Кодебай, уже сегодня в 19:00 пройдет бесплатный вебинар по OSINT на тему: "Как безопасно искать информацию в открытых источниках?" с Екатериной Тьюринг.

⭐️ Всем участникам вебинара будет доступна скидка 10% на курс "OSINT: Технология боевой разведки" — подробности во время эфира.

Если вы еще не зарегистрированы — самое время!

До встречи! 😎

На нашем канале ВКонтакте уже начался бесплатный вебинар с Екатериной Тьюринг по лучшим практикам OSINT 😎

➡️Перейти на стрим

⭐️ Всем участникам вебинара будет доступна скидка 10% на курс "OSINT: Технология боевой разведки" — подробности во время эфира.

👥 adPEAS — инструмент Powershell для автоматизации перечисления объектов в Active Directory. Существует две версии инструмента: adPEAS-Light и стандартная. adPEAS-Light — это версия без Bloodhound, и вероятность того, что она не будет заблокирована антивирусной программой, выше.

💻Модули adPEAS:
⏺️Domain - поиск базовой информации Active Directory (DC, доверительных отношений);
⏺️Rights - поиск определенных прав и разрешений (LAPS, DCSync);
⏺️GPO - поиск базовой информации, связанной с групповыми политиками;
⏺️ADCS - поиск базовой информации служб сертификации Active Directory (уязвимые шаблоны);
⏺️Creds - поиск различных видов раскрытия учетных данных (ASREPRoast, Kerberoasting)
⏺️Delegation - поиск делегирования (ограниченное, неограниченное, RBCD);
⏺️Accounts - поиск не отключенных учетных записей пользователей с высокими привилегиями в предопределенных группах;
⏺️Computer - перечисление контроллеров домена, служб сертификации, сервера Exchange;
⏺️BloodHound - перечисление Active Directory с помощью коллектора SharpHound.

🏃 Примеры использования:
Сначала необходимо загрузить adPEAS в Powershell

Import-Module .\adPEAS.ps1

Запуск со всеми модулями перечисления

Invoke-adPEAS

Запуск со всеми модулями для домена contoso[.]com с указанием контроллера домена dc1[.]contoso[.]com

Invoke-adPEAS -Domain 'contoso.com' -Server 'dc1.contoso.com'

Использование с одним модулем перечисления (после флага необходимо указать один из перечисленных выше модулей)

Invoke-adPEAS -Module ..

DomainPasswordSpray — инструмент, написанный на PowerShell для проведения атаки методом перебора паролей пользователей домена. По умолчанию он автоматически генерирует список пользователей домена. Модуль Get-DomainUserList позволяет создать список пользователей домена без атаки распыления пароля, при этом удалив отключенные УЗ и те, которые потенциально могут быть заблокированы.

🚩 Параметры модуля Invoke-DomainPasswordSpray:
⏺️UserList - список пользователей (необязательный параметр, будет сгенерирован автоматически в случае отсутствия);
⏺️Password - пароль, который будет использоваться для распыления;
⏺️PasswordList - список паролей для распыления;
⏺️OutFile - файл для вывода результатов;
⏺️Domain - домен, в котором будет происходить распыление;
⏺️Force - принудительно продолжает распыление без запроса подтверждения.

✏️ Примеры использования:

Invoke-DomainPasswordSpray -Password passwd

Invoke-DomainPasswordSpray -UserList users.txt -Domain domain-name -PasswordList passlist.txt -OutFile sprayed-creds.txt

Get-DomainUserList -Domain domainname -RemoveDisabled -RemovePotentialLockouts | Out-File -Encoding ascii userlist.txt

💻 Скачать инструмент можно здесь.

✉️ 🎯 MailSniper — инструмент, позволяющий искать в электронной почте в среде Microsoft Exchange пароли, инсайдерскую информацию, сведения об архитектуре сети и т. д.

✏️ MailSniper также включает дополнительные модули для подбора паролей, перечисления пользователей и доменов, сбора глобального списка адресов (GAL) из OWA и EWS и проверки разрешений на доступ к почтовым ящикам для каждого пользователя Exchange в организации.

🔍 Две основные функции:

Invoke-GlobalMailSearch — модуль, подключающийся к серверу Exchange и предоставляющий указанному пользователю роль ApplicationImpersonation. Наличие этой роли позволяет выполнять поиск по почтовым ящикам всех других пользователей домена. После предоставления этой роли создаётся список всех почтовых ящиков в базе данных Exchange. Затем он подключается к Exchange Web Services (EWS), чтобы собрать письма из каждого ящика, и в конечном итоге выполняет поиск по определённым терминам.

Поиск по всем почтовым ящикам в домене:

Invoke-GlobalMailSearch -ImpersonationAccount current-username -ExchHostname Exch01 -OutputCsv global-email-search.csv

Invoke-SelfSearch — модуль, подключающийся к серверу Exchange с помощью EWS, чтобы собрать несколько писем из почтового ящика текущего пользователя. Затем выполняется поиск по ключевым словам.

Поиск в почтовом ящике текущего пользователя:

Invoke-SelfSearch -Mailbox current-user@domain.com

🔥 Дополнительные модули:

⏺️Get-GlobalAddressList - подключение к OWA для сбора адресов электронной почты из GAL;
⏺️Get-MailboxFolders - подключение к Exchange с помощью EWS и получение списка папок из почтового ящика текущего пользователя;
⏺️Invoke-PasswordSprayOWA - подключение к OWA и выполнением атаки распыления паролей для списка пользователей;
⏺️Invoke-PasswordSprayEWS - подключение к EWS и выполнением атаки распыления паролей для списка пользователей;
⏺️Invoke-PasswordSprayGmail - подключение к порталу аутентификации Gmail и выполнением атаки распыления паролей для списка пользователей;
⏺️Invoke-DomainHarvestOWA - подключение к OWA и определение действительного доменного имени для входа на портал по заголовку WWW-Authenticate;
⏺️Invoke-UsernameHarvestOWA - подключение к OWA и получение действительных имен пользователей на основе небольших временных интервалов между попытками входа в систему;
⏺️Invoke-UsernameHarvestGmail - перечисление УЗ пользователей Google Apps и идентификация УЗ, отказавшихся от двухфакторной аутентификации;
⏺️Invoke-OpenInboxFinder - определение, есть ли у текущего пользователя доступ к папке «Входящие» для каждого адреса электронной почты из списка адресов;
⏺️Get-ADUsernameFromEWS - опредение имя пользователя Active Directory для одного адреса электронной почты или списка адресов;
⏺️Send-EWSEmail - подключение к EWS и отправка электронного письма.

CHGPass — исполняемый инструмент для Windows, который позволяет изменять пароли учётных записей пользователей и компьютеров в Active Directory по протоколу MS-SAMR.

🔎 Параметры

⏺️Обязательные:
-t: целевая учётная запись, пароль которой подлежит изменению;
-m: новый пароль.

⏺️Необязательные:
-u: имя пользователя для аутентификации (если оно отличается от текущего пользователя);
-p: пароль для аутентификации;
-d: домен для аутентификации;
-c: имя контроллера домена, к которому необходимо подключиться;
-l: имя сервера, к которому нужно подключиться.

💻 Примеры использования

1️⃣ Изменение пароля пользователя target_user, используя альтернативную УЗ admin

chgpass.exe -t target_user -m newpassword123 -u admin -p adminpassword -d mydomain.local -c dc1.mydomain.local

2️⃣ Изменение пароля локальной УЗ компьютера, подключенного к удаленному домену

chgpass.exe -t localuser1 -m Superp@ss! -l remoteserver

3️⃣ Изменение пароля локальной УЗ удалённого компьютера, подключённого к домену, с компьютера, не подключённого к домену

chgpass.exe -t localuser1 -m newpassword123 -u admin -p adminpassword -d mydomain.local -c dc1.mydomain.local -l remoteserver

4️⃣ Изменение пароля в режиме DSRM, который является УЗ локального администратора на контроллерах домена, хранящейся в локальном SAM

chgpass.exe -t **DSRM** -m "" -u admin -p adminpassword -d mydomain.local -c dc1.mydomain.local

💻 Скачать инструмент можно здесь либо скомпилировать самостоятельно, загрузив файлы из репозитория.

Спасибо всем, кто был на вебинаре "Как безопасно искать информацию в открытых источниках?" в воскресенье! 😎 Запись доступна по ссылке.

Впереди вас ждет еще больше бесплатных и интересных занятий — пишите в комментариях, что бы вы хотели увидеть на следующих вебинарах!

➡️Запись на курс "OSINT: Технология боевой разведки" продлится до 20 февраля. Оставьте заявку на сайте или напишите нашему менеджеру 🚀 @Codeby_Academy

Причинами почему ВПО стремится определить запущено ли оно в песочнице или виртуальной среде, может быть попытка избежать анализа и обнаружения, так как такие среды используются специалистами для исследования поведения вредоносных программ. Также ВПО может быть нацелено на конкретные системы или организации.

🛡 Для уклонения от обнаружения в матрице MITRE ATT&CK выделяется техника T1497 - Virtualization/Sandbox Evasion.

⁉️ Как ВПО определяет что оно в песочнице?
⏺️Системные параметры: анализ реестра на наличие ключей характерных для виртуальных машин, также проверяется количество установленных приложений.
⏺️Аппаратные характеристики: MAC-адреса сетевых интерфейсов, виртуальные сетевые карты, диски или процессоры, наличие периферийных устройств, размер жесткого диска, разрешение экрана, количество процессоров, размер ОЗУ.
⏺️Окружение: проверяется наличие инструментов, которые могут быть использованы для анализа в песочнице либо различные агенты песочниц, анализ активности пользователя, количество запущенных процессов, обнаружение отладчиков, сетевые подключения.
⏺️Поведение системы: наличие искусственных задержек, время выполнения определенных операций.

Searchsploit

Searchsploit - это мощный инструмент, встроенный в Exploit-DB, который позволяет пользователям легко искать и находить эксплойты для различных уязвимостей.
Ключевые функции:
🌚Быстрый поиск: Searchsploit позволяет пользователям быстро искать эксплойты по ключевым словам, таким как название программного обеспечения, номер версии или идентификатор CVE.
🌚Обширная база данных: Searchsploit имеет доступ к огромной базе данных эксплойтов, содержащей более 50 000 записей, что делает его одним из самых полных ресурсов для поиска эксплойтов.
🌚Фильтрация результатов: Пользователи могут фильтровать результаты поиска по различным критериям, таким как тип эксплойта, платформа и язык программирования.
🌚Информация об эксплойтах: Searchsploit предоставляет подробную информацию об эксплойтах, включая описание, авторство и ссылки на дополнительные ресурсы.

Это ценный инструмент для исследователей безопасности, пентестеров и администраторов безопасности. Его мощные возможности поиска, обширная база данных и функции фильтрации делают его незаменимым ресурсом для выявления и эксплуатации уязвимостей.

📎Запуск:

searchsploit

📎Поиск уязвимостей в Nginx

searchsploit Nginx

📎Поиск с использованием версии

searchsploit Nginx 1.4.0

⚠️ За 2024 год число кибератак на российские компании выросло в 2,5 раза. Доля заказных кибератак на российские компании за год выросла с 10% до 44%.

Что делать? — Стать востребованным специалистом!

Запишитесь на курс для BlueTeam от Академии Кодебай. Оставьте заявку на сайте — начинаем 3 марта! 

Что вы освоите?
🔸 Сбор дампов памяти с Linux и Windows
🔸 Анализ журналов безопасности и артефактов ВПО
🔸 Реагирование на основе данных из SIEM
🔸 Анализ вредоносных программ
🔸 Threat Intelligence & Threat Hunting

⭐️ Сертификат / удостоверение о повышении квалификации

Научитесь реагировать на сетевые вторжения! Пишите 🚀 @Codeby_Academy

Как побеждать в CTF? Обсудим с пентестером, создателем CTF-тасков и победителем The Standoff 14 — Магомедом Эми-Межидовым! 😎

В новом видео обсудим:
🔸 Как начать участвовать в CTF и какие бывают задания?
🔸 Секрет победы на Standoff 14
🔸 Как создаются CTF-задания?
🔸 Как CTF помогает построить карьеру в кибербезопасности?
🔸 Российские площадки для CTF (спойлер — Codeby Games)

➡️Cмотреть интервью

CTF-соревнования — это не просто хакерские битвы, а возможность прокачать навыки и найти работу в топовых компаниях! Тренируйтесь и побеждайте на codeby.games 🚩

Trivy — комплексный и универсальный сканер безопасности. Автоматически сканирует на наличие известных уязвимостей, неправильных настроек, конфиденциальной информации и секретов, используемых пакетов ОС и программных зависимостей. Предоставляет детализированные отчёты о найденных уязвимостях и советы по их исправлению.

💻 Установка:
Для Debian, Ubuntu и Astra Linux можно воспользоваться следующими командами (последняя на данный момент версия):

wget https://github.com/aquasecurity/trivy/releases/download/v0.59.1/trivy_0.59.1_Linux-64bit.deb

dpkg -i trivy_0.59.1_Linux-64bit.deb

В Kali можно установить trivy через пакетный менеджер sudo apt install trivy

🔍 Сканирование:
⏺️fs - все файлы по определённому пути;
⏺️vm - образы виртуальных машин;
⏺️k8s - кластеры Kubernetes;
⏺️aws - УЗ AWS на наличие неправильных конфигураций;
⏺️repo - Git репозитории;
⏺️rootfs - корневая файловая система;
⏺️image - Docker-образы;
⏺️config - проверка корректности для конфигурационных файлов.

💱 Примеры использования:
Сканирование образа Docker

trivy image image_name

Сканирование файловой системы в текущем расположении

trivy fs ./

Сканирование образа с указанием уровня критичности уязвимостей

trivy image --severity HIGH,CRITICAL image_name

Сканирование k8s с сохранением отчета в файл

trivy k8s --output report.txt k8s_name

KeePassXC - это бесплатное, открытое и кроссплатформенное программное обеспечение для управления паролями. Оно позволяет пользователям безопасно хранить и управлять своими паролями, логинами и другими конфиденциальными данными.

Основные функции KeePassXC:
⏺️Хранение паролей в зашифрованной базе данных
⏺️Генерация сильных и уникальных паролей
⏺️Поиск и фильтрация записей
⏺️Импорт и экспорт данных из других менеджеров паролей
⏺️Поддержка плагинов и расширений

KeePassXC использует передовые методы шифрования, такие как AES-256 и ChaCha20, для защиты данных пользователей.

KeePassXC - OpenSource. Код программы доступен для просмотра и аудита.

📌Ссылка: https://keepassxc.org/