Кстати, про Offzone 🙂

Обещали опубликовать в канале последнюю версию презентации с доклада про маневры ExCobalt — публикуем 🤝

В ней — про фишинг, эксплуатацию CVE-2023-38831 и CVE-2023-3519, а также другие векторы атак и инструменты группировки, обнаруженные специалистами PT ESC, о которых в докладе рассказали Владислав Лунин и Александр Бадаев.

Приятного изучения и happy hunting!

#ti #ir #hunt #detect #cve #malware #exCobalt #APT
@ptescalator

Проксирование WebSocket nginx — обнаружение полезной нагрузки 👀

Проверка конфигураций различных служб иногда помогает найти неизвестное вредоносное ПО, которое не распознается антивирусами и другими защитными средствами.

❗️ Например, в одном случае мы нашли следы присутствия злоумышленников в системе, изучив конфигурацию веб-сервера nginx.

В конфигурационном файле /etc/nginx/webserver/server.conf.d/payload.conf целевого сервера нас насторожили определенные строки.

location /ws/b3a4d3a2 {
  proxy_http_version 1.1;
  proxy_set_header Upgrade $http_upgrade;
  proxy_set_header Connection "upgrade";
  proxy_set_header Host               $host;
  proxy_set_header X-Forwarded-For    $remote_addr;
  access_log    off;
  log_not_found off;
  proxy_pass http://unix:/var/run/shm/evil.sock;
}

В этих строках используется механизм переподключения протоколов. Начиная с версии 1.3.13 в nginx реализован режим работы, позволяющий организовать туннель между клиентом и проксируемым сервером, — WebSocket proxying.

Проксирование WebSocket активируется при получении в запросе от клиента заголовка Upgrade.

Особенностью работы этого режима является наличие следующих строк в конфигурационном файле:

 proxy_set_header Upgrade $http_upgrade;
 proxy_set_header Connection "upgrade";
 proxy_pass http://unix:/var/run/shm/evil.sock;

Строки proxy_set_header служат для явной передачи веб-сервером nginx заголовка Upgrade проксируемому серверу. Их наличие в файле конфигурации обусловлено тем, что этот заголовок относится к категории заголовков hop-by-hop, которые не пересылаются прокси-серверами.

Строка proxy_pass содержит путь к файлу сокета в целевой системе — /var/run/shm/evil.sock.

Для получения информации о процессе, использующем указанный сокет, мы воспользовались командой lsof:

lsof | grep /var/run/shm/evil.sock

И нашли процесс c PID 18653:

payload      18653              root    4u     unix 0xffff74146a3b3743       0t0   25637138 /var/run/shm/evil.sock

Далее мы нашли исполняемый файл процесса:

lsof -p 18653 | grep cwd

Файл лежал в /usr/bin/, и он оказался бэкдором.

💡 Что мы теперь можем:

• ловить WebSocket в трафике;
• смотреть активности в системах рядом со временем деплоя бэкдора (дата создания бэкдора или модификации конфига nginx);
• проверять другие веб-серверы в инфраструктуре на предмет «расширения функциональности» ваших сервисов.

#tip #detect #hunt #dfir
@ptescalator

Страсти опенсорса: мафия, стилеры и багхантинг проектов «Яндекса» 🐱

За последние две недели в Python Package Index произошло много занятного. Мы вооружились вердиктами модели машинного обучения сервиса PT PyAnalysis, дабы рассказать вам об интересных сработках.

Багхантеры против «Яндекса»

Еще в январе 2023 года человек с ником yandex.bughunter зарегистрировал пять пакетов с разными вариантами текста:

import subprocess
import os
import requests

#I am  bughunter
#t.a.neo@yandex.ru
print('it works!')
requests.get("https://76c4[REDACTED]f5d3.m.pipedream.net/example-package-taxi-etl")

import requests
#I am  bughunter
#t.a.neo@yandex.ru
print('If you read this message and you are from Yandex write me t.a.neo@yandex.ru')
requests.get("https://76c4[REDACTED]f5d3.m.pipedream.net/dmp_suite")

Описание пакетов одинаковое: I created this package for security testing. I am bughunter from Yandex.

Но странно, что в метаданных PyPI-проекта автор представляется как Thomas Anderson <t.a.neo@yandex.ru>, то есть использует личную почту, а не корпоративные @team.yandex.ru / @yandex-team.ru ❕

Не говоря уже о том, что Thomas Anderson — это тот самый мистер Андерсон из «Матрицы»...

Этот человек имитирует supply-chain-атаку, регистрируя в глобальном репозитории пакет с таким же именем, как у пакета, существующего во внутреннем репозитории определенной группы разработчиков (в данном случае — команды «Яндекса»).

Установка пакета из глобального репозитория произойдет, если:

🔤 Пакетный менеджер (далее — ПМ) не умеет в расстановку приоритетов скачивания из списка репозиториев. Насчет того, что pip выбирает лучший по версии пакет из всех репозиториев, указанных в его конфиге, уже давно ведутся жаркие дискуссии. В Poetry такой проблемы нет.

🔤 ПМ не настроен на использование внутреннего репозитория. Так может быть на свежем устройстве нового коллеги, который еще не прошел гайд для новичков.

🔤 В конфиге ПМ настроено приоритетное использование внутреннего репозитория вместо глобального, но внутренний по каким-то причинам сейчас недоступен.

🔤 В конфиге ПМ настроено приоритетное использование глобального репозитория вместо внутреннего («Если пакета нет в глобальном репозитории, значит, пакет наш и его нужно установить из внутреннего»).

Конфликт очередности использования репозиториев уже был в декабре 2022 года в известной атаке на ночные релизы torch. Злоумышленник зарегистрировал в глобальном репозитории PyPI библиотеку torchtriton, которая обычно подтягивалась из настроенного внутреннего репозитория. При этом установка пакета происходила через pip: вот и весь секрет киллчейна.

😰 В августе 2024 года мы заметили, что авторство одного из пакетов пользователя yandex.bughunter забрал себе yandex-bot — аккаунт, который владеет 1279 пакетами с интересными названиями, такими как yandex-soc-services-sdk, yandex-cloud-ml-sdk-preview, yandex-infradev-tool...

Во всех этих пакетах автором указан Yandex <security@yandex-team.ru>. Описание гласит: A package to prevent Dependency Confusion attacks against Yandex, а сами пакеты вызывают исключение при попытке их поставить:

class InstallCommand(install):
    def run(self):
        raise RuntimeError("You are trying to install a stub package yandex-cloud-ml-sdk-preview. Maybe you are using the wrong pypi? See https://nda.ya.ru/t/GljG[REDACTED]zAGGz for details")

У нас нет подробностей того, как yandex.bughunter узнал список пакетов внутренней кухни «Яндекса», но, похоже, что компания заметила это и начала договариваться с багхантером. Или потихоньку отжимает пакеты через администрацию PyPI 🐱

To be continued...

#ti #pypi #pyanalysis
@ptescalator

C2 hunting: часть 1. Расширяем видимость сетевой инфраструктуры хакеров 😜

Часто при исследовании атаки, анализе TI или DFIR специалист сталкивается с сетевыми индикаторами компрометации (IP-адреса, домены, поддомены, URL-адреса), которые никак не идентифицируются TIP, фидами или сторонними сервисами, однако в рамках исследования являются вредоносными. Что специалист может сделать в этом случае? Прежде всего необходимо расширить область видимости вокруг индикатора.

💡 Расширение видимости — это процесс получения новых, относящихся к атаке или потенциально с нею связанных сетевых индикаторов, которые могут помочь обнаружить связь с уже известным атакующим или ВПО, а также помочь DFIR-команде обнаружить другие скомпрометированные узлы.

Сделать это можно несколькими основными способами:

1. Поиск связей с помощью базовой метаинформации индикатора.
2. Брутфорс поддоменов.
3. Поиск связей по внешним признакам управляющего сервера.
4. Активное сканирование интернета с помощью эмулятора сетевого протокола ВПО.

🤨 Начнем с первого способа.

У каждого типа сетевого индикатора есть своя метаинформация, которая позволяет сузить круг потенциальных кандидатов или найти точное совпадение.

• Для IP-адреса это ASN, провайдер.

• Для домена — поддомены, WHOIS-информация, DDNS или нет, стилистика написания, время резолва в определенный IP, DNS-записи.

• Для URL-адреса — длина, параметры, значения.

Основной системой, которая включает практически все вышеприведенные параметры и позволяет осуществлять по ним поиск, является Passive DNS.

Passive DNS (PDNS) — система, которая хранит историю резолвов доменов в IP-адреса, их DNS-записи, поддомены и историю WHOIS. Правильный PDNS позволяет исследователю искать новые C2 с помощью практически любого вида информации, описанной выше. Например, система позволяет найти все домены:

— которые когда-либо резолвились и резолвятся в определенный IP.
— у которых в MX-записи определенный почтовый сервер.
— у которых в WHOIS-информации определенный номер телефона и т.п.

🏴‍☠️ Давайте рассмотрим пример с группировкой Space Pirates. Ее инфраструктура ранее состояла преимущественно из имен узлов DDNS четвертого уровня. На практике такое встречается достаточно редко, но как раз этот пример идеально подходит для демонстрации поиска новых серверов хакеров.

Возьмем один из серверов, а именно chip.serviechelp.changeip[.]us.

На VT видим резолвы в несколько IP-адресов. Откроем самый первый — 45.32.106[.]247 — и увидим, что на этом IP висит большое количество похожих поддоменов четвертого уровня.

У IP-адреса мы видим ASN (20473) и имя провайдера (AS-CHOOPA), что в будущем поможет точнее исследовать сетевую инфраструктуру группировки. Далее нам необходимо просто собрать весь список индикаторов и для каждого повторить итерацию поиска новых IP и похожих доменов.

😎 Для исходного поддомена можно спуститься на один уровень ниже и найти все поддомены четвертого уровня для поддомена третьего. В этом случае в интерфейсе мы увидим историю резолвов для доменов следующего уровня, что поможет нам сэкономить немного времени в исследовании.

Все эти методы работают для любой другой метаинформации сетевых индикаторов: WHOIS, DNS-записи, ASN, провайдер. Какую-то метаинформацию лучше использовать как ограничитель (например, ASN), так как иначе поиск выдаст слишком много результатов.

По факту в исследовании сетевой инфраструктуры мы имеем дело с графом со множеством ребер и вершин. Однако этот граф конечен. Естественно, такие процессы лучше автоматизировать, так как инфраструктура атакующих может насчитывать тысячи узлов, как, например, у Space Pirates. Но зачастую у одного и того же злоумышленника инфраструктура для разных атак может быть разной и независимой, и ее исследование только по метаинформации будет ограниченным.

Как еще можно искать связанные C2 хакеров, поговорим в следующих постах.

💡Базовый, условно бесплатный тулинг, который поможет в поиске новых C2:

virustotal.com/gui/home/search
securitytrails.com/
whoisxmlapi.com/
whoxy.com/
urlhaus.abuse.ch/
bgp.he.net/
Maltego

#TI #C2 #tips #hunt #ioc
@ptescalator

🗂 Полезные источники данных: MISP Warning Lists

Аналитики информационной безопасности ежедневно сталкиваются с огромными объемами данных об угрозах. Чтобы извлечь из них наиболее релевантные события, они тратят множество часов на проведение сложных проверок. В больших количествах такие проверки могут привести к информационной перегрузке аналитика и в конечном итоге к ошибкам в анализе.

Чтобы этого избежать, можно воспользоваться первоначальной фильтрацией входного потока событий безопасности, позволяющей устранить ложноположительные срабатывания с помощью белых списков индикаторов. Для этого отлично подойдет открытый репозиторий MISP Warning Lists. Сейчас в нем содержится 89 различных наборов индикаторов, распределенных по группам.

Все наборы индикаторов в этом источнике можно условно разделить на две группы: «белые» и «серые».

☑️ К «белым» относятся однозначно легитимные индикаторы. Это, например, такие наборы, как:

• dax30 — список известных веб-страниц крупнейших компаний в Германии;

• security-provider-blogpost — список адресов блогов известных поставщиков средств безопасности;

• eicar.com — список хеш-сумм для тестового вредоносного ПО EICAR.

Такие индикаторы — наиболее полезный способ отсекать ложноположительные срабатывания средств защиты информации.

ℹ️ «Серые» же индикаторы сами по себе легитимны, однако могут участвовать во вредоносной активности. К спискам, содержащим подобные индикаторы, можно отнести, например:

• amazon_aws — список диапазонов IP-адресов Amazon Web Services;

• vpn-ipv4 — список диапазонов IP-адресов, принадлежащих распространенным провайдерам VPN;

• dynamic-dns — список известных провайдеров TLD и DDNS;

• url-shortener — список известных сервисов для сокращения URL.

Применять такие списки для «обеления» поступающих событий можно, основываясь на политике безопасности организации и своем личном опыте (например, вы можете исходить из того, что весь трафик между вашей инфраструктурой и облачными провайдерами «белый»).

Вместе с тем эти же списки можно использовать и для подсвечивания событий, свидетельствующих о нарушении политики безопасности (например, если на DNS-сервере наблюдаются события разрешения доменов DDNS, это всегда подозрительно).

💡 Несколько советов по использованию:

• Оцените полезность того или иного списка конкретно для своей инфраструктуры. Не стоит загружать все подряд.

• Обращайте внимание на обновляемость списков. Некоторые из них обновляются редко или не обновляются вообще.

#tool #tip #TI
@ptescalator