• Вы наверняка знаете, что UAC (User Account Control) – механизм, поддерживаемый всеми последними версиями Windows, который призван предотвратить несанкционированные административные действия, потенциально опасные для системы. UAC Bypass является достаточно распространённой атакой среди вредоносного ПО.
• В этой статье мы рассмотрим механику работы UAC и разберемся с некоторыми рабочими методами по обходу UAC:
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from infosec
• https://dfedorov.spb.ru/edu/ — очень объемная "дорожная карта", которая поможет Вам определить необходимый пул требований \ знаний для различных специальностей в сфере ИБ. Схема составлена на основе анализа текущих вакансий.
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
Часть 1:
• Установка Nmap и настройка облачной лаборатории;
• Основы Nmap, спецификация целей и состояния портов;
• Обнаружение хостов / пинг сканирование;
• Техники сканирования Nmap;
• Спецификация портов, обнаружение служб, версий и операционной системы.
Часть 2.
• Скриптовый движок Nmap (NSE);
• Производительность Nmap, обход файрволов и IDS;
• Выходные данные Nmap и прочие опции;
• Zenmap;
• Как злоумышленники используют Nmap в C&C-инфраструктурах.
#Nmap #Курс
Please open Telegram to view this post
VIEW IN TELEGRAM
🚪 Python Backdoor.
• Проект, которым я сегодня поделюсь, является кроссплатформенным (Windows/Linux/MacOS) бэкдором с открытым исходным кодом и написанным на #python. Он включает в себя достаточно объемный функционал:
- Поддерживает несколько клиентов;
- Имеет встроенный кейлоггер;
- Может отправлять команды всем клиентам одновременно;
- Делать скриншоты / передавать файлы;
- Использовать LaZagne для получения различных паролей;
- Отключать запущенные процессы;
- Проверка на то, где осуществлен запуск (ВМ, песочница, ПК)
- Может добавлять себя в автозагрузку и т.д.
• С полным списком и подробным описанием можно ознакомиться по ссылке: https://github.com/xp4xbox/Python-Backdoor
• P.S. Используйте данный инструмент только для тестирования собственных систем и не нарушайте закон.
#python #Backdoor
• Проект, которым я сегодня поделюсь, является кроссплатформенным (Windows/Linux/MacOS) бэкдором с открытым исходным кодом и написанным на #python. Он включает в себя достаточно объемный функционал:
- Поддерживает несколько клиентов;
- Имеет встроенный кейлоггер;
- Может отправлять команды всем клиентам одновременно;
- Делать скриншоты / передавать файлы;
- Использовать LaZagne для получения различных паролей;
- Отключать запущенные процессы;
- Проверка на то, где осуществлен запуск (ВМ, песочница, ПК)
- Может добавлять себя в автозагрузку и т.д.
• С полным списком и подробным описанием можно ознакомиться по ссылке: https://github.com/xp4xbox/Python-Backdoor
• P.S. Используйте данный инструмент только для тестирования собственных систем и не нарушайте закон.
#python #Backdoor
Forwarded from Cyber Media
С одной стороны камеры видеонаблюдения призваны повышать уровень безопасности и контроля, но с другой стороны они уязвимы для злоумышленников и могут нести угрозу своим владельцам.
Please open Telegram to view this post
VIEW IN TELEGRAM
• Это руководство ориентированно на начинающих, чтобы помочь им понять основы Ansible. Материал также может помочь в качестве руководства для инженеров.
- Краткое руководство;
- Настройка среды;
- Специальные команды;
- Основы YAML;
- Playbooks;
- Роли;
- Переменные;
- Устранение неполадок;
- Расширенное исполнение;
- Полезные ресурсы.
#Ansible #DevOps
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
• Наглядная демонстрация работы основных сетевых протоколов.
• Не забывайте, что у нас есть полезный материал на эту тему:
- Протоколы транспортного уровня UDP, TCP и SCTP: достоинства и недостатки;
- TCP vs UDP;
- TCP/IP Ports database;
- TCP\UDP port numbers.
- Курс сетевых технологий. Cisco.
#Сети
Please open Telegram to view this post
VIEW IN TELEGRAM
• Особенности, сферы применения, установка, онлайн IDE;
• Все, что нужно для изучения Python с нуля;
• Методы работы со строками;
• Методы работы со списками и списковыми включениями;
• Методы работы со словарями и генераторами словарей;
• Методы работы с кортежами;
• Методы работы со множествами;
• Особенности цикла for;
• Условный цикл while;
• Функции с позиционными и именованными аргументами;
• Анонимные функции;
• Рекурсивные функции;
• Функции высшего порядка, замыкания и декораторы;
• Методы работы с файлами и файловой системой;
• Регулярные выражения;
• Основы скрапинга и парсинга;
• Основы ООП: инкапсуляция и наследование;
• Основы ООП – абстракция и полиморфизм;
• Графический интерфейс на Tkinter;
• Основы разработки игр на Pygame;
• Основы работы с SQLite;
• Основы веб-разработки на Flask;
• Основы работы с NumPy;
• Основы анализа данных с Pandas.
#Python
Please open Telegram to view this post
VIEW IN TELEGRAM
Шпаргалка по архитектуре k8s.jpg
998.1 KB
• Дополнительный материал:
- Полезные уроки, которые помогут освоить K8s;
- Kubernetes Goat;
- Взлом и защита Kubernetes.
#Kubernetes #DevOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
На прошлой мы сообщали о том, как Microsoft сначала метил то одну, затем другую критическую 0-day в качестве активно эксплуатируемой.
Точно определившись, что именно CVE-2024-21410 в Exchange все-таки эксплуатируется вживую, разработчик снял планку с CVE-2024-21413 (Microsoft Outlook RCE), которая получила название MonikerLink.
Теперь обнаруженная Check Point проблема обзавелась PoC MonikerLink, который доступен на GitHub.
Поэтому насчет отметки Microsoft придется задуматься в ближайшем будущем, ведь непропатченные системы обязательно станут полигоном для киберподполья.
Точно определившись, что именно CVE-2024-21410 в Exchange все-таки эксплуатируется вживую, разработчик снял планку с CVE-2024-21413 (Microsoft Outlook RCE), которая получила название MonikerLink.
Теперь обнаруженная Check Point проблема обзавелась PoC MonikerLink, который доступен на GitHub.
Поэтому насчет отметки Microsoft придется задуматься в ближайшем будущем, ведь непропатченные системы обязательно станут полигоном для киберподполья.
Telegram
SecAtor
Другая отмеченная Microsoft как эксплуатируемая 0-day, которая должна была стать четвертой исправленной Patch Tuesday в феврале, лишилась пометки и, похоже, что не использовалась в дикой природе.
Критическая CVE-2024-21413 затрагивает Outlook и позволяет…
Критическая CVE-2024-21413 затрагивает Outlook и позволяет…
Forwarded from SecAtor
͏Силовики рапортуют о проведении операции под названием Хронос, в результате которой им удалось захватить серверы действующей с 2019 года банды вымогателей Lockbit.
В мероприятиях, как отмечается, наряду с Европолом приняли участие власти 11 стран: Австралии, Канады, Финляндии, Франции, Германии, Японии, Нидерландов, Швеции, Швейцарии, Великобритании и США.
Столь ошеломительному успеху способствовали отчасти сами хакеры, не углядевшие за уявзимостью в PHP (CVE-2023-3824 с CVSS: 9,8), которая собственно и открыла двери в их инфраструктуру.
Так что теперь сайт DLS и другие части инфраструктуры Lockbit показывают сообщение о том, что они конфискованы в рамках совместной полицейской операции и находятся под контролем NCA Великобритании и ФБР США, а внутри админки силовики вовсю развлекаются с участниками партнёрской сети.
Кроме того, правоохранителям удалось добраться и до исходников LockBit, включая и данные о жертвах, переговорах, суммах выкупа, украденных данных.
В свою очередь, Lockbit утверждают, что у них сохранились все бэкапы и с ними всё в порядке, помимо серверов никто из членов банд не пострадал.
Причем некоторые другие веб-сайты банды (включая используемые для размещения данных) все еще активны.
Учитывая серьезную репутацию Lockbit с 1700 атаками начиная с 2020 года, а также опыт последних аналогичных операций в отношении ALPHV или Hive, не особо подкосивших их RaaS-активность, не все так однозначно с Хронос.
В мероприятиях, как отмечается, наряду с Европолом приняли участие власти 11 стран: Австралии, Канады, Финляндии, Франции, Германии, Японии, Нидерландов, Швеции, Швейцарии, Великобритании и США.
Столь ошеломительному успеху способствовали отчасти сами хакеры, не углядевшие за уявзимостью в PHP (CVE-2023-3824 с CVSS: 9,8), которая собственно и открыла двери в их инфраструктуру.
Так что теперь сайт DLS и другие части инфраструктуры Lockbit показывают сообщение о том, что они конфискованы в рамках совместной полицейской операции и находятся под контролем NCA Великобритании и ФБР США, а внутри админки силовики вовсю развлекаются с участниками партнёрской сети.
Кроме того, правоохранителям удалось добраться и до исходников LockBit, включая и данные о жертвах, переговорах, суммах выкупа, украденных данных.
В свою очередь, Lockbit утверждают, что у них сохранились все бэкапы и с ними всё в порядке, помимо серверов никто из членов банд не пострадал.
Причем некоторые другие веб-сайты банды (включая используемые для размещения данных) все еще активны.
Учитывая серьезную репутацию Lockbit с 1700 атаками начиная с 2020 года, а также опыт последних аналогичных операций в отношении ALPHV или Hive, не особо подкосивших их RaaS-активность, не все так однозначно с Хронос.
📦 Red Team Attack Lab.
• Ссылка на репозиторий, который представляет собой виртуальную среду с различными операционными системами и уязвимостями для практики Red Team. Ознакомиться можно тут: https://github.com/Marshall-Hallenbeck/red_team_attack_lab
• Полный список ОС можно посмотреть здесь. Материал будет очень полезен для Red Team, Blue Team, пентестерам и ИБ специалистам.
#ИБ #Пентест
• Ссылка на репозиторий, который представляет собой виртуальную среду с различными операционными системами и уязвимостями для практики Red Team. Ознакомиться можно тут: https://github.com/Marshall-Hallenbeck/red_team_attack_lab
• Полный список ОС можно посмотреть здесь. Материал будет очень полезен для Red Team, Blue Team, пентестерам и ИБ специалистам.
#ИБ #Пентест
• Ради кражи криптовалюты некоторые злоумышленники устраивают аферы в стиле фильма «Поймай меня, если сможешь». Мишень — компании, ищущие инвесторов, к которым обращаются «инвестиционные фонды» и предлагают детально обсудить крупное вложение в бизнес.
• После нескольких созвонов и переписки жертвам — директорам стартапа — назначают личную встречу в роскошном отеле. На встрече долго обсуждаются юридические и финансовые вопросы, и под удобным предлогом возникает разговор об инвестициях или комиссионных сборах в криптовалюте.
• В итоге у жертвы подсматривают сид-фразу или кратковременно выманивают криптокошелек, а затем освобождают этот кошелек от всех денег. В одном из случаев жертв «нагрели» на четыре миллиона долларов, в другом, детально описанном, — на 206 тысяч.
#Разное #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Trend Micro продолжает отслеживать активность китайской Earth Preta, более известной в исследовательском сообществе как Mustang Panda (ака BASIN, Bronze President, Camaro Dragon, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 и TEMP.Hex), впервые попавшей в поле зрения исследователей еще 2017 году.
В новой наблюдаемой кампании АРТ атаковала различные азиатские страны с использованием модифицированного бэкдора PlugX (он же Korplug, основной инструмент Mustang Panda), получившего название DOPLUGS.
Причем ранее в арсенале группы встречались также и такие варианты PlugX, как RedDelta, Thor и Hodur.
Основные цели располагались на Тайване и во Вьетнаме, и в меньшей степени - в Гонконге, Индии, Японии, Малайзии, Монголии и даже Китае.
Профессиональная деятельность злоумышленника предполагает проведение тщательно продуманных целевых фишинговых кампаний.
Цепочка заражения начинается с электронного сообщения в качестве канала для доставки полезных данных первого этапа, на котором получателю демонстрируется документ-приманка, а параллельно распаковывается легально подписанный исполняемый файл, уязвимый для боковой загрузки DLL, которая, в свою очередь, расшифровывает и выполняет PlugX.
В свою очередь, PlugX извлекает Poison Ivy (RAT) или Cobalt Strike Beacon, чтобы установить соединение с подконтрольным АРТ сервером.
В декабре 2023 года Lab52 обнаружила кампанию Mustang Panda, нацеленную на тайваньские дипломатические и правительственные организации с помощью DOPLUGS, но с заметной разницей.
Вредоносная DLL была написана на языке программирования Nim. Этот новый вариант использует собственную реализацию алгоритма RC4 для расшифровки PlugX, в отличие от предыдущих версий, которые использовали библиотеку Windows Cryptsp.dll.
DOPLUGS, впервые задокументированный Secureworks в сентябре 2022 года, представляет собой загрузчик с четырьмя бэкдорными командами, одна из которых предназначена для загрузки основного типа вредоносного ПО PlugX.
Но в новой кампании Trend Micro столкнулась с образцами DOPLUGS, интегрированными с модулем KillSomeOne, плагином, который отвечает за распространение вредоносного ПО, сбор информации и кражу документов через USB-накопители.
Этот вариант оснащен дополнительным компонентом, который запускает законный исполняемый файл для загрузки неопубликованных DLL, а также поддерживает функциональные возможности для выполнения команд и загрузки вредоносного ПО следующего этапа с сервера злоумышленника.
Стоит отметить, что модифицированный вариант PlugX, включающий модуль KillSomeOne, предназначенный для распространения через USB, также попадал в поле зрения Avira еще в январе 2020 года в рамках расследования атак, направленных на Гонконг и Вьетнам.
В общем все это в очередной раз говорит о том, что Earth Preta постоянно оттачивает свой инструментарии, расширяя его функции и возможности, что позволяет АРТ сохранять и усиливать активность, фокусируясь на целях в Европе и Азии.
В новой наблюдаемой кампании АРТ атаковала различные азиатские страны с использованием модифицированного бэкдора PlugX (он же Korplug, основной инструмент Mustang Panda), получившего название DOPLUGS.
Причем ранее в арсенале группы встречались также и такие варианты PlugX, как RedDelta, Thor и Hodur.
Основные цели располагались на Тайване и во Вьетнаме, и в меньшей степени - в Гонконге, Индии, Японии, Малайзии, Монголии и даже Китае.
Профессиональная деятельность злоумышленника предполагает проведение тщательно продуманных целевых фишинговых кампаний.
Цепочка заражения начинается с электронного сообщения в качестве канала для доставки полезных данных первого этапа, на котором получателю демонстрируется документ-приманка, а параллельно распаковывается легально подписанный исполняемый файл, уязвимый для боковой загрузки DLL, которая, в свою очередь, расшифровывает и выполняет PlugX.
В свою очередь, PlugX извлекает Poison Ivy (RAT) или Cobalt Strike Beacon, чтобы установить соединение с подконтрольным АРТ сервером.
В декабре 2023 года Lab52 обнаружила кампанию Mustang Panda, нацеленную на тайваньские дипломатические и правительственные организации с помощью DOPLUGS, но с заметной разницей.
Вредоносная DLL была написана на языке программирования Nim. Этот новый вариант использует собственную реализацию алгоритма RC4 для расшифровки PlugX, в отличие от предыдущих версий, которые использовали библиотеку Windows Cryptsp.dll.
DOPLUGS, впервые задокументированный Secureworks в сентябре 2022 года, представляет собой загрузчик с четырьмя бэкдорными командами, одна из которых предназначена для загрузки основного типа вредоносного ПО PlugX.
Но в новой кампании Trend Micro столкнулась с образцами DOPLUGS, интегрированными с модулем KillSomeOne, плагином, который отвечает за распространение вредоносного ПО, сбор информации и кражу документов через USB-накопители.
Этот вариант оснащен дополнительным компонентом, который запускает законный исполняемый файл для загрузки неопубликованных DLL, а также поддерживает функциональные возможности для выполнения команд и загрузки вредоносного ПО следующего этапа с сервера злоумышленника.
Стоит отметить, что модифицированный вариант PlugX, включающий модуль KillSomeOne, предназначенный для распространения через USB, также попадал в поле зрения Avira еще в январе 2020 года в рамках расследования атак, направленных на Гонконг и Вьетнам.
В общем все это в очередной раз говорит о том, что Earth Preta постоянно оттачивает свой инструментарии, расширяя его функции и возможности, что позволяет АРТ сохранять и усиливать активность, фокусируясь на целях в Европе и Азии.
Trend Micro
Earth Preta Campaign Uses DOPLUGS to Target Asia
In this blog entry, we focus on Earth Preta's campaign that employed a variant of the DOPLUGS malware to target Asian countries.
• Это руководство включает в себя полезные советы для повышения безопасности и конфиденциальности в ОС на базе ядра Linux.
• Choosing the right Linux distribution;
• Kernel hardening;
• Mandatory access control;
• Sandboxing;
• Hardened memory allocator;
• Hardened compilation flags;
• Memory safe languages;
• The root account;
• Firewalls;
• Identifiers;
• File permissions;
• Core dumps;
• Swap;
• PAM;
• Microcode updates;
• IPv6 privacy extensions;
• Partitioning and mount options;
• Entropy;
• Editing files as root;
• Distribution-specific hardening;
• Physical security;
• Best practices.
#Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
• MITRE CVE — база данных, поисковик и классификатор уязвимостей.
• opencve.io — поисковик CVE с функционалом оповещений о новых угрозах.
• Vulnerability Database — ресурс для поиска информации об актуальных угрозах.
• sploitus — поисковик по эксплойтам и необходимым инструментам.
• CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени.
• GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности.
• Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения.
• Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг.
• osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации.
• security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом.
• Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit.
*Список ресурсов не претендует на полноту.
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• Автор этой статьи описывает процесс установки Raspberry Pi Zero в док-станцию для получения полного доступа к устройствам, которые к ней подключаются.
• Дело в том, что Raspberry Pi находится под управлением P4wn P1 A.L.O.A, делая "малину" по-настоящему хакерским устройством, позволяющим установить бэкдор на подключенном ПК, выполнить определенный скрипт, скачать данные и т.д:
#ИБ #Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• Основные сетевые термины и сетевые модели;
• Протоколы верхнего уровня;
• Протоколы нижних уровней (транспортного, сетевого и канального);
• Сетевые устройства и виды применяемых кабелей;
• Понятие IP адресации, масок подсетей и их расчет;
• Понятие VLAN, Trunk и протоколы VTP и DTP;
• Протокол связующего дерева: STP;
• Протокол агрегирования каналов: Etherchannel;
• Маршрутизация: статическая и динамическая на примере RIP, OSPF и EIGRP.
#Сети
Please open Telegram to view this post
VIEW IN TELEGRAM
CMD.pdf
4.6 MB
• Это самое объемное руководство по командной строке Windows, которое охватывает более 900 страниц и включает в себя все возможные команды, подробное описание и различные нюансы.
#cmd
#cmd
Полное_руководство_по_командам_Linux.pdf
384.2 KB
• А в этом руководстве ты найдешь самые важные команды Unix-подобных ОС. Для твоего удобства, команды сгруппированы по назначению.
#Linux
#Linux