Учим английский в привычной форме 😁

ZeroDay | #мем

Потенциальные атаки на HTTPS и как от них защититься

HTTPS снижает риск перехвата трафика, но не устраняет все угрозы. Атаки, такие как POODLE, BEAST и DROWN, продолжают использовать уязвимости в протоколах безопасности, что позволяет злоумышленникам перехватывать данные.

⏺Автор статьи рассказывает о различных атаках на HTTPS-протокол, подробно объясняя, как они работают и как от них защититься. Особое внимание уделяется проблемам устаревших версий протоколов, таких как SSL 3.0 и TLS 1.0, а также способам их безопасной настройки и обновления для минимизации рисков.

ZeroDay | #Статья

Разница между Honeypot и Deception

👋 Приветствую в мире цифровой безопасности!

Сегодня разберемся в различиях между Honeypot и Deception — двумя подходами к обману злоумышленников.

⏺Honeypot — это "ловушка", симулирующая уязвимую систему для привлечения хакеров. Он имитирует ценную инфраструктуру, чтобы злоумышленники взаимодействовали с ложными данными и службами. Honeypot работает пассивно, предоставляя ИБ-специалистам данные для анализа атак.

⏺Deception — более комплексный подход, создающий фальшивую инфраструктуру, включая базы данных и устройства. Эта технология активно вмешивается в атаки, создавая реалистичную сеть ложных целей и интегрируясь с системами безопасности для блокировки угроз.

⏺Основные различия:

• Масштаб: Honeypot — одиночная система, тогда как Deception охватывает всю сеть.
• Реакция: Honeypot наблюдает за атаками, Deception активно противодействует им.
• Интерактивность: Deception направляет действия хакеров и задерживает их, тогда как Honeypot лишь собирает данные.

ZeroDay | #безопасность

Подборка deception инструментов

👋 Приветствую в мире цифровой безопасности!

Поговорим о deception инструментах.

⏺ Attivo ThreatDefend — платформа от SentinelOne для развертывания поддельных активов, активации песочницы для анализа вредоносного ПО и автоматического выполнения действий, таких как карантин системы и отзыв учетных данных.

⏺ Illusive Shadow — безагентная платформа, создающая сложные обманные конечные точки и автоматически масштабирующая и обновляющая приманки в соответствии с изменениями в сети.

⏺ CounterCraft Cyber Deception — платформа, использующая ActiveLures для привлечения злоумышленников к обманным активам и собирающая данные о их действиях в реальном времени. Интегрируется с системами безопасности, такими как SIEM.

⏺ Fidelis Deception — автоматизирует развертывание обманных активов, адаптируется к изменениям сети и поддерживает IoT и OT устройства. Включает фальшивых пользователей для повышения убедительности приманок.

⏺ TrapX DeceptionGrid — платформа от CommVault, развертывающая тысячи обманных активов, включая ловушки FullOS и токены. Обеспечивает защиту контейнерных сред и собирает данные для улучшения реагирования на инциденты.

ZeroDay | #Инструмент

Червь Samy: хакер, который изменил интернет навсегда

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу о том, как червь Samy изменил Интернет и стал одной из самых известных атак в истории.

⏺В октябре 2005 года 19-летний хакер Сэми Камка выпустил червя на MySpace, который мгновенно захватил миллионы профилей за считаные часы.

⏺Камка хотел впечатлить друзей-технарей. Он создал скрипт, который заставлял всех, кто посещал его страницу, автоматически добавлять его в друзья, и показывал надпись: «Мой герой — Сэми».

⏺ Червь начал самокопироваться, заражая все больше пользователей. В результате за короткий промежуток времени у Сэми оказалось больше миллиона запросов в друзья, а MySpace пришлось отключить сайт для ликвидации вируса.

⏺Хотя червь не нанёс материального ущерба, он выявил уязвимости соцсетей и показал, как быстро распространяется вредоносный код.

ZeroDay | #разное

Защита Linux-систем с помощью Auditd

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу, как настроить и использовать Auditd для мониторинга активности на Linux-системах.

⏺Установка Auditd: На Debian-подобных системах:

sudo apt install auditd

Для CentOS:

sudo yum install audit

⏺Основная настройка: После установки откройте основной конфигурационный файл /etc/audit/auditd.conf и настройте параметры журнала:

• log_file: указывает путь к файлу журнала.
• log_format: задает формат записи (обычно ENRICHED).

⏺Создание правил: Правила задаются в файле /etc/audit/rules.d/audit.rules. Примеры:

Для мониторинга изменений в каталоге /etc:

-w /etc -p wa -k etc_changes

Для отслеживания успешных и неудачных попыток входа:

-w /var/log/secure -p r -k auth_logs

⏺Просмотр и анализ логов: Для просмотра логов используйте команду:

sudo ausearch -k etc_changes

Анализируйте события с помощью auditreport:

sudo aureport -x

⏺Автоматизация мониторинга: Установите cron-задание для регулярного анализа логов или отчётов:

0 1 * * * /usr/sbin/aureport -x > /var/log/audit/daily_report.log

ZeroDay | #безопасность

Анализ безопасности приложений, использующих GraphQL API

GraphQL API стал популярным благодаря своей гибкости и эффективности в работе с данными. Однако его использование также несет риски для безопасности приложений, что требует особого внимания со стороны специалистов по ИБ. Понимание уязвимостей и методов их предотвращения важно для защиты данных при работе с GraphQL.

⏺В статье автор рассказывает о том, как анализировать безопасность приложений на GraphQL. Описаны встроенные функции, инструменты тестирования, такие как Burp Scanner и graphw00f, и методы разведки конечных точек для выявления уязвимостей и обхода защитных механизмов.

ZeroDay | #Статья

ILSpy: декомпилятор .NET с открытым исходным кодом

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Декомпиляция .NET-сборок: ILSpy позволяет восстанавливать исходный код из сборок .NET, что делает его идеальным инструментом для анализа чужих приложений или поиска уязвимостей в собственных программах. Это особенно полезно при работе с закрытым исходным кодом

⏺Открытый исходный код: ILSpy — проект с открытым исходным кодом, что дает возможность не только пользоваться инструментом бесплатно, но и модифицировать его под свои нужды

⏺Поддержка плагинов: Возможности ILSpy можно расширить с помощью плагинов. Это позволяет интегрировать новые функции, такие как экспорт проектов или поддержка дополнительных языков программирования.

ZeroDay | #Инструмент

Метаморфный вирус

👋 Приветствую в мире цифровой безопасности!

Сегодня обсудим метаморфный вирус и его уникальные особенности, которые делают его опасным для систем

⏺Метаморфный вирус — это вредоносное ПО, которое при каждой активации полностью изменяет свой код, а не просто шифрует его, как делают полиморфные вирусы. Эти изменения включают переписывание структуры кода, что затрудняет его идентификацию антивирусами, которые ищут фиксированные сигнатуры.

⏺Один из известных метаморфных вирусов — ZMist, который использует сложные техники мутации, чтобы создавать уникальные копии на низком уровне. Это усложняет их удаление и требует от специалистов по кибербезопасности более сложных подходов к защите, таких как поведенческий анализ и мониторинг аномалий.

ZeroDay | #атака

Полиморфный vs. Метаморфный вирус: в чем разница?

👋 Приветствую в мире цифровой безопасности!

Сегодня поговорим о разнице между полиморфными и метаморфными вирусами, многие просили объяснить разницу после недавнего опроса.

⏺Коротко о каждом:

— Полиморфный вирус: Меняет внешний вид кода при каждом запуске, шифруя его, но функциональность остаётся неизменной. Цель — обход антивирусов, основанных на сигнатурах.

— Метаморфный вирус: Полностью переписывает свой код, сохраняя прежнюю функциональность. Каждая его копия уникальна, что затрудняет его обнаружение.

⏺Главное отличие: Полиморфные вирусы изменяют лишь свою маскировку (шифровка кода), что позволяет им избегать сигнатурного анализа. Метаморфные вирусы же изменяют свою структуру на более глубоком уровне, что делает их ещё более неуловимыми, так как стандартные антивирусы не могут опираться на статические признаки для их обнаружения.

⏺Что опаснее? Хотя оба типа вирусов являются продвинутыми, метаморфные вирусы представляют более серьёзную угрозу. Их способность к полному изменению кода делает их практически невидимыми для антивирусного ПО, в то время как полиморфные вирусы можно обнаружить с помощью продвинутых методов анализа поведения.

ZeroDay | #вирус

Что такое DPI?

👋 Приветствую в мире цифровой безопасности!

Сегодня обсудим, что такое технология DPI и как она работает при защите сетей.

⏺Что такое DPI: Deep Packet Inspection (DPI) — это продвинутый метод анализа сетевого трафика, который позволяет выявлять, классифицировать и управлять данными, проходящими через сеть.

⏺В отличие от традиционной фильтрации пакетов, которая проверяет только заголовки, DPI анализирует содержимое пакетов, что позволяет обнаруживать скрытые угрозы и управлять сетевым трафиком более эффективно.

⏺Как работает DPI: DPI отслеживает и анализирует каждый пакет данных, проходящий через заданную точку в сети. Он может идентифицировать приложения и протоколы, а также применять правила на основе содержимого пакетов. Например, DPI может блокировать вредоносные запросы, определять приоритеты трафика или ограничивать доступ к определенным сервисам.

Делать продолжение?

ZeroDay | #DPI

Боковое перемещение и повышение привилегий: ключевые шаги инфраструктурного пентеста

Когда пентестеры проходят этап сканирования и разведки, начинается интересное — боковое перемещение по сети и повышение привилегий. Вы спросите: что же дает нам этот этап? Все просто - он позволяет получить доступ к более важным и защищенным ресурсам, что и является целью большинства атак.

⏺В статье автор рассказывает, как пентестеры анализируют сеть на наличие слабых мест, начиная с изучения ACL и DNS, и заканчивая получением информации о парольных политиках. Не забываем и о практических инструментах, как например, PowerView и Bloodhound - они тоже не остаются без внимания.

ZeroDay | #Статья

Лучшие DPI инструменты

👋 Приветствую в мире цифровой безопасности!

Увидев активность под постом о DPI, решил, что продолжению быть! Расскажу сегодня о лучших DPI инструментах.

⏺ Paessler PRTG — максимально универсальное устройство. С его помощью можно следить просто за всем: от серверов до облачных сервисов или виртуальных сред. Плюс ко всему, PRTG, подобно хорошему врачу, выявляет проблемы еще на самых ранних стадиях. По итогу мы получаем: оповещения, отчёты, полный контроль за инфраструктурой - и все в одном месте!

⏺ nDPI — мощный движок глубокой инспекции пакетов от nTop, который может распознавать более 500 протоколов, словно сеть проверяется под микроскопом. Он помогает нам выявлять вообще все, что проходит через сеть. Но не забываем, сам nDPI — это библиотека, и для получения реальной пользы и эффекта её нужно использовать в связке с такими инструментами, как nTopng и nProbe.

⏺ Netify DPI — продвинутый анализатор трафика, который не только мониторит потоки данных, но и реально глубоко изучает их поведение. Он позволяет и угрозы обнаруживать в реальном времени, и работу сети улучшать и безопасность поддерживать, и при этом обеспечивая максимально возможную производительность. Чем не подарок?

ZeroDay | #Инструмент

Схема зеркалирования трафика с DPI

Разберем схему по этапам

1️⃣Клиенты — все вроде итак понятно. Обычные юзеры сети, которые через свои устройства подключаются к интернету. Но сначала их трафик проходит через концентратор.
2️⃣ Концентратор собирает трафик, будто фильтр, отправляя его дальше по маршруту.
3️⃣ BRAS — это как контролер для трафика, который проводит проверку и аутентификацию клиентов перед тем, как пустить их к интернету.
4️⃣ Сплиттер — своего рода разветвитель, который делит трафик на два потока: один поток идёт напрямую через NAT-маршрутизатор в интернет, а другой — зеркалируется для анализа.
5️⃣ СКАТ DPI — гигачад и анализатор трафика, который получает копию всего, что проходит через сеть. Все проверит и отфильтрует.
6️⃣ NAT / маршрутизатор — он в это время преобразует частные IP-адреса в публичные, чтобы пользователи смогли взаимодействовать с внешней сетью.

ZeroDay | #DPI

COPM: что это?

👋 Приветствую в мире цифровой безопасности!

Расскажу о том, что такое COPM, как работает и какое бывает.

⏺Что же такое СОРМ: СОРМ, то есть система оперативно-розыскных мероприятий, а если вообще по простому — своего рода кибердетектив или скрытая сеть, которая может подслушивать различные передачи.

⏺СОРМ контролируется ФСБ и позволяет отслеживать телефонные звонки, интернет-трафик и всякую другую инфу, чтобы предотвращать и расследовать потенциальные угрозы. Но ему нет дела до ваших личных переписок. Его задача — ловить реальных подозреваемых и предотвращать возможные угрозы.

ZeroDay | #COPM

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых подкастов по ИБ и не только.

⏺ OSINT Mindset — тут все об OSINT: методы, инструменты и философия открытых источников.
⏺ Смени пароль! — целое экспертное шоу от «Лаборатории Касперского» о расследованиях киберпреступлений и актуальных угрозах.
⏺ Информационная безопасность — подкаст, как книга на ночь, только вместо сказок вам зачитают статьи с ITSec.ru.
⏺ Кверти — в эфире специалист по кибербезопасности и параноик. Они обсуждают вопросы безопасности и объясняют, как защититься от интернет-мошенников.
⏺ Security Vision — шоу про ИБ. Здесь можно найти обзоры защитных решений и публикаций MITRE.

ZeroDay | #Подборка