S.E.Book

🕷 Abuse SVCHost Methods. • Практически, каждый пользователь Windows, неоднократно наблюдал в списке отображаемых диспетчером задач, несколько процессов с именем svchost.exe. Для разных версий Windows и в зависимости от установленных компонентов системы, количество таких процессов может составлять от нескольких штук до нескольких десятков. Однако, это вполне нормальное явление, поскольку svchost.exe – это главный процесс (Host process) для системных служб, загружаемых из динамических библиотек (.dll). Для запуска таких служб используется один и тот же исполняемый файл svchost.exe, размещенный в системном каталоге \Windows\system32\ • Одной из важнейших задач, решаемой большинством компьютерных вирусов, является маскировка в системе после ее заражения и некоторые из них маскируются под процессы с именем svchost.exe, поскольку таким образом можно затеряться среди прочих, вполне легальных процессов с таким же именем. Как раз об этом и пойдет речь. По ссылке ниже можно ознакомиться с определенными методами, необходимые ссылками и примерами, которые являются актуальными и позволяют замаскировать малварь под SVCHost: ➡ https://redteamrecipe.com/abuse-svchost-methodsrtc0017 #Red_Team #Пентест

👩‍💻 Attacking NodeJS Application. - Use flat Promise chains; - Set request size limits; - Do not block the event loop; - Perform input validation; - Perform output escaping; - Perform application activity logging; - Monitor the event loop; - Take precautions against brute-forcing; - Use Anti-CSRF tokens; - Prevent HTTP Parameter Pollution; - Do not use dangerous functions; - Use appropriate security headers; - Listen to errors when using EventEmitter; - Set cookie flags appropriately; - Avoid eval(), setTimeout(), and setInterval(); - Avoid new Function(); - Avoid code serialization in JavaScript; - Use a Node.js security linter; - References. #devsecops

Приглашаем на большой эксклюзивный вебинар по виртуализации от команды Deckhouse! Вы узнаете всё об уникальных возможностях Deckhouse Virtualization Platform (DVP), какие задачи она решает и как может удовлетворить самые взыскательные требования современной ИТ-инфраструктуры. 📌 12 июля в 12:00, онлайн. Требуется регистрация. Среди ключевых спикеров: – Давид Мэгтон, технический директор и сооснователь компании «Флант»; – Павел Тишков, технический директор Deckhouse Virtualization Platform. На вебинаре обсудим: 🔹 ожидания клиентов от современной платформы виртуализации; 🔹 особенности DVP и сценарии использования; 🔹 сетевые политики, микросегментацию, балансировку трафика, наблюдаемость; 🔹 блочные хранилища: встроенные СХД, интеграция с внешними СХД; 🔹 производительность виртуальных машин на разных платформах, масштабирование, аппаратные и системные требования; 🔹 планы по развитию DVP и лицензирование. Присоединяйтесь!

Исследователи Cyberthint профилировали APT Sea Turtle, также известную как Sea Turtle, Teal Kurma, Marbled Dust, SILICON и Cosmic Wolf, которая базируется в Турции. Хакеры действуют с 2017 года и изначально засветили на перехвате DNS. В 2021 году связать их с турецкой стороной смогли исследователи Microsoft, которые присвоили группе наименование SILICON. Несмотря на то, что активность APT фиксировалась многими, до настоящего времени сведения по группе имеются лишь в ограниченном числе источников. Группа реализует сбор политической и экономической разведывательной информации. Основные цели Sea Turtle, преимущественно, включают организации в Европе, на Ближнем Востоке и в Северной Африке, прежде всего, представляющие интерес для Турецкой республики: провайдеры, IT-вендоры, медиа и политические структуры (например, РПК). В своем отчете Cyberthint упомянули некоторые приемы и подробности деятельности группы, связанные с нарушением доступа cPanel, задействованием инструментов Adminer и SnappyTCP, а также SSH для уклонения от обнаружения. Структурированные TTPs и IoC - в отчете.

❓ A collection of Linux Sysadmin Test Questions and Answers. • Этот проект содержит 284 вопроса и ответа, которые можно использовать для проверки собственных знаний или во время собеседования на должность администратора Linux (*nix). Очень удобно, что вопросы разбиты на категории (от простых, к сложным): ➡️ https://github.com/trimstray/test-your-sysadmin-skills • Немного не по теме, но в качестве дополнительного материала стоит ознакомиться с очень полезной статьей на хабре, в которой собраны некоторые вопросы, касающиеся сетей: https://habr.com/ru/articles/189268/ #Linux #Сети

📦 Подборка площадок для тренировки Blue Team. • Небольшая подборка актуальных ресурсов, где можно получить практический опыт и получить необходимые знания для Blue Team специалистов. Переходим сразу к делу: • codeby.games — специализируется на наступательной безопасности, платформа абсолютно бесплатна. • Dfir-Dirva — сборник бесплатного и открытого материала, который включает в себя учебные лаборатории и полноценные задачи для подготовки blue team. • Malware-Traffic-Analysis.net — ресурс, который позиционирует себя, как хранилище заданий и викторин по анализу трафика. • Cybrary — платформа для обучения blue team на практике. По бесплатной подписке предоставляет полный доступ к виртуальным машинам с различными конфигурациями (сканеры уязвимостей, SIEM, TIP и другое), что даёт возможность практиковаться в реальных условиях без необходимости первичной настройки средств защиты информации. • Letsdefend — учебная платформа с кучей учебного материала, курсов и доступных лабораторных. Весь контент отображается в соответствии с матрицей MITRE ATT&CR. • CyberDefenders — платформа для комплексного обучения Blue Team. На бесплатной основе доступно выполнение различного рода задачек по расследованию инцидентов (даются архивы с логами) и сетевой криминалистике (дампы трафика в pcap). Есть задания на разбор инцидентов в Windows, Linux и Android. • TryHackMe — не нуждается в представлении. Стоит обратить внимание на этот материал: SOC Level 1, SOC Level 2 и Security Engineer. #Blue_Team

erid: LjN8K3nDv 🎲 Высокая доступность в Kubernetes: бесплатный вебинар Привет! Мы — команда Слёрма, учебный центр для айти-специалистов middle+ и фанаты k8s.😎  11 июля в 18:00 мы приглашаем вас на вебинар «Высокая доступность в Kubernetes: пробы, реквесты/лимиты, HPA». На встрече обсудим: ❓ Можно ли не делать рединесс пробы и лить трафик сразу на сервер? ❓ Как расселить поды в разные ДЦ? ❓ Что будет, если выставить неправильные пробы? И еще много интересного! Спикеры: ➡️ Кирилл Борисов, SRE Lead в MTS Digital ➡️ Всеволод Севостьянов, Staff engineer в Lokalise ➡️ Дмитрий Будаков, Системный инженер в интеграторе Зарегистрироваться на вебинар можно с помощью нашего бота-помощника. Подключайтесь! 🔗 ХОЧУ НА ВЕБИНАР

😈 MITM attacks cheatsheet. • Автор репозитория собрал большую коллекцию рабочих и проверенных методов по MITM атакам. Самое красивое: атака через физическое подключение к кабелю крокодильчиками. Посмотрите на это сами: https://github.com/MITMonster • Другие методы: • Link Layer Attacks: - ARP Cache Poisoning; - LLMNR/NBT-NS/mDNS Poisoning; - STP Root Spoofing; - DHCPv4 Spoofing; - DHCPv6 Spoofing. • Network Layer Attacks: - Evil Twin against Dynamic Routing; - FHRP Spoofing. #ИБ #Пентест

😈 RedTeam Tips: Orchestrating Chaos, Evading defense. • Shellcode to ASCII String; • API Tips; • Wmicexec Evasion; • Exfiltration; - Linux Binaries; - Nameless Excel Macro; - Hide Malware Using Volume Shadow Copy; - Usermode Hook Bypass; - Process Instrumentation Callback; - Overpass-the-Hash; • Reconnaissance; - Process Injections; - Local Code Injection; - DLL Injection; - Remote Thread Injection; - Thread Hijacking; - Classic APC; - Early Bird APC; - Binary Proxy Execution; - Active Directory Reversible Encryption; - RPC; - Privilege Escalation with LDAP; - Elevate access with the SeLoadDriverPrivilege permission; - Upgrade access with TRUSTWORTHY database in SQL Server; - Payload development in smb or webdav; - amsi one line bypass; - Transfer Dns in Linux; - Execute the exfil command and transfer its information with icmp. #Пентест

͏Влед за MOAB («Мать всех утечек») с 12 ТБ и 26 млрд. записей подкатила еще одна грандиозная утечка RockYou2024, включающая 10 млрд. паролей, став крупнейшей подборкой в своем роде. Подборку с ошеломляющими 9 948 575 739 уникальными текстовыми паролями обнаружили исследователи Cybernews 4 июля на популярном хакерском форуме ObamaCare. Ресерчеры сравнили пароли из утечки RockYou2024 с данными Leaked Password Checker от Cybernews, результаты показали, что они были получены как из старых, так и новых утечек данных. По сути, RockYou2024 представляет собой подборку реальных паролей, используемых людьми по всему миру, максимализируя риски атак с подстановкой учетных данных, как в случае с Snowflake, Santander, Ticketmaster, Advance Auto Parts, QuoteWizard и др. Причем, как выяснили исследователи, в основу новой RockYou2024 легла трехгодичная подборка RockYou2021, которая в свое время также была крупнейшей, включала 8,4 млрд. паролей в виде обычного текста и являлась расширением аналогичной от 2009 года. Автор RockYou2024 по факту обогатил предыдущую, добавив еще 1,5 миллиарда паролей с 2021 по 2024 год из новых утечек и увеличив тем самым набор данных на 15 процентов. Таким образом, последняя версия RockYou содержит информацию, собранную из более чем 4000 баз данных за более чем два десятилетия. Cybernews полагает, что в сочетании с наводнившими даркнет утечками, которые, например, содержат адреса электронной почты и другие учетные данные, RockYou2024 может способствовать каскаду таких утечек и сопутствующих целевых атак.