🔵🔵
👮♂️ Защищающая сторона настало ваше время.
✅ Прикольная подборка бесплатных и открытых фидов #ThreatIntelligence для тех у кого нет бюджетов, но уже есть хоть какие-то процессы.
#feeds #blueteam #TI
https://news.1rj.ru/str/cybershit/779
👮♂️ Защищающая сторона настало ваше время.
✅ Прикольная подборка бесплатных и открытых фидов #ThreatIntelligence для тех у кого нет бюджетов, но уже есть хоть какие-то процессы.
#feeds #blueteam #TI
https://news.1rj.ru/str/cybershit/779
Telegram
Киберпиздец
Если вам совсем нечем обогащать свой TI и системы обнаружения угроз вот небольшая подборка открытых и бесплатных фидов.
https://iplists.firehol.org/ — ребята мониторят открытые IP-фиды и делают свой, с минимальным количеством ложным срабатываний, отслеживанием…
https://iplists.firehol.org/ — ребята мониторят открытые IP-фиды и делают свой, с минимальным количеством ложным срабатываний, отслеживанием…
🤔 Вечер мемасов объявляется открытым 🤣
#memes #sberbank #passwords
https://twitter.com/a_okshus/status/1302716911558504456
#memes #sberbank #passwords
https://twitter.com/a_okshus/status/1302716911558504456
📰 Утренние новости. Компания которая предоставляет сервисы по обнаружению угроз, #SOC и кучу других сервисов защиты, сама попала по атаку #ransomware 🙄
#morning #news #threatintelligence
https://twitter.com/cygilant/status/1301965765176889344
#morning #news #threatintelligence
https://twitter.com/cygilant/status/1301965765176889344
Twitter
Cygilant
Cygilant is aware of a ransomware attack impacting a portion of Cygilant’s technology environment. Our team took immediate and decisive action to stop the progression of the attack and is working closely with third-party forensic investigators and law enforcement.
🔵🔵
🏄♂️ Листая ленту Твиттера обнаружил ссылку на репозиторий с правилами для #ElasticSecurity которые позволяют детектировать вторжения в инфраструктуру. Все правила разбиты по категориям, кроме правил также имеются #python скрипты для динамического детекта.
#blueteam #elasticsearch #threatdetection
https://github.com/elastic/detection-rules
🏄♂️ Листая ленту Твиттера обнаружил ссылку на репозиторий с правилами для #ElasticSecurity которые позволяют детектировать вторжения в инфраструктуру. Все правила разбиты по категориям, кроме правил также имеются #python скрипты для динамического детекта.
#blueteam #elasticsearch #threatdetection
https://github.com/elastic/detection-rules
GitHub
GitHub - elastic/detection-rules
Contribute to elastic/detection-rules development by creating an account on GitHub.
🔵🔵
🤓 Утром обнаружил хорошую статью на тему создания плейбуков для #SOC, статя оказалась очень крутой, я аж зачитался.
🤝 В стате описаны все боли и беды которые пришлось пережить команде #Solar_JSOC. Очень годные советы от команды которая на деле столкнулась со всеми описанными проблемами.
#blueteam #playbook #incidentresponse
https://habr.com/ru/post/518096/
🤓 Утром обнаружил хорошую статью на тему создания плейбуков для #SOC, статя оказалась очень крутой, я аж зачитался.
🤝 В стате описаны все боли и беды которые пришлось пережить команде #Solar_JSOC. Очень годные советы от команды которая на деле столкнулась со всеми описанными проблемами.
#blueteam #playbook #incidentresponse
https://habr.com/ru/post/518096/
Хабр
Реагирование на киберинциденты: 5 правил разработки плейбуков
Вопрос разработки и приготовления плейбуков по реагированию на инциденты сейчас очень активно обсуждается и порождает разное количество подходов, поиск баланса в которых крайне важен. Должен ли...
🤖 Если вы давно мечтаете научится находить зиродеи в бинарщине, и рубить на этом огромные кучи денег то советую вам ознакомится с данным репозиторием.
🎲 В Readme автор описывает процесс создания так называемого #1day (эксплойт на который уже есть патч), все шаги которые необходимо проделать для создания эксплойта:
▪️Patch Diffing
▪️PoC Building
▪️и остальные процессы.
👍 Очень советую всем интересующимся данной темой
#exploitdevelopment #patchdiffing #pocbuilding #binary
https://github.com/piotrflorczyk/cve-2019-1458_POC
🎲 В Readme автор описывает процесс создания так называемого #1day (эксплойт на который уже есть патч), все шаги которые необходимо проделать для создания эксплойта:
▪️Patch Diffing
▪️PoC Building
▪️и остальные процессы.
👍 Очень советую всем интересующимся данной темой
#exploitdevelopment #patchdiffing #pocbuilding #binary
https://github.com/piotrflorczyk/cve-2019-1458_POC
🚨 Алярм. Новый #patchtuesday подвёз #critical #rce уязвимость в #DNS для #ActiveDirectory. Подробностей естественно не завезли, публичных #1day тоже нет, тем не менее процесс обновления не следует откладывать в долгий ящик.
👆Для тех кто хочет собрать 1day выше был пост о том как исследователь это делал, прекрасная возможность попробовать свои силы. И возможно заработать денег.
🤫 А если вы не знаете куда деть свои подобные находки, пишите мне. Я с радостью помогу😉
#news #windows #update
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0761
https://news.1rj.ru/str/x_notes/194
👆Для тех кто хочет собрать 1day выше был пост о том как исследователь это делал, прекрасная возможность попробовать свои силы. И возможно заработать денег.
🤫 А если вы не знаете куда деть свои подобные находки, пишите мне. Я с радостью помогу😉
#news #windows #update
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0761
https://news.1rj.ru/str/x_notes/194
Telegram
🇺🇦x_Notes🇺🇦 🔜
🤖 Если вы давно мечтаете научится находить зиродеи в бинарщине, и рубить на этом огромные кучи денег то советую вам ознакомится с данным репозиторием.
🎲 В Readme автор описывает процесс создания так называемого #1day (эксплойт на который уже есть патч)…
🎲 В Readme автор описывает процесс создания так называемого #1day (эксплойт на который уже есть патч)…
🤠 Интересный разрбор експлойта CVE-2020-0986 который использовался при таргетированных атаках #PowerFall обнаруженных #KasperskyLab в мае этого года, когда через #0day уязвимость в #InternetExplorer были совершены ряд атак на различные организации
#exploit #analysis #APT
https://securelist.com/operation-powerfall-cve-2020-0986-and-variants/98329/
https://securelist.com/ie-and-windows-zero-day-operation-powerfall/97976/
#exploit #analysis #APT
https://securelist.com/operation-powerfall-cve-2020-0986-and-variants/98329/
https://securelist.com/ie-and-windows-zero-day-operation-powerfall/97976/
Securelist
Operation PowerFall: CVE-2020-0986 and variants
Let’s take a look at vulnerability CVE-2020-0986 and the second zero-day exploit used in Operation PowerFall.
🔴🔴
🐍 Прикольный инструмент для поднятия своего #WSUS сервера, который будет раздавать “правильные” апдейты для винды в локальной сети. Для того чтобы инструмент прям заработал как нужно, необходимо постараться тем не менее может быть крайне полезным при атаках.
#tools #updates #redteaming
https://github.com/GoSecure/pywsus
🐍 Прикольный инструмент для поднятия своего #WSUS сервера, который будет раздавать “правильные” апдейты для винды в локальной сети. Для того чтобы инструмент прям заработал как нужно, необходимо постараться тем не менее может быть крайне полезным при атаках.
#tools #updates #redteaming
https://github.com/GoSecure/pywsus
GitHub
GitHub - GoSecure/pywsus: Standalone implementation of a part of the WSUS spec. Built for offensive security purposes.
Standalone implementation of a part of the WSUS spec. Built for offensive security purposes. - GoSecure/pywsus
🔥🔥🔥
Новости. Хакеры из группы #TeamTNT использовали легальный софт Weave Scope для получения доступа к контейнерам с приложениями, что позволяло им выполнять любой код на облачном решении.
👽 Для того чтобы подготовится к атаке, хакеры находили неправильно сконфигурированные контейнеры, после чего устанавливали на них #WeaveScope для того чтобы не терять доступ к контейнеру.
🎃 Очередная поучительная история о том как легальный софт используют для злонамеренных целей.
#news #cloud #docker
https://threatpost.com/teamtnt-remote-takeover-cloud-instances/159075/
Новости. Хакеры из группы #TeamTNT использовали легальный софт Weave Scope для получения доступа к контейнерам с приложениями, что позволяло им выполнять любой код на облачном решении.
👽 Для того чтобы подготовится к атаке, хакеры находили неправильно сконфигурированные контейнеры, после чего устанавливали на них #WeaveScope для того чтобы не терять доступ к контейнеру.
🎃 Очередная поучительная история о том как легальный софт используют для злонамеренных целей.
#news #cloud #docker
https://threatpost.com/teamtnt-remote-takeover-cloud-instances/159075/
Threat Post
TeamTNT Gains Full Remote Takeover of Cloud Instances
Using a legitimate tool called Weave Scope, the cybercrime group is establishing fileless backdoors on targeted Docker and Kubernetes clusters.
🔴🔴
🥖 Свеженькая техника как не спалится пока работаешь на #Windows хосте. С одной стороны прикольная задумка, а с другой стороны надо бы доработать, потому что я думаю что команда #blueteam при полном отсутствии активности тоже стригерятся.
💡 А вот взять идею, допилить ее до вида перехвата сообщений в #EventLog, и выдачей только легальной активности, вот это было бы супер.
#redteam #offensivesecurity #coding
https://www.ired.team/offensive-security/defense-evasion/disabling-windows-event-logs-by-suspending-eventlog-service-threads
🥖 Свеженькая техника как не спалится пока работаешь на #Windows хосте. С одной стороны прикольная задумка, а с другой стороны надо бы доработать, потому что я думаю что команда #blueteam при полном отсутствии активности тоже стригерятся.
💡 А вот взять идею, допилить ее до вида перехвата сообщений в #EventLog, и выдачей только легальной активности, вот это было бы супер.
#redteam #offensivesecurity #coding
https://www.ired.team/offensive-security/defense-evasion/disabling-windows-event-logs-by-suspending-eventlog-service-threads
www.ired.team
Disabling Windows Event Logs by Suspending EventLog Service Threads | Red Team Notes
🥇🥇🥇
🤗 Всем привет. Чувствую что на этой неделе темп публикаций сбился, так что со следующей недели начну организовывать стабильный постинг.
На данный момент есть следующая идеа для контент плана:
▪️9:00 - новости, что-то на мой взляд прикольное;
▪️12:00 - пост на свободную тему, тула, статья, етц;
▪️15:00 - пост на свободную тему, тула, статья, етц;
▪️18:00 - какой-то прикол, лулз, етц.
Если что-то экстренное то вне расписания сразу в канал пишу.
Хотелось бы услышать фидбэк, можно прям в личку!
🤗 Всем привет. Чувствую что на этой неделе темп публикаций сбился, так что со следующей недели начну организовывать стабильный постинг.
На данный момент есть следующая идеа для контент плана:
▪️9:00 - новости, что-то на мой взляд прикольное;
▪️12:00 - пост на свободную тему, тула, статья, етц;
▪️15:00 - пост на свободную тему, тула, статья, етц;
▪️18:00 - какой-то прикол, лулз, етц.
Если что-то экстренное то вне расписания сразу в канал пишу.
Хотелось бы услышать фидбэк, можно прям в личку!
🌍
🙃 Доброе утро. #Microsoft опубликовал информацию об атаках на штабы Трампа и Байдена. Как всегда атакую киберармии России, Китая и Ирана.
🤔 Мне всегда интересно когда упоминают киберармии таких стран как Иран, Северная Корея и прочие страны третьего мира, откуда 🤬 у них киберармии?
У нас тут куча технических ВУЗов, блэкари в депутатах и прочие прелести. По итогу ни киберзащиты, ни киберармии. За счёт чего эти киберармии появляются в странах третьего мира?
#news #russianhackers #usa
https://www.zdnet.com/article/microsoft-confirms-chinese-iranian-and-russian-cyber-attacks-on-biden-and-trump-campaigns/
🙃 Доброе утро. #Microsoft опубликовал информацию об атаках на штабы Трампа и Байдена. Как всегда атакую киберармии России, Китая и Ирана.
🤔 Мне всегда интересно когда упоминают киберармии таких стран как Иран, Северная Корея и прочие страны третьего мира, откуда 🤬 у них киберармии?
У нас тут куча технических ВУЗов, блэкари в депутатах и прочие прелести. По итогу ни киберзащиты, ни киберармии. За счёт чего эти киберармии появляются в странах третьего мира?
#news #russianhackers #usa
https://www.zdnet.com/article/microsoft-confirms-chinese-iranian-and-russian-cyber-attacks-on-biden-and-trump-campaigns/
ZDNet
Microsoft confirms Chinese, Iranian, and Russian cyber-attacks on Biden and Trump campaigns
Microsoft said the "majority of these attacks" were detected and blocked.
🟢🟢
📰 На #github появился скрипт для тестирования уязвимости #Zerologon (CVE-2020-1472). Он позволяет совершить проверку обхода аутентификации и завершает сессию.
🔥 Если кто-то не в курсе дела, то #Microsoft запатчили уязвимость которая позволяла путём вызова #RPC процедуры получить права админа, в том числе доменного.
❤️ Уязвимость получила 10 балов по шкале #CVSS. Так что если вы не накатили апдейты, то очень пора. На основе этого кода умельцы быстро напишут боевой сплойт, а потом будет беда.
#vulnerability #ActiveDirectory #patchtuesday
https://github.com/SecuraBV/CVE-2020-1472
📰 На #github появился скрипт для тестирования уязвимости #Zerologon (CVE-2020-1472). Он позволяет совершить проверку обхода аутентификации и завершает сессию.
🔥 Если кто-то не в курсе дела, то #Microsoft запатчили уязвимость которая позволяла путём вызова #RPC процедуры получить права админа, в том числе доменного.
❤️ Уязвимость получила 10 балов по шкале #CVSS. Так что если вы не накатили апдейты, то очень пора. На основе этого кода умельцы быстро напишут боевой сплойт, а потом будет беда.
#vulnerability #ActiveDirectory #patchtuesday
https://github.com/SecuraBV/CVE-2020-1472
GitHub
GitHub - SecuraBV/CVE-2020-1472: Test tool for CVE-2020-1472
Test tool for CVE-2020-1472. Contribute to SecuraBV/CVE-2020-1472 development by creating an account on GitHub.
‼️
✋ Всем привет. В ходе взаимодействия с найболее активными из вас, я принял решение сократить количество сообщений в течении дня. По советам подписчиков более двух сообщений в день и канал улетает в мьют, поразмыслив я понял что и сам так делаю. Особенно раздражают сообщения в разгар рабочего дня, поэтому буду публиковать посты утром, и ближе к вечеру.
⚛️ Спасибо за отклики, и за понимание. Всем хорошего дня.
#announcement #info
✋ Всем привет. В ходе взаимодействия с найболее активными из вас, я принял решение сократить количество сообщений в течении дня. По советам подписчиков более двух сообщений в день и канал улетает в мьют, поразмыслив я понял что и сам так делаю. Особенно раздражают сообщения в разгар рабочего дня, поэтому буду публиковать посты утром, и ближе к вечеру.
⚛️ Спасибо за отклики, и за понимание. Всем хорошего дня.
#announcement #info
🔴🔴
Интересная статья о том как нагенерировать фейковых логов для #SIEM для отвлечения аналитиков от реальной атаки. Действия на поле кибервойны все чаще и чаще начинают напоминать действия на реальных полях сражений, когда для победы применяется масштабная тактика позволяющая ввести в заблуждение соперника.
В интересные мы живем времена.
#DoS #logs #redteam
https://letsdefend.io/blog/attacking-siem-with-fake-logs/
Интересная статья о том как нагенерировать фейковых логов для #SIEM для отвлечения аналитиков от реальной атаки. Действия на поле кибервойны все чаще и чаще начинают напоминать действия на реальных полях сражений, когда для победы применяется масштабная тактика позволяющая ввести в заблуждение соперника.
В интересные мы живем времена.
#DoS #logs #redteam
https://letsdefend.io/blog/attacking-siem-with-fake-logs/
letsdefend.io
Attacking SIEM with Fake Logs
In order to ensure to cyber security of an organization, the logs of the systems it owns must be collected, analyzed and repeated continuously. For provide the continuous of the process, monitoring systems can be installed. The fact that what is happening…
😇 Утилита которая позволяет определять технологии примененные в #web приложении, будет полезной на этапе сбора инфомации о цели. По сути это является портом расширения #Wappalyzer
#OSINT #WebApp #analyzer
https://github.com/blackarrowsec/wappy
#OSINT #WebApp #analyzer
https://github.com/blackarrowsec/wappy
GitHub
GitHub - blackarrowsec/wappy: Discover web technologies in web applications from your terminal
Discover web technologies in web applications from your terminal - blackarrowsec/wappy
🌍🌎
😮 Никогда такого не было, но все рано или поздно случается)
💸 Около двух тысяч сайтов которые используют #Magento были подломаны и инфицированны “скимером” (программой которая считывает данные держателя карты при оплате), в итоге есть подозрение на огромную утечку платежных данных.
0️⃣ Судя по аналитике из статьи, совсем недавно некий товарищ продавал в #darknet #zeroday #exploit под первую версию Magento, после чего произшло “внезаное” событие. Иногда #bugbounty бывают полезными, а иногда может помочь #threathunting
#Magecart #cardskimmer #paymentdata
https://threatpost.com/magecart-campaign-10k-online-shoppers/159216/
😮 Никогда такого не было, но все рано или поздно случается)
💸 Около двух тысяч сайтов которые используют #Magento были подломаны и инфицированны “скимером” (программой которая считывает данные держателя карты при оплате), в итоге есть подозрение на огромную утечку платежных данных.
0️⃣ Судя по аналитике из статьи, совсем недавно некий товарищ продавал в #darknet #zeroday #exploit под первую версию Magento, после чего произшло “внезаное” событие. Иногда #bugbounty бывают полезными, а иногда может помочь #threathunting
#Magecart #cardskimmer #paymentdata
https://threatpost.com/magecart-campaign-10k-online-shoppers/159216/
Threat Post
Magecart Attack Impacts More Than 10K Online Shoppers
Close to 2,000 e-commerce sites were infected over the weekend with a payment-card skimmer, maybe the result of a zero-day exploit.
🤖
🤓 Утро доброе, друзья. Сегодня обнаружил ремейк #DepencyWalker, когда-то легендарный софт который помогал разработчикам и реверсерам находить библиотеки которые исползует тот или инной бинарь, его разработка была давненько приостановленна, и вот сейчас группа энтузиастов занялась разработкой #OpenSource аналога.
#reverseengineerig #depencies #reversing
https://github.com/lucasg/Dependencies
🤓 Утро доброе, друзья. Сегодня обнаружил ремейк #DepencyWalker, когда-то легендарный софт который помогал разработчикам и реверсерам находить библиотеки которые исползует тот или инной бинарь, его разработка была давненько приостановленна, и вот сейчас группа энтузиастов занялась разработкой #OpenSource аналога.
#reverseengineerig #depencies #reversing
https://github.com/lucasg/Dependencies
GitHub
GitHub - lucasg/Dependencies: A rewrite of the old legacy software "depends.exe" in C# for Windows devs to troubleshoot dll load…
A rewrite of the old legacy software "depends.exe" in C# for Windows devs to troubleshoot dll load dependencies issues. - lucasg/Dependencies
🚨🚨
Новая пачка утечек на канале FreedomFox'a.
🧐 Ушел анализировать....
#SoftServe #leak #freedomfox
https://news.1rj.ru/str/freedomf0x/9642
https://news.1rj.ru/str/freedomf0x/9643
https://news.1rj.ru/str/freedomf0x/9644
https://news.1rj.ru/str/freedomf0x/9645
Новая пачка утечек на канале FreedomFox'a.
🧐 Ушел анализировать....
#SoftServe #leak #freedomfox
https://news.1rj.ru/str/freedomf0x/9642
https://news.1rj.ru/str/freedomf0x/9643
https://news.1rj.ru/str/freedomf0x/9644
https://news.1rj.ru/str/freedomf0x/9645