образов через свой проект google/distroless на 💻 GitHub, которые поддерживают языки программирования, такие как Java, Python (применяется в проекте), Go (применяется в проекте), Node.js и другие.

Спасибо @szybnev за рекомендацию

🤨 Что в них такого особенного

🔵 Углубленная Безопасность

Отсутствие shell и лишних утилит сокращает векторы атак, затрудняя эксплуатацию уязвимостей злоумышленниками.

🔵 Эффективность и Производительность

Минимализм distroless контейнеров ведет к уменьшению их размера, что обеспечивает более быструю доставку и развертывание приложений. Да, не такой уж и важный фактор в домашних условиях, но для микросервисной архитектуры это очень хороший способ уйти от 40-минутного развёртывания одного проекта 🥺.

🤨 За пределами очевидного

🔵 Статическая связь как искусство — Distroless контейнеры идеально подходят для статически слинкованных приложений, где все необходимые библиотеки включены непосредственно в исполняемый файл.

🔵 Упрощение CI/CD — Интеграция в процессы непрерывной интеграции и доставки становится более стройной и эффективной благодаря сокращению времени сборки и развертывания, что способствует более быстрому циклу разработки.

Разберём на примере 💻 Gitlab CI/CD и 💻 Kubernetes

FROM golang:1.21.4 AS build

WORKDIR /src
COPY . .
RUN CGO_ENABLED=0 go build -o /bin/app

FROM gcr.io/distroless/base-debian10
COPY --from=build /bin/app /

CMD ["/app"]

❕ Пример использования в gitlab-ci.yml

stages:
  - build
  - deploy

variables:
  # Указываем ваш registry
  DOCKER_IMAGE_NAME: $CI_REGISTRY

build:
  stage: build
  image: docker:19.03.12
  services:
    - docker:19.03.12-dind
  script:
    - docker login -u $CI_REGISTRY_USER -p $CI_REGISTRY_PASSWORD $CI_REGISTRY
    - docker build -t $DOCKER_IMAGE_NAME:$CI_COMMIT_SHA .
    - docker push $DOCKER_IMAGE_NAME:$CI_COMMIT_SHA

deploy:
  stage: deploy
  image: alpine:latest
  script:
    - apk add --no-cache kubectl
    - kubectl config set-cluster default --server=$KUBE_SERVER --certificate-authority=/etc/deploy/ca.pem
    - kubectl config set-credentials default --token=$KUBE_TOKEN
    - kubectl config set-context default --cluster=default --user=default
    - kubectl config use-context default
    # Указываем использование нашего Distroless контейнера
    - kubectl set image deployment/my-deployment my-container=$DOCKER_IMAGE_NAME:$CI_COMMIT_SHA --namespace=my-namespace
  only:
    - main

😜 Заключение

Distroless контейнеры от Google предлагают уникальный подход к развертыванию приложений, где безопасность и эффективность идут рука об руку с минимализмом и функциональностью. Эта технология открывает новые горизонты для разработчиков, стремящихся к созданию легковесных, безопасных и высокопроизводительных приложений.

#devsecops

🚨Хватит запрещать! Пора обучать!

Информационная безопасность перестает быть карающим контролером для сотрудников, а превращается в доверенного советника. Сегодня фокус сместился в сторону человека - такой подход называют People-Centric Security.

21 февраля 2024 года в 11:00 компания Cloud Networks проводит открытый вебинар «Инструменты и практики повышения уровня грамотности сотрудников в сфере ИБ», посвященный теме «человекоцентричной безопасности», на котором совместно с партнером Phishman расскажет о современных ИБ-практиках и платформе, которая обеспечивает системное обучение культуре информационной безопасности в компаниях среднего и крупного бизнеса.

Программа вебинара:

🌟Концепция People-Centric Security (PCS) и предпосылки ее возникновения
🌟Важность подхода PCS (People-Centric Security) для устойчивости бизнеса и безопасности современной компании
🌟 Статистика утечек в 2023 году
🌟Тенденции кибербезопасности 2023 года
🌟Подход системы Phishman
🌟Демонстрация решения Phishman

Для кого: мероприятие будет интересно руководителям ИБ-подразделений и сотрудникам, ответственным за безопасность, а также руководителям HR-отделов.

Участие бесплатное по предварительной регистрации

Техническим партнером вебинара является компания Axoft - центр экспертизы и дистрибуции цифровых технологий.

РЕКЛАМА. ООО "ОБЛАЧНЫЕ СЕТИ", ИНН 7709470400

💻Хакер к вам на хост проник? Обнаружим его WMIг!💻
https://telegra.ph/Detecting-wmiexec-Pro-10-28

Разбираем замечательную утилиту wmiexec-Pro, которая приходит на помощь, когда на целевом хосте закрыты SMB, WinRM и RDP. Утилита представляет собой усовершенствованную версию скрипта wmiexec.py из набора Impacket👩‍💻, даёт возможность уклонения от Windows Defender и предлагает модули по обходу AMSI, передаче файлов, удалённому включению RDP с конфигурацией брандмауэра и многое другое🛡

Красным командам советую взять на вооружение🛠

🔎 Но основной упор в статье сделан на детект инструмента как в сетевом трафике, так и в событиях журналов Windows и Sysmon 🔎
А все начиналось с whoami as a SYSTEM...

#пентест #блютим #DFIR

❤️ Полный разнос
#windows

FullBypass - инструмент, который обходит AMSI (AntiMalware Scan Interface) и PowerShell CLM (Constrained Language Mode) и предоставляет вам полноязычную обратную оболочку PowerShell.

🎚Т.к. проект на C#, то придётся притащить на атакуемую систему FullBypass.csproj. Далее нужно будет запустить с помощью msbuild.exe

C:\windows\Microsoft.NET\Framework64\v4.0.30319\msbuild.exe .\FullBypass.csproj

🛡 Как это работает:
1. Сначала код обходит AMSI, используя метод memory hijacking, и переписывает некоторые инструкции в функции AmsiScanBuffer. С помощью инструкции xor аргумент size будет равен 0, и AMSI не сможет обнаружить будущие скрипты и команды в powershell.
2. Вторым проходом код перепроверяет, успешно ли он перезаписал функцию AmsiScanBuffer.
3. Скрипт вернет 0, то бишь True и спросит вас IP и Port куда стучаться revshell'у
4. Ловим FullLanguage сессию у себя на машине.

🏃 Краткая справка чем отличается FullLanguage от ConstrainedLanguage:
FullLanguage session:
- Это сессия PowerShell, в которой разрешено использование всех функций и возможностей языка PowerShell.
- Пользователи и скрипты могут создавать, изменять и удалять объекты .NET, выполнять сложные скрипты, определять новые функции, классы и многое другое.
- Этот режим предоставляет полный доступ к PowerShell и его особенностям.

ConstrainedLanguage session:
- Это сессия PowerShell, ограниченная в использовании некоторых функций языка и возможностей для повышения безопасности системы.
- В ограниченном языковом режиме доступ к ряду средств программирования, таких как добавление новых типов, доступ к частным методам и т.д., становится ограниченным.
- ConstrainedLanguage предназначен для сокращения поверхности атаки и предотвращения выполнения потенциально нежелательных или вредоносных скриптов.
- Этот режим часто используется в сценариях, когда необходимо обеспечить высокий уровень безопасности, к примеру, на рабочих станциях, находящихся под контролем через AppLocker или Device Guard.


🌚 @poxek

🛡 Разбираемся с Шиндоус
#windows

👥 Коллеги админы каналов занимаются копанием в Windows системах, я тоже внесу свой вклад в данный процесс)

🔎 Многие слышали про DLL Injection, DLL Side Load. Но есть ещё множество других интересных техник по манипулированию процессами Windows. Нашёл репозиторий для вас, где объясняется принцип каждый техники и даже приводится практические примеры к некоторым техникам.

1️⃣BlockingDLL

2️⃣CloneProcess

3️⃣CommandLineSpoofing

4️⃣DarkLoadLibrary

5️⃣GhostlyHollowing

6️⃣Misc

7️⃣PhantomDllHollower

8️⃣PPIDSpoofing

9️⃣ProcessDoppelgaenging

0️⃣ProcessGhosting

1️⃣0️⃣ProcessHerpaderping

1️⃣1️⃣ProcessHollowing

1️⃣2️⃣ProcMemScan

1️⃣3️⃣ProtectedProcess

1️⃣4️⃣ReflectiveDLLInjection

1️⃣5️⃣sRDI

1️⃣6️⃣TransactedHollowing

1️⃣7️⃣WmiSpawn

⤵️ Также в репозитории вы найдете ссылки для дополнительного изучения этих техник

🔗 https://github.com/daem0nc0re/TangledWinExec

🌚 @poxek

Минцифры ещё принесла работы багхантерам)
Ещё и платят неплохо! 🪙

🔻Mama AMA Criminal - AMA эфир

⛈ Основная повестка встречи: Проект Похек, рефлексия про прошлое и будущее, ИБ-неИБ и т.д.

📆 Дата: 25 февраля (воскресенье [завтра]), 14:00

⏺ Запись встречи будет

🌚 @poxek