🪲 Сказ о том, как пентестеры трафик скрывают

Автор: Алексей Романов, ведущий специалист по исследованию киберугроз

Наша команда проводит много red-team-проектов и, как следствие, постоянно имеет дело с различными системами мониторинга сетевого трафика. Вопрос «Как не спалиться?» в такой работе почти так же важен, как проникновение в инфраструктуру. Поэтому сегодня я хочу поговорить о маскировке сетевого трафика между С2-агентом и сервером — посмотрим на нетривиальные и даже забавные способы это сделать.

Сокрытие трафика важно, потому что одно неаккуратное действие пентестера внутри инфраструктуры может умножить на ноль все его усилия. Представим, что он потратил неделю и нашел в веб-приложении RCE-уязвимость. Дальше обошел WAF, но стоит загрузить на сервер C2-агент для удаленного доступа и контроля, как бьет тревогу EDR. Команда SOC вносит IP- и MAC-адреса пентестера в черный список, сообщает команде разработки об уязвимости в их ПО. И все: неделя рабочего времени red team ушла в никуда, по сути, проект провален. В отчете будет написано что-то позорное вроде «я пробрался внутрь, меня обнаружили».

➡️ Читать далее

🌚 @poxek

🐭 #события #offense

Бэкдор в утилите xz (CVE-2024-3094) – одна из самых громких новостей последних дней в сфере безопасности;

➖ CVSS: 😀
➖ Версии: 5.6.0 / 5.6.1

➡️Очевидно, что нужно откатываться к менее неприятным версиям, и на этом нам, как пользователям, можно было бы остановиться, но мне хочется разобраться в сути проблемы и в очередной раз обсудить тему человеческого фактора;

🧩 Everything I know about the xz backdoor ⚡️

🧩 Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 [CISA]

🧩 Frequently Asked Questions About CVE-2024-3094, A Backdoor in XZ Utils [Tenable]



❓) Что произошло?

  [💻]  Деобфусцированный код:   injected.txt
[✉️] Полное письмо с разбором:
‟backdoor in upstream xz/liblzma leading to ssh server compromise”

Andres Freund, разработчик из Microsoft, сообщил в рассылке oss-security об обнаружении бэкдора в утилите xz, который приводит к компрометации сервера SSH;

Специалист заметил:
🪲 Ошибки valgrind*
🪲 Увеличенное время логина по SSH
🪲 Увеличенное потребление CPU при логине по SSH
💻 А после – что тарболл xz, поставляемый через upstream репозиторий, содержал строку build-to-host.m4#L63, которой не было ни в upstream'ном build-to-host, ни на GitHub;

*К слову, ошибки valgrind были вызваны таким лэйаутом стека, который бэкдор не предусматривал, причём этот недочёт попытались исправить в версии xz 5.6.1;

Оказалось, что происходит инъекция обфусцированного скрипта, который извлёк другой специалист, Florian Weimer, и его исполнение по окончании конфигурации (при некоторых условиях**);

Деобфусцирвав код, выяснилось, что он:

➖Перехватывает выполнение
➖Заменяет crc32_resolve() / crc64_resolve(), которые резолвятся при запуске sshd, на другой код, вызывающий _get_cpuid()
➖Производит проверки среды окружения
➖Парсит таблицы символов в память (основная причина замедления)
➖Устанавливает хук в динамический линковщик, ожидая резолва RSA_public_decrypt@...plt и заменяя его значение для указания на другой код бэкдора
➖Вызывает вредоносный код при логине по SSH с помощью ключа + продолжает нормальную аутентификацию

**Замеченные условия эксплуатации:
0️⃣ x86-64 linux
1️⃣ Сборка с помощью gcc + gnu linker
2️⃣ [SSH] Не установлена переменная окружения TERM
3️⃣ [SSH] LD_BIND_NOT != 1
4️⃣ [SSH] argv[0] = /usr/sbin/sshd
5️⃣ [SSH] Не установлены LD_DEBUG, LD_PROFILE
6️⃣ [SSH] Установлен LANG
7️⃣ [SSH] Детектируются некоторые дебаггеры (gdb, rr, ...)



❓) Как так вышло?

[2022] Путь ко внедрению бэкдора начался приблизительно 2 года назад, когда основного разработчика, Lasse Collin, стали обвинять в медленном прогрессе. Пользователь Jigar Kumar настаивал на том, что xz нужен новый мейнтейнер, чтобы развиваться, и требовал смерджить патчи некого Jia Tan, который на добровольной основе контрибьютил в проект;

[2022] Lasse Collin признался незнакомцу, что находится в трудном положении: ментальные проблемы, нехватка рук и ресурсов не дают ему и, следовательно, проекту двигаться вперёд с требуемой скоростью, но, раз Jia Tan вносит вклад, то он, возможно, получит более значимую роль в проекте;

  [✉️]  Полный ответ Lasse Collin для Jigar Kumar:
‟Re: [xz-devel] XZ for Java”

[2023] Jia Tan становится основным контактом вместо Lasse Collin в oss-fuzz – фаззере open source проектов от Google. Он коммитит инфраструктуру, которая будет использована в эскплойте в 2024 году. Автором числится некий Hans Jansen, который, судя по всему, был создан сугубо для этого коммита. Jia Tan создаёт пулл реквест в oss-fuzz, настаивая на отключении некоторых проверок, обуславливая это необходимостью xz в поддержке ifunc;

[2024] Jia Tan изменяет ссылку на проект в oss-fuzz с tukaani.org/xz на xz.tukaani.org/xz-utils и коммитит последние штрихи для бэкдора;


Эта история – причина вспомнить и подумать о насущном:
▪️о ментальном здоровье
▪️об ответственности
▪️о прочих злободневных проблемах, особо острых для open source контрибуции (нехватка рук, ресурсов, мотивации, ...)

➡️Stay safe.

   @HaHacking  🐇

Как проходят ваши выходные?)
Отдыхаете?
Багхантите? Bugs Zone... 🌚
Гуляете?
Снова Работаете?

Пишите в комментариях, наведём суету в чате 😆

Вайбик на ночь, перед началом понедельника 🐱

Поиск неизвестных уязвимостей с помощью фаззинга Nuclei v3.2
#nuclei #projectdiscovery #fuzzing

🛠 Недавно была добавлена поддержка многих новых функций. Если пересказать кратко, то:
- Поддержка аутентификации
- Расширенная поддержка фаззинга
- Поддержка импорта HTTP-запросов (Burp, JSONL, MultiDoc YAML или генерация с помощью API схем OpenAPI, Swagger)
Пример: nuclei -l bugbounty-proxify.yaml -im yaml -t fuzz/
- Поддержка LDAP
- И пачка bugfix'ов

В этом же посте мы разберём 2 и 3 пункты.

Пример запроса:

POST /reset-password?token=x0x0x0&source=app HTTP/1.1
Host: 127.0.0.1:8082
User-Agent: Go-http-client/1.1
Cookie: PHPSESSID=1234567890
Content-Length: 23
Content-Type: application/json
Accept-Encoding: gzip
Connection: close

{"password":"12345678"}

Практически каждое поле мы можем фаззить (query, path, header, cookie, body).

У нас есть некоторые правила, по которым мы можем это делать:
prefix - Добавить полезную нагрузку в качестве префикса к значению
postfix - Добавить полезную нагрузку в качестве постфикса к значению
replace - Заменить значение на полезную нагрузку
infix - Добавить полезную нагрузку в качестве инфикса к значению (инфикс - это нагрузка, вставленная по середине значения)
replace-regex - Заменить значение на нагрузку с помощью regex

Возьмем за основу простую SQL инъекцию:

http:
    ...
    payloads:
      injection:          # В этом разделе перечисляем полезные нагрузки
        - "'"
        ...
    fuzzing:
      - part: query       # Указываем какую часть запроса менять: query, path, header, cookie, body
        type: postfix     # Указываем одно из правил: prefix, postfix, replace, infix,replace-regex
        mode: single      # Указываем режим мутации: single, multiple
        fuzz:
          - '{{injection}}' # Переменная нагрузки 

Если же мы импортируем запросы из BurpSuite к примеру, то нам не обойтись без фильтрации входящих запросов.
Для примера выберем тип DSL, но также существуют другие типы фильтров.

DSL - продвинутая фильтрация, с помощью, которой мы можем проверять длину запроса, статус код, хедеры, body и даже raw данные

Возьмем для примера простую проверку на то, что body не пустой и метод POST, condition: and значит, что оба условия должны быть TRUE

  - filters:
      - type: dsl
        dsl:
          - method == POST
          - len(body) > 0
        condition: and

В итоге мы можем собрать Франкенштейна:

http:
    # в начале мы отсеиваем запросы по перечисленным параметрам
  - filters:
      - type: dsl
        dsl:
          - method == POST
          - len(body) > 0
        condition: and
    # тут указываем полезные нагрузки
    payloads:
      injection:
        - "'"
        - "\""
        - ";"
    # fuzzing rules
    fuzzing:
      - part: body  # Говорим нукле тыкать body
        type: postfix # Добавляем нагрузку в конце значения
        mode: single  # Говорим добавлять нагрузку только 1 раз
        fuzz:
          - '{{injection}}' # Вызываем полезные нагрузки из переменной

Данный функционал будет полезен не только пентестерам, но и DevSecOps'у. К примеру первые могут импортировать в nuclei запросы из burp suite и их фаззить. А вторые могут импортировать API схемы и также фаззить.

➡️ Оригинал статьи


👍 Дополнительный материал:
- Дока по fuzzing'у
- Дока с примерами фаззинг шаблонов
- Дока по фильтрам
- Дока по экстракторам

p.s. надеюсь на вашу поддержку, я постарался над написанием этого поста ❤️

🌚 @poxek

Целуй ту руку, что тебя кормит
#projectdiscovery #nuclei #automation

Решил для себя и для вас написать ультимативный скрипт, который будет устанавливать все нужные инструменты от PD и оперативно подготавливать машину к пентесту.

Создать файл: nano setup.sh

#!/bin/bash

echo "██████╗  ██████╗ ██╗  ██╗███████╗██╗  ██╗"
echo "██╔══██╗██╔═══██╗╚██╗██╔╝██╔════╝██║ ██╔╝"
echo "██████╔╝██║   ██║ ╚███╔╝ █████╗  █████╔╝ "
echo "██╔═══╝ ██║   ██║ ██╔██╗ ██╔══╝  ██╔═██╗ "
echo "██║     ╚██████╔╝██╔╝ ██╗███████╗██║  ██╗"
echo "╚═╝      ╚═════╝ ╚═╝  ╚═╝╚══════╝╚═╝  ╚═╝"
echo
echo "Created by Zybnev Sergey | https://news.1rj.ru/str/poxek"
echo 

echo "Install prerequirements..."
sudo apt-get update &> /dev/null
sudo apt-get install -y git curl wget &> /dev/null

if ! command -v go &> /dev/null; then
    echo "Go is not installed. Installing..."

    wget https://golang.org/dl/go1.22.1.linux-amd64.tar.gz

    sudo tar -C /usr/local -xzf go*.linux-amd64.tar.gz

    rm go*.linux-amd64.tar.gz

    echo -e '\n\n\nexport PATH=$PATH:/usr/local/go/bin\nexport PATH="$PATH:$HOME/go/bin"' >> ~/.zshrc

    source ~/.zshrc

    echo -e "Go has been installed successfully: $(go version)\nStarting install..."
else
    echo "Starting install..."
fi

echo "Install deps..."
sudo apt-get install -y libpcap-dev &> /dev/null

echo "Installing tools..."
go install github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest
go install github.com/projectdiscovery/subfinder/v2/cmd/subfinder@latest
go install github.com/projectdiscovery/katana/cmd/katana@latest
go install github.com/projectdiscovery/httpx/cmd/httpx@latest
go install github.com/projectdiscovery/naabu/v2/cmd/naabu@latest
go install github.com/projectdiscovery/interactsh/cmd/interactsh-client@latest
go install github.com/projectdiscovery/dnsx/cmd/dnsx@latest
go install github.com/projectdiscovery/shuffledns/cmd/shuffledns@latest
go install github.com/projectdiscovery/notify/cmd/notify@latest

echo "Install nuclei templates"
cd ~
git clone https://github.com/projectdiscovery/nuclei-templates
git clone https://github.com/projectdiscovery/fuzzing-templates

echo "Add cron jobs for updating fuzzing & nuclei templates"
## Define the cron job command to check for
update_nuclei_templates="0 */12 * * * cd ~/nuclei-templates && git pull"
update_fuzzing_templates="0 */12 * * * cd ~/fuzzing-templates && git pull"

## Check if the cron job1 exists in the crontab
if crontab -l | grep -qF "$update_nuclei_templates"; then
    echo "The cron job1 exists in the crontab."
else
    echo -e "$update_nuclei_templates\n$update_fuzzing_templates" | crontab -
fi

clear
echo "Thx for using noscript! tg@poxek"

Запуск:
chmod u+x setup.sh; ./setup.sh

Но если более короткий способ:

curl https://raw.githubusercontent.com/szybnev/setup/main/setup.sh | bash

Надеюсь этот скрипт будет использоваться в будущем. Я уж точно буду им пользоваться)

🛠 Github

Если у вас есть идеи, какие инструментами все пользуются и их стоит добавить, то оставляйте issues!

🐈 Бонус:
Скрипт для смены цветовой палитры терминала. Тут выбрать палитру. Скрипт выведет список палитр и по номеру(ам) установит выбранную схему(ы):

bash -c  "$(wget -qO- https://git.io/vQgMr)"

Я себе поставил Google Dark - 83

🌚 @poxek

Атакуем баржи контейнеры 🖼️
#docker #red_team #escape

За последние пару лет Docker стал очень популярным, как в разработке, так и у пентестеров. Поэтому с каждым годов всё больше компаний переносят инфру на него и кубер. Поэтому нашёл для вас неплохую статью про атаки на докер, которая даст вам как минимум минимальное понимание как атаковать контейнеры, когда вы с ними встретитесь)

➡️ Далее

🌚 @poxek