🚧 Seatbelt

Инструмент для аудита безопасности Windows-систем. Написан на C# и выполняет ряд проверок ориентированных на безопасность, как с точки зрения наступательной, так и с точки зрения оборонительной безопасности.

💻 Установка
Установка возможна только с помощью сборки проекта в Visual Studio. Клонируем репозиторий:

git clone https://github.com/GhostPack/Seatbelt.git

Открываем проект через Visual Studio -> Сборка -> Собрать решение. В результате после успешной сборки по пути <...>\Seatbelt\bin\Debug будет находится бинарный файл Seatbelt.exe.

💱 Возможности
Многие команды по умолчанию выполняют фильтрацию. Если указать аргумент -full, вывод не будет фильтроваться. Кроме того, группа команд all выполнит все текущие проверки.

Следующая команда выполнит все проверки и вернет все выходные данные:

Seatbelt.exe -group=all -full

Проверки, связанные с получением данных о системе:

Seatbelt.exe -group=system

Запускает проверки, которые собирают интересные данные о пользователе, вошедшем в систему в данный момент (если права не расширены), или обо всех пользователях (если права расширены):

Seatbelt.exe -group=user

Cледующая команда возвращает код события 4624 (вход в систему) за последние 30 дней:

Seatbelt.exe "LogonEvents 30"

Команды, отмеченные знаком + в меню справки, можно запускать удалённо в другой системе. Это выполняется через WMI с помощью запросов к классам WMI и WMI StdRegProv для перечисления реестра. Следующая команда запускает удалённую проверку удалённой системы:

Seatbelt.exe -group=remote -computername=192.168.230.209 -username=THESHIRE\sam -password="yum \"po-ta-toes\""

Структура Seatbelt полностью модульная, что позволяет добавлять дополнительные командные модули в файловую структуру и загружать их динамически. В .\Seatbelt\Commands\Template.cs есть шаблон командного модуля с комментариями для справки. После сборки необходимо поместить модуль в логическую папку с файлами, включить его в проект в обозревателе решений Visual Studio и скомпилировать.

Pinkerton — проект на Python для сканирования файлов JavaScript и поиска секретов, таких как ключи API, токены авторизации, жестко заданные пароли или связанные с ними данные.

5️⃣ GitHub

Все записи PHDays Fest — уже на видеоплатформах 🤩

Разложили их по плейлистам, чтобы вам было удобно смотреть сотни часов крутейшего контента.

• Научпоп
«VK Видео» / RUTUBE

• Технологии под сомнением
«VK Видео» / RUTUBE

• Лица и грани кибербеза
«VK Видео» / RUTUBE

• Defense
«VK Видео» / RUTUBE

• Offense
«VK Видео» / RUTUBE

• Positive Labs
«VK Видео» / RUTUBE

• Архитектура ИБ
«VK Видео» / RUTUBE

• Development Security
«VK Видео» / RUTUBE

• Development Data
«VK Видео» / RUTUBE

• Open Source & Open Security
«VK Видео» / RUTUBE

• Development Ops
«VK Видео» / RUTUBE

• Devices & Technologies
«VK Видео» / RUTUBE

• Development People & Culture
«VK Видео» / RUTUBE

• ИТ-инфраструктура
«VK Видео» / RUTUBE

• AppSec-воркшопы
«VK Видео» / RUTUBE

• ИБ как она есть
«VK Видео» / RUTUBE

• Лайфхаки SOC
«VK Видео» / RUTUBE

• День инвестора POSI
«VK Видео» / RUTUBE

• Development General
«VK Видео» / RUTUBE

• Школа CISO
«VK Видео» / RUTUBE

• Fast track
«VK Видео» / RUTUBE

• Python Day
«VK Видео» / RUTUBE

• Web3
«VK Видео» / RUTUBE

• AI Track
«VK Видео» / RUTUBE

• Партнерский
«VK Видео» / RUTUBE

Также записи можно найти на нашем YouTube-канале и на сайте.

Приятного просмотра! 🍿

#PHDays
@Positive_Technologies

Spiderfoot

Spiderfoot — Этот пакет содержит инструмент автоматизации разведки с открытым исходным кодом (OSINT). Его цель — автоматизировать процесс сбора разведданных о заданной цели, которая может быть IP-адресом, доменным именем, именем хоста, сетевой подсетью, ASN, адресом электронной почты или именем человека.

SpiderFoot можно использовать в наступательных целях, т. е. как часть теста на проникновение черного ящика для сбора информации о цели.

💡Основные функции:
⏺️Автоматизация сбора данных - Утилита позволяет пользователям автоматизировать процесс сбора информации.
⏺️Интеграция с различными источниками - Утилита поддерживает интеграцию с множеством внешних источников данных.
⏺️Настраиваемые модули - Пользователи могут выбирать и настраивать модули для сбора конкретной информации.
⏺️Поддержка различных форматов вывода - Утилита может экспортировать результаты в различные форматы.

📎Установка:
Инструмент уже предустановлен в Kali Linux, способ установки для других систем:

git clone https://gitlab.com/kalilinux/packages/spiderfoot.git

📌Использование:
1️⃣ Запуск локального web сервера:

spiderfoot -l 127.0.0.1:1488

2️⃣ Переходим по адресу в браузере

http://127.0.0.1:1488

3️⃣ Нажимаем New Scan и вводим имя цели и саму цель
4️⃣ Получаем результат в красивой обёртке

👁 Забудьте о стандартных поисковиках. Настоящие золотые жилы открытой разведки (OSINT) лежат не в индексах Google, а в специализированных системах, сканирующих саму инфраструктуру Интернета. Как специалист по OSINT, я давно перешел от поиска в Google к прямому исследованию сети с помощью мощных инструментов, индексирующих открытые устройства, незащищенные веб-камеры, промышленные системы управления (SCADA), панели VoIP и бесчисленное множество других систем, оставшихся без должной защиты.

◾️Shodan по праву считается "поисковиком для интернета вещей". Индексирует устройства, напрямую подключенные к сети, по их баннерам и открытым портам. Поиск серверов (веб, FTP, SSH), маршрутизаторов, камер, систем "умного дома", промышленного оборудования (SCADA/ICS), баз данных и многого другого по странам, ПО, версиям, уязвимостям. Фильтры (net:, port:, os:, vuln:, has_screenshot:true) позволяют делать невероятно точные запросы.

◾️Censys предоставляет глубокий анализ хостов и сертификатов в интернете. Часто дает более детальную информацию, чем Shodan. Поиск по открытым портам, протоколам, сертификатам SSL/TLS, детальным данным о конфигурации сервисов. Отличный инструмент для обнаружения неожиданно открытых сервисов (например, RDP, S3 buckets), анализа инфраструктуры организации по сертификатам, поиска устаревших или уязвимых систем.

◾️ZoomEye ведущий китайский поисковик по сетевым устройствам и компонентам. Обладает сильной базой по азиатскому региону и уникальными возможностями. Поиск устройств и веб-компонентов (по фреймворкам, CMS, JS-библиотекам). Предоставляет данные о геолокации, операционных системах, сервисах. Особенно полезен для исследования инфраструктуры в Азии и поиска специфических веб-приложений или устройств, которые могут быть хуже представлены в Shodan/Censys.

❗️ Shodan, Censys, ZoomEye, а также Fofa и BinaryEdge – это не просто инструменты, это новые глаза для OSINT-специалиста. Они позволяют видеть Интернет таким, какой он есть на самом деле – гигантской сетью устройств, многие из которых не защищены должным образом. Используйте эти инструменты ответственно, для поиска уязвимостей с целью их устранения или повышения собственной осведомленности о цифровых рисках. Ваши находки могут стать критически важными для безопасности.

💻 Для специалистов по OSINT и тестированию на проникновение знание ландшафта угроз включает не только софт, но и "железо". Сегодня в фокусе – три компактных, но мощных аппаратных инструмента, способных в умелых руках стать ключом к данным или грозным оружием в арсенале пентестера.

◾️USB Rubber Ducky - устройство, определяемое компьютером как стандартная клавиатура HID. Его сила – в возможности исполнения заранее запрограммированных последовательностей нажатий клавиш с высокой скоростью и точностью, недостижимой для человека. Устройство обеспечивает автоматизацию атак на уровне ввода: открытие терминалов/командной строки, загрузка и исполнение скриптов (например, для сбора данных о системе или пользователе), создание скрытых бэкапов файлов, обход некоторых методов защиты, основанных на ожидании человеческого ввода.

◾️Flipper Zero - "швейцарский нож" для радиочастот и физических интерфейсов. Объединяет в одном корпусе возможности для работы с RFID (LF/HF), NFC, суб-ГГц радио (например, для брелоков сигнализаций), IR (инфракрасный порт), GPIO, а также как Bad USB (подобно Rubber Ducky). Устройство обеспечивает клонирование и эмуляция RFID/NFC карт (отели, пропускные системы, проездные), перехват и анализ радио сигналов (пульты ДУ, беспроводные датчики), взаимодействие через IR (пульты), считывание/запись данных с различных чипов, автоматизация сценариев через Bad USB. Незаменим для реконна физических систем контроля доступа и IoT.

◾️Digispark - миниатюрные и крайне дешевые (часто $2-5) платы на микроконтроллере ATTiny85, программируемые через Arduino IDE с использованием библиотек, эмулирующих клавиатуру HID (как Rubber Ducky, но с меньшими возможностями и памятью). Основное тактическое преимущество – одноразовость. Идеальны для сценариев, где устройство нужно оставить или есть риск потери/обнаружения: автоматическое подключение к открытым Wi-Fi сетям и загрузка полезных нагрузок, запуск простых скриптов сбора данных, оставление "сюрпризов". Упомянутый сценарий с самоуничтожением (перегрузкой шины питания) – пример креативного тактического применения.

❗️ Эта троица представляет собой гремучую смесь: от точной инъекции команд (Ducky) через универсальный радио-скальпель (Flipper Zero) до тактической одноразовой "мины" (Digispark). Их физическая природа делает их невидимыми для традиционных антивирусных решений, фокусирующихся на программных угрозах.

Telegraphite — быстрый и надёжный парсер каналов Telegram, который извлекает публикации и экспортирует их в формате JSON.

5️⃣ GitHub

☝️😉 Ну что, поговорим о надежности выбранных средств защиты?

⌨ Разблокировка паролем — самый надежный метод при использовании длинного, уникального, сложного пароля (12+ символов, буквы верхнего/нижнего регистра, цифры, спецсимволы). Его крайне сложно подобрать методом грубой силы (brute-force), угадать или подсмотреть (если пользователь осторожен). Не оставляет физических следов.

🙋 Разблокировка отпечатком или лицом — современные сканеры отпечатков (оптические, ультразвуковые, емкостные) надежны против случайных совпадений. Однако уязвимы при краже "отпечатка" или принуждении. Кроме этого, старые или дешевые оптические сканеры можно обмануть фотографией. Аналогично и для распознавания лица. Достаточно надежные Face ID (Apple) используют сложные системы с точечным проектором и инфракрасной камерой, создающие 3D-карту лица. Простые системы на Android часто используют только фронтальную камеру (2D-изображение). Их легко обмануть фотографией или видео владельца на другом экране.

🔞 Разблокировка PIN-кодом или графическим ключом — надежность напрямую зависит от длины PIN. 6-значный PIN (1 000 000 комбинаций) значительно надежнее 4-значного (10 000 комбинаций). Подбор вручную затруднителен, но автоматизированный подбор возможен для коротких PIN. Следы на экране часто позволяют угадать код. При использовании графического ключа количество возможных комбинаций ограничено (особенно при простых шаблонах). На экране остаются хорошо видимые следы от пальца, по которым можно восстановить ключ. Наконец, его подсмотреть.

🗃 Использование пароля на SIM-карте — вообще не защищает телефон. PIN запрашивается только при перезагрузке телефона или перестановке SIM-карты в другой аппарат. Не препятствует доступу к данным на самом телефоне, если тот разблокирован другим способом. Однако метод предотвращает использование SIM-карты в другом телефоне для звонков и SMS (что важно против кражи номера для взлома 2FA).

🚫 Отсутствие блокировки — любой, кто получил физический доступ к телефону, мгновенно получает доступ ко всем данным: фото, сообщениям, почте, соцсетям, банковским приложениям (если они тоже не защищены паролем), контактам. Кража телефона или его потеря на 5 минут в кафе приводит к полной компрометации личной информации.

🖋 ВЫВОДЫ: наиболее надежным средством защиты мобильника является сочетание сложного пароля с установкой кода на SIM-карту. Кроме этого, используйте многофакторную аутентификацию (MFA). Даже если телефон разблокирован, критически важные приложения (банки, почта) должны быть защищены собственным паролем/PIN/биометрией. Включите 2FA везде, где возможно, используя не SMS, а приложения-аутентификаторы или физические ключи. Не забудьте отключить на заблокированном устройстве показ входящих сообщений и PUSH-уведомлений.

• Речь пойдет о тулзе, которая называется Setezor. Если вкратце, то это швейцарский нож, который позволяет проводить разведку сети и систематизировать информацию, строить карту сети и удобно работать с большими объемами данных. Данное решение будет очень полезно пентестерам, сетевикам и системным администраторам.

• Вот ключевые преимущества, которые делают его незаменимым в работе:

➡Веб-интерфейс «HTTP REST API» на серверной части.
➡Визуальное отображение данных в таблицах и диаграммах.
➡Автоматическое построение карты сети на L3-уровне.
➡Формирование группы целей (скоупы и таргеты), позволяют создавать группы IP-адресов, портов и доменов и группами сканировать информацию.
➡Выявление ИТ-активов и инвентаризация ИТ-инфраструктуры.
➡Получение информации в виде задач, при изменении статуса задачи всплывает уведомление.
➡Сканирование сети инструментами NMAP, MASSCAN, SCAPY, SNMP.
➡Сканирование веб-приложений инструментами Domains, TLS/SSL CERT, WHOIS, WAPPALYZER.
➡Сканирование на обнаружение уязвимостей инструментами ACUNETIX, CPEGuess, SearchVulns.
➡Выявление потенциально опасных протоколов обмена (открытые и закрытые порты).
➡Интеграция различных инструментов (загрузка логов, управление инструментами)
➡Загрузка xml-логов, pcap-логов, xml-логов, list-логов, json-логов сканирования.
➡Поиск программного обеспечения по узлам сети и его версии.
➡Поиск субдоменов через DNS.
➡Получение SSL-сертификата.
➡Получение списка уязвимостей для конкретного ПО инструментом SearchVulns.
➡Поиск строки методом Brute-force SNMP community string.

• В общем и целом, функционал весьма богатый и может помочь в решении многих задач. Подробное описание тулзы есть на GitHub:

➡️ https://github.com/lmsecure/Setezor

#Tools #ИБ