Fsecurity | HH

🔗Ссылка: https://www.securitylab.ru/news/564274.php

🔗Ссылка: https://www.bugcrowd.com/blog/how-to-find-rce-a-list-of-pathways-and-detection-methods/

🔗Ссылка: https://www.securitylab.ru/news/564278.php

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://github.com/Lifailon/PS-Commands/

💎 Как zero-shot модель помогает мне искать реальные утечки секретов Всё чаще секреты утекают не из кода, а из внутренних систем типа Confluence, Jira, корпоративных вики и мессенджеров (НЕ МАКСА). Пароли, токены, приватные ключи могут "скрываться" в комментариях, конфигурациях или прошлых версиях страниц. На самом деле, удивительно наблюдать на старые версии страниц, которые не затирают и в которых очень много интересного, но сейчас не об этом. Сегодня пойдет речь не про сам самописный инструмент, т.к. я думаю такое есть уже у всех компаний, а про хайповую тему с ЛЛМ (надеюсь ещё хайповую 👀) ⚙️ Как работает стандартный инструмент 1. Сканирование контента 2. Эвристика/шаблоны/LSP 3. Результат

Но с чем мы сталкиваемся, разбирая выхлоп? - С проблемами😎

Да, вот и появляется куча FP и структуры, которые нам совершенно не подходят. Вот тут и появляется идея сделать фильтрацию через ИИ. Но упс, а что нам теперь, скармливать все наши данные в нейронку, даже если локальную, то представьте сколько это данных и контекста. Тут нам и приходят на помощь zero-shot модели. 💩 Локальная zero-shot модель 🔵 Используется pipeline("zero-shot-classification") с моделью typeform/mobilebert-uncased-mnli. Я протестировал с 20 различных моделей и остановился на ней. 🤗Ссылка - ТЫК 🔵 Модель решает задачу бинарной классификации: _secret_ vs _non-secret_ 🔵 Порог принятия устанавливаем на то, на сколько вы доверяете первоначальному сбору, лучше сделать сбор кучи лишних данных и завысить порог, что позволит нам регулировать баланс точности и полноты 🔵 Финальное решение - Кандидат признаётся "секретом", если: - сработало сильное правило или высокая уверенность эвристики, или/и - zero-shot модель оценила вероятность ≥ порога. 🥲 Зачем добавлять zero-shot Регулярки и энтропия дают точные, но ограниченные результаты, они видят только то, что явно похоже на известные токены (GitHub, Slack, AWS и т.п.). Zero-shot модель добавляет гибкость и контекст. Она умеет распознавать скрытые или "словесно замаскированные" секреты, например, когда пароль указан в тексте без префиксов или когда он указан как тестовый (ага, те самые тестовые пароли, идущие в прод 🧠) В итоге, снижается число ложных срабатываний, не теряя полноты и без проблем с ложным информированием о тестовых данных. ↗️ О точности и оценке Рекомендация простая - создать небольшой «золотой» набор размеченных страниц и посчитать precision / recall / F1 до и после включения пост-верификации. На практике zero-shot модель даёт заметный прирост точности без серьёзной потери полноты при корректной настройке порога (на тестах мне удалось достичь точности определения валидного секрета, с отсеиванием тестовых и фп в 98.4%) 🖌Практические советы, после болезненных тестов и бессоных ночей 🟢 Расширяйте сигнатуры - это улучшает охват. 🟢 Подбирайте пороги: 🔘 ⬆️ повышает точность 🔘 ⬇️ повышает полноту 🟢Для LLM-валидации держите temperature=0 и контролируйте JSON-ответ. 🟢 Сохраняйте результаты и метрики, чтобы отслеживать эффект изменений. ⚠️ Ограничения 🟣 Не работает с изображениями и вложениями. 🟣 Большие дампы требуют препроцессинга. 🟣 Высокоэнтропийные, но безопасные строки всё ещё могут вызывать ложные срабатывания, но с меньшей вероятностью (1.99%-5%) Zero-shot классификация не заменяет ручной контроль, но превращает поиск утечек в управляемый и воспроизводимый процесс, а не в хаотичный ручной grep по страницам. А как итог, отмечу, что Вы можете достаточно быстро привести ранее затруднительные задачи в ML-powered AppSec и без использования "нанытой видеокарты". Спасибо за внимание и буду рад, если накидаете моделей на тесты ❤️

Подготовил для вас подробное руководство по тестированию на проникновение Outlook Web Access (OWA). 😈 ➡️ В статье я разобрал все основные атаки и уязвимости OWA. Собрал и структурировал самое полезное в одном месте. ➡️ Также материал идеально подойдет для тех, кто все еще путает между собой OWA, Outlook и MS Exchange :) Даже если вы раньше не сталкивались с почтовыми сервисами Microsoft, после прочтения смело можете бежать проверять их на безопасность. 🥤 Ссылка на статью 💫 @pentestnotes | #pentest #OWA #Exchange

🔗Ссылка: https://habr.com/ru/companies/tomhunter/articles/946440/

🔗Ссылка: https://codeby.net/threads/revers-inzhiniring-2025-ot-crackme-do-lockbit-3-0-dlya-middle-ib-spetsialistov.88885/

🔗Ссылка: https://opennet.ru/64003/

🐾 NetworkHound - Active Directory Network Topology Analyzer Во время Red Team проекта нашли десятки устройств, которых не было в Active Directory: забытые сервера, теневые VM и “временные” тестовые инстансы, ставшие постоянными. Именно так появился NetworkHound. Инструмент строит полную карту AD: Sites, Subnets, Computers, Web Services, SMB-шары и даже теневую инфраструктуру. Экспорт в формат OpenGraph JSON полностью совместим с BloodHound. Это реальная видимость сети - не только то, что показывает AD. Полезно как для красных, так и для синих команд. 🔗 GitHub: https://github.com/mordavid/NetworkHound #Pentest #RedTeam #BloodHound #NetworkHound

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/companies/garda/articles/952528/

🔗Ссылка: https://opennet.ru/63999/

🔗Ссылка: https://github.com/Ignitetechnologies/HackTheBox-CTF-Writeups

🔗Ссылка: https://securelist.com/amcache-forensic-artifact/117622/

Всем привет!👋 Подъехала вторая часть статьи про пентест Wi-Fi. На этот раз решили выпустить статью в notion, так как для телеграмм-поста буков оказалось многовато. Ссылка вот тут: 🔗 Приятного чтения!

BlackMatter Ransomware: подробный анализ и рекомендации #APT #DarkSide #REvil #BlackMatter #Ransom #RaaS ➡️Происхождение и эволюция BlackMatter — это прямой наследник DarkSide и REvil. После громких атак (Colonial Pipeline, Kaseya, JBS) эти банды исчезли с публичного поля, и уже в июле 2021 появилось «новое» имя — BlackMatter. Это типичный ребрендинг: кодовая база, инфраструктура и даже «фирменные ошибки» в криптоалгоритмах указывают на преемственность. Вывод: BlackMatter = ребрендинг DarkSide с новым PR, но той же кодовой базой. ➡️Архитектура и модель работы - Ransomware-as-a-Service (RaaS): операторы создают ядро, «партнёры» проводят атаки. - Структура экосистемы: - Разработчики (ядро, криптология). - Партнёры (phishing, эксплойты, lateral movement). - Платформа переговоров (Tor-чаты). - Сайт «утечек» данных. Интересно: BlackMatter активно вербовал на форумах XSS и Exploit, обещая «надежность и поддержку 24/7». В отличие от многих кибератак, которые для создания плацдарма используют фишинг, BlackMatter, судя по всему, получает первоначальный доступ в первую очередь посредством взлома уязвимых периферийных устройств и злоупотребления корпоративными учетными данными, полученными из других источников. Хотя в некоторых исключительных случаях возможно использование фишинговых кампаний и вредоносных документов, приводящих к сбрасыванию или загрузке компактной полезной нагрузки BlackMatter размером около 80 КБ, в ходе проведенных нами расследований таких случаев не наблюдалось. Помимо членов BlackMatter, эксплуатирующих уязвимости инфраструктуры, например, те, что присутствуют в устройствах или серверах удаленного рабочего стола, виртуализации и VPN, операторы первоначального доступа, связанные с группой, вероятно, внесут свои собственные TTP и могут отдавать предпочтение эксплуатации одних уязвимостей перед другими. 🔗blog.poxek 🌚 @poxek | MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

🔗Ссылка: https://opennet.ru/63995/