README.hta
1.93K subscribers
163 photos
45 files
112 links
Что-то из области информационной безопасности. Чаще DFIR и чаще на русском, но тут как пойдет

Если вы не можете объяснить что-либо простыми словами, вы сами не до конца это понимаете (с)

Hope you enjoy!
All opinions are my own @ant19ova
加入频道
Please open Telegram to view this post
VIEW IN TELEGRAM
Ух, многовато буков на сегодня. Поэтому чуть отложим практическую часть сего материала, а я спрошу

У вас какие мысли вообще на этот счет?
Накатала я значит целый пост в сохраненках. Не то, чтобы с полноценным плейбуком, но для скелета - самое оно. Я сокращала как могла… но выглядит это все равно чудовищно. Пока я сегодня привожу все это к более менее читабельному виду, закину вам небольшой спойлер и спрошу

А что бы делали вы при таких вводных? (:

P.S. Только давайте в общих чертах и пока исключительно в рамках анализа данных
P.P.S. В качестве бонуса вы можете лицезреть закрепленные сообщения сильной и независимой женщины 😁
Дано: предположительная компрометация сервера на CMS 1C:Битрикс.

(На практике часто это предположение уже чем-то обоснованно, например, факт утечки данных, создание подозрительных/вредоносных файлов, нелегитимные входы пользователей и так далее. Постараемся рассмотреть ситуацию в целом, чтобы не уходить в детали)

В первую очередь, необходимо прояснить:

1️⃣ Какая версия битрикса установлена (нужна циферка) и какая редакция (старт, стандарт, малый бизнес, бизнес, битрикс24)? Предвосхищая вопросы, сразу отмечу, что какого-то верного метода определить точную версию и редакцию снаружи нет, разве что по косвенным признакам. Как говорил один мой хороший знакомый в своем докладе, кажется, для битрикса нужен отдельно выделенный специалист, который будет только жамкать на кнопочку обновить

2️⃣ Какие модули установлены, их версии? Вполне стандартная ситуация, что может быть старое ядро/свежие модули и наоборот

3️⃣ Есть ли сетевое взаимодействие с другими подсетями боевой инфраструктуры, сервер self-hosted или внешний хостинг-провайдер? Доменное имя и пул выделенных адресов?

4️⃣ Как реализован доступ к административной панели, какие учетные записи? Что с доступом к самому серверу: приватные ключи (passphrase?), пароли, открыты ли какие-то дополнительные порты для функционирования сервиса, например, FTP? Да, данную информацию вы потом все равно узнаете по собранным данным, но это даст вам ориентиры для последующих действий уже на моменте первичного интервью

5️⃣ Работает ли встроенный WAF и какие в целом включены компоненты защиты? Важно учитывать, что не во всех редакциях они доступны

Дополнительно:

6️⃣ Доступна ли извне форма авторизации в административную панель — /bitrix/admin (при этом, учитываем, что может быть множество эндпоинтов для доступа)? В последующем, эта информация нам поможет при анализе журналов веб-сервера

7️⃣ Какие агенты стоят? Агенты - это по сути задачи местного планировщика, туда нередко запихивают что-то нехорошее. Лучше сразу в интерфейсе проверить это

8️⃣ Что там со встроенным пользователем bitrix (как на уровне приклада, так и системы)? Зафиксированы ли какие-то действия?

Сбор данных
🔵 Вариант минимум: бодифайл с файловой системы (можно брать изменения файлов за определенный период, но я обычно пробегаюсь по всему) + журналы аудита битрикса + журналы доступы веб-сервера apache/nginx
🔵 Пожирнее: триаж
🔵 Самый жир: образ, но это прям зависит от

Низко висящие фрукты при анализе:
— веб-шеллы (вообще неплохо в целом уметь анализировать логи веб-сервера и знать, как к ним подступиться даже при больших объемах. вы же не откидываете по умолчанию все 4хх ответы, да?),
— недавно измененные файлы, при чем, внимание на изменения в легитимных файлах тоже (.htaccess, index.php и другие истории),
— история введенных через шелл команд, история команд клиентов СУБД (сразу уточните по конфигам, что/куда пишется и пишется ли вообще. но всегда ли пишется история шелл, если доступ получен через веб? 😏 ),
— установленные пакеты, автозагрузка,
— списки учетных записей пользователей в операционной системе, наличие командных оболочек у сервисных учетных записей, отпечатки разрешенных SSH-ключей (для входящих подключений).

Лайфхак #1. Берите и изучайте методички пентестеров, собирайте (как минимум!) свои кейворды, чтобы потом упростить себе жизнь при поиске. Не мне вам рассказывать, что эти гайды используются далеко не только ими. При чем, я уж не говорю про всякие там точечные штуки типа SEF_APPLICATION_CUR_PAGE_URL: утрируя, но если в мануале было ололо, 98%, что где-то рядом это ололо тоже будет. В общем, почитайте, узнаете много чего интересного :)
🔗 Уязвимости и атаки на CMS Bitrix, cr1f, ну это прям база
🔗 Выйди и зайди нормально, Антон Лопаницын aka Bo0oM
🔗 Рекомендации от CyberOK. Не пентестерское, но нам тоже надо

Лайфхак #2. Берите пулы адресов ProtonVPN и других подобных и популярных ныне анонимайзеров. Да, на вебе будет местами фолсить, но интересное будет точно
Please open Telegram to view this post
VIEW IN TELEGRAM
Когда в канале стало насчитываться больше пары сотен подписчиков, ко мне потихоньку начали приходить рекламодатели. У меня на этот счет своя позиция: реклама действительно хотя бы как-то окупает потраченное время на написание постов и я абсолютно точно ничего не имею против нее. Но мой подход пока проще: нет времени, идей или желания - я просто ничего не буду выкладывать, пусть даже если это будет длиться неделями. Что будет дальше - кто знает, но пока что - простите 🤪

С идеей к этой публикации я пришла сама. Вы ведь помните, что с прошлого года я стала преподавать в инсеке, да?) Так вот, с марта я и сама пойду к ним учиться :)

Чему именно? Да анализу вредоносного ПО. В целом, с реверсом у меня отношения напряженные: еще лет пять назад я проходила вводный курс, но сердечко не екнуло, а в голове мало чего осталось, к тому же без должной практики-то после

На этот курс я записалась, когда даже точных дат старта не было. Да чего там, еще лендинг был не готов: мне было достаточно понять, кто автор. Дима, Семен и Даня @rayhunt454 - асы в своем деле и потрясающие эксперты, каждого из которых я знаю лично. А еще я знаю, что они точно прочитают этот пост, поэтому больше нахваливать не буду)))но скажу, что этот курс - моя однозначная рекомендация 💯

Ну и конечно мне дали именной промокод для вас на скидку 10% - «antimalware» (если что, это antipova + malware, а не то что вы подумали. помоему, это гениально! придумывали всей семьей). Дерзайте! И кто знает, может совсем скоро пересечемся в одной студенческой группе ;)
Это значит пока я прохлаждаюсь, тут такое публикуют!!
На этой неделе джеты проводят митап по теме реагирования и цифровой криминалистики: мобилки, контейнеры и даже немного антифорензики. В целом все подобранные темы не самые простые и прям достойные, а хороших материалов по ним не так уж и много, особенно на русском

Ну и как вы понимаете, говорю я вам это не просто так. Пока я доделываю презентацию (Паша, прости), приглашаю вас присоединиться послушать, а может и поболтать лично оффлайн :)

До встречи в пятницу!