Мы уже упоминали о Plaso (https://news.1rj.ru/str/forensictools/389) - инструменте, предназначенном для анализа событий в системе на таймлайне. Но вот институт SANS в середине декабря порадовал исчерпывающим материалом на тему log2timeline.

Flan Scan
[https://github.com/cloudflare/flan]

это легкий сканер сетевых уязвимостей от cloudflare. С помощью Flan Scan вы можете легко найти открытые порты в вашей сети, определить службы и их версию, а также получить список соответствующих им CVE.

• написан на базе Nmap и NSE vulners (большая база уязвимостей, эксплоитов и патчей)
• позволяет легко развернуть Nmap локально в контейнере, отправить результаты в облако и развернуть сканер на Kubernetes.

#cve #pentest

📔 Конфиденциальность в сети интернет для журналистов

Zabbix Threat Control
[https://github.com/vulnersCom/zabbix-threat-control]

плагин, который превращает вашу систему мониторинга Zabbix в систему управления уязвимостями, рисками и безопасностью вашей инфраструктуры. Все данные отправляются на анализ в Vulners API.

• Максимальная оценка CVSS для каждого сервера.
• Команда для устранения всех обнаруженных уязвимостей для каждого сервера.
• Список бюллетеней безопасности с описанием уязвимых пакетов, действительных для вашей инфраструктуры.
• Список всех уязвимых пакетов в вашей инфраструктуре.

Пример настройки - https://habr.com/ru/company/vulners/blog/416137/

BiG Brother
[https://github.com/nwqda/BiG-Brother]

инструмент, который можно использовать для поиска камер видеонаблюдения с открытыми портами по всему миру. Чтобы найти их, инструмент использует Shodan API. И с помощью Shodan dorks нацеливается только на определенные бренды камер видеонаблюдения по вашему выбору. Обнаружив камеру, BiG Brother попытается инициализировать соединение с ней, используя учетные данные по умолчанию. На данный момент поддерживаются только 3 бренда камер видеонаблюдения: Sony, Canon и Panasonic. В ближайшие недели планируется добавить следующие бренды: Alphafinity, INSTAR, Milesight, Vacron и VideoIQ. Также есть возможность сохранить и экспортировать результат исследования в .csv или .txt после завершения.

EDRHunt
[https://github.com/FourCoreLabs/EDRHunt]

Утилита для сканирования и идентификации установленных EDR и AV на хостах с Windows путем анализа служб, драйверов, запущенных процессов и ключей реестра.

• Для сканирования системы в поисках информации выполняются WMI-запросы через COM и собственные API для перечисления установленных драйверов
• Обнаружение EDR в настоящее время доступно: Windows Defender, Kaspersky Security, Symantec Security, Crowdstrike Security, Mcafee Security, Cylance Security, Carbon Black, SentinelOne, FireEye

#edr #antiforensic #windows

mmls
[https://wiki.sleuthkit.org/index.php?noscript=Mmls]

Что делать, если к вам поступила копия диска с неизвестной разметкой томов? Выручит mmls - утилита из состава The Sleuth Kit, которая отображает разметку разделов томов системы, включая таблицы разделов и метки дисков, чтобы вы могли определить, с какого оффсета начинается каждый раздел. В выводе указывается тип раздела и его длина, что облегчает использование dd для извлечения разделов. Утилите хоть и много лет, но в целом вещь незаменима, если нам нужно быстро и одной командой найти скрытые разделы образа.

Дайджест решений Threat Intelligence Platform (TIP) - платформ киберразведки с открытым исходным кодом

Threat Intelligence Platform - это платформы по обмену данными об угрозах и инцидентах, которые построены на основе реальных кейсах и включают информацию о механизмах, индикаторах, последствиях и инструкциях по локализации существующей или возможной угрозы. Компании все чаще прибегают к интеграции подобных платформ с целью улучшения показателей безопасности и реагирования, снижения нагрузки на специалистов ИБ и поддержании инфраструктуры компании в актуальном уровне защиты.

1) Collaborative Research Into Threats (CRITs) [https://crits.github.io/] - это веб-инструмент, сочетающий в себе аналитический механизм и базу данных киберугроз, который предоставляет аналитикам мощную платформу для проведения анализа вредоносного ПО.

2) Collective Intelligence Framework (CIF) [https://csirtgadgets.com/collective-intelligence-framework] - объединяет ваши данные об угрозах. Платформа ориентирована на скорость, производительность и интеграцию, например в Snort, Bro, Suricata, Bind и PaloAlto.

3) Malware Information Sharing Platform (MISP) [https://www.misp-project.org/] - популярнейшая платформа разведки угроз для сбора, обмена, хранения и корреляции индикаторов компрометации целевых атак, разведки угроз и др. Интегруется с Maltego, TheHive (https://news.1rj.ru/str/forensictools/494), имеет более 30 плагинов внешних источников и огромное комьюнити.

4) Your Everyday Threat Intelligence (YETI) [https://yeti-platform.github.io/] - это платформа, предназначенная для организации сбора данных, индикаторов компрометации и знаний об угрозах в едином, унифицированном хранилище. Yeti также автоматически обогащает наблюдаемые данные. Взаимодействует с платформой реагирования на инциденты Fast Incident Response и платформой анализа вредоносных программ FAME, также поддерживает интеграцию с MISP, TheHive и обогатителем данных Cortex.

5) OpenCTI [https://github.com/sfakiana/SANS-CTI-Summit-2021] - платформа для хранения, систематизации и обмена знаний о кибеугрозах. Вся информация связана с помощью единой и согласованной модели данных, основанной на стандартах STIX2. Весь набор данных можно исследовать с помощью механизмов аналитики и корреляции, включая множество подключаемых модулей визуализации, вычислений MapReduce и Pregel.

6) Threatnote [https://threatnote.io/] - платформа менеджмента жизненного цикла разведки угроз, основанная на следующем цикле менеджмента: Требования к разведке, Разведывательные отчеты, Управление потребителями, Управление показателями. Также интегрируется с большим числом сервисов: MISP, AlienVault, ipinfo, VirusTotal и др.

7) MineMeld [https://github.com/PaloAltoNetworks/minemeld] - приложение, которое упрощает агрегирование, внедрение и обмен данными об угрозах. Имеет оценку ценности конкретного канала сбора данных об угрозах для вашей среды, извлекает показатели из журналов регистрации устройств Palo Alto Networks и обменивается с другими инструментами безопасности. Определяет входящие сессии с узлов выхода Tor для блокировки и отслеживает URL-адреса и IP-адреса Office365.

CrackMapExec
[https://github.com/byt3bl33d3r/CrackMapExec]

инструмент постэксплуатации, который помогает автоматизировать оценку безопасности сетей Active Directory. Создан с учетом принципа пользования встроенными функциями/протоколами Active Directory для достижения целей, что позволяет ему обходить большинство решений по защите конечных точек/IDS/IPS. Прежде всего помогает автоматизировать рутинные дйствия при продвижении по сети.

• активно использует библиотеку Impacket (https://github.com/SecureAuthCorp/impacket) и PowerSploit Toolkit (https://github.com/PowerShellMafia/PowerSploit) для работы с сетевыми протоколами и выполнения различных техник постэксплуатации.
• может использоваться для оценки привилегий учетных записей, поиска возможных неправильных конфигураций и моделирования сценариев атак.
• умеет перечислять вошедших пользователей и индексировать общие папки SMB, выполнять атаки в стиле psexec, автоматические Mimikatz/Shellcode/DLL инъекции в память и многое другое

#pentest #windows #activedirectory
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в ознакомительных целях на собственный страх и риск.

AD Enum
[https://github.com/SecuProject/ADenum]

инструмент пентестинга, который позволяет найти неправильную конфигурацию в протоколе LDAP и использовать некоторые из этих слабостей с помощью Kerberos.

• Перечисляет пользователей администраторов домена, контроллеры домена, перечисление пользователей домена по различным параметрам
• Реализует атаки AS-REP Roasting, Kerberoasting
• Взлом паролей с помощью john (krb5tgs и krb5asrep)

#pentest #windows #activedirectory
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в ознакомительных целях на собственный страх и риск.

Вредоносные запросы к веб-серверу зачастую блокируются WAF. Нахождение способов обхода систем предотвращения вторжений (IPS), систем предотвращения утечек информации (DLP) и файрволов (WAF) сводится к поиску запроса, который понятен веб-приложению и валиден для WAF. Ниже представлены техники обхода WAF/DLP/IPS . Актуально, например, при пентесте web-сервисов организации - https://github.com/Bo0oM/WAF-bypass-Cheat-Sheet
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в образовательных целях на собственный страх и риск.

ArchiveBox
[ https://archivebox.io/ ]

Свой собственный интернет - архив. Позволяет архивировать в виде html и скриншотов сайты из ваших закладок, истории посещения браузера, rss фидов и других ресурсов.

BeeLogger
[https://github.com/4w4k3/BeeLogger]

кейлоггер с открытым исходным кодом. Инструмент маскируется под фейковое обновление Adobe Flash, документ Word, Pdf или Pptx. Только для ОС семейства Linux!

• Отправка журналов каждые 120 секунд.
• Отправка логов при количестве символов > 50.
• Отправка журналов с помощью GMAIL.
• Включены некоторые методы фишинга.
• Автоматическое сохранение логов.
-------------------
Коллеги, чтите уголовный кодекс! Этот материал представлен исключительно в учебно-ознакомительных целях, для понимания механики действий злоумышленников. Любое неправомерное использование жестко карается законом той страны, где вы находитесь.

Watools
[ https://watools.io/wa-watcher ]

Сервис для контроля WhatsApp
⁃ Проверяет статус «в сети» определенной учетной записи
⁃ Фиксирует факт общения между двумя пользователями по времени присутствия в сети
⁃ Показывает привычки пользователя относительно активности (например длительность сна)
⁃ Уведомляет пушем об активности субъекта наблюдения.

Сервис платный,- но дает 8 часов бесплатного проверить работу.

Так же в нагрузку дает несколько бесплатных сервисов:
⁃ Проверяет зарегистрирован ли номер в WA
[ https://watools.io/check-numbers ]
⁃ Скачивает аватарку привязанную к номеру
[ https://watools.io/download-profile-picture ]
⁃ Проверяет статус в сети ли на текущий момент
[ https://watools.io/check-online-status ]

Skylens
[ https://app.skylens.io/ ]

Сервис показывающий на карте посты в Twitter, Youtube, Instagram, Flicker, VK и Weibu.

Можно делать выборку по:
⁃ Местоположению (радиусу)
⁃ Дате/Времени
⁃ Хештегам

Хорошая статья на хабре про вознкшую благодаря OSINTу гражданскую разведку - https://habr.com/ru/company/globalsign/blog/598675/

FoxyRecon - это надстройка Firefox, которая помогает выполнять поиск и расследования с использованием бесплатных веб-ресурсов Open Source Intelligence Source (OSINT).

♾ https://github.com/vincenzocaputo/FoxyRecon