-
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Профессиональные кибегруппировки проникают в ИТ-периметры и могут месяцами незаметно шпионить за жертвой. Но спрятаться им удается не всегда.
Так проправительственная группа Shedding Zmiy попалась специалистам центра исследования киберугроз Solar 4RAYS ГК «Солар» в одном из расследований.
Постепенно разматывая этот змеиный клубок из хитроумных техник и тактик, эксперты обнаружили взаимосвязь между десятками кибератак, за которыми стояли эти хакеры.
Как это удалось сделать и в чем особенность деятельности Shedding Zmiy, специалисты Solar 4RAYS расскажут в рамках доклада на киберфестивале PHDays.
🗓24 мая в 11:00
📍Зал Титан
Что еще вы услышите от экспертов «Солара»?
📌 23 мая в 14:30
Зал Гравитация
Руководитель отдела противодействия киберугрозам центра исследования Solar 4RAYS Владислав Лашкин обсудит с коллегами, как хакеры могут обойти технологии SOC и возможно ли это сделать в принципе.
📌24 мая в 17:30
Зал Метеор
Операционный директор центра противодействия кибератакам Solar JSOC Антон Юдаков участвует в дискуссии о будущем SOC. Участники обсудят, как должен трансформироваться мониторинг ИБ на фоне изменения технологий и киберландшафтов.
📌25 мая в 15:00
Зал Ганимед
Руководитель группы архитектуры ГК «Солар» Александр Кузнецов объяснит, как правильно распределить нагрузку и на каких носителях хранить данные о событиях ИБ.
📌25 мая в 16:25
Зал Ганимед
Специалист по анализу защищенности ГК «Солар» Артемий Абызов расскажет о нестандартных подходах к физическому пентесту.
Не пропустите!
Реклама. ООО "РТК ИБ" ИНН: 7704356648. erid: 2VfnxyFp8Vv
• А еще Андрей Созыкин сделал анонс курса по сетям в текстовом варианте, который будет опубликован на хабре. Первая статья уже вышла: https://habr.com/ru/articles/813395/
#Сети #Курс
⛈ Утечки информации в мире, 2022-2023 годы.
• Эксперты компании InfoWatch выкатили новый отчет, где представили результаты исследования утечек данных в глобальном масштабе за последние два года. Отчет не сильно объемный - 23 страницы, но содержит много графиков и статистики. Рекомендую ознакомиться.
➡️ Скачать можно отсюда: https://www.infowatch.ru/
#Отчет #Утечки
💬 История подростков, создавших ботнет Mirai.
• К слову, внутри Mirai — небольшой и чистый код, который не отличался технологичностью. Для распространения задействовалась всего 31 пара логин-пароль, но даже этого оказалось достаточно, чтобы захватить более полумиллиона IoT устройств.
➡ Читать статью [12 min].
#Разное
👩💻 PowerShell Commands for Pentesters.
• В продолжении к вчерашней публикации поделюсь с Вами полезными командами, которые будут полезны пентестерам и специалистам в области информационной безопасности:
+ Locating files with sensitive information:
- Find potentially interesting files;
- Find credentials in Sysprep or Unattend files;
- Find configuration files containing “password” string;
- Find database credentials in configuration files;
- Locate web server configuration files;
+ Extracting credentials:
- Get stored passwords from Windows PasswordVault;
- Get stored passwords from Windows Credential Manager;
- Dump passwords from Google Chrome browser;
- Get stored Wi-Fi passwords from Wireless Profiles;
- Search for SNMP community string in registry;
- Search for string pattern in registry;
+ Privilege escalation:
- Search registry for auto-logon credentials;
- Check if AlwaysInstallElevated is enabled;
- Find unquoted service paths;
- Check for LSASS WDigest caching;
- Credentials in SYSVOL and Group Policy Preferences (GPP);
+ Network related commands:
- Set MAC address from command-line;
- Allow Remote Desktop connections;
- Host discovery using mass DNS reverse lookup;
- Port scan a host for interesting ports;
- Port scan a network for a single port (port-sweep);
- Create a guest SMB shared drive;
- Whitelist an IP address in Windows firewall;
+ Other useful commands:
- File-less download and execute;
- Get SID of the current user;
- Check if we are running with elevated (admin) privileges;
- Disable PowerShell command logging;
- List installed antivirus (AV) products.
#PowerShell
👩💻 Awesome PowerShell.
• Большая подборка различного материала для изучения PowerShell: книги, курсы, статьи, подсказки, команды и т.д.:
- API Wrapper;
- Blogs;
- Books;
- Build Tools;
- Code and Package Repositories;
- Commandline Productivity;
- Communities;
- Data;
- Documentation Helper;
- Editors and IDEs;
- Frameworks;
- Interactive Learning;
- Logging;
- Module Development Templates;
- Package Managers;
- Parallel Processing;
- Podcasts;
- Security;
- SharePoint;
- SQL Server;
- Testing;
- Themes;
- UI;
- Videos;
- Webserver;
- Misc.
• Не забывайте про дополнительный материал, который опубликован в нашем канале:
- Коллекция примеров пошаговых сценариев администрирования систем с помощью PowerShell;
- Полезные заметки о командах PowerShell;
- Мини-курс: Windows PowerShell 5. [Часть 1], [Часть 2];
- Книга: PowerShell Security. (RU).
#PowerShell
🎶 Открытие кода Winamp и переход к совместной разработке.
• Компания Llama Group объявила о решении открыть код мультимедийного проигрывателя Winamp и перевести проект на модель совместного развития, при которой любой желающий может принять участие в разработке. Публикация кода запланирована на 24 сентября 2024 года.
• Если Вам интересна история этого проигрывателя, то обратите внимание на пост в нашем канале: /channel/it_secur/1199
#Разное #Новости
Друзья! Курс "Введение в информационную безопасность" начинается 3 июня.
КУРС ПОЛЕЗЕН ДЛЯ:
- Технических специалистов
- Этичных хакеров
- Разработчиков
- Всех, интересующихся информационной безопасностью
НА КУРСЕ ВЫ НАУЧИТЕСЬ:
- Находить и эксплуатировать уязвимости: SQL Injection, OS Command Injection, XSS, LFI, RFI, SSRF и Unsecure File Upload
- Решать CTF-задания
- Организовывать защиту от перебора паролей, настраивать систему обнаружения вторжений
- Консольным командам ОС Windows и Linux, написанию скриптов
- Ключевым инструментам пентестера: BurpSuite, Nmap, Gobuster, Wfuzz, Sqlmap, Wpscan, Fail2ban и других
ВЫ ПОЛУЧИТЕ:
- актуальные практические навыки
- сертификат/удостоверение о повышении квалификации
- возможности трудоустройства/стажировки
- сопровождение и поддержку Академии Кодебай
Пишите нам @Codeby_Academy
или звоните +74994441750
Подробнее о курсе → здесь
👾 Awesome Vulnerable Applications.
• Подборка заранее уязвимых приложений, сервисов, ОС и пр. для вашего обучения, либо тестирования различного рода сканеров:
- Online;
- Paid;
- Vulnerable VMs;
- Cloud Security;
- SSO - Single Sign On;
- Mobile Security;
+ OWASP Top 10;
- SQL Injection;
- XSS Injection;
- Server Side Request Forgery;
- CORS Misconfiguration;
- XXE Injection;
- Request Smuggling;
+ Technologies;
- WordPress;
- Node.js;
- Firmware;
- Uncategorized.
➡️ https://github.com/vavkamil/awesome-vulnerable-apps/
#Пентест
⚙️ Awesome PCAP tools.
• Порой кажется, что задача собирать и анализировать трафик сети очень трудоёмкая. Причин, требующих мониторить трафик может быть множество, начиная от неправильных конфигураций, которые нагружают вашу сеть, до создания поведенческого baseline сетевой активности и анализа аномалий.
• Поделюсь с Вами полезным и объемным репозиторием, который содержит список инструментов для обработки файлов pcap (Packet Capture Data) при исследовании сетевого трафика.
- Linux commands;
- Traffic Capture;
- Traffic Analysis/Inspection;
- DNS Utilities;
- File Extraction;
- Related Projects.
➡️ https://github.com/caesar0301/awesome-pcaptools
#Network
Годнота для олдов: на сайте Emupedia можно посидеть в старой Windows, послушать музыку в Winamp и поиграть в игры того времени бесплатно.
Внутри собрано все самое лучшее — Dune 2, Command & Conquer: Red Alert 2, серия Doom, первый Half-Life и так далее. Есть локальный режим для игры с друзьями. А также множество родных программ и тот самый Paint.
Мы уже проверили — все как в 2005 году.
@exploitex
👩💻 Шпаргалка с командами Docker.
• Помимо содержательного файлика с полезными командами Docker, хочу поделиться интересным репозиторием, который собрал уже 3.6К звёзд и содержит в себе необходимые подсказки для начинающих и опытных специалистов:
- Установка;
- Реестры и репозитории Docker;
- Первые действия с контейнерами;
- Запуск и остановка контейнеров;
- Получение информации о контейнерах;
- Сеть;
- Очистка Docker;
- Docker Swarm;
- Заметки.
#Docker #CheatSheet
💻 Кто и когда назвал компьютерное устройство «ноутбуком»?
• Само слово «ноутбук» появилось в 1988 году с подачи журнала PC Magazine, который в статье про NEC UltraLite впервые назвал переносные устройства «ноутбуком» (то есть, по размерам их экран можно было сравнить с листом формата А4).
• Первый популярный ноутбук появился в том же 1988-м. Это был Cambridge Z88. Он умел работать с таблицами и текстами, проводить выборку по базам данных, поддерживал сторонние программы.
• P.S. Обратите внимание на забавное видео из начала 90-х про то, что компьютеры в 2000-е можно будет носить на себе – на шее, на плече или вокруг пояса)))
#Разное
Новый курс по Linux форензике (DFIR Linux) с задачами, основанными на реальной практике, начинается 27 мая
ЧТО БУДЕТ НА КУРСЕ?
- Решение задач, основанных на APT-отчетах
- Работа с opensource инструментами на протяжении полного цикла реагирования на инциденты
- Поиск и анализ артефактов, оставленных хакерами и их вредоносным ПО
ДЛЯ КОГО СОЗДАН ЭТОТ КУРС?
- для аналитиков 1, 2 и 3 линий SOC
- для для начинающих DFIR специалистов
- для специалистов Red Team
- для организаций, планово повышающих квалификацию сотрудников в сфере реагирования на КИ и форензики ОС семейства UNIX
О НАС
The Codeby, команда-чемпион по этичному хакингу в 2019-2023
Преподаватели: DFIR специалисты SOC L3
Пишите нам @Codeby_Academy
или звоните +74994441750
👾 Откуда появилось слово «баг»?
• Слово «баг» (bug на английском) это самый обыкновенный жучок. Нет, не тот, что в шпионских фильмах устанавливают в телефон для прослушки. А обыкновенное насекомое. Точнее выражаясь, любое насекомое из отряда Hemiptera, также именуемого как «настоящие / истинные жуки». Но как биологический термин стали применять в компьютерных технологиях?
• Самой распространенной теорией является случай с Грейс Хоппер. Она работала в Гарвардском университете с ЭВМ Harvard Mark II. Устройство работало не так, как следовало. В итоге Грейс обнаружила между замкнувшими контактами сгоревшего мотылька (я уже писал об этом вот тут). После этого госпожа Хоппер вклеила маленького диверсанта в свой технический отчет (см. фото) и написала: «First actual case of bug being found» (Первый реальный случай обнаружения бага). Произошло все это в 1946 году 9 сентября.
• Случай действительно забавный, но не первый. До него, во времена Второй мировой, ошибки в работе электроники радиолокационных устройств также называли «багами».
• А еще раньше, в 1878 году, Томас Эдисон написал следующие строки:
Так было со всеми моими изобретениями. Первый шаг — интуиция, которая приходит как вспышка, затем возникают трудности — устройство отказывается работать, и именно тогда проявляются «жучки» — как называют эти мелкие ошибки и трудности — и требуются месяцы пристального наблюдения, исследований и усилий, прежде чем дело дойдёт до коммерческого успеха или неудачи.
📶 Компьютерные сети 2024.
• Для тех, кто начал осваивать тему компьютерных сетей, напоминаю о обновленном курсе Андрея Созыкина на YT. Курс полностью бесплатный и обновляется на данный момент времени. Помимо предыдущих выпусков, недавно были опубликованы следующие выпуски:
- Организация сетей TCP/IP;
- Анализатор сети Wireshark;
- Прикладной уровень;
- Протокол HTTP;
- HTTP в текстовом режиме;
- Кэширование в HTTP;
- HTTP в Wireshark [новый выпуск].
➡ Ссылка на плейлист: https://www.youtube.com/
#Сети #Курс
👨💻 Attacking .NET
• Code Access Security (CAS);
• AllowPartiallyTrustedCaller attribute (APTCA);
• Distributed Component Object Model (DCOM);
• Timing vulnerabilities with CBC-mode symmetric;
• Race Conditions;
• App Secrets;
• XML Processing;
• Timing attacks;
• ViewState is love;
• Formatter Attacks;
• TemplateParser;
• ObjRefs.
#DevSecOps
Когда пентестер начинает тестировать веб-приложение, первый этап — это разведка. Специалисту важно уметь правильно собирать и категоризировать информацию, а также иногда выходить за пределы вводных, которые дал заказчик. Как не ошибиться на этом этапе — расскажут на воркшопе Яндекс Практикума.
→ Бесплатно, 23 мая в 19:00 Мск
Кто рассказывает:
◾️Иван Авраменко
Инженер по кибербезопасности, создатель телеграм-канала про информационную безопасность Kraken_sec и ведущий подкаста «Кверти», автор и преподаватель курса «Специалист по информационной безопасности: веб-пентест» в Практикуме
О чём поговорим:
— зачем вообще нужен первичный сбор информации;
— про инструменты, без которых не обходится ни одно тестирование: dig, whois, ffuf, shodan и другие;
— как провести активную и пассивную разведку.
→ Зарегистрируйтесь на воркшоп
⚡️Разыгрываем новые книги по информационной безопасности и этичному хакингу (в бумажном варианте):
- Black Hat Python: программирование для хакеров и пентестеров.
- Хакерство. Физические атаки с использованием хакерских устройств.
- Kali Linux в действии. Аудит безопасности информационных систем.
- Контролируемый взлом. Библия социальной инженерии.
- Хакерство. Секреты мастерства.
- Компьютер глазами хакера.
- Командная строка Linux.
- Современный PowerShell.
• Всего будет 10 призовых мест, а победители смогут выбрать любую понравившуюся книгу из списка выше. Итоги подведем ровно через неделю (25.05 в 19:00) при помощи бота который рандомно выберет победителя.
Для участия нужно:
1. Быть подписанным на наш канал @infosec_globe;
2. Подписаться на канал моих друзей @it_secur;
3. Нажать на кнопку «Участвовать».
Учитывайте, что бот может немного подвиснуть — не переживайте, просто нажмите еще раз на кнопку «Участвовать».
#Конкурс
🇨🇳 Китай – впереди планеты всей!
• 21 марта публиковал новость о первых результатах, которые были получены после внедрения чипа Neuralink в мозг человека. Так вот, Китай включился в гонку по производству своих нейрочипов и уже реализовали мозговой имплант, только еще и с роботизированной рукой. Как итог - парализованный пенсионер смог написать на доске несколько иероглифов.
• Такими темпами мы скоро увидим экзоскелеты, которые помогут людям с ограниченными возможностями передвигаться с помощью силы мысли. Такие вот новости...
#Новости
📄 История создания формата PDF.
• Создателем PDF (Portable Document Format) является Джон Уорнок, один из основателей Adobe, который захотел облегчить процесс распечатки текста и изображений с компьютера. В 1984 году Уорнок представил язык описания страниц PostScript.
• Изначально PostScript разрабатывался как инструмент для распечатки документов на принтере, но позже Уорнок решил, что с помощью нового языка можно не только выводить документы на печать, но и полностью «оцифровать» систему документооборота.
• В рамках этого видения в Adobe (основателем которой был Уорнок) создали формат IPS (расшифровывается аббревиатура как Interchange PostScript). Для работы с ним был создан Adobe Illustrator — кроссплатформенный графический редактор для Windows и Mac.
• Впервые IPS показали на конференции Seybold в Сан-Хосе в 1991 году, но с таким названием формат просуществовал два года — в 1993 его переименовали в PDF. Тогда же появились Acrobat Distiller и Acrobat Reader (позднее переименованная в Adobe Reader).
• Первое время PDF не пользовался популярностью. Всему виной была высокая цена на софт: Acrobat Distiller для личного пользования стоил 700 долларов, а для корпоративного — 2500 долларов. За Acrobat Reader просили еще 50 долларов. Со временем Adobe снизили цены, и популярность PDF стала набирать обороты.
• К началу нулевых Acrobat Reader 4.0 скачали сто миллионов человек, а PDF-формат стали использовать крупные ИТ-компании, например Microsoft и Apple.
#Разное
🔝 Top Steganography Methods.
• Шифрование помогает сохранять данные в секрете, но одновременно привлекает лишнее внимание. Если файл так просто не открыть, значит, в нем наверняка есть что-то ценное. Поэтому бывает важно скрыть само наличие секретной информации. Проще всего это сделать, растворив конфиденциальные данные внутри какого-нибудь безобидного файла.
- QR codes;
- Image Transformations;
- Files Strings;
- WAV/* Steg and Bruteforce;
- File in File;
- Braille;
- TTF;
- Brainfuck;
- Morse Code;
- LSB HALF;
- Digital Watermarking;
- Cryptography;
- Splited Files;
- Key and Cipher alongside;
- Unicode;
- spectogram;
- Sound pattern of thing like dial Number.
#Steganography
• Там у Huawei случился факап на презентации своей нейросети для генерации картинок. По "счастливой" случайности во время презентации появился код, где была указана функция time.sleep(6). Дело в том, что генерации никакой не происходило, а данный алгоритм выдавал заранее подготовленную картинку и делал вид, что нейросеть осуществляет генерацию картинки.... Такие дела ))
#Новости #ИИ
🚪 SSH-бэкдор, установленный при взломе kernel.org, два года оставался незамеченным.
• Исследователи из компании ESET опубликовали 43-страничный отчёт с анализом руткита Ebury и связанной с ним активности. Утверждается, что Ebury применяется с 2009 года и с тех пор был установлен на более чем 400 тысяч серверов под управлением Linux и несколько сотен систем на базе FreeBSD, OpenBSD и Solaris. Около 110 тысяч серверов оставались поражены Ebury по состоянию на конец 2023 года. Исследование представляет отдельный интерес с учётом того, что Ebury был задействован при атаке на kernel.org, что открывает некоторые новые подробности компрометации инфраструктуры разработки ядра Linux, выявленной в 2011 году. Ebury также был выявлен на серверах регистратора доменов, криптобиржах, выходных узлах Tor и у нескольких хостинг-провайдеров, имена которых не называются.
• Изначально предполагалось, что атаковавшие серверы kernel.org злоумышленники оставались незамеченными 17 дней, но по данным ESET это время рассчитано с момента подстановки руткита Phalanx, а бэкдор Ebury находился на серверах с 2009 года и около двух лет мог использоваться для получения root-доступа к серверам. Вредоносное ПО Ebury и Phalanx установлено в рамках разных атак, не пересекающихся друг с другом и проводимых разными группами злоумышленников. Внедрение бэкдора Ebury затронуло как минимум 4 сервера в инфраструктуре kernel.org, два из которых были поражены приблизительно в течении двух лет, а остальные два - в течении 6 месяцев.
➡️ Скачать отчет.
➡️ Источник.
#Отчет
Курс-бестселлер "Тестирование веб-приложений на проникновение (WAPT)" стартует 3 июня.
Это на 100% практический курс по пентесту, где вы руками попробуете изученные техники взлома. Лаборатория содержит 65 рабочих + 16 экзаменационных тасков.
ЧТО ВНУТРИ КУРСА:
- нахождение и эксплуатация всех актуальных типов уязвимостей, активный/пассивный фаззинг
- использование техник: SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
- применение техник повышения привилегий
- разбор и практика выполнения Client-side атак (XSS, CSRF)
ВЫ ПОЛУЧИТЕ:
- практические навыки как в рабочих задачах, так и в Bug Bounty
- сертификат/удостоверение о повышении квалификации
- трудоустройство/стажировка для лучших выпускников
ЧТО ЗА АКАДЕМИЯ КОДЕБАЙ?
🥇 The Codeby, топ-1 команда по этичному хакингу, пятикратный чемпион the Standoff 2019 — 2023
🤝 Крупнейшее сообщество и форум по информационной безопасности с 2003
Пишите нам @Codeby_Academy
или звоните +74994441750
💣 Вредоносное ПО, вошедшее в историю. Fork bomb (1969 год).
• Fork bomb является не отдельным вирусом или червем, а семейством крайне простых вредоносных программ. Структура кода Fork bomb может состоять всего лишь из 5 строчек. При использовании некоторых языков для написания подобного рода вредоносного ПО исключается необходимость использовать двоеточия, круглые скобки, а порой и все буквенно-цифровые символы.
• Действует Fork bomb по весьма простому пути: для начала программа загружает себя в память, где создает несколько копий себя самой (обычно две). Далее каждая из этих копий создает столько же копий, как и оригинал, и так далее пока память не будет полностью забита, что приводит к отказу системы. В зависимости от устройства этот процесс занимает от нескольких секунд до нескольких часов.
• Одним из первых зафиксированных случаев Fork bomb считается его появление на компьютере Burroughs 5500 в Вашингтонском университете в 1969 году. Именовалась эта вредоносная программа «RABBITS». В 1972 году вирусописатель Q The Misanthrope создал подобную программу на языке BASIC. Забавно, что в этот момент автор был в 7 классе. Еще был случай в неизвестной компании, в 1973 году, когда их IBM 360 были заражены программой «rabbit». В результате был уволен молодой сотрудник, которого обвинили в распространении вируса.
#Разное
👩💻 Attacking Rust.
- Cargo Dependency Confusing;
- Unsafe Code Usage;
- Integer Overflow;
- Panics in Rust Code;
- memory leaks;
- Uninitialized memory;
- Foreign Function Interface;
- OOB Read plus;
- race condition to escalate privileges;
- TOCTAU race condition;
- out-of-bounds array access;
- References.
#devsecops
👩💻 Устройство памяти процессов в ОС Linux. Сбор дампов при помощи гипервизора.
• Иногда для анализа вредоносного программного обеспечения или, например, для отладки какого-либо процесса может потребоваться дамп памяти процесса. Но как его собрать без отладчика? Постараемся ответить на этот вопрос в статье.
Задачи:
- Обозначить цель сбора дампа процесса.
- Описать структуру памяти процессов в Linux и отметить различия в старой и новой версиях ядра ОС.
- Рассмотреть вариант снятия дампа памяти процесса внутри виртуальной машины на базе связки гипервизора Xen и фреймворка с открытым исходным кодом DRAKVUF.
Содержание статьи:
- Что такое дамп памяти и зачем он нужен?
- Как организована память процессов в ОС Linux?
- Почему в новых ядрах используется иная структура (maple tree)?
- Сбор областей виртуальной памяти на версии ядра до 6.0;
- Сбор областей виртуальной памяти, начиная с версии 6.1;
- Реализация при помощи Xen и DRAKVUF.
➡️ Читать статью [14 min].
#Linux #RE #kernel
