Fsecurity | HH
Ir al canal en Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Mostrar más2 008
Suscriptores
-224 horas
Sin datos7 días
-1230 días
Archivo de publicaciones
2 008
Repost from PurpleBear
Несколько месяцев назад на нашем канале была заметка про то, Как превратить VS Code в reverse shell
Там под капотом используется dev tunnels, и теперь это еще отдельный сервис от
Microsoft в public preview, который позволяет строить туннели c использованием reverse proxy на саб-домене devtunnels.ms, который принадлежит Microsoft. Таким образом, получается хорошая альтернатива ngrok и прочим подобным сервисам😎
🔴 Скачивается подписанный бинарь под Windows, Linux и MacOS, запуск которого не требует привилегий
wget https://aka.ms/TunnelsCliDownload/linux-x64; mv linux-x64 devtunnel; chmod +x devtunnel
🔴 Необходимо аутентифицироваться с помощью Github Device Code Authentication аналогичным образом как при использовании VS Code tunnel
devtunnel user login -g -d🔴 Создается анонимный или поддерживающий аутентификацию по
JWT туннель
В блоге RedSiege описано как настроить Malleable C2 профиль и использовать devtunnels в качестве редиректора для Cobalt Strike, единственное немного смущает только то, что Microsoft терминирует TLS🤪 Но в качестве канала для эксфильтрации зашифрованных данных во время Red Team проектов может пригодиться😎
PS: Желаю всем удачного окончания недели и отличных праздников!2 008
Repost from purple shift
Техника атаки Pass the Ticket не нова, однако всё ещё популярна для горизонтального перемещения внутри домена. Одним из способов получения билета чужого пользователя является кража билета из-под соседней LUID-сессии с последующем кэшированием для текущей активной сессии атакующего. Существует множество инструментов, позволяющих это осуществить: Rubeus, TGSThief, kekeo и т.д.
Детектировать подобную активность можно, например, через просмотр всех закэшированных билетов для текущей сессии пользователя – командой klist. Если имя пользователя в билете не совпадает с именем пользователя активной сессии, такая активность подозрительна.
Но на практике даже легитимный пользователь может использовать не одну, а несколько дополнительных учёток для администрирования. Конечно, подобную активность можно отфильтровать вручную, однако придётся это делать раз за разом до бесконечности, с приходом каждого нового пользователя. Поэтому для решения проблемы можно задействовать машинное обучение (ML).
Рассмотрим на примере нашей агрегации (скриншот выше). Здесь видно, что пользователи petrov и sidorov имеют дополнительные учётки, билеты которых хранятся у них в закэшированном виде. Данная активность постоянная, что можно понять по общему количеству срабатываний правила. А вот пользователь bob имеет три разных закэшированных билета, и ранее подобная активность не наблюдалась. Это может свидетельствовать о том, что данная учётка могла быть скомпрометирована.
ML-cистемы поведенческого анализа могут выявлять схожие аномалии в телеметрии и определять возможные украденные kerberos-билеты из-под сессии пользователей. Подробнее о кейсах с использованием ML в работе SOC будем говорить на грядущем PHDays 23-26 мая. Ищите в программе конференции наш трек «Восстание машин: возможно ли заменить аналитика SOC искусственным интеллектом?».
2 008
Работаем с Cutter — основы реверса. Решение задач на реверсинг с r0от-мi. Часть 3
🔗Ссылка:
https://habr.com/ru/articles/513944/
2 008
Maltego 🌐
Создание интеграции для Maltego
https://docs.maltego.com/support/solutions/articles/15000053545-building-integrations-for-maltego
https://www.youtube.com/watch?v=_5AQ3aHHYDE
продожение есть на канале автора Nick Antonizick
курс от разрабов maltego
https://www.youtube.com/watch?v=ceQhIBKFp2A&list=PLfRX-xJAc2yz6CjQVQuogJeCBoy8HbCOR
если ссылка перестала работать, курсы найдете на сайте https://www.maltego.com/maltego-community/
2 008
Универсальный инструмент для анализа вредоносных программ.
https://github.com/CYB3RMX/Qu1cksc0pe
Данный инструмент предоставил https://github.com/BANSAFAn
2 008
Repost from Fusa_Osint_ZOV
+1
Telegram similar channels - инструмент поиска похожих каналов в Telegram (CLI + Maltego) #Telegram
▫️https://github.com/SocialLinks-IO/telegram-similar-channels
2 008
Repost from infosec
📦 puter.
• 3 месяца назад делился с Вами интересным ресурсом, который предназначен для запуска ОС прямо в браузере. Так вот, недавно нашел интересный проект на GitHub для запуска ОС прямо в браузере и был приятно удивлен тому, какой функционал в ней реализован. Тут Вам и офисные инструменты, игры, открытый исходный код и бесплатное использование:
➡️ https://puter.com/
➡️ https://github.com/HeyPuter/puter
#Разное
2 008
🗺 Malfrat's OSINT Map — обновленная версия популярного ресурса OSINT Framework, которая представляет собой карту ресурсов для OSINT-специалиста. Внутри много разделов, которые охватывают все необходимые темы.
👩💻 GitHub
#tools #OSINT
2 008
Repost from Fusa_Osint_ZOV
🗺 Дорожная карта ИБ специалиста.
• https://dfedorov.spb.ru/edu/ — очень объемная "дорожная карта", которая поможет Вам определить необходимый пул требований \ знаний для различных специальностей в сфере ИБ. Схема составлена на основе анализа текущих вакансий.
#ИБ
¡Ya disponible! Investigación de Telegram 2025 — los principales insights del año 
