⭕️Red team: Journey from RCE to have total control of Cloud Infrastructure
۱. ابتدا محقق با کشف یک RCE در وب اپ به docker container دسترسی گرفته
۲. سپس متوجه شده که در محیط restrict قرار داره و فقط microdnf نصب هست
۳. محقق متوجه میشه که به subnet های دیگه درون شبکه از طریق container دسترسی داره و از این طریق ip یه gitlab instance رو پیدا میکنه
۴. و بعد متوجه میشه که این instance به CVE-2021-22205 آسیب پذیر هست
۵. بعدش از طریق این CVE به Gitlab و دیتابیس اون دسترسی میگیره و بعد از طریق دسترسی admin استفاده میکنه تا یدونه ریپازیتوری و CI/CD pipeline بسازه برای pivot به Gitlab worker instance
۶. و در Gitlab worker node تونسته تعداد زیادی secret و API KEY و ... و همچنین kubeconfig فایل رو پیدا کنه
برای جزيیات بیشتر مقاله زیر رو بخونید
https://mr-r3bot.github.io/red/team/2023/05/22/From-RCE-to-owning-entire-cloud-infrastructure.html
#RedTeam #RCE #Pivot #DevSecOps
@Engineer_Computer
۱. ابتدا محقق با کشف یک RCE در وب اپ به docker container دسترسی گرفته
۲. سپس متوجه شده که در محیط restrict قرار داره و فقط microdnf نصب هست
۳. محقق متوجه میشه که به subnet های دیگه درون شبکه از طریق container دسترسی داره و از این طریق ip یه gitlab instance رو پیدا میکنه
۴. و بعد متوجه میشه که این instance به CVE-2021-22205 آسیب پذیر هست
۵. بعدش از طریق این CVE به Gitlab و دیتابیس اون دسترسی میگیره و بعد از طریق دسترسی admin استفاده میکنه تا یدونه ریپازیتوری و CI/CD pipeline بسازه برای pivot به Gitlab worker instance
۶. و در Gitlab worker node تونسته تعداد زیادی secret و API KEY و ... و همچنین kubeconfig فایل رو پیدا کنه
برای جزيیات بیشتر مقاله زیر رو بخونید
https://mr-r3bot.github.io/red/team/2023/05/22/From-RCE-to-owning-entire-cloud-infrastructure.html
#RedTeam #RCE #Pivot #DevSecOps
@Engineer_Computer
Quang Vo
Red team: Journey from RCE to have total control of cloud infrastructure
Journey from gaining RCE in a container to Cluster Admin and have completely control of company’s cloud infrastructure
👍1
YARA
YARA is a tool aimed at (but not limited to) helping malware researchers to identify and classify malware samples.
🔗https://lnkd.in/dXm__xvA
🔗https://lnkd.in/dvZ5UbP9
-----------------------------------------
2. LOKI
LOKI is a free open-source IOC (Indicator of Compromise) scanner created/written by Florian Roth.
🔗https://lnkd.in/dvMEMKKu
🔗https://lnkd.in/duJNimDp
-----------------------------------------
3. THOR
THOR Lite is Florian's newest multi-platform IOC AND YARA scanner. There are precompiled versions for Windows, Linux, and macOS. A nice feature with THOR Lite is its scan throttling to limit exhausting CPU resources.
🔗https://lnkd.in/d9yHH_ae
-----------------------------------------
4. FENRIR
Fenrir is a simple IOC scanner bash script. It allows scanning Linux/Unix/OSX systems for the following Indicators of Compromise (IOCs): Hashes, File Names, Strings, C2 Server and Hot Time Frame
🔗https://lnkd.in/d2dPWiXK
-----------------------------------------
5. YAYA
YAYA is a new open-source too
@Engineer_Computer
YARA is a tool aimed at (but not limited to) helping malware researchers to identify and classify malware samples.
🔗https://lnkd.in/dXm__xvA
🔗https://lnkd.in/dvZ5UbP9
-----------------------------------------
2. LOKI
LOKI is a free open-source IOC (Indicator of Compromise) scanner created/written by Florian Roth.
🔗https://lnkd.in/dvMEMKKu
🔗https://lnkd.in/duJNimDp
-----------------------------------------
3. THOR
THOR Lite is Florian's newest multi-platform IOC AND YARA scanner. There are precompiled versions for Windows, Linux, and macOS. A nice feature with THOR Lite is its scan throttling to limit exhausting CPU resources.
🔗https://lnkd.in/d9yHH_ae
-----------------------------------------
4. FENRIR
Fenrir is a simple IOC scanner bash script. It allows scanning Linux/Unix/OSX systems for the following Indicators of Compromise (IOCs): Hashes, File Names, Strings, C2 Server and Hot Time Frame
🔗https://lnkd.in/d2dPWiXK
-----------------------------------------
5. YAYA
YAYA is a new open-source too
@Engineer_Computer
lnkd.in
LinkedIn
This link will take you to a page that’s not on LinkedIn
tools
Threat_Research
Crawlector - threat hunting framework designed for scanning websites for malicious objects
https://github.com/MFMokbel/Crawlector
@Engineer_Computer
Threat_Research
Crawlector - threat hunting framework designed for scanning websites for malicious objects
https://github.com/MFMokbel/Crawlector
@Engineer_Computer
GitHub
GitHub - MFMokbel/Crawlector: Crawlector is a threat hunting framework designed for scanning websites for malicious objects.
Crawlector is a threat hunting framework designed for scanning websites for malicious objects. - MFMokbel/Crawlector
Cloud Security
Say Goodbye to Bad Passwords: How Azure Active Directory Password Protection can save the day
https://improsec.com/tech-blog/say-goodbye-to-bad-passwords-how-azure-active-directory-password-protection-can-save-the-day
-Cyber Security awareness-
Up2date 4 Defence Today,
Secure Tomorrow
@CisoasaService
1402.03.06
@Engineer_Computer
Say Goodbye to Bad Passwords: How Azure Active Directory Password Protection can save the day
https://improsec.com/tech-blog/say-goodbye-to-bad-passwords-how-azure-active-directory-password-protection-can-save-the-day
-Cyber Security awareness-
Up2date 4 Defence Today,
Secure Tomorrow
@CisoasaService
1402.03.06
@Engineer_Computer
itm8.dk
Skal vi skabe nutidens og fremtidens IT sammen? itm8
Hvad er en itm8? Vi er præcis, hvad navnet siger: Din m8* (*mate), der er ekspert i IT. Vi er din partner til 360 graders IT.
exploit_engineering_linux_kernel (1).pdf
7.3 MB
Offensive security
Exploit Engineering - Attacking the Linux kernel", 2023
]-> https://github.com/nccgroup/libslub
@Engineer_Computer
Exploit Engineering - Attacking the Linux kernel", 2023
]-> https://github.com/nccgroup/libslub
@Engineer_Computer
👍2
SWaTEval.pdf
346 KB
Fuzzing
WebApp Security
SWaTEval: An Evaluation Framework for Stateful Web Application Testing 2023.
]-> Repo: https://github.com/SWaTEval
@Engineer_Computer
WebApp Security
SWaTEval: An Evaluation Framework for Stateful Web Application Testing 2023.
]-> Repo: https://github.com/SWaTEval
@Engineer_Computer
👍2
⚡ An Iranian threat actor targeted a government entity in the UAE, leveraging a "simple yet effective" backdoor called "PowerExchange" to breach their Microsoft Exchange Servers.
Learn more:
https://thehackernews.com/2023/05/new-powerexchange-backdoor-used-in.html
🔐 New security flaw exposed in Google Cloud Platform's Cloud SQL service. Learn how a multi-stage attack chain could have granted unauthorized access to internal data, secrets, and customer information.
Read:
https://thehackernews.com/2023/05/severe-flaw-in-google-clouds-cloud-sql.html
🚨 Urgent Alert: Hackers are exploiting a new zero-day vulnerability to breach Barracuda's Email Security Gateway appliances.
Learn more about the remote code injection flaw
👉 https://thehackernews.com/2023/05/barracuda-warns-of-zero-day-exploited.html
@Engineer_Computer
Learn more:
https://thehackernews.com/2023/05/new-powerexchange-backdoor-used-in.html
🔐 New security flaw exposed in Google Cloud Platform's Cloud SQL service. Learn how a multi-stage attack chain could have granted unauthorized access to internal data, secrets, and customer information.
Read:
https://thehackernews.com/2023/05/severe-flaw-in-google-clouds-cloud-sql.html
🚨 Urgent Alert: Hackers are exploiting a new zero-day vulnerability to breach Barracuda's Email Security Gateway appliances.
Learn more about the remote code injection flaw
👉 https://thehackernews.com/2023/05/barracuda-warns-of-zero-day-exploited.html
@Engineer_Computer
Fortify your cloud app development pipeline with Lee Atchison! Drawing from his 30+ years in the industry, Lee shares comprehensive strategies to mitigate the increasing security risks facing modern application development.
Download this eBook here:
https://uptycs.fyi/thn-la-2
@Engineer_Computer
Download this eBook here:
https://uptycs.fyi/thn-la-2
@Engineer_Computer
#TripleCross #eBPF #Rootkit #Linux
در بحث طراحی Rootkit تکنیک ها و مدل های مختلفی وجود دارد که میتواند موجب ماندگاری آن شود.
یکی از این روش ها استفاده از فناوری extended Berkeley Packet Filters است که از نسخه 3.18 هسته لینوکس اضافه شده است و اجازه میدهد تا اجرای کد در هسته سیستم عامل، بدون نیاز به Load ماژول در هسته انجام شود.
البته فناوری eBPF برای فیلترینگ Packet و نظارت بر شبکه طراحی شده است، اما بستر خیلی خوبی نیز برای اجرای کد میتواند باشد، چرا که منابع انحصاری هسته و امکان ردیابی فعالیت های سمت کاربر را میتواند انجام دهد.
برای مثال TripleCross یک Rootkit مبتنی بر eBPF است و قابلیت هایی مانند ماژول تزریق کتابخانه و اجرای کد در حافظه مجازی، اجرای کد در سطح هسته و به موجب آن ارتقاء سطح دسترسی برای یک Process سمت کاربر، امکان فعال سازی Backdoor در سطح root و غیره را دارد.
اما مهاجمین بواسطه Patch کردن بخشی از ساختمان های این فناوری بواسطه Rootkit های خود، موفق شدند از این فناوری بر علیه خود سیستم عامل استفاده کنند و از ویژگی های منحصر به فرد آن سو استفاده نمایند...
@Engineer_Computer
در بحث طراحی Rootkit تکنیک ها و مدل های مختلفی وجود دارد که میتواند موجب ماندگاری آن شود.
یکی از این روش ها استفاده از فناوری extended Berkeley Packet Filters است که از نسخه 3.18 هسته لینوکس اضافه شده است و اجازه میدهد تا اجرای کد در هسته سیستم عامل، بدون نیاز به Load ماژول در هسته انجام شود.
البته فناوری eBPF برای فیلترینگ Packet و نظارت بر شبکه طراحی شده است، اما بستر خیلی خوبی نیز برای اجرای کد میتواند باشد، چرا که منابع انحصاری هسته و امکان ردیابی فعالیت های سمت کاربر را میتواند انجام دهد.
برای مثال TripleCross یک Rootkit مبتنی بر eBPF است و قابلیت هایی مانند ماژول تزریق کتابخانه و اجرای کد در حافظه مجازی، اجرای کد در سطح هسته و به موجب آن ارتقاء سطح دسترسی برای یک Process سمت کاربر، امکان فعال سازی Backdoor در سطح root و غیره را دارد.
اما مهاجمین بواسطه Patch کردن بخشی از ساختمان های این فناوری بواسطه Rootkit های خود، موفق شدند از این فناوری بر علیه خود سیستم عامل استفاده کنند و از ویژگی های منحصر به فرد آن سو استفاده نمایند...
@Engineer_Computer
👍1
#اخبارفوری
پیرو اخبار واصله در خصوص نفوذ به شبکه نهاد ریاست جمهوری و سرقت گسترده اطلاعات، رفتیم بررسی کردیم تو سایت archive.org.
گویا حداقل deface که اتفاق افتاده.
یه کانال تلگرامی هم زده شده، یه سری اسناد توش منتشر شده، صحت اسناد رو کسی تا الان تایید یا تکذیب نکرده.
فقط چند تا سوال فنی دارم:
۱. الان کی قراره افتا رو ممیزی کنه؟
۲. مستند امن سازی سرویس های زیرساختی کشور رو پیاده سازی کردند؟
۳. لاگهاشون رو ۱ سال نگه داشتند که بتونند ریشه یابی کنند؟
۴. شواهد و ioc های حمله رو کی منتشر میکنه که بقیه نخورن؟
@Engineer_Computer
پیرو اخبار واصله در خصوص نفوذ به شبکه نهاد ریاست جمهوری و سرقت گسترده اطلاعات، رفتیم بررسی کردیم تو سایت archive.org.
گویا حداقل deface که اتفاق افتاده.
یه کانال تلگرامی هم زده شده، یه سری اسناد توش منتشر شده، صحت اسناد رو کسی تا الان تایید یا تکذیب نکرده.
فقط چند تا سوال فنی دارم:
۱. الان کی قراره افتا رو ممیزی کنه؟
۲. مستند امن سازی سرویس های زیرساختی کشور رو پیاده سازی کردند؟
۳. لاگهاشون رو ۱ سال نگه داشتند که بتونند ریشه یابی کنند؟
۴. شواهد و ioc های حمله رو کی منتشر میکنه که بقیه نخورن؟
@Engineer_Computer
#Cybersecurity #Roadmaps
نقشه راه امنیت سایبری در دو بخش امنیت تهاجمی و امنیت تدافعی معرفی شد.
از ویژگی های این نقشه راه، اشاره مستقیم به خود تاکتیک ها و تکنیک ها است که مبتنی بر آنها محصولات طراحی شده اند، همچنین دوره هایی که مبتنی بر محصولات امنیتی ارائه میشوند.
در نتیجه برای ترسیم دقیق بازه توانمندی هر محصول و یا ارائه خدمات علوم امنیت، میتوان به این نقشه راه متکی بوده و مبتنی بر آن پیش رفت.
این نقشه راه در شش بخش عنوان شده است که دوره های مورد طراحی تیم تحقیقاتی Unk9vvN ، مبتنی بر همین نقشه راه خواهد بود.
لازم به ذکر است که این نقشه راه هر ساله اصلاح خواهد شد و مباحثی اضافه و کم میشود، در نتیجه برای مطلع شدن از این تغییرات میتوانید همواره از لینک زیر آخرین تغییرات را مشاهده نماید.
https://unk9vvn.github.io/cybersecurity-roadmaps.html
@Engineer_Computer
نقشه راه امنیت سایبری در دو بخش امنیت تهاجمی و امنیت تدافعی معرفی شد.
از ویژگی های این نقشه راه، اشاره مستقیم به خود تاکتیک ها و تکنیک ها است که مبتنی بر آنها محصولات طراحی شده اند، همچنین دوره هایی که مبتنی بر محصولات امنیتی ارائه میشوند.
در نتیجه برای ترسیم دقیق بازه توانمندی هر محصول و یا ارائه خدمات علوم امنیت، میتوان به این نقشه راه متکی بوده و مبتنی بر آن پیش رفت.
این نقشه راه در شش بخش عنوان شده است که دوره های مورد طراحی تیم تحقیقاتی Unk9vvN ، مبتنی بر همین نقشه راه خواهد بود.
لازم به ذکر است که این نقشه راه هر ساله اصلاح خواهد شد و مباحثی اضافه و کم میشود، در نتیجه برای مطلع شدن از این تغییرات میتوانید همواره از لینک زیر آخرین تغییرات را مشاهده نماید.
https://unk9vvn.github.io/cybersecurity-roadmaps.html
@Engineer_Computer