C

raig H. Rowland na konferencji Purplecon 2018 opowiedział o szybkiej ocenie kompromitacji systemu Linux. Jak zauważył, 90% wdrożeń opartych na publicznych chmurach obliczeniowych odbywa się na systemie operacyjnym Linux. Nawet jeśli nie mamy z nim bezpośrednio do czynienia z powodu wysokich poziomowo abstrakcji i wywołań (np. API) – prędzej czy później natchniemy się na niego, a jako przyszły administrator dobrze posiadać wiedzę o jego działaniu oraz czy jego zachowanie nie budzi jakiś zastrzeżeń. Jeśli posiadamy podejrzenie, że doszło do naruszenia jego bezpieczeństwa – nie panikujmy. Podstępując pochopnie możemy tylko pogorszyć sytuację poprzez zniszczenie krytycznej informacji z punktu widzenia analizy pozwalającej ustalić główną przyczynę włamania.
[ czytaj całość… ]

T

surugi Linux jest dystrybucją typu DFIR (ang. Digital Forensic in Incident Response), czyli coś dla specjalistów informatyki śledczej zajmujących się wsparciem reakcji na incydenty. Został stworzony przez weteranów takich dystrybucji, jak Deft oraz Blacktrack jako w pełni darmowy, niezależny od komercyjnych marek projekt. Jego głównym celem jest dzielenie się wiedzą i “oddawanie jej społeczności”. Jego nazwa – Tsurugi (剣) – oznacza legendarny japoński miecz z podwójnym ostrzem używany przez starożytnych japońskich mnichów. Został podzielony na trzy typy:
[ czytaj całość… ]

B

rezent (ang. tarpit), czyli płachta na usługę. Jest usługą sieciową, która celowo wprowadza opóźnienia w obsługiwanym protokole spowalniając w ten sposób klientów i zmuszając ich do oczekiwania przez określony czas. Zachowanie to spowalnia lub zatrzymuje sondowanie i atakowanie systemów / usług. Skanery, skrypty i inne narzędzia atakującego są związywane z konkretną usługą / portem i nie mają możliwości ruszyć dalej (zazwyczaj działają synchronicznie wykonując pracę host po hoście / port po porcie). Nakłada to na atakującego większy koszt pod względem czasu i zasobów niż ponosi go obrońca.
[ czytaj całość… ]

Y

ARA jest narzędziem, które jest ukierunkowane (lecz nie ograniczone tylko do tego) na pomoc badaczom w identyfikacji i klasyfikacji próbek szkodliwego oprogramowania. Przy jego użyciu możemy w prosty sposób stworzyć opisy dowolnych obiektów za pomocą tekstowych oraz binarnych wzorców. Każdy taki opis aka reguła składa się z zestawu łańcucha/ów znaków i wyrażeń logicznych, które determinują logikę reguły.
[ czytaj całość… ]

Przez przypadek trafiłem na wpis na wykopie. Idąc tym tropem dotarłem do źródła, w którym możemy znaleźć prosty przepis na stworzenie szkodliwego skryptu w powłoce bash, który z pozoru będzie wyglądał normalnie:

$ printf '#!/bin/bash\necho szkodliwy kod!\nexit\n\033[2Aecho cos tam! ...\n' > backdoor.sh
$ chmod +x backdoor.sh
$ cat backdoor.sh
#!/bin/bash
echo cos tam! cos tam!
$ ./backdoor.sh
szkodliwy kod!

Jak to działa? Istnieją specjalne sekwencje znaków, które interpretuje terminal nie wyświetlając ich, ale podejmując daną akcję. Dlaczego takie polecenia, jak: cat, head, tail, more i inne zostają oszukane? Ponieważ sekwencja \033[XA powoduje przesunięcie kursora do góry o X linii nadpisując to, co jest w tej X linii. Przez, co użytkownik widzi zupełnie inny kod niż w rzeczywistości zostanie wykonany. W połączeniu z innymi atakami mogą stanowić kompletny wektor na oszukanie użytkownika sytemu z rodziny *nix.

Więcej informacji: JournalCTL Terminal Escape Injection && Log Injection, Terminal Emulator Security Issues

N

ie ważne, jak bardzo skręcimy dostęp sieciowy do i z naszych serwerów – to zawsze zezwolimy na ruch DNS, aby móc rozwiązywać nazwy domenowe na adresy IP i na odwrót. Osoba, która dokonała skutecznego ataku na nasze maszyny może wykorzystać tą “lukę” w zaporze ogniowej i potajemnie wyprowadzić dane za pomocą połączeń do C&C, które trudno zablokować. Aby bliżej zrozumieć tunelowanie poleceń i danych za pomocą DNS do serwerów Command and Control spójrzmy na narzędzie autorstwa Rona Bowsesa o nazwie dnscat2.
[ czytaj całość… ]

I

stnieje wiele poradników, instrukcji i tutoriali, jak korzystać z skanerów bezpieczeństwa, które pozwalają na szybkie zweryfikowanie pentesterom zewnętrznego bezpieczeństwa serwerów. Najbardziej znanym jest chyba nmap. Decydując się na tego typu automat należy pamiętać, że to są tylko automaty, a wyniki ich pracy powstają tylko i wyłącznie na interpretacji surowych danych przychodzących po wyzwoleniu określonej akcji. Narzędzia tego typu nie myślą. Spodziewają się pewnych zachowań od systemów i na ich podstawie tworzą jakieś założenia. Jeśli sobie tego nie uświadomimy bardzo szybko możemy nabrać się na fałszywe alarmy oraz utratę cennego czasu przy opracowywaniu raportu bezpieczeństwa.
[ czytaj całość… ]

O

ddział Akamai – Prolexic odkrył nowy botnet, który nazwał “IptabLes and IptabLex“. Atakuje on źle skonfigurowane oraz zaniedbane serwery Linux, które po instalacji szkodliwego oprogramowania są wykorzystywane do przeprowadzania ataków DDoS na infrastrukturę DNS oraz do ataków typu SYN flood (największy z nich w szczycie osiągnął 119 Gbps). Infekowane są głównie serwery, na których uruchomione jest podatne oprogramowanie typu Apache Struts, Tomcat oraz Elasticsearch.
[ czytaj całość… ]

U

niversal Man in the Browser (uMitB) jest nową formą ataku Man in the Browser. Firma Trusteer, której pracownicy obserwowali rozwój i badali tę formę ataku od paru miesięcy – donosi, że jest to pierwszy rodzaj tego ataku, który przetwarza skradzione dane w czasie rzeczywistym. W ten sposób cyberprzestępcy są w stanie operować informacjami o kartach kredytowych, które są najbardziej aktualne i nie zostały jeszcze zgłoszone do zablokowania.
[ czytaj całość… ]

I

gnorancja to błogosławieństwo – nawet w czasach Web 2.0 – istnieją niezliczone mity krążące wokół użytkowników Internetu, dotyczące bezpieczeństwa aplikacji Webowych. Niektóre z starych, ale jarych (np. użytkownik zawsze będzie wiedział kiedy wirus lub koń trojański zaatakuje jego komputer) tworzą to coraz nowsze mity obracające się wokół wyszukiwarki Google, sieci społecznościowych i przeglądarek internetowych. Przewaga krążących informacji na temat bezpieczeństwa Web 2.0 potrafi trochę namieszać w ogólnym, naszym pojęciu o tej technologii. Oto kilka informacji mających na celu próbę wyprostowania niektórych z największych nieporozumień dotyczących bezpieczeństwa aplikacji Webowych.
[ czytaj całość… ]