👋 Всем привет, друзья.
Хотим поделиться новостью, что мы рисуем свои стикеры с нашим маскотом - Фредом.
Как вам? 🔥

DLP от базовых настроек до продвинутой аналитики

Системы предотвращения утечек данных или по простому — DLP — это по сути один из важнейших элементов информационной безопасности, но проблема в том, что часто их потенциал остается нераскрытым из-за стандартных настроек "из коробки".

⏺В этой статье автор делится лично своим опытом настройки DLP-систем. Здесь все: от базовых правил до продвинутой аналитики. Но что на практике мы узнаем? Ну вот к примеру, как с помощью лингвистического анализа и регулярных выражений уменьшить те же ложные срабатывания и попросту адаптировать нашу систему под реальные и тяжелые бизнес-процессы. В общем, полезно не только в теории, но и на практике!

ZeroDay | #Статья

Хочешь стать Linux-экспертом?

Linux++ - канал для тех, кто хочет профессионально освоить Linux и программирование!

- Уникальные гайды по администрированию Linux

- Продвинутые техники и рекомендации по разработке на языках C/C++

- Подробные статьи о внутреннем устройстве операционных систем

- Интересные факты и новости из мира технологий

🌐 Присоединяйся к нам и становись частью сообщества истинных гуру: Linux++

DNS-туннелирование

👋 Приветствую в мире цифровой безопасности!

Сегодня поговорим о DNS-туннелировании — одной из самых опасных техник, используемых плохими парнями.

⏺Чуть истории: в первый раз о DNS-туннелировании стало известно еще в далеком 1998 году. Тогда Оскар Пирсон сделал открытие и раскрыл, как можно использовать DNS для скрытых атак. А в 2004 на конференции Black Hat это уже стало полноценным инструментом для хакеров. С тех пор этот метод активно используется для передачи данных, скрываясь в обычном трафике.

⏺Как работает DNS-туннелирование? Представим: есть условный злоумышленник, и он маскирует свои не очень то законные действия под обычный легитимный DNS-трафик. Такой своеобразный шпион в костюме офицера полиции — выглядит неприметно, но на самом деле замышляет что-то плохое.

1️⃣Злоумышленник начинает с того, что использует DNS для скрытия своих действий. И так как DNS-трафик почти всегда разрешен и не проверяется, он в такой среде может спокойно действовать.
2️⃣Далее он туннелирует другие протоколы, например, HTTP, через DNS.
3️⃣Затем передаётся IP-трафик и украденная инфа.
4️⃣После этого украденные данные преобразуются в удобный для восприятия вид.
5️⃣И, в конце концов, установленные туннели используются для передачи вредоносного ПО.

ZeroDay | #dnstunneling

Виды COPM

👋 Приветствую в мире цифровой безопасности!

Самое время рассмотреть виды COPM и чем каждый из них выделяется.

⏺СОРМ-1: это у нас старая школа слежки
Первая версия, созданная для прослушки телефонных разговоров. Фиксирует, кто кому звонил, когда и как долго. СОРМ-1 ставят на сетевые устройства операторов, но сейчас её использование сводится на нет. Ушла эпоха…

⏺СОРМ-2: тут уже идет более современная система, которая позволяет спецслужбам отслеживать интернет-трафик. Установленное на сети провайдеров оборудование фиксирует все действия подозреваемых юзеров в сети. Уникальность этой системы в том, что она перехватывает и анализирует только некоторые сетевые пакеты, не трогая тупо всех подряд.

⏺СОРМ-3: а вот и вершина кибершпионажа. Это система, которая объединяет данные как с телефонов, так и с интернета, сохраняя их на несколько лет вперед. Она собирает сведения обо ВСЕХ пользователях, от логинов до IP-адресов, что позволяет спецслужбам построить полный профиль каждого. И кстати, именно СОРМ-3 может работать с глубоким анализом трафика, фильтруя ненужную информацию.

ZeroDay | #COPM

Мониторинг файловой системы с помощью Tripwire

👋 Приветствую в мире цифровой безопасности!

Расскажу о защите файловых систем с помощью Tripwire.

⏺Что делает Tripwire: это система обнаружения вторжений (HIDS), которая внимательно следит за состоянием твоей файловой системы и может при любом непонятном движе сразу дать сигнал о проблеме.

⏺Установка Tripwire:
для начала нужно подключить репозиторий EPEL. Это легко сделать с помощью следующих команд:

wget https://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-9.noarch.rpm
rpm -ivh epel-release-7-9.noarch.rpm

Теперь, когда EPEL на месте, можно установить Tripwire:

sudo yum install tripwire

⏺Создание файла ключей: после установки, Tripwire предложит тебе сгенерировать файлы ключей. Просто выполни команду:

tripwire-setup-keyfiles

Введи сложный пароль для защиты ключей и не забудь его – эти ключи станут вроде охранников, защищающих твою файловую систему от несанкционированных изменений.

⏺Настройка и инициализация: файл конфигурации программы находится по адресу /etc/tripwire/twpol.txt. Не переживай, каждый параметр снабжен комментарием, так что настройка будет проще, чем кажется. Когда всё готово, запусти инициализацию:

tripwire --init

Эта процедура займёт немного времени, особенно если на сервере много данных.

⏺Мониторинг изменений: в любой момент можно проверить систему на изменения командой:

tripwire --check

Если что-то изменилось, Tripwire сразу сообщит тебе, и ты сможешь оценить, являются ли эти изменения нормальными или это результат вторжения.

⏺Чтобы максимально обезопасить систему, не забываем защитить важные файлы конфигурации – twpol.txt и twcfg.txt. Может помочь повысить уровень общей безопасности.

И наконец, если захочешь глубже разобраться в возможностях Tripwire, команда справки всегда под рукой:

man tripwire

ZeroDay | #безопасность

📖 Недолго песенка играла, недолго скамер кайфовал: кража 243 млн. $ в BTC и OSINT

Кейс о том, как завышенная самооценка, понты и нелепые ошибки выдали цифровой след и реальное местоположение OSINT-методами скамеров укравших 243 млн. $ у кредитора Genesis...

- также просьба, если понравился материал, поставь реакцию на Хабре 😎

↘️ habr.com/ru/users/stein_osint/

— После прочтения статьи советую также обратить внимание на подборку инструментов для анализа криптовалют.

#OSINT #Crime #Crypto #Blockchain | 😈 @secur_researcher

SSH-MITM: незаметный перехват SSH / SFTP сессий

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Это и в правду мощное средство для атак типа man-in-the-middle, которое в реальном времени перехватывает SSH и SFTP сессии. И при всем этом он остается абсолютно невидимым.

⏺А ещё SSH-MITM не просто наблюдает за процессом. Он берет и записывает каждую команду, каждое действие, и каждый переданный байт, давая вам полнейшую картину происходящего. Для тех же пентестеров это настоящий клад!

ZeroDay | #Инструмент

Атака Kirin

👋 Приветствую в мире цифровой безопасности!

Сегодня у нас новый тип атаки на BGP, который дает напрячься.

⏺Kirin — это когда злоумышленники берут и разом анонсируют тонны IPv6-маршрутов с такой скоростью и объёмом, что маршрутизаторы не выдерживают.

⏺Почему это так страшно? Да проблема в том, что даже топовые маршрутизаторы могут не справиться с таким шквалом. Kirin — это не обычная DDoS-атака. Это BGP-шторм, способный обрушить сети огромных облачных компаний и провайдеров, оставив всех без доступа к сети и данным. Причём таблицы маршрутизации так забиты, что понять, что пошло не так, невероятно сложно.

⏺И вот что ещё плохо: для этого не нужны никакие мощные суперкомпьютеры. Kirin можно провернуть с помощью самых обычных виртуальных серверов, раскиданных по всему миру. Хакеры могут заплатить сущие копейки, чтобы вызвать настоящий хаос. К тому же, атакуя через легальные IXP, они делают это незаметно.

Начинаем переживать? 🎧

ZeroDay | #атака

Утилиты для создания DNS-туннеля

👋 Приветствую в мире цифровой безопасности!

Расскажу о нескольких инструментах для тестирования вашей системы на устойчивость.

⏺ Iodine — такой универсальный боец в DNS-туннелировании. Iodine строит SSH-туннели через DNS-запросы, обходя любые файрволлы и NAT-системы, как ловкий ниндзя. Он особенно хорош там, где пропускная способность сети минимальна, а другие методы уже бессильны. Да, настройка может показаться непростой, но когда увидите результат — поймёте, что время потрачено не зря!

⏺ OzymanDNS — лёгкий, но хитрый инструмент. Он написан на Perl и тоже позволяет строить SSH-туннели через DNS-запросы, но делает это проще и быстрее. Хотите быстро протестировать свою сеть на уязвимости, не углубляясь в сложную настройку? В таком случае, OzymanDNS — ваш вариант.

⏺ DNSCat2 — это уже тяжёлая артиллерия. Инструмент не просто туннелирует данные — он создаёт зашифрованные каналы управления (C2), позволяя удалённо запускать команды, загружать и скачивать файлы, и даже взаимодействовать с cmd/powershell целевой системы. При этом все ваши операции будут скрыты за плотной завесой шифрования, что делает DNSCat2 идеальным для проведения глубоких тестов на проникновение.

ZeroDay | #dnstunneling

Настройка белого IP-адреса на сетевом интерфейсе виртуальной машины

👋 Приветствую в мире цифровой безопасности!

Давай расскажу, как можно несложно настроить белый IP-адрес на сетевом интерфейсе виртуальной машины и обеспечить её мониторинг и безопасность.

⏺Подготовка стенда: стартуем с создания нашей виртуальной лаборатории. Это можно сделать на разных ресурсах, а использовать можно ru пулы и прям минимальные доп. настройки.

⏺Сканирование портов: Теперь нам пора понять, какие порты открыты и уязвимы.

Устанавливаем сетевой сканер nmap на одном из серверов для анализа второго:

$ sudo apt install nmap -y

Выполняем полное сканирование всех портов на сервере:

$ sudo nmap -p 0-65535 <ip_srv>

В результате получаем информацию о состоянии портов:

PORT   STATE  SERVICE
22/tcp open   ssh
25/tcp filtered smtp

Как видим, наружу открыт порт 22 (SSH), а порт 25 фильтруется. Это значит, что наш сервер уже частично защищён.

⏺Установка Nginx:
сейчас добавим веб-сервер и посмотрим, как это изменит ситуацию.

На сервере с белым IP установим Nginx:

$ sudo apt install nginx

Повторяем сканирование:

$ sudo nmap -p 0-65535 <ip_srv>
Теперь видим:

PORT   STATE  SERVICE
22/tcp open   ssh
80/tcp open   http

Порт 80 (HTTP) открыт, и мы можем взаимодействовать с веб-сервисами.

⏺Мониторинг сетевой активности:
Хотите следить за трафиком? Для этого используем tcpdump:

$ sudo tcpdump -pni eth0 inbound

ZeroDay | #безопасность