Главная

Saturday, 25 August 2018

Сопоставляем результаты поиска с разных инструментов.

Всем привет.

Хочу заметить что в процессе исследования компьютерных следов чьих-то действий следует быть максимально подозрительным. И проверять результаты поиска с разных инструментов сопоставляя их между собой.

Доверяй но проверяй!

Свежий пример.

Вы наверное знаете что в историю вашего web-браузера Internet Explorer попадает вся хронология открытия файлов на вашем ПК. Даже если он у вас установлен не по умолчанию. Такая вот тесная интеграция IE в оболочку Windows.

Итак берем BrowsingHistoryView от NirSoft и читаем нашу историю. Лично у меня не было повода не доверять результатам этого инструмента.

Выбираем файл Bellydancer.jpg который я открывал 22-го числа.
Сведения по файлу следующие:

URL  : file:///D:/vix/111/Bellydancer.jpg
Title   : 
Visit Time  : 22.08.2018 14:52:37
Visit Count : 15
Visited From : 
Web Browser  : Internet Explorer 10
User Profile     : 
Browser Profile  

Вот тут возникает вопрос - как читать время обращения до секунды если указано что файл открывался 15 раз?

Более того BrowsingHistoryView считает что это был IE 10-й версии. Ну точно нет. 10-го там не было никогда. IE там остановился на 8-й версии.


Тогда я решил проверить тот же файл своим кодом, а именно утилитой IEHistoryView. Как видите, она мне показала другое время обращения, которое даже не похоже на смещение от GMT.

И в BrowsingHistoryView и в IEHistoryView использовались вызовы API.

Таким образом вывод что надо проверять результаты даже от известных утилит.
Сюрпризы на каждом шагу.




Thursday, 23 August 2018

Мега-сборка плагинов безопасности в Firefox.

Всем привет.

Скажу сразу что я чаще пользуюсь web-браузером Chrome. Он быстрее других, его управление меня устраивает, зачем искать что-то еще. Но с web-браузером Firefox у меня особая дружба. Кстати этот браузер до сих пор работает на XP в полном объеме. Тогда как Chrome там уже не поддерживается. В Firefox-e туча полезных плагинов (add-on), которые делают из этого браузера прямо таки комбайн на нивах интернета. Единственную печаль привносит тот факт что с новой версией браузера не все любимые плагины смогут работать, и надо искать либо обновления либо альтернативу.

Ниже следует мега-сборка информации по плагинам Firefox которые позволяют вам бороздить просторы интернета более безопасно и эффективнее

Источник и полная статья здесь:

Найти все описанные дополнения можно на сайте дополнений для Firefox:

TorButton

TorButton — Расширение добавляет кнопку для простого и быстрого включения/выключения Tor в браузере. На сегодняшний день это единственное расширение Firefox которое может безопасно управлять использованием Tor из браузера, защищая от утечки IP, кук и более общих атак на приватность.

Управление прокси

MM3 ProxySwitch — В Браузере Firefox (и других программах Mozilla) Вы можете переключать установки только для одного Интернет-соединения. С MM3-ProxySwitch вы можете управлять различными конфигурациями и просто переключаться между ними.

FoxyProxy — По умолчанию, политика выбора прокси такова что через прокси сервер происходит обращение только к URL совпавшим с шаблоном.

Контроль JavaScript, Java, Flash и других нежелательных элементов страницы.

NoScript — С помощью NoScript вы сможете разрешить исполнение JavaScript, Java и других плагинов только для доменов и сайтов, установленных вами (например, это может быть ваш собственный сайт). Дополнение, основанное на принципе упреждающего блокирования, позволяет предотвратить использование уязвимостей (известных и ещё не известных!) без потери функциональности. После установки расширения в настройках можно дополнительно установить, что именно не следует загружать при открытии страницы (элементы Java, Flash, или других плагинов). В итоге вы получаете дополнение, которое не только позволяет повысить защищённость сёрфинга в сети, но и косвенным образом позволяет блокировать некоторые виды рекламы, а также межсайтовый скриптинг и т.п.

Внимание: функция белых списков (разрешения javascript для определённых доменов) требует внимательного обращения или, предпочтительно, полного отключения при использовании через Tor, так как злоумышленный exit-узел может подсунуть зловредный скрипт (или иной разрешённый объект) якобы от домена из белого списка.

Flashblock — Это расширение блокирует загрузку всех флэш-роликов с веб-страниц, оставляя вместо них пустую рамку с кнопкой. Щелкнув мышью по этой кнопке вы можете просмотреть данный флэш-ролик.

Tuesday, 21 August 2018

GLPI как беcплатный HelpDesk.

Всем привет.

Рано или поздно в любой кампании поднимается вопрос о эффективности работы подразделения ИТ. Вопрос может подниматься как непосредственным руководством в ИТ, так и вышестоящим - "Чем это вы там заняты?". Поэтому в первую очередь, логически, необходима система регистрации обращений пользователей в IT отдел. 

Что же предложить? А неплохо бы внедрить систему HelpDesk.
Для начала она должна иметь:
  • бесплатность (все берегут бюджет кампании).
  • возможность сбора статистики и построения красивых отчетов.
  • подсистему уведомлений.
  • иметь FAQ и строить свою базу знаний.

Оказалось что есть такое чудо. Ее имя  GLPI. GLPI аббревиатура для Gestionnaire libre de parc informatique (Свободная система управления  ИТ-инфраструктурой), является комплексной системой управления ИТ-инфраструктурой предприятия.

Программное обеспечение написано на языке PHP плюс MySQL, фронтенд на HTML и JavaScript, является полностью бесплатным продуктом с открытым исходным кодом (GNU General Public License, version 2.0 GNU GPLv2).

Домашняя страница проекта – http://www.glpi-project.org/spip.php?lang=en

Система GLPI может быть развернута как на открытых операционных системах типа Linux, так и на коммерческих системах типа Windows.

Sunday, 19 August 2018

Event Log Forwarding как бесплатный коллектор событий.

Всем привет. 

Продолжаем тему SIEM.

Поговорим немного про сами события, и как их можно собрать до установки SIEM.

Начиная с версии Windows 2008 Server появилась возможность по работе с журналами событий называемая  Event Log Forwarding (subscription), которая основана на технологии WinRM. Данная функция позволяет вам получить все события со всех журналов с множества серверов(и станций) без использования сторонних продуктов и настраивается все это в течении всего пары минут. Если повезет то все заработает сразу.) Возможно, именно эта технология позволит вам отказаться от платных сборщиков событий типа Splunk. Хотя надо помнить что Event Log Forwarding из коробки работает только с событиями OS Windows.

Итак у вас есть сервер Windows 2008+, запущенный в качестве коллектора логов с одного или нескольких источников. В качестве подготовительной работы нужно выполнить несколько шагов.

Для настройки Windows Event Forwarding необходимо на сервере, который будет выступать в роли Коллектора логов (сервер Windows Event Collector) выполнить следующие действия:
  • Настроить подписку (Subscription);
  • Включить и настроить службу Windows Remote Management (WinRM).

На серверах и рабочих станциях (Источник событий), с которых будут собираться логи коллектором нужно выполнить:
  • Включить отправку логов на удаленный WEC сервер;
  • Создать разрешение для сервиса Network Logon на чтение Event Log;
  • Включить службу Windows Remote Management.

Пошагово можно глянуть тут и тут.

Saturday, 18 August 2018

SELKS как ELK для Suricata.

Всем привет.

Популярное на сегодня понятие SIEM (Security information and event management) - объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) - управление информационной безопасностью, и SEM (Security event management) - управление событиями безопасности. Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.

Среди топовых SIEM можно назвать ArcSight, QRadar, Splunk, Qualys и MaxPatrol. Они все платные.

Любители бесплатных решений используют так называеемый ELK stack (Logstash+Elasticsearch+Kibana):
  • Logstash - сбор логов
  • Elasticsearch - хранение и быстрый поиск по логам
  • Kibana - визуализация

По идее в SIEM каждый администратор хочет видеть через графический интерфейс, что у него хранится в различных логах. Например, при проведении нагрузочного тестирования это позволяет получать больше информации о работе системы, а значит, повышается качество тестирования.


Thursday, 16 August 2018

Как роутер Mikrotik прокачивает скилы сетевого инженера.

Всем привет.

По счастливой случайности представилась возможность познакомиться с сетевым роутером MikroTik. MikroTik - одна из всемирно известных компаний, занимающаяся разработкой и внедрения новых технологий в беспроводные компьютерные сети. Основными достижениями MikroTik является их программное обеспечение - RouterOS, а также их знаменитое аппаратное средство - RouterBOARD.

Действительно, роутеры MikroTik позволяют в принципе решить многие сетевые задачи в кампаниях малого и среднего уровня вложив при этом средства на порядок меньшие чем за те же решения от Сisco. Более того, есть крупные кампании которые позволяют себе закрыть дополнительные вопросы сетевого оборудования с помощью MikroTik там где особо не требуется железо другого именитого бренда.

За что такая честь? Думаю что это хвала заслуженная. Вам достаточно глянуть на богатющие возможности идущие прямо из коробки - Mikrotik RouterOS - мечта сисадмина. И все это за ... 22 доллара на примере популярного MikroTik hAP lite classic (RB941-2nD).

Главная фишка Mikrotik это то что устройства компании Mikrotik поставляются с уже установленной операционной системой MikroTik RouterOS™. В зависимости от модели роутера, операционная система доступна пользователю с одним из 4-х подуровней (level 3/level4/level 5/level 6), различающихся между собой по ряду характеристик. При покупке готового оборудования лицензия уже предустановленна. Лицензию можно купить отдельно, в случае, если Вы хотите обновить Ваше оборудование с одного уровня программного обеспечения на другой.

Это значит что любой роутер Mikrotik имеет на борту RouterOS, которая имеет больше или меньше доступных функций. И вам как админу не надо изучать каждый роутер отдельно.


Wednesday, 15 August 2018

Python Programming for Hackers and Reverse Engineers.

Всем привет.

Не редко хорошая книга служит ключевым моментом в развитии профессионала. Вот и сегодня хотелось бы вам порекомендовать такую - Gray Hat Python. А полное название Python Programming for Hackers and Reverse Engineers от автора Justin Seitz. В сети можно найти перевод издания.


Python стал основным языком программирования для хакеров, инженеров-реверсоров и тестировщиков программного обеспечения, потому что им легко писать, и у него есть поддержка и библиотеки низкого уровня, которые делают хакеров счастливыми. Но до сих пор не было реального руководства по использованию Python для различных задач взлома. Вам приходилось копаться в сообщениях форума и страницах руководства, бесконечно настраивая свой собственный код, чтобы все работало. Уже нет.

Gray Hat Python объясняет концепции инструментов и методов взлома, таких как отладчики, трояны, фьюзеры и эмуляторы. Но автор Justin Seitz выходит за рамки теории, показывая вам, как использовать существующие инструменты безопасности на базе Python, и как создавать свои собственные, когда предварительно построенные не будут сокращать его.

Вы узнаете как:
  • автоматизация утомительных задач реверсирования и безопасности
  • создавайте и программируйте собственный отладчик
  • узнайте, как путать драйверы Windows и создавать мощные фьюзеры с нуля
  • получайте удовольствие от инъекций кода и библиотеки, мягких и жестких методов привязки и других программных обманщиков
  • sniff безопасный трафик из сеанса зашифрованного веб-браузера
  • используйте PyDBG, Debugger Immunity, Sulley, IDAPython, PyEMU и другие.

Код представленный в книге доступен на сайте издательства.

Так что пополняем свою библиотеку знаниями про Python.
Успехов вам в кодировании.


Sunday, 12 August 2018

Инструментарий обеспечения готовности по постановлению №95.

Всем привет.

Продолжим тему 95-й.

На форуме In4Sec c докладом "Проверка готовности к постановлению №95 от НБУ" выступил представитель фирмы "Бакотек" Игорь Смолянкин. Собственно доклад был весьма полезен тем что напротив каждого пункта Игорь предложил техническое решение, которое позволяет этот пункт реализовать на практике.

В начале вкратце Игорь напомнил всем предисторию и стандарты на которых появилась идея: 
  • ISO / IEC 27001
  • ISO / IEC 27002
  • PCI DSS
  • СУИБ и другие постановления НБУ.

Основные положения постановления: 
• контроль прав доступа, полномочий;
• выявление атак;
• мониторинг событий информационной безопасности;
• контроль доступа к сети;
• защита электронной почты;
• предотвращение атак, направленных на отказ сервисов;
• антивирусная защита;
• двухфакторная аутентификация.

А  далее по пунктам  которые требуют инструментального решения. 

36. Банк зобов’язаний розробити та затвердити внутрішні документи, які встановлюють вимоги щодо використання, надання, скасування та контролю доступу до інформаційних систем банку і мають містити: 
1) вимоги до ідентифікації, автентифікації, авторизації користувачів;
2) послідовність дій під час управління доступом, у тому числі в разі віддаленого доступу (реєстрація, надання повноважень, перегляд та скасування доступу);
3) перелік типових функцій та прав доступу до інформаційних систем банку;
4) вимоги щодо здійснення заходів контролю доступу, уключаючи контроль за діями привілейованих користувачів;
5) періодичність контролю наданих прав доступу; 
6) вимоги до протоколювання дій під час управління доступом.

Инструмент:
Quest Change Auditor
One Identity

Saturday, 11 August 2018

Декларация информационной безопасности банка.

Всем привет.

Вы читали постановление Национального банка Украины №95? Нет? А, так вы не работаете в банке. Тем не менее сей документ может быт полезен всем специалистам информационной безопасности.

Нашумевшее постановление Национального банка Украины №95 "Про затвердження Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України" прошлого года. Такой вот документ по информационной безопасности для коммерческих банков был издан длиной в 150 пунктов. НБУ всех предупредил.

Анализируя документ с технической точки зрения попал на замечательного коллегу по перу Максима Олейника где он в своей статье "Постанова НБУ №95. 150 шагов к безопасности банка" подробно прошелся по пунктам это постановления. Иногда останавливаясь на возникших попутно вопросах. Я бы мог вам дать просто ссылку на оригинал (впрочем вот она), но мне хочется вставить и свои пять копеек. Поэтому я позволю себе заимствовать его текст ниже почти полностью.

В этой статье мы определим суть требований изложенных в постановлении №95 Национального Банка Украины от 28 сентября 2017 года. Данный документ регламентирует требования к организации мероприятий по обеспечению информационной безопасности в банковской среде Украины. Помимо этого, мы попытаемся понять предпосылки и своевременность появления данного положения, а также сравним его требования с другими подобными европейскими и мировыми нормами.

Современные тенденции развития банковского сектора предполагают наличие широчайшего спектра услуг предоставляемых потребителям, которые они получают в реальном времени. Значит, успешно функционировать при таких условиях возможно только при эффективном и широком применении автоматизированных компьютерных систем и средств.

Повсеместная компьютеризация, помимо удобств, имеет и недостатки, т.к. корпоративная инфраструктура подвержена удаленным анонимным атакам. Разнообразие видов и целей атак постоянно увеличивается. Все об этом наслышаны, но, к сожалению, вопросы кибербезопасности были подняты на качественно новый уровень только после масштабной хакерской атаки на предприятия и учреждения Украины в 2017 году.

Вот мы и разобрались с глобальными предпосылками появления Положения №95 от НБУ и что конкретно послужило триггером этого процесса.

Первое впечатление что не случись массовая кибератака в 2017-м, то документ бы так и не родился. 

Friday, 10 August 2018

Разведка из открытых источников.

Всем привет.

Продолжим историю о том как сейчас меняется вектор атаки на ресурсы кампании. Сегодня пройдусь по следам Дениса Макрушина который специализируется на исследовании угроз и разработке технологий защиты от целевых атак.

В одной из прошлых колонок Денис рассказал о стадиях целенаправленных атак (kill chain). Первая стадия, стадия «разведки», начинается задолго до того, как атакующий дотронется до первой машины жертвы. От количества и качества данных, собранных на этом этапе, зависит успешность атаки и, самое главное, стоимость ее проведения.

Разумеется, можно стучаться эксплоитами на уязвимые сервисы, доступные на периметре (и, например, засветить сами эксплоиты и свое присутствие в логах систем защиты), а можно использовать spear phishing и закрепиться на рабочей станции внутри периметра. Результат будет достигнут в обоих случаях, но стоимость атаки совершенно разная.

Стадия разведки - ключевая для выбора тактики, техник и инструментов (tactics, techniques and procedures, далее TTPs), которые будут использоваться для достижения цели. Однако чаще всего задача разведки заключается в следующем: найти как можно больше потенциальных точек входа для доступа к цели и оценить стоимость реализации обнаруженных векторов. Для того чтобы усложнить жизнь атакующему, который проводит разведку, необходимо понимать, какие TTPs он использует на данном этапе.

По аналогии с старым автомобилем у которого двери могут быть открытыми, закрытыми и незакрытыми мы будем искать те самые Незакрытые двери.

От множества точек входа в корпоративную сеть зависит множество векторов атак, доступных злоумышленнику. Можно формально классифицировать точки входа:

  • информационные системы, расположенные на периметре и имеющие доступ в интернет (серверы, рабочие станции, административные панели специального оборудования);
  • мобильные устройства, используемые сотрудниками внутри периметра и за его пределами;
  • учетные записи в облачных сервисах сотрудников (в том числе используемые в личных целях).

Последний пункт зачастую требует от атакующего «интерактива» с жертвой (например, коммуникацию с объектом фишинговой атаки), что повышает риск обнаружения атаки. Поэтому в некоторых случаях приоритет отдается доуступным точкам входа, расположенным на периметре.

Wednesday, 8 August 2018

Foca - анализируем метаданные и не только.

Всем привет. 

Затрагивая тему защиты конечных хостов был упомянут хитрый инструмент Foca. Это такой мощный инструмент для извлечения и анализа метаданных. Так вот, Foca может извлекать данные из файлов Microsoft Office, PDF файлов, графических файлов и т.д. Foca может вытаскивать подробную информацию о месте где производилась фотосъёмка по сохранённым GPS данным.

Возможности ее таковы:
- extracts metadata from Open Office, MS Office, PDF, EPS and graphic documents.
- network discovery
- fingerprinting
- DNS Cache Snooping
- discover what websites the internal users of a network are browsing on.
- exports data into a report.
- uses Google, Bing and Exalead to find and examine the following file types on a target website - doc, ppt, pps, xls, docx, pptx, ppsx, xlsx, sxw, sxc, sxi, odt, ods, odg, odp, pdf, wpd, svg, svgz, indd, rdp, and ica. From the extracted metadata, FOCA can find information on users, folders, printers, software, emails ,operating systems, passwords, servers.

Судя по всему инструмент бесплатный, к сожалению сайт разработчика этого инструмента на сегодня умер. Поэтому проверить актуальную версию возможности нет. Тем не менее инструмент полезный, мне удалось найти версию 3.0.


Foca анализирует данные с файлов которые она выкачивает с сети, т.е. web-сайта. Локальные файлы для анализа вы можете добавить просто по выпадающей менюшке, пункт "Add file".

После того Что вы найдете встает вопрос как это все очистить.)

Для тех из вас, кто хочет избавиться от любых персональных метаданных из любых данных, которые будут разделены с другими, есть способы удалить метаданные из информации о файлах. Вы можете использовать существующий редактор документов или изображений, которые обычно имеют встроенные возможности редактировать метаданные. Но есть отличный отдельный инструмент по очистке метаданных, которые разработан для единственной цели: анонимизировать все метаданные для вашей приватности.

MAT (Metadata Anonymisation Toolkit - инструментарий анонимизации метаданных) - это отдельный чистильщик метаданных, написанный на Python. Он был разработан под крылом проекта Tor, и поставляется в стандартном наборе на Tails, продвинутую в вопросах приватности live OS.

По сравнению с другими инструментами, таким как exiftool, которые могут записывать только в ограниченное количество типов файлов, MAT может ликвидировать метаданные из файлов любого типа: изображения (png, jpg), документы (odt, docx, pptx, xlsx, pdf), архивы (tar, tar.bz2), аудио (mp3, ogg, flac) и т.д.

Sunday, 5 August 2018

Кавычки в PowerShell.

Всем привет.

Кавычки в PowerShell. Что может быть прозаичнее? Однако не спешите с выводами. Иногда хороший код начинает чудить только про причине того что не там стоит кавычка или она не та что надо, или не парная, или другого стиля. Последнее часто бывает если фрагмент кода взят с интернета.

Пойдем по порядку.

Строковые значения в PowerShell встречаются довольно часто. Как правило, они передаются командам как аргументы. Иногда строки заключаются в двойные или одинарные кавычки, а иногда обходятся без них. Неправильно поставленные (или не поставленные) кавычки являются причиной множества ошибок в коде, поэтому очень важно помнить правила работы с кавычками: когда текст нужно заключать в кавычки, когда нет и когда какой тип кавычек лучше использовать.

Для начала посмотрим, что дает нам использование кавычек. В качестве примера назначим переменной $a значение 123 и выведем ее тип данных:
$a = 123
$a.GetType()
Затем сделаем то же самое, только значение переменной заключим в кавычки:
$a = ″123″
$a.GetType()
В первом случае переменная имеет тип данных Int32 (32-разрядное число), а во втором String (строка).


Из примера видно, что наличие кавычек однозначно указывает на то, что объект имеет тип String. Другими словами, когда текст заключается в кавычки, PowerShell рассматривает его как строку.

Надо сказать, что PowerShell и сам умеет определять тип данных. Так если значение состоит из одних цифр, то объект определяется как числовой, если же в значении содержится хотя бы одна буква, то PowerShell определяет объект как строку, вне зависимости от наличия\отсутствия кавычек.