Показаны сообщения с ярлыком security. Показать все сообщения
Показаны сообщения с ярлыком security. Показать все сообщения
20.05.2016
SANS топ 20 утилит контроля ИБ
Part 1 - we look at Inventory of Authorized and Unauthorized Devices.
Part 2 - we look at Inventory of Authorized and Unauthorized Software.
Part 3 - we look at Secure Configurations.
Part 4 - we look at Continuous Vulnerability Assessment and Remediation.
Part 5 - we look at Malware Defenses.
Part 6 - we look at Application Security
Part 7 - we look at Wireless Access Control
Part 8/9 – we look at Data Recovery and Security Training.
Part 10/11 - we look at Secure Configurations for Network Devices such as Firewalls, Routers, and Switches and Limitation and Control of Network Ports, Protocols and Services.
Part 2 - we look at Inventory of Authorized and Unauthorized Software.
Part 3 - we look at Secure Configurations.
Part 4 - we look at Continuous Vulnerability Assessment and Remediation.
Part 5 - we look at Malware Defenses.
Part 6 - we look at Application Security
Part 7 - we look at Wireless Access Control
Part 8/9 – we look at Data Recovery and Security Training.
Part 10/11 - we look at Secure Configurations for Network Devices such as Firewalls, Routers, and Switches and Limitation and Control of Network Ports, Protocols and Services.
13.05.2016
Fortinet Fortimail and iRedMail configuration. [Gateway mode]
Мой опыт базовой настройки связки Fortimail и почтового сервера iRedMail.
Для начала, прописал MX записи, и доменные имена для нашей тестовой почты:
MX прописана на Fortimail
Почтовый сервер я поднял на базе iRedmail.
14.04.2016
Графический интерфейс для volatility [GUI for Volatility Framework]
Недавно обновился VolUtility - web-бейс интерфейс для известного инструмента форенсики.
После установки Centos7 на варю, использовал скрипт с гита разработчика, который позволяет автоматизировать установку. (VolUtility + Volatility Framework)
https://raw.githubusercontent.com/kevthehermit/VolUtility/master/centos_7_bootstrap.sh
Стартуем:
cd /opt/tools/VolUtility/
./manage.py runserver 0.0.0.0:8000
Очень приятный ифейс, для выполнение рутинных задач. Полный гайд по нему, есть по ссылке выше(видео)
Выгрузка артефактов и т.п.
https://raw.githubusercontent.com/kevthehermit/VolUtility/master/centos_7_bootstrap.sh
Стартуем:
cd /opt/tools/VolUtility/
./manage.py runserver 0.0.0.0:8000
Очень приятный ифейс, для выполнение рутинных задач. Полный гайд по нему, есть по ссылке выше(видео)
После загрузки слепка памяти(в моем случае это седьмая форточка) для анализа:
Генерация дерева процессов:
Обзор, настройка и тестирование Fireeye HX [Configure Fireeye HX +CM+NX] Часть1
Решение Fireeye HX позволяет отслеживать вредоносную активность на рабочей станции, для более оперативного реагирование на инциденты информационной безопасности, расследование инцидентов (forensic, слепки памяти и т.п.) и изоляцией зараженной станции, для предотвращения распространения инфекции далее по сети.
Недавно HX попал в нашу лабораторию и я сделал базовые настройки и протестировал отработку связки - CM + NX + HX.
CM - платформа "центрального менеджмента" для остальных устройств, служит так же для обмена индикаторами компрометации (IOC) между всеми устройствами.
NX - предназначен для анализа проходящего через него трафика, на наличие вредоносного кода или аномальной активности.
HX - было упомянуто в самом начале :)
Топологию можно найти в других постах, просто к ней добавилось устройство HX, которое было подключено к CM :
Базовая настройка Fireeye NX EX FX CM basic config
Базовая настройка Fireeye NX EX FX CM basic config
http://devnulls.blogspot.com/2015/04/fireeye-nx-ex-fx-cm-basic-config.html
Тестирование Fireeye EX в режиме MTA + URL Dynamic Analysis / Test Fireeye EX MTA + URLDA
Тестирование Fireeye EX в режиме MTA + URL Dynamic Analysis / Test Fireeye EX MTA + URLDA
http://devnulls.blogspot.com/2015/05/fireeye-ex-mta-url-dynamic-analysis.html
BCC. Postfix / MS Exchange + Fireeye EX
BCC. Postfix / MS Exchange + Fireeye EX
http://devnulls.blogspot.com/2015/07/bcc-postfix.html
Настройка и тестирование Fireeye EX в режиме MTA / Fireeye EX MTA config
Настройка и тестирование Fireeye EX в режиме MTA / Fireeye EX MTA config
14.03.2016
DDoS Mitigation Arbor Peakflow SP and Juniper MX [ flowspec / blackhole ]
Добрый день !
Защита од DDoS атак, методом FlowSpec. Настройка связки Arbor Peakflow SP CP (Collector Platform) и маршрутизатора Juniper MX 480, без использования TMS.
Хотел бы немного поделится информацией по поводу тестов и проведенных исследований и общения с крутыми спецами из Arbor Networks, в рамках данной связки.
Немного олдовой картинки :)
Немного подумав, можно преподнести эту связку следующим образом:
Если заглянуть последний WISR (Worldwide Infrastructure Security Report), то можно обнаружить интересную статистику.
А именно:
Хотел бы немного поделится информацией по поводу тестов и проведенных исследований и общения с крутыми спецами из Arbor Networks, в рамках данной связки.
Немного олдовой картинки :)
Немного подумав, можно преподнести эту связку следующим образом:
Если заглянуть последний WISR (Worldwide Infrastructure Security Report), то можно обнаружить интересную статистику.
А именно:
- 65% всех атак - атаки на переполнение емкости каналов связи. Это различные Amplification - DNS, NTP, SNMP, и т.п.
- остальные 35% приблизительно поровну State-exhaustion (TCP Flood_ы) и Application-layer (HTTP flood_ы, LOIC, HOIC, Slowloris, и т.п.) атаки
- при этом 56% опрошенных нами клиентов видят многовекторные атаки, т.е. практически одномоментный в профиле трафика могут присутствовать все три или любые из двух типов атак. Эта статистика из года в год приблизительно одинакова.
12.03.2016
09.03.2016
WIFI scanner [Vistumbler] windows
A wireless network scanner written in AutoIT for Vista, Windows 7, Windows 8, and Windows 10. VistumblerMDB is the current version of Vistumbler. http://www.vistumbler.net
Volatility Memory Forensics Framework + WEB
Volatility Framework является полностью открытым набором инструментов, реализованных на Python под лицензией GNU General Public License, для извлечения цифровых артефактов из энергозависимой памяти (RAM).
04.03.2016
Malware Information Sharing Platform (MISP) on Doker
MISP (“Malware Information Sharing Platform“) is a free software which was initially created by the Belgian Defence to exchange IOC’s with partners like the NCIRC (NATO). Today it became an independent project and is mainly developed by a group of motivated people. MISP is mainly used by CERT’s (“Computer Emergency Response Team”) but also private companies to exchange thousands on IOC’s on a daily basis.
To build the Docker image:
Change the ‘baseurl‘ parameter in /var/www/MISP/app/Config/config.php
Reconfigure Postfix to match your SMTP environment
To use MISP, point your browser to https://your-docker-server:443.
# git clone https://github.com/xme/misp-docker # cd misp-docker # docker build -t misp/misp --build-arg MYSQL_ROOT_PASSWORD=<mysql_root_pw> . # cat <<__END__ >env.txt MYSQL_ROOT_PASSWORD=my_strong_root_pw MYSQL_MISP_PASSWORD=my_strong_misp_pw __END__ # docker run -d -p 443:443 --env-file=env.txt --restart=always --name misp misp/mispOnce the container booted, there are still some manual operations to perform. Feel free to fine-tune it to your needs if you already know the tool.
Change the ‘baseurl‘ parameter in /var/www/MISP/app/Config/config.php
Reconfigure Postfix to match your SMTP environment
To use MISP, point your browser to https://your-docker-server:443.
The files are available on my github.com repository.
23.02.2016
Twitter sec memories #5 [23.02.16] (PSMSF/MODBUS/Pin/pentestly/foolav)
Python and Powershell internal penetration testing framework
PSMSF
create powershell shell code used in cmd console with Metasploit Framework
19.02.2016
Самозащита антивирусов. [AV bypass]
Применяемые техники:
ProxyInject атака
Заключается в использовании оригинальных бинарных файлов антивируса с последующим
инжектированием в них вредоносного кода. Успешность эксплуатации данного метода определяется в конечном счете успехом инжектирования атакующего кода.
PageFile атака
Блокирование функционала антивирусного программного обеспечения путем обхода файлового фильтра через ядерную функцию создания page-файла.
RegSafe, RegRestore атака
Атака на конфигурационные данные антивирусного решения в реестре с использованием функции восстановления кустов реестра.
ссылка на исследование Dsec:
http://dsec.ru/upload/medialibrary/216/216367fd007f81be723f5d4fc47184e0.pdf
Заключается в использовании оригинальных бинарных файлов антивируса с последующим
инжектированием в них вредоносного кода. Успешность эксплуатации данного метода определяется в конечном счете успехом инжектирования атакующего кода.
PageFile атака
Блокирование функционала антивирусного программного обеспечения путем обхода файлового фильтра через ядерную функцию создания page-файла.
Duplicate Handle атака
Суть – в получении обработчика через открытие защищаемого антивирусом процесса, с меньшим уровнем доступа и с его последующим повышением через дупликацию объекта описателя открытого процесса. В итоге, это может привести к полной компрометации процессов антивируса либо к инжектированию в них вредоносного кода.
RegSafe, RegRestore атака
Атака на конфигурационные данные антивирусного решения в реестре с использованием функции восстановления кустов реестра.
Shim engine атака
Блокирование функционала, инжектирование кода (при запуске антивирусного программного обеспечения) посредством установки специальной базы совместимости приложения, shim-engine инфраструктуры.
Reparse-Point атака
Блокирование функционала антивирусного ПО через открытие на защищаемой директории NTFS-потока и установку точки повторной обработки.
ссылка на исследование Dsec:
http://dsec.ru/upload/medialibrary/216/216367fd007f81be723f5d4fc47184e0.pdf
16.02.2016
Twitter sec memories #4 [16.02.16] (Shellsploit/HackSpy/CVE-2016-0051/REMnux)
Shellsploit
pip install readline
HackSpy-Trojan-Exploit
CVE-2016-0051 (Proof-of-concept BSoD (Blue Screen of Death) and Elevation of Privilege (to SYSTEM))
Version 6 Release
REMNUX V6 FOR MALWARE ANALYSIS (PART 1-2)
Позволяет генерировать кастомные шеллкоды, бэкдоры и инжекторы для различных операционных систем, с возможностью обфускации через энкодеры.
Зависимости:
pip install capstonepip install readline
Пуск:
python setup.py --s/ --setup install
chmod +x shellsploitpython setup.py --s/ --setup install
./shellsploit
Удаление:
setup.py --s/--setup uninstallHackSpy-Trojan-Exploit
Тулза для генерации трояна, нацеленного на пробитие windows тачки.
- Кейлоггер
- Скрины рабочего стола
- Контроль бота через cmd
Version 6 Release
15.02.2016
Twitter sec memories #3 [15.02.15] (Sublist3r/GoAT/GoBot/DLLRunner)
Sublist3r
Утилита написана на python, для поиска собдоменов, с использованием поисковых движков-Google, Yahoo, Bing, Baidu, и Ask
(Fast subdomains enumeration tool for penetration testers)
git clone https://github.com/aboul3la/Sublist3r.git
GoAT
GoAT
Троян написанный на языке Go, который использует твиттер в качестве командного центра для управления ботами. Имеет руткит подуль, написанный на C для самозащиты и хайда себя в системе.
Старшим братом которого является:
GoBot
Скрипт на python для анализа dll`лок в песочнице.
10.02.2016
Платформа управления инцидентами безопасности (FIR) [Fast Incident Response]
FIR - легковесная платформа управления инцидентами безопасности . Она позволит легко создавать инцидетны, отслеживать их, а так же генерировать репорты по ним.
Платформа подойдет для трекинга инцидентов CSIRTs, CERTs, SOCs, etc.
Я рассмотрю быстрое развертывание (не продакшн) на базе виртуалки с Ubuntu server 15 на борту:
#apt-get update
#apt-get install python-dev python-pip python-lxml git libxml2-dev libxslt1-dev libz-dev
#pip install virtualenv
Платформа подойдет для трекинга инцидентов CSIRTs, CERTs, SOCs, etc.
#apt-get update
#apt-get install python-dev python-pip python-lxml git libxml2-dev libxslt1-dev libz-dev
#pip install virtualenv
Создаем виртуальное окружение:
#virtualenv env-FIR
#source env-FIR/bin/activate
#git clone https://github.com/certsocietegenerale/FIR.git
#virtualenv env-FIR
#source env-FIR/bin/activate
#git clone https://github.com/certsocietegenerale/FIR.git
#cd FIR
#pip install -r requirements.txt
#pip install -r requirements.txt
Активируем плагины:
#cp fir/config/installed_apps.txt.sample fir/config/installed_apps.txt
#./manage.py migrate
#./manage.py loaddata incidents/fixtures/seed_data.json
#./manage.py loaddata incidents/fixtures/dev_users.json
Стартуем:
#./manage.py loaddata incidents/fixtures/seed_data.json
#./manage.py loaddata incidents/fixtures/dev_users.json
Стартуем:
#./manage.py runserver 192.168.1.16:8000
Если разворачивать платформу в продакшн, есть отдельный гайд:
Если система приживется, возможно разверну и опишу тонкости процесса позже.
Дефолтный доступ: admin:admin
В итоге имеем простую, гибкую и кастомизируемую "тикет систему" с ИБ уклоном.
Система базируется на Django.
08.02.2016
FortiSandbox Fortinet [ basic install / configure ] [part1.0]
Опыт развертывания FortiSandbox, системы динамического + статического анализа файлов от компании Fortinet.
Часть 1.0
Ко мне на тест попал виртуальный аплайнс для развертывания на гипервизорах vmware.
После запроса лицензий инстанс был зарегистрирован в базе форти и был сгенерирован файл для активации виртуалки (.lic)
Установка и настройка Fortisandbox:
Обязательным условием является поддержка CPU опций:
Intel Virtualization Technology (VT-x/EPT) или AMD Virtualization (AMD-V/RVI),
а так же в BIOS должен быть включен - Virtualization Technology and 64-bit support.
На своем ESXI (6я версия) я добавил строчку:
[root@localhost:~] cat /etc/vmware/config
libdir = "/usr/lib/vmware"
authd.proxy.nfc = "vmware-hostd:ha-nfc"
authd.proxy.nfcssl = "vmware-hostd:ha-nfcssl"
authd.proxy.vpxa-nfcssl = "vmware-vpxa:vpxa-nfcssl"
authd.proxy.vpxa-nfc = "vmware-vpxa:vpxa-nfc"
authd.fullpath = "/sbin/authd"
vhv.enable = "TRUE"
Деплоим .ovf контейнер, настраиваем ip адрес на порту "port1" (ip адрес будет нужен на этапе генерации лицензий)
После деплоя, запускаем, ждем пока закончится разметка волумов, и инициализация бд.
Заходим, admin:пусто.
Прописываем адрес и гейт:
> set port1-ip 192.168.1.123/24
> set default-gw 192.168.1.1
Скачиваем файл лицензий, и заливаем их через Web-iface. (https://192.168.1.123)
Ко мне на тест попал виртуальный аплайнс для развертывания на гипервизорах vmware.
После запроса лицензий инстанс был зарегистрирован в базе форти и был сгенерирован файл для активации виртуалки (.lic)
Установка и настройка Fortisandbox:
Обязательным условием является поддержка CPU опций:
Intel Virtualization Technology (VT-x/EPT) или AMD Virtualization (AMD-V/RVI),
а так же в BIOS должен быть включен - Virtualization Technology and 64-bit support.
На своем ESXI (6я версия) я добавил строчку:
[root@localhost:~] cat /etc/vmware/config
libdir = "/usr/lib/vmware"
authd.proxy.nfc = "vmware-hostd:ha-nfc"
authd.proxy.nfcssl = "vmware-hostd:ha-nfcssl"
authd.proxy.vpxa-nfcssl = "vmware-vpxa:vpxa-nfcssl"
authd.proxy.vpxa-nfc = "vmware-vpxa:vpxa-nfc"
authd.fullpath = "/sbin/authd"
vhv.enable = "TRUE"
Деплоим .ovf контейнер, настраиваем ip адрес на порту "port1" (ip адрес будет нужен на этапе генерации лицензий)
После деплоя, запускаем, ждем пока закончится разметка волумов, и инициализация бд.
Заходим, admin:пусто.
Прописываем адрес и гейт:
> set port1-ip 192.168.1.123/24
> set default-gw 192.168.1.1
Скачиваем файл лицензий, и заливаем их через Web-iface. (https://192.168.1.123)
01.02.2016
Список блогов по ИБ [2016]
SecBlogs (из закладок)
- Бизнес без опасности
- Жизнь 80 на 20
- Безопасность для понимающих и не очень
- Security Insight
- В тему и offtopic
- Рецепты безопасности от Емельянникова
- Блог Артема Агеева
- Блог Сергея Борисова про ИБ
- Синдром сапожника
- Быть, а не казаться | О безопасности и не только
- Записки на манжете
- Ригельз Дыбр
- ZLONOV.ru | Alexey Komarov's blog
- Взрывной блог » Взлом и защита, с перевесом первого. Несерьёзный блог о серьёзных вещах
- Защита персональных данных и не только - книга рецептов
- Информационная безопасность (Ростовская область)
- Информационная безопасность - АУДИТ, ОЦЕНКА
- Архивы безопасности
- REPLY-TO-ALL Information Security Blog
- Солянка
- ИБ. Взгляд снизу
- www.itzashita.ru Проект "ИТ-защита". ИТ безопасность. Стандартизация, проектирование, методология.
- Intercept the planet!
- Redirecting
- Manannikov-DA | BIS-Expert
- 0xAA - Random notes on security
- Безопасность АСУ ТП
- ИБ в СПб
- АГАСОФИЯ
- Журнал Изменений
- Дудко Дмитрий, информационная и экономическая безопасность
- Смотря как смотреть
- Redirecting
- Another Brick in the Firewall
- Блог Павла Кулькова в informationsecurity.club
- Секьюрный | Securny | блог специалиста по системной интеграции в области Identity Management & Access Governance
- egengrinovich
- Социальная инженерия
26.01.2016
Методы обнаружения песочниц
Инструмент, который демонстрирует методы обнаружения песочницы и сред анализа вредоносного ПО, таким же образом, как малварь:
Проследить открытие документа. Утечки данных.
На последнем Black Hat Las Vegas был представлен интересный проект Canarytokens, который может элегантно решить проблему. Идея проекта очень проста: мы создаем поддельные «значимые» ресурсы (письма, документы, домены и так далее) и делаем так, чтобы при открытии любого из них атакующим на внешний ресурс отправлялся запрос со специальным токеном. Как только токен приходит, мы узнаем, что кто-то открыл документ, а значит, у нас утечка. Простейший вариант: создать вордовский документ с интересным названием типа passwords.doc с картинкой, вставленной с внешнего сайта.
«Офис» с давних времен поддерживает возможность подписать документ, что позволяет защитить его от последующих исправлений. Подпись создается с помощью обычного личного сертификата x509 (считай тот же, что и у HTTPS). При этом подпись документа проверяется сразу же при его открытии, то есть Protected View не останавливает этот процесс.
Второй момент заключается в том, что сертификат проверяется стандартным виндовым CryptoAPI. В самих сертификатах масса мест, где можно указать внешний URL. В первую очередь — проверка отзыва сертификата
(CRL, OCSP) и путь до Intermediate или Root CA («Поставщик центра сер-
тификации»). Таким образом, при проверке подписи «Офису» требуется
проверить сертификат, а потому ОС проверяет всю цепочку сертификатов
(от конечного до корневого), проходя по всем URL. Добыть валидный конечный сертификат с произвольными значениями
CRL и OCSP почти невозможно (эти поля контролируются CA), так что мы
возлагаем надежду только на местоположение сертификата Intermediate
CA — при проверке валидности ОС должна сходить и скачать его. Выходит,
нам нужно создать конечный сертификат и подписать им любой офисный
документ. Создать сертификат несложно: достаточно сделать специальный кон-
фиг и пару раз выполнить команду openssl. Подписать документ тоже не великая
проблема — заходишь во вкладку Insert, далее — Signature Line, вводим
произвольные значения, OK, двойной клик на подпись и выбираешь лич-ный сертификат.
Второй момент заключается в том, что сертификат проверяется стандартным виндовым CryptoAPI. В самих сертификатах масса мест, где можно указать внешний URL. В первую очередь — проверка отзыва сертификата
(CRL, OCSP) и путь до Intermediate или Root CA («Поставщик центра сер-
тификации»). Таким образом, при проверке подписи «Офису» требуется
проверить сертификат, а потому ОС проверяет всю цепочку сертификатов
(от конечного до корневого), проходя по всем URL. Добыть валидный конечный сертификат с произвольными значениями
CRL и OCSP почти невозможно (эти поля контролируются CA), так что мы
возлагаем надежду только на местоположение сертификата Intermediate
CA — при проверке валидности ОС должна сходить и скачать его. Выходит,
нам нужно создать конечный сертификат и подписать им любой офисный
документ. Создать сертификат несложно: достаточно сделать специальный кон-
фиг и пару раз выполнить команду openssl. Подписать документ тоже не великая
проблема — заходишь во вкладку Insert, далее — Signature Line, вводим
произвольные значения, OK, двойной клик на подпись и выбираешь лич-ный сертификат.
Подписаться на:
Сообщения (Atom)