Nord Nord Sec #32

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Wieder eine neue Woche, die Weihnachtszeit nähert sich mit grossen Schritten und auch wenn wir es noch nicht so richtig wahr haben wollen: Der Sommer ist quasi vorbei. Bald sehene wir uns nach heissen Tagen und Sonnenschein - oder geniessen den angenehmen Klang von Regen und Kaminfeuer.

Aber genug der Vorrede - rein in die Artikel, Videos und Tools die Ich für euch zusammengestellt habe!

Artikel

🔎 Detection Engineering and Threat Hunting: 🤝 Detection Engineering und Threat Hunting ergänzen sich wunderbar, indem erstere eine Sicherheitsbasis schafft, während letztere sich auf subtile oder komplexe Bedrohungen konzentriert. Beide Disziplinen erfordern ein tiefes Verständnis der Cyber-Bedrohungslandschaft sowie starke analytische Fähigkeiten und Kenntnisse in verschiedenen Sicherheitstechnologien.

Der Fokus beim Detection Engineering sind dabei bekannte Bedrohungen - Threat Hunting zielt hingegen darauf ab, versteckte, unbekannte Bedrohungen zu identifizieren. Dementsprechend ergänzen sich beide Disziplinen insofern, als das neu entdeckte Bedrohungen irgendwann als bekannte Bedrohungen mit Alarmen ins Detection Engineering einfliessen.

🐛 Why the X-Bug-Bounty Header Matters for Hackers Dana Epp klärt über die Verwendung des X-Bug-Bounty Headers auf - der in Responses vom Server nicht mehr auftauchen sollte. An dieser Stelle ist die security.txt mittlerweile getreten, wo Verantwortungsbewusste Sicherheitsforscher*innen herausfinden können, wie man Bugs an die Seitenbetreiber*innen melden kann.

Falls ihr Burp nutzt, findet ihr dort direkt auch noch ein How-To, wie ihr diesen Header in euren Einsätzen injecten könnt. Wenn ihr Caido benutzt, findet ihr hier die nötigen Infos, wie ihr das mittels Match & Replace umsetzen könnt.

🧠 OpenAI stuft neue KI-Modellfamilie o1 als “mittlerwes Risiko” ein OpenAI hat seine neue KI-Modellfamilie o1 als "mittleres Risiko" eingestuft, da sie menschenähnliche Fähigkeiten in der Argumentation zeigt sowie Experten bei der operativen Planung zur Reproduktion biologischer Bedrohungen unterstützen kann.

Ebenfalls - und im Kontext IT Secruity wesentlich spannender - ist beobachtet worden, dass das o1-preview-Modell einen Fehler innerhalb eines CTF-Wettbewerbs entdeckte. Dieser erlaubte den Zugriff auf die Docker-API, wodurch es möglich war, die Flagge von aussen zu identifizieren. Das Modell erzeuge daraufhin eine neue Version der identifizierten Applikation, die sofort die Flagge herausgab. A+ Hackerman 😆 

🧙 Building Forensic Expertise Die Kollegen von Jumpsec Labs haben einen schicken zweiteiler veröffentlicht, der sich mit der Einrichtung eines (Virtualisierten) Forensik-Setups beschäftigt. Definitiv nützlich zu haben - und das ganze ist auch sehr nah an meinem Setup. Das beruhigt mich direkt ein wenig. Immerhin ist eine sichere Umgebung um potenziell schadhafte Dokumente, Emails oder ganze Disk-Images zu sichten die Grundvoraussetzung für eine solide Forensik.

Den zweiten Teil findet ihr hier.

Video

🫥 Chrome kann machen was sie wollen: Die Browser Monokultur Morpheus dröselt das Browser-Problem, also die massive Dominanz von Chrome bzw. der Chromium Engine, genauer auf. Die Probleme die dabei auftreten sind.

🦹‍♀️ Die größte Betrügerin des Silicon Valley Scoops hat einen neue Folge herausgebracht - und dieses mal dreht es sich um einen der grössten Betrugsfälle im Valley: Theranos bzw. Elisabeth Holmes.

Die Key Facts findet ihr auch hier als 🧠KI-Summary.

💾 Making an HTTP request in Bash without curl or wget Deswegen liebe ich Linux/Unix so sehr. Man kann einfach fast alles an Tooling durch bash-Skripte ersetzen.

🧃 HackTheBox - Intuition Bei dieser HTB-Maschine gibt es eine ziemlich un-CTF’ige Exploit Chain: Beginnend mit Cross-Site-Scripting (XSS), um sich Zugang zu einem Webpanel zu verschaffen, gefolgt von Server-Side-Request-Forgery (SSRF) und URL-Parsing-Schwachstellen, um Quellcode zu exfiltrieren - und einen SSH-Schlüssel. Im Anschluss wurde ein FTP Passwort geknackt und eine Ansible-Galaxy-Schwachstelle für die Ausweitung der Rechte ausgenutzt.

Eine unbeabsichtigte Methode bestand darin, aus einem Selenium-Container auszubrechen, um Root-Zugriff zu erhalten.

Tools und Co.

🐰 rabbitstack/fibratus Endpoint Protection powered by YARA mit der Möglichkeit, verschiedene Outputs zu definieren oder lokal als Dateien abzulegen. Das könnt ihr dann gegebenenfalls in Forensiken gute gebrauchen. Achtung: Windows only.

 ⌨️ Forager Hier ein kleiner Einblick in eines meiner Lieblings-Nerd-Themen aktuell: Ergonomic Split Keyboards. Das Forager ist inspiriert vom ZSA Voyager, dem kleinen und schlanken Bruder vom ZSA Moonlander, das jetzt seit einigen Monaten auf meinen Tisch wohnt. Reizt mich ja schon, im Winter mal wieder den Lötkolben rauszuholen. 🤔 

🧑‍🍳 glitchedgitz/cook Das dürfte der vielseitigste Wordlist-Generator sein, der mir in den letzten Jahren untergekommen ist. cook unterstützt Wordlist-Generierung bzw. das Handling von verschiedenen List in einer einfachen und kompakten Syntax.

Als kleinen Bonus, hier noch die Liste der aktuell vorgekochten Wortlisten-Rezepte.

Das Zitat der Woche stammt von einem meiner Lieblings-Content-Creatoren: Nahamsec. In dem Video geht es darum, wie man den ersten (von vielen) Bugs in Bug Bounty Programmen finden kann.

Das Zitat erinnert mich ein bisschen an eine Sorte von Prokrastination, die Ich bei mir und anderen beobachten konnte. Man lernt, man übt, man plant - aber verpasst den Schritt ins Doing. Guess what: Dann wird auch nichts passieren.

Also - egal um was es geht, ob Bug Hunting, Sport, eine neue Sprache etc etc: Fangt an. Die ersten Versuche werden fehlschlagen. Die nächsten Versuche werden besser. Es geht Schritt für Schritt vorwärts - und in einem Jahr wirst du dich wundern, wie weit du gekommen bist. 💪 

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️