• Эмуляторы противника создают сценарий для проверки определенных аспектов тактики, методов и процедур противника (TTP). Затем красная команда следует сценарию, работая в целевой сети, чтобы проверить, как защита может работать против эмулируемого противника.
• Atomic Red Team можно использовать для тестирования отдельных методов и процедур, чтобы убедиться, что возможности поведенческой аналитики и мониторинга работают должным образом. В репозитории Atomic Red Team есть множество тестов, каждый из которых имеет каталог, посвященный тестируемой технике ATT&CK.
• Это, пожалуй, самый популярный проект, связанный с матрицей ATT&CK. Red Canary создали библиотеку простых тестов, сопоставленных с MITRE ATT&CK Framework. Это небольшие, легко переносимые тесты для обнаружения атак, каждый тест предназначен для сопоставления с определенной тактикой. Тесты определены в структурированном формате с расчетом на их применение средами автоматизации, что дает Blue Team эффективный способ немедленно начать тестирование своей защиты против широкого спектра атак.
#Пентест #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19
• Исследователь под псевдонимом es3n1n зареверсил службу Windows Security Center и благодаря этому нашел способ отключить Microsoft Defender на устройствах Windows. А еще разработчик создал инструмент под названием Defendnot, который использует данную уязвимость и позволяет отключать Defender, не прибегая к удалению или вмешательству в системные службы.
• Суть проста: у Windows Security Center (WSC) есть недокументированный API, благодаря чему можно зарегистрировать в системе поддельный антивирусный продукт, который может пройти все проверки Windows. После этого Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов при запуске нескольких приложений безопасности на одном устройстве.
• В общем и целом, тулза Defendnot злоупотребляет этим API, выполняет все необходимые действия для отключения Defender и создает задачу в "планировщике задач", что позволяет инструменту запускаться при каждом запуске Windows.
• Хотя Defendnot считается исследовательским проектом, инструмент демонстрирует, как можно манипулировать надёжными системными функциями для отключения систем безопасности. В настоящее время Microsoft Defender детектит и помещает Defendnot в карантин как «
➡️ В блоге автора есть хорошая статья по разработке данного инструмента и по реверсу службы: https://blog.es3n1n.eu
➡️ GitHub: https://github.com/es3n1n/defendnot
#ИБ
• Суть проста: у Windows Security Center (WSC) есть недокументированный API, благодаря чему можно зарегистрировать в системе поддельный антивирусный продукт, который может пройти все проверки Windows. После этого Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов при запуске нескольких приложений безопасности на одном устройстве.
• В общем и целом, тулза Defendnot злоупотребляет этим API, выполняет все необходимые действия для отключения Defender и создает задачу в "планировщике задач", что позволяет инструменту запускаться при каждом запуске Windows.
• Хотя Defendnot считается исследовательским проектом, инструмент демонстрирует, как можно манипулировать надёжными системными функциями для отключения систем безопасности. В настоящее время Microsoft Defender детектит и помещает Defendnot в карантин как «
Win32/Sabsik.FL.!ml;».#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍62
• Автор этой статьи описывает методы по поиску секретов в git-репозиториях. Дело в том, что если вы удаляете секреты из репо, данные все равно можно будет восстановить через
➡️ https://medium.com/@sharon.brizinov/ [VPN].
• В дополнение⬇️
• Инструменты grep.app и code-search — предназначены для поиска по тексту и коду, с удобным интерфейсом для поиска в публичных репо. Эти тулзы будут полезны не только разработчикам, но и помогут в защите от утечек данных!Основные возможности следующие:
➡ Поиск по публичным репозиториям;
➡ Поддержка регулярных выражений;
➡ Фильтрация по языкам программирования;
➡ Поиск с учетом регистра;
➡ Оптимизация для быстрого поиска.
➡ https://grep.app
➡ https://github.com/features/code-search
#ИБ
.git/objects. Если верить автору, то он смог автоматизировать процесс поиска и найти различные токены, учетные данные и ключи API, что принесло ему около $64 тыс.• В дополнение
• Инструменты grep.app и code-search — предназначены для поиска по тексту и коду, с удобным интерфейсом для поиска в публичных репо. Эти тулзы будут полезны не только разработчикам, но и помогут в защите от утечек данных!Основные возможности следующие:
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19
• На хабре опубликован перевод интересной статьи, где автор описывает процесс
• Эта находка наглядно показывает, что аппаратная и веб-безопасность — две одинаково важные составляющие защиты умных устройств. Отыскав уязвимости в каждой из них, злоумышленник может достичь по-настоящему пугающих результатов.
#ИБ #IoT
Please open Telegram to view this post
VIEW IN TELEGRAM
👍26
• Поговорим немного про фишинг, мошенничество и социальную инженерию. Всё чаще замечаю, что идёт большая волна мошенничеств с крупными ритейлерами, особенно теми, кто торгует электроникой. Скамеры копируют сайт с бытовой техникой до деталей и рассылают спам-письма с приглашением купить электронику по сниженным ценам.
• Скажете, схема далеко не новая, но есть несколько важных деталей. Главное, сайты вешаются не на сами домены, а на поддомены. Смысл в том, что у крупняка есть подразделения brand protection и если вешать свой скам на домен, похожий на название целевого сайта, то его будет легко найти. А по поддоменам нормального массового поиска не существует. Я искал =))
• Остается только проверять сайты точечно. Для этого подойдёт инструмент subdomain finder от osint.sh, или же поиск поддоменов от Pentest Tools. Есть и другие варианты, но эти - одни из самых, популярных.
• Есть ещё вариант. Называется Typesquatting Finder. Он сделает перебор всех вариаций вашего сайта и пропингует более 5 тысяч различных вариантов. И там да, есть поиск поддоменов. Работает не фонтан, но работает. Лучше, чем ничего. Так что пользуйтесь на здоровье! Всем безопасности!
#ИБ
• Скажете, схема далеко не новая, но есть несколько важных деталей. Главное, сайты вешаются не на сами домены, а на поддомены. Смысл в том, что у крупняка есть подразделения brand protection и если вешать свой скам на домен, похожий на название целевого сайта, то его будет легко найти. А по поддоменам нормального массового поиска не существует. Я искал =))
• Остается только проверять сайты точечно. Для этого подойдёт инструмент subdomain finder от osint.sh, или же поиск поддоменов от Pentest Tools. Есть и другие варианты, но эти - одни из самых, популярных.
• Есть ещё вариант. Называется Typesquatting Finder. Он сделает перебор всех вариаций вашего сайта и пропингует более 5 тысяч различных вариантов. И там да, есть поиск поддоменов. Работает не фонтан, но работает. Лучше, чем ничего. Так что пользуйтесь на здоровье! Всем безопасности!
#ИБ
👍35
• Атаки на контейнеры случаются не так часто, как на другие системы, но это не делает их менее опасными. В этой статье описана интересная схема, когда контейнеризованная среда была скомпрометирована комбинацией из ранее известным майнером и новым вредоносным ПО, что позволило создать новые зараженные контейнеры и инфицировать уже существующие. Оба вредоносных компонента распространяются без использования командного сервера, что ставит под удар любую сеть с контейнеризованной инфраструктурой и небезопасно открытым для интернета API Docker.
• К слову, согласно анализу Shodan, в апреле 2025 года по всему миру было открыто для доступа из интернета 520 API Docker, опубликованных на порте 2375. Эта информация дает нам представление о разрушительном потенциале данной угрозы и подчеркивает необходимость тщательного мониторинга контейнеров и их надежной защиты.
#ИБ #Docker
Please open Telegram to view this post
VIEW IN TELEGRAM
👍26
• Если помните, то я ранее делился с вами интересной подборкой, которая содержит в себе огромное кол-во материала для подготовки к собеседованию на должность DevOps и системных администраторов. Так вот, я нашел очень крутые лайв интервью на одном из YT-каналов и посмотрел их с огромным удовольствием. Сразу отмечу, что контент весьма необычный, но там вы найдете кучу полезной информации и можете самостоятельно попробовать ответить на вопросы.
➡ Опытный сисадмин захотел в DevOps? / Техсобес на позицию Junior DevOps Engineer.
➡ Начинающий Linux-админ стал Девопсом? / Техсобес на позицию Junior DevOps Engineer.
➡ Парень стал девопсом в 17 лет?? / Техсобес на позицию Junior DevOps Engineer.
➡ Kubernetes-админ знает всё?? / Техсобес на позицию Middle DevOps Engineer.
➡ Парень к 16-ти годам изучил Linux и DevOps и занимается пентестом? / Техсобес Junior DevOps Engineer.
• В качестве дополнения⬇️
➡ devops-interview - репозиторий, который содержит в себе огромное кол-во вопросов и ответов для подготовки к собеседованию на должность DevOps и системных администраторов.
➡ Easyoffer.ru - на этом сайте собрано более 1100 вопросов для подготовки к собеседованиям на позицию DevOps.
➡ A collection of Linux Sysadmin Test Questions and Answers - этот проект содержит 284 вопроса и ответа, которые можно использовать для проверки собственных знаний или во время собеседования на должность администратора Linux (*nix). Очень удобно, что вопросы разбиты на категории (от простых, к сложным).
➡ Список вопросов по наступальной безопасности - данный репозиторий содержит в себе компиляцию вопросов по наступательной безопасности (offensive security). Используя этот материал, можно прикинуть, какие области знаний Вами не покрыты для самостоятельного обучения.
➡ Red Team Interview Questions - тривиальные вопросы, к которым нужно подготовится перед прохождением собеседования на позицию Red Team.
#DevOps #ИБ #Собеседование
• В качестве дополнения
#DevOps #ИБ #Собеседование
Please open Telegram to view this post
VIEW IN TELEGRAM
👍22
• Этот инструмент изначально был разработан с целью отслеживания исчезновения звезд на Github, т.к. IT-хостинг не предоставлет информацию по движению снятых звезд даже создателю репозитория, но спустя время функционал утилиты разросся до детектирования фейковых звезд с различной статистикой! И вот как раз этот функционал нас и интересует, так как помогает специалистам ИБ анализировать и находить репозитории, на которые накрутили статистику. Такие проекты нужно тщательно проверять перед использованием и быть максимально осторожным.
• Преимущества софта: работает из коробки на любых OS (в т.ч. и в Android/Termux) и не требует чтения мануалов и тех.скиллов. А еще есть описание на русском языке:
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍33
• На хабре была опубликована хорошая статья, где автор рассказывает про семь инструментов для сканирования уязвимостей, которыми сам регулярно пользуется. Каждый из сканеров хорош по-своему: кто-то вылавливает баги в Python-коде, а кто-то проверяет контейнеры, кто-то смотрит на лучшие практики в написании кода. Мы разберем, как эти инструменты установить, настроить и использовать.
• Нужно отметить, что выбор подходящего сканера или комбинации инструментов зависит от специфики вашего проекта, требований к безопасности и возможностей интеграции.
➡️ https://habr.com/ru/articles/910840/
• В качестве дополнительного материала рекомендую обратить внимание на проект Scanners Box (scanbox), где опубликована подборка различных сканеров, который включает в себя более 10 различных категорий: от стандартных сканеров для Red Team и Blue Team специалистов, до сканеров анализа кода в мобильных приложениях:
➡ https://github.com/We5ter/Scanners-Box
#ИБ #Пентест #Tools
• Нужно отметить, что выбор подходящего сканера или комбинации инструментов зависит от специфики вашего проекта, требований к безопасности и возможностей интеграции.
• В качестве дополнительного материала рекомендую обратить внимание на проект Scanners Box (scanbox), где опубликована подборка различных сканеров, который включает в себя более 10 различных категорий: от стандартных сканеров для Red Team и Blue Team специалистов, до сканеров анализа кода в мобильных приложениях:
#ИБ #Пентест #Tools
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22👍17⚡6💩3❤2💋1
infosec
• CALDERA — еще одна автоматизированная система эмуляции действий злоумышленников, построенная на платформе MITRE ATT&CK. Ее основное назначение — тестирование решений безопасности конечных точек и оценка состояния безопасности сети. Тулза использует модель ATT&CK для выявления и репликации поведения противника, как если бы происходило реальное вторжение. Сейчас CALDERA поставляется с несколькими заранее созданными шаблонами поведения противников с помощью плагина Stockpile, но добавить свои собственные достаточно легко. Более детальное описание можно найти по ссылкам ниже:
➡ GitHub;
➡ Документация;
➡ Туториал в формате видео;
➡ Блог разработчиков [vpn];
➡ Сайт.
#ИБ #Tools
#ИБ #Tools
Please open Telegram to view this post
VIEW IN TELEGRAM