FreeIPA: как обнаружить атаку злоумышленника на любом этапе Kill Chain

В последнее время в различных отчетах об атаках и результатах пентестов часто фигурирует FreeIPA — система централизованного управления хостами и группами пользователей, ориентированная на Linux-инфраструктуру. Можно сказать, что это опенсорс-альтернатива для MS Active Directory. Хотя FreeIPA не является ключевым компонентом инфраструктуры, из-за особенностей конфигурирования, она может стать для злоумышленника кратчайшим путем к компрометации организации. Поэтому мы – Ильназ Гатауллин, технический руководитель RED Security SOC и Сергей Орляк, руководитель третьей линии RED Security SOC – решили рассказать о схемах атак на FreeIPA, основных методах их детектирования и расследования. Мы хотим разобрать целый ряд атак: показать их механику, поделиться правилами корреляции, которые вы сможете использовать для самостоятельного выявления таких инцидентов, и советами по расследованию. Поскольку в итоге получился очень обширный tutorial, мы разделим его на две публикации. Во второй части посмотрим на весь Kill Chain атак на FreeIPA и покажем, как приведенные правила позволят выявлять злоумышленника на любом из этапов.

https://habr.com/ru/companies/ru_mts/articles/905112/

#freeipa #LDAP #обнаружение_атак #журналирование #Bruteforce_Kerberos #user_enumeration #системное_администрирование #информационная_безопасность #itинфраструктура #настройка_linux

#Buhl Data Service, die Anbieter von #Wiso #Steuer, der vermutlich am weitesten verbreiteten Steuersoftware in Deutschland, erlaubt übrigens #User_Enumeration
Wenn man auf der Registrierungsseite eine Mailadresse eingibt, für die bereits ein Account existiert und ins Passwortfeld tabt, kommt direkt eine entsprechende Meldung.
Das gleiche, nur mit anderer Meldung, passiert bei geblockten Adressen.

Опасное цифровое наследство: какие угрозы таит реинкарнация утраченного номера

Когда-нибудь видели такое, что в социальных сетях ваша бывшая одноклассница Оля стала каким-то усатым Николаем? А в чужой групповой чат попадали по ошибке? Причем не просто какой-то спам, а реальный чат друзей, собирающихся на рыбалку или на день рождения? Может, получали сообщение в Telegram о новом пользователе с номером покойной бабушки Зины? Что-то подобное может произойти после блокировки SIM-карты спустя определенный период бездействия (обычно от 60 до 365 дней в зависимости от оператора), когда номер вновь поступает в продажу. А что произойдет, если новый владелец вашего прежнего номера попробует авторизоваться там, где ранее регистрировались вы? Чтобы ответить на этот вопрос, мы провели эксперимент.

https://habr.com/ru/companies/pt/articles/856538/

#simкарта #cybersecurity #user_enumeration #сотовые_операторы #виртуальные_simкарты #sms #блокировка #серые_симки #аккаунты #смс