/ Catching Threat Actors using honeypots! (Part1)
— https://burningmalware.com/Catching-Threat-Actors-using-honeypots!-(Part1)/
— https://burningmalware.com/Catching-Threat-Actors-using-honeypots!-(Part1)/
Возможность скидки на экзамен AWS / Курс Cloud-инженера
Курс будет полностью подарочным, коллеги из Core 24/7 обещают следующие призы за участие в конкурсе:
— скидка 50% на экзамен AWS Professional Certification
— курс Cloud-инженер на примере AWS
Победителей будет 3, по плану, каждый из них получит оба подарка.
Скидка будет доступна до 31 мая. Детали - https://core247.io/aws
Курс будет полностью подарочным, коллеги из Core 24/7 обещают следующие призы за участие в конкурсе:
— скидка 50% на экзамен AWS Professional Certification
— курс Cloud-инженер на примере AWS
Победителей будет 3, по плану, каждый из них получит оба подарка.
Скидка будет доступна до 31 мая. Детали - https://core247.io/aws
Awesome-sysadmin - List of amazingly awesome Free and Open-Source sysadmin resources.
— https://github.com/awesome-foss/awesome-sysadmin
#tool #collection
— https://github.com/awesome-foss/awesome-sysadmin
#tool #collection
GitHub
GitHub - awesome-foss/awesome-sysadmin: A curated list of amazingly awesome open-source sysadmin resources.
A curated list of amazingly awesome open-source sysadmin resources. - awesome-foss/awesome-sysadmin
/ Windows Common Log File System Driver Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252
/ CVE-2023-1281, CVE-2023-1829: Linux kernel: Vulnerabilities in the
tcindex classifier
Both of these vulnerabilities can be used for local privilege escalation:
— https://www.openwall.com/lists/oss-security/2023/04/11/3
tcindex classifier
Both of these vulnerabilities can be used for local privilege escalation:
— https://www.openwall.com/lists/oss-security/2023/04/11/3
/ Shell in the Ghost: Ghostnoscript CVE-2023-28879 writeup
-- https://offsec.almond.consulting/ghostnoscript-cve-2023-28879.html
-- https://offsec.almond.consulting/ghostnoscript-cve-2023-28879.html
ELK - Как собрать логи в одном месте. Открытый практикум DevOps by Rebrain.
Успевайте зарегистрироваться. Количество мест строго ограничено! Запись практикума “DevOps by Rebrain” в подарок за регистрацию!
• 18 Апреля (Вторник), 19:00 по МСК. Детали
Программа:
• Рассмотрим состав стека ELK
• Поднимем тестовый стенд в докере
• Настроим индексы, политики ротации, маппинг, пайплайны
Ведет:
• Николай Лещев - DevOps, обожает Hashicorp сертифицирован по Consul, Vault и Terraform.
Успевайте зарегистрироваться. Количество мест строго ограничено! Запись практикума “DevOps by Rebrain” в подарок за регистрацию!
• 18 Апреля (Вторник), 19:00 по МСК. Детали
Программа:
• Рассмотрим состав стека ELK
• Поднимем тестовый стенд в докере
• Настроим индексы, политики ротации, маппинг, пайплайны
Ведет:
• Николай Лещев - DevOps, обожает Hashicorp сертифицирован по Consul, Vault и Terraform.
Legion: an AWS Credential Harvester and SMTP Hijacker
Cado Labs researchers recently encountered an emerging Python-based credential harvester and hacktool, named Legion, aimed at exploiting various services for the purpose of email abuse. The tool is sold via the Telegram messenger, and includes modules dedicated to:
— enumerating vulnerable SMTP servers,
— conducting Remote Code Execution (RCE),
— exploiting vulnerable versions of Apache,
— brute-forcing cPanel and WebHost Manager (WHM) accounts,
— interacting with Shodan’s API to retrieve a target list (providing you supply an API key) and
— additional utilities, many of which involve abusing AWS services
— https://www.cadosecurity.com/legion-an-aws-credential-harvester-and-smtp-hijacker/
Cado Labs researchers recently encountered an emerging Python-based credential harvester and hacktool, named Legion, aimed at exploiting various services for the purpose of email abuse. The tool is sold via the Telegram messenger, and includes modules dedicated to:
— enumerating vulnerable SMTP servers,
— conducting Remote Code Execution (RCE),
— exploiting vulnerable versions of Apache,
— brute-forcing cPanel and WebHost Manager (WHM) accounts,
— interacting with Shodan’s API to retrieve a target list (providing you supply an API key) and
— additional utilities, many of which involve abusing AWS services
— https://www.cadosecurity.com/legion-an-aws-credential-harvester-and-smtp-hijacker/
Darktrace
Solve Cloud Forensics at Scale
Darktrace has acquired Cado security, a cyber investigation and response solution provider and leader in cloud data capture and forensics.
Nokoyawa ransomware attacks with Windows zero-day
— https://securelist.com/nokoyawa-ransomware-attacks-with-windows-zero-day/109483/
Ref: Windows Common Log File System Driver Elevation of Privilege Vulnerability
P.S. CobaltStrike C2s already blocked in Sys-Admin Open BLD DNS service
— https://securelist.com/nokoyawa-ransomware-attacks-with-windows-zero-day/109483/
Ref: Windows Common Log File System Driver Elevation of Privilege Vulnerability
P.S. CobaltStrike C2s already blocked in Sys-Admin Open BLD DNS service
Securelist
Nokoyawa ransomware attacks with Windows zero-day
In February 2023, we found a zero-day exploit, supporting different versions and builds of Windows, including Windows 11. This particular zero-day was used by a sophisticated cybercrime group that carries out ransomware attacks.
Google is aware that an exploit for CVE-2023-2033 exists in the wild
Update your Chrome/-based browsers:
— https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html
Update your Chrome/-based browsers:
— https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html
Chrome Releases
Stable Channel Update for Desktop
The Stable and extended stable channel has been updated to 112.0.5615.121 for Windows Mac and Linux which will roll out over the coming...
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Attack Surface Analyzer
Attack Surface Analyzer is a Microsoft developed open source security tool that analyzes the attack surface of a target system and reports on potential security vulnerabilities introduced during the installation of software or system misconfiguration:
— https://github.com/microsoft/AttackSurfaceAnalyzer
Attack Surface Analyzer is a Microsoft developed open source security tool that analyzes the attack surface of a target system and reports on potential security vulnerabilities introduced during the installation of software or system misconfiguration:
— https://github.com/microsoft/AttackSurfaceAnalyzer
GitHub
GitHub - microsoft/AttackSurfaceAnalyzer: Attack Surface Analyzer can help you analyze your operating system's security configuration…
Attack Surface Analyzer can help you analyze your operating system's security configuration for changes during software installation. - microsoft/AttackSurfaceAnalyzer
/ Goldoson: Privacy-invasive and Clicker Android Adware found in popular apps
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/goldoson-privacy-invasive-and-clicker-android-adware-found-in-popular-apps-in-south-korea/
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/goldoson-privacy-invasive-and-clicker-android-adware-found-in-popular-apps-in-south-korea/
McAfee Blog
Goldoson: Privacy-invasive and Clicker Android Adware found in popular apps in South Korea | McAfee Blog
Authored by SangRyol Ryu McAfee’s Mobile Research Team discovered a software library we’ve named Goldoson, which collects lists of applications installed,
Sys-Admin Open BLD DNS. Что нового Q1 2023.
Технологии идут вперед, нас пытаются кормить рекламой, программировать при помощи искусственного интеллекта.
Мы не пальцем деланы, движемся вперед, пытаемся сопротивляться. Рад представить новости о наработках проекта:
▫️ Стабильность - Для более стабильного обновления серверов создан новый публичный сервис cactusd 🌵. Регулярно обновляемые листы блокировок можно качать прямо из репозитория проекта.
▫️ Защита - Внедрена защита от атак "медленного чтения" 🥋 и "брутфорса" доменов
▫️ Скорость - Проработан "скоростной" стек 🏎, сегодня (как и зачастую) BLD DNS превосходит в скорости IBM Quad9 в этом можно легко убедиться попробовав BLD DNS или просто его протестировав, к примеру при помощи dns-tester
Согласно DDoS отчету Cloudflare за 2023 год основная часть атак происходит со взломанных VPS поэтому был мной придуман еще один новый проект: 🧘 Malicious IP relaxator
Sys-Admin Open BLD DNS два года+ с аптаймом 99.9% радует своих пользователей защитой от малвари, трекинга, отсутствием рекламы и аналитики.
Присоединяйся - https://lab.sys-adm.in/
P.S. Short in Engllish - https://news.1rj.ru/str/sysadm_in_up/1642
Технологии идут вперед, нас пытаются кормить рекламой, программировать при помощи искусственного интеллекта.
Мы не пальцем деланы, движемся вперед, пытаемся сопротивляться. Рад представить новости о наработках проекта:
▫️ Стабильность - Для более стабильного обновления серверов создан новый публичный сервис cactusd 🌵. Регулярно обновляемые листы блокировок можно качать прямо из репозитория проекта.
▫️ Защита - Внедрена защита от атак "медленного чтения" 🥋 и "брутфорса" доменов
▫️ Скорость - Проработан "скоростной" стек 🏎, сегодня (как и зачастую) BLD DNS превосходит в скорости IBM Quad9 в этом можно легко убедиться попробовав BLD DNS или просто его протестировав, к примеру при помощи dns-tester
Согласно DDoS отчету Cloudflare за 2023 год основная часть атак происходит со взломанных VPS поэтому был мной придуман еще один новый проект: 🧘 Malicious IP relaxator
Sys-Admin Open BLD DNS два года+ с аптаймом 99.9% радует своих пользователей защитой от малвари, трекинга, отсутствием рекламы и аналитики.
Присоединяйся - https://lab.sys-adm.in/
P.S. Short in Engllish - https://news.1rj.ru/str/sysadm_in_up/1642
Sys-Admin InfoSec pinned «Sys-Admin Open BLD DNS. Что нового Q1 2023. Технологии идут вперед, нас пытаются кормить рекламой, программировать при помощи искусственного интеллекта. Мы не пальцем деланы, движемся вперед, пытаемся сопротивляться. Рад представить новости о наработках…»
/ State-sponsored campaigns target global network infrastructure
..While infrastructure of all types has been observed under attack, attackers have been particularly successful in compromising infrastructure with out-of-date software..:
https://blog.talosintelligence.com/state-sponsored-campaigns-target-global-network-infrastructure/
..While infrastructure of all types has been observed under attack, attackers have been particularly successful in compromising infrastructure with out-of-date software..:
https://blog.talosintelligence.com/state-sponsored-campaigns-target-global-network-infrastructure/
Cisco Talos Blog
State-sponsored campaigns target global network infrastructure
This campaign, dubbed "Jaguar Tooth," is an example of a much broader trend of sophisticated adversaries targeting networking infrastructure to advance espionage objectives or pre-position for future destructive activity.
/ Microsoft shifts to a new threat actor naming taxonomy
MS is excited to announce that we are shifting to a new threat actor naming taxonomy aligned to the theme of weather:
— https://www.microsoft.com/en-us/security/blog/2023/04/18/microsoft-shifts-to-a-new-threat-actor-naming-taxonomy/
MS is excited to announce that we are shifting to a new threat actor naming taxonomy aligned to the theme of weather:
— https://www.microsoft.com/en-us/security/blog/2023/04/18/microsoft-shifts-to-a-new-threat-actor-naming-taxonomy/
Microsoft News
Microsoft shifts to a new threat actor naming taxonomy
Microsoft is excited to announce that we are shifting to a new threat actor naming taxonomy aligned to the theme of weather.
AppSecFest - Уже в эту пятницу (21 апреля)
• Мобильное приложение как средство компрометации персональных данных или зачем нам Mobile Application Security?
• Концепции Incident Management в процессах DevSecOps
• Анализ кода фишингового ресурса
• Безопасность в Kubernetes: как устранить векторы атак на Kubernetes
Будут доклады про создание апсек-направления с нуля, пайплайн проверки, DAST, IAST и OAST...
Планируется онлайн трансляция, ссылка уже есть на сайте. Все детали здесь:
• appsecfest.kz
• Мобильное приложение как средство компрометации персональных данных или зачем нам Mobile Application Security?
• Концепции Incident Management в процессах DevSecOps
• Анализ кода фишингового ресурса
• Безопасность в Kubernetes: как устранить векторы атак на Kubernetes
Будут доклады про создание апсек-направления с нуля, пайплайн проверки, DAST, IAST и OAST...
Планируется онлайн трансляция, ссылка уже есть на сайте. Все детали здесь:
• appsecfest.kz
Forwarded from Sys-Admin Up (Yevgeniy Goncharov)
Get started using Attack simulation training
If your organization has Microsoft 365 E5 or Microsoft Defender for Office 365 Plan 2, which includes Threat Investigation and Response capabilities, you can use Attack simulation training in the Microsoft 365:
— More details…
If your organization has Microsoft 365 E5 or Microsoft Defender for Office 365 Plan 2, which includes Threat Investigation and Response capabilities, you can use Attack simulation training in the Microsoft 365:
— More details…
Docs
Get started using Attack simulation training - Microsoft Defender for Office 365
Admins can learn how to use Attack simulation training to run simulated phishing and password attacks in their Microsoft 365 E5 or Microsoft Defender for Office 365 Plan 2 organizations.
/ Discarded, not destroyed: Old routers reveal corporate secrets
https://www.welivesecurity.com/2023/04/18/discarded-not-destroyed-old-routers-reveal-corporate-secrets/
https://www.welivesecurity.com/2023/04/18/discarded-not-destroyed-old-routers-reveal-corporate-secrets/
Welivesecurity
Discarded, not destroyed: Old routers reveal corporate secrets
When decommissioning their old hardware, many companies 'throw the baby out with the bathwater'
/ ‘AuKill’ EDR killer malware abuses Process Explorer driver
Over the past several months, Sophos X-Ops has investigated multiple incidents where attackers attempted to disable EDR clients with a new defense evasion tool we’ve dubbed AuKill. The AuKill tool abuses an outdated version of the driver used by version 16.32 of the Microsoft utility, Process Explorer, to disable EDR processes before deploying either a backdoor or ransomware on the target system:
— https://news.sophos.com/en-us/2023/04/19/aukill-edr-killer-malware-abuses-process-explorer-driver/
Over the past several months, Sophos X-Ops has investigated multiple incidents where attackers attempted to disable EDR clients with a new defense evasion tool we’ve dubbed AuKill. The AuKill tool abuses an outdated version of the driver used by version 16.32 of the Microsoft utility, Process Explorer, to disable EDR processes before deploying either a backdoor or ransomware on the target system:
— https://news.sophos.com/en-us/2023/04/19/aukill-edr-killer-malware-abuses-process-explorer-driver/
Sophos News
‘AuKill’ EDR killer malware abuses Process Explorer driver
Driver-based attacks against security products are on the rise
Открытый практикум DevOps by Rebrain: Шифрование секретов в GitOps
• 25 Апреля (Вторник), 19:00 по МСК. Детали
Программа:
• Где хранить секреты - git, vault или облачный сервис?
• Разбираемся с dek, kek и kms
• Изучаем схему работы sops, sealed secrets
• Если успеем, то затронем варианты реализации kubernetes authentication в vault и external secrets
Ведет:
• Василий Озеров - Руководит международной командой в рамках своего агентства Fevlake. Co-Founder REBRAIN. Более 8 лет Devops практик.
• 25 Апреля (Вторник), 19:00 по МСК. Детали
Программа:
• Где хранить секреты - git, vault или облачный сервис?
• Разбираемся с dek, kek и kms
• Изучаем схему работы sops, sealed secrets
• Если успеем, то затронем варианты реализации kubernetes authentication в vault и external secrets
Ведет:
• Василий Озеров - Руководит международной командой в рамках своего агентства Fevlake. Co-Founder REBRAIN. Более 8 лет Devops практик.