3355
ИБ-проект, обозревающий тематику киберпреступности и киберразведки По вопросам сотрудничества: @CyberScoutLS
Всем огромное спасибо!!!
Вы лучшие!
@r00t_owl - ты тигр
Подписываемся на Егора: /channel/pentest_mentor
Запись скоро опубликуем)
Друзья! 🌟 Наткнулся на интереснейшее чтиво, которым хочу с вами поделиться! 😎
Вот ссылка на статью от ребят из Mandiant, где они описывают как можно использовать технику повышения привилегий через сторонние инсталлеры. 🔥 Весьма увлекательное чтение, особенно для настоящих киберэнтузиастов!
📚 Прочитать статью: https://www.mandiant.com/resources/blog/privileges-third-party-windows-installers
А это еще не все! 😲 Они не только рассказали об этой интересной технике, но и создали специальный инструмент поиска кэшированных MSI файлов. Этот годный инструмент может быть нам весьма полезен!
🔧 Взглянуть на инструмент можно здесь: https://github.com/mandiant/msi-search
Так что, друзья, если вы цените новые открытия и кибербезопасность, обязательно прочитайте статью и загляните в их репозиторий на GitHub! 💡 Новые знания - это всегда улучшение наших киберскиллов!
Спасибо за внимание, и не забудьте поделиться этими находками с друзьями! Вместе мы сможем быть на шаг впереди киберугроз! 💪
#readteam #pentest #TTPs
UBA или отдел поведенческого киберанализа (CyberQuantico, Virginia)
Ночная история с SMB заставила меня поискать различную информацию о том, как фиксировать тревогу в ситуации, когда заходит какой-нибудь товарищ и начинает, мягко говоря, слишком активно копаться в файлах, изучать, качать. При этом нет ни вирусов, ни бешеного сканирования, да вообще ничего особенного кроме, максимум, внешнего айпи. И вот что интересного я нашел:
(кстати, будет интересно послушать тех, кто работал с этой штукой - велком в комментарии)
UBA - интересное решение, позволяющее фиксировать подозрительную активность пользователя в системе. За счет чего?
Во-первых, они определяют базовый уровень «нормальной» деятельности, характерной для организации и ее пользователей. Во-вторых, инструменты UBA быстро выявляют отклонения от этой нормы, которые требуют дальнейшего изучения. То есть они выделяют случаи, в которых происходит аномальное поведение.
На самом деле, подобные задачи можно решать и с помощью SIEM-системы, но для этого нужно уметь ей грамотно пользоваться, с чем у многих проблема, а UBA - более профилированная штука.
Подробнее в статье.
Всем привет 🤝
Если вы знакомы с киберскотом, то и меня можете знать.
Я бывший коллега @CyberScoutLS.
Нынче занимаюсь аналитикой по криптовалютам. В основном BTC, в меньшей степени ETH и TRON. Скоро буду познавать Monero.
Естественно, что на моей позиции куча компаленса. Поэтому поделюсь впечатлениями абстрактно:
-Исследование адресов напоминает мне попытку идентифицировать марку автомобиля на основе произвольных данных.
То есть, вот тебе следы от шин, вот тебе запись звука мотора, вот тебе рандомная запчасть. Иди определяй что за марка.
Замени переменные на ‘упоминания’, ‘нода’, ‘узор транзакции’, и получишь поиск крипты 101
-В отличие от поиска преступников, исследования спокойные. Никто не утопит котенка, если ты за 24 часа не определишь локацию с фото и тд.
-Прозрачность крипты номинальна. Да, ты видишь все транзакции и адреса. Но их может быть 100, может и 🍋. Тем более адреса не ‘именные’. Тем более создать адрес проще чем назвать себя OSINTером. Тем более и тд….
-Pattern seeking мозга всегда на пределе. Потому что информации всегда много, полезной мало. Очень часто приходится изучать что-то на ходу. Но это, наверно, моя самая любимая особенность данного направления
Буду делиться своими находками и впечатлениями. Постараюсь чаще, чем раз в полгода 🤝
@volcand
Опубликовал на Хабре новую статью. Сегодня обсудим «извечный вопрос»: как обнаружить точное местоположение пользователя методами OSINT? Первым делом вспомним, что OSINT – это совокупность методов и приемов работы с открытыми источниками информации. И в этом контексте самые очевидные способы обнаружения геолокаций заключаются в анализе той публичной информации, которую пользователи оставляют о себе в глобальной паутине. Это геометки и чекины в социальных сетях, анализ публичных записей, координаты в метаданных загружаемых фотографий, исследование фото и видео контента для выявления местоположения оператора и тому подобные.
Это все здорово, но я хотел бы поговорить о более продвинутых возможностях технического наблюдения за умными устройствами. За подробностями добро пожаловать на наш Хабр!
@tomhunter
P.S. phoneinfoga, кстати, редкостная шляпа) ИМХО
Читать полностью…
🔍Контейнеризация: анализ безопасности
Привет друзья, контейнеризация уже надежно укрепилась в нашей повседневной жизни. Однако, как и в случае с любой технологией, нельзя обойти стороной ее потенциальные уязвимости в безопасности.
В представленной ниже статье вы сможете ознакомиться с полезными и эффективными методами тестирования контейнеров, которые помогут вам лучше защитить свой продукт и компанию.
#Read_Team #pentest #Blue_Team #информационнаябезопасность
🔒🔎 Ссылка на статью: [100 методов атак на контейнеры]
(https://redteamrecipe.com/100-Method-For-Container-Attacks/)
А вот и наша долгожданная запись!. Еще раз спасибо всем, кто пришел на стрим! Следите за обновлениями, дальше только интереснее!!!
Читать полностью…
Джорджу спасибо, что пришел!
Моменты обязательно постараемся исправить)
АНОНС❗️❗️❗️
Ну что, бойцы. Завтра мы немножко поподкастим))
08.07.23 в 21:00 по Мск мы поговорим с уважаемым Шизо на тему:
Идентификация киберпреступников: что ЗА осинтом?
На встрече обсудим:
- действительно ли то, что мы привыкли считать анонимным, является таковым? (сеть TOR, ОС Whonix и прочее)
- Методы борьбы с киберпреступниками их же методами: как спецслужбы используют социальную инженерию, взлом систем, эксплуатацию уязвимостей в средствах анонимизации для идентификации?
- Баги и бэкдоры, приводящие к деанонимизации: самые яркие случаи
- Дело техники: какие навыки, сферы посоветуешь освоить, чтобы понимать полноценный цикл расследований, а не только OSINT?
Никаких серьёзных мероприятий. Просто болталка на интересную тему с интересным человеком. У кого есть желание - залетаем к нам на базу, там всё будет:
/channel/BaseOfSquad
13 сентября пройдет конференция по информационной безопасности «КИБЕРРИТОРИКА 2023».
8 часов полного погружения в отрасль: доклады, демо-стенды от вендоров, нетворкинг.
К участию в конференции в качестве докладчиков приглашены более 20 ведущих российских производителей решений по информационной безопасности и IT, среди которых Positive Technologies, ИнфоТеКС, UserGate, Конфидент, Газинформсервис и другие.
Конференция будет полезна:
• Директорам и владельцам бизнеса.
• Руководителям отделов IT и ИБ;
• Специалистам по IT и ИБ;
Ключевые темы:
• Тренды развития отрасли IT и ИБ в России;
• Актуальные киберугрозы и способы борьбы с ними;
• Отношения с регулятором;
• Практики эффективного импортозамещения;
• Безопасность КИИ, АСУ ТП, персональных данных;
• Борьба с кадровым голодом;
• Обучение сотрудников и повышение осведомленности в вопросах кибербезопасности и многое другое.
Зарегистрироваться:
https://ritservice.timepad.ru/event/2375554/?utm_refcode=ea5b53a8f1a94781a82c944dd48ac5250fb87800
Немного о взломах и диверсиях в социальных сетях
Решил коротко пробежаться по этой теме, так как не перестает быть актуальной. Статья разделена на две небольшие части: про угоны аккаунтов и другие виды вредительств из серии "нагнать ботов на аккаунт".
https://telegra.ph/Nemnogo-i-vzlomah-i-kiberdiversiyah-v-socialnyh-setyah-07-05
Запись стрима с Алексеем Меркуловым, автором серии статей "Образ мыслей атакующего", членом профессионального сообщества СБ Питер.
🔹Что такое социальная инженерия?
🔹Что используют телефонные мошенники для взлома людей?
🔹Неожиданные полезности в отношениях с противоположным полом)
🔹Несколько кейсов реальных попыток, произошедших со мной и Алексеем.
Получился не стрим, а сплошной обучающий материал!
Поэтому будут рекомендации как обезопасить Компанию и себя 😉
Посмотреть видео можно тут
Дзен 👈
YouTube 👈
VK 👈
#видео
КОРМИМСЯ ОТ ЗЕМЕЛЮШКИ
Когда под рукой нет любимых инструментов, а админушку как-то позлить хочется, то в этом вам помогут два интересных ресурса: GTFOBins и LOLBAS. Здесь собраны утилиты для повышения привилегий в мире windows и *nix, которые уже встроены в операционную систему.
Как узнать операционную систему объекта?
Недавно коллега обратился ко мне с интересным вопросом: как узнать операционную систему устройства, с которого сидит объект?
Данная информация может понадобиться для заброса вредоносной программы, для сбора цифрового следа и иных мероприятий.
На самом деле, способов, которые я прям досконально знаю всего несколько, и они - не вершина технического прогресса, а скорее сочетание OSINT'а с заходами по социальной инженерии:
1) Конечно же, кинуть ip-логер, где сразу выйдет и устройство и ОС жертвы;
2) Если знаете страничку ВКонтакте, то @VKHistoryRobot этот дружище иногда показывает, с какого устройства заходил пользователь, однако инфа может быть неактуальна, так как все-таки это архив. Да и в целом различные сервисы, которые выдают архивы вк, частенько палят эту информацию;
3) Если есть номер телефона, то стоит проверить наличие на нем gmail-аккаунта. Там показывается модель телефона, через которую модно узнать наиболее вероятную ОС, если речь о мобилках;
4) Посмотреть чаты, в которых состоит пользователь. Особенно общительные часто кидают скрины с экрана, которые позволяют довольно легко определить, что за ось использует наш объект.
Если знаете какие-то более подходящие способы - милости прошу в комментарии. Возможно, кто-то занимался этим вопросом более детально.
Ну, удачной охоты, киберсталкеры...
CyberScout🖋
АНОНС❗️❗️❗️❗️
ЗАВТРА (21.07.23) в 21:00 по Москве у нас СТРИМ!
На очень и очень интересные темы:
Физический пентест и социальная инженерия
Обсуждаемая тема:
1 часть - физический пентест:
- гость представится и расскажет о себе
- самые частые "дыры" в физической инфраструктуре, повторяются ли они?
- интересные инструменты и техники, которые приходится применять
- как OSINT помогает при физическом пентесте?
2 часть - социальная инженерия:
- больше вопрос техники или психологии/смекалки?
- насколько помогает широкий кругозор для проведения атак по СИ?
- примеры самых длинных кампаний по СИ
Почему именно две темы? Да потому что у нас в гостях @r00t_owl - админ этого прекрасного заведения. У него очень интересный и уникальный опыт. В РФ крайне мало тех, кто занимается подобным на таком уровне.
Трансляция будет у нас на базе. Залетаем: /channel/BaseOfSquad
💻 А ВОТ И XSS💻
Привет друзья, теперь в Chrome можно реализовать всплывающие окна без единой строчки JS! А что это значит? Дадададда! Новый вектор для XSS атак, хотя такой ли он новый 😉
Конечно, мы знаем, что вам интересно как это работает. Поэтому делимся с вами ссылочкой на классную статью, где подробно расписано, как проэксплотировать XSS в метатегах и скрытых полях ввода.
🔎Ссылка на статью:
https://portswigger.net/research/exploiting-xss-in-hidden-inputs-and-meta-tags
Но не забывайте, друзья, оставайтесь на светлой стороне силы! Хоть и на темной стороне вкусные печеньки подвезли, намного приятнее быть этичными кибергероями. Ведь кто-то же должен защищать интернет-галактику от кибер-злоумышленников!
Следите за нашими обновлениями и будьте всегда на пике безопасности!
#pentest #bugbounty #xss #hacking
Честно говоря, я хотел поспать этой ночью и лечь, самое позднее, в 11
Но оставленный без логина и пароля SMB лишает меня сна. Даже не знаю, благодарить админов или ненавидеть.
CVE-1999-0519
Древняя, но, видимо, не для всех
А у нас снова грандиозные новости!
В нашем отряде киберскотов пополнение:
И, наконец-то, мы объединились с тем самым тиктокером с попугаями
Он по-прежнему не может перестать называть меня киберскотом, но раз у него такая проблема, то мы простим ему ее взамен на обещание делать интересный контент.
Вот кстати его канал.
Вулкан будет обозревать тематику расследований в сфере криптовалюты и финансовых преступлений...
Как ловят кардеров
Наткнулся на интересный блог на пикабу. Автор, как утверждает, бывший сотрудник К МВД.
Соответственно, материалы по кардерам, безусловно, падали ему. При прочтении статьи обязательно учитывать, что написана была 5 лет назад, а работал в К автор еще раньше, так что актуальность многих методов может уже не работать. Но как исторические сводки - интересно.
Особенно понравился этот момент (для вас - как затравочка):
"Поиски кардеров: Наша полиция как пингвин - пока не пнёшь не полетит. Начинается расследование если только была украдена большая сумма денег (более $100k) и пришёл запрос из ФБР, запрос - это готовые данные на блюдечке с голубой каёмочкой. Осталось только пробить IP адреса и найти преступника, ФИО и адреса дропов уже есть в запросе. Найти преступников через дропов - не реально, они не контактируют с дропами на прямую и могут быть из другой страны. Если ФБР повезло распутать всю цепочку VPN серверов, прокси и SSH туннелей - кардера найдут, но доказать вину будет сложно, по этому за время моей работы было поймано кардеров чуть меньше чем ..."
Это однозначно репост)
В голос) Ведь как же жизненно))
Нас 2000
Спасибо всем, кто с нами
Мы будем развиваться и стараться делать контент ещё более полезным и интересным.
Давайте расти вместе
Итак, только что закончился стрим, даю обратную связь - Все круто прошло и чего то подобного на русском впринципе очень мало. Большое спасибо шизо и организаторам за данное мероприятие!
Небольшие моменты, которые не так значительны, однако будет отлично, если вы это исправите:
1. Организация.
Лучше разделить стрим на конкретные темы, допустим 20 минут обсуждаем мессенджеры, 10 анонимные сети, 20 операционные системы и так далее. Ну и после этого уже вопросы, либо после каждой темы. Так же интересные вопросы лучше выделять, а то так много вопросов было пропущено к сожалению.
2. Звук/Качество связи.
Иногда шизо пропадал.
Спасибо большое еще раз!
Если есть какие то предложения, так же мог бы как нибудь помочь и/или поучаствовать в проекте, мои контакты вы знаете)
Всем дорогим коллегам огромная благодарность за участие в мероприятии
Шизо, ты как всегда произвел бомбическое впечатление))
Продолжаем в том же духе!
Книг по информационной безопасности великое множество, но найти ту, что действительно стоит вашего времени, - задача не из легких.
Эта книга - идеальный выбор как для тех, кто только начинает свое путешествие в мир кибербезопасности, так и для ветеранов. Это не просто сухая теория, это - практический курс, который проведет вас через все этапы реагирования на инциденты, начиная от момента "Ой вей, что-то пошло не так" и заканчивая "Мы это сделали, ребята!". Здесь вы найдете практические советы, которые помогут вам выжить в мире киберугроз и сохранить рассудительность, когда дело доходит до восстановления инфраструктуры.
Но что особенно важно, так это то что в книге делается акцент на командную работу. Ведь успешное реагирование на инциденты - это командный спорт, а эта книга поможет вам стать MVP в этой игре.
В общем, эта книга - это ваш билет в мир информационной безопасности, где вам предстоит сразиться с киберпреступниками защищая свою организацию и, возможно, даже спасти мир... но это не точно!
Когда у SOC-а в распоряжении небольшой личный кофейный завод, а жажда информации о домене становится сильнее. То на помощь придет определенный набор запросов LDAP, которые достанут только нужные данные. А как сотворить эту магию, можно узнать из статьи
https://www.politoinc.com/post/ldap-queries-for-offensive-and-defensive-operations
Расследование киберпреступлений: что ЗА OSINT'ом?
Когда я только начинал вникать в ИБ-тематику, мне было очень интересно: что же еще и как используют спецслужбы, правоохранительные органы и частные компании при расследовании разного рода киберпреступлений?
Понятно, что у них есть возможность запрашивать данные у провайдеров, разработчиков мессенджеров и соц сетей и прочее, но если не работает ни то, ни другое?
Данных, полученных через OSINT мало, запросы ничего существенного не дали.
Вот и попался мне занятный кейс, о котором рассказал уважаемый Jhorj, канал которого я настоятельно рекомендую, кстати:
Вкратце, перепутавший всевозможные берега извращенец разводил в Facebook (Meta в РФ признана экстремистской, кек) молодых девушек на интимные фотографии, а затем шантажировал. С ним боролись не только FBI, но и сам FB, конечно же, признанный экстремистской организацией в РФ.
Именно для этого последние, как утверждается, заказали у компании по кибербезопасности разработку эксплойта под OC Tails, который использовал негодяй.
Резюмируя, по сути, преступник был взломан сам за счет 0-day уязвимости в хваленой OC Tails, что позволило установить его реальный ip-адрес, и эта информация, конечно же, была получена FBI (организация пока еще не признана экстремистской в РФ).
Так вот, что идет, когда осинт и запросы не помогли...
А подробнее об этом можно прочитать вот в этой статье.
Очень интересный стрим на волнующую всех тему)
На проект Владимира советую всем подписаться. Он реально уникален, а подход автора к организации мероприятий просто удивляет. Очень высокий уровень.
Тестирование AD
Небольшая подборка наиболее популярных и эффективных методов по тестированию на проникновение AD:
https://github.com/S1ckB0y1337/Active-Directory-Exploitation-Cheat-Sheet
Немного интервью с профессионалом
На днях у меня появилась очень интересная возможность: поговорить с более опытным коллегой по цеху.
https://telegra.ph/Intervyu-s-Pandora-specialistom-po-rassledovaniyu-kiberprestuplenij-02-13
Pandora - специалист по расследованию киберпреступлений. Она сочетает в себе навыки опытного аналитика, расследователя и высококлассного технического специалиста.
Думаю, её опыт будет интересно почитать всем интересующимся. Пока что удалось задать несколько коротких вопросов, но в дальнейшем хотел бы проводить более масштабные интервью с разными спецами.
Если у вас появятся какие-либо вопросы, добро пожаловать в комментарии) Мы позовем нашу героиню, чтобы она ответила вам)
P.S. У неё на каналах очень много уникального и интересного контента, настоятельно рекомендую:
@pandora_intelligence
@pandora_biohacking