Автоматическое удаление учётных записей без активности
👋
⏺ Неактивные учётные записи — это тихие лазейки, через которые злоумышленники могут проникнуть в систему. Вместо того чтобы вручную отслеживать и удалять такие аккаунты, можно настроить автоматическую блокировку или удаление учётных записей, которые не использовались длительное время. Это поможет укрепить защиту и минимизировать риски.
Пример PowerShell-скрипта для Windows:
Пример Bash-скрипта для Linux:
ZeroDay | #безопасность
Приветствую в мире цифровой безопасности!Расскажу, как настроить удаление неактивных уч. записей в вашей системеПример PowerShell-скрипта для Windows:
# Определяем количество дней неактивности
$daysInactive = 90
# Определяем дату, до которой учётная запись считается неактивной
$cutoffDate = (Get-Date).AddDays(-$daysInactive)
# Получаем все учётные записи пользователей, которые не являются системными и не заблокированы
$users = Get-ADUser -Filter * -Property LastLogonDate, Enabled | Where-Object {
$_.Enabled -eq $true -and $_.LastLogonDate -lt $cutoffDate
}
# Отключаем учётные записи, которые неактивны
foreach ($user in $users) {
Disable-ADAccount -Identity $user.SamAccountName
Write-Output "Account $($user.SamAccountName) has been disabled due to inactivity."
}
Пример Bash-скрипта для Linux:
#!/bin/bash
# Определяем количество дней неактивности
INACTIVE_DAYS=90
# Получаем текущую дату в секундах с начала эпохи Unix
CURRENT_DATE=$(date +%s)
# Проверяем учётные записи пользователей
for user in $(lastlog -b $INACTIVE_DAYS | grep -v "Never" | tail -n +2 | awk '{print $1}'); do
sudo usermod -L $user
echo "Account $user has been locked due to inactivity."
done
ZeroDay | #безопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🔥4❤1
Подборка Honeypot инструментов
👋
⏺ Google Hack Honeypot: инструмент для разведки против злоумышленников, использующих поисковые системы для взлома. Помогает выявлять и анализировать попытки хакеров найти уязвимости через поисковые запросы.
⏺ HellPot: Honeypot, который делает взаимодействие с системой для ботов и клиентов максимально сложным, затрудняя атаку и увеличивая время отклика.
⏺ Shadow Daemon: модульный брандмауэр веб-приложений с функциями Honeypot для PHP, Perl и Python. Блокирует вредоносные запросы и предоставляет аналитику.
⏺ StrutsHoneypot: Honeypot на основе Struts Apache 2, который защищает серверы Apache 2, выявляя подозрительные действия и атаки.
⏺ WebTrap: создает обманчивые веб-страницы, чтобы отвлечь злоумышленников от реальных ресурсов и сбить их с толку.
ZeroDay | #Инструмент
Приветствую в мире цифровой безопасности!Поговорим о полезных Honeypot инструментах для защиты ваших ресурсов.ZeroDay | #Инструмент
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤1
От сирен до SIEM: разбираем архитектуру и защиту локальных систем оповещения
Когда взлом хакеров приводит к ложной воздушной тревоге на национальном уровне, это вызывает беспокойство. Но что, если подобная атака произойдет на предприятии, где сбой в системе оповещения может привести к катастрофическим последствиям? Обеспечение безопасности локальных систем оповещения становится жизненно важной задачей для защиты не только бизнеса, но и человеческих жизней.
⏺ В этой статье я расскажу, как работают локальные системы оповещения, какие задачи они выполняют и какие существуют методы их защиты. Мы разберем типовые сценарии атак на ЛСО, а также обсудим, какие меры можно принять, чтобы минимизировать риски и обеспечить бесперебойную работу таких систем в условиях повышенной опасности.
ZeroDay | #Статья
Когда взлом хакеров приводит к ложной воздушной тревоге на национальном уровне, это вызывает беспокойство. Но что, если подобная атака произойдет на предприятии, где сбой в системе оповещения может привести к катастрофическим последствиям? Обеспечение безопасности локальных систем оповещения становится жизненно важной задачей для защиты не только бизнеса, но и человеческих жизней.
ZeroDay | #Статья
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤1👌1
Как защитить сервер от кибератак? Что такое протоколы безопасности и как их правильно применить? Как не стать жертвой хакера? На эти и другие вопросы ответим на мини-курсе Skillbox по кибербезопасности и защите серверов.
Регистрация: https://epic.st/GGyTn?erid=2VtzqvvaCGm
Мини-курс подходит новичкам. Вам не нужно знать код, чтобы вникнуть в основы и понять принципы кибербезопасности.
Вас ждут 4 интенсивных занятия, на которых вы сможете примерить на себя обе роли — хакера и кибербезопасника. А в финале будет прямой эфир с экспертом, где он разберёт практические работы, ответит на вопросы и поделится профессиональными секретами.
Спикер — Сергей Кручинин, проверяющий эксперт в Skillbox. Руководил проектами в Mail.ru Group, работал в WEBINAR.RU, ГК Astra Linux, МИФИ, МГТУ им. Н. Э. Баумана, разрабатывал образовательные проекты по информационной безопасности.
Всех участников ждут бонусы: 5 полезных материалов о приёмах взлома, методах защиты и тестирования серверов, персональная карьерная консультация, сертификат на скидку 10 000 рублей и год бесплатного изучения английского языка.
Реклама. ЧОУ ДПО «Образовательные технологии «Скилбокс (Коробка навыков)», ИНН: 9704088880
Регистрация: https://epic.st/GGyTn?erid=2VtzqvvaCGm
Мини-курс подходит новичкам. Вам не нужно знать код, чтобы вникнуть в основы и понять принципы кибербезопасности.
Вас ждут 4 интенсивных занятия, на которых вы сможете примерить на себя обе роли — хакера и кибербезопасника. А в финале будет прямой эфир с экспертом, где он разберёт практические работы, ответит на вопросы и поделится профессиональными секретами.
Спикер — Сергей Кручинин, проверяющий эксперт в Skillbox. Руководил проектами в Mail.ru Group, работал в WEBINAR.RU, ГК Astra Linux, МИФИ, МГТУ им. Н. Э. Баумана, разрабатывал образовательные проекты по информационной безопасности.
Всех участников ждут бонусы: 5 полезных материалов о приёмах взлома, методах защиты и тестирования серверов, персональная карьерная консультация, сертификат на скидку 10 000 рублей и год бесплатного изучения английского языка.
Реклама. ЧОУ ДПО «Образовательные технологии «Скилбокс (Коробка навыков)», ИНН: 9704088880
👍2
Изоляция сети (Network Isolation)
👋
⏺ Что это: Изоляция сети используется злоумышленниками для создания «чёрных дыр» и блокировки доступа к важным участкам сети. Например, атака может нацелиться на интеллектуальные сети или системы управления светофорами, компрометируя узлы вокруг целевой области и вызывая сбои в работе и потерю доступа.
⏺ Атака на практике: В атаках часто применяются методы компрометации сетевых узлов с последующим выборочным отбрасыванием или задержкой сетевых пакетов. Это приводит к нарушению доступности сети и может затронуть критические инфраструктуры, такие как датчики и исполнительные механизмы в определённой географической зоне.
ZeroDay | #атака
Приветствую в мире цифровой безопасности!Сегодня обсудим, как изоляция сети может использоваться в атаках на киберфизические системыZeroDay | #атака
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
Конфигурация ClamAV для антивирусного сканирования
👋
⏺ Установка ClamAV: Начните с установки ClamAV на вашу систему. Для этого выполните следующие команды:
⏺ Настройка сканирования: ClamAV позволяет настроить частоту и глубину сканирования. Чтобы настроить регулярные проверки, отредактируйте файл конфигурации:
Настройте параметры сканирования по вашему выбору, например, установите частоту обновлений баз данных и конфигурации сканирования.
⏺ Сканирование системы: Для начала сканирования выполните команду:
Замените /path/to/directory на путь к директорий, который вы хотите просканировать. Добавьте параметр --log=/var/log/clamav/scan.log, чтобы сохранить отчет в лог-файл:
Отчеты будут содержать информацию о найденных угрозах и помогут вам определить, где могут быть проблемы.
⏺ Автоматическое сканирование: Для автоматизации процесса сканирования добавьте скрипт в cron. Например, чтобы запускать сканирование каждый день в 3 часа ночи, добавьте запись в crontab:
ZeroDay | #безопасность
Приветствую в мире цифровой безопасности!Сегодня обсудим, как настроить ClamAV для эффективного антивирусного сканирования ваших систем.sudo apt-get update
sudo apt-get install clamav clamav-daemon
sudo nano /etc/clamav/clamd.conf
Настройте параметры сканирования по вашему выбору, например, установите частоту обновлений баз данных и конфигурации сканирования.
sudo clamscan -r /path/to/directory
Замените /path/to/directory на путь к директорий, который вы хотите просканировать. Добавьте параметр --log=/var/log/clamav/scan.log, чтобы сохранить отчет в лог-файл:
sudo clamscan -r /path/to/directory --log=/var/log/clamav/scan.log
Отчеты будут содержать информацию о найденных угрозах и помогут вам определить, где могут быть проблемы.
0 3 * * * /usr/bin/clamscan -r /path/to/directory --log=/var/log/clamav/scan.log
ZeroDay | #безопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
This media is not supported in your browser
VIEW IN TELEGRAM
Matano: бессерверный инструмент безопасности с открытым исходным кодом
👋
⏺ Обработка данных безопасности: Matano позволяет эффективно собирать, хранить и анализировать большие объёмы данных безопасности в базе данных Apache Iceberg. Это решение идеально подходит для работы с петабайтами данных и обеспечивает высокую масштабируемость для крупномасштабных инфраструктур.
⏺ Обнаружение в реальном времени: Благодаря поддержке Python и встроенным возможностям анализа данных, Matano может запускать детектирование угроз в режиме реального времени, что позволяет быстро реагировать на подозрительные активности в сети.
⏺ Бессерверная архитектура: Платформа полностью функционирует на AWS, что избавляет от необходимости управления серверами. Это упрощает процесс интеграции и снижает затраты на эксплуатацию.
ZeroDay | #Инструмент
Приветствую в мире цифровой безопасности!Поговорим о еще одном инструменте безопасности.ZeroDay | #Инструмент
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5
ZeroDay | Кибербезопасность
Matano: бессерверный инструмент безопасности с открытым исходным кодом 👋 Приветствую в мире цифровой безопасности! Поговорим о еще одном инструменте безопасности. ⏺ Обработка данных безопасности: Matano позволяет эффективно собирать, хранить и анализировать…
Как вам новая анимация постов?
1❤40👍22🔥17👎7🤩3🤷♂2
ML-алгоритмы против хакеров: как поведенческая аналитика меняет правила игры в кибербезопасности
Машинное обучение и поведенческий анализ меняют подходы к кибербезопасности, помогая выявлять сложные угрозы за пределами традиционных методов защиты. Эти технологии анализируют необычные паттерны поведения, что позволяет лучше справляться с новыми угрозами.
⏺ Автор статьи описывает, как модуль Behavioral Anomaly Detection (BAD) использует машинное обучение для оценки риска событий и анализа поведения в системе. Это позволяет более эффективно выявлять угрозы и облегчать работу аналитиков за счет детального анализа активности и снижения нагрузки на систему.
ZeroDay | #Статья
Машинное обучение и поведенческий анализ меняют подходы к кибербезопасности, помогая выявлять сложные угрозы за пределами традиционных методов защиты. Эти технологии анализируют необычные паттерны поведения, что позволяет лучше справляться с новыми угрозами.
ZeroDay | #Статья
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥2❤1
RS/6000 SP: суперкомпьютер IBM, обыгравший Каспарова. Что это была за система?
👋
⏺ Система включала 30 узлов с 480 шахматными процессорами и работала под ОС AIX 4.2. Она обеспечивала мощные расчёты, необходимые для победы над чемпионом.
⏺ Deep Blue II на базе RS/6000 SP мог просчитывать миллионы ходов за секунды, что позволило ему победить Каспарова со счётом 3½:2½.
⏺ Однако RS/6000 SP применялся не только в шахматах, но и в науке, инженерии, анализе данных.
⏺ Он даже был главным веб-сервером на Олимпийских играх 1996 и 1998 годов.
ZeroDay | #разное
Приветствую в мире цифровой безопасности!Сегодня вспомним суперкомпьютер IBM RS/6000 SP — тот самый, что обыграл Гарри Каспарова в 1997 году.ZeroDay | #разное
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14🔥7❤1
This media is not supported in your browser
VIEW IN TELEGRAM
Типы атак на большие языковые модели (LLM)
👋
⏺ Атаки на конфиденциальность направлены на извлечение данных, использованных при обучении. Даже если данные анонимны, можно восстановить личную информацию, что приводит к утечкам паролей и финансовых данных.
⏺ Атаки с отравлением данных происходят, когда вводят искаженные данные в обучение. Это приводит к ошибочным или предвзятым ответам модели, что опасно для критичных приложений.
⏺ Атаки через побочные каналы используют отклик модели или её ресурсоёмкость, чтобы извлечь информацию о внутреннем устройстве или обучающих данных.
⏺ Атаки скрытыми командами встраивают скрытые инструкции в запросы, заставляя модель выполнять вредоносные действия или обходить фильтры.
ZeroDay | #атака
Приветствую в мире цифровой безопасности!Сегодня обсудим ключевые атаки на большие языковые модели (LLM).ZeroDay | #атака
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍6🌚2👏1
This media is not supported in your browser
VIEW IN TELEGRAM
RustScan: сверхбыстрый сканер портов на Rust
👋
⏺ Молниеносное сканирование: RustScan разработан для сканирования всех портов за считанные секунды. Это делает его одним из самых быстрых инструментов для поиска открытых портов в сети.
⏺ Интеграция с Nmap: RustScan не только быстро сканирует порты, но и передаёт результаты в Nmap для более детальной проверки. Это позволяет получить точную информацию о сервисах и версиях ПО за минимальное время.
⏺ Оптимизация производительности: За счёт использования языка Rust, RustScan может обрабатывать огромные объёмы данных с низкими затратами ресурсов.
ZeroDay | #Инструмент
Приветствую в мире цифровой безопасности!Поговорим о еще одном инструменте безопасности.ZeroDay | #Инструмент
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤2🔥2
This media is not supported in your browser
VIEW IN TELEGRAM
Интеграция EDR для защиты сети на практике
👋
⏺ Установка и настройка EDR-агентов: Начните с установки EDR-агентов на все конечные точки. Рассмотрим CrowdStrike Falcon:
Для Windows:
⏺ Интеграция с SIEM-системами: Подключите EDR к вашей SIEM-системе для централизованного сбора и анализа данных. Пример для Splunk:
После установки выполните настройку:
⏺ Настройка алертов и автоматических действий: Настройте алерты и автоматизированные реакции на инциденты. В Splunk вы можете создать алерты, используя:
Настройте условия триггера и действия, такие как отправка уведомлений или запуск скриптов.
ZeroDay | #безопасность
Приветствую в мире цифровой безопасности!Сегодня обсудим, как интегрировать решение Endpoint Detection and Response (EDR) с другими системами защиты# Скачайте агент для Linux
wget https://falcon.crowdstrike.com/falcon-agent-linux.deb
sudo dpkg -i falcon-agent-linux.deb
# Регистрация агента с использованием CID
sudo /opt/CrowdStrike/falconctl -s --cid=<Your-CID>
Для Windows:
# Скачайте и установите агент
Invoke-WebRequest -Uri https://falcon.crowdstrike.com/falcon-agent-win.exe -OutFile FalconAgent.exe
Start-Process -FilePath .\FalconAgent.exe -ArgumentList '/install', '/quiet'
# Установка Splunk Add-on для CrowdStrike
wget https://download.splunk.com/products/splunk/addons/Splunk_TA_Falcon_6.2.0.tgz
tar -xvf Splunk_TA_Falcon_6.2.0.tgz
После установки выполните настройку:
# Настройка интеграции в Splunk
Splunk Console -> Data Inputs -> Add Data -> Select Falcon Data
# Пример создания алерта
Splunk Console -> Settings -> Searches, reports, and alerts -> New Alert
Настройте условия триггера и действия, такие как отправка уведомлений или запуск скриптов.
ZeroDay | #безопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤2🔥2👏1
This media is not supported in your browser
VIEW IN TELEGRAM
Использование Chkrootkit для сканирования на руткиты
👋
⏺ Установка Chkrootkit: Для систем на базе Debian достаточно следующей команды:
Для CentOS потребуется установка из исходников:
⏺ Основные команды для сканирования:
Chkrootkit проверяет несколько ключевых системных компонентов, поэтому можно использовать дополнительные флаги для получения более детальной информации.
Базовое сканирование на руткиты:
Проверка сетевых интерфейсов и обнаружение возможных атак через интерфейсы:
Проверка логов и подозрительных изменений в системных двоичных файлах:
⏺ Также нужные команды: Игнорирование тестов для ускорения процесса сканирования (например, игнорирование проверки sniffer):
Сканирование на наличие вредоносных программ в пользовательских каталогах:
⏺ Автоматизация через cron: Чтобы автоматизировать сканирование и получать отчеты на электронную почту, добавьте запись в crontab. Например, ежедневное сканирование в 3 часа ночи с отправкой отчета:
Для выполнения только отдельных тестов (например, только на наличие руткитов):
ZeroDay | #безопасность
Приветствую в мире цифровой безопасности!Расскажу и покажу, как настроить и использовать инструмент Chrootkitsudo apt install chkrootkit
Для CentOS потребуется установка из исходников:
yum update
yum install wget gcc-c++ glibc-static
wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar –xzf chkrootkit.tar.gz
mkdir /usr/local/chkrootkit
mv chkrootkit-0.52/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
make sense
Chkrootkit проверяет несколько ключевых системных компонентов, поэтому можно использовать дополнительные флаги для получения более детальной информации.
Базовое сканирование на руткиты:
sudo chkrootkit
Проверка сетевых интерфейсов и обнаружение возможных атак через интерфейсы:
sudo chkrootkit -p eth0
Проверка логов и подозрительных изменений в системных двоичных файлах:
sudo chkrootkit -q
sudo chkrootkit -r /path/to/root --skip sniffer
Сканирование на наличие вредоносных программ в пользовательских каталогах:
sudo chkrootkit -r /home/youruser
0 3 * * * /usr/sbin/chkrootkit -x 2>&1 | mail -s "Chkrootkit Reports" [email protected]
Для выполнения только отдельных тестов (например, только на наличие руткитов):
0 3 * * * /usr/sbin/chkrootkit -r /path/to/root --quiet 2>&1 | mail -s "Chkrootkit Rootkits Scan" [email protected]
ZeroDay | #безопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13🔥4❤1🤡1
This media is not supported in your browser
VIEW IN TELEGRAM
Схема шифрования HTTPS
В нем используются асимметричные и симметричные методы шифрования.
1️⃣ Клиент запрашивает HTTPS-соединение, и браузер инициирует процесс.
2️⃣ Сервер отправляет свой публичный ключ в ответ на запрос.
3️⃣ Браузер генерирует сеансовый ключ для дальнейшего шифрования данных.
4️⃣ Сеансовый ключ шифруется публичным ключом сервера и отправляется обратно на сервер.
5️⃣ Сервер расшифровывает сеансовый ключ с помощью своего приватного ключа.
6️⃣ После этого асимметричное шифрование завершается, и передача данных продолжается с помощью симметричного сеансового ключа, который быстрее и эффективнее.
ZeroDay | #шифрование
В нем используются асимметричные и симметричные методы шифрования.
ZeroDay | #шифрование
Please open Telegram to view this post
VIEW IN TELEGRAM
2🔥31👍11💘4❤3😁1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁37🤣6🔥3👏3
Потенциальные атаки на HTTPS и как от них защититься
HTTPS снижает риск перехвата трафика, но не устраняет все угрозы. Атаки, такие как POODLE, BEAST и DROWN, продолжают использовать уязвимости в протоколах безопасности, что позволяет злоумышленникам перехватывать данные.
⏺ Автор статьи рассказывает о различных атаках на HTTPS-протокол, подробно объясняя, как они работают и как от них защититься. Особое внимание уделяется проблемам устаревших версий протоколов, таких как SSL 3.0 и TLS 1.0, а также способам их безопасной настройки и обновления для минимизации рисков.
ZeroDay | #Статья
HTTPS снижает риск перехвата трафика, но не устраняет все угрозы. Атаки, такие как POODLE, BEAST и DROWN, продолжают использовать уязвимости в протоколах безопасности, что позволяет злоумышленникам перехватывать данные.
ZeroDay | #Статья
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23🔥5⚡3
This media is not supported in your browser
VIEW IN TELEGRAM
Разница между Honeypot и Deception
👋
⏺ Honeypot — это "ловушка", симулирующая уязвимую систему для привлечения хакеров. Он имитирует ценную инфраструктуру, чтобы злоумышленники взаимодействовали с ложными данными и службами. Honeypot работает пассивно, предоставляя ИБ-специалистам данные для анализа атак.
⏺ Deception — более комплексный подход, создающий фальшивую инфраструктуру, включая базы данных и устройства. Эта технология активно вмешивается в атаки, создавая реалистичную сеть ложных целей и интегрируясь с системами безопасности для блокировки угроз.
⏺ Основные различия:
• Масштаб: Honeypot — одиночная система, тогда как Deception охватывает всю сеть.
• Реакция: Honeypot наблюдает за атаками, Deception активно противодействует им.
• Интерактивность: Deception направляет действия хакеров и задерживает их, тогда как Honeypot лишь собирает данные.
ZeroDay | #безопасность
Приветствую в мире цифровой безопасности!Сегодня разберемся в различиях между Honeypot и Deception — двумя подходами к обману злоумышленников.• Масштаб: Honeypot — одиночная система, тогда как Deception охватывает всю сеть.
• Реакция: Honeypot наблюдает за атаками, Deception активно противодействует им.
• Интерактивность: Deception направляет действия хакеров и задерживает их, тогда как Honeypot лишь собирает данные.
ZeroDay | #безопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15👍8🤔5