Привет. Спасибо за хинт с BlockAttackingHosts=No, кажется прикольным вариантом если форвардить алерты в SEIM чтобы не пропустить что-то в проде, протестим.
> --set-settings работает на лету в 99% случаев,
Жаль, что вы не работаете в техподдержке ЛК %)
Однако: 1. Задача в т.ч. была выяснить корневую причину срабатывания, т.е. на какой трафил Каспер агрится. Просто отключив блокировку ты получишь только лог с набором 4х унылых cve-х (да простят меня экс-коллеги из АМР и Грейта) которые слабо соотносятся с реальными чеками 2. В условиях был "большой госзаказчик" где внесение изменений без "санитаров и девопсин" привлечет внимание не только санитаров. Но и лесников. Ну те, которые всех разогнали. Поэтому нужно было воспроизвести на стенде и прочекать стоковые и кастомные чеки. Так родился Нюк-Нюк 3. У Нюк-Нюка появилось и другое применение - спамить Нуклей-кидди. И еще классный маскот, вот :)
>и, запихав в эксклюды вы пропустите все атаки, в тч "ложно-положительные"
все так, прочекаем в связке с siem и фильтрацией алертов от пробника.
Добрый день. https://www.cyberok.ru/policy.html Процедура ответа на инциденты В случае обнаружения активности со стороны Компании, которая вызывает опасения, просим немедленно связаться с нами по адресу: abuse@cyberok.ru. Мы гарантируем оперативное рассмотрение всех обращений и принятие необходимых мер.
С третей стороны полученные словари верифицированных учеток прекрасная цель для спрея, но это же не важно, это же неуловимый джо :)
Техподробности будут чуть позднее, поскольку экплуатация тривиальная и хотелось бы чтобы "уловимые джо" прочекали и прикрылись. Предполагалось что этот пост для раздела "новости", видимо улетело не тут. Исправимся.
Да, для UDP такого тоже хватает, например CVE-2009-3563 (2009 год очевидно) https://security-tracker.debian.org/tracker/CVE-2009-3563. Просто Yet another dos amplification.
Не совсем так. Если "стучишься" через KeenDNS по fqdn который не ведет никуда будет таймаут. 120К+ это те которые либо либо вернули форму логина либо какой-то из опубликованных сервисов. Т.е. это реальные узлы, а не потенциальные. Потенциальных (т.е. записей в нашем pdns на узлах KeenDNS) в несколько раз больше.
Тут многое зависит от специфики данных, но на коротких последовательностях все алгоритмы работают плохо, это так. В нашем сценарии (анализ ответов сетевых сервисов) были тоже нюансы. Кроме того, "нужно патчить" еще с точки зрения производительности, "из коробки" все очень медленно. Хороший, хоть и старый манул https://www.virusbulletin.com/virusbulletin/2015/11/optimizing-ssdeep-use-scale
Если кратко, то идентифицированное разное приложение на связке ip:fqdn:port. Понятно что fqdn для протоколов которые поддерживают различия, типа SNI/SPN.
Это за вычетом honeytrap которые отвечают на любой запрос на всех 65K tcp/udp портов, таких тоже прилично.
Привет. Это коснулось продуктивных инсталяций Битрикс в Рунет. Битрикс использует сервис memcached. По умолчанию он привязан к localhost (127.0.0.1). Однако при кастомной конфигурации можно сделать так, чтобы memcached принимал соединение на любых интерфейсах и даже так, чтобы он был доступен из интернет любому пользователю без авторизации. Чем и воспользовались злоумышленники. Сам по себе Битр с конфигурацией из "коробки" или с рекомендованными вендором параметрами не уязвим для этой атаки. Битрикс не виноват:)
Мне кажется это история скорее именно про Global ASM (shodan, censys и другие "картографы интернета"). По верх них можно строить другие продукты и сервисы, включая непрерывные пентесты и всякие Threat Intelligence Reporting. Жаль нет FOFA в обзоре, отлично работает по HTTP и связанным протоколам. Хотя она с hunter.how очень похожа.
Спасибо, постараюсь, но время-время.
Много сподобно куда написать, но как работает система гораздо интересней.
Привет. Спасибо за хинт с BlockAttackingHosts=No, кажется прикольным вариантом если форвардить алерты в SEIM чтобы не пропустить что-то в проде, протестим.
> --set-settings работает на лету в 99% случаев,
Жаль, что вы не работаете в техподдержке ЛК %)
Однако:
1. Задача в т.ч. была выяснить корневую причину срабатывания, т.е. на какой трафил Каспер агрится. Просто отключив блокировку ты получишь только лог с набором 4х унылых cve-х (да простят меня экс-коллеги из АМР и Грейта) которые слабо соотносятся с реальными чеками
2. В условиях был "большой госзаказчик" где внесение изменений без "санитаров и девопсин" привлечет внимание не только санитаров. Но и лесников. Ну те, которые всех разогнали. Поэтому нужно было воспроизвести на стенде и прочекать стоковые и кастомные чеки. Так родился Нюк-Нюк
3. У Нюк-Нюка появилось и другое применение - спамить Нуклей-кидди. И еще классный маскот, вот :)
>и, запихав в эксклюды вы пропустите все атаки, в тч "ложно-положительные"
все так, прочекаем в связке с siem и фильтрацией алертов от пробника.
Спасибо!
Они братья в нюке, да. Шарят за 139й порт :)
В данном случае имелись виду камеры которые технически доступны, но вряд ли это хорошая идея и не факт что владельцы знают об этом. Просто ошиблись.
Добрый день.
https://www.cyberok.ru/policy.html
Процедура ответа на инциденты В случае обнаружения активности со стороны Компании, которая вызывает опасения, просим немедленно связаться с нами по адресу: abuse@cyberok.ru. Мы гарантируем оперативное рассмотрение всех обращений и принятие необходимых мер.
Майкрософт в этом вопросе страдает традиционной для себя шизофазией, с одной стороны вроде как бы это плохо и атака.
https://learn.microsoft.com/en-us/defender-for-identity/reconnaissance-discovery-alerts
С другой стороны не считает энумерацию пользователей уязвимостью, типа это клевая фича такая для пентестеров.
https://www.intruder.io/blog/user-enumeration-in-microsoft-products-an-incident-waiting-to-happen
С третей стороны полученные словари верифицированных учеток прекрасная цель для спрея, но это же не важно, это же неуловимый джо :)
Техподробности будут чуть позднее, поскольку экплуатация тривиальная и хотелось бы чтобы "уловимые джо" прочекали и прикрылись. Предполагалось что этот пост для раздела "новости", видимо улетело не тут. Исправимся.
Да, для UDP такого тоже хватает, например CVE-2009-3563 (2009 год очевидно) https://security-tracker.debian.org/tracker/CVE-2009-3563. Просто Yet another dos amplification.
Не совсем так. Если "стучишься" через KeenDNS по fqdn который не ведет никуда будет таймаут. 120К+ это те которые либо либо вернули форму логина либо какой-то из опубликованных сервисов. Т.е. это реальные узлы, а не потенциальные. Потенциальных (т.е. записей в нашем pdns на узлах KeenDNS) в несколько раз больше.
Это Keenetic точно, но его надо "трогать" через KeenDNS. Подробнее тут:
https://www.youtube.com/watch?v=4wSxp7t6huA&t=727s
Тут многое зависит от специфики данных, но на коротких последовательностях все алгоритмы работают плохо, это так. В нашем сценарии (анализ ответов сетевых сервисов) были тоже нюансы.
Кроме того, "нужно патчить" еще с точки зрения производительности, "из коробки" все очень медленно. Хороший, хоть и старый манул https://www.virusbulletin.com/virusbulletin/2015/11/optimizing-ssdeep-use-scale
Если кратко, то идентифицированное разное приложение на связке ip:fqdn:port. Понятно что fqdn для протоколов которые поддерживают различия, типа SNI/SPN.
Это за вычетом honeytrap которые отвечают на любой запрос на всех 65K tcp/udp портов, таких тоже прилично.
Привет. Это коснулось продуктивных инсталяций Битрикс в Рунет. Битрикс использует сервис memcached. По умолчанию он привязан к localhost (127.0.0.1). Однако при кастомной конфигурации можно сделать так, чтобы memcached принимал соединение на любых интерфейсах и даже так, чтобы он был доступен из интернет любому пользователю без авторизации. Чем и воспользовались злоумышленники.
Сам по себе Битр с конфигурацией из "коробки" или с рекомендованными вендором параметрами не уязвим для этой атаки. Битрикс не виноват:)
Мне кажется это история скорее именно про Global ASM (shodan, censys и другие "картографы интернета"). По верх них можно строить другие продукты и сервисы, включая непрерывные пентесты и всякие Threat Intelligence Reporting. Жаль нет FOFA в обзоре, отлично работает по HTTP и связанным протоколам. Хотя она с hunter.how очень похожа.