EDRHunt
[https://github.com/FourCoreLabs/EDRHunt]
Утилита для сканирования и идентификации установленных EDR и AV на хостах с Windows путем анализа служб, драйверов, запущенных процессов и ключей реестра.
• Для сканирования системы в поисках информации выполняются WMI-запросы через COM и собственные API для перечисления установленных драйверов
• Обнаружение EDR в настоящее время доступно: Windows Defender, Kaspersky Security, Symantec Security, Crowdstrike Security, Mcafee Security, Cylance Security, Carbon Black, SentinelOne, FireEye
#edr #antiforensic #windows
[https://github.com/FourCoreLabs/EDRHunt]
Утилита для сканирования и идентификации установленных EDR и AV на хостах с Windows путем анализа служб, драйверов, запущенных процессов и ключей реестра.
• Для сканирования системы в поисках информации выполняются WMI-запросы через COM и собственные API для перечисления установленных драйверов
• Обнаружение EDR в настоящее время доступно: Windows Defender, Kaspersky Security, Symantec Security, Crowdstrike Security, Mcafee Security, Cylance Security, Carbon Black, SentinelOne, FireEye
#edr #antiforensic #windows
👍2
mmls
[https://wiki.sleuthkit.org/index.php?noscript=Mmls]
Что делать, если к вам поступила копия диска с неизвестной разметкой томов? Выручит mmls - утилита из состава The Sleuth Kit, которая отображает разметку разделов томов системы, включая таблицы разделов и метки дисков, чтобы вы могли определить, с какого оффсета начинается каждый раздел. В выводе указывается тип раздела и его длина, что облегчает использование dd для извлечения разделов. Утилите хоть и много лет, но в целом вещь незаменима, если нам нужно быстро и одной командой найти скрытые разделы образа.
[https://wiki.sleuthkit.org/index.php?noscript=Mmls]
Что делать, если к вам поступила копия диска с неизвестной разметкой томов? Выручит mmls - утилита из состава The Sleuth Kit, которая отображает разметку разделов томов системы, включая таблицы разделов и метки дисков, чтобы вы могли определить, с какого оффсета начинается каждый раздел. В выводе указывается тип раздела и его длина, что облегчает использование dd для извлечения разделов. Утилите хоть и много лет, но в целом вещь незаменима, если нам нужно быстро и одной командой найти скрытые разделы образа.
👍3
Дайджест решений Threat Intelligence Platform (TIP) - платформ киберразведки с открытым исходным кодом
Threat Intelligence Platform - это платформы по обмену данными об угрозах и инцидентах, которые построены на основе реальных кейсах и включают информацию о механизмах, индикаторах, последствиях и инструкциях по локализации существующей или возможной угрозы. Компании все чаще прибегают к интеграции подобных платформ с целью улучшения показателей безопасности и реагирования, снижения нагрузки на специалистов ИБ и поддержании инфраструктуры компании в актуальном уровне защиты.
1) Collaborative Research Into Threats (CRITs) [https://crits.github.io/] - это веб-инструмент, сочетающий в себе аналитический механизм и базу данных киберугроз, который предоставляет аналитикам мощную платформу для проведения анализа вредоносного ПО.
2) Collective Intelligence Framework (CIF) [https://csirtgadgets.com/collective-intelligence-framework] - объединяет ваши данные об угрозах. Платформа ориентирована на скорость, производительность и интеграцию, например в Snort, Bro, Suricata, Bind и PaloAlto.
3) Malware Information Sharing Platform (MISP) [https://www.misp-project.org/] - популярнейшая платформа разведки угроз для сбора, обмена, хранения и корреляции индикаторов компрометации целевых атак, разведки угроз и др. Интегруется с Maltego, TheHive (https://news.1rj.ru/str/forensictools/494), имеет более 30 плагинов внешних источников и огромное комьюнити.
4) Your Everyday Threat Intelligence (YETI) [https://yeti-platform.github.io/] - это платформа, предназначенная для организации сбора данных, индикаторов компрометации и знаний об угрозах в едином, унифицированном хранилище. Yeti также автоматически обогащает наблюдаемые данные. Взаимодействует с платформой реагирования на инциденты Fast Incident Response и платформой анализа вредоносных программ FAME, также поддерживает интеграцию с MISP, TheHive и обогатителем данных Cortex.
5) OpenCTI [https://github.com/sfakiana/SANS-CTI-Summit-2021] - платформа для хранения, систематизации и обмена знаний о кибеугрозах. Вся информация связана с помощью единой и согласованной модели данных, основанной на стандартах STIX2. Весь набор данных можно исследовать с помощью механизмов аналитики и корреляции, включая множество подключаемых модулей визуализации, вычислений MapReduce и Pregel.
6) Threatnote [https://threatnote.io/] - платформа менеджмента жизненного цикла разведки угроз, основанная на следующем цикле менеджмента: Требования к разведке, Разведывательные отчеты, Управление потребителями, Управление показателями. Также интегрируется с большим числом сервисов: MISP, AlienVault, ipinfo, VirusTotal и др.
7) MineMeld [https://github.com/PaloAltoNetworks/minemeld] - приложение, которое упрощает агрегирование, внедрение и обмен данными об угрозах. Имеет оценку ценности конкретного канала сбора данных об угрозах для вашей среды, извлекает показатели из журналов регистрации устройств Palo Alto Networks и обменивается с другими инструментами безопасности. Определяет входящие сессии с узлов выхода Tor для блокировки и отслеживает URL-адреса и IP-адреса Office365.
Threat Intelligence Platform - это платформы по обмену данными об угрозах и инцидентах, которые построены на основе реальных кейсах и включают информацию о механизмах, индикаторах, последствиях и инструкциях по локализации существующей или возможной угрозы. Компании все чаще прибегают к интеграции подобных платформ с целью улучшения показателей безопасности и реагирования, снижения нагрузки на специалистов ИБ и поддержании инфраструктуры компании в актуальном уровне защиты.
1) Collaborative Research Into Threats (CRITs) [https://crits.github.io/] - это веб-инструмент, сочетающий в себе аналитический механизм и базу данных киберугроз, который предоставляет аналитикам мощную платформу для проведения анализа вредоносного ПО.
2) Collective Intelligence Framework (CIF) [https://csirtgadgets.com/collective-intelligence-framework] - объединяет ваши данные об угрозах. Платформа ориентирована на скорость, производительность и интеграцию, например в Snort, Bro, Suricata, Bind и PaloAlto.
3) Malware Information Sharing Platform (MISP) [https://www.misp-project.org/] - популярнейшая платформа разведки угроз для сбора, обмена, хранения и корреляции индикаторов компрометации целевых атак, разведки угроз и др. Интегруется с Maltego, TheHive (https://news.1rj.ru/str/forensictools/494), имеет более 30 плагинов внешних источников и огромное комьюнити.
4) Your Everyday Threat Intelligence (YETI) [https://yeti-platform.github.io/] - это платформа, предназначенная для организации сбора данных, индикаторов компрометации и знаний об угрозах в едином, унифицированном хранилище. Yeti также автоматически обогащает наблюдаемые данные. Взаимодействует с платформой реагирования на инциденты Fast Incident Response и платформой анализа вредоносных программ FAME, также поддерживает интеграцию с MISP, TheHive и обогатителем данных Cortex.
5) OpenCTI [https://github.com/sfakiana/SANS-CTI-Summit-2021] - платформа для хранения, систематизации и обмена знаний о кибеугрозах. Вся информация связана с помощью единой и согласованной модели данных, основанной на стандартах STIX2. Весь набор данных можно исследовать с помощью механизмов аналитики и корреляции, включая множество подключаемых модулей визуализации, вычислений MapReduce и Pregel.
6) Threatnote [https://threatnote.io/] - платформа менеджмента жизненного цикла разведки угроз, основанная на следующем цикле менеджмента: Требования к разведке, Разведывательные отчеты, Управление потребителями, Управление показателями. Также интегрируется с большим числом сервисов: MISP, AlienVault, ipinfo, VirusTotal и др.
7) MineMeld [https://github.com/PaloAltoNetworks/minemeld] - приложение, которое упрощает агрегирование, внедрение и обмен данными об угрозах. Имеет оценку ценности конкретного канала сбора данных об угрозах для вашей среды, извлекает показатели из журналов регистрации устройств Palo Alto Networks и обменивается с другими инструментами безопасности. Определяет входящие сессии с узлов выхода Tor для блокировки и отслеживает URL-адреса и IP-адреса Office365.
👍5😢1
CrackMapExec
[https://github.com/byt3bl33d3r/CrackMapExec]
инструмент постэксплуатации, который помогает автоматизировать оценку безопасности сетей Active Directory. Создан с учетом принципа пользования встроенными функциями/протоколами Active Directory для достижения целей, что позволяет ему обходить большинство решений по защите конечных точек/IDS/IPS. Прежде всего помогает автоматизировать рутинные дйствия при продвижении по сети.
• активно использует библиотеку Impacket (https://github.com/SecureAuthCorp/impacket) и PowerSploit Toolkit (https://github.com/PowerShellMafia/PowerSploit) для работы с сетевыми протоколами и выполнения различных техник постэксплуатации.
• может использоваться для оценки привилегий учетных записей, поиска возможных неправильных конфигураций и моделирования сценариев атак.
• умеет перечислять вошедших пользователей и индексировать общие папки SMB, выполнять атаки в стиле psexec, автоматические Mimikatz/Shellcode/DLL инъекции в память и многое другое
#pentest #windows #activedirectory
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в ознакомительных целях на собственный страх и риск.
[https://github.com/byt3bl33d3r/CrackMapExec]
инструмент постэксплуатации, который помогает автоматизировать оценку безопасности сетей Active Directory. Создан с учетом принципа пользования встроенными функциями/протоколами Active Directory для достижения целей, что позволяет ему обходить большинство решений по защите конечных точек/IDS/IPS. Прежде всего помогает автоматизировать рутинные дйствия при продвижении по сети.
• активно использует библиотеку Impacket (https://github.com/SecureAuthCorp/impacket) и PowerSploit Toolkit (https://github.com/PowerShellMafia/PowerSploit) для работы с сетевыми протоколами и выполнения различных техник постэксплуатации.
• может использоваться для оценки привилегий учетных записей, поиска возможных неправильных конфигураций и моделирования сценариев атак.
• умеет перечислять вошедших пользователей и индексировать общие папки SMB, выполнять атаки в стиле psexec, автоматические Mimikatz/Shellcode/DLL инъекции в память и многое другое
#pentest #windows #activedirectory
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в ознакомительных целях на собственный страх и риск.
GitHub
GitHub - byt3bl33d3r/CrackMapExec: A swiss army knife for pentesting networks
A swiss army knife for pentesting networks. Contribute to byt3bl33d3r/CrackMapExec development by creating an account on GitHub.
👍2
AD Enum
[https://github.com/SecuProject/ADenum]
инструмент пентестинга, который позволяет найти неправильную конфигурацию в протоколе LDAP и использовать некоторые из этих слабостей с помощью Kerberos.
• Перечисляет пользователей администраторов домена, контроллеры домена, перечисление пользователей домена по различным параметрам
• Реализует атаки AS-REP Roasting, Kerberoasting
• Взлом паролей с помощью john (krb5tgs и krb5asrep)
#pentest #windows #activedirectory
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в ознакомительных целях на собственный страх и риск.
[https://github.com/SecuProject/ADenum]
инструмент пентестинга, который позволяет найти неправильную конфигурацию в протоколе LDAP и использовать некоторые из этих слабостей с помощью Kerberos.
• Перечисляет пользователей администраторов домена, контроллеры домена, перечисление пользователей домена по различным параметрам
• Реализует атаки AS-REP Roasting, Kerberoasting
• Взлом паролей с помощью john (krb5tgs и krb5asrep)
#pentest #windows #activedirectory
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в ознакомительных целях на собственный страх и риск.
👍3
Вредоносные запросы к веб-серверу зачастую блокируются WAF. Нахождение способов обхода систем предотвращения вторжений (IPS), систем предотвращения утечек информации (DLP) и файрволов (WAF) сводится к поиску запроса, который понятен веб-приложению и валиден для WAF. Ниже представлены техники обхода WAF/DLP/IPS . Актуально, например, при пентесте web-сервисов организации - https://github.com/Bo0oM/WAF-bypass-Cheat-Sheet
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в образовательных целях на собственный страх и риск.
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в образовательных целях на собственный страх и риск.
GitHub
GitHub - Bo0oM/WAF-bypass-Cheat-Sheet: Another way to bypass WAF Cheat Sheet (draft)
Another way to bypass WAF Cheat Sheet (draft). Contribute to Bo0oM/WAF-bypass-Cheat-Sheet development by creating an account on GitHub.
👍1
ArchiveBox
[ https://archivebox.io/ ]
Свой собственный интернет - архив. Позволяет архивировать в виде html и скриншотов сайты из ваших закладок, истории посещения браузера, rss фидов и других ресурсов.
[ https://archivebox.io/ ]
Свой собственный интернет - архив. Позволяет архивировать в виде html и скриншотов сайты из ваших закладок, истории посещения браузера, rss фидов и других ресурсов.
🔥3
BeeLogger
[https://github.com/4w4k3/BeeLogger]
кейлоггер с открытым исходным кодом. Инструмент маскируется под фейковое обновление Adobe Flash, документ Word, Pdf или Pptx. Только для ОС семейства Linux!
• Отправка журналов каждые 120 секунд.
• Отправка логов при количестве символов > 50.
• Отправка журналов с помощью GMAIL.
• Включены некоторые методы фишинга.
• Автоматическое сохранение логов.
-------------------
Коллеги, чтите уголовный кодекс! Этот материал представлен исключительно в учебно-ознакомительных целях, для понимания механики действий злоумышленников. Любое неправомерное использование жестко карается законом той страны, где вы находитесь.
[https://github.com/4w4k3/BeeLogger]
кейлоггер с открытым исходным кодом. Инструмент маскируется под фейковое обновление Adobe Flash, документ Word, Pdf или Pptx. Только для ОС семейства Linux!
• Отправка журналов каждые 120 секунд.
• Отправка логов при количестве символов > 50.
• Отправка журналов с помощью GMAIL.
• Включены некоторые методы фишинга.
• Автоматическое сохранение логов.
-------------------
Коллеги, чтите уголовный кодекс! Этот материал представлен исключительно в учебно-ознакомительных целях, для понимания механики действий злоумышленников. Любое неправомерное использование жестко карается законом той страны, где вы находитесь.
👍3
Watools
[ https://watools.io/wa-watcher ]
Сервис для контроля WhatsApp
⁃ Проверяет статус «в сети» определенной учетной записи
⁃ Фиксирует факт общения между двумя пользователями по времени присутствия в сети
⁃ Показывает привычки пользователя относительно активности (например длительность сна)
⁃ Уведомляет пушем об активности субъекта наблюдения.
Сервис платный,- но дает 8 часов бесплатного проверить работу.
Так же в нагрузку дает несколько бесплатных сервисов:
⁃ Проверяет зарегистрирован ли номер в WA
[ https://watools.io/check-numbers ]
⁃ Скачивает аватарку привязанную к номеру
[ https://watools.io/download-profile-picture ]
⁃ Проверяет статус в сети ли на текущий момент
[ https://watools.io/check-online-status ]
[ https://watools.io/wa-watcher ]
Сервис для контроля WhatsApp
⁃ Проверяет статус «в сети» определенной учетной записи
⁃ Фиксирует факт общения между двумя пользователями по времени присутствия в сети
⁃ Показывает привычки пользователя относительно активности (например длительность сна)
⁃ Уведомляет пушем об активности субъекта наблюдения.
Сервис платный,- но дает 8 часов бесплатного проверить работу.
Так же в нагрузку дает несколько бесплатных сервисов:
⁃ Проверяет зарегистрирован ли номер в WA
[ https://watools.io/check-numbers ]
⁃ Скачивает аватарку привязанную к номеру
[ https://watools.io/download-profile-picture ]
⁃ Проверяет статус в сети ли на текущий момент
[ https://watools.io/check-online-status ]
🔥4
Skylens
[ https://app.skylens.io/ ]
Сервис показывающий на карте посты в Twitter, Youtube, Instagram, Flicker, VK и Weibu.
Можно делать выборку по:
⁃ Местоположению (радиусу)
⁃ Дате/Времени
⁃ Хештегам
[ https://app.skylens.io/ ]
Сервис показывающий на карте посты в Twitter, Youtube, Instagram, Flicker, VK и Weibu.
Можно делать выборку по:
⁃ Местоположению (радиусу)
⁃ Дате/Времени
⁃ Хештегам
👍6
Хорошая статья на хабре про вознкшую благодаря OSINTу гражданскую разведку - https://habr.com/ru/company/globalsign/blog/598675/
Хабр
Гражданская разведка разрушила государственную монополию на расследования
Мы уже рассказывали о Bellingcat и других детективных агентствах, которые осуществляют разведку по открытым источникам (OSINT), например, обратный поиск изображений в Яндексе , сканируя утёкшие базы с...
👍11
Новый год, первый четверг 2022 и первый голосовой стрим на t.me/ForensicTools И этот выпуск мы решили посвятить человеку, который ровно 23 года назад, создал то, что повлияло на несколько поколений мальчиков и девочек в России, в последствии выбравших жизненный путь связанный с технологиями и информационной безопасностью (ну или опасностью, у кого как)…
В этот четверг 6 января 2022 года в 20.00 по мск, в прямом эфире и без записи - основатель издательства «GameLand» создатель множества изданий, в числе которых «Страна Игр», «Железо», «PC игры» и конечно же культового журнала «ХАКЕР», человек-легенда - Дмитрий Агарунов!
Как всегда, поговорить в живую с Дмитрием и задать вопрос лично можно в прямом эфире стрима или в комментариях к этому посту!
В этот четверг 6 января 2022 года в 20.00 по мск, в прямом эфире и без записи - основатель издательства «GameLand» создатель множества изданий, в числе которых «Страна Игр», «Железо», «PC игры» и конечно же культового журнала «ХАКЕР», человек-легенда - Дмитрий Агарунов!
Как всегда, поговорить в живую с Дмитрием и задать вопрос лично можно в прямом эфире стрима или в комментариях к этому посту!
🔥10❤9👍4
Forwarded from Интернет-Розыск
This media is not supported in your browser
VIEW IN TELEGRAM
FoxyRecon - это надстройка Firefox, которая помогает выполнять поиск и расследования с использованием бесплатных веб-ресурсов Open Source Intelligence Source (OSINT).
♾ https://github.com/vincenzocaputo/FoxyRecon
♾ https://github.com/vincenzocaputo/FoxyRecon
🔥7👍4
В продолжение репоста от Интернет-Розыск [ t.me/irozysk ] об OSINT расширение для браузера Firefox, наш читатель с ником «Floppy» напомнил про два совершенно незаслуженно забытых проекта подобного толка в виде расширения для браузера Chrome:
⁃ Sputnik
https://github.com/mitchmoser/sputnik
Расширение для быстрого и удобного поиска IP-адресов, доменов, файловых хэшей и URL-адресов - достаточно просто кликнуть правой кнопкой мыши по интересующему объекту (текст, ссылка, аудио, видео или изображение).
⁃ ThreatPinchLookup
https://github.com/cloudtracer/ThreatPinchLookup/
ThreatPinch Lookup создает подсказки при наведении курсора на интересующий элемент на любом вебсайте. Это помогает ускорить исследования, автоматически предоставляя информацию при наведении курсора на любой адрес IPv4, хэш MD5, хэш SHA2 и заголовок CVE.
⁃ Sputnik
https://github.com/mitchmoser/sputnik
Расширение для быстрого и удобного поиска IP-адресов, доменов, файловых хэшей и URL-адресов - достаточно просто кликнуть правой кнопкой мыши по интересующему объекту (текст, ссылка, аудио, видео или изображение).
⁃ ThreatPinchLookup
https://github.com/cloudtracer/ThreatPinchLookup/
ThreatPinch Lookup создает подсказки при наведении курсора на интересующий элемент на любом вебсайте. Это помогает ускорить исследования, автоматически предоставляя информацию при наведении курсора на любой адрес IPv4, хэш MD5, хэш SHA2 и заголовок CVE.
🔥3
Аудио- версия сегоднешнего эфира с Дмитрием Агаруновым [ @dima_gameland ]
Завтра подготовим видеоверсию и пост о том, к чему пришли в процессе разговора!
Специальное спасибо Луке [ @LukaSafonov ] за призы для участников!
PS Мы сделали исключение, и выкладываем эфир, так как считаем, что в процессе разговора появилось много интересных и хороших идей!
PSS Начало основной части с 8 минуты
Спасибо что вы с нами!
Завтра подготовим видеоверсию и пост о том, к чему пришли в процессе разговора!
Специальное спасибо Луке [ @LukaSafonov ] за призы для участников!
PS Мы сделали исключение, и выкладываем эфир, так как считаем, что в процессе разговора появилось много интересных и хороших идей!
PSS Начало основной части с 8 минуты
Спасибо что вы с нами!
❤9👍4🔥1