Antichrist Blog | 反キリスト∸ブログ

👩‍💻 Обороняем порт. Самый полный гайд по безопасной настройке Docker в 2024. • Контейнерная виртуализация на базе Docker крайне популярна среди DevOps-специалистов. Она позволяет оперативно раскатать инструменты разработки и тестирования ПО или целые проекты из многих компонентов. Всё бы хорошо, но есть целый класс специфических угроз безопасности (побег из контейнера в хостовую систему, кейсы с эксплуатацией уязвимостей ядра ОС, шатдаун инстанса в результате "отказ в обслуживании", и так далее). • В этой статье (гайде) описан процесс максимально безопасной настройки Docker. Материал вышел очень объемным и включает в себя практические примеры. Содержание следующее: • Prerequisites; • Secure configuration; • Docker Host; - Working Environment; - Configuration audit; - Lynis; - Docker Bench for Security; • Docker Daemon; - Access control to Docker Daemon; - Securing docker.sock; - Granting and revoking permissions; - Avoiding privileged mode; - Access to devices; - Blocking the ability to “granting” (acquiring) permissions; - Privilege escalation and Linux namespaces; - Rootless mode; - Container communication (container isolation); - Read-only mode; - Resource utilization control; - Connecting to a remote Docker Daemon; - Event logging; • Containers Security; - Selecting the Right Image; - Docker Content Trust (DCT); - Using your own images; - Docker build and URL; - “latest” tag; - USER command; - Force UID; - .dockerignore; • Automatic images scanning; - Trivy; - Docker Scout; • AppArmor; • Seccomp; • SELinux; • The final piece of the puzzle – application security; • Docker Desktop Security; • Updating Software; • Additional sources of knowledge – where to find information about vulnerabilities; • History of Changes; • Support & Feedback. S.E. ▪️ infosec.work ▪️ VT

😄 OSINT в Discord. • На самом деле из Discord можно получить очень много полезной информации о человеке, если мы владеем определенным пулом данных для начала поиска. • В этой подборке представлены многочисленные инструменты и ресурсы, которые помогут Вам в поиске необходимой информации в Discord: - External lookups; - User and Server Lookup Tools; - Tools and websites; - Discord server search engines; - Discord bots search engine; - Miscellaneous; - Discord Exploits/Pentesting; - Discord Search syntax; - Google Search queries & Dorks. • Дополнительная информация доступна в нашей подборке: https://t.me/Social_engineering/3202 S.E. ▪️ infosec.work ▪️ VT

🔎 Counter OSINT. • Я уже делился с Вами руководством по приватности и защите своих данных в сети от @soxoj, но с того момента (более 2-х лет назад) данный гайд обновился и сейчас является весьма актуальным. Для тех кто не знает, данное руководство описывает простые, но эффективные шаги, которые сильно затруднят сбор информации о вас стороннему наблюдателю. С конкретными пунктами и действиями: • Вступление; • Почему это важно; • Базовая цифровая гигиена; - Телефонный номер; - Почтовый ящик; - Фамилия, имя, отчество, день рождения; - Адрес и местоположение; - Пароль; - Фотография; • Утечки данных и пробив; - Определение источника утечки; - Канарейки; - Усложнение использования утечек; • Приватность телефонных аппаратов; • Приватность соцсетей и мессенджеров; - Facebook; - Telegram; - ВКонтакте; - Instagram; • Приватность для разработчиков; • Разное, но важное; - Привязывать телефон к аккаунту - не всегда хорошая идея; - Удаление информации о себе; - Демонстрация экрана. ➡ Дополнительная информация доступна в нашей подборке: https://t.me/Social_engineering/3202 S.E. ▪️ infosec.work ▪️ VT

🔎 Uscrapper. Собираем информацию с веб-сайтов. • Uscrapper — open source инструмент командной строки, который поможет найти и получить данные с веб-сайтов: - Адрес электронной почты; - Ссылки на социальные сети; - Имена людей; - Геолокацию; - Номера телефонов. • Помимо парсинга различной информации, автор реализовал функционал выгрузки подробного отчета, который содержит найденную информацию. Кроме того, Uscrapper оснащен необходимыми модулями для обхода анти-парсинга и поддерживает технологии для извлечения информации из всех ссылок в пределах одного домена. ➡ Информация по установке, подробное описание инструменты и другая информация: https://github.com/z0m31en7/Uscrapper • Дополнительная информация доступна в нашей подборке: https://t.me/Social_engineering/3202 S.E. ▪️ infosec.work ▪️ VT

🔗 Ссылка, а куда? • Данный материал написан в соавторстве с @mycroftintel • Чем опасны гиперссылки? Вот казалось бы, ну чего там бояться. Кликнул и перешёл на нужный сайт. Ничего страшного не произошло. Не произошло же?! • А вот и произошло. Фишка гиперссылки в том, что её можно спрятать во что угодно. В слово, или даже в ссылку. Например, пишу я https://vk.com, а в ссылке Гугл. Хотите - попробуйте. И это просто лютое подспорье для социальной инженерии и спуфинга. • Второе. Проходя по ссылке вы отдаёте всю информацию по своей системе. IP, операционка, иногда даже геопозицию. Попробуйте сервис bit.ly и посмотрите сами, сколько инфы можно собрать с одной ссылки. • Третье. Это прокат. Вы проходите по одной ссылке, а вас прокатывают паравозиком переадресации по десятку ресурсов, прежде чем вывести на целевой ресурс. И в то же время через JavaScript вам эти десять ресурсов подгрузят десять троянов. Если вы к этому не готовы, то это залет, воин. • Щито делать? Конечно, не кликать на все подряд и как минимум смотреть в нижних углах браузера истинный адрес ссылки. Увидели сокращатель ссылок - точно не ходите. Другой вариант - проверить ссылку через VirusTotal или нашего бота @SE_VirusTotal_bot. Там вам и все опасные ресурсы подсветят и всю дрянь, которую они вам захотят вколоть. Ну или открывайте такие ссылки в виртуалке и посмотрите все сами. Например, через Browserling. • Всем безопасности! Дополнительная информация доступна в группе @mycroftintel S.E. ▪️ infosec.work ▪️ VT

🌩 Находим информацию в публичных облаках. • Как бы это иронично не звучало, но в публичных облаках находится тонна конфиденциальной информации — от учетных записей до различных бэкапов, включая ключи Google Cloud, Azure и AWS. • Например, если мы говорим о ключах, то такая информация поможет злоумышленникам осуществить ряд действий для атак на организацию, чьи ключи были размещены в облаке. Но ключи это всего 1% из общего перечня данных, который мы можем найти... • Стоит учитывать, что в большинстве случаев для поиска необходимой информации автор использует инструмент https://grayhatwarfare.com/, который требует премиум подписку. Однако для общего понимания данной темы и обеспечения безопасности своих данных, Вам достаточно просто ознакомиться с материалом по этой ссылке: https://badoption.eu/blog/2024/02/20/buckets.html S.E. ▪️ infosec.work ▪️ VT

🌩 Пентест в облаках. • Об­лака — прек­расный инс­тру­мент, что­бы соз­дать удоб­ную инфраструк­туру для при­ложе­ний и сер­висов. Ком­пании и незави­симые раз­работ­чики перено­сят свои про­екты в AWS или Azure, час­то не задумы­ваясь о безопас­ности. А зря. • Поделюсь с Вами некоторыми ресурсами (заведомо уязвимыми лабораториями), которые помогут пентестерам, #ИБ специалистам или энтузиастам, получить практический опыт в поиске уязвимостей облачных приложений, развернутых в Google Cloud, AWS или Azure. Ресурсы содержат практический и теоретический материал: • FLAWS; • FLAWS2; • CONVEX; • Sadcloud; • GCP Goat; • Lambhack; • caponeme; • CloudGoat; • Thunder CTF; • CloudFoxable; • IAM Vulnerable; • AWS Detonation Lab; • OWASP WrongSecrets; • OWASP ServerlessGoat; • AWS S3 CTF Challenges; • The Big IAM Challenge by Wiz; • AWS Well Architected Security Labs; • Damn Vulnerable Cloud Application; • CdkGoat - Vulnerable AWS CDK Infrastructure; • Cfngoat - Vulnerable Cloudformation Template; • TerraGoat - Vulnerable Terraform Infrastructure; • AWSGoat - A Damn Vulnerable AWS Infrastructure; • AzureGoat - A Damn Vulnerable Azure Infrastructure; • Breaking and Pwning Apps and Servers on AWS and Azure. S.E. ▪️ infosec.work ▪️ VT

💊 Добро пожаловать в Матрицу. • Данный материал написан в соавторстве с @mycroftintel • Вы хотели безопасности? Я покажу вам безопасность. Чтобы быть в полной безопасности перерубите ваш кабель с Интернетом, выбросите все свои устройства и езжайте в тайгу. Так вы будете защищены. Но это не точно. • Чтобы быть в безопасности нужно выбирать правильный софт. И начать можно с правильного мессенджера. И это не Телега. Совсем не Телега. • Обратите внимание на мессенджер Matrix. Он децентрализованный, то есть у него нет серверной группы, которая принадлежит одной компании. Тут каждый может поднять свой сервер, через который можно общаться со всеми остальными. Профит в том, что логи и переписку вы храните сами, не доверяя сторонним лицам. • Еще один плюс - шифрование. Тут шифруется все по дефолту. И если вы поднимите свой сервер, то убедитесь, что шифрование работает корректно и вы ничего не сможете прочитать, ибо даже у хозяина сервера нет ключей от переписки. • Ну и на закуску это мосты. Сие есть просто панацея. С их помощью вы сможете подбить к мессенджеру доступ в Телегу и все остальные сервисы. Чертовски удобно и максимально безопасно. • Так что рекомендую, попробуйте сами! Дополнительная информация доступна в группе @mycroftintel S.E. ▪️ infosec.work ▪️ VT

🔐 Awesome security hardening. • Объемная коллекция различного материала на тему усиления безопасности. От подробных гайдов до необходимых инструментов и бенчмарков: • Security Hardening Guides and Best Practices; — Hardening Guide Collections; — GNU/Linux; - Red Hat Enterprise Linux - RHEL; - CentOS; - SUSE; - Ubuntu; — Windows; — macOS; — Network Devices; - Switches; - Routers; - IPv6; - Firewalls; — Virtualization - VMware; — Containers - Docker - Kubernetes; — Services; - SSH; - TLS/SSL; - Web Servers; - Mail Servers; - FTP Servers; - Database Servers; - Active Directory; - ADFS; - Kerberos; - LDAP; - DNS; - NTP; - NFS; - CUPS; — Authentication - Passwords; — Hardware - CPU - BIOS - UEFI; — Cloud; • Tools; — Tools to check security hardening; - GNU/Linux; - Windows; - Network Devices; - TLS/SSL; - SSH; - Hardware - CPU - BIOS - UEFI; - Docker; - Cloud; — Tools to apply security hardening; - GNU/Linux; - Windows; - TLS/SSL; - Cloud; — Password Generators; • Books; • Other Awesome Lists; — Other Awesome Security Lists. S.E. ▪️ infosec.work ▪️ VT

🧠 Социальная инженерия. Инцидент с XZ Utils. • Давайте напомню, что уязвимость в xz Utils* была построена по схеме supply chain attack, атака на цепочку поставок. Для её реализации злоумышленнику пришлось два года втираться в доверие к сообществу открытого программного обеспечения, чтобы получить права мейнтейнера и внедрить нужный код. • В этой статье мы проанализируем методы социальной инженерии в данном инциденте, а именно — то, как мейнтейнера XZ вынуждали передать проект злоумышленнику, а затем торопили с коммитом зараженного кода в крупные проекты: ➡ Читать статью. *Пакет xz Utils — набор утилит для сжатия данных для Unix-подобных операционных систем. S.E. ▪️ infosec.work ▪️ VT