Pull to refresh
4
0
Send message

SUID бит (s флаг в user части) должен присутствовать, иначе утилита бы не работала как задумано, для примера из находившегося под рукой:

не обновлявшийся какое-то время дистрибутив kali (PoC там работает)

user@kali64:~$ ls -lash /usr/bin/pkexec
24K -rwsr-xr-x 1 root root 23K Jun 25 2021 /usr/bin/pkexec

свежий debian 11 с последним патчем на polkit (PoC там ожидаемо не работает)

user@deb11:~$ ls -lash /usr/bin/pkexec
24K -rwsr-xr-x 1 root root 23K Jan 13 22:32 /usr/bin/pkexec

Возможно, на вашей инсталляции уже были выполнены какие-то действия с разрешениями?

Однако, в указанную логику не укладываются используемые широким кругом потребителей платные вендорские подписки (например, от того же Касперского). OSINT'ом метод платного получения закрытой подписки никак не назовешь


Поправлюсь, с тем, что информация из платных источников это не открытая, я конечно, перегнул. Поскольку открытая информация, эта та информация, которая не является конфиденциальной, проприетарной, и т.п., то корректнее будет сказать, что в случае платных источников «it depends».
Позвольте мне уточнить контекст.

Я, пожалуй, тоже уточню контекст, т.к. мне кажется, что мы рассуждаем о разных вещах.

Разумеется в AV-компаниях (или иных security решений) специалисты сами производят огромные объемы TI посредством собственной аналитики, реверса, внутренних исследований и тд. Но для конечных потребителей и сервис-провайдеров (к коим мы с Вами относимся) OSINT/SOCMINT являются основными источниками данных.

Это смотря на то, насколько полную цепочку понимать под данными действиями. В качестве примера приведу широко известный агрегатор индикаторов otx.alienvault.com, которым в той или иной степени все пользуются. Как заявляет alienvault, основными источниками их TI являются:

  • результаты анализа артифактов собственной командой
  • информация по индикаторам, которая автоматизированно собирается ханипотами, сенсорами атак и т.д. по всему миру
  • результаты мониторинга открытых и закрытых форумов и иных площадок
  • сведения, полученные путем взаимодействие с различными агенствами, ИБ вендорами, независимыми исследователями и т.п.

Т.е. по сути один из основных источников это анализ (чаще всего — автоматизированный) инструментария. Конечно, результат сбора и анализа, который содержится на OTX, открыто доступен широкому кругу ИБ-потребителей и с этой точки зрения его можно назвать Open Source Intelligence. Однако, OSINT будет в данным случае вторичным методом получения информации. Если следовать данной логике, то на вопрос «откуда берется хлеб» можно ответить «покупается в магазине за денежные знаки» или даже «из тумбочки» :-)

Однако, в указанную логику не укладываются используемые широким кругом потребителей платные вендорские подписки (например, от того же Касперского). OSINT'ом метод платного получения закрытой подписки никак не назовешь. Хотя, можно придумать такой термин как PAIDINT %)

Еще раз хочу повториться, что статья, в целом не об определениях TI, а о методах «докручивания» информации об индикаторах.
Не благодарите %)


тем не менее, большое спасибо за развернутый комментарий! :)

Threat Intelligence — это не сбор информации, раз уж на то пошло

процесс сбора и анализа данных тоже абсолютно справедливо называется Threat Intelligence


Ок :) Как Вы верно заметили, TI это не только сбор и анализ соответствующих данных, но и получаемый по упомянутому анализу результат. Термин «Киберразведка» действительно также может быть применим к описываемому в статье, просто я решил использовать альтернативный (автор — это я, как Вы, возможно, догадались).

OSINT и SOCMINT — основные источники TI всех типов на текущий момент, а не «возможные методы» которые «могут способствовать улучшению чего-то там».


Не соглашусь с данным утверждением. Если говорить о TI, к которой применимо множество методов из Intelligence Assesment (т.е. сбора разведданных), первично определенных US military, то OSINT и SOCMINT (который является составной частью OSINT) далеко не основные «дисциплины», т.е. виды деятельность по получению Threat Intelligence. Достаточно существенную роль играет, например, TECHINT — когда путем реверс-инжиниринга инструментария злоумышленника вычленяются необходимые данные (адреса C&C, промежуточных серверов со стейджами, особенности функционирования протоколов взаимодействия ВПО с управляющей инфраструктурой и т.п.). Также важен SIGINT (и его подвиды), используемый для вычленения индикаторов на основании данных собираемых с контролируемой инфраструктуры. А взаимодействие с органами охраны правопорядка для получения информации от них по признательным показаниям пойманных кибер-злоумышленников — это HUMINT :)

Тем не менее, все это — скорее вопросы терминологии. А в статье больше говорится о «докрутке» и обогащении уже имеющейся Threat Intelligence информации, которая, к сожалению, бывает недостаточно полной (даже та, что получена из закрытых платных подписок)

Information

Rating
Does not participate
Registered
Activity