🗣️ «Без воды, с практикой, с поддержкой»
🗣️ «Весь материал закрепляется на практике, преподаватели реально помогают, а курс — без воды. Чувствуешь, как прокачиваешься с каждым модулем».
🗣️ «Порадовало, что есть тестовые зоны для отработки, и темы реально актуальные — ничего лишнего».
Спасибо за честный и подробный отзыв на курс «Анализ защищенности инфраструктуры на основе технологий Active Directory»!
Мы ценим обратную связь от студентов и всегда рады видеть, что обучение приносит пользу!
📎 Читать полный отзыв
Новый поток стартует с 18 августа!
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Bagley's 📚 Diary
Всем 👋! Это Bagley
💬 Вчера я успешно сдал итоговый экзамен по курсу "Анализ защищенности инфраструктуры на основе технологий Active Directory"
🔘Курс длился 4 месяца и был действительно hard'овым, но однозначно полезным.
🔘17 домашних (обязательных) лаб…
💬 Вчера я успешно сдал итоговый экзамен по курсу "Анализ защищенности инфраструктуры на основе технологий Active Directory"
🔘Курс длился 4 месяца и был действительно hard'овым, но однозначно полезным.
🔘17 домашних (обязательных) лаб…
👍10❤9🔥6👎2😁2
👯♀️Сигма, сигма… правила!
Sigma rule - это правила корреляции для обнаружения подозрительных или вредоносных событий в логах информационных систем, написанное в специальном унифицированном формате Sigma.
🔎 Sigma-правила описываются на языке YAML и состоят из структурированных блоков: метаинформации, источника логов (logsource) и условий детектирования (detection).
🖥 Главная особенность Sigma - независимость от конкретной SIEM-системы: одно правило можно автоматически конвертировать в запросы для разных SIEM-платформ (например, Splunk, Elastic, ArcSight), что облегчает обмен знаниями и ускоряет внедрение новых сценариев обнаружения угроз. Sigma-правила активно используются для автоматизации выявления атак и инцидентов информационной безопасности.
↔️ Благодаря независимости от конкретного продукта, Sigma-правила приняты за стандарт по обмену знаний и взаимодействию с другими специалистами по информационной безопасности (в частности, TI и IR специалистами) в области обнаружения кибератак. Некоторые из вендоры в своих отчетах по расследованию APT-группировках помимо индикаторов компрометации, описывают Sigma-правила для внедрения в свою инфраструктуру.
⤵️ Совсем скоро мы подробно окунемся в структуру Sigma-правил, а пока что в комментариях попробуйте угадать, в каком российском продукте используются Sigma-правила
Sigma rule - это правила корреляции для обнаружения подозрительных или вредоносных событий в логах информационных систем, написанное в специальном унифицированном формате Sigma.
🔎 Sigma-правила описываются на языке YAML и состоят из структурированных блоков: метаинформации, источника логов (logsource) и условий детектирования (detection).
🖥 Главная особенность Sigma - независимость от конкретной SIEM-системы: одно правило можно автоматически конвертировать в запросы для разных SIEM-платформ (например, Splunk, Elastic, ArcSight), что облегчает обмен знаниями и ускоряет внедрение новых сценариев обнаружения угроз. Sigma-правила активно используются для автоматизации выявления атак и инцидентов информационной безопасности.
↔️ Благодаря независимости от конкретного продукта, Sigma-правила приняты за стандарт по обмену знаний и взаимодействию с другими специалистами по информационной безопасности (в частности, TI и IR специалистами) в области обнаружения кибератак. Некоторые из вендоры в своих отчетах по расследованию APT-группировках помимо индикаторов компрометации, описывают Sigma-правила для внедрения в свою инфраструктуру.
⤵️ Совсем скоро мы подробно окунемся в структуру Sigma-правил, а пока что в комментариях попробуйте угадать, в каком российском продукте используются Sigma-правила
❤16👍6🔥6
Telegram Extractor
Telegram Extractor - Это набор скирптов которые помогут анализировать данные хранящиеся в Telegram.
💡 Справка:
⏺️
⏺️
⏺️
📎 Установка:
📌 Использование:
К сожалению, получить доступ к файлу вы должны вручную. По умолчанию, этот файл храниться в /data/data/org.telegram.messenger, но для доступа, видимо, нужен root.
Telegram Extractor - Это набор скирптов которые помогут анализировать данные хранящиеся в Telegram.
tgnet-extractor.py - Извлекает файл files/tgnet.dat, содержащий IP-адреса датацентра, главные секреты и т. д. Этот скрипт анализирует файл и выводит все значения на стандартный выводmessage-extractor.py - Извлекает сообщения из байтов, хранящихся в столбце SQLite messages.data Telegram.encrypted-chat-extractor.py - Извлекает информацию из байтов, хранящихся в sqlite-столбце enc_chats.data Telegram, который содержит основной секретный ключ auth_key секретного чата и другие данные.git clone https://github.com/tsusanka/telegram-extractor.git
cd telegram-extractor
python3 tgnet-extractor.py [PATH_TO_FILE]
python3 message-extractor.py [PATH_TO_FILE]
python3 encrypted-chat-extractor.py [PATH_TO_FILE]
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤6🔥4
Traitor: Утилита для автоматизации повышения привилегий в Linux
⚡️ Основные возможности Traitor
➡️ Автоматизированный анализ системы:
• Сканирование на наличие потенциальных путей эскалации привилегий.
• Проверка на уязвимые бинарные файлы с правами SUID/SGID.
• Обнаружение нестандартных настроек sudo и cron.
➡️ Автоматическая эксплуатация уязвимостей:
• Использует известные эксплойты для повышения привилегий.
• Выполняет атаки на основе обнаруженных проблем конфигурации.
➡️ Информативный вывод:
• Предоставляет подробные отчёты о найденных уязвимостях.
• Предлагает рекомендации по устранению проблем.
➡️ Поддержка популярных векторных атак:
• Обнаружение уязвимостей в настройках PATH.
• Проверка на небезопасные монтирования файловых систем.
• Использование некорректно настроенных бинарных файлов.
➡️ Кроссплатформенность:
• Работает на большинстве дистрибутивов Linux.
⬇️ Установка и использование
1️⃣ Скачивание готового бинарного файла
Разработчики предоставляют готовые сборки Traitor для различных платформ. Чтобы установить последнюю версию:
➡️ Перейдите на страницу релизов.
➡️ Скачайте версию, соответствующую вашей операционной системе:
• traitor-amd64 для Linux на архитектуре x86_64.
• traitor-arm64 для ARM-устройств.
➡️ Сделайте файл исполняемым:
2️⃣ Запуск анализа:
Для поиска путей повышения привилегий выполните:
3️⃣ Автоматическая эксплуатация:
Чтобы сразу попытаться использовать найденные уязвимости:
4️⃣ Дополнительные параметры:
Просмотрите все доступные флаги:
Traitor — это инструмент с открытым исходным кодом, созданный для автоматизированного поиска и использования уязвимостей, позволяющих повысить привилегии в Linux-системах. Разработанный для пентестеров и специалистов по безопасности, Traitor автоматизирует сложные задачи, связанные с эскалацией прав, и помогает выявлять потенциальные угрозы в инфраструктуре.
• Сканирование на наличие потенциальных путей эскалации привилегий.
• Проверка на уязвимые бинарные файлы с правами SUID/SGID.
• Обнаружение нестандартных настроек sudo и cron.
• Использует известные эксплойты для повышения привилегий.
• Выполняет атаки на основе обнаруженных проблем конфигурации.
• Предоставляет подробные отчёты о найденных уязвимостях.
• Предлагает рекомендации по устранению проблем.
• Обнаружение уязвимостей в настройках PATH.
• Проверка на небезопасные монтирования файловых систем.
• Использование некорректно настроенных бинарных файлов.
• Работает на большинстве дистрибутивов Linux.
Разработчики предоставляют готовые сборки Traitor для различных платформ. Чтобы установить последнюю версию:
• traitor-amd64 для Linux на архитектуре x86_64.
• traitor-arm64 для ARM-устройств.
chmod +x traitor
Для поиска путей повышения привилегий выполните:
./traitor
Чтобы сразу попытаться использовать найденные уязвимости:
./traitor -a
Просмотрите все доступные флаги:
./traitor --help
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍6❤3👎1
FileFix как альтернатива ClickFix. ClickFix — это атака методом социальной инженерии, которая побуждает пользователей неосознанно выполнять вредоносный код на их устройствах, обычно через диалоговое окно «Выполнить», которое вызывается клавишами Windows + R.
Независимый исследователь изобрел более изощренный метод атаки, который позволяет пользователям выполнять команды ОС, не выходя из браузера.
👌 Функциональность загрузки файлов в браузере
Для создания кнопки загрузки файлов достаточно input HTML-элемента с атрибутом type и значением file.
😨 При нажатии на кнопку «Выбрать файл» открывается окно проводника и адресную строку проводника можно использовать для выполнения команд ОС. Оказалось, что это НЕ заблокировано браузером. Например, запуская команду
💥 FileFix атака
Теперь остается придумать предлог, чтобы заставить пользователя вставить туда вредоносную команду. Учитывая, что проводник обычно ассоциируется с доступом к файлам, фишинговая страница может утверждать, что пользователь получил доступ к файлу, и предлагать ему найти его с помощью адресной строки в проводнике.
На фишинговой странице есть кнопка «Открыть проводник», которая при нажатии запускает проводник через функцию загрузки файлов и копирует команду PowerShell в буфер обмена. Очень удобно, что адресная строка может быть автоматически выделена с помощью CTRL + L или ALT + D, поэтому обязательно нужно об этом сказать в пользовательских инструкциях:
Кроме того, вредоносная команда PowerShell объединит фиктивный путь к файлу с комментарием, чтобы скрыть команду и вместо этого отобразить путь к файлу.
Блокировка выбора файла
Пользователь также может намеренно или случайно выбрать файл для загрузки, потому что, в конце концов, это и есть основная функция использования <input type="file">. В коде страницы содержаться строчки блокирующие загрузку, перехватывая событие выбора файла и немедленно очищая поле ввода, отображая сообщение и пытаясь снова открыть окно проводника.
🤛 FileFix2
При дальнейшем тестировании исследователь обнаружил ещё одно интересное поведение, характерное для метода выполнения в проводнике. У исполняемых файлов (например, .exe) при выполнении через адресную строку проводника удаляется атрибут Mark of The Web (MOTW).
Исследователь понял, что это может быть использовано потенциальными злоумышленниками, заставив кнопку «Открыть проводник» загружать файл, копировать %USERPROFILE%\Downloads\payload.exe в буфер обмена и открывать окно проводника. Если предположить, что загруженные файлы сохраняются в %USERPROFILE%\Downloads, это должно запустить полезную нагрузку.
Однако у этого варианта есть недостаток, который следует учитывать. Microsoft Defender и Google Safebrowsing обычно предупреждают пользователей перед сохранением исполняемых файлов, поэтому пользователю может потребоваться сделать больше кликов, чтобы заставить его работать.
Демоверсию представленного варианта атаки можно увидеть здесь.
❗️ Учитывая нынешний всплеск атак с использованием ClickFix, нетрудно представить, как эта техника применяется для того, чтобы обманом заставить пользователя неосознанно выполнить вредоносную команду. Стоит отслеживать в браузерах любые подозрительные дочерние процессы (например, cmd.exe, powershel.exe, mshta.exe).
Независимый исследователь изобрел более изощренный метод атаки, который позволяет пользователям выполнять команды ОС, не выходя из браузера.
Для создания кнопки загрузки файлов достаточно input HTML-элемента с атрибутом type и значением file.
<input type="file" />
cmd /с ping example.com и глядя на дерево процессов Chrome, видно, что cmd.exe создается одним из многочисленных процессов Chrome.Теперь остается придумать предлог, чтобы заставить пользователя вставить туда вредоносную команду. Учитывая, что проводник обычно ассоциируется с доступом к файлам, фишинговая страница может утверждать, что пользователь получил доступ к файлу, и предлагать ему найти его с помощью адресной строки в проводнике.
На фишинговой странице есть кнопка «Открыть проводник», которая при нажатии запускает проводник через функцию загрузки файлов и копирует команду PowerShell в буфер обмена. Очень удобно, что адресная строка может быть автоматически выделена с помощью CTRL + L или ALT + D, поэтому обязательно нужно об этом сказать в пользовательских инструкциях:
Кроме того, вредоносная команда PowerShell объединит фиктивный путь к файлу с комментарием, чтобы скрыть команду и вместо этого отобразить путь к файлу.
Блокировка выбора файла
Пользователь также может намеренно или случайно выбрать файл для загрузки, потому что, в конце концов, это и есть основная функция использования <input type="file">. В коде страницы содержаться строчки блокирующие загрузку, перехватывая событие выбора файла и немедленно очищая поле ввода, отображая сообщение и пытаясь снова открыть окно проводника.
При дальнейшем тестировании исследователь обнаружил ещё одно интересное поведение, характерное для метода выполнения в проводнике. У исполняемых файлов (например, .exe) при выполнении через адресную строку проводника удаляется атрибут Mark of The Web (MOTW).
Исследователь понял, что это может быть использовано потенциальными злоумышленниками, заставив кнопку «Открыть проводник» загружать файл, копировать %USERPROFILE%\Downloads\payload.exe в буфер обмена и открывать окно проводника. Если предположить, что загруженные файлы сохраняются в %USERPROFILE%\Downloads, это должно запустить полезную нагрузку.
Однако у этого варианта есть недостаток, который следует учитывать. Microsoft Defender и Google Safebrowsing обычно предупреждают пользователей перед сохранением исполняемых файлов, поэтому пользователю может потребоваться сделать больше кликов, чтобы заставить его работать.
Демоверсию представленного варианта атаки можно увидеть здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤11🔥3😁2
🚩 Новые задания на платформе HackerLab!
🔎 Категория OSINT — Мировая знаменитость
🌍 Категория Веб — Тссс, 9.2.2.3!
——————————————
🗂 В архив добавлены задания с прошлых соревнований + райтапы:
🟠 Реверс-инжиниринг - Обычная капибара
🟠 Стеганография - Письмо Деду Морозу
Приятного хакинга!
——————————————
🗂 В архив добавлены задания с прошлых соревнований + райтапы:
Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤9❤🔥7🔥4
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤5🔥5