Recursos del Hacker Summer Camp 2021


 

Estamos a prácticamente un par de días de que concluya el Hacker Summer Camp del 2021 en su versión híbrida. 

Este año no se me hizo asistir de forma presencial, sin embargo ya será para otra ocasión que nos veamos por allá.

Sin embargo eso no nos desanimo para asistir a las conferencias de forma virtual y como cada año actualizar conocimientos y descubrir cosas interesantes. 

Al igual que la versión anterior, me gustaría compartirles un listado de todos los recursos interesantes que pude recopilar durante estos días de conferencias.  

Si ustedes tienen algunos otros que no aparecen en esta lista, bienvenidos en la parte de comentarios del blog. 

Espero les sean de utilidad. 

URLDescripcion
https://www.ncsc.gov.uk/information/exercise-in-a-boxPágina para descargar ejercicios table top útil para ejercicios de Respuesta a incidentes.
aka.ms/spaGuia de Microsoft para la protección de acceso a niveles de privilegio, útil para proteger ambientes con AD.
https://www.tinkercad.com/things/hLcecFPAz4O-attribution-dice-2021
https://github.com/akamai/ludaEn esta charla, que presenta LUDA - Funciona en dos modos: el malware y phishing.
El primero será detectar similitudes entre la comunicación C2 y agrupar ellos por las familias. La última se aplicará la misma agrupación con una capa adicional de detección de "marca".
https://github.com/REW-sploit/REW-sploitREW Sploit, generador de Payloads
https://github.com/darryk10Herramienta para seguridad en Cloud Falco
https://find-sec-bugs.github.io/bugs.htm#RPC_ENABLED_EXTENSIONSEl plugin puede identificar las debilidades en las aplicaciones web Java a partir de 138 modelos diferentes, incluyendo errores XSS, inyección SQL, XXE, inyección plantilla y muchos más. Es capaz de analizar cualquier lenguaje de JVM como Kotlin, Scala y maravillosa. La evaluación se puede hacer de un IDE, como Eclipse o IntelliJ. También se puede configurar en un entorno de integración continua.
https://github.com/cloud-sniper/cloud-sniper
Cloud Sniper es una plataforma diseñada para administrar las operaciones de seguridad en la nube, destinada a responder a los incidentes de seguridad mediante el análisis y la correlación precisa de los artefactos de la nube. Está destinado a ser utilizado como una plataforma de operaciones de seguridad en la nube para detectar y remediar incidentes de seguridad al mostrar una visibilidad completa de la postura de seguridad en la nube de la empresa.
https://github.com/cloud-sniper/cloud-lusat
https://github.com/cloud-sniper/cloud-droid
https://www.amazon.com/Transformational-Security-Awareness-Neuroscientists-Storytellers/dp/1119566347/ref=asc_df_1119566347/?tag=hyprod-20&linkCode=df0&hvadid=343251570619&hvpos=&hvnetw=g&hvrand=2552193433192701039&hvpone=&hvptwo=&hvqmt=&hvdev=c&hvdvcmdl=&hvlocint=&hvlocphy=1027028&hvtargid=pla-743655780440&psc=1&tag=&ref=&adgrpid=67797266623&hvpone=&hvptwo=&hvadid=343251570619&hvpos=&hvnetw=g&hvrand=2552193433192701039&hvqmt=&hvdev=c&hvdvcmdl=&hvlocint=&hvlocphy=1027028&hvtargid=pla-743655780440Libro de venta en amazon
NovaAttackLa plataforma NovAttack requiere un tiempo mínimo de configuración y pocos recursos para poner en práctica. Nos encanta código abierto. Así NovAttack es de código abierto, seguirá siendo de código abierto.

NovAttack simula ataques cibernéticos reales, centrándose en las siguientes categorías de ataque.

Características / capacidades de prueba

- IPS / IDS / Firewall
- Descargar Malware
- Filtrado de contenidos
- DLP (Data Loss Protection)
- WAF (Web Application Firewall) (Nuevo)
https://www.blumira.com/analysis-of-a-threat-powershell-malicious-activity/Guia para la detección de actividad maliciosa con powershell
https://github.com/cyberark/kubesploit/blob/main/MITIGATION.md
Kubesploit es un HTTP / 2 de mando y control del servidor posterior a la explotación y el agente escrito en Golang, se centró en los entornos en contenedores, y construido en la parte superior del proyecto Merlin por Russel Van Tuyl (@ Ne0nd0g).
Es compatible con los módulos de Go y tiene módulos contenedores de descanso, ataque kubelet, y módulos de escaneo.
https://github.com/cyberark/kubesploit
https://dradisframework.com/ce/
Un solo lugar a resultados de la evaluación de retención, notas, tareas, metodologías, y la retroalimentación de su equipo hace que trabajar juntos y ahorra más simple informes en tiempo de entrega. Dradis combina la salida de más de 20 herramientas de seguridad populares - incluyendo Nessus, Qualys, eructar, y Nmap, junto con sus notas manuales para mantener todos sus hallazgos centralizado para la generación de informes solo clic.
https://dradisframework.com/integrations/
https://github.com/dradis/dradis-calculator_cvss
https://github.com/JoelGMSec/CloudtopolisCloudtopolis es una herramienta que facilita la instalación y aprovisionamiento de Hashtopolis en la plataforma de Google Cloud Shell, rápida y completamente desatendida (y también, gratis!). Junto con Google colaboratorio, que nos permite romper hashes sin la necesidad de hardware dedicado desde cualquier navegador (incluso desde su teléfono inteligente).
https://github.com/capturethesignal/cts-tools --CTSpass7&
https://commoncrawl.org/WARCannon fue construido precisamente para este propósito, y es alimentado por Común de rastreo a través del programa de AWS Open Data para permitir el análisis petabyte-difusión de las páginas spidered previamente. Los investigadores de seguridad y los cazadores de recompensas de errores pueden aprovechar WARCannon escalar su investigación horizontalmente a través de toda la Internet de una forma rápida, de manera rentable y completamente no invasivo / invisible.
https://github.com/mvelazc0/PurpleSharpPurpleSharp trata de una herramienta de simulación adversario código abierto escrito en C # que ejecuta las técnicas adversario entornos Windows. La telemetría resultante se puede aprovechar para medir y mejorar la eficacia de un programa de detección. PurpleSharp ejecuta un comportamiento diferente en todo el ciclo de vida del ataque siguiendo las tácticas del TCA y CK del marco MITRE: ejecución, la persistencia, la escalada de privilegios, Credencial de acceso, movimiento lateral, etc.
https://resources.cqureacademy.com/tools --> student-CQUREAcademy#123CQOffensiveSecurity Toolkit permite realizar avanzada infraestructura de Windows pruebas de penetración. Además, le guía a través del proceso de recopilación de inteligencia sobre la red, estaciones de trabajo y servidores. técnicas comunes para escalada de privilegios, la evitación antimalware y bypass, la recolección de credenciales y el movimiento lateral. Toolkit permite también para descifrar las claves RSA y EFS de archivos protegidos, así como manchas y los bienes protegidos por DPAPI y DPAPI-NG. Este conjunto de herramientas es de uso común entre los expertos CQURE y pentesters sobre base diaria. Entre las herramientas que se presentan publicados: CQRepacker, CQSecretDumper, CQLsasSecretDumper, CQCredentialHarvester, CQSystemEscalator, CQTcbImpersonate, CQSqlTDEdecrypter y muchos más. Durante el Sombrero Negro nos gustaría anunciar nuevas herramientas para la escalada y el movimiento lateral de la PKI y AD FS, así como deshabilitar Azure protección de la información para buscar a través de archivos cifrados y protegidos en reposo. CQOffensiveSecurity es un conjunto de herramientas muy prácticas para pentesters y RedTeamers.
https://github.com/fkasler/phishmongerPhishmonger es una herramienta de correo electrónico de phishing que permite pruebas de penetración a las campañas de forma rápida plantilla, prueba y phishing implementar.
Wifi KrakenD4rkm4tter ha estado obsesionado con el seguimiento de las redes inalámbricas y ha construido hardware para cumplir con los desafíos de la exploración y pruebas en los entornos densos más concurridas y cliente. El WiFi-Lite Kraken sostiene con estos temas en un paquete más pequeño sin sacrificar las prestaciones de supervisión. Este proyecto es el resultado de años de investigación en la forma más eficaz para escanear e inalámbrico de auditoría en una sola caja que puede ser desplegado o se utiliza como un terminal endurecido en las condiciones más adversas fácilmente.
https://github.com/vchinnipilli/kubestrikerKube Striker es una herramienta independiente de la plataforma diseñada para abordar los problemas de seguridad del clúster de Kubernetes debido a configuraciones incorrectas y ayudará a fortalecer la infraestructura de TI general de cualquier organización.
https://docs.joern.io
Joern es una plataforma para el análisis robusto de código C / C ++. Genera gráficos de propiedades de código, una representación gráfica del código para el análisis de código en varios idiomas. Los gráficos de propiedades de código se almacenan en una base de datos de gráficos personalizada. Esto permite extraer código mediante consultas de búsqueda formuladas en un lenguaje de consulta específico de dominio basado en Scala. Joern se desarrolla con el objetivo de proporcionar una herramienta útil para el descubrimiento de vulnerabilidades y la investigación en el análisis de programas estáticos.
https://discord.gg/AUzy45EHdf
fidoalliance.org
HTTPS://TSURUGI-LINUX.ORGCualquier analista DFIR sabe que todos los días en muchas empresas, no importa el tamaño, no es fácil de realizar investigaciones forenses a menudo debido a la falta de información interna (como el dominio toda la arquitectura de TI, tiene los troncos o la correcta ...) y listo para usar herramientas DFIR.

Como profesionales DFIR nos hemos enfrentado a estos problemas muchas veces y por lo que decidimos el año pasado para crear algo que puede ayudar a que se necesita la herramienta adecuada en el "mal momento" (durante un incidente de seguridad).

Y la respuesta es el proyecto Tsurugi Linux que, por supuesto, puede ser utilizado también con fines educativos.
Después de más de un año desde la última versión, un Tsurugi Linux especial SOMBRERO NEGRO EDICIÓN con este importante lanzamiento será compartida con los participantes antes del lanzamiento público.
https://github.com/storenth --> Lazy Recon discord https://discord.gg/qQKKffGG7hv2.0 Lazyrecon es una herramienta de descubrimiento de subdominio que subdominios descubre y resuelve válidos entonces realiza SSRF / LFI / SQLi fuzzing y escaneo de puertos. Tiene una sencilla arquitectura modular y está optimizado para la velocidad mientras se trabaja con github y Wayback Machine.
https://github.com/d1vious/git-wild-huntGit Wild Hunt es una herramienta diseñada para buscar e identificar las credenciales filtrados en repositorios públicos como Github. búsquedas Git Wild Hunt para huellas y los patrones de más de 30 de los secretos / credenciales más utilizado en Internet, especialmente los utilizados en las operaciones de DevOps y TI. Esta herramienta ayuda a los desarrolladores y departamentos de operaciones de seguridad descubre credenciales filtró en los repositorios públicos. Esta herramienta es también una herramienta de reconocimiento de teamers rojos y pentesters, ya que también proporciona metadatos de fugas, tales como nombres de usuario, nombres de empresas, tipos de secretos, y las fechas.
https://github.com/RoganDawes/LOGITacker/blob/33adcad5e66cf1b1df260943865d1dd6ab5a0688/logitacker/logitacker_cli.c#L1230
https://github.com/zzzteph/krakerKraker es un sistema de contraseñas por fuerza bruta distribuida que permite ejecutar y administrar el hashcat en diferentes servidores y estaciones de trabajo, se centró en la facilidad de uso. Había dos objetivos principales durante el diseño y desarrollo: para crear la herramienta más simple para distribuir el agrietamiento hash y hacen más tolerante a fallos.
https://github.com/aquasecurity/traceeTracee es una herramienta de seguridad en tiempo de ejecución y la medicina forense para Linux. Se compone de tracee-EBPF, que recoge los eventos del sistema operativo, y tracee-reglas, que es el motor de detección de seguridad en tiempo de ejecución.
https://github.com/dsnezhkov/racketeerRacketeer: Prototipos ransomware Operaciones

las pruebas ofensiva en las organizaciones ha mostrado un enorme valor para la simulación de ataques controlados. Mientras que la extorsión cibernética puede ser uno de los principales objetivos finales de alto rendimiento de la inversión para un adversario, existen sorprendentemente pocas herramientas para simular operaciones ransomware.

Racketeer es una de estas herramientas. Es un agente ofensivo junto con una base C2, construido para ayudar a los dos equipos, rojas y moradas a prototipo y ejercer una campaña ransomware estrechamente controlada en una empresa
https://github.com/pentest-a2p2v/pentest-a2p2v-coreEn los últimos años, hemos sido testigos de un rápido crecimiento en el área de comunicación entre máquinas a gran escala (M2M), una mayor automatización en redes inteligentes y la fabricación industrial, y el auto-monitoreo a través de Internet de los objetos (IO) dispositivos y aplicaciones basadas en la nube .

Si bien el objetivo de esta revolución industrial es llevar los sistemas cibernéticos físicas más a la realidad, que crea muchos desafíos de seguridad. La comprensión y la evaluación de las vulnerabilidades de estos sistemas requiere un conocimiento experto de dominio, por lo que es un esfuerzo costoso para muchas empresas.
https://github.com/qtc-de/remote-method-guesserremoto-método-guesser (RMG) es un escáner de vulnerabilidad Java RMI que comprueba los errores de configuración comunes sobre los puntos finales Java RMI.
Combina técnicas para RMI enumeración con las capacidades de detección bien conocido por los tipos de ataque menos conocidos que a menudo se pierden.
Aparte de la detección de vulnerabilidades RMI, remoto-método-guesser puede realizar las operaciones de ataque para cada tipo de vulnerabilidad compatible.
https://github.com/Samsung/cotopaxi/blob/master/cotopaxi/protocol_tester.pyCotopaxi es un conjunto de herramientas para la seguridad de prueba de los dispositivos de red utilizando específica y general de la red la IO / IIoT / protocolos M2M (AMQP, coap, DTLS, GRPC, HTTP / 2, HTCPCP, KNX, mDNS, MQTT, MQTT-SN, QUIC, RTSP, SSDP).
https://github.com/G-Research/siembol
Siembol es una aplicación de procesamiento de datos de seguridad desarrollado internamente, que forma el núcleo de una plataforma interna de Datos de Seguridad.

Después de la experiencia del uso de Splunk, y como los primeros usuarios de Apache Metron, el equipo necesitaba un motor de procesamiento de eventos altamente eficaz y en tiempo real con un menor número de limitaciones y características más mejoradas. Con Metron ahora retirado, Siembol espera dar a la comunidad una alternativa evolucionado.
https://github.com/G-Research/siembol/blob/master/docs/deployment/deployment.md
https://github.com/yogeshojha/renginereNgine es un motor de reconocimiento automático (marco) que es capaz de realizar el reconocimiento de extremo a extremo con la ayuda de motores de detección altamente configurables sobre objetivos de aplicaciones web. reNgine hace uso de diversas herramientas de código abierto y hace una tubería altamente configurable de reconocimiento para recoger el resultado de reconocimiento.
https://github.com/vletoux/pingcastleTantas herramientas que existen para evaluar la seguridad de Active Directory, y, sin embargo, que es imposible tener una visión general de todos. PingCastle ha sido diseñado para hacer frente a estas dificultades y obtener resultados rápidos y sin ningún tipo de requisitos. Healthcheck modo es el modo más bien conocido que da informes de vulnerabilidad en minutos con respecto a las principales vulnerabilidades de AD. Pero lo que si el punto más importante era convencer a la gestión de seguridad de AD que no es así de simple? PingCastle es más que un escáner de vulnerabilidades. Esta demo incluirá escáneres, cartografía y trucos secretos.
https://github.com/stratosphereips/StratosphereLinuxIPSSlips es un sistema de prevención de intrusiones de Python basado en el comportamiento que utiliza el aprendizaje automático para detectar comportamientos maliciosos en el tráfico de la red. Slips fue diseñado para enfocarse en ataques dirigidos, detección de canales de comando y control para brindar una buena visualización al analista. Slips es un software modular.
https://github.com/kaklakariada/portmapper
https://github.com/doyensec/inqlInQL es una caja de herramientas de código abierto para GraphQL. Además de la introspección y la enumeración, nuestra herramienta permite sondear en busca de vulnerabilidades específicas GraphQL. A lo largo de los últimos años, se convirtió en InQL el visto a la herramienta para la penetración GraphQL pruebas gracias a su flexibilidad.

InQL es especialmente adecuado para las auditorías de seguridad y pruebas de penetración manual con su estrecha integración con Burp Suite. Además de eso, InQL también proporciona una interfaz API y de línea de comandos de fácil acceso que se puede integrar con otras prácticas de ingeniería de seguridad “cambiar-izquierda”.

Durante la sesión, vamos a mostrar superpotencias InQL: generación de recuadro negro consultas, detección de ciclos, ayudantes CSRF, y el explotador SQLi recientemente integrado.
https://Github.com/Ne0nd0g
https://merlin-c2.readthedocs.io/en/latest/index.htmlMerlin es un servidor de plataforma cruzada y agente que puede aprovechar varios protocolos tales como HTTP 1, 2 y 3 junto con la autenticación de JWT, cargas útiles JWE, y el OPAQUE autenticado intercambio de claves. El agente Merlin se puede ejecutar en casi cualquier sistema operativo como Windows, Linux, MacOS o cualquier arquitectura como AMD64, MIPS o ARM. Después de cuatro años de desarrollo activo, Merlin ha salido de beta a la publicación oficial de la versión 1. Esta herramienta incluye varias características únicas que los agentes de seguridad ofensivos tales como carnes de mensaje para evitar detecciones de balizamiento estáticas junto con la capacidad de cambiar de forma dinámica JA3 TLS firma de un agente. nuevas capacidades importantes incluyen la capacidad para ejecutar programas en la memoria en Linux, Windows y MacOS así la capacidad de carga de los conjuntos de .NET en el agente de una vez y varias veces los llaman sin necesidad de enviarlos por el cable cada vez. Herramientas como SRDI, buñuelo, y SharpGen se integraron para crear una base de primitivas capacidad para aumentar la flexibilidad y las opciones de un operador para traer sus herramientas deseada. Una capacidad es la capacidad de ejecutar ejecutables arbitrarias de Windows en la memoria (por ejemplo, Mimikatz o Rubeus) a través de PE y .NET de montaje cargadores. El módulo SharpGen añadido permite a los operadores de código .NET de escritura sobre la marcha, como si se tratara de un lenguaje de script y luego ejecutarlo en el blanco. Se añadió un sistema de gestión de tareas y trabajo del agente para ver el estado actual de una tarea o desactivarla si es necesario. Merlin alcanzó otro hito significativo por portar el agente para el trabajo opcional con el impresionante marco de gran alcance Mythic como controlador. Mythic es una interfaz de usuario basada en web para múltiples jugadores de colaboración que rastrea el empleo de comandos Merlin específicos y sus asociados técnicas MITRE ATT y CK®.
https://packetSender.comRemitente paquete es un libre de código abierto (GPLv2) multiplataforma (Windows, Mac, Linux) herramienta utilizada a diario por los investigadores de seguridad, estudiantes universitarios, y los desarrolladores profesionales para solucionar problemas y dispositivos basados ​​en la red de ingeniería inversa. Sus características principales son la fabricación artesanal y la escucha de UDP, TCP y SSL / TLS a través de paquetes IPv4 o IPv6. Se puede escuchar simultáneamente en cualquier número de puertos al enviar a cualquier servidor UDP, TCP, SSL / TLS paquete.

muchas características de diseño deliberada éxito ayuda de paquetes del remitente: Puede enviar y responder; es compatible con IPv4, IPv6, general, o IP-unión específica; que puede funcionar completamente portátil (para memorias USB); puede funcionar enteramente en espacio de usuario; que tiene muy pocas dependencias de construcción (a ser capaz de soportar casi todas las distribuciones de Linux); y tiene un muy sensible y fácil de usar interfaz gráfica de usuario con valores por omisión y / traductor ASCII HEX para enviar de inmediato / recibir paquetes en cuestión de segundos de la primera puesta en marcha.
https://github.com/GoSecure/pyrdpPyRDP es un protocolo de escritorio remoto (RDP) Monster-in-the-middle herramienta (MITM) y la biblioteca útil en las pruebas de intrusión y la investigación de malware. Su fuera de las capacidades ofensivas de la caja se puede dividir en tres grandes categorías: del lado del cliente, por el lado de MITM y del lado del servidor. En el lado del cliente PyRDP puede robar activa de cualquier actividad portapapeles, rastreo unidades asignadas y recoger todas las pulsaciones de teclado. Por el lado de MITM PyRDP graba todo en el cable en varios formatos (troncos, eventos JSON), permite al atacante tomar el control de una sesión activa y realiza una grabación perfecta de píxeles de la pantalla RDP. En el lado del servidor, en el inicio de sesión de PowerShell o inyección cmd pueden llevarse a cabo cuando un cliente se conecta legítimos.

En el lado investigación de malware, PyRDP puede ser utilizado como parte de un honeypot totalmente interactivo. Puede ser colocado en frente de un servidor de Windows RDP para interceptar sesiones maliciosos. Puede reemplazar las credenciales proporcionadas en la secuencia de conexión con las credenciales que trabaja para acelerar el compromiso y la recogida de comportamiento malicioso. También guarda una grabación visual y textual de cada sesión RDP, que es útil para la investigación o para generar IOC. Además, PyRDP guarda una copia de los archivos que se transfieren a través de la característica de redirección de unidades, lo que le permite recoger cargas maliciosas.

En el último año, hemos implementado varias características que vamos a descubrir en este taller arsenal completamente nuevo: la mejora de la interceptación de archivos y que se arrastran, la clonación certificado dinámico, apoyo CredSSP / NLA con certificado privado y llave, redirección NLA dinámico, NTLMSSP hash de la tala , y más.
https://zuthaka.com/discordUn marco de colaboración de código abierto libre de Mando y Control de desarrollo que permite a los desarrolladores concentrarse en la función central y el objetivo de su C2.

Zuthaka presenta una API simplificado para integración rápida y clara de C2s y proporciona una administración centralizada para varias instancias C2 a través de una interfaz unificada para las operaciones del equipo rojo.
https://github.com/pucarasec/zuthakaUn marco de integración de Command & Control de código abierto colaborativo y gratuito que permite a los desarrolladores concentrarse en la función principal y el objetivo de su C2.
https://github.com/kholia/OSX-KVMMaquna Virtual de MAC OS X
https://github.com/cedowensHerramientas para ejecutar red teaming en equipos MAC


Comentarios