Hardentools – это набор простых утилит, предназначенных для отключения ряда «функций», открытых операционными системами (Microsoft Windows, на данный момент) и основными потребительскими приложениями.

Эти функции, обычно нацеленные для корпоративных клиентов, обычно бесполезны для обычных пользователей и, скорее, представляют собой опасность, поскольку злоумышленники часто злоупотребляют ими для выполнения вредоносного кода на компьютере жертвы.

Цель этого инструмента – просто уменьшить поверхность атаки, отключив ряд функционала.

Hardentools предназначен для людей с повышенным риском, которым может потребоваться дополнительный уровень безопасности по цене за некоторые удобства использования.

Он не предназначен для корпоративной среды.

    ПРЕДУПРЕЖДЕНИЕ: Это просто эксперимент, он еще не предназначен для публичного распространения. Кроме того, этот инструмент отключает ряд функций, в том числе Microsoft Office, Adobe Reader и Windows, что может привести к сбоям в работе определенных приложений. Используйте это на свой страх и риск.

Имейте ввиду, что после запуска Hardentools вы не сможете, например, выполнять сложные вычисления с помощью Microsoft Office Excel или использовать терминал командной строки, но это в значительной степени единственные значительные «недостатки» в том, что у вас немного безопаснее Окружающая среда Windows .

Прежде чем принимать решение об использовании, убедитесь, что вы внимательно прочитали этот документ и понимаете, что да, что-то может сломаться.

Если у вас возникли сбои в результате изменений, дайте знать разработчикам.

Как обезопасить Windows

Что этот инструмент не делает

• Это не предотвращает эксплуатацию программного обеспечения.
  
  
• Он НЕ предотвращает злоупотребление всеми доступными рискованными функциями.
  
  
• Это не антивирус. Он не защищает ваш компьютер. Он не идентифицирует, блокирует и не удаляет вредоносное ПО.
  
  
• Он НЕ предотвращает возврат изменений, которые он реализует. Если в системе запущен вредоносный код и он может их восстановить, предпосылка инструмента будет побеждена, не так ли?

Отключение функций

Общие функции Windows

• Отключить хост сценария Windows. Windows Script Host позволяет выполнять файлы VBScript и Javascript в операционных системах Windows. Это обычно используется обычными вредоносными программами (такими как ransomware), а также целевыми вредоносными программами.
  
  
• Отключение автозапуска. Отключает AutoRun / AutoPlay для всех устройств. Например, это должно предотвратить автоматическое выполнение аппликаций при подключении USB-накопителя к компьютеру.
  
  
• Отключает выполнение powershell.exe, powershell_ise.exe и cmd.exe через проводник Windows. Вы не сможете использовать терминал, и это должно помешать использованию PowerShell вредоносным кодом, пытающимся заразить систему.
  
  
• Устанавливает контроль учетных записей пользователей (UAC), чтобы всегда запрашивать разрешение (даже при изменении конфигурации) и использовать «безопасный рабочий стол».
  
  
• Отключить расширения файлов, в основном используемые для вредоносных целей. Отключает «.hta», «.js», «.JSE», «.WSH», «.WSF», «.scf», «.scr», «.vbs», «.vbe» и «.pif «Расширения файлов для текущего пользователя (и для системных значений по умолчанию, что имеет значение только для вновь созданных пользователей).

Microsoft Office

• Отключить макросы. Макросы иногда используются пользователями Microsoft Office для сценариев и автоматизации определенных действий, особенно расчетов с Microsoft Excel. Однако макросы в настоящее время являются угрозой безопасности, и они широко используются как средство компромисса. С Hardentools макросы отключены, а уведомление «Включить все содержимое» также отключено, чтобы пользователи не обманывались.
  
  
• Отключить выполнение OLE-объекта. Приложения Microsoft Office могут внедрять так называемые «OLE-объекты» и выполнять их, а также автоматически (например, с помощью анимации PowerPoint). Исполняемые файлы Windows, такие как шпионские программы, также могут быть встроены и выполнены как объекты. Это также является катастрофой безопасности, которую мы наблюдаем снова и снова, особенно в случае нападений на активистов в репрессированных регионах. Hardentools полностью отключает эту функциональность.
  
  
• Отключение ActiveX. Отключает элементы управления ActiveX для всех приложений Office.
  
  
•  Отключить DDE. Отключает DDE для Word и Excel

Acrobat Reader

• Отключить JavaScript в документах PDF. Acrobat Reader позволяет выполнять JavaScript-код из PDF-документов. Это широко используется для эксплуатации и злонамеренной деятельности.
  
  
• Отключить выполнение объектов, встроенных в документы PDF. Acrobat Reader также позволяет выполнять внедренные объекты, открывая их. Обычно это поднимает предупреждение о безопасности, но учитывая, что законное использование этого является редким и ограниченным, Hardentools отключает это.
  
  
• Включить защищенный режим (включен по умолчанию в текущих версиях)
  
  
• Включить защищенный просмотр для всех файлов из ненадежных источников
  
  
• Включить расширенную защиту (включен по умолчанию в текущих версиях)

Скачать Hardentools

Если у вас есть выделенный сервер или VPS, скорее всего, вы единственный администратор / пользователь root, которому необходимо поддерживать его из SSH или командной строки.

Это означает, что вы также получаете * ответные сообщения электронной почты с вашего сервера о бот-сетях, пытающихся получить доступ к вашему SSH-порту.

Существует много способов управлять этим и защитить ваш сервер.

Наиболее распространенным является изменение портов сервера SSH на что-то необычное.

Второй способ – ограничить доступ SSH по IP или подсети.

У обоих есть свои преимущества.

Третий способ – перейти на проверку подлинности на основе сертификатов.

Но если вы являетесь единственным пользователем SSH / FTP для своего сервера, то ограничение доступа к определенным портам по странам – это еще один вариант, не запомнив порт или несколько подсетей ISP, которые вы используете.

Например, я управляю своими серверами с моего мобильного телефона (так, он использует мой IP-адреса операторов), из дома (домашний интернет-провайдер), с работы (офисная подсеть), из публичной WiFi  сети через VPN и т. д.

В зависимости от того, где я нахожусь и порты открыты в своем брандмауэре, я обнаружил, что могу просто ограничить его кодом страны и использовать проверку подлинности на основе сертификатов.

Это уменьшает ложные срабатывания до нуля.

Я использую ConfigServer Security & Firewall (или более известный как CSF Firewall).

Помимо изменения SSH-портов, перехода на аутентификацию на основе сертификатов, я ограничиваю доступ к конкретным портам по странам в CSF.

Чтобы ограничить возможность подключения по определенному порту или портам посетителям  IP-адресами, происходящими из определенной страны или стран, вы должны:

• Закройте этот порт в брандмауэре
  
  
• Определить коды стран, разрешенные для подключения к этим заблокированным портам
  
  
• Укажите заблокированные порты, которые будут открыты для указанной страны

Шаг 1 – Закройте порты в брандмауэре

Войдите на свой сервер через SSH и перейдите в папку /etc/csf.

Создайте резервную копию файла csf.conf.

 # cd /etc/csf

# cp csf.conf csf.conf-bkp

# vi csf.conf 

Откройте файл csf.conf и прокрутите страницу вниз до раздела настроек порта IPv4 и удалите нужный номер порта (в данном случае порт 22) из полей TCP_IN и UDP_IN (если есть).

мы удалили порт 48695 из разрешенных входящих портов IPV4, эффективно блокируя внешний доступ к порту:

Шаг 2 – Добавьте код страны

Запишите для CC_ALLOW_PORTS, там есть раздел « Settings » и добавьте код страны в CC_ALLOW_PORTS.

Я разрешаю трафик, исходящий от DE, подключаться к портам, которые в противном случае были закрыты в брандмауэре.

Несколько стран могут быть разделены запятыми без пробелов между ними, и вы можете найти список букв ISO 3166-1 alfa-2 на странице https://en.wikipedia.org/wiki/ISO_3166-1_alpha-2

Найдите в конфиге поля CC_ALLOW_PORTS_TCP и CC_ALLOW_PORTS_UDP.

Добавьте порт 48695, чтобы открыть страну (или страны), указанную в CC_ALLOW_PORTS, здесь, начиная с Шага 2.

После того, как все сделано, сохраните csf.conf.

Шаг 3 – Перезапустите CSF и LFD

Теперь нам нужно перезапустить CSF и LFD.

 # service lfd restart

# csf -r 

Это изменение позволит только пользователям из Германии (DE) получить доступ к моему настраиваемому SSH-порту в настройках порта IPV4 брандмауэра на порту 48695.

Как установить Nmap 7.01 и использовать на Linux Mint 18.3

Nmap (Network Mapper) является программой с открытым исходным кодом и очень универсальным инструментом для системных / сетевых администраторов Linux. Nmap используется для изучения сетей; выполнять проверки безопасности, сетевой аудит и находить открытые порты на удаленной машине.

Он сканирует виртуальные хосты, операционные системы, фильтры пакетов и открытые порты, работающие на удаленных хостах.

Установка Nmap 7.01 настолько проста, что вы сами сейчас в этом убедитесь.

Установка Nmap

Большинство современных дистрибутивов Linux, таких как Red Hat, CentOS, Fedora, Debian и Ubuntu, включили Nmap в свои репозитории управления пакетами по умолчанию, называемые Yum и APT.

Для установки Nmap выполните следующую команду.

 # apt-get install nmap

Reading package lists... Done

Building dependency tree

Reading state information... Done

The following additional packages will be installed:

liblinear3 lua-lpeg

Suggested packages:

liblinear-tools liblinear-dev

Recommended packages:

ndiff

The following NEW packages will be installed:

liblinear3 lua-lpeg nmap

0 upgraded, 3 newly installed, 0 to remove and 174 not upgraded.

.

.

Processing triggers for libc-bin (2.23-0ubuntu9) ...

Processing triggers for man-db (2.7.5-1) ...

Setting up liblinear3:amd64 (2.1.0+dfsg-1) ...

Setting up lua-lpeg:amd64 (0.12.2-1) ...

Setting up nmap (7.01-2ubuntu2) ...

Processing triggers for libc-bin (2.23-0ubuntu9) ... 

Теперь, когда установлен Nmap, мы увидим широкий диапазон его удобства использования.

Проверка на наличие уязвимостей с Nmap

Во-первых, давайте сканируем нашу цель на уязвимости следующим образом:

 # nmap -Pn --script vuln 192.168.7.232

Starting Nmap 7.01 ( https://nmap.org ) at 2018-02-18 04:11 IST

Pre-scan script results:

| broadcast-avahi-dos:

| Discovered hosts:

| 192.168.7.134

| 192.168.7.147

| 192.168.7.130

| 192.168.7.144

| 192.168.7.141

| 192.168.7.138

.

.

| After NULL UDP avahi packet DoS (CVE-2011-1002).

|_ Hosts are all up (not vulnerable).

Nmap scan report for 192.168.7.232

Host is up (0.00016s latency).

Not shown: 998 closed ports

PORT STATE SERVICE

22/tcp open ssh

111/tcp open rpcbind

MAC Address: 00:0C:29:7F:EC:FD (VMware)



Nmap done: 1 IP address (1 host up) scanned in 38.94 seconds 

После завершения сканирования вы можете просмотреть вывод Nmap, чтобы узнать, какие уязвимости были обнаружены.

Выводы, а также применимые CVE и ссылки на любые эксплойты, которые существуют в базе данных Exploit Insensive Security, перечислены.

Вы также можете использовать команду nmap следующим образом, чтобы проверить, уязвим ли целевой объект на DoS.

 # nmap --script dos -Pn 192.168.7.232



Starting Nmap 7.01 ( https://nmap.org ) at 2018-02-18 04:14 IST

Pre-scan script results:

| broadcast-avahi-dos:

| Discovered hosts:

| 192.168.7.142

| 192.168.7.147

| 192.168.7.144

| 192.168.7.121

| 192.168.7.141

.

.

| 192.168.7.134

| 192.168.7.129

| After NULL UDP avahi packet DoS (CVE-2011-1002).

|_ Hosts are all up (not vulnerable).

Nmap scan report for 192.168.7.232

Host is up (0.00018s latency).

Not shown: 998 closed ports

PORT STATE SERVICE

22/tcp open ssh

111/tcp open rpcbind

MAC Address: 00:0C:29:7F:EC:FD (VMware)



Nmap done: 1 IP address (1 host up) scanned in 40.17 seconds 

Вы также можете использовать команду nmap для сканирования с использованием IP-адреса:

 # nmap 192.168.7.232

Starting Nmap 7.01 ( https://nmap.org ) at 2018-02-18 04:17 IST

Nmap scan report for 192.168.7.232

Host is up (0.00012s latency).

Not shown: 998 closed ports

PORT STATE SERVICE

22/tcp open ssh

111/tcp open rpcbind

MAC Address: 00:0C:29:7F:EC:FD (VMware)



Nmap done: 1 IP address (1 host up) scanned in 1.55 seconds 

Кроме того, вы можете сканировать информацию о ОС и Traceroute следующим образом:

 # nmap -A 192.168.7.232



Starting Nmap 7.01 ( https://nmap.org ) at 2018-02-18 04:18 IST

Nmap scan report for 192.168.7.232

Host is up (0.00030s latency).

Not shown: 998 closed ports

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH 7.4 (protocol 2.0)

| ssh-hostkey:

| 2048 63:bf:4e:a0:11:14:59:ff:19:99:74:ae:45:ce:c0:18 (RSA)

|_ 256 19:29:9e:3b:50:57:14:37:d2:3f:7e:49:c1:b4:d4:d9 (ECDSA)

111/tcp open rpcbind 2-4 (RPC #100000)

| rpcinfo:

| program version port/proto service

| 100000 2,3,4 111/tcp rpcbind

|_ 100000 2,3,4 111/udp rpcbind

MAC Address: 00:0C:29:7F:EC:FD (VMware)

Device type: general purpose

Running: Linux 3.X|4.X

OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4

OS details: Linux 3.2 - 4.0

Network Distance: 1 hop



TRACEROUTE

HOP RTT ADDRESS

1 0.29 ms 192.168.7.232



OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 11.94 seconds 

Вы также можете включить обнаружение ОС с помощью Nmap, все, что вам нужно сделать, это использовать опцию -O. «-osscan-guess» также помогает обнаружить информацию о ОС.

 # nmap -O 192.168.7.232



Starting Nmap 7.01 ( https://nmap.org ) at 2018-02-18 04:20 IST

Nmap scan report for 192.168.7.232

Host is up (0.00024s latency).

Not shown: 998 closed ports

PORT STATE SERVICE

22/tcp open ssh

111/tcp open rpcbind

MAC Address: 00:0C:29:7F:EC:FD (VMware)

Device type: general purpose

Running: Linux 3.X|4.X

OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4

OS details: Linux 3.2 - 4.0

Network Distance: 1 hop



OS detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 3.60 seconds 

Если вы хотите узнать версию Nmap, вы можете запустить следующую команду:

# nmap -V



Nmap version 7.01 ( https://nmap.org )

Platform: x86_64-pc-linux-gnu

Compiled with: liblua-5.2.4 openssl-1.0.2g libpcre-8.38 libpcap-1.7.4 nmap-libdnet-1.12 ipv6

Compiled without:

Available nsock engines: epoll poll select 

Вы также можете распечатать интерфейсы и маршруты ost, используя следующую команду:

 # nmap --iflist



Starting Nmap 7.01 ( https://nmap.org ) at 2018-02-18 04:22 IST

************************INTERFACES************************

DEV (SHORT) IP/MASK TYPE UP MTU MAC

ens33 (ens33) 192.168.7.234/24 ethernet up 1500 00:0C:29:F8:F9:81

ens33 (ens33) fe80::19ae:fc6a:5310:718b/64 ethernet up 1500 00:0C:29:F8:F9:81

lo (lo) 127.0.0.1/8 loopback up 65536

lo (lo) ::1/128 loopback up 65536



**************************ROUTES**************************

DST/MASK DEV METRIC GATEWAY

192.168.7.0/24 ens33 100

169.254.0.0/16 ens33 1000

0.0.0.0/0 ens33 100 192.168.7.1

::1/128 lo 0

fe80::19ae:fc6a:5310:718b/128 lo 0

fe80::/64 ens33 256

ff00::/8 ens33 256 

Вы также можете выполнить нулевое сканирование TCP, чтобы обмануть брандмауэр.

 # nmap -sN 192.168.7.232



Starting Nmap 7.01 ( https://nmap.org ) at 2018-02-18 04:23 IST

Nmap scan report for 192.168.7.232

Host is up (0.00032s latency).

Not shown: 998 closed ports

PORT STATE SERVICE

22/tcp open|filtered ssh

111/tcp open|filtered rpcbind

MAC Address: 00:0C:29:7F:EC:FD (VMware)



Nmap done: 1 IP address (1 host up) scanned in 95.17 seconds 

Таким образом, этот учебник по установке и использованию Nmap на Linux Mint подходит к концу.

В анализаторе логов веб-сайтов WebLog Expert, а точнее в его веб-интерфейсе, выявлены уязвимости, под которые доступны эксплойты: обход аутентификации https://packetstormsecurity.com/files/146697/WebLog-Expert-Web-Server-Enterprise-9.4-Weak-Permissions.html и отказ в обслуживании https://packetstormsecurity.com/files/146698/WebLog-Expert-Web-Server-Enterprise-9.4-Denial-Of-Service.html.

Дыры присутствуют в версии 9.4 софта, которая и есть на данный момент последняя доступная.

Любопытно, что в данном случае уязвимости стали рекламой.

WebLog Expert – софт для анализа посещаемости, путей, рефереров, поисковых запросов и прочей информации о посетителях (впрочем, никакой активной слежки за ними), а также строит всякие графики и диаграммы по собранным данным.

Учитывая назначение софта, уязвимости некритичны, так как доступ к его веб-интерфейсу в общем случае достаточен локальный по 127.0.0.1, да и вообще веб-интерфейс в данной софтине не ключевая функция.

Так что несмотря на отсутствие патча, владельцы могут просто закрыть к нему сетевой доступ.

Источник https://t.me/informhardening

Мда…Мы вроде живем, как обычно, а в винде непофикшенная анонсированная уязвимость + публично доступный эксплойт с легкой сложностью применения.

Несколько месяцев назад Google Project Zero открыла два issue 1427 и 1428 по поводу обхода прав доступа к файлам в винде с помощью функции SetNamedSecurityInfo. Microsoft обозвала их CVE-2018-0826 и выпустила патчи https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0826.

Однако оказалось, что проблему 1427 эти патчи не решают.

В итоге на данный момент любой локальный пользователь может получить права доступа к любому файлу и повысить привилегии до SYSTEM.

Проблема касается только Windows 10 и Windows Server 2016.

Защититься собственными силами оччень нетривиально.

С одной стороны, недавно рассмотренный AppLocker просто не позволит запустить непривилегированнму пользователю эксплойт, если он разрешает только явно разрешенные программы.

С другой стороны, нас как то больше волнуют хакеры, получившие доступ с правами непривилегированного пользователя, а не собственные юзвери.

Им то AppLocker не помешает.

Так что остается надеяться, что пока Microsoft не выпустит нормальный патч, хакерам не удастся добраться до прав непривилегированных пользователей.

Тут подробное описание уязвимости и эксплойт https://bugs.chromium.org/p/project-zero/issues/detail?id=1428.

Источник – https://t.me/informhardening