Защита Active Directory.

Всем привет.

Тема Active Directory продолжается. За последние четыре года ни один Black Hat или DEFCON не обошелся без докладов на тему атак на Microsoft Active Directory. Участники рассказывают о новых векторах и своих изобретениях, но не забывают и о советах, как можно их обнаружить и предотвратить. В этой статье автор портала Spy-Soft.Net рассматривает популярные способы атак на Active Directory и приводит рекомендации, которые помогут от них защититься.

А рекомендации следующие.

Сложные и длинные (>25 символов) пароли для сервисных учетных записей. Это не оставит злоумышленнику шанса провести атаку Kerberoasting, так как брутить придется очень долго.

Логирование работы PowerShell. Поможет обнаружить использование многих современных инструментов для атак на AD.

Переезд на Windows 10, Windows Server 2016. Microsoft создала Credential Guard: больше не удастся сдампить из памяти NTLM-хеши и билеты Kerberos.

Строгое разграничение ролей. Опасно сочетать в одной роли администратора AD, DC, всех серверов и рабочих машин.

Двойная смена пароля krbtgt (это та самая учетная запись, которой подписываются TGT-билеты). Каждый год. И после ухода администратора AD:

• менять нужно дважды, так как хранится текущий и предыдущий пароль;
• менять каждый год, а также после ухода доменного администратора. 

Даже если сеть уже скомпрометирована и злоумышленники выпустили Golden Ticket, изменение пароля делает этот Ticket бесполезным. И им снова нужно начинать все сначала.

Средства защиты с непрерывно обновляющейся экспертной базой знаний. Необходимо для обнаружения реальных актуальных атак.

Кроме этого автор приводит ряд полезных хаков с помощью SIEM MaxPatrol. А также дает совет как действовать когда может быть бесполезна.

Рекомендую.

Bravis Base в качестве GPRS модема.

Всем привет.

По случае летнего ненастья пост о том как я разбирался с моноблочным интернетом от Bravis Base. Разумеется 3G в Bravis Base нет, но можно настроить Интернет в 2G режиме на ноутбук. Телефон построен на базе чипа Spreadtrum SC6531BA, поэтому скачиваем USB драйвера для  Spreadtrum, в архиве будут обе версии, 32 и 64-бит. Модем устанавливается без проблем на Windows XP или Windows 7.

Подключаем  Bravis Base к компьютеру с помощью USB кабеля. На экране телефона нужно выбрать пункт «Передача данных». Про другие два пункта "Диск" и "Камера ПК" я вам писал ранее, между прочим диск (SD-карта) доступен даже при выключенном телефоне! Но продолжим.

В диспетчере устройств появится неизвестное устройство «USB Device». Устанавливаем в ручном режиме ранее скачанный драйвер, выбирая при этом разрядность вашей операционной системы.

В процессе установки у вас в диспетчере устройств должно появится три новых устройства, среди которых будет «SCI USBModem», это и будет модем телефона.

Далее создаётся стандартное Интернет-подключение. В качестве имени поставщика услуг можно писать всё что угодно, например «Мой GPRS». В качестве номера телефона указываем  "*99***1#" либо "*99#". Оба номера работают как для оператора Киевстар так и Life. Имя пользователя, пароль и подтверждение пароля оставляем пустыми.

Когда введёте все данные, нажимаете «Готово». Если поставить соответствующую галочку, создастся ярлык на рабочем столе, в противном случае, созданное подключение можно будет запускать с «Сетевого подключения».

Для подключения к Интернет запускаем только что созданное подключение... и вот он - ваш Интернет на компьютере.

Эта же инструкция с картинками здесь.

Успехов.

Защита конечных хостов.

Всем привет.

На очередном семинаре на тему ИТ-безопасности  с докладом выступал Владислав Радетский от фирмы OptiData. Как всегда содержательно и последовательно. И актуально  - из его доклада хотелось бы выделить фокус защиты конечных хостов. Собственно докладчик об этом говорит уже не первый год. Так как вектор атаки сейчас изменился, поэтому в 70% случаев будет действенно перекрыть канал доставки основного вредоносного кода.

Что же делать?

Контроль создания и запуска исполняемых файлов из:

• %Public%\*.exe
• %AppData%\*\*.exe
• %ProgramData%\*.exe

Контроль параметров запуска скриптов в Powershell:

• Execution Policy Bypass                   
• Hidden Powershell
• WMI script
• Download code
• Encoded commands

Контроль скриптов в файлах типа CMD, MSHTA и MS Office:

• блокировка выходного трафика
• запрет запуска CMD, MSHTA, MS Office для пользователей
• запрет перекрестных вызовов
• запрет запуска дочерних процессов из файлов MS Office 
• запрет записи и чтения запрещенных(не используемых в работе комплекса) типов файлов.

Также обязательно удаляйте метаданные из финальных версий файлов Microsoft Office и PDF. Есть такой инструмент как Foca, который вам поможет извлечь и проанализировать метаданные. Foca может извлекать данные из файлов Microsoft Office, PDF файлов, графических файлов и других. 

Чем, т.е. каким инструментом, контролировать такие запреты вопрос неоднозначный. Закупить мощный антивирус типа McAfee или SIEM типа QRadar? Решайте. Но однозначно экономить на защите вашей инфраструктуры сегодня нельзя!

Удачи.

Набор инструментов для начального расследования - часть 2.

Всем привет.

Мне справедливо подсказывают что я вчера ухватил только самые популярные инструменты для разбора IOC (Indicator of Compromise) от Владислава Радетского. Ну что ж, будем исправляться.

Вы абсолютно правы - надо добавить в список Process Monitor. Это бесплатная утилита для 32-битных и 64-разрядных операционных систем Microsoft Windows, разработанная тем же Sysinternals которая объединила в себе сразу 2 утилиты: FileMon (мониторинг файловой системы) и RegMon (мониторинг реестра). Она теперь предоставляет пользователям мощный инструмент для мониторинга файловой системы, системного реестра, а также всех процессов в оперативной памяти в реальном времени.

Следующей в активе гуру была замечена утилита PE Explorer. Это программа для просмотра, изучения, анализа и редактирования внутреннего устройства исполняемых файлов. С помощью PE Explorer вы можете исследовать как свои собственные программы и библиотеки, так и приложения от сторонних разработчиков, к чьим исходным текстам у вас нет доступа. Сюда же относится изучение устройства вирусов, троянов и прочих вредоносных программ.

PE Explorer позволяет открывать, смотреть и редактировать 32-битные PE (Portable Executable) файлы для Windows любого типа: EXE, DLL и ActiveX, SCR, CPL, SYS, DRV, MSSTYLES, MUI, BPL, DPL, и многие другие.

Построить GUI приложение в Powershell - легко.

Всем привет.

Недавно меня восхитила возможность строить красивые диаграммы в Powershell. Там была возможность построить на коленке dashboard для специалиста ИТ-безопасности.

Но я решил что одних диаграмм будет недостаточного, нужен небольшой GUI. Нужен? Да вот вам. Оказывается с помощью сборки System.Windows.Forms можно изобразить себе все что душе угодно. Правда? Абсолютно. Как это делается растолковано здесь с примерами. Да что там, вот пример PS1-кода из сети где собраны так сказать все возможности в одном месте.

Add-Type -assembly System.Windows.Forms

$main_form = New-Object System.Windows.Forms.Form
$main_form.Text ='Название формы'
$main_form.Width = 100
$main_form.Height = 100
$main_form.AutoSize = $true

$Label = New-Object System.Windows.Forms.Label
$Label.Text = "Label"
$Label.Location  = New-Object System.Drawing.Point(0,10)
$Label.AutoSize = $true
$main_form.Controls.Add($Label)

$button = New-Object System.Windows.Forms.Button
$button.Text = 'button'
$button.Location = New-Object System.Drawing.Point(160,10)
$main_form.Controls.Add($button)

$CheckBox = New-Object System.Windows.Forms.CheckBox
$CheckBox.Text = 'CheckBox'
$CheckBox.AutoSize = $true
$CheckBox.Checked = $true
$CheckBox.Location  = New-Object System.Drawing.Point(0,40)
$main_form.Controls.Add($CheckBox)

Набор инструментов для начального расследования.

Всем привет.

Рассказывая недавно про набор инструментов для начального реагирования на вирусную атаку вспомнил одного гуру по разбору кейсов с IOC (Indicator of Compromise). Да, я его уже упоминал на страницах моего блога. Но сегодня просто хотел бы перечислить те инструменты которые Владислав использует для разбора. Думаю вам будет полезно. Чтобы понять как он их использует достаточно перечитать любой из его кейсов, которые он публикует регулярно на своем блоге.

Не ошибусь если назову главным инструментом Владислава анализатор пакетов Wireshark. Почему он? Для того чтобы проводить исследования сетевых приложений и протоколов, а также, чтобы находить проблемы в работе сети, и, что важно, выяснять причины этих проблем. Wireshark - это достаточно известный инструмент для захвата и анализа сетевого трафика, фактически стандарт как для образования, так и для траблшутинга. Wireshark работает с подавляющим большинством известных протоколов, имеет понятный и логичный графический интерфейс на основе GTK+ и мощнейшую систему фильтров. Кроссплатформенный, работает в таких ОС как Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, и, естественно, Windows.

Далее следуют Autoruns и Process Explorer про которые я упоминал прошлый раз.

И замыкает обойму исследователя TCPView - это маленькая бесплатная программа для мониторинга TCP/IP подключений в Windows, написанная Марком Руссиновичем, известным специалистом по безопасности, работающем сейчас в Microsoft. Она показывает в реальном времени процессы на вашем компьютере использующие TCP протокол. Программа очень удобна для отлавливания вирусов, выявления сетевой активности разных программ, да и просто для того чтобы выяснить кто куда и зачем к вам подключился. Прямо из её интерфейса можно убивать нехорошие процессы, а можно просто закрывать их подключения.

Разумеется все исследования надо проводить на замкнутом полигоне, например в VirtualBox.

Успехов.

Альтернативы WSUS.

Всем привет.

Я уже писал про WSUS и как с ним бороться. В сети можно найти множество записей на эту тему. Вот к примеру вариант как приручали WSUS при помощи Ansible и не только.

Неплохие примеры, особенно радуют предложения по альтернативам к WSUS. И это понятно, претензии по функционалу WSUS есть у любого. Даже у меня).

Поэтому я решил проверить некоторые из них. К примеру, Patch Management от Comodo которая хоть и бесплатна, будет доступна вам только на рабочий email.

И зря ребята обошли вниманием полезную утилиту для Windows10 Windows Update MiniTool. Програмка предназначена для исправления урезанного функционала Windows Update в Windows 10.

Утилита Windows Update MiniTool возвращает привычный функционал установки обновлений. Утилита использует стандартную инфраструктуру Windows Update, а не списки обновлений на сторонних ресурсах.

Курсы DevOps онлайн.

Всем привет.

Не имея в своем городе достойных курсов по DevOps приходится выкручиваться онлайн. Недавно по этому поводу я вам рекомендовал книгу Эберхарда Вольфа (Eberhard Wolff) "Continuous delivery. Практика непрерывных апдейтов". Так вот, несмотря на мой предварительный скепсис книга оказалась достойная. Более того с сайта издательства "Питер" или с оригинального сайта автора можно скачать все исходники приводимых в книге кейсов. Это бомба. Бери и пробуй. А тестовые упражнения, как всегда, будут кстати.

А что же курсы? Курсы бывает разные, я приведу в пример те которые я проходил лично и бесплатно. Все они в той или иной мере касаются темы DevOps. Разумеется все курсы ведутся на английском языке.

https://www.udemy.com/

AWS Essentials   

Docker adn Selenium   

https://www.aws.training/

AWS Security Fundamentals Online (Released 2016)       

https://openedx.microsoft.com/dashboard

Azure Fundamentals (AZURE214x)  и DevOps Testing  (DEVOPS200.5).

Также здесь рекомендую пройти Continuous Integration and Continuous Deployment (DEVOPS200.3) и Application Monitoring and Feedback Loops (DEVOPS200.7).

https://courses.edx.org/dashboard

Introduction to DevOps (DEV212x).

Манера преподавания везде разная, где-то есть английские субтитры а где-то нет. Где-то отсутствуют лекции. Ведение собственных записей обязательно. 

Выбор за вами.

Инструменты для начального реагирования на вирусную атаку.

Всем привет.

Большинство вирусных атак проходит через этапы kill chain. При этом на каждом этапе вредоносное ПО оставляет на скомпрометированной машине следы, называемые индикаторами компрометации (IOCs). При расследовании инцидентов необходимо обнаружить такие индикаторы, определить этап атаки, которому они соответствуют, выявить уязвимости, использованные вредоносным ПО и предотвратить дальнейшее развитие атаки. Главная сложность при этом заключается в том, чтобы собрать достаточно уникальных индикаторов, которые позволят точно определить тип вредоносного ПО, используемого в каждой конкретной атаке.

В процессе обнаружения фактов (следов) сбор индикаторов компрометации является итерационным процессом, который необходимо повторить несколько раз, для того чтобы быть уверенным в полноте собранных индикаторов. Для сбора индикаторов компрометации можно воспользоваться описанными ниже инструментами.

SYSINTERNALS 

Sysinternals – это набор бесплатных программ (более 30-ти) для администрирования и мониторинга компьютеров под управлением операционных систем Windows. Пакет Sysinternals Suite включает в себя несколько десятков небольших утилит. Утилиты Sysinternals рекомендуется использовать для сбора первоначальных данных об инциденте. Скачать инструменты можно с сайта Microsoft® по ссылке https://technet.microsoft.com/en-us/sysinternals/default.aspx.

Наиболее важные утилиты, которые могут быть использованы при реагировании на инциденты, рассмотрены ниже.

PSTools – набор утилит командной строки для удаленного запуска приложений (PSExec), получения списка процессов на локальном или удаленном компьютере (PSList), принудительного завершения задач (Pskill), управления службами (PSService). Кроме того, в набор PsTools входят служебные программы для перезагрузки или выключения компьютеров, вывода содержимого журналов событий и многого другого.

Process Monitor – программа для наблюдения в реальном времени за действиями различных процессов в среде операционной системы Windows. Утилита включает в себя возможности мониторинга обращений к реестру, обращений к файловой системе и дополнительно позволяет получать более подробную информацию о взаимодействии процессов, использовании ресурсов, сетевой активности и операциях ввода-вывода.

Process Explorer – программа для наблюдения в реальном масштабе времени за действиями различных процессов и управления ими в среде операционной системы Windows.

Process Explorer позволяет:

• получать подробную информацию о всех процессах, выполняющихся в среде Windows;

• получать доступ к функциям управления процессами из главного меню или из контекстного меню выбранного процесса;

• использовать функции принудительного завершения (Kill), приостановки (Suspend) и продолжения выполнения (Resume) процессов;

• управлять не только процессами, но и потоками (Threads), а также динамически внедряемыми в основной процесс программными модулями (DLL);

• в любой момент времени принудительно выполнять дампы памяти (Minidump или Fill Dump) с сохранением в выбранный файл.

AutoRuns – утилита для 32 и 64-разрядных ОС Microsoft Windows, которая способна управлять автозагрузкой программ, сервисов, модулей, драйверов и других компонентов системы. Autoruns отображает все, что будет запущено на компьютере при старте ОС, регистрации пользователя и других событиях. Отображаются программы, загружаемые модули, драйверы, системные службы, назначенные задания, Winlogon. Утилита может показать свойства любого объекта, пути и параметры запуска, а также отменять их автозапуск. Утилита поддерживает возможность проверки файлов автозапуска по хешу на сервисе VirusTotal, при этом неизвестные файлы можно отправить на анализ в антивирусные лаборатории.

Перехватываем трафик с NetEventPacketCapture.

Всем привет.

Я хочу ловить сетевой трафик для выявления одной проблемы. Чем? Как? До изобретения своего велосипеда можно вспомнить о готовых продуктах, предназначенных для перехвата сетевого трафика и последующего анализа. Вот основные программы, занимающиеся анализом трафика. Из бесплатных это TCPdump, Wireshark и MS Message Analyzer. В зависимости от имеющегося сетевого оборудования это еще могут быть встроенные средства типа Mikrotik Packet Sniffer.

Но оказалось что ловить сетевые пакеты можно просто из командной строки Powershell с использованием набора командлетов NetEventPacketCapture. Такая фишка начиная с Windows 8.1/2012R2.

Но, если вы помните, поскольку в PowerShell можно использовать инструментарий .NET, то еще до появления набора командлетов NetEventPacketCapture в сети был скрипт сниффера Get-Packet. Ознакомиться с вариантом его работы можно здесь.

А сегодня разберем пример с NetEventPacketCapture.

Представим, что на компьютере пользователь работает в терминальной сессии, подглядим за его работой при помощи PowerShell.

Для начала создадим подключение к компьютеру пользователя:

$Cim = New-CimSession -ComputerName 'WASA07'

Перенос пользователей в AD.

Всем привет.

Случается перенос базы пользователей с одного домена в AD на другой. Штатных есть три варианта: утилитами CSVDE, LDIFLE и RSAT(Powershell).

Как принято вначале выполняем экспорт, а потом, естественно, импорт базы.

CSVDE:

Eхport CSVDE:
csvde -f C:\123\exportAD.csv -m -n -o "primaryGroupID,lockoutTime" -j d:\Logs\

Import CSVDE:
csvde -i -f C:\exportAD.csv -k -j D:\Logs\


При использовании этих утилит не экспортируются атрибуты, связанные с безопасностью — имена групп, которым принадлежат пользователи и пользовательские пароли. Пользователям присваиваются пустые пароли и атрибут "Требовать смену пароля при следующем входе в систему".

LDIFLE:

ldifde -u -f C:Exportuser.ldf -s dc2 -d "dc=mydomain,dc=local" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))" -l "cn,sn,description,givenName,initials,displayName,name,objectclass,profilePath,homeDirectory,homeDrive,samAccountName,mail"

Затем с помощью текстового редактора автоматически меняем в файле Exportuser.ldf имя домена у всех пользователей:
DC=mydomain,DC=local на DC=new,DC=mydomain,DC=local

И делаем импорт:
ldifde -i -f C:Exportuser.ldf -s dc02

При экспорте, если есть проблемы с русскими атрибутами пользователей, надо добавить ключ -u, т.е. экспорт в юникод. Ключ -f указывает на файл обмена.

RSAT(Powershell):

Export to CSV:
get-aduser –filter * -property * | export-CSV d:\export\adusersexport.csv -NoTypeInformation -Encoding UTF 8

Import CSV:
Import-Module ActiveDirectory
$USERS = Import-CSV d:\export\adusersexport.csv

$USERS|Foreach{
Set-ADUSer -Identity $_.samaccountname -TelephoneNumber $_.TelephoneNumber -MobilePhone $_.MobilePhone -StreetAddress $_.StreetAddress -City $_.City -Title $_.Title}?

Ежели сильно сухо то ниже привожу подробную инструкцию от одного парня.

ETIAS - без анкетки никуда.

Всем привет.

Европейский парламент 5 июля утвердил создание системы авторизации и информирования про путешествия ETIAS, которая изменит правила въезда в Шенгенскую зону. Об этом сообщается на сайте Европарламента. После внедрения системы граждане стран, которые не входят в ЕС, но освобождаются от необходимости получения виз, теперь должны будут получить разрешение на въезд на территорию шенгена заблаговременно перед поездкой. Редактор AIN.UA разобрался, как это повлияет на украинцев и безвиз.

Что тут скажешь, массовый отток недополученных евро за открытие шенген-виз все-таки ощущается.) 

Трудно комментировать многие пункты, но настораживает присутствие так называемых вопросов-триггеров, под которые можно получить запрет практически каждому второму соискателю. Например информация про поездки в зоны конфликта - что является такой зоной? Что является такой поездкой если ты там находишься по приказу твоего государства. Или другой вопрос о состоянии вашего здоровья. Как это проверить? И кто имеет право хранить про меня такую информацию? Особенно это актуально в свете внедрения в ЕС того же GDPR. Правила защиты персональных данных должны быть прозрачными для всех!

Полноценный запуск системы ETIAS запланирован на 2021 год. До этого времени сохраняются старые правила пересечения границ государств-участников шенгенского соглашения. Время на свободные путешествия у свободного человека еще есть.)

Ну, такое.

ESET Log Collector.

Всем привет.

Полагаю вы знаете, что всякий брендовый антивирус имеет инструмент для сбора данных с ОС для разбора технической поддержкой случаев ее заражения. Год тому мне представился случай заниматься сбором данных с помощью инструментов экспресс-диагностики Symantec.

А недавно свои услуги предложил другой именитый бренд - ESET. Ситуация требовала быстрого вмешательства, поэтому был задействован ESET Log Collector. В принципе запуск коллектора прост, далее выбор профиля сбора данных, чаще это "Все" и жмем "Собрать".

А вот тут меня ждал сюрприз. ESET Log Collector для сбора данных использует другую свою утилиту ESET SysInspector. Которую он желает скачать из интернета. А с этим как раз и не сложилось. Хост был отключен от сети так как имелось подозрение на вирусного червя. Что делать? Выход был найден такой - запускаем ESET Log Collector на другой ОС такой же разрядности и даем ему команду "Собрать". И в папке с ESET Log Collector появляется ESET SysInspector. И вот после этого их ВМЕСТЕ (три ехе-файла) доставляем на подозрительную ОС для сбора данных.

Кстати сам ESET SysInspector довольно симпатичная утилита которая может показать различные данные в зависимости от уровня риска уязвимости вашей ОС.

Удачи.

My real case of Symantec support.

Hello everybody.

It's me again. Today I have one interesting story. It's story about Technical Support. It was technical support for our good antivirus system - Symantec. One year ago we had process of changing antivirus system from one vendor (Trend Micro) to another (Symantec). But we had some Windows servers with obsolete operating systems for current time. It was Windows server 2003 SP2. Our server applications were working well so we hadn't requirements for urgent  update our server OS. And Symantec wrote us that their compnay had version 2003 Windows server yet. So we were quite and were sure that installation of new version of Symantec Endpoint Protection will be no problem.

And what was after that?

May be you guess. Installtion for every Win2003 server was crashed. 

Really? 

Суттєве доповнення до вашого резюме.

Всім привіт.

Час від часу доводиться надсилати своє резюме до нових работодавців. Звісно моє резюме має відомості, тобто персональні дані (ПД), які мене ідентифікують як фізичну особу. А з введеням в дію GDPR увага до ПД отримала новий фокус.

Як нам відомо Закону України «Про захист персональних даних» від 01.06.2010р. № 2297  регулює відносини, пов'язані із захистом персональних даних під час їх обробки.

Так от посилаючись на статтю 8 Закону України «Про захист персональних даних» потенційний работодавець все частіше вимагає моєї згоди на обробку моїх ПД. При цьому під обробку він закладає буквально ВСЕ: збір, реєстрація, накопичення, зберігання, адаптування, зміна, відновлення, використання, знеособлення, знищення моїх ПД. Все це має бути реалізовано з метою забезпечення можливих трудових відносин.

Вважаєте що цього досить? Ні. Також работодавець вимагає згоди на поширення моїх ПД (реалізація та передача третій стороні). О це вже, панове, перебір. Навіщо работодавцю під час розгляду мого резюме передавати його ще комусь. Таку згоду він може отримати тільки після підписанного контракту, не раніше!

Надаючі таку згоду ми, по суті, надаємо право кампанії, в якій ми навіть ще не працюємо, робити з нашими ПД що завгодно. Тобто якщо ваші ПД випливуть назовні, я впевнений що юрист кампанії знайде потрібне слово зі списку вище.)

Тому пропоную в резюме останнім пунктом вписувати наступне:

1. заборону на поширення ПД (передача третій стороні тощо)
2. обмеження терміну зберігання ПД (резюме тощо) в базі кампанії на півроку.

Бережіть себе.

Однако Google Maps.

Привет всем.

Уважаемый читатель, я помню что пару лет назад я легко мог построить маршрут в Google Maps одной строкой. Но, к моему сожалению, сегодня  этого сделать так легко я не могу. Мой совет уже не помогает. Максимум чего я смог добиться это построение маршрута слету только между двумя пунктами. 

Добавление третьего пункта через "to:" уже не помогает, а только все рушит. Так что опять все остальные пункты вбиваем ручками через "Маршрут".

Такое.