Kubesploit - nový efektívny nástroj na testovanie kontajnerových prostredí

Dnes by sme Vám radi predstavili nový open-source nástroj Kubesploit na testovanie prostredí Kubernetes. Ide o full framework určený pre Kubernetes, ktorý má pomáhať pentesterom a členom Red Team-u pri vykonávaní komplexných a hĺbkových testov, ktoré napodobňujú scenáre útokov v reálnom svete, ktoré ohrozujú mnoho organizácií na celom svete.

Pretože čoraz viac organizácií používa vo svojej architektúre mikroslužby a kontajnery , Kubernetes je stále populárnejší. Podľa prieskumu Cloud Native Computing Foundation (CNCF) viac ako 84% organizácií prevádzkuje kontajnery vo sovojom produkčnom prostredí a viac ako 78% sa spolieha na Kubernetes pri orchestrácií kontajnerov. Popularita tejto technológie vyžaduje, aby útočníci zdokonalili svoje schopnosti Kubernetes.

Aby sa dali chrániť klastre Kubernetes pred útokmi, museli vývojári čeliť výzvam cieľovej technológie a organizáciám, ktoré bývajú napadané. Väčšina nástrojov, ktoré sú dnes k dispozícii, je zameraná na pasívne skenovanie zraniteľností v klastri a chýba komplexnejšie pokrytie vektormi útokov. Tieto nástroje Vám môžu umožniť vidieť problém, ale ďalej ho hlbšie neskúmajú.
Je dôležité spustiť exploit na simuláciu útoku v reálnom čase, aby ste vedeli určili odolnosť proti takémuto útoku v celej Vašej sieti. Pri využívaní testovacie útoku si precvičíte manažovanie kybernetických udalostí organizácie, čo sa nestane len pri skenovaní problémov. A práve to môže pomôcť organizácii naučiť sa, ako pracovať, keď dôjde k skutočným útokom, zistiť, či jej ďalšie detekčné systémy fungujú podľa očakávaní, a pochopiť, aké zmeny by sa mali vo svojom systéme vykonať. Preto bol vytváraný nástroj, ktorý by spĺňal tieto požiadavky.

Boli ale aj ďalšie dôvody na vytvorenie takéhoto nástroja. Tím CyberArk Labs už má dva nástroje typu open-source (KubiScan a kubeletctl) súvisiace s Kubernetes, a chceli vytvoriť ešte ďalšie nástroje pre tieto prostredia. Namiesto vytvorenia projektu pre každý z nich ale usúdili, že by bolo lepšie vytvoriť jediný centralizovaný nástroj, ktorý vznikol pre spoločnosť Kubesploit.

Kubesploit je framework vytvorený v Golangu a postavený na projekte Merlin (od Russel Van Tuyl), multiplatformového post-exploitačného servera a agenta HTTP / 2 Command & Control. Merlin má tiež spôsob, ako dynamicky pridávať nové moduly, čo nám umožňuje vytvárať príslušné moduly pre Kubernetes.

Čo je nové

Spoločnosť CyberArc chcela, aby sa dali dynamicky načítať nové moduly, ktoré bežia v agentovi, a stále udržať agenta nenáročným a flexibilným. Preto do Kubesploit pridali „Go Interpeter“ s názvom „Yaegi“. Vďaka tejto schopnosti je možné zapísať nové moduly Golang za chodu a spúšťať ich, kým je agent stále v prevádzke. Podpora kódu Golang môže umožniť písanie zložitých kódov a integrovať výhody už zapísané v Go. To tiež uľahčuje open-source komunite prispievať novými modulmi a skutočnosť, že Kubernetes bol tiež napísaný v Golangu, môže umožniť ľahšiu integráciu súvisiacich častí kódu.

Vyvinuli aj nové moduly súvisiace s vektormi útoku v kontajnerizovanom prostredí, ako je napríklad únik z kontajneru na hostiteľa, útok kubelet, skenovanie známych chýb zabezpečenia v klastri a skenovanie služieb a portov. V budúcnosti plánujú pridať ďalšie moduly a podporiť príspevky pre nové moduly týkajúce sa Kubernetes a kontajnerizovaného prostredia všeobecne.

CVE scan module output

Udržiavanie bezpečnosti

Hlavným cieľom je prispieť k zvýšeniu povedomia o bezpečnosti kontajnerizovaného prostredia a zlepšeniu opatrení implementovaných v rôznych sieťach. Cieľom je dosiahnuť toto všetko prostredníctvom frameworku, ktorý poskytuje príslušné nástroje pre tímy penetračného testovania a Red Team-y počas ich aktivít v týchto prostrediach.
Ako to urobiť spočíva v zaujatí veľmi jasného a zodpovedného pohľadu na používanie týchto nástrojov v bezpečnostnej komunite. Preto bolo pre CyberArc dôležité udržiavať ho v maximálnej možnej miere bezpečný. Preto (tu máme 2.x preto) zverejnili nástroj s 3-krokovou ochranou, ktorý má pomôcť zaistiť legitímne použitie Kubesploit.

Prvým krokom z nej sú techniky zmierňovania a tipy pripojené ku každému modulu na ochranu pred vektormi útoku, ktorý je demonštrovaný.
Druhým krokom sú pravidlá YARA na zachytávanie binárnych súborov, ktoré súvisia s Kubesploit. To by malo pomôcť nájsť akékoľvek použitie binárnych súborov Kubesploit pri skutočnom útoku, a nie ako súčasť legitímneho penetračného testovania.
Tretím krokom je integrácia IoC do kódu, ktorý zaznamenáva aktivitu. Agent zapisuje svoju činnosť do stroja, z ktorého beží. Akékoľvek pokyny odoslané serverom zaznamenáva agent a ukladajú sa lokálne, čo by malo pomôcť pri ďalšom vyšetrovaní.

Rýchly štart

Dúfame, že ste z tohto nástroja rovnako nadšení ako my! A neexistuje lepší spôsob, ako sa naučiť niečo nové, ako si to trochu vyskúšať.

CyberArk vytvorili sme vyhradené prostredie Kubernetes v Katacode, kde môžete experimentovať s Kubesploit. Je to úplná simulácia s kompletnou sadou automatizovaných pokynov na používanie Kubesploit.
Odporúčame vám, aby ste to vyskúšali!

Viac informácií nájdete na stránke Kubesploit GitHub.

Zdroj: CyberArk Blog (ENG)

9 tipov ako identifikovať phishingové e-maily

Útoky a kompromitovanie firemných e-mailov (BEC) stoja spoločnosti v súčasnosti aj milióny eur. A počet phishingových e-mailov na spotrebiteľov je na historickom maxime.
Pre organizácie by prvou líniou obrany pred podvodmi s e-mailmi mala byť vždy pokročilá bezpečnostná technológia. Zabezpečená e-mailová brána a ochrana proti autentifikácii e-mailov, ako napríklad DMARC (hlásenie a konfirmácia overenia na základe domény), sú najlepším spôsobom ochrany vašich zamestnancov a zákazníkov.

Bohužiaľ, bez ohľadu na to, aká sofistikovaná je e-mailová stratégia Vašej spoločnosti, niektoré phishingové e-maily sa dostanú do doručenej pošty. A tieto e-maily bývajú mimoriadne účinné. Verizon zistil, že až 30 % cieľových príjemcov otvorí phishingové správy a 12 % klikne na škodlivé e-mailové prílohy.
Kritickým prvkom Vašej stratégie zabezpečenia e-mailov teda okrem bezpečnostných technológií musí byť aj vzdelávanie zamestnancov.

Tu je deväť najdôležitejších tipov na identifikáciu phishingového e-mailu:

Tip 1: Neverte zobrazovanému odosielateľovi

Obľúbenou taktikou phishingu medzi počítačovými zločincami je falšovanie zobrazovaného mena odosielateľa e-mailu. Funguje to takto: Ak by sa podvodník chcel vydávať za hypotetickú značku „My bank“, e-mail môže vyzerať napríklad takto:

Pretože My Bank nevlastní doménu „secure.com“, nebude ochrana e-mailovej autentifikácie tento e-mail v mene My bank blokovať.
Po doručení sa e-mail javí ako legitímny, pretože väčšina priečinkov doručenej pošty používateľov a hlavne na mobilných telefónoch bude uvádzať iba zobrazované meno (My Bank). Vždy skontrolujte celú e-mailovú adresu v hlavičke odosielateľa – ak vyzerá doména za “@” podozrivo, e-mail je veľmi pravdepodobne phishingový.

Tip 2: Pozerajte sa, ale neklikajte

Kybernetickí zločinci radi vkladajú škodlivé odkazy do legitímne znejúcich e-mailov. Umiestnite kurzor myši na odkazy, ktoré nájdete v tele svojho e-mailu. Na ľavom rohu obrazovky sa Vám zobrazí skutočná url adresa, kam Vás odkaz presmeruje – čo nemusí korešpondovať s názvom falošného linku. Ak adresa odkazu znie zvláštne, neklikajte na ňu. Ak máte voči odkazu nejaké výhrady, pošlite e-mail priamo Vášmu tímu IT zabezpečenia.

Tip 3: Skontrolujte pravopisné chyby

Značky to s e-mail marketingom väčšinou myslia dosť vážne. Legitímne správy zvyčajne nemajú väčšie pravopisné chyby alebo zlú gramatiku. Pozorne si prečítajte svoje e-maily a nahláste alebo vymažte všetko, čo sa Vám zdá podozrivé, od preklepov, cez zlú gramatiku či nesprávne skloňovanie, až po používanie náhodných cudzích slov.

Tip 4: Analyzujte pozdrav a oslovenie

Je e-mail adresovaný priamo Vám, alebo nejasnému „váženému zákazníkovi“? Ak je to tak, dávajte pozor – skutočné firmy väčšinou použijú osobný pozdrav s Vašim menom a priezviskom miesto všeobecnej formulky.

Tip 5: Nezdieľajte osobné ani firemné dôverné informácie

Väčšina spoločností nikdy nebude vyžadovať osobné údaje prostredníctvom e-mailu – najmä banky či pošta. Zastavte sa a zamyslite sa skôr, ako prezradíte akékoľvek dôverné informácie e-mailom. Ak od Vás e-mail takéto informácie požaduje, je veľmi pravdepodobné, že pôjde o podvod.

Tip 6: Dajte si pozor na urgujúci alebo výhražný jazyk v predmete predmetu

Vyvolávanie pocitu naliehavosti alebo strachu je bežnou phishingovou taktikou. Dávajte pozor e-maily, ktoré tvrdia, že váš „účet bol pozastavený“ alebo vás žiada, aby ste vykonali „urgentnú žiadosť o platbu“.

Tip 7: Skontrolujte podpis

Nedostatok podrobností o osobe, ktorá podpisuje e-mail alebo o tom, ako kontaktovať spoločnosť z ktorej Vás kontaktuje, výrazne naznačuje phishing. Legitímne podniky vždy poskytnú svoje kontaktné údaje. Skontrolujte ich.

Tip 8: Neklikajte na prílohy

Bežná taktika phishingu je zahrnutie škodlivých príloh, ktoré obsahujú vírusy alebo malvér. Malvér môže poškodiť súbory vo vašom počítači, ukradnúť Vaše heslá alebo Vás online špehovať bez vášho vedomia. Neotvárajte žiadne prílohy e-mailov, ktoré ste neočakávali, alebo sú súčasťou e-mailov s podozrivými prvkami spomenutými vyššie.

Tip 9: Neverte všetkému, čo vidíte

Phisheri sú v tom, čo robia, mimoriadne dobrí. Mnoho škodlivých e-mailov obsahuje presvedčivé logá značiek, jazyk a zdanlivo platnú e-mailovú adresu. Pri svojich e-mailových správach buďte skeptickí – ak sa vám zdajú byť nepovedomé a o danej spoločnosti ste ešte napríklad ani nepočuli, nevyplnili ste súhlas o kontaktovaní či odoberaní newslettera, prípadne Vám príde komunikácia známej značky niečím zvláštna, neotvárajte ich.

Zdroj: Prooofpoint blog (ENG)