Накопилось много историй про Red Team, и мы решили поделиться кейсами, про то, как проводятся такие проекты, в чем их особенность и кому они вообще нужны.
⠀
Читайте на Хабре — https://habr.com/ru/post/694064/

Познай свой Exchange сервер и OWA

Многие компании используют решение от Microsoft для организации отправки и получения писем, но мало кто знает, какие недостатки и уязвимости могут существовать в Exchange и OWA.

Общеизвестные уязвимости, некоторые из них:

▫️ ProxyLogon: позволяет злоумышленнику обойти аутентификацию и выдать себя за администратора.

▫️ ProxyShell: набор из трех уязвимостей, которые позволяют удаленное выполнение кода без аутентификации.

▫️ ProxyToken: позволяет злоумышленнику получить письма произвольных пользователей.

Многие их них — цепочки из нескольких уязвимостей, например, ProxyShell объединяет в себя CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.

Чтобы проверить, уязвим ли сервер к подобным багам, можно воспользоваться сканерами, например, Nuclei или готовыми скриптами от сообщества.

Некоторые версии имеют недостатки, которые могут помочь в организации бушующих атак.

Известные недостатки:

▫️Перечисление имени пользователя на основе времени (Timing-Based Username Enumeration): атака заключается в том, что OWA отвечает с задержкой, если при аутентификации указана существующая учетная запись, даже если пароль неверный. Таким образом, злоумышленник может определить email-адреса сотрудников для последующих атак.

▫️Password Spraying: атака, при которой фиксируется пароль, а логин перебирается. Применяется, чтобы обойти механизм блокировки учетной записи при неправильно введенном пароле более N-раз за промежуток времени.

Как быть?

→ Держим свое ПО в актуальном состоянии и применяем обновления безопасности.
→ Используем строгую парольную политику и двухфакторную аутентификацию.
→ Если география легитимных пользователей известная, блокируем остальных по Гео-признакам.
→ Использование CAPTCHA (сложно для OWA, но возможно).

Кстати, у кого-то был опыт использования https://www.messageware.com/epg/? Поделитесь своим мнением)

Запись моего доклада с #OFFZONE_2022

Разобрали SAST Semgrep, его интеграции в CI/CD и основы написания собственных правил сканирования.

Semgrep развивается и поддерживает уже более 25 языков программирования, позволяет сканировать код с data flow, IaC, выявлять секреты и недостатки конфигурации.

Инджой!

https://www.youtube.com/watch?v=MRSxQBTREec&list=PL0xCSYnG_iTt3mZRIpqq30bVIGezgAMIv&index=4

Аwillix теперь сертифицированный специалист по безопасности контейнеров (CCSE)!
Ну как, скорее опять Анастасия, наш ведущий специалист по безопасной разработке, прошла сертификацию.

Сертификация Certified Container Security Expert (CCSE) демонстрирует способность использовать инструменты, методы и тактики безопасности контейнеров для аудита, защиты и мониторинга контейнеров в производственных средах.

А так же:

- Глубинное понимание принципов работы Docker.
- Умение правильно конфигурировать Docker с точки зрения безопасности. Речь не только про ограничение ресурсов, конфигурирование сети, демона и тд, но ещё и про настройку SecComp, AppArmor.
- Конфигурирование хранилища docker образов в соответствии с требованиями безопасности.
- Снижение поверхности атаки на контейнеризованные приложение (атаки на образы, registry, контейнеры).
- Мониторинг инцидентов контейнеризованных приложений.

Еще один бонус в карму внедрения процессов, обеспечивающих безопасность на всех этапах разработки приложений. Помогаем создать DevSecOps, в том числе за счет правильно выстроенной работы с контейнеризованными приложениями 💪

Этот день наступил.
В нашей команде крутых специалистов появилось место для новых талантов. Все хотят именно наши пентесты и нужно усиливать состав.

Если ты или твой знакомый уже несколько лет занимается тестами на проникновение, но в душе горит жажда по-настоящему сложных проектов, желание отвечать всё новым и новым профессиональным вызовам, общаться с топовыми и известными в отрасли специалистами, постоянно учится у них новому и совершенствовать себя, стать лучшим, утвердиться в своем профессионализме и наконец зарабатывать дофига — то лучше места для этого, чем Awillix, в России ты вряд ли найдешь :)

Открытые вакансии можно посмотреть здесь.

Про Awillix:

Мы считаем себя одной из лучших offensive-компаний на рынке кибербезопасности в России. Из-за того, что говорят нам клиенты, из-за того что мы видим у коллег, из-за собственного внутреннего перфекционизма и требованиям к своей работе. Ну и в конце концов, это очевидно.

Мы выявляем сложные уязвимости, и связанные с ними риски, разрабатываем рекомендации для повышения уровня защищенности клиентам, чтобы помочь им выстроить защиту. Мы глубоко погружаемся в проблемы кибербезопасности организаций и логику работы сервисов, чтобы предложить оптимальные и современные решения.

У нас есть свой продукт для регулярного мониторинга уязвимостей, а еще мы разрабатываем собственный киберполигон. Также мы помогаем компаниям повышать уровень зрелости разработки за счет внедрения DevSecOps в организациях. Имеется статус ИТ-компании и Государственная аккредитация деятельности в области информационных технологий.

Наши клиенты — крупнейшие интернет-сервисы, финансовые корпорации, федеральный ритейл-сети, организации из промышленных и топливно-энергетических секторов. Наши сотрудники входят в сильнейшие команды по кибербезопасности в мире, регулярно побеждают на международных командных соревнованиях и индивидуальных турнирах.

Что Awillix дает сотрудникам:

— Единомышленники

Все члены команды — высококвалифицированные специалисты. Основатели сами являются топовыми пентестерами. Наша общая цель — растить компетенции и стать лучшими пентестерами в России. Нам интересно работать с теми, кто осознает свой выбор и понимает преимущества оффенсива. Даем возможность развивать навыки под руководством менторов, оплачиваем международное обучение и сертификацию, выделяем время для исследований, помогаем друг другу всегда.

— Свобода и результат

В нашей компании нет формальностей и строгих чек-листов для работы. Мы не заставляем зарываться в отчетах. Мы не следим за количеством отработанных часов в офисе и во сколько начинается твой рабочий день. Исповедуем открытое мышление, ценим мотивацию и личную инициативу.

— Профессиональный рост

У нас учатся новому и работают на интересных проектах. У сотрудников есть неограниченное пространство для карьерного роста — стать ведущим специалистом или руководителем направления.

+ я гарантирую личную профессиональную и эмоциональную поддержку :)

Буду благодарен за репост и фидбэк.
Вопросы можно задать в комментарии.
Отклики собирает @popsa_lizaa, смело пишите.

Вы с командой когда-нибудь сваливали из офиса на три дня, ради того, чтобы коллега мог сосредоточенно пройти испытание? Или обряд посвящения в продвинутые пентестеры длиной в 72 часа)

Можно поздравить нашего пентестера Игоря Ландырева с успешно пройденным курсом Offensive Security Experienced Penetration Tester (OSEP).

За трое суток Игорь спал 6, 4 и 2 часа: первые двое — выполняешь задание, последние остаются на отчетность. Все проходит под камерами. Перерывы можно делать, но в ущерб отведенному на тестирование время.

Если спросить, как прошло:

— Непонятно почему на машине для отладки, то что не детектилось и запускалось — не работало на целевом хосте, который атаковал и наоборот.

— Игорь выяснил, что лучше отдыхать, если понимаешь, что закончились идеи. Именно во время засыпания приходит прозрение и самые умные мысли.

— Выдохнуть и понять, что все хорошо, получилось когда насчитал 12 флагов, а времени оставалось еще 8 часов. Он смело пошел отдыхать, но потом несколько раз проверял, что все доказательства и все команды записаны верно :)

Итак, теперь еще один наш пентестер, доказал свою способность выявлять наиболее эффективные возможности для вторжений и выполнять сложные, организованные атаки контролируемым и целенаправленным образом (с).

OSEP подтверждает навыки:

→ Обходить средства защиты
→ Выполнять сложные атаки, избегая обнаружения
→ Компрометировать системы, настроенные с учетом безопасности
→ Оценивать системы и выполнять тесты на проникновение на более высоком уровне, чем OSCP

Сильно гордимся и поздравляем Игоря всей командой! 🙌

#бенчмарк_пентеста

Не забывайте

Журналисты прислали запрос: «Какие ошибки часто встречаются у начинающих пентестеров?» и если переадресовать его в наш чат, получится следующее…

1️⃣Пойти в первую попавшуюся компанию, которая тебя берет, чтобы «получить опыт».

На деле получится только стать замазкой для задач, которые специалисты не взяли по разным причинам. Ты просто будешь терять 20 (если студент) и 40 часов в неделю делая то, что не прибавит тебе опыта и не даст результатов. Нужно идти туда, куда НЕ берут, отшлифовывая спину, по мере собеседований. Неудачные собеседования подсвечивают тебе твои проблемы, а по дополнительным вопросам можно понять, чем занимается компания и в какую сторону еще можно посмотреть.

2️⃣ Узко развивать себя под какой-то конкретный профиль.

Поначалу лучше инвестировать в базовые знания равномерно по всем направлениям. В какой-то момент это начнет пересекаться, и разница станет несущественной. И вот тогда, уже можно будет выбирать или создавать какой-то свой узкий профиль.

3️⃣ Пренебрегать социализацией в пользу самообучения.

Базовые знания и опыт намного проще получить от других людей, чем упираться самому. Во-первых, это поможет быстрее понять космический эффект тех или иных специфик, во-вторых — перенять ход и образ мышления опытных специалистов. С точки зрения логичного и структурированного мышления, хаккинг это преодоление некоторой инерции повествования, вне зависимости от того, какой контекст: дерево исполнения, DOM, преобразование userinput в java class. Ход мышления тут часто важнее, чем фактическое знание/понимание эксплуатации конкретного примера.

4️⃣ Думать, что курсы/конференции/заметки индусов по bugbounty хоть как-то помогут получить актуальные навыки.

Конечно, в мире всегда найдется индус, который выполнит твою работу лучше тебя. Но нужно понимать, что действительно важные и актуальные вещи никто никогда не расскажет. Курсы — это просто систематизация знаний, которым исполнилось уже n! лет. Нужно настраивать себя на то, что настоящий скилл ты можешь получить только сам, путём ресерча и отсутствия сна. Из паблика в лучшем случае ты сможешь получить навыки 2-3 годичной давности. В самом лучшем случае путём кастомизации ты получишь что-то, что сможешь еще какое-то время использовать, но не более. Иными словами, само приплывает только говно, а за жемчугом надо нырять.

👉Напишите в комментариях номер ошибки, которая больше всего отзывается в душе, давайте соберем статистику!

Дорогие подписчики!
Поздравляем всех с наступающим Новым годом от всей команды Awillix)

Спасибо, что дарили нам своё внимание в течение всего года. Желаем вам справиться со всеми профессиональными вызовами в новом году, найти все критичные баги, блестяще отразить все атаки и преисполнится знаниями о безопасности :)

Пусть в Новом году у всех нас будет меньше форс-мажоров и больше позитива! 🥳🥂🍾

Этот пост спровоцировал развернутое интервью на тему: «Технохардкор» – это лучший формат обучения для пентестера.

Все об особенностях получения Offensive Security Experienced Penetration Tester от Offensive Security, и пользе от сертификации для специалиста по информационной безопасности.

Кому интересна тема, заглядывайте :)

Сегодня речь пойдет об этапе «Моделирование угроз в цикле SSDLC».

Моделирование угроз в рамках SSDLC — это метод анализа приложения с точки зрения дизайна/архитектуры для поиска уязвимостей и других недостатков без запуска самого сервиса.

Допустим приложение все еще находится на стадии проектирования, код ещё не написан, но мы уже сейчас можем выполнить моделирование угроз, как чаще всего и делают. Таким образом команда безопасности может подсветить возможные атаки еще до реализации ПО.

Далее по ссылке ☝️