Select Page

NETWAYS Blog

How I met your C2 : Basic Operational Security for Defense and Offense

by | Feb 2, 2023 |

Throughout this blogpost I want to share some awareness on search engines and current trends of fingerprinting. Some parts have tags for defense and offense. In the following Black Hats are considered evil and destructive, whereas Red Teams simulate Black Hats, allowing organizations to test their effective defenses by Blue Teams.

Warning: Make sure to follow your countries jurisdiction on using Shodan and Censys. In most countries querying keywords is not an issue for public available data, as it is public and has been harvested and tagged by the search engine itself already. This is just like google dorking something like Grafana intitle:Grafana – Home inurl:/orgid, private Keys: site:pastebin.com intext:”—–BEGIN RSA PRIVATE KEY—–” , or AWS Buckets: site:http://s3.amazonaws.com intitle:index.of.bucket .

Browser fingerprinting & custom malware

Sites like amiunique directly show how WebGL and other metadata tracks us. This is why TOR disables Javascript entirely and warns you about going fullscreen.

Offense:

Beef  and Evilgophish would be two OSS frameworks for fishing and victim browser exploitation, which have profiling included.

Defense:

You could use:
1) User Agent Spoofer for changing your Operating System
2) Squid in Paranoid Mode, to shred as many OS & hardware details as possible
3) Proxychains with Proxybroker to collect and rotate IPs. KASM allowing containerized throw away workspaces would also throw many attackers off conveniently.

Infrastructure tracking

Shodan has a list of filters to set, depending on your payment plan. Often advanced payment planes are not necessary (but you are limited to a number of queries/day), more so the correct hashes and keywords.

Recently Michal Koczwara a Threat Hunter, shared some great posts on targeting Black Hat infrastrastructure.

JARM TLS Fingerprinting

Firstly, what is a C2? It is a Command & Controll server that has Remote Code Execution over all the malware agents. Cobalt Strike is one of the top two C2 for Red Teamers and Black Hats. An analogy to monitoring would be an Icinga Master, which has visibility, alerting & code execution over multiple monitoring agents.

Defense:

Salesforce JARM is an amazing way to fingerprint the TLS handshaking method. This is because a TLS handshake is very unique, in addition to bundled TLS ciphers used. A basic Shodan query for this would be: ssl.jarm:”$ID-JARM”. Of course C2 developers could update their frameworks (but most don’t).

Below you see a query of Cobalt Strike JARM C2s and the top countries it is deployed in. Of course servers are individually visible too, but at this point I try to not leak the IPs.

.

This also works for Deimos C2, or any other C2.

You can find various lists of JARM hashes, and all you need to do is run JARM against an IP and port, to create your own lists. This could scale greatly tcpdump, Elastic or my little detector collecting IPs, and alert on the very first TCP connection (basically on the first stager phase of the malware, before any modules are pulled off the C2).

Offense:

Put your C2 behind a proxy, make sure to select a good C2 for operational security, and add randomization for the JARM.

Http.Favicon Hashes

For Favicons: Use Hash Calculators like this one here. This is quite common in bounty hunting to avoid Web Application Firewalls if the server has internet access without a full WAF tunnel. A basic Shodan query would be look this: http.favicon.hash:-$ID.

Http.html Hashes

There are even more OSINT indicators like those ones by BusidoUK which show http.html hashes impact on Metasploit http.html:”msf4″ or Miners http.html:”XMRig”. Some Black Hats or Red Teamers don’t even bother to put any authentication on their C2s at all?

 

Http.hml Hashes are brutal! You even find literally anything online, even defensive products like Nessus http.html:”nessus”

or Kibana http.html:”kibana”.

Fingerprinting Honeypots

Interestingly the chinese Version of Shodan, Zoomeye, is also offering fingerprinting honeypot detection in the VIP and Enterprise models. Some honeypots should really work on their Opsec, but of course this is an expensive cat and mouse game, and pull requests are always welcome right.

As of now I am diving more into honeypots with Elastic backends, and even complete Active Directory Honeypots, to help you as our customers more in the future.

In case you’re interested in consultancy services about Icinga 2, Elastic or another of our supported applications feel free to contact us at any time!

 

Cloud Services and NWS-ID – It’s a match!

by | Jan 26, 2023 | , ,

We’re starting the new year with a new integration for you! As announced last year, the integration of further products with NWS-ID will continue in 2023! From now on the NWS Cloud Services are integrated with NWS-ID.

What are the advantages of integrating our Cloud Services with NWS-ID?

Combining these two services makes your daily work easier, because now you can:

  1. use a single login for both interfaces (Customer Interface and Cloud Interface)
  2. effortless switch between OpenStack projects, in the Customer Interface, in the Cloud Interface (Horizon) and on the OpenStack CLI
  3. use two-factor authentication for your Cloud Services
  4. authorise your colleagues to access your OpenStack projects in the NWS-ID group management

How can you use the Cloud Interface with NWS-ID?

Select NWS-ID at cloud.netways.de, log in and you’re done – simple as that! If you’re not an admin in your organization, they must authorize your NWS-ID. This happens as usual in the user group management in the customer interface.

How do I use the OpenStack-CLI with NWS ID?

As usual, you need an OpenStack Environment File. You can find a version adapted for NWS-ID under Get Started in your OpenStack project in the Customer Interface or in our NWS Docs.
If you’re a member of several OpenStack projects, you can easily switch between them. Simply source the OpenStack Environment File again to get a selection.
Don’t have the official OpenStack CLI client yet? No problem – you can get help in the NWS Docs!

What happens to the existing login?

The existing login can still be used, e.g. in your scripts or tools like Terraform. The password can be changed as usual on cloud.netways.de or via the OpenStack CLI.

What’s coming next?

For a more effortless access, we will gradually integrate our portfolio with NWS-ID. We are already playing with kubelogin and we are looking for a simple Vault SSH integration to extend the reach of your NWS-ID to your OpenStack Cloud Servers.
The same procedure as last year still applies. Please give us a little time to implement the integrations and we will of course come back to you as soon as possible! If you have any questions along the way, please feel free to contact us – we’re always there to help answer any open questions.

Achim Ledermüller
Achim Ledermüller
Senior Manager Cloud
Der Exil Regensburger kam 2012 zu NETWAYS, nachdem er dort sein Wirtschaftsinformatik Studium beendet hatte. In der Managed Services Abteilung ist er für den Betrieb und die Weiterentwicklung unserer Cloud-Plattform verantwortlich.
Read more from Achim and meet the Team

Was NWS Docs ist und wozu es dient

by | Dec 28, 2022 | ,

Vor zwei Wochen haben wir unser neues NWS ID realeasd und vorgestellt – heute möchten wir Dir noch etwas neues vorstellen: das NWS Docs. Es soll Dir dabei helfen, bei Fragen rund um Dein Costumer Interface oder sämtlichen Anwendungen, den richtigen Lösungsweg und Deine Antworten zu finden! Es gilt natürlich trotzdem immer noch: Falls Du nicht weiterkommst, helfen wir Dir auch gerne 😊

 

Wie finde ich das NWS Docs?

Erreichen kannst Du es über docs.nws.netways.de. Du brauchst hier keinerlei Log-In Credentials. Egal ob, NWS-Account oder nicht – Du kannst immer darauf zugreifen.

 

Wie ist es aufgebaut?

Wir haben zu jedem Überpunkt, ein sogenanntes Buch erstellt. Tatsächlich ist es auch genauso aufgebaut: in einem Buch sind mehrere Seiten, mit verschiedenen Themen und Produkten. Zum Beispiel findest Du in dem Buch “Contracts” jegliche Themen, die Verträge betreffen, z.B. Zahlungsmethoden, Vertragsbedingungen, Kündigungsfristen etc. In dem “Kuberntes” Buch z.B., wollen wir Dir unseren Tech-Stack weitergeben, um Dir den Umgang mit K8s zu erleichtern. Wenn Du also Fragen zu Kubernetes & Co hast, findest Du sie in den jeweiligen Büchern.

Unter “Suche” kannst Du auch einfach Schlagwörter eingeben, wenn Du Dich nicht durch die Bücher wühlen möchtest und schneller zu einem Ergebnis kommen willst.

Auf der linken Seite der Startseite, werden Dir auch die letzten Änderungen angezeigt. Wenn wir zum Beispiel eine neue Seite hinzugefügt, eine Seite aktualisiert haben oder sogar ein neues Buch erstellt haben. So erhältst Du einen Überblick der letzten Updates, ohne Dich durch die Bücher durchklicken zu müssen.

 

Natürlich wird unser Docs dauerhaft geupdatet und neue Informationen werden hinzukommen. Stand jetzt ist es zwar noch nicht vollständig – wir werden es aber im Laufe der Zeit befüllen. Trotz der Unvollständigkeit, wollten wir es Dir nicht vorenthalten und unsere ersten Anleitungen und Informationen schon jetzt mit Dir teilen. Wir hoffen es gefällt Dir und macht Dir den Umgang mit Deinem Account oder Deiner Anwendung leichter!

Bei Fragen kannst Du Dich immer gerne an uns wenden. Du erreichst uns entweder unter sales@netways.de, unserem LiveChat oder Du rufst einfach unter der +49 911 92885-0 während unserer Geschäftszeiten an. Wir freuen uns auf Dich!

Leonie Pehle
Leonie Pehle
Account Manager
Leonie ist seit September 2019 bei NETWAYS und hat dort eine Ausbildung zur Kauffrau für Büromanagement erfolgreich abgeschlossen. Seit Juli 2022 unterstützt sie uns als Account Manager im Bereich Sales für NETWAYS Web Services. In ihrer Freizeit ist sie aktive Hobbyfotografin, immer auf der Suche nach dem perfekten Schnappschuss. Darüber hinaus ist sie immer im Stadion zu finden,  wenn der 1.FC Nürnberg spielt.
Read more from Leonie and meet the Team

Docker Swarm auf Proxmox oder es muss nicht immer Kubernetes sein.

by | Dec 15, 2022 |

Neulich habe ich begonnen meine “Heim”-IT auf einen aktuellen Stand zu bringen. Da wir uns bei NETWAYS auch mit Proxmox Virtual Environment als Virtualisierungsplattform beschäftigen, habe ich mich ebenfalls für diese Plattform für meine drei NUC PC entschieden.

Sie bilden mit einem Ceph RBD (RADOS Block Devices) über alle drei Knoten die Basis für hochverfügbare virtuelle Maschinen oder LX Container. Für Shared Storage für Dateisysteme, z.B. für meine Nextcloud oder auch nur Zertifikate für die Web- und Mailserver ist im RBD auf Platz für mehrere CephFS.

Meine Nextcloud ist inzwischen über einige Docker Container verteilt, ich habe mich hier gegen die von Proxmox hauseigenen LXC entschieden, da ich mit Traefik als Proxy direkt auf die DockerAPI (siehe hier) zugreifen wollte, um weitere neue Webserver unkompliziert einbinden zu können. Zusätzlich versorgt mich Traefik automatisch mit benötigten Zertifikaten von Let’s Encrypt.

Kubernetes ist zwar als Technologie sehr interessant, aber meiner Ansicht nach, etwas für sehr große Umgebungen. Da ich sicherlich nicht über 200 Container hinaus komme, benutze ich Docker Swarm auf momentan drei VM. Zur Zeit ist diese Umgebung mit nur einigen Containern für die Nextcloud, Traefik und einem Webserver noch recht übersichtlich und lässt dich gut von der Kommandozeile verwalten, komme jedoch weitere Container hinzu, wird sich mit an Sicherheit grenzender Wahrscheinlichkeit auch eine webbasierte Management Console finden.

Auch durfte ich mich neulich auf der Arbeit mit SDN (Software Defined Network) im Zusammenhang mit Proxmox beschäftigen. Hiebei ging es um eine auf mehrere Standorte verteilte Umgebung, der Verbindung via VPN (hier Wireguard) und der über alle Standorte zur Verfügungsstellung eines einzigen Netzsegments. Proxmox bietet, z.Z. noch experimentell, auch hier die Konfiguration mittels GUI. Das zugrundeliegende OpenVSwitch ist aber natürlich stabil und kann notfalls auch per Hand von der Konsole in den entsprechenden Dateien eingerichtet werden.

Für mein Heimnetzwerk sicherlich zu groß gedacht, aber für den ein oder anderen vielleicht auch interessant. Bei Interesse … ihr wißt an wen ihr euch wenden könnt – NETWAYS.

Lennart Betz
Lennart Betz
Senior Consultant
Der diplomierte Mathematiker arbeitet bei NETWAYS im Bereich Consulting und bereichert seine Kunden mit seinem Wissen zu Icinga, Nagios und anderen Open Source Administrationstools. Im Büro erleuchtet Lennart seine Kollegen mit fundierten geschichtlichen Vorträgen die seinesgleichen suchen.
Read more from Lennart and meet the Team

NETWAYS Cloud – IT Infrastruktur nach Maß

by | Dec 5, 2022 |

Im heutigen Blog möchte ich auf die Vorteile unserer NETWAYS Cloud eingehen.

Das dürfte für alle interessant sein, die gerade vor der Entscheidung stehen in neue Hardware zu investieren, weil mal wieder der Speicherplatz zur Neige geht oder neue Services im Unternehmen eingeführt werden sollen.

Gerade in der aktuellen Lage ist die Beschaffung neuer Hardware mit einem erhöhten Risiko verbunden – die Kosten sind hier erheblich gestiegen und wenn man Pech hat, ist die Zeitspanne zwischen Bestellung und Eintreffen der Ware aufgrund von Lieferengpässen wesentlich höher als einem lieb ist. Schließlich braucht man die Hardware ja gleich und nicht erst in ein paar Monaten.

Und weil man den Investitionsprozess ja nicht wöchentlich durchlaufen möchte, bestellt man gleich ein bisschen mehr und ein bisschen größer, damit dann in der näheren Zukunft erst mal Ruhe ist und jeglicher potentieller Bedarf aus allen Abteilungen abgedeckt werden kann.

All denjenigen, die bei dem eben beschriebenen Entscheidungs-Dilemma die Ohren gespitzt haben, möchte ich wärmstens unsere NETWAYS Cloud ans Herz legen und im Folgenden fünf gute Gründe liefern, warum ein Wechsel in die Cloud ein sehr gute Alternative ist:

1. OpenSource

Unsere NETWAYS Cloud basiert auf OpenStack, das ursprünglich von der NASA und Rackspace ins Leben gerufen wurde und sich seitdem zur am weitest verbreitetsten OpenSource-Cloud-Software der Welt verbreitet hat. Die riesige Community sorgt dafür, dass OpenStack ständig weiterentwickelt wird und stets auf der Höhe der Zeit sowie den Ansprüchen des Marktes gewachsen bleibt.

Dadurch dass ausschließlich offene Standardschnittstellen verwendet werden, gibt es (im Gegensatz zu den großen Cloud-Providern) kein Vendor Lock-in. So kannst Du bei Bedarf Deine Unternehmensdaten unkompliziert migrieren, was einen Anbieterwechsel jederzeit möglich macht.

2. Datenschutz und -sicherheit

Das Thema Datenschutz und -Sicherheit bedarf viel Hirnschmalz und verursacht hohe Investitionskosten. Mit dem Umstieg zu uns brauchst Du Dir darüber keine Gedanken mehr zu machen, denn diese Hausaufgaben haben wir bereits gemacht.

Unsere NETWAYS Cloud betreiben wir auf zwei ISO27001-zertifizierten Rechenzentren in Nürnberg, welche von Partnern betrieben werden. Hier gelten höchste Standards bezüglich Zutrittsschutz, Klimatisierung und Stromversorgung. Beide Rechenzentren werden von uns völlig autark mit eigener Infrastruktur genutzt (Server, Firewalls, Load Balancer, Switches etc.). Unsere Rechenzentren sind untereinander redundant mit 10.000 MBit/s per Glasfaser angebunden, sodass bei Problemen ein Failover auf den jeweils anderen Standort stattfinden kann. Wir verfolgen bezüglich Datenschutz und – sicherheit einen maximal transparenten Ansatz: Unsere TOMs, AVV, die Liste aller Subunternehmer und alle AGBs kannst Du hier einsehen und feststellen, dass Deine Daten bei uns gut aufgehoben sind.

3. Verfügbarkeit

Bei unserer Infrastruktur sind alle Komponenten redundant aufgebaut. Vom Netzteil an jedem Server bis zu den Top of Rack Switches ist alles immer mindestens zwei Mal vorhanden. Gleiches gilt für alle Firewall-, Netzwerk und Spamfiltersysteme. Auch der Stromkreislauf ist immer über zwei verschiedene Stromkreisläufe abgebildet, welcher wiederum an der USV hängt.

Die daraus resultierenden Verfügbarkeiten u.v.m. findest Du in unseren Service Level Agreements.

Du kannst Dir Deine Systeme immer hochverfügbar aufbauen, indem Du die jeweiligen Instanzen stets auf beide Availabiltiy Zones (RZ1 und RZ2) verteilst und als Storage-System unseren stets dreifach redundant-verteilten Ceph-Cluster auswählst. Mit diesem Setup kann selbst der Komplettausfall eines Rechenzentrums ohne Einschränkung im Betrieb Deiner Anwendung gewährleistet werden.

4. Flexibilität

Neben Sicherheit und Verfügbarkeit spielt natürlich auch der Punkt Flexibilität eine gewichtige Rolle bei der Entscheidung in die NETWAYS Cloud zu wechseln.

Du musst Dir nicht im Vorfeld überlegen, wie groß Dein Setup in Zukunft einmal werden könnte. Hier kannst Du klein anfangen und bei Bedarf die Compute-Power hochfahren oder weitere VMs dazustellen.

Und ganz wichtig: das Ganze funktioniert natürlich auch anders herum. Solltest Du, aus welchen Gründen auch immer, Dein Setup wieder verkleinern wollen, so funktioniert auch das ohne Probleme. Unsere Cloud ist keine Einbahnstraße.

Auch im Bereich Maintenance und Support bekommst Du bei der NETWAYS Cloud die volle Bandbreite der Möglichkeiten.

Du kannst Deine Umgebung vollkommen selbstständig und ohne Unterstützung von uns einrichten und betreiben. Über unser Webinterface kannst Du neue Virtuelle Maschinen starten, die in wenigen Sekunden einsatzbereit sind.

Mittels Software Defined Networking und VPNaaS betreibst Du Dein eigenes virtuelles Rechenzentrum. Hier kannst Du Netzwerke isolieren, sichere Tunnel zu Deiner Cloud erstellen und eine maßgeschneiderte Umgebung nach Deinen Bedürfnissen kreieren.

Deine Daten kannst Du in unserem replizierten Ceph-Storage ablegen und Deine Assets auf einem Swift- oder S3-kompatiblen Objektspeicher speichern.

Für alle Bereiche der Cloud (Compute, Storage und Networking) sind APIs verfügbar. Hierdurch erhältst Du automatisierten Zugriff zur Steuerung von Aktionen (Erstellen, Löschen, Ändern oder Lesen) von OpenStack Ressourcen, was Dir die Integration in Build Pipelines, Konfigurationsmanagement Tools und sogar Anwendungsebenen enorm erleichtert.

Du hast aber auch die Möglichkeit mit unserem MyEngineer-Support-Service alle Aufgaben rund um den Betrieb Deiner Umgebung an uns abzugeben. So sparst Du Dir Zeit und Nerven. Unser MyEngineer-Team kümmert sich gerne um Installation und Maintenance Deiner bei uns gehosteten Services. Hier bei heißt die Devise „Alles kann, nichts muss!“. Gebe einfach die Aufgaben an uns ab, die Du nicht selber machen möchtest. Wir richten uns hier ganz individuell nach Deinen Wünschen.

5. Preis- und Laufzeitmodell – transparent und simpel

Zu guter Letzt spricht noch unser transparentes und simples Preis- und Vertragsmodell für den Wechsel in unsere NETWAYS Cloud.

Die Preisübersicht unserer Services findest Du hier.

Es kommt sowohl bei den OpenStack Ressourcen als auch beim MyEngineer-Support-Service das Pay-as-you-go-Modell zum Einsatz.

Das bedeutet, dass Du nur für die Ressourcen (CPU, RAM, Storage etc.) bezahlst, die für den Betrieb Deiner Umgebung im Einsatz sind. Das Accounting erfolgt pro Stunde. Sobald Du Deine gestarteten Projekte runterfährst, entstehen keine weiteren Kosten mehr. Mit unserem Cost Explorer kannst Du Dir jederzeit einen Überblick über die bisher im Monat angefallene Summe verschaffen.

Beim MyEngineer gilt: es wird nur die Zeit gebucht, die die Kollegen für den von Dir erteilten Auftrag benötigen. Accountet wird hier im 15-Minuten-Intervall. Es gibt hier also keine Support-Pauschalen, die selbst dann anfallen, wenn gar nichts geleistet wird. In der MyEngineer-App kannst Du einsehen, welche Arbeiten die Kollegen erledigt haben und welche Kosten dafür verrechnet werden.

Weder bei der NETWAYS Cloud noch beim MyEngineer-Support-Service gibt es irgendwelche Vertragslaufzeiten. Beides ist jederzeit sofort kündbar. Hierzu kannst Du einfach Deine gestarteten Projekte löschen – das wars.

Fazit:

Es gibt also viele gute Gründe, die für den Wechsel in unsere NETWAYS Cloud sprechen und ich hoffe, ich konnte Dich ein bisschen neugierig machen.

Gerne können wir über Dein Projekt in unserer Cloud sprechen. Melde Dich einfach per Kontaktformular oder telefonisch unter der +49 911 92885-0. Ich freue mich, von Dir zu hören!

 

 

 

Stefan Schneider
Stefan Schneider
Account Manager
Vor seiner Zeit bei NETWAYS hat Stefan als Projektmanager in einer Nürnberger Agentur dabei geholfen, Werbeprojekte auf die Straße zu bringen. Seit Juni 2017 ist er nun stolzes Mitglied der NETWAYS-Crew. Hier war er zuerst der Ansprechpartner für unserer Schulungen und kümmert sich aktuell um alle Anfragen rund um unser Hostingangebot. Die Freizeit vertreibt sich Stefan am liebsten mit Sport. Vom Joggen über Slacklining bis zum PennyBoard fahren ist er für alles zu haben.
Read more from Stefan and meet the Team

Trainings

Web Services

Events