Stateful-фильтрация для защиты от атак на TCP/IP

👋 Приветствую в мире цифровой безопасности!

Вы просили - мы делаем. Сегодня расскажу о stateful-фильтрации и её роли в защите сетей от атак на протоколы TCP/IP.

⏺Stateful-фильтрация — это метод анализа трафика, который учитывает состояние сетевого соединения. В отличие от простого фильтра, который проверяет каждый пакет отдельно, stateful-фильтр отслеживает все пакеты, относящиеся к одному соединению. Это позволяет выявлять и блокировать вредоносные пакеты, которые могут быть частью атаки.

⏺Как это работает: представьте, что stateful-фильтрация ведет журнал всех активных соединений. Если злоумышленник пытается отправить пакет, который не соответствует текущему состоянию соединения, этот пакет будет отброшен. Такой подход вполне эффективен против атак типа SYN-flood, когда отправляются многочисленные ложные запросы на установку соединения.

ZeroDay | #безопасность

REMnux: важный инструмент анализа вирусов

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Remnux использует метод обратного-инжиниринга для анализа вирусов. Он может обнаруживать большинство проблем на основе браузера, скрытых в изменённых фрагментах кода JavaScript и апплетах Flash. Он также способен сканировать PDF-файлы и выполнять экспертизу памяти. Средство помогает обнаруживать вредоносные программы внутри папок и файлов, которые сложно проверить с помощью других программ обнаружения вирусов.

⏺Он эффективен благодаря своим возможностям декодирования и обратного проектирования. Он может определять свойства подозрительных программ, и, будучи легким, он в значительной степени не обнаруживается интеллектуальными вредоносными программами. Он может использоваться как на Linux, так и на Windows, а его функциональность может быть улучшена с помощью других инструментов сканирования.

ZeroDay | #Инструмент

Хакерский резюме: как венгерский взломщик хотел получить работу в Marriott

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу о нестандартной «карьерной заявке» венгерского хакера Аттилы Немета.

⏺В 2010 году 26-летний венгерский хакер Аттила Немет сообщил компании Marriott, что взломал их систему и украл конфиденциальные данные.

⏺Но вместо выкупа он потребовал работу в Marriott, угрожая в противном случае передать данные конкурентам или опубликовать их.

⏺В своих требованиях Немет указал: удаленная работа, оклад $150 тысяч в год, бесплатные перелеты, право работать в любое время и возможность проживания в любом отеле Marriott.

⏺Чтобы поймать хакера, Marriott обратились к Секретной службе США. Спецслужбы предложили Аттиле фальшивое собеседование с вымышленным HR. Немет отправил копию паспорта и прилетел в Даллас, где показал, как взломал систему и какие данные похитил.

Его арестовали, и в 2012 году приговорили к 30 месяцам тюрьмы.

ZeroDay | #разное

Проблемы поколений: история уязвимостей мобильных сетей от 1G до 5G

Мобильные сети стали неотъемлемой частью нашей жизни, и даже кратковременное отсутствие связи может вызвать стресс. От первых телефонов до современных смартфонов, полностью зависящих от беспроводных сетей, технологии прошли огромный путь, но с ними пришли и новые угрозы.

⏺В этой статье я расскажу, как эволюционировали мобильные сети и какие уязвимости сопровождали каждое поколение — от 1G до 5G. Вы узнаете, какие меры защиты были разработаны, чтобы обеспечить стабильность связи и безопасность данных пользователей.

ZeroDay | #Статья

Настройка OSSEC для мониторинга и анализа событий безопасности

👋 Приветствую в мире цифровой безопасности!

Сегодня обсудим, как настроить OSSEC для мониторинга и анализа событий безопасности на ваших системах.

⏺Установка OSSEC: Стартуем с установки OSSEC на ваш сервер. Для этого выполните следующие команды:

wget https://github.com/ossec/ossec-hids/archive/refs/tags/3.6.0.tar.gz
tar -xvf 3.6.0.tar.gz
cd ossec-hids-3.6.0
sudo ./install.sh

Следуйте инструкциям на экране, чтобы завершить установку. OSSEC будет установлен в директорию /var/ossec.

⏺Настройка OSSEC: Откройте файл конфигурации /var/ossec/etc/ossec.conf и настройте его для сбора логов и обнаружения угроз. Добавьте следующие секции для мониторинга:

<localfile>
  <log_format>syslog</log_format>
  <location>/var/log/auth.log</location>
</localfile>
<localfile>
  <log_format>syslog</log_format>
  <location>/var/log/syslog</location>
</localfile>

Эти настройки позволяют OSSEC собирать логи из системных файлов. Для создания отчетов и настройки правил, откройте раздел <rules> и добавьте нужные вам правила.

⏺Создание отчетов: OSSEC включает инструменты для анализа и создания отчетов. Используйте команду для просмотра отчетов о событиях:

/var/ossec/bin/agent_control -l

Эта команда покажет вам текущий статус агентов и их активности.

Для получения более детализированных отчетов используйте команду:

/var/ossec/bin/ossec-logtest

Делать продолжение?

ZeroDay | #Инструмент

Настройка OSSEC.
Часть 2

👋 Приветствую в мире цифровой безопасности!

Сегодня разберем более продвинутую настройку OSSEC для защиты вашей системы

⏺Модуль Active Response: OSSEC поддерживает модуль Active Response, который автоматически реагирует на определенные угрозы. Откройте файл /var/ossec/etc/ossec.conf и добавьте следующую конфигурацию:

<active-response>
  <command>firewall-drop</command>
  <location>any</location>
  <level>7</level>
</active-response>

Этот модуль позволяет автоматически блокировать IP-адреса, с которых поступает вредоносный трафик, с помощью команд для настройки фаервола.

⏺Настройка агентов: Чтобы обеспечить проактивную защиту на всех серверах в сети, необходимо установить и настроить агенты OSSEC на каждом из них. Сначала установите агент, а затем добавьте его в мастер-сервер:

/var/ossec/bin/manage_agents

Затем введите IP-адрес мастера и следуйте инструкциям для подключения агента к центральному серверу OSSEC.

⏺Мониторинг целостности файлов: Для защиты критически важных файлов настройте мониторинг их целостности. Откройте файл конфигурации /var/ossec/etc/ossec.conf и добавьте секцию для отслеживания изменений файлов:

<syscheck>
  <frequency>43200</frequency>
  <directories>/etc,/bin,/sbin,/usr/bin,/usr/sbin</directories>
  <realtime>yes</realtime>
</syscheck>

Это позволит OSSEC отслеживать любые изменения в критических системных файлах и немедленно уведомлять вас о подозрительной активности.

⏺Настройка распределенной архитектуры: В крупных сетях OSSEC можно настроить в распределенной архитектуре, где один сервер выполняет роль менеджера, а другие — агентов.

Для этого на каждом агенте необходимо указать IP-адрес менеджера в файле /var/ossec/etc/ossec.conf:

<client>
  <server-ip>192.168.1.10</server-ip>
</client>

Это обеспечивает централизованное управление и анализ данных безопасности.

ZeroDay | #безопасность

Arbor Spectrum: инструмент защиты и предотвращения целевых атак

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Анализ и обнаружение: инструмент работает на границе периметра и внутри локальных сетей, обеспечивая всесторонний сбор и анализ сетевого трафика. Он выявляет аномалии и подозрительное поведение благодаря интеграции с облачными сервисами Arbor и применению передовых эвристических методов.

⏺Глобальный охват: с помощью анализа более трети интернет-трафика Arbor Spectrum оперативно выявляет новые угрозы и типичные поведения вредоносного ПО. Это позволяет быстро обновлять правила и предотвращать атаки на ранних стадиях.

⏺Проактивная защита: инструмент позволяет не только обнаруживать атаки, но и предсказывать их, что существенно повышает уровень защиты сети.

ZeroDay | #Инструмент

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых бесплатных курсов по ИБ и не только на YouTube.

⏺ Курс от специалиста по кибербезопасности
⏺ Кибербезопасность 2024. Теоретический курс
⏺ Полный курс по кибербезопасности
⏺ Школа ИБ от Яндекса
⏺ Курс по кибербезу

ZeroDay | #Подборка

Как хакеры взламывают ваш Wi-Fi: разбор атак на WPA2 и WPA3

В последние годы безопасность Wi-Fi сетей имеет особую важность, поскольку кибератаки на него становятся всё более изощрёнными. Протоколы WPA2-Personal и WPA2-Enterprise широко используются, но они не без уязвимостей. Даже новейший протокол WPA3, призванный усилить защиту, не является полностью защищённым.

⏺В этой статье я расскажу о самых распространённых методах взлома WPA2 и WPA3, и о том, как злоумышленники находят и используют слабые места в этих протоколах. Вы узнаете, какие инструменты применяются для атак, и как можно защитить свои сети, чтобы не стать следующей жертвой.

ZeroDay | #Статья

Автоматическое удаление учётных записей без активности

👋 Приветствую в мире цифровой безопасности!

Расскажу, как настроить удаление неактивных уч. записей в вашей системе

⏺Неактивные учётные записи — это тихие лазейки, через которые злоумышленники могут проникнуть в систему. Вместо того чтобы вручную отслеживать и удалять такие аккаунты, можно настроить автоматическую блокировку или удаление учётных записей, которые не использовались длительное время. Это поможет укрепить защиту и минимизировать риски.

Пример PowerShell-скрипта для Windows:

# Определяем количество дней неактивности
$daysInactive = 90

# Определяем дату, до которой учётная запись считается неактивной
$cutoffDate = (Get-Date).AddDays(-$daysInactive)

# Получаем все учётные записи пользователей, которые не являются системными и не заблокированы
$users = Get-ADUser -Filter * -Property LastLogonDate, Enabled | Where-Object {
    $_.Enabled -eq $true -and $_.LastLogonDate -lt $cutoffDate
}

# Отключаем учётные записи, которые неактивны
foreach ($user in $users) {
    Disable-ADAccount -Identity $user.SamAccountName
    Write-Output "Account $($user.SamAccountName) has been disabled due to inactivity."
}

Пример Bash-скрипта для Linux:

#!/bin/bash

# Определяем количество дней неактивности
INACTIVE_DAYS=90

# Получаем текущую дату в секундах с начала эпохи Unix
CURRENT_DATE=$(date +%s)

# Проверяем учётные записи пользователей
for user in $(lastlog -b $INACTIVE_DAYS | grep -v "Never" | tail -n +2 | awk '{print $1}'); do
    sudo usermod -L $user
    echo "Account $user has been locked due to inactivity."
done

ZeroDay | #безопасность

Подборка Honeypot инструментов

👋 Приветствую в мире цифровой безопасности!

Поговорим о полезных Honeypot инструментах для защиты ваших ресурсов.

⏺ Google Hack Honeypot: инструмент для разведки против злоумышленников, использующих поисковые системы для взлома. Помогает выявлять и анализировать попытки хакеров найти уязвимости через поисковые запросы.

⏺ HellPot: Honeypot, который делает взаимодействие с системой для ботов и клиентов максимально сложным, затрудняя атаку и увеличивая время отклика.

⏺ Shadow Daemon: модульный брандмауэр веб-приложений с функциями Honeypot для PHP, Perl и Python. Блокирует вредоносные запросы и предоставляет аналитику.

⏺ StrutsHoneypot: Honeypot на основе Struts Apache 2, который защищает серверы Apache 2, выявляя подозрительные действия и атаки.

⏺ WebTrap: создает обманчивые веб-страницы, чтобы отвлечь злоумышленников от реальных ресурсов и сбить их с толку.

ZeroDay | #Инструмент

От сирен до SIEM: разбираем архитектуру и защиту локальных систем оповещения

Когда взлом хакеров приводит к ложной воздушной тревоге на национальном уровне, это вызывает беспокойство. Но что, если подобная атака произойдет на предприятии, где сбой в системе оповещения может привести к катастрофическим последствиям? Обеспечение безопасности локальных систем оповещения становится жизненно важной задачей для защиты не только бизнеса, но и человеческих жизней.

⏺ В этой статье я расскажу, как работают локальные системы оповещения, какие задачи они выполняют и какие существуют методы их защиты. Мы разберем типовые сценарии атак на ЛСО, а также обсудим, какие меры можно принять, чтобы минимизировать риски и обеспечить бесперебойную работу таких систем в условиях повышенной опасности.

ZeroDay | #Статья

Изоляция сети (Network Isolation)

👋 Приветствую в мире цифровой безопасности!

Сегодня обсудим, как изоляция сети может использоваться в атаках на киберфизические системы

⏺Что это: Изоляция сети используется злоумышленниками для создания «чёрных дыр» и блокировки доступа к важным участкам сети. Например, атака может нацелиться на интеллектуальные сети или системы управления светофорами, компрометируя узлы вокруг целевой области и вызывая сбои в работе и потерю доступа.

⏺Атака на практике: В атаках часто применяются методы компрометации сетевых узлов с последующим выборочным отбрасыванием или задержкой сетевых пакетов. Это приводит к нарушению доступности сети и может затронуть критические инфраструктуры, такие как датчики и исполнительные механизмы в определённой географической зоне.

ZeroDay | #атака