🌩 Attacking AWS.

• В этой статье описаны актуальные методы атак на AWS, которые используют злоумышленники.

• Insufficient Security Configuration;
• Insecure Data storage;
• Insecure Deployment and Configuration Management;
• Backdoor Lambda Function Through Resource-Based Policy;
• Overwrite Lambda Function Code;
• Create an IAM Roles Anywhere trust anchor;
• Exfiltrate RDS Snapshot by Sharing;
• Backdoor an S3 Bucket via its Bucket Policy;
• Exfiltrate an AMI by Sharing It;
• Exfiltrate EBS Snapshot by Sharing It;
• Execute Discovery Commands on an EC2 Instance;
• Download EC2 Instance User Data;
• Execute Commands on EC2 Instance via User Data;
• Noncompliant Code;
• Compliant Code;
• Retrieve EC2 Password Data;
• Noncompliant Code;
• Compliant Code;
• Insecure Deployment and Configuration Management;
• Local Filesystem;
• AWS Security Token;
• AWS Security Token Permission enumeration;
• ec2:CreateSnapshot and ec2:DescribeVolumes;
• Amazon Cognito;
• References.

#devsecops #aws

👩‍💻 Oracle Linux Monitoring and Logging.

• Оказывается, что у Oracle есть плейлист с короткими видео для начинающих, которые освещают различные утилиты для мониторинга информации о состоянии системы (vmstat, iostat, rsyslog ну и т.д.):

• System Logging with rsyslog on Oracle Linux;
• System Logging with logwatch on Oracle Linux;
• System Logging with journald on Oracle Linux;
• Using the sosreport Utility on Oracle Linux;
• Using the iostat Utility on Oracle Linux;
• Using the mpstat Utility on Oracle Linux;
• Using the vmstat Utility on Oracle Linux;
• Using the netstat Utility on Oracle Linux;
• Using the top Utility on Oracle Linux;
• Use Gprofng for Performance Profiling Applications;
• Linux Auditing System on Oracle Linux.

#Видео #Linux #Мониторинг

⚙️ Awesome PCAP tools.

• Объемный репозиторий, который содержит список инструментов для обработки файлов pcap (Packet Capture Data) при исследовании сетевого трафика:

• Linux commands;
• Traffic Capture;
• Traffic Analysis/Inspection;
• DNS Utilities;
• File Extraction;
• Related Projects.

➡️ https://github.com/caesar0301/awesome-pcaptools

#tools

👨‍💻 Инфраструктурный пентест по шагам: сканирование и получение доступа.

• Эта статья целиком посвящена сканированию сетевой инфраструктуры — второму этапу пентеста, который следует после разведки. Если при разведке мы ищем IP-адреса и различные точки входа в инфраструктуру, то при сканировании — внимательно исследуем все найденное.

➡️ https://habr.com/ru/post/799529/

#Пентест

Для обмана жителей Кировской области преступники с помощью нейросетей и технологии «дипфейк» используют образы сотрудников силовых структур и известных личностей.

Жительница Зуевки лишилась 300 тысяч рублей: мошенники убедили ее в необходимости перевести сбережения на «безопасный счет». Инструкции потерпевшая получала в ходе общения в WhatsApp, преступники представлялись сотрудниками сервиса «Госуслуги», Центрального банка. Один из собеседников позвонил по видео: символы государственной власти в его кабинете, висящие на стене портреты не оставили женщине сомнений, что она общается с настоящим «сотрудником ФСБ».

В ряде случаев мошенники могут издеваться над своими жертвами. Кировчанин поделился с полицейскими скриншотом такого видеообщения – преступник под видом сотрудника силового ведомства для видеозвонка использовал лицо актера Роберта Дауни-младшего.

• И смех и грех... Очередной обман с помощью нейросетей, да еще и с использованием лица Роберта Дауни-младшего )))

➡️ Источник: https://t.iss.one/mvd_43/3497

#Новости

👨‍💻 На соревновании Pwn2Own 2024 продемонстрированы взломы Ubuntu, Firefox, Chrome, Docker и VirtualBox.

• Подведены итоги двух дней соревнований Pwn2Own 2024, ежегодно проводимых в рамках конференции CanSecWest в Ванкувере. Рабочие техники эксплуатации ранее неизвестных уязвимостей были разработаны для Ubuntu Desktop, Windows 11, #Docker, Oracle VirtualBox, VMWare Workstation, Adobe Reader, Firefox, Chrome, Edge и автомобиля Tesla. Всего были продемонстрированы 23 успешные атаки, эксплуатирующие 29 ранее неизвестных уязвимостей.

• При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,132,500 долларов США. За взлом Tesla дополнительно вручён автомобиль Tesla Model 3. Размер выплаченных вознаграждений за три последние соревнования Pwn2Own составил 3,494,750 долларов. Команда, набравшая наибольшее число очков, получила 202 тысячи долларов.

➡️ Более полная информация и описание атак доступно тут: https://www.opennet.ru/

#ИБ #Новости

Доброе утро...🫠

#Понедельник

🔝 От юзера до Бога. Методы повышения привилегий в Windows.

• Тема повышения привилегий далеко не нова, но тем не менее всегда актуальна. Стоит понимать, что универсального рецепта в этой теме не существует, однако есть множество вариантов которые следует применять в зависимости от ситуации.

• Поделюсь с Вами полезными ресурсами, где можно найти очень много полезной информации и прокачать свои знания по данной теме:

- adsecurity — отличный ресурс с полезной информацией. Можно найти много материала по повышению привилегий.
- book.hacktricks — чеклист по повышению привилегий. Тонна уникальной информации.
- Windows - Privilege Escalation.md — шпаргалка по сегодняшней теме.

#Пентест #ИБ

👩‍💻 Бесплатная книга Pro Git.

• Git — это одна из систем контроля версий проекта. Она позволяет фиксировать все изменения файлов выбранной директории (проекта) и при желании откатить эти изменения до выбранной версии. Это не единственная система контроля версий, но одна из самых популярных.

• Сегодня поделюсь бесплатной книгой на русском языке, которая содержит в себе 10 глав и несколько приложений:

- Введение;
- Основы Git;
- Ветвление в Git;
- Git на сервере;
- Распределённый Git;
- GitHub;
- Инструменты Git;
- Настройка Git;
- Git и другие системы контроля версий;
- Git изнутри.

- Приложение A: Git в других окружениях;
- Приложение B: Встраивание Git в ваши приложения;
- Приложение C: Команды Git.

➡️ Скачать в удобном формате или читать онлайн: https://git-scm.com/book/ru/v2

#Git

👩‍💻 Attacking Docker.

• Статья включает в себя описание актуальных методов атак на Docker, описание различных уязвимостей и неправильных конфигураций, слабых мест в различных компонентах и другую полезную информацию:

- Privileged Container;
- Exposed Container APIs;
- Container Escape;
- Container Image Tampering;
- Insecure Container Configuration;
- Denial-of-Service (DoS);
- Kernel Vulnerabilities;
- Shared Kernel Exploitation;
- Insecure Container Orchestration;
- Insecure Container Images;
- References.

#Docker

👩‍💻 Базовый курс по Git.

• Git: Урок 0. Подготовка и Введение;
• Git: Урок 1. Первый коммит;
• Git: Урок 2. Проверка состояния;
• Git: Урок 3. Индексация файлов;
• Git: Урок 4. История коммитов;
• Git: Урок 5. Git checkout - Назад в будущее;
• Git: Урок 6. Отмена индексированных файлов;
• Git: Урок 7. Revert - Отмена коммита;
• Git: Урок 8. Решение простого конфликта;
• Git: Урок 9. Ветки и их применение;
• Git: Урок 10. Слияние веток и решение конфликтов слияния;
• Git: Урок 11. Rebase vs. Merge - Что такое git rebase?
• Git: Урок 12. Удаленный репозиторий и git clone;
• Git: Урок 13. Загружаем изменения на удаленный репозиторий;
• Git: Урок 14. Обновляем код манерой merge и rebase;
• Git: Урок 15. Что такое Origin и для чего нужен stash?

#Git

👨‍💻 DevOps and IT Cheat-Sheet Collection.

• Коллекция полезных шпаргалок для DevOps и IT специалистов. Содержание следующее:

- #Nginx;
- #Docker;
- #Ansible;
- #Python;
- Go (Golang);
- #Git;
- Regular Expression (Regex);
- #PowerShell;
- #VIM;
- #Jenkins;
- Continuous Integration and Continuous Delivery (CI/CD);
- #Kubernetes;
- #Linux;
- Redis;
- Slack;
- Puppet;
- Google Cloud Developer;
- PostgreSQL;
- Ajax;
- Amazon Web Services (AWS).

➡️ https://github.com/sk3pp3r/cheat-sheet-pdf

#CheatSheet #DevOps

🛩 Шпионские страсти: приспособление ЦРУ 70-х годов, которое так и не взлетело.

• В 1970-е годы американская наука и техника, во многом стараниями технарей Кремниевой долины, совершила прорыв в миниатюризации электронных систем. Естественно, в ЦРУ этому очень обрадовались и попытались использовать это на практике. Именно тогда у одного из заместителей главы отдела исследований и разработок ЦРУ, возникла идея использовать робота-насекомое: вполне нормальная и реализуемая в наши дни, но амбициозная для 70-х.

• Почти получилось. Устройство поначалу хотели сделать в виде пчелы или шмеля, но не справились с их сложной аэродинамикой и придумали более подходящее устройство в виде стрекозы, которое могло преодолеть расстояние до 200 метров. Задачей устройства было доставить к точке подслушивания 0,2 грамма ретрорефлекторных шариков — служившими глазами стрекозы — для того, чтобы дальше работала группа прослушки с лазерной системой акустической разведки.

• Правда, заставить лететь стрекозу — оказалось нелёгкой задачей. Её решением было использование крошечного гидродинамического осциллятора, работающего на выделяемом кристаллами нитрата лития газе. Когда испытания показали, что прототип не может нести требуемую полезную нагрузку в 0,2 г, конструкторы добавили дополнительную тягу, отводя выхлопные газы назад: подобно реактивному двигателю.

• Попутно оказалось, что в первой половине 70-х всунуть хотя бы элементарную систему управления в эту штуку невозможно — но и эта проблема была решена. Специальный лазер, направленный на робострекозу, должен был нагревать металлическую полоску и «включать» тягу. Второй лазер по схожему принципу работал рулём направления.

• На программу потратили около порядка 2.4 миллионов по современному курсу и отчитались в 1974-м о её успешном завершении… только применять на практике устройство оказалось невозможно. Даже слабый ветер вне идеальных условий лаборатории или официальной приёмки в тщательно подобранный день приводил к неуправляемости полёта устройства. За что образец в конечном счёте оказался в музее...

➡ Наглядно: https://youtu.be/wAHw9Oonr84

#Разное