🔵🔵
🤓 Утром обнаружил хорошую статью на тему создания плейбуков для #SOC, статя оказалась очень крутой, я аж зачитался.
🤝 В стате описаны все боли и беды которые пришлось пережить команде #Solar_JSOC. Очень годные советы от команды которая на деле столкнулась со всеми описанными проблемами.

#blueteam #playbook #incidentresponse

https://habr.com/ru/post/518096/

​🤖 Если вы давно мечтаете научится находить зиродеи в бинарщине, и рубить на этом огромные кучи денег то советую вам ознакомится с данным репозиторием.
🎲 В Readme автор описывает процесс создания так называемого #1day (эксплойт на который уже есть патч), все шаги которые необходимо проделать для создания эксплойта:
▪️Patch Diffing
▪️PoC Building
▪️и остальные процессы.

👍 Очень советую всем интересующимся данной темой

#exploitdevelopment #patchdiffing #pocbuilding #binary

https://github.com/piotrflorczyk/cve-2019-1458_POC

🚨 Алярм. Новый #patchtuesday подвёз #critical #rce уязвимость в #DNS для #ActiveDirectory. Подробностей естественно не завезли, публичных #1day тоже нет, тем не менее процесс обновления не следует откладывать в долгий ящик.
👆Для тех кто хочет собрать 1day выше был пост о том как исследователь это делал, прекрасная возможность попробовать свои силы. И возможно заработать денег.
🤫 А если вы не знаете куда деть свои подобные находки, пишите мне. Я с радостью помогу😉

#news #windows #update

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0761

https://news.1rj.ru/str/x_notes/194

🤠 Интересный разрбор експлойта CVE-2020-0986 который использовался при таргетированных атаках #PowerFall обнаруженных #KasperskyLab в мае этого года, когда через #0day уязвимость в #InternetExplorer были совершены ряд атак на различные организации

#exploit #analysis #APT

https://securelist.com/operation-powerfall-cve-2020-0986-and-variants/98329/
https://securelist.com/ie-and-windows-zero-day-operation-powerfall/97976/

🔴🔴
🐍 Прикольный инструмент для поднятия своего #WSUS сервера, который будет раздавать “правильные” апдейты для винды в локальной сети. Для того чтобы инструмент прям заработал как нужно, необходимо постараться тем не менее может быть крайне полезным при атаках.

#tools #updates #redteaming

https://github.com/GoSecure/pywsus

🔥🔥🔥
Новости. Хакеры из группы #TeamTNT использовали легальный софт Weave Scope для получения доступа к контейнерам с приложениями, что позволяло им выполнять любой код на облачном решении.
👽 Для того чтобы подготовится к атаке, хакеры находили неправильно сконфигурированные контейнеры, после чего устанавливали на них #WeaveScope для того чтобы не терять доступ к контейнеру.
🎃 Очередная поучительная история о том как легальный софт используют для злонамеренных целей.

#news #cloud #docker

https://threatpost.com/teamtnt-remote-takeover-cloud-instances/159075/

🔴🔴
🥖 Свеженькая техника как не спалится пока работаешь на #Windows хосте. С одной стороны прикольная задумка, а с другой стороны надо бы доработать, потому что я думаю что команда #blueteam при полном отсутствии активности тоже стригерятся.
💡 А вот взять идею, допилить ее до вида перехвата сообщений в #EventLog, и выдачей только легальной активности, вот это было бы супер.

#redteam #offensivesecurity #coding

https://www.ired.team/offensive-security/defense-evasion/disabling-windows-event-logs-by-suspending-eventlog-service-threads

​🥇🥇🥇
🤗 Всем привет. Чувствую что на этой неделе темп публикаций сбился, так что со следующей недели начну организовывать стабильный постинг.

На данный момент есть следующая идеа для контент плана:
▪️9:00 - новости, что-то на мой взляд прикольное;
▪️12:00 - пост на свободную тему, тула, статья, етц;
▪️15:00 - пост на свободную тему, тула, статья, етц;
▪️18:00 - какой-то прикол, лулз, етц.

Если что-то экстренное то вне расписания сразу в канал пишу.

Хотелось бы услышать фидбэк, можно прям в личку!

🌍
🙃 Доброе утро. #Microsoft опубликовал информацию об атаках на штабы Трампа и Байдена. Как всегда атакую киберармии России, Китая и Ирана.
🤔 Мне всегда интересно когда упоминают киберармии таких стран как Иран, Северная Корея и прочие страны третьего мира, откуда 🤬 у них киберармии?
У нас тут куча технических ВУЗов, блэкари в депутатах и прочие прелести. По итогу ни киберзащиты, ни киберармии. За счёт чего эти киберармии появляются в странах третьего мира?

#news #russianhackers #usa

https://www.zdnet.com/article/microsoft-confirms-chinese-iranian-and-russian-cyber-attacks-on-biden-and-trump-campaigns/

🟢🟢
📰 На #github появился скрипт для тестирования уязвимости #Zerologon (CVE-2020-1472). Он позволяет совершить проверку обхода аутентификации и завершает сессию.
🔥 Если кто-то не в курсе дела, то #Microsoft запатчили уязвимость которая позволяла путём вызова #RPC процедуры получить права админа, в том числе доменного.
❤️ Уязвимость получила 10 балов по шкале #CVSS. Так что если вы не накатили апдейты, то очень пора. На основе этого кода умельцы быстро напишут боевой сплойт, а потом будет беда.

#vulnerability #ActiveDirectory #patchtuesday

https://github.com/SecuraBV/CVE-2020-1472

​‼️
✋ Всем привет. В ходе взаимодействия с найболее активными из вас, я принял решение сократить количество сообщений в течении дня. По советам подписчиков более двух сообщений в день и канал улетает в мьют, поразмыслив я понял что и сам так делаю. Особенно раздражают сообщения в разгар рабочего дня, поэтому буду публиковать посты утром, и ближе к вечеру.
⚛️ Спасибо за отклики, и за понимание. Всем хорошего дня.

#announcement #info

🔴🔴
Интересная статья о том как нагенерировать фейковых логов для #SIEM для отвлечения аналитиков от реальной атаки. Действия на поле кибервойны все чаще и чаще начинают напоминать действия на реальных полях сражений, когда для победы применяется масштабная тактика позволяющая ввести в заблуждение соперника.
В интересные мы живем времена.

#DoS #logs #redteam

https://letsdefend.io/blog/attacking-siem-with-fake-logs/

😇 Утилита которая позволяет определять технологии примененные в #web приложении, будет полезной на этапе сбора инфомации о цели. По сути это является портом расширения #Wappalyzer

#OSINT #WebApp #analyzer

https://github.com/blackarrowsec/wappy

🌍🌎
😮 Никогда такого не было, но все рано или поздно случается)
💸 Около двух тысяч сайтов которые используют #Magento были подломаны и инфицированны “скимером” (программой которая считывает данные держателя карты при оплате), в итоге есть подозрение на огромную утечку платежных данных.
0️⃣ Судя по аналитике из статьи, совсем недавно некий товарищ продавал в #darknet #zeroday #exploit под первую версию Magento, после чего произшло “внезаное” событие. Иногда #bugbounty бывают полезными, а иногда может помочь #threathunting

#Magecart #cardskimmer #paymentdata

https://threatpost.com/magecart-campaign-10k-online-shoppers/159216/

🤖
🤓 Утро доброе, друзья. Сегодня обнаружил ремейк #DepencyWalker, когда-то легендарный софт который помогал разработчикам и реверсерам находить библиотеки которые исползует тот или инной бинарь, его разработка была давненько приостановленна, и вот сейчас группа энтузиастов занялась разработкой #OpenSource аналога.

#reverseengineerig #depencies #reversing

https://github.com/lucasg/Dependencies

🚨🚨
Новая пачка утечек на канале FreedomFox'a.
🧐 Ушел анализировать....

#SoftServe #leak #freedomfox

https://news.1rj.ru/str/freedomf0x/9642
https://news.1rj.ru/str/freedomf0x/9643
https://news.1rj.ru/str/freedomf0x/9644
https://news.1rj.ru/str/freedomf0x/9645

🐒
🧐 Не запланированный пост, но все же похвастаюсь что за час прошел базовый курс по #Burp
🦧 Вопрос к признаным экспертам: Теперь я могу называться #Web пентестером?

P.S. Если у вас есть подписка Coursera Plus, то можете пройти курс, он очень легкий и много времени не займет. 🦍

#coursera #learning #webapppentester

https://coursera.org/share/2584ffc4347afc52b840377bf9ea89f7
https://www.coursera.org/projects/web-application-security-testing-burp-suite

⚪️⚪️
💭 Листая ленту #twitter обнаружил интересный пост с ликбезом о том что такое #ZeroTrust модель безопасноси.
❌ Если кратко то в данной модели безопасности нет места какой либо мягкости, каждая единица в периметре атаки должна обладать собственным периметром, каждое новое устройство должно обладать минимумом ресурсов и привелегий.
✅ По моему мнению идея неплоха, т.к. позволяет усложнить атаку и значительно поднимает бюджеты на атаку, в следствии чего выше вероятность того что атакующие отступят(но это в случае с финансово мотивированными хакерами), в остальных случаях у #blueteam будет больше времени на обнаружение. В любом случае задача защищающей стороны усложнить атаку, и не усложнить жизнь пользователям.

#thoughts #101 #blog

https://www.darkreading.com/edge/theedge/zero-trust-security-101-/b/d-id/1338595

🧐
🤫 Как-то целый день был занят рабочими задачами и не писал, а тут друзья напомнили провести аналитику. Итак убер секретный код, убер антивируса:
🤔 Как по мне выглядит максимально убого, по моему нам чего-то недосливают. Это конечно не весь код, но остальное в этом же духе.

#SoftServe #leak #Cylance

import json
import urllib.request
import subprocess
import time


URL_FOR_DOWNLOADING_IMAGE = "https://i.eurosport.com/2020/04/15/2806767-57900350-2560-1440.jpg?w=1600"


class LocalFile:

    path_to_json_file = "C:ProgramDataCylanceStatusStatus.json"

    def download_application(self, url, path):
        downloaded_application = str(urllib.request.urlretrieve(url, path))
        return downloaded_application

    def get_application_location(self, command):
        location_of_application = subprocess.Popen("WHERE /R {}".format(command), shell=True, stdin=subprocess.PIPE,
                                               stdout=subprocess.PIPE, universal_newlines=True)
        message = location_of_application.stdout.readline()
        location_of_application.communicate()
        location_of_application.terminate()
        return message

    def execute_application_command(self, command):
        execution = subprocess.Popen('{}'.format(command), shell=True, stdin=subprocess.PIPE, stdout=subprocess.PIPE,
                                     universal_newlines=True)
        time.sleep(20)  # TODO add more explicit wait
        message = execution.stdout.readline()
        execution.communicate()
        execution.terminate()
        return message

    def download_image_from_browser(self):
        full_name_of_picture = "image" + '.jpg'
        return urllib.request.urlretrieve(URL_FOR_DOWNLOADING_IMAGE, full_name_of_picture)

    def get_data_from_json(self):
        file_structure = open(self.path_to_json_file, "r", encoding="utf8")
        file_structure_expected_data = json.loads(file_structure.read())
        count_of_threats = file_structure_expected_data["Threats"]["count"]
        count_of_exploits = file_structure_expected_data["Exploits"]["count"]
        count_of_noscripts = file_structure_expected_data["Scripts"]["count"]
        sum_of_threats_exploits_noscripts = count_of_threats + count_of_exploits + count_of_noscripts
        file_structure.close()
        return sum_of_threats_exploits_noscripts

​🦧 Ситуация с #SoftServe набирает обороты: Галерные работники упорно жмут F5 заходя на ebanoe.it, пан Дирехтор раздает команду отаковать.
💸 Но это все поздно, информация просочилась в западную прессу, кастомеры уже афигевают, такое бывает когда ты профакапил. Но в место того чтобы признать факап, они пытаются его скрыть как кошка которая нагадила на ковер, типикал юкрэйниан бизнес. Видимо пан дирехтор за эффект Стрейзанд не слышал.
🚰 Я бы посоветовал еще бывшим галерным гребцам данного Титаника подать в суд за утечку персональных данных, но в нашей стране всем плевать на ваши утечки.
😂 P.S. А я то думаю откуда у меня дизлайки

#ebanooe #DDoS #leak

https://news.1rj.ru/str/DC8044_Info/836
https://ebanoe.it/2020/09/17/softserve-leaks/

🔁 Взято у братиков из @dc8800