🐝 TheHive

TheHive — платформа с открытым исходным кодом для управления инцидентами безопасности (Security Incident Response Platform, SIRP), предназначенная для облегчения работы команд реагирования на инциденты (CSIRT, SOC). Она масштабируемая, ориентирована на совместную работу и помогает централизованно регистрировать, анализировать, распределять задачи и эффективно расследовать инциденты безопасности.

Основные особенности TheHive:
🔺 Централизованное ведение инцидентов, включая классификацию (низкий, средний, высокий) и использование протокола TLP для управления конфиденциальностью информации.
🔺 Создание и управление задачами внутри каждого инцидента, что обеспечивает структурированный подход к реагированию.
🔺 Интеграция с такими инструментами, как Cortex для автоматизированного анализа и обогащения данных, а также с MISP для обмена индикаторами компрометации и изучения угроз.
🔺 Пользовательские информационные панели для мониторинга текущих инцидентов и выявления трендов в режиме реального времени.
🔺 Поддержка совместной работы команды в режиме реального времени, что помогает оперативно обмениваться информацией и координировать действия.
🔺 Наличие RESTful API для интеграции с другими системами безопасности, SIEM и платформами обработки тикетов.
🔺 Система управления доступом на основе ролей и полный аудит всех действий для соответствия нормативным требованиям и последующего анализа.

🌐 Благодаря открытому коду и активному сообществу, TheHive легко расширяется и кастомизируется под нужды конкретной организации.

📔 Также у TheHive имеются готовые плейбуки для реагирования на инциденте, а также их можно создавать самостоятельно, используя определенные шаблоны. Ниже представлен пример созданного плейбука для реагирования на активность Ransomware:

name: Ransomware_Containment
trigger: ransomware_behavior_detected
conditions:
  - multiple_file_modifications
  - encryption_patterns_detected
immediate_actions:
  - isolate_host:  # изоляция зараженной машины
  - kill_process:  # завершение подозрительных процессов
  - snapshot_vm:  # создание снимка виртуальной машины
  - collect_forensics:  # сбор артефактов для анализа

Как злоумышленники используют инструменты искусственного интеллекта❓ На основе недавнего анализа широкого спектра угроз специалисты по анализу угроз из Google (GTIG) выявили изменения, произошедшие за последний год: злоумышленники больше не используют искусственный интеллект только для повышения эффективности, они внедряют новые вредоносные программы с поддержкой ИИ в активные операции.

🙈Ключевые выводы
1️⃣Первое использование ИИ «Just-in-Time» в ВПО: GTIG впервые выявила семейства вредоносного ПО, такие как PROMPTFLUX и PROMPTSTEAL, которые используют большие языковые модели (LLM) во время исполнения. Эти инструменты динамически генерируют вредоносные скрипты, обфусцируют собственный код, чтобы избежать обнаружения, и привлекают модели ИИ для создания вредоносных функций по требованию, вместо того чтобы жёстко программировать их в самом ПО. Хотя это явление ещё на ранней стадии, оно представляет собой значительный шаг к более автономному и адаптивному вредоносному ПО.

2️⃣Социальная инженерия для обхода защит: Злоумышленники всё чаще используют в запросах предлоги, похожие на приёмы социальной инженерии, чтобы обойти защитные барьеры ИИ. Наблюдались случаи, когда злоумышленники выдавали себя за студентов на CTF-соревнованиях или за исследователей по кибербезопасности, чтобы убедить Gemini предоставить информацию, которая в противном случае была бы заблокирована, что облегчало разработку вредоносных инструментов.

3️⃣Зрелый подпольный рынок преступных AI-инструментов: Подпольный рынок нелегитимных AI-инструментов в 2025 году стал более зрелым. Выявлены многочисленные предложения многофункциональных инструментов, предназначенных для фишинга, разработки вредоносного ПО и поиска уязвимостей, что снижает барьер входа для менее опытных атакующих.

4️⃣Дальнейшее расширение всего жизненного цикла атаки: Спонсируемые государствами APT, в том числе из Северной Кореи, Ирана и КНР, продолжают злоупотреблять Gemini для усиления всех этапов своих операций — от разведки и создания фишинговых приманок до разработки систем командования и управления и эксфильтрации данных.

👻ВПО, написанные с использованием ИИ
🔴FRUITSHELL - публично доступный реверсшелл, написанный на PowerShell, устанавливающий удалённое соединение с настроенным С2 сервером и позволяющий злоумышленнику выполнять произвольные команды во взломанной системе. Семейство кодов содержит жёстко запрограммированные подсказки, предназначенные для обхода обнаружения или анализа системами безопасности на базе LLM.

🔴PROMPTFLUX - Dropper, написанный на VBScript, расшифровывает и запускает встроенный установщик-приманку, чтобы замаскировать свою активность. Его основная функция — регенерация, которую он выполняет с помощью Google Gemini API. Он запрашивает у языковой модели переписать его собственный исходный код и сохраняет новую, запутанную версию в папке автозагрузки для обеспечения постоянства. PROMPTFLUX также пытается распространяться, копируя себя на съемные диски и подключенные сетевые ресурсы.

🔴PROMPTLOCK - кроссплатформенная программа-вымогатель, написанная на Go, представляет собой экспериментальный образец. Она использует большую языковую модель для динамической генерации и выполнения вредоносных скриптов на языке Lua во время работы. Её возможности включают в себя разведку файловой системы, кражу данных и шифрование файлов в системах Windows и Linux.

🔴PROMPTSTEAL - программа для сбора данных, написанная на Python и упакованная с помощью PyInstaller. Она содержит скомпилированный скрипт, который использует API Hugging Face для запроса к языковой модели Qwen2.5-Coder-32B-Instruct для генерации однострочных команд Windows. Подсказки, используемые для генерации команд, указывают на то, что программа предназначена для сбора системной информации и документов в определённых папках. Затем PROMPTSTEAL выполняет команды и отправляет собранные данные на сервер, контролируемый злоумышленником.

OpenSCAP — это набор открытых инструментов и библиотек, реализующих стандарт SCAP (Security Content Automation Protocol). SCAP — это спецификация, разработанная Национальным институтом стандартов и технологий США (NIST), которая объединяет множество компонентов (языки проверки, перечни уязвимостей, репозитории и т.д.) в единый комплекс для автоматизации управления безопасностью.

Архитектура OpenSCAP построена вокруг нескольких ключевых компонентов:
1⃣Библиотека libopenscap - ядро системы, написанное на C. Обеспечивает парсинг SCAP-контента, выполнение проверок и генерацию отчетов в соответствии со стандартами.
2⃣Утилиты командной строки:
🔹oscap - основной инструмент для сканирования системы, валидации контента и генерации отчетов (HTML, PDF, CSV)
🔹oscap-ssh - инструмент для удаленного сканирования через SSH
3⃣Содержит политики безопасности и правила проверки:
🔹Benchmark - базовые стандарты (CIS, STIG)
🔹Профили - специализированные подмножества эталонов
🔹XCCDF - язык описания чек-листов
🔹OVAL - язык определения логики проверок
🔹CPE - стандарт идентификации ПО и оборудования

➡️Установка

sudo apt install openscap-scanner

Проверка

oscap -h

‼️Типичный рабочий процесс включает несколько шагов.
1. Проверка установленных SCAP-файлов

find /usr/share -name "*.xml" | grep scap | grep -i debian

2. Запуск сканирования с тестовым файлом

sudo oscap xccdf eval \
    --profile test_profile \
    --results results.xml \
    --report report.html \
    test.xml

Здесь:
--profile test_profile — указывает профиль для проверки.
--results results.xml — файл с детальными результатами.
--report report.html — удобный для чтения HTML-отчет.

3. Проверка результатов

ls -la results.xml report.html

4. Генерация исправлений

sudo oscap xccdf generate fix \
    --output fix.sh \
    results.xml

До ZeroNights осталось 2 дня!

Конференция по практическим аспектам ИБ ZeroNights пройдет уже в 11-й раз! И случится это уже послезавтра.

➡️Дата: 26 ноября 2025
➡️Место: Санкт-Петербург, LOFT HALL #7

В духе лучших традиций на ZeroNights будут представлены доклады по различным темам ИБ, включая изощренные техники взлома систем, неочевидные, но наболевшие проблемы кибербезопасности и действенные методы предотвращения угроз.

Кроме того, гости конференции смогут прослушать доклады, совмещённые с воркшопами и мастер-классами, а также поучаствовать в технических активностях!

Время осталось мало!
Приобрести билеты еще можно ➡️ тут

Наш TG-канал с актуальными новостями

WaybackLister

WaybackLister — это разведывательный инструмент, который подключается к Wayback Machine для получения исторических URL-адресов домена, анализирует уникальные пути и проверяет, содержат ли эти пути в настоящее время списки каталогов. Он быстрый, многопоточный и создан для практического применения в оценке безопасности и разведке для программ bug bounty.

📕Характеристики:
1️⃣Извлекает архивные URL-адреса через Wayback Machine
2️⃣Извлекает уникальные пути и поддомены из этих URL-адресов
3️⃣Поддерживает многопоточное сканирование
4️⃣Работает с одним доменом или списком доменов
5️⃣Может автоматически обнаруживать поддомены на основе данных Wayback

📌Установка:

git clone https://github.com/anmolksachan/wayBackLister.git

cd wayBackLister

🚀Запуск:
➖Сканировать домен:

python3 waybacklister.py -d example.com

➖Сканировать домена в текст. файле:

python3 waybacklister.py -f domains.txt

➖Автоматическое обнаружение и сканирование поддоменов:

python3 waybacklister.py -auto example.com

ICEBREAKER 2025: Защита от киберугроз и будущее в облаках

12 декабря компания NGENIX в пятый раз проведет конференцию по веб-безопасности ICEBREAKER 2025.

Главной темой мероприятия станет будущее в облаках.

Зачем регистрироваться?
🔵Послушать про эволюцию методов детекции и классификацию ботов, защиту API.
🔵Узнать, как сегодня бизнес страдает от автоматизированных угроз и как он может от них защититься. Реальные кейсы расскажет приглашенный гость из компании «Комус».
🔵Посетить воркшопы по настройке сервисов защиты от DDoS- и бот-атак.

А также:
🔵Узнать, как соответствовать требованиям регуляторов и при этом использовать облака.
🔵Одними из первых познакомиться с новым облачным продуктом NGENIX.
🔵Увидеть, как эволюционируют средства статистики и продвинутой аналитики;
🔵И вообще, понять, какие фичи и продукты для защиты веба нужны ИТ- и ИБ-командам, чтобы построить будущее в облаках.

🚀12 декабря, 11:00, онлайн
Участие в конференции бесплатное.
Зарегистрироваться можно прямо сейчас

🔺WebVM

Бессерверная виртуальная среда, работающая полностью на стороне клиента в формате HTML5/WebAssembly. Разработана с учётом совместимости с ABI Linux. В ней используется неизменённый дистрибутив Debian, включающий множество встроенных наборов инструментов для разработки.

🔺WebVM работает на базе механизма виртуализации CheerpX и обеспечивает безопасное выполнение двоичных файлов x86 на стороне клиента в изолированной среде в любом браузере. CheerpX включает в себя JIT-компилятор x86 в WebAssembly, виртуальную файловую систему на основе блоков и эмулятор системных вызовов Linux.

🔺Сетевое взаимодействие
Современные браузеры не предоставляют API для прямого использования TCP или UDP. WebVM обеспечивает сетевую поддержку за счёт интеграции с Tailscale — VPN-сетью, которая поддерживает WebSockets в качестве транспортного уровня.
🔺Откройте панель Networking на боковой панели;
🔺Нажмите Connect to Tailscale на панели;
🔺Войдите в Tailscale (создайте учётную запись, если у вас её нет);
🔺Нажмите Connect, когда Tailscale предложит это сделать.

🔺Запуск WebVM локально с помощью пользовательского образа Debian
1️⃣ Клонируйте репозиторий WebVM

git clone https://github.com/leaningtech/webvm.git
cd webvm

2️⃣ Чтобы загрузить образ Debian mini Ext2, выполните следующую команду:

wget "https://github.com/leaningtech/webvm/releases/download/ext2_image/debian_mini_20230519_5022088024.ext2"

3️⃣ Обновите файл конфигурации
Заменить: wss://disks.webvm.io/debian_large_20230522_5044875331.ext2
На: /disk-images/debian_mini_20230519_5022088024.ext2
(Используйте абсолютный или относительный URL-адрес, указывающий на расположение образа диска.)

4️⃣ Выполните следующие команды, чтобы установить зависимости и собрать WebVM:

sh
npm install
npm run build

Результат будет сохранён в каталоге build.

5️⃣ Настройка Nginx. Создайте каталог для образа диска:

mkdir disk-images
mv debian_mini_20230519_5022088024.ext2 disk-images/

Измените файл nginx.conf так, добавив следующий блок

location /disk-images/ {
  root .;
  autoindex on;
}

6️⃣ Чтобы запустить Nginx, выполните следующую команду:

nginx -p . -c nginx.conf
Nginx будет автоматически обслуживать каталог сборки.

7️⃣ Для доступа к WebVM откройте браузер и перейдите по адресу: http://127.0.0.1:8081.


WebVM поддерживает интеграцию с Claude AI. Чтобы получить доступ к Claude AI, вам понадобится ключ API.

🇷🇺 ФСБ идет к банкам!

🏦 ФСБ потребовала от крупных российских банков до 2027 года установить у себя СОРМ (системы оперативно-розыскных мероприятий) и обеспечить спецслужбе удаленный к ним доступ. Данные системы необходимы для хранения переписки, голосовых сообщений и иного контента, которым обмениваются пользователи банковских приложений.

📝 В письме в крупные банки ФСБ напомнила, что они попадают под статус организаторов распространения информации (ОРИ), так как в их мобильных приложениях пользователи могут обмениваться сообщениями. ФСБ предписала банкам разработать программу взаимодействия со службой и установить спецоборудование для удаленного доступа к данным.

ℹ️ Под реестр ОРИ входят 300+ различных мессенджеров, сервисов электронной почты, форумы и другие ресрусы, а с 2019 года стали входить сервисы банков, сначала "Сбербанк Онлайн", а позже, с 2020 года, "Т-Банк".

💬 На данный момент крупные банки пока не комментируют данную новость.

❓ Что скажете по поводу данного решения?