🔎 DetectFlow — инструмент для автоматизации разработки detection-правил

DetectFlow — open source-инструмент от SOC Prime, предназначенный для автоматизации процессов Detection Engineering. Он помогает создавать, тестировать и поддерживать правила обнаружения угроз для SIEM, EDR и других систем мониторинга безопасности.

🕸 Основные возможности DetectFlow
📉 Автоматизация разработки detection-правил — упрощает создание и поддержку правил обнаружения.
📉 Поддержка Sigma — интеграция с популярным форматом правил Sigma.
📉 Workflow-подход — управление жизненным циклом detection-правил: разработка, тестирование, обновление.
📉 Интеграция с CI/CD — правила можно автоматически проверять и развёртывать.
🖱 Стандартизация Detection Engineering — помогает командам SOC структурировать процессы создания детектов.

💻Пример workflow разработки детекта
DetectFlow помогает выстроить pipeline создания detection-правил.

Типичный процесс может выглядеть так:
1️⃣ Анализ угрозы или техники из MITRE ATT&CK
2️⃣ Создание detection-правила (например, Sigma)
3️⃣ Тестирование на логах
4️⃣ Проверка корректности правила
5️⃣ Развёртывание в SIEM
Такой workflow позволяет SOC-командам быстрее внедрять новые детекты и уменьшать количество ошибок.

⬇️ Базовый запуск
Клонирование репозитория и запуск

git clone https://github.com/socprime/detectflow-one-click-local-deployment.git
cd detectflow-one-click-local-deployment
chmod +x deploy-detectflow-minikube.sh
./deploy-detectflow-minikube.sh

После запуска можно создавать и тестировать detection-правила в рамках workflow.

#soc #detectionengineering #sigma #threathunting #security #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🧠 AttackGen — генератор сценариев атак на основе MITRE ATT&CK и LLM

AttackGen — open source-инструмент, который использует LLM-модели для генерации реалистичных сценариев кибератак на основе фреймворка MITRE и базы знаний MITRE ATT&CK.

Инструмент предназначен для специалистов по безопасности, SOC-аналитиков и Red Team-команд, помогая быстро создавать реалистичные цепочки атак, которые можно использовать для обучения или тестирования защиты.

❓ Как работает AttackGen
AttackGen принимает входные данные о целевой инфраструктуре (например, тип организации или используемые технологии) и на их основе генерирует цепочку действий злоумышленника, используя техники из MITRE ATT&CK.

Типичный сценарий может включать этапы:
1️⃣ Initial Access — фишинг, эксплуатация уязвимости или компрометация учётных данных
2️⃣ Execution — запуск вредоносного кода
3️⃣ Persistence — закрепление в системе
4️⃣ Privilege Escalation — повышение привилегий
5️⃣ Lateral Movement — перемещение по сети
6️⃣ Data Exfiltration — кража данных

Таким образом получается полная kill chain атаки, которую можно использовать для моделирования угроз.

🎯 Для чего используют AttackGen
➡️ Tabletop-упражнения — генерация сценариев для тренировки SOC и incident response команд.
➡️ Threat modeling — моделирование возможных атак на инфраструктуру.
➡️ Red Team подготовка — идеи для новых сценариев тестирования безопасности.
➡️ Обучение специалистов — наглядные примеры цепочек атак.
➡️ Purple Team упражнения — совместная работа Red и Blue команд.

⬇️ Установка и запуск
Клонирование репозитория

git clone https://github.com/mrwadams/attackgen.git
cd attackgen

Установка зависимостей

pip install -r requirements.txt

Запуск инструмента

streamlit run 00_👋_Welcome.py

После запуска можно вводить параметры инфраструктуры и генерировать сценарии атак.

↗️ Пример генерации сценария
После запуска AttackGen можно задать контекст организации:

Industry: Financial services
Infrastructure: Cloud + Active Directory
Security maturity: Medium

Инструмент может сгенерировать сценарий атаки, например:

Initial Access: Spear phishing campaign targeting employees
Execution: Malicious macro payload
Persistence: Scheduled task
Privilege Escalation: Token manipulation
Lateral Movement: SMB and remote service execution
Exfiltration: Data transfer over HTTPS

Такие сценарии можно использовать как основу для тренировок или моделирования угроз.

#ai #threatmodeling #mitre #redteam #soc #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Почему 80% атак на компании остаются незамеченными в первые часы?

Потому что наличие средств защиты ≠ наличие специалистов, которые умеют видеть и интерпретировать происходящее в инфраструктуре.

Антивирусы, EDR, фаерволы — это инструменты.
Но без SOC-аналитика они не обнаруживают атаки, а лишь фиксируют события.

Именно поэтому сегодня рынок перегрет спросом на blue team специалистов.

По данным рынка:
⏺️ SOC-аналитики уровня Junior зарабатывают от 80 000 – 120 000 ₽
⏺️ Middle — 150 000 – 250 000 ₽
⏺️ Senior — от 300 000 ₽ и выше

И это одна из немногих ролей в ИБ, куда можно зайти без глубокой технической базы,
если есть понимание процессов и практика работы с инцидентами.

Мы запускаем новый курс: «Профессия SOC-аналитик» — погружение с нуля!

❗️ работа с логами и событиями
❗️ анализ и корреляция инцидентов
❗️ разбор атак и сценариев поведения злоумышленников
❗️ формирование мышления blue team

Стартуем 6 апреля!

👉👉👉 Узнать подробнее

🐰Новая лаборатория на HackerLab — Rabbit Hole

Архитекторы RabbitHole уверены, что их инфраструктура недосягаема: минимум внешних сигналов, жёсткая сегментация и доверие к собственным компонентам.

Rabbit Hole — инфраструктурная black-box лаборатория, где вам предстоит шаг за шагом собирать картину происходящего, искать слабые связи между компонентами и выстраивать цепочку компрометации.

Что внутри:
🟢Web Perimeter, Microservices, Supply Chain, K8s Security
🟢многоступенчатый сценарий
🟢разведка, логика и chaining уязвимостей
🟢современная cloud-native инфраструктура

Ваш доступ — минимален.
Ваш заказчик — неизвестен.

Сделайте всё, на что способны.

↗️https://hackerlab.pro

Автор лабы: Black Rabbit, автор курса по Active Directory в Codeby

🔁 Пятничный опрос
Сегодня проверим, насколько хорошо ты понимаешь Boolean-based Blind SQLi.

❓ Вопрос простой:
что из предложенного — именно этот тип инъекции?

Подсказка:

Boolean-based Blind SQLi — это тип SQL-инъекции, при котором атакующий определяет истинность условий (TRUE/FALSE) по косвенным признакам ответа приложения (например, изменению страницы), без явного вывода данных или ошибок.

🚩 Новые задания на платформе HackerLab!

🔎 Категория OSINT — Неизвестный автомобиль

Приятного хакинга!

Titus — быстрый сканер секретов в коде и Git

Titus — инструмент для поиска утёкших секретов: API-ключей, токенов, паролей и других учетных данных в исходном коде, файлах и Git-истории.

Сканер использует 487 правил детекции и поддерживает проверку найденных ключей через API сервисов, чтобы определить активны ли они

Основные возможности
📉 Поиск секретов в коде, файлах и Git-истории
📉 Высокая скорость благодаря Hyperscan / Vectorscan
📉 487 правил для обнаружения ключей популярных сервисов
📉 Проверка валидности найденных секретов
📉 Извлечение секретов из бинарных файлов (PDF, Office, архивы)
📉 Сканирование GitHub и GitLab репозиториев
🖱 Интеграция с Burp Suite и Chrome

⬇️Установка

git clone https://github.com/praetorian-inc/titus
cd titus
make build

⛓️‍💥Примеры использования
▶️Сканирование файла:

titus scan file.txt

▶️Сканирование директории:

titus scan ./project

▶️Сканирование Git-репозитория:

titus scan --git path/to/repo

▶️Проверка найденных секретов:

titus scan ./code --validate

Titus — быстрый и удобный инструмент для поиска утёкших API-ключей и токенов, который хорошо подходит для pentest, bug bounty и DevSecOps-процессов.

#pentest #bugbounty #devsecops #secretscanner

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🌐eaphammer — инструмент для проведения таргетированных атак типа Evil Twin на сети WPA2-Enterprise.

Предназначен для использования в рамках полноценных аудитов беспроводной безопасности и Red Team-операций, поэтому основной акцент сделан на простом и удобном интерфейсе, который позволяет выполнять мощные атаки на беспроводные сети с минимальной ручной настройкой.

Атака Evil Twin заключается в том, что злоумышленник создает фальшивую точку доступа Wi-Fi, которая имеет такое же название (SSID), как и легитимная точка, но с лучшим уровнем сигнала. Пользователи, подключаясь к этой сети, не осознают, что подключаются не к защищенной сети, а к точке доступа злоумышленника. Это позволяет злоумышленникам перехватывать данные, передаваемые между устройством и точкой доступа, включая пароли, логины и другие конфиденциальные данные.

⬇️ Установка возможна как через пакетный менеджер sudo apt install eaphammer, так и из исходного кода:

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Возможности
⏺️Перехват RADIUS-учётных данных из сетей WPA-EAP и WPA2-EAP;
⏺️Проведение атак с использованием captive portal;
⏺️Встроенная интеграция с Responder;
⏺️Для большинства атак не требуется ручная настройка;
⏺️Встроенный HTTP-сервер для атак типа Hostile Portal;
⏺️Быстрые и автоматизированные PMKID-атаки против PSK-сетей с использованием hcxtools;
⏺️Выполнение password spraying по множеству пользователей в рамках одного ESSID.

Поддерживает следующие методы EAP: EAP-PEAP/MSCHAPv2, EAP-PEAP/GTC, EAP-PEAP/MD5, EAP-TTLS/PAP, EAP-TTLS/MSCHAP, EAP-TTLS/MSCHAPv2, EAP-TTLS/MSCHAPv2 (без EAP), EAP-TTLS/CHAP, EAP-TTLS/MD5, EAP-TTLS/GTC, EAP-MD5.

⛓️‍💥Использование

# Генерация сертификата
./eaphammer --cert-wizard

# Запуск атаки
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

#tools #wifi #pentesting

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

BruteForceAI - метод перебора с помощью нейросети🧠

BruteForceAI — это инструмент для тестирования на проникновение, который преобразует традиционные атаки методом перебора, интегрируя LLM для интеллектуального анализа форм. Инструмент автоматически идентифицирует селекторы форм входа в систему с помощью ИИ, а затем выполняет сложные многопоточные атаки с использованием моделей поведения, сходных с человеческими.

📐Основные особенности
📉Многопоточное выполнение с синхронизированными задержками
📉Режимы атаки «Брутфорс» и «Распыление паролей»
📉Имитация человеческого чувства времени с учетом дрожания и случайности
📉User-Agent для лучшего обхода защиты
📉Комплексное ведение журналов с использованием базы данных SQLite.

⬇️Установка:
0️⃣Клонирование репозитория:

git clone https://github.com/MorDavid/BruteForceAI

cd BruteForceAI/

1️⃣Установка зависимостей:

pip install -r requirements.txt

2️⃣Установка LLM модели:

curl -fsSL https://ollama.ai/install.sh | sh

ollama pull llama3.2:3b

Это всё бесплатно, не требует регистрации или API ключей

3️⃣Создаём список urls адресов:

vim urls.txt

➡️https://authenticationtest.com/simpleFormAuth/

⛓️‍💥Запуск:
➡️Анализ форм авторизации:

python BruteForceAI.py analyze --urls urls.txt --llm-provider ollama

➡️Исполнение атаки:

python BruteForceAI.py attack --urls urls.txt --username users.txt --passwords passwords.txt --threads 10

#pentest #bugbounty #bruteforce #AI

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

😄😀😂🙂🙃

С вечера пятницы у нас наблюдаются технические проблемы с Telegram: часть входящих сообщений может не доходить до менеджеров или отображаться с задержкой.

Мы переживаем, что могли пропустить ваши вопросы 🙏

Если вы писали нам в Telegram с пятницы вечера и не получили ответа — пожалуйста, продублируйте сообщение на почту:

📩 [email protected]

Если вы уже общались с конкретным менеджером, можно написать напрямую ему на рабочую почту.

Мы обязательно ответим как можно быстрее.
Также на время решения проблемы рекомендуем использовать email для всех срочных вопросов.

Спасибо за понимание 🚗

🍯 ADTrapper — инструмент для обнаружения атак в Active Directory с помощью honeypot-аккаунтов

ADTrapper — open source-инструмент для обнаружения атак внутри инфраструктуры Microsoft Active Directory. Он создаёт honeypot-объекты и ловушки в AD, которые позволяют выявлять злоумышленников во время разведки, lateral movement и попыток повышения привилегий.

Идея инструмента проста: создать в каталоге приманки, которые выглядят как реальные учётные записи или ресурсы. Любая попытка взаимодействия с такими объектами практически всегда означает подозрительную активность.

🪧 Основные возможности ADTrapper
▶️ Honeypot-учётные записи — создание ловушек в Active Directory для обнаружения злоумышленников.
▶️ Обнаружение reconnaissance-активности — выявляет попытки сканирования и enumeration AD.
▶️ Отслеживание lateral movement — реагирует на попытки использования trap-учёток.
▶️ Интеграция с логированием — события можно отправлять в SIEM или системы мониторинга.
▶️ Минимальное влияние на инфраструктуру — ловушки не мешают работе пользователей.

🕸 Как работает ADTrapper
ADTrapper разворачивает специальные honeypot-объекты внутри Active Directory:
⏺️фальшивые сервисные аккаунты
⏺️приманки-администраторы
⏺️ложные ресурсы или группы

Когда злоумышленник выполняет разведку например через:
⏺️BloodHound
⏺️LDAP enumeration
⏺️AD reconnaissance
он может обнаружить эти объекты.

Любое взаимодействие с ними генерирует событие безопасности, которое можно использовать для обнаружения атаки.

💻 Базовый сценарий использования
Клонирование репозитория

git clone https://github.com/MHaggis/ADTrapper.git
cd ADTrapper
cp env.example .env

Запуск инструмента

./deploy.sh

docker-compose up -d
docker-compose exec -T database psql -U postgres < supabase/migrations/0001_simple_setup.sql

После запуска веб-сервис будет доступен по адресу https://localhost:3000

#activedirectory #blueteam #defense #honeypot #security #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Стеганография в изображениях

Основные инструменты:

💻 zsteg - комбайн по работе с PNG и BMP

gem install zsteg
zsteg -a pic.png

💻 png-parser - анализ PNG изображений

pip install --user git+https://github.com/Hedroed/png-parser
png-parser pic.png

💻 steghide - извлекает данные из JPG

sudo apt install steghide
steghide extract -sf pic.jpg

💻 stegseek - самый быстрый брутер steghide файлов

sudo apt install ./stegseek_0.6-1.deb
stegseek pic.jpg rockyou.txt

💻 stegoveritas - очередной комбайн, разбирает по слоям, применяет кучу фильтров, результат сохраняет в отдельную директорию

pip3 install stegoveritas
stegoveritas pic.png

💻 stegsolve - Java приложение, работа со слоями, LSB, стереограмы

java -jar StegSolve.jar

🐥 exiftool - лучший инструмент по работе с метаданными

exiftool pic.png

🐥 exiftoolGUI - графический интерфейс для exiftool ( 📦 )
🐥 tweakpng - редактор метаданных в PNG ( 📦 )
🐥 pngcheck - анализатор PNG изображений

sudo apt install pngcheck
pngcheck -v pic.png

💻 stegpy - LSB

pip3 install stegpy
stegpy pic.png

🐥 OpenStego - очередная стегано утилита ( 📦 )
🐥 Magic Eye Solver - решение стереограм
🐥 Aperi Solve - веб сервис все в одном
🐥 Piet IDE - веб сервис решение Piet

#steganography #tools #soft

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🧿 Sirius — мощный сканер уязвимостей и управления поверхностью атаки

Sirius — это современный open source-инструмент для автоматизированного сканирования уязвимостей, анализа инфраструктуры и управления атакуемой поверхностью (ASM). Он сочетает в себе функции сканера, менеджера активов и платформы для непрерывного мониторинга безопасности.

❗️ Основные возможности
➡️ Asset discovery — автоматическое обнаружение доменов, поддоменов и сервисов
➡️ Vulnerability scanning — поиск уязвимостей с использованием шаблонов и правил
➡️ Continuous monitoring — постоянное отслеживание изменений attack surface
➡️ Интеграция с Nuclei — использование шаблонов для глубокого сканирования
➡️ Управление активами — централизованный контроль найденных ресурсов
➡️ Масштабируемость — подходит для больших инфраструктур и команд

❓ Как работает Sirius
📉 Sirius объединяет несколько этапов анализа в единую систему:
📉 сбор активов (domains, IP, services)
📉 сканирование сервисов и портов
📉 применение шаблонов уязвимостей
🖱 агрегация и корреляция результатов

Инструмент может использоваться вместе с:
⏺️Nuclei
⏺️Subfinder
⏺️Amass
Это позволяет строить полноценный пайплайн для разведки и поиска уязвимостей.

⬇️ Установка и запуск

git clone https://github.com/SiriusScan/Sirius.git
cd Sirius
docker compose -f docker-compose.installer.yaml run --rm sirius-installer
docker compose up -d

После запуска интерфейс и API будут доступны по адресу https://localhost:3000 для управления сканированием.

#security #pentest #bugbounty #asm #vulnerability #recon #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером