#byapsecurity
Уроки форензики. Расследуем кибератаку через соцсеть и раскрываем маскировку файла
Сотрудники лаборатории кибербезопасности продолжают радовать Вас новыми материалами💪
На этот раз поговорим о лабораторной Detroit becomes Human широкоизвестной площадки Hack the Box
Приятного прочтения
Уроки форензики. Расследуем кибератаку через соцсеть и раскрываем маскировку файла
Сотрудники лаборатории кибербезопасности продолжают радовать Вас новыми материалами💪
На этот раз поговорим о лабораторной Detroit becomes Human широкоизвестной площадки Hack the Box
Приятного прочтения
xakep.ru
Уроки форензики. Расследуем кибератаку через соцсеть и раскрываем маскировку файла
Сегодня мы с тобой будем упражняться в расследовании атаки, связанной с установкой замаскированного ПО, которое злодеи распространяли через социальную сеть. Поупражняемся в цифровой криминалистике и посмотрим, как можно ускорить и облегчить работу.
❤🔥6⚡3
Рубрика: "ИБ на A,B,C,D" №26 #CEH
Пользователь Rob пытается получить доступ к учетной записи добросовестного пользователя Ned. Какой из следующих запросов лучше всего иллюстрирует попытку эксплуатации IDOR (небезопасная прямая ссылка на объект)?
Пользователь Rob пытается получить доступ к учетной записи добросовестного пользователя Ned. Какой из следующих запросов лучше всего иллюстрирует попытку эксплуатации IDOR (небезопасная прямая ссылка на объект)?
Anonymous Quiz
14%
GET/restricted/goldtransfer?to=Rob&from=1 or 1=1’ HTTP/1.1Host: westbank.com
17%
GET/restricted/\r\n\%00account%00Ned%00access HTTP/1.1 Host: westbank.com
54%
GET/restricted/accounts/?name=Ned HTTP/1.1 Host: westbank.com
14%
GET/restricted/bank.getaccount(‘Ned’) HTTP/1.1 Host: westbank.com
🏆14
#infosec
Персональные данные россиян запретили хранить на любых базах за рубежом
Требования к обработке персональных данных россиян стали строже: с 1 июля их запрещено накапливать, хранить, обновлять в любых базах за пределами РФ, сообщили ТАСС в аппарате вице-премьера - главы аппарата правительства Дмитрия Григоренко.
В аппарате Григоренко пояснили, что поправки уточняют "обязанности операторов связи осуществлять обработку персональных данных граждан РФ с использованием различных баз данных исключительно на территории РФ".
"Прежнее регулирование позволяло операторам связи осуществлять хранение и обработку таких данных в том числе за пределами России, что не позволяло обеспечить надежную защиту персональных данных и создавало предпосылки к их утечке", - указал собеседник агентства.
Сенатор Артем Шейкин сообщил ТАСС, что теперь за рубежом не должно быть даже копий баз с данными россиян. "Те компании, которые вели запись, систематизацию, накопление, хранение данных в зарубежных базах, должны использовать инфраструктуру, расположенную в РФ", - говорил А. Шейкин.
Персональные данные россиян запретили хранить на любых базах за рубежом
Требования к обработке персональных данных россиян стали строже: с 1 июля их запрещено накапливать, хранить, обновлять в любых базах за пределами РФ, сообщили ТАСС в аппарате вице-премьера - главы аппарата правительства Дмитрия Григоренко.
В аппарате Григоренко пояснили, что поправки уточняют "обязанности операторов связи осуществлять обработку персональных данных граждан РФ с использованием различных баз данных исключительно на территории РФ".
"Прежнее регулирование позволяло операторам связи осуществлять хранение и обработку таких данных в том числе за пределами России, что не позволяло обеспечить надежную защиту персональных данных и создавало предпосылки к их утечке", - указал собеседник агентства.
Сенатор Артем Шейкин сообщил ТАСС, что теперь за рубежом не должно быть даже копий баз с данными россиян. "Те компании, которые вели запись, систематизацию, накопление, хранение данных в зарубежных базах, должны использовать инфраструктуру, расположенную в РФ", - говорил А. Шейкин.
TACC
Персональные данные россиян запретили хранить на любых базах за рубежом
Прежнее регулирование не позволяло обеспечить надежную защиту информации и создавало предпосылки к утечке, заявили в аппарате вице-премьера Дмитрия Григоренко
🤝12🙈2😎1
#pentest
PoC CVE-2025-1094
В СУБД PostgreSQL обнаружена уязвимость внедрения SQL-кода, связанная с некорректной обработкой интерактивным инструментом PostgreSQL psql определенных недопустимых байтовых последовательностей в символах UTF-8. Затронуты все версии PostgreSQL до 17.3, 16.7, 15.11, 14.16 и 13.19.
Познакомиться с эксплойтом можно по следующей ссылке.
PoC CVE-2025-1094
В СУБД PostgreSQL обнаружена уязвимость внедрения SQL-кода, связанная с некорректной обработкой интерактивным инструментом PostgreSQL psql определенных недопустимых байтовых последовательностей в символах UTF-8. Затронуты все версии PostgreSQL до 17.3, 16.7, 15.11, 14.16 и 13.19.
Познакомиться с эксплойтом можно по следующей ссылке.
GitHub
GitHub - soltanali0/CVE-2025-1094-Exploit: WebSocket and SQL Injection Exploit Script
WebSocket and SQL Injection Exploit Script. Contribute to soltanali0/CVE-2025-1094-Exploit development by creating an account on GitHub.
🆒10
#soc
Windows Eventlog ID's
В данном репозитории собрана полезная информация для аналитиков безопасности в разрезе безопасности корпоративных доменов.
Windows Eventlog ID's
В данном репозитории собрана полезная информация для аналитиков безопасности в разрезе безопасности корпоративных доменов.
GitHub
Active_Directory_Advanced_Threat_Hunting/MITRE_ATT&CK_Techniques_Windows_Eventlog_IDs.md at main · tomwechsler/Active_Director…
This repo is about Active Directory Advanced Threat Hunting - tomwechsler/Active_Directory_Advanced_Threat_Hunting
🆒8⚡2
#infosec
Кибермошенники готовят новые схемы атак к 8 марта с помощью ИИ
Злоумышленники активно используют стремление людей приобрести подарки и их готовность тратить больше средств в праздничные периоды. Хотя в основном применяются уже знакомые схемы мошенничества, эксперты прогнозируют заметный рост количества атак с применением технологий искусственного интеллекта.
Как отметил руководитель группы аналитиков по информационной безопасности Лиги цифровой экономики Виталий Фомин в комментарии для «Известий», мошенники особенно часто пользуются невнимательностью покупателей, которые в спешке выбирают подарки.
Марина Пробетс прогнозирует, что уже в 2025 году киберпреступники могут начать использовать более продвинутые фишинговые атаки с элементами искусственного интеллекта. Это позволит значительно повысить персонализацию вредоносных сообщений и реалистичность поддельных сайтов. Также эксперт считает, что возрастёт количество атак с использованием дипфейков, которые могут распространяться через социальные сети и мессенджеры в виде вредоносных ссылок или убедительных просьб о помощи.
Кибермошенники готовят новые схемы атак к 8 марта с помощью ИИ
Злоумышленники активно используют стремление людей приобрести подарки и их готовность тратить больше средств в праздничные периоды. Хотя в основном применяются уже знакомые схемы мошенничества, эксперты прогнозируют заметный рост количества атак с применением технологий искусственного интеллекта.
Как отметил руководитель группы аналитиков по информационной безопасности Лиги цифровой экономики Виталий Фомин в комментарии для «Известий», мошенники особенно часто пользуются невнимательностью покупателей, которые в спешке выбирают подарки.
Марина Пробетс прогнозирует, что уже в 2025 году киберпреступники могут начать использовать более продвинутые фишинговые атаки с элементами искусственного интеллекта. Это позволит значительно повысить персонализацию вредоносных сообщений и реалистичность поддельных сайтов. Также эксперт считает, что возрастёт количество атак с использованием дипфейков, которые могут распространяться через социальные сети и мессенджеры в виде вредоносных ссылок или убедительных просьб о помощи.
Anti-Malware
Кибермошенники готовят новые схемы атак к 8 марта с помощью ИИ
Злоумышленники активно используют стремление людей приобрести подарки и их готовность тратить больше средств в праздничные периоды.
👌8
Уважаемые читатели канала, компания AP Security искренне поздравляет Вас с большим светлым праздником весны, сотворённым родными и близкими всех участников большого многогранного комьюнити!!!
Желаем, чтобы светлые вдохновляющие эмоции только множились, каждый день был солнечным, а красота и дальше продолжала вдохновлять окружающих творить и достигать новых вершин☀️🔥🌷💐💫🌟
Желаем, чтобы светлые вдохновляющие эмоции только множились, каждый день был солнечным, а красота и дальше продолжала вдохновлять окружающих творить и достигать новых вершин☀️🔥🌷💐💫🌟
❤🔥12❤4🥰2😍1
#soc
Свежие индикаторы компрометации: NTLM Relay Attack
Текущая реализация атаки Shadow credentials во фреймворке Impacket, используемая, в частности, скриптом ntlmrelayx.py, содержит множество ошибок, оставляющих уникальные подписи на структурах данных NGC, записываемых злоумышленниками в LDAP-атрибут msDS-KeyCredentialLink. С помощью эвристики можно выявить большинство вредоносных ключей NGC, независимо от того, с помощью какого хакерского инструмента они были сгенерированы.
Свежие индикаторы компрометации: NTLM Relay Attack
Текущая реализация атаки Shadow credentials во фреймворке Impacket, используемая, в частности, скриптом ntlmrelayx.py, содержит множество ошибок, оставляющих уникальные подписи на структурах данных NGC, записываемых злоумышленниками в LDAP-атрибут msDS-KeyCredentialLink. С помощью эвристики можно выявить большинство вредоносных ключей NGC, независимо от того, с помощью какого хакерского инструмента они были сгенерированы.
DSInternals
Indicator of Compromise: NTLM Relay Attack with Shadow Credentials
TL;DR The current implementation of the shadow credentials attack in the Impacket framework, most notably used by the ntlmrelayx.py script, contains multiple bugs, leaving unique signatures on the NGC data structures written to the msDS-KeyCredentialLink…
🆒9👏2👌1👀1
#infosec
Эксперты ожидают передела рынка пробива после закрытия Глаза Бога
Блокировка телеграм-бота «Глаз Бога», выступавшего агрегатором данных из открытых источников, может привести к серьезному перераспределению рынка «черного» и «серого» пробива. Эксперты предупреждают о риске того, что этот рынок объемом до 15 млрд рублей будет полностью захвачен украинскими проектами.
Кроме того, ряд экспертов считает давление на «Глаз Бога» частью общей тенденции к деэскалации российско-американского противостояния в киберпространстве, наряду с нейтрализацией операторов программ-вымогателей, действовавших против американских компаний.
Эксперты ожидают передела рынка пробива после закрытия Глаза Бога
Блокировка телеграм-бота «Глаз Бога», выступавшего агрегатором данных из открытых источников, может привести к серьезному перераспределению рынка «черного» и «серого» пробива. Эксперты предупреждают о риске того, что этот рынок объемом до 15 млрд рублей будет полностью захвачен украинскими проектами.
Кроме того, ряд экспертов считает давление на «Глаз Бога» частью общей тенденции к деэскалации российско-американского противостояния в киберпространстве, наряду с нейтрализацией операторов программ-вымогателей, действовавших против американских компаний.
Anti-Malware
Эксперты ожидают передела рынка пробива после закрытия Глаза Бога
Блокировка телеграм-бота «Глаз Бога», выступавшего агрегатором данных из открытых источников, может привести к серьезному перераспределению рынка «черного» и «серого» пробива.
🆒7👌2🤔1👀1
#pentest
RunAs Utility Credential Stealer
Свежая утилита реализует 3 техники: Hooking CreateProcessWithLogonW, Smart Keylogging, Remote Debugging.
Может быть полезна при проведении пентестов на своих проектах.
RunAs Utility Credential Stealer
Свежая утилита реализует 3 техники: Hooking CreateProcessWithLogonW, Smart Keylogging, Remote Debugging.
Может быть полезна при проведении пентестов на своих проектах.
GitHub
GitHub - DarkSpaceSecurity/RunAs-Stealer: RunAs Utility Credential Stealer implementing 3 techniques : Hooking CreateProcessWithLogonW…
RunAs Utility Credential Stealer implementing 3 techniques : Hooking CreateProcessWithLogonW, Smart Keylogging, Remote Debugging - DarkSpaceSecurity/RunAs-Stealer
👌7✍3🆒2
#infosec
Мошенники больше не смогут красть ваши SIM-карты: что изменится для россиян?
Россияне скоро получат возможность установить самозапрет на оформление SIM-карт через портал «Госуслуги». Такая мера должна помочь остановить рост мошенничества, когда преступники используют данные граждан для незаконной регистрации карт. В Минцифры сообщили, что законопроект уже готовится к рассмотрению, и при принятии эта инициатива станет важной частью борьбы с кибермошенниками.
Самозапрет позволит людям избежать того, чтобы их персональные данные использовались для оформления SIM-карт без их ведома. Злоумышленники часто используют украденные данные, чтобы зарегистрировать карты, которые затем применяются для мошенничества. Важно, что этот запрет можно будет снять только при личном обращении в МФЦ, что значительно снизит вероятность ошибок или злоупотреблений.
Мошенники больше не смогут красть ваши SIM-карты: что изменится для россиян?
Россияне скоро получат возможность установить самозапрет на оформление SIM-карт через портал «Госуслуги». Такая мера должна помочь остановить рост мошенничества, когда преступники используют данные граждан для незаконной регистрации карт. В Минцифры сообщили, что законопроект уже готовится к рассмотрению, и при принятии эта инициатива станет важной частью борьбы с кибермошенниками.
Самозапрет позволит людям избежать того, чтобы их персональные данные использовались для оформления SIM-карт без их ведома. Злоумышленники часто используют украденные данные, чтобы зарегистрировать карты, которые затем применяются для мошенничества. Важно, что этот запрет можно будет снять только при личном обращении в МФЦ, что значительно снизит вероятность ошибок или злоупотреблений.
securitymedia.org
Мошенники больше не смогут красть ваши SIM-карты: что изменится для россиян?
Россияне скоро получат возможность установить самозапрет на оформление SIM-карт через портал «Госуслуги»
🆒11⚡5👌2
Разговоры о житейском: угон TG-аккаунта и что с этим можно пытаться делать.
Важная статья о том, что делать при потере своего аккаунта. Автор описал все свои ошибки и привёл решение данного вопроса.
Приятного прочтения
Важная статья о том, что делать при потере своего аккаунта. Автор описал все свои ошибки и привёл решение данного вопроса.
Приятного прочтения
Хабр
Как я вернул доступ к Телеграм аккаунту
Есть несколько похожих статей на эту тему, но пока я пытался восстановить аккаунт, ни разу не видел этого решения поэтому решил выложить, надеюсь кому-либо все же поможет. Сразу скажу...
🆒10🤔3🙈3🤣2❤1
#forensics
Расшифровка зашифрованных файлов программы-вымогателя Akira (Linux/ESXi 2024) с использованием набора GPU
Обычно я отклоняю просьбы о помощи в случаях с программами-вымогателями, однако как следствие - интересная большая статья на тему вредоносов.
Приятного прочтения
Расшифровка зашифрованных файлов программы-вымогателя Akira (Linux/ESXi 2024) с использованием набора GPU
Обычно я отклоняю просьбы о помощи в случаях с программами-вымогателями, однако как следствие - интересная большая статья на тему вредоносов.
Приятного прочтения
Хабр
Расшифровка зашифрованных файлов программы-вымогателя Akira (Linux/ESXi 2024) с использованием набора GPU
Хакер делает из любви то, что другие не стали бы делать и за деньги. Недавно я помог компании восстановить их данные после атаки программы-вымогателя Akira без выплаты выкупа. Я делюсь...
🏆12
AD DFIR Guide .pdf
2.3 MB
#forensics
AD DFIR
Приложенный файл содержит рекомендуемые методики расследования для различных типов атак.
AD DFIR
Приложенный файл содержит рекомендуемые методики расследования для различных типов атак.
⚡7🆒5❤🔥2
#pentest
Apache Tomcat (CVE-2025-24813)
RCE-уязвимость CVE-2025-24813 была раскрыта разработчиками Apache на прошлой неделе. Сообщалось, что проблема затрагивает Apache Tomcat версий 11.0.0-M1 - 11.0.2, 10.1.0-M1 - 10.1.34 и 9.0.0.M1 - 9.0.98. Разработчики предупреждали, что при соблюдении ряда условий злоумышленники могут просмотреть или внедрить произвольное содержимое в критически важные файлы.
С самим же PoC можно ознакомиться по следующей ссылке.
Apache Tomcat (CVE-2025-24813)
RCE-уязвимость CVE-2025-24813 была раскрыта разработчиками Apache на прошлой неделе. Сообщалось, что проблема затрагивает Apache Tomcat версий 11.0.0-M1 - 11.0.2, 10.1.0-M1 - 10.1.34 и 9.0.0.M1 - 9.0.98. Разработчики предупреждали, что при соблюдении ряда условий злоумышленники могут просмотреть или внедрить произвольное содержимое в критически важные файлы.
С самим же PoC можно ознакомиться по следующей ссылке.
XAKEP
Свежая уязвимость в Apache Tomcat уже подвергается атакам
Для критической уязвимости удаленного выполнения кода (RCE) в Apache Tomcat, получившей идентификатор CVE-2025-24813, опубликован эксплоит, показывающий, как взламывать серверы с помощью одного запроса PUT. Из-за этого проблема уже активно эксплуатируется…
🆒8
Рубрика: "ИБ на A,B,C,D" №28 #CEH
Назовите порт UDP, который Network Time Protocol (NTP) использует в качестве основного средства связи?
Назовите порт UDP, который Network Time Protocol (NTP) использует в качестве основного средства связи?
Anonymous Quiz
51%
123
20%
161
14%
69
16%
113
❤🔥9🤨3❤1