#soc

Picosnitch - мониторинг сетевой активности программы в Linux

Если необходимо отследить сетевую активность конкретного приложения Linux, то можно воспользоваться утилитой picosnitch .

Через веб-интерфейс имеется возможность отледить информацию по конкретному приложению, IP адресу, домену, порту.

Читать полностью…

Формы восстановления пароля❓☄️

Казалось бы, что может быть необычного в таком привычном функционале, как восстановление пароля?

Но за обычной кнопкой на фронте скрывается порой то , что может удивить.

О таких багах, связанных с логикой сброса пароля, которые были найдены при реальных пентестах, и пойдет речь в данном посте 🔽

‼️ В данном кейсе при нажатии на кнопку отправлялся следующий запрос

{"email":"user@test.com","url":"http://domain.com/password-reset"}'

И на указанный емэил приходит письмо с предложением пользователю сменить пароль (пример этого письма на фото к посту).
Думаю, всем сразу же стало очевидно, что в запросе уязвимый параметр url, изменив который, мы сможем заставить пользователя перейти на контролируемый злоумышленником домен. Таким образом, пользователю пришло бы тоже самое письмо на почту, с той же самой кнопкой "Восстановить пароль", но нажав на нее, он перешел бы на контролируемый злоумышленником домен, куда мог бы ввести свой старый пароль.

‼️ Данный баг чем-то похож на предыдущий, но импакт от него посущественнее. Что ж опять перехватываем запрос после нажатия "Reset Password" и видим следующее

{"message":"To reset your password click https://domain.com/reset-password?hash=hash", "subject":"Password Recovery", "to_recipients":"user@test.com"}

И сразу же бросается в глаза, что не просто ссылка для восстановления пароля контролируется пользователем, а все параметры письма. Не долго думая, пробуем изменить параметры запроса.. И неужели...
Мы получили возможность от легитимной почты заказчика отправлять письма любого содержания кому-угодно. Импакт можно себе представить.. Наверное, нет лучшей находки для начала фишинговой рассылки.

‼️ Последний баг, про который хотелось бы рассказать, имеет самый огромный импакт, а именно полный Account Takeover через функционал восстановления пароля. Главным спонсором этого бага был всем известный HackTricks . Идея была очень простая... При отправке запроса на восстановления пароля

{"email":"user@test.com"}

можно было передать несколько емэйлов через массив, что выглядело следующим образом

{"email":["evil@test.com","user@test.com"]}

После чего на две почты приходило два одинаковы письма, с идентичными токенами для восстановления пароля. Таким образом, зная почту пользователя, можно было осуществить полноценный захват аккаунта.

Читать полностью…

#infosec

Microsoft Defender научился детектировать незащищённые сети Wi-Fi

Как известно, функциональность Defender VPN предусматривает защиту личных данных при подключении к общедоступным Wi-Fi-сетям, шифруя и перенаправляя трафик через серверы Microsoft.

Теперь корпорация пишет, что разработчики доработали Defender VPN и оснастили его возможностью автоматически детектировать и предупреждать пользователей о небезопасных сетях.

На данный момент нововведение доступно только в версиях Defender для Android, iOS и Windows. Аналогичные возможности должны скоро появиться и в macOS-версии.

Читать полностью…

#pentest #tools

Обновление NativeDump - BOF (Beacon Object Files)

Применимо для Cobalt Strike, TrustedSec's COFFLoader и Meterpreter's bofloader module.

Ознакомиться с утилитой можно по следующей ссылке

Читать полностью…

#infosec

NIST отменяет сложные пароли и обязательную смену паролей

Новые рекомендации фокусируются на создании длинных и уникальных паролей, что делает их более устойчивыми к взлому, при этом снижая стресс и неудобства для пользователей.

К 2027 году российский рынок безопасной разработки ПО может вырасти вдвое

Основными факторами, влияющими на развитие российского рынка безопасной разработки, являются развитие IT-отрасли в целом, уход иностранных вендоров, геополитическая обстановка, Указ президента РФ о переходе на отечественное ПО, увеличение числа кибератак на бизнес и государственный сектор.

30 рублей превращаются в 3000: новая мошенническая схема на маркетплейсах

Выбрав жертву, желающую приобрести товар или услугу, мошенники переводят разговор из внутреннего чата системы во внешний мессенджер – WhatsApp или Telegram, а затем предлагаются доплатить небольшую сумму (20-30 рублей) за оформление или ускоренную доставку.

Читать полностью…

#redteam

Уязвимости в C2-фреймворках с открытым исходным кодом

В этой статье представлен обзор C2, рассматриваются детали выявленных уязвимостей.

В конце приводятся некоторые заключительные соображения о текущем состоянии C2-ландшафта и о том, как могут выглядеть будущие разработки.

Приятного прочтения

Читать полностью…

7-8 октября в Москве пройдёт форум по информационной безопасности КИБЕРТЕХ. Организатор Минцифры, оператор ВИПФОРУМ. Повестка форума в 2024 году сфокусирована на решении ключевых задач в сфере ИБ, на укреплении безопасности промышленной инфраструктуры и достижении технологической независимости отраслей экономики Российской Федерации.

Участие для заказчиков бесплатное

Основные темы мероприятия:
🟣Информационная безопасность в экономике данных
🟣Технологическая независимость и информационная безопасность: две стороны устойчивости функционирования ИТ-инфраструктуры
🟣Обеспечение безопасности критически важной инфраструктуры
🟣Защита персональных данных

Площадка объединит более 1500 участников, не упустите шанс стать одним из них ⚠️

Дата и место: 7-8 октября, г. Москва, Кластер «Ломоносов»

Регистрация и подробная программа форума – на официальном сайте 🔗

Читать полностью…

🔐 Кибербез в одной папке

В продолжение выпусков bogatyreva_it">подкаста «Богатырёва о цифре» с Positive Technologies и BI.ZON собрала папку с Telegram-каналами о кибербезопасности.

Аналитика и полезные советы по защите от киберугроз, а также самые актуальные новости из мира ИБ. Если вы, как и я, заботитесь о сохранности своих данных и безопасности в Сети, эта подборка поможет вам 😉

Добавляйте к себе папку и делить с друзьями и коллегами

Читать полностью…

#pentest

LazyDork Tool

Генератор дорков в соответствии с заданным доменом и типом поиска.

Читать полностью…

#soc #pentest

Отчёт: 2024 State of the Phish

Представьте себе успешную кибератаку на Вашу организацию. На что это похоже?

Возможно, она включает в себя дьявольски умную социальную инженерию - убедительную замануху, которая застает получателя врасплох. А может быть, потребуется красивый эксплойт, чтобы обойти Вашу защиту. Но в действительности субъектам угроз не всегда приходится так уж стараться.

Зачастую самый простой способ взломать систему безопасности - это использовать человеческий фактор.

По данным исследования State of the Phish, проведенного в этом году, 71 % сотрудников признались, что совершали рискованные действия, такие как повторное использование или передача пароля, переход по ссылкам от неизвестных отправителей или предоставление учетных данных ненадежному источнику. При этом 96 % из них делали это, зная, что идут на риск.

Читать полностью…

#soc #realcase

Обход песочниц: состояние дел на 2024 год

Этот пост посвящен методам уклонения от песочницы.

Существует множество методов обхода песочницы, некоторые из них просты: запрашивают WMI.

Некоторые сложнее: анализируют таблицы SMBIOS, а большинство пытаются обнаружить артефакты песочницы.

Автор статьи решил проверить, по-прежнему ли эти методы эффективны для обнаружения песочниц, или с тех пор песочницы были обновлены для противодействия существующим методам.

Приятного прочтения 🎯

Читать полностью…

#realcase

CVE-2023-29360: госсекреты США на волоске от масштабной компрометации

Такие заголовки новостей появлялись не так давно, в начале марта нынешнего года.

Как раз с подробным исследовательским отчётом по данной уязвимости можно ознакомиться по следующей ссылке.

Сам же PoC можно найти на GitHub

Читать полностью…

#pentest

Kraken - All-in-One Toolkit for BruteForce Attacks

Универсальный инструмент для реализации брутфорса разных служб и сервисов в одной коробке.

Читать полностью…

#soc

📘 The Threat Hunter Playbook

Все документы по обнаружению в этом проекте соответствуют структуре MITRE ATT & CK, классифицирующей поведение атакующего после компрометации, и доступны в виде интерактивных записных книжек.

Читать полностью…

#soc

🔹 SOAR Playbook

SOAR (Система оркестрации, автоматизации и реагирования на инциденты безопасности) - это набор служб и инструментов, которые автоматизируют процессы предотвращения кибератак и противодействия им.

Автоматизация достигается за счет объединения интегрированных инструментов, определения способов выполнения задач и разработки плана реагирования на инциденты, отвечающего потребностям организации.

Читать полностью…

#pentest #tools

Argus — это универсальный инструмент для упрощения процесса сбора и анализа информации

Argus предлагает богатую коллекцию инструментов, разделенных на три основные области:

Инструменты для сети
Инструменты анализа веб-приложений
Инструменты анализа угроз

✍️ GitHub

Читать полностью…

#soc

Best Practices для Event Logging и Threat Detection

Читать полностью…

Открыта регистрация на визионерскую конференцию по кибербезопасности — SecurityTech 2024!

Главные темы этого года - прогнозы ландшафта угроз для ключевых отраслей экономики и тренды в обеспечении корпоративной безопасности.

Обсудим:
💟Безопасность энергетических объектов, финансовых организаций, ритейла и телеком-отрасли
💟Готовность бизнеса и государства к новым угрозам
💟Облачную безопасность
💟Инвестиции в ИБ
💟Требования регуляторов

В программе 2 дискуссионных сессии и практический блок от экспертов рынка⚡️

Встречаемся в Москве 24 октября в 10.00

Участие бесплатное, нужна регистрация

Регистрируемся тут

Читать полностью…

#pentest #exploit

Microsoft Office NTLMv2 Disclosure (CVE-2024-38200)

Эксплойт включает в себя использование 302 редиректа и злоупотребление неправильными конфигурациями GPO для перехвата хэшей NTLMv2 по SMB и HTTP.

В свою очередь, компания Microsoft предупредила об уязвимости, затрагивающей различные версии Office, которая может раскрыть хеши NTLM удаленному злоумышленнику.

Проблема получила идентификатор CVE-2024-38200 и описывается как уязвимость раскрытия информации, позволяющая неавторизованным лицам получить доступ к защищенным данным. Сообщается, что баг затрагивает несколько 32- и 64-битных версий Office, включая Office 2016, Office 2019, Office LTSC 2021 и Microsoft 365 Apps for Enterprise.

Хотя по оценке Microsoft эксплуатация CVE-2024-38200 считается маловероятной, MITRE оценивает проблему иначе и предупреждает, что вероятность эксплуатации уязвимостей такого типа обычно высока.

Читать полностью…

#soc

Интерактивная и user-friendly матрица MITRE ATT&CK на русском языке

Любой специалист по информационной безопасности чётко ответит на вопрос: что такое матрица MITRE ATT&CK.

В статье показан её русскоязычный аналог, подробно описывается принцип работы с ней и указываются пути развития отечественного аналога.

Если не встречались раньше с этой статьёй, рекомендуем внимательно ознакомиться.

Приятного прочтения

Читать полностью…

#forensics

PowerShell Command History Forensics

Цель этой статьи - изучить различные артефакты, генерируемые PowerShell, и в случаях, когда они отсутствуют или изменены, выяснить, каковы могут быть последствия.

Приятного прочтения

Читать полностью…

#pentest

Kali Linux Penetration Testing Cheat Sheet

Это всеобъемлющее руководство содержит краткие ссылки, команды и техники для различных аспектов тестирования на проникновение.

Читать полностью…

Опубликовали видеоролик о том, как прошла ежегодная независимая премия Pentest award 2024!

Радостные лица, толпа заряженных специалистов, и, конечно, счастливые победители с наградами в руках — настоящий праздник этичного хакинга.

Здорово было встретится в офлайне со старыми друзьями и коллегами, познакомиться с новыми людьми, обменяться знаниями и идеями, поговорить о важном, профессиональном, наболевшем.

До встречи в 2025 году 👋

Отдельная благодарность партнерам проекта: BI.ZONE Bug Bounty, VK Bug Bounty, OFFZONE и CyberED.

📺 Полное видео
🔗 Pentest award (архив)
❤ @justsecurity

Читать полностью…

#infosec

Сбербанк прогнозирует рост средств, украденных мошенниками у россиян

Объем хищений средств мошенниками по итогам 2024 года может достигнуть 300 миллиардов рублей, что на 20% больше, чем годом ранее, заявил зампред правления Сбербанка Станислав Кузнецов в интервью РИА Новости на полях ВЭФ.

Однако если бизнес и государство будут действовать максимально скоординировано и активно, то тренд на увеличение хищений может измениться, уверены в Сбербанке.

Читать полностью…

#infosec

Госорганам рекомендовали закрыть доступ к сайтам для зарубежных ботов

ФСТЭК считает, что зарубежные поисковые боты могут собирать информацию об уязвимостях сайтов госорганов и использовать для обучения нейросетей.

Федеральная служба по техническому и экспортному контролю (ФСТЭК России, подведомственна Минобороны) рекомендовала госорганам закрыть доступ к своим сайтам для зарубежных поисковых ботов, пишет «Коммерсантъ» со ссылкой на письмо ФСТЭК от 20 августа, разосланное в федеральные органы исполнительной власти.

Служба считает, что зарубежные поисковые роботы «собирают информацию о существующих уязвимостях информационных ресурсов органов государственной власти РФ и о персональных данных, чтобы использовать в зарубежных моделях машинного обучения». В этой связи там рекомендовали ограничить доступ для ботов, в том числе GPTBot компании OpenAI, к файлам robots.txt веб-сайтов и серверов.

Читать полностью…

#infosec

Глобальное исследование «Лаборатории Касперского»: 41% компаний испытывают нехватку специалистов в области информационной безопасности

С точки зрения отраслей сильнее всего ощущается нехватка ИБ-специалистов в государственных секторах, где на момент опроса была не закрыта почти половина вакансий (46%). Заметный дефицит также отмечается в телекоммуникациях и медиа (39%), ретейле и здравоохранении (по 37%). Меньше всего незакрытых вакансий в странах, где проводилось исследование, в ИТ (31%) и финансах (27%).

«Нехватка ИБ-специалистов разной направленности ощущается не только в мире, но и в России. Это обусловлено в том числе продолжающейся цифровизацией в компаниях, растущими потребностями расширяющегося бизнеса, увеличением количества кибератак. Мы видим высокий спрос, в частности, на инженеров внедрения средств защиты информации и SOC-аналитиков, а также специалистов по безопасной разработке. К тому же полагаем, что в ближайшем будущем начнёт расти потребность в экспертах в области безопасности ИИ и нейросетей», — сказал Владислав Галимов, руководитель группы подбора персонала по направлению информационной безопасности в «Лаборатории Касперского».

Читать полностью…

#infosec

Tickler: пропуск иранских шпионов к секретам США и ОАЭ

Peach Sandstorm атакуют нефтегаз и спутники.

Согласно отчету корпорации, хакеры из Peach Sandstorm применяют этот многоступенчатый вредонос начиная с апреля 2024 года. Программа собирает различную сетевую информацию с зараженных машин и отправляет её на командные сервера злоумышленников.

Чтобы защитить свои системы от деятельности Peach Sandstorm, эксперты рекомендуют регулярно менять пароли учетных записей, подвергшихся атакам, отозвать сессионные cookie, а также, если у скомпрометированной учетной записи были привилегии системного уровня, провести дополнительный анализ.

Подробнее читайте в следующей статье.

Читать полностью…

#infosec

☎️ Мошенники активизировались перед Днем знаний

Мошенники активно эксплуатируют подготовку детей к новому учебному году. Они заманивают в фальшивые интернет-магазины, привлекая всевозможными скидками и конкурсами.

📊 Объем российского рынка безопасной разработки ПО может достичь 60 млрд рублей в 2027 году

По усредненной оценке ЦСР, объем российского рынка безопасной разработки по итогам 2022 года составил около 8,25 млрд рублей, а в 2023 году достиг 9,84-12,32 млрд рублей. Аналитики прогнозируют стабильный рост сегмента в будущем: по самым осторожным оценкам, к 2027 году его объем приблизится к 17,75 млрд рублей, увеличившись почти в два раза, а по самым оптимистичным - 60 млрд рублей (рост в 7 раз относительно 2022 года).

Читать полностью…

#tools #pentest

⚙️ Wi-Fi аудит

Несмотря на большое количество инструментов для аудита беспроводных сетей, предлагаем дополнительно Вашему вниманию Freeway, обеспечивающий и деаутентификацию, Channel Hopper, Ewil Twin атаки.

Также прикладываем статью с другими существующими инструментами по данной теме.

Читать полностью…

#pentest

📱 Сохраненные учетные данные веб-браузера

Организации, использующие Microsoft Edge или Google Chrome для хранения учетных данных своих пользователей, уязвимы из-за злоупотребления API CryptUnprotectData (T1555.003)

О том, как это можно использовать на проектах, в следующей статье.

Приятного прочтения 📔

Читать полностью…