Fsecurity | HH
Kanalga Telegram’da o‘tish
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Ko'proq ko'rsatish2 008
Obunachilar
-224 soatlar
Ma'lumot yo'q7 kunlar
-1230 kunlar
Postlar arxiv
2 009
Repost from Blue (h/c)at Café
😎 Вредные советы про awareness
❕ Что мы знаем про awareness?
Ну, то что это проверка людей на понимание смысла ИБ. Это фиктивный фишинг, чтобы посмотреть сколько людей на это клюнут 🎣.
Примерно так, но есть ещё кое-что, давайте посмотрим на это со стороны RedTeam. Мы проникли в инфру и лазим в поисках интересных файлов. И вот, мы находим классную xlsx таблицу с сотрудниками, которые скинулись на "кулер" или микроволновку. Вдруг, нас отрубает от сети и мы в недоумении смотрим на SSH Connection Refused ...
🐣 Вот и наступает момент поговорить про Canary token
Canary token – это инструмент, который используется в сфере информационной безопасности для обнаружения инцидентов и защиты сети. Это фиктивные данные или файлы, которые размещаются в системе с целью выявить несанкционированный доступ или попытку несанкционированного доступа.Представьте, что у нас есть сеть, в которую мы внедряем Canary token в виде файла с названием «Список паролей» или «Супер-дупер важный документ». Как только кто-то попытается его открыть, система регистрирует эту активность и отправляет уведомление в SOC 🖥. Таким образом, Canary действует как ловушка, сигнализируя о попытке несанкционированного доступа. В контексте проверки на устойчивость сотрудников к фишингу, Canary может быть использован, как часть обучающей программы для сотрудников организации. Проще говоря, это когда Вам приходит на рабочую почту письмо с документом премий или что-то "очень важное", а уже в нем (письме или файле) зашита канарейка.
Привет сотрудникам Phishman 😈Возвращаясь к ситуации с RedTeam, предположим, что они случайно активировали Canary token во время своего шествия по инфре. Это предоставило команде BlueTeam информацию о потенциальном инциденте и позволяет им принять меры по защите сети. Или продолжить смотреть графики, тут мне уже не известен их род занятий... 😁 🤨 Но а что делать? Не открывать файлы. И да и нет. Вот у нас 1 файл - можно изучить его руками. 10 - дольше, но тоже нормально. А 100 или 1000... По-этому, я написал простенький инструмент на Go для поиска и удаления таких канареек Ссылка на 💻 GitHub — ТЫК Буду рад вашим звёздочкам ⭐️ и комментариям под постом ❤️ #redteam
2 009
Repost from purple shift
Мы уже пугали вас атаками через подрядчиков-аутсорсеров – когда рассказывали, как хакеры закрепляются в инфраструктуре жертв, используя ngrok или AnyDesk. И эти страшилки неслучайны: по данным нашей IR-команды, в 2023 году атаки через «доверительные отношения» вошли в тройку самых популярных векторов.
А теперь коллеги выкатили подробный инструктаж на эту тему: как чаще всего организован доступ между целевой организацией и поставщиком услуг, какими способами злоумышленники получают доступ в сеть поставщика и как развивают атаку в сторону его клиентов. И главное – что делать, чтобы такого не случилось у вас.
Один из интересных фактов этого исследования: обычно злоумышленники остаются необнаруженными в инфраструктуре целевой организации до трёх месяцев, прежде чем развивать атаку (например, шифровать данные). По идее, этого времени достаточно, чтобы ИБ-служба выявила инцидент и отреагировала на него до того, как настанут критические последствия. При этом в подавляющем большинстве инцидентов антивирусные решения детектировали подозрительную активность – просто вердикты антивирусов не получали должного внимания.
Полный текст исследования "Trusted Relationship Attack: доверяй, но проверяй":
https://securelist.ru/trusted-relationship-attack/109620/
2 009
GhostHook v1.0 – беcфайловое вредоносное ПО, меняющее облик, чтобы обмануть ваши системы
🔗Ссылка: https://www.securitylab.ru/news/548635.php
2 009
Насчёт новых роликов👾
Я пока, что не могу начать их делать из-за подготовки к экзамену ✍️
Надеюсь, все меня поймут... Как будет время, я обязательно сделаю ролик ▶️
Поэтому ролик будет с задержкой👾
2 009
Repost from Proxy Bar
CVE-2024-2961 - тихоходка
*
Помните месяц назад был кипишь, относительно того что нашли дырку в
glibc.
Тогда многие хостеры еще напряглись. Но так как в широкий паблик ничего не уплыло, все успокоились.
А ресёрчеры не успокоились, слишком вкусно пахло перспективным сплоитом.
Ну так вот, на сцену вползает Iconv со своим RCE.
*
Сегодня вышел отличный WriteUp (первая часть из трёх), который раскрывает только часть потенциала дыры 2961
*
Читаем
Iconv, set the charset to RCE: Exploiting the glibc to hack the PHP engine2 009
Repost from Offensive Xwitter
Мое новое комбо для гига быстрого развертывания виндовируалок в лабе 👇🏻
Образы:
🔗 https://uupdump.net
Таблэтка:
🔗 https://github.com/massgravel/Microsoft-Activation-Scripts
irm https://get.activated.win | iex
Evaluation теперь идет лесом.2 009
Repost from Caster
Релиз моей статьи об обнаружении атак на Active Directory с помощью Suricata.
Caster - If You Hadn't
Genre: Defensive
Label: exploit.org
Release Date: 27 May 2024
Performed by: Caster
Written by: Magama Bazarov
Cover Man: Magama Bazarov (Sony ILCE-7M3, f/5.6, 1/3 sec)
https://blog.exploit.org/caster-ifyouhadnt
Endi mavjud! Telegram Tadqiqoti 2025 — yilning asosiy insaytlari 
