Пришло время рассказать о еще одном векторе атаки на внутренние сети компании. На этот раз речь пойдет о ситуации, в которой у меня не было прямого доступа к компьютеру, а хосты оказались неуязвимы к популярным атакам. И все же несколько мелких ошибок администраторов привели к тому, что защита рассыпалась. Итак, читайте под катом пошаговый разбор взлома корпоративной сети и кое-какие рекомендации по защите.

https://habr.com/ru/post/713600/?utm_source=habrahabr&utm_medium=rss&utm_campaign=713600

Внимание! Вся представленная информация предназначена для ознакомления. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации.

Ниже представлена подборка самых интересных уязвимостей за декабрь 2022 года!

https://habr.com/ru/post/709658/?utm_source=habrahabr&utm_medium=rss&utm_campaign=709658

О тестировании на проникновение написано уже немало книг и статей. Эта тема становится все актуальнее с каждым новым инцидентом ИБ. Злоумышленники проникают в сети различных организаций с целью прямого хищения денег с счетов (банки, финансовые организации), атак на отказ в обслуживании (предприятия критической инфраструктуры), хищения персональных данных и других вредоносных действий. Системы информационной безопасности большинства организаций не способны в полной мере защитить от действий квалифицированных злоумышленников. Причин этому несколько. В России традиционным драйвером рынка ИБ являются требования регуляторов (ФЗ 152, ФЗ 187 и т.д.) и при построении системы защиты прежде всего стремятся выполнить требования приказов ФСТЭК, ФСБ, ЦБ и т.д. Проведя категорирование, построив модель угроз, написав ОРД, спроектировав и внедрив систему защиты заказчик считает что он теперь защищен. Хотя обычно этого недостаточно.

Кроме того, еще одной причиной недостаточной эффективности системы защиты является недостаточно жесткая настройка входящих в нее средств. Попытка закрыть часть требований нормативки организационными мерами вместо технических часто приводит к снижению общей эффективности системы защиты.

Ну и наконец, модели угроз не могут дать точных рекомендаций относительно того, как будут ломать вашу сеть. Тестирование на проникновение позволяет посмотреть на взлом вашей сети глазами хакера. Ведь находясь на стороне защиты вы можно просто не знать или не замечать некоторые моменты, которые позволят хакеру с легкостью проникнуть в вашу сеть. Например, многие безопасники «старой» школы очень часто недооценивают угрозы, исходящие от социальной инженерии и комбинированных атак.

https://habr.com/ru/post/707184/?utm_source=habrahabr&utm_medium=rss&utm_campaign=707184

Привет, Хабр. На прошедшем в ноябре SOС-форуме мы предлагали желающим решить несколько ИБ-задач: по пентесту, OSINT и digital forensic. Оказалось, квестом заинтересовались многие: всего участие приняли более 500 человек. А после форума нас стали просить прислать задания и решения к ним. И мы решили опубликовать наш квест на Хабре. Может, и вы, уважаемые читатели, заинтересуетесь. Ради спортивного интереса все решения спрятали под спойлеры.

https://habr.com/ru/post/705986/?utm_source=habrahabr&utm_medium=rss&utm_campaign=705986

Социальная инженерия в общем своем понимании подразумевает под собой метод получения необходимой конфиденциальной информации, различного рода доступов к ресурсам или сети компании посредством психологической манипуляции человеком.

Основными типами атак социальной инженерии остается фишинг, приманка, Tailgating и Quid Pro Quo. Стоит оговориться, что типов СИ специалисты выделяют гораздо больше, но если говорить о самых распространенных, то ранее приведенные вполне можно назвать наиболее используемыми среди злоумышленников и пентестеров.

https://habr.com/ru/post/694532/?utm_source=habrahabr&utm_medium=rss&utm_campaign=694532

Вот мы и подошли к самому интересному кейсу использования ansible для пентеста - создание уязвимых стендов, которые можно поднимать просто описав настройки в конфигах. Попробуем разобраться действительно ли это настолько просто и что можно сделать через ansible.

https://habr.com/ru/post/693154/?utm_source=habrahabr&utm_medium=rss&utm_campaign=693154

Привет, ХАБР. В настоящее время для каждой компании стает ребром вопрос информационной безопасности. С одной стороны растет количество кибер-атак, с другой растет ответственность компаний за сохранность информации, тех же персональных данных. Как говорится, ставки со всех сторон растут и поэтому наличие в штате сотрудников, осуществляющих инфобез уже не является вопросом, а скорее аксиомой. В этом статье, на основе своего профессионального опыта я расскажу, как можно защищать внешние информационные ресурсы компании, через их регулярный пентест и почему важно пентестить на регулярной основе.

Для простого понимания сути темы, отвечу на типичные вопросы:

Что такое Пентест?

Если кратко, то это такой метод оценки безопасности системы, который представляет собой моделирования действий кибер-преступника (хакера), которые он может провести с вашими информационными ресурсами, однако при такой методике есть незыблемое правило. Не доводить действия до деструктивных последствий. Иначе говоря, пентестер по своей сути тестировщик, применяющий инструментарий хакеров.

Почему безопасностью должен заниматься отдельный сотрудник, не отвечающий за настройку/работу сервиса?

Потому, что ни один, даже самый профессиональный сисадмин не сможет оценивать свой сервис не предвзято, да и у него основная задача другая – стабильная работа сервиса, за который он отвечает, а безопасность, скорее, дополнительная обязанность.

Я слышал, что есть основное разделение инфобезопасников на защищающихся (blue team) и атакующих (red team). Так чем этот подход плох?

https://habr.com/ru/post/687404/?utm_source=habrahabr&utm_medium=rss&utm_campaign=687404

Данная статья вольное рассуждение о том, как можно использовать инструменты из разных областей для проведения автоматизации рутинных задач, в том числе и для проведения отдельных действий при пентесте. В статье будет описан процесс создания проекта на Ansible, который можно использовать для масштабирования и адаптации под другие задачи.

https://habr.com/ru/post/691282/?utm_source=habrahabr&utm_medium=rss&utm_campaign=691282

ДИСКЛЕЙМЕР!

Внимание! Вся представленная информация предназначена для ознакомительного изучения. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации.

Сентябрь 2022 года подошел к концу, а это значит, что пора вернуться к нашей традиционной рубрике – Топ самых интересных CVE за прошедший месяц!

https://habr.com/ru/post/691196/?utm_source=habrahabr&utm_medium=rss&utm_campaign=691196

В последнее время почти на каждом проекте по внутреннему пентесту я встречаю уязвимость PetitPotam. И почти всегда она помогает в получении привилегий администратора домена. При наличии доменной учетной записи (в некоторых случаях возможна эксплуатация уязвимости без аутентификации) атакующий может с помощью специально сформированного запроса заставить уязвимый хост выполнить обращение к произвольному хосту с передачей аутентификационных данных.

В этой статье я расскажу, как использую эту уязвимость и как мне удалось получить привилегии администратора домена пятью разными способами в реальных проектах.

Подробнее — под катом.

https://habr.com/ru/post/690440/?utm_source=habrahabr&utm_medium=rss&utm_campaign=690440

Предисловие

Hello, team! Возможно, столь завуалированное название статьи Вас заинтересовало, и вы решили прочитать ее во что бы то ни стало, дабы понять суть. Но на деле все куда проще, а остроты данной ситуации подбавляют лишь комические реплики службы поддержки Яндекс (далее - ЯД), которая красиво "отшила" мой баг-репорт.

https://habr.com/ru/post/687542/?utm_source=habrahabr&utm_medium=rss&utm_campaign=687542

Мы как-то писали про SSRF-атаку, которая входит в список наиболее распространенных уязвимостей OWASP Top 10. Однако мир уязвимостей намного разнообразнее и, конечно же, не ограничивается этим списком. Сегодня мы хотим рассказать про уязвимости, связанные с бизнес-логикой. Что в них необычного? Это как доказать, что 2+2=5. Последовательность действий кажется правильной, все операции разрешенными, а результат совсем не тот, который закладывался при разработке. Но мы же знаем, что в доказательстве есть ошибки! Рассмотрим, как подобные задачки решаются при анализе защищенности и какие неожиданные результаты можно получить, используя обычную функциональность приложений.

https://habr.com/ru/post/685592/?utm_source=habrahabr&utm_medium=rss&utm_campaign=685592

ДИСКЛЕЙМЕР!

Внимание! Вся представленная информация предназначена для ознакомительного изучения. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации.

Подходит к концу восьмой месяц 2022 года, а это значит пора подвести итоги по вышедшим уязвимостям и отобрать самые интересные из них.

https://habr.com/ru/post/685584/?utm_source=habrahabr&utm_medium=rss&utm_campaign=685584