Slack Watchman — поиск чувствительной информации в вашем рабочем пространстве Slack с помощью API: расшаренные скрытые каналы, секреты, ключи, банковские карты, сертификаты и пр.
https://github.com/PaperMtn/slack-watchman
https://github.com/PaperMtn/slack-watchman
Вышел релиз Pi-hole v5.0!
Это такой продвинутый DNS-сервер для домашнего использования (ну у кого-то и не только для домашнего), который изначально задумывался, как блокировщик рекламы, но сейчас это настоящий швейцарский нож.
В 5 версии:
• Добавили возможность создания правил блокировки для конкретного клиента или групп клиентов. Наконец я смогу накидывать запрещающие правила для разных групп устройств, и умный дом не будет мешать работе остальных.
• Прикрутили глубокую инспекцию CNAME, позволяющую выполнять блокировку, если в CNAME цепочке присутствует известный заблокированный домен.
• Внедрили поддержку Regex/wildcard в белых списках.
• Оптимизировали использования памяти.
У меня Pi-hole стоит дома на Raspberry Pi, но вы можете хоть в докере на ноуте развернуть и туда перенаправить весь DNS трафик, короче 5 версия отличный повод познакомиться с Pi-hole :)
Полный список изменений: https://pi-hole.net/2020/05/10/pi-hole-v5-0-is-here
Это такой продвинутый DNS-сервер для домашнего использования (ну у кого-то и не только для домашнего), который изначально задумывался, как блокировщик рекламы, но сейчас это настоящий швейцарский нож.
В 5 версии:
• Добавили возможность создания правил блокировки для конкретного клиента или групп клиентов. Наконец я смогу накидывать запрещающие правила для разных групп устройств, и умный дом не будет мешать работе остальных.
• Прикрутили глубокую инспекцию CNAME, позволяющую выполнять блокировку, если в CNAME цепочке присутствует известный заблокированный домен.
• Внедрили поддержку Regex/wildcard в белых списках.
• Оптимизировали использования памяти.
У меня Pi-hole стоит дома на Raspberry Pi, но вы можете хоть в докере на ноуте развернуть и туда перенаправить весь DNS трафик, короче 5 версия отличный повод познакомиться с Pi-hole :)
Полный список изменений: https://pi-hole.net/2020/05/10/pi-hole-v5-0-is-here
Достаточно интересное исследование от голландского инженера Бьёрна Райтенберга (Björn Ruytenberg), раскрывшего новые векторы атак на протокол Intel Thunderbolt 3.
Thunderspy, так исследователь назвал свои новые вектора атак, позволяющие злоумышленнику осуществить кражу данных с зашифрованных дисков или выполнить чтение и запись всей системной памяти, даже если компьютер заблокирован или находится в спящем режиме.
Да, для осуществления атаки необходим физический доступ до устройства, набор инструментов и около 5 минут времени, но когда речь идет о данных, представляющих реальную ценность, этот метод кажется вполне реализуемым.
Уязвимы ПК под управлением Windows, Linux и частично MacOS.
Единственный способ защиты "наверняка" — отключение всех портов Thunderbolt.
Подробнее об Thunderspy > https://thunderspy.io/
Thunderspy, так исследователь назвал свои новые вектора атак, позволяющие злоумышленнику осуществить кражу данных с зашифрованных дисков или выполнить чтение и запись всей системной памяти, даже если компьютер заблокирован или находится в спящем режиме.
Да, для осуществления атаки необходим физический доступ до устройства, набор инструментов и около 5 минут времени, но когда речь идет о данных, представляющих реальную ценность, этот метод кажется вполне реализуемым.
Уязвимы ПК под управлением Windows, Linux и частично MacOS.
Единственный способ защиты "наверняка" — отключение всех портов Thunderbolt.
Подробнее об Thunderspy > https://thunderspy.io/
Cybershit
Вышел релиз Pi-hole v5.0! Это такой продвинутый DNS-сервер для домашнего использования (ну у кого-то и не только для домашнего), который изначально задумывался, как блокировщик рекламы, но сейчас это настоящий швейцарский нож. В 5 версии: • Добавили возможность…
Тут подписчик подсказывает, что похоже релиз Pi-hole 5.0 был не только запланированным, но и вынужденным :)
В Pi-hole 4.4 и ниже буквально на днях были найдены уязвимости, позволяющие выполнить RCE с последующим повышением привилегий.
Эксплоиты уже в публичном доступе, поэтому тем, кто уже пользуется Pi-hole надо обязательно обновляться (я уже).
https://frichetten.com/blog/cve-2020-11108-pihole-rce/
https://www.exploit-db.com/exploits/48442
https://www.exploit-db.com/exploits/48443
В Pi-hole 4.4 и ниже буквально на днях были найдены уязвимости, позволяющие выполнить RCE с последующим повышением привилегий.
Эксплоиты уже в публичном доступе, поэтому тем, кто уже пользуется Pi-hole надо обязательно обновляться (я уже).
https://frichetten.com/blog/cve-2020-11108-pihole-rce/
https://www.exploit-db.com/exploits/48442
https://www.exploit-db.com/exploits/48443
Frichetten
CVE-2020-11108: How I Stumbled into a Pi-hole RCE+LPE
Writeup for CVE-2020-11108 covering how I found the vulnerability and how it can be exploited for fun/profit.
История о том, как чувак поднял 10 000$ просто автоматизируя процесс поиска различной чувствительной информации в репозиториях GitHub. История, конечно любопытная, благо сейчас GitHub всерьез взялся за этот момент и надеюсь в ближайшем будущем подобного рода проблемы исчезнут.
https://tillsongalloway.com/finding-sensitive-information-on-github/index.html
https://tillsongalloway.com/finding-sensitive-information-on-github/index.html
Tales of a Postgraduate Nothing
How I made $10K in bug bounties from GitHub secret leaks
Hacker can steal leaked API keys, passwords, and customer data from GitHub to login to servers, steal personal information, and rack up absurd AWS charges. This article explains shows common types of secrets that users post and how to find them.
Национальное агентство Великобритании по признанию и сравнению международных квалификаций и навыков UK NARIC признало сертификацию CISSP эквивалентной уровню RQF Level 7, что по европейской системе сопоставимо с уровнем квалификации магистра.
Из-за этой новости сейчас у многих пылает пятая точка. Мнения разделились, кто-то пишет, что 4 года усердной учебы никак не могут быть эквивалентны 3-часовому экзамену, а кто-то наоборот заверяет, что сдать CISSP было куда сложнее, чем получить степень магистра в его учебном заведении. Но большинство, конечно склоняются к тому, что это абсурд.
Признание UK NARIC уже вступило в силу и распространяется на территории Великобритании и Европы на всех, кто уже CISSP.
Можно ли теперь считать всех, кто успешно сдал CISSP обладателями степени магистра в Европе? Коротко — конечно же нет, но это дает определенные привилегии при зачислении на доп. курсы в университетах, поиске работы и продвижения о карьерной лестнице.
Короче CISSP стал еще более попсовым сертификатом ever.
Источник > https://www.isc2.org/News-and-Events/Press-Room/Posts/2020/05/12/ISC2-CISSP-Certification-Now-Comparable-to-Masters-Degree-Standard
Мнение > https://securityboulevard.com/2020/05/cissp-is-at-most-equivalent-to-a-2-year-associates-degree/
Мнение 2 > https://www.reddit.com/r/cissp/comments/gjih03/about_the_cissp_given_master_status_articlepost/
Из-за этой новости сейчас у многих пылает пятая точка. Мнения разделились, кто-то пишет, что 4 года усердной учебы никак не могут быть эквивалентны 3-часовому экзамену, а кто-то наоборот заверяет, что сдать CISSP было куда сложнее, чем получить степень магистра в его учебном заведении. Но большинство, конечно склоняются к тому, что это абсурд.
Признание UK NARIC уже вступило в силу и распространяется на территории Великобритании и Европы на всех, кто уже CISSP.
Можно ли теперь считать всех, кто успешно сдал CISSP обладателями степени магистра в Европе? Коротко — конечно же нет, но это дает определенные привилегии при зачислении на доп. курсы в университетах, поиске работы и продвижения о карьерной лестнице.
Короче CISSP стал еще более попсовым сертификатом ever.
Источник > https://www.isc2.org/News-and-Events/Press-Room/Posts/2020/05/12/ISC2-CISSP-Certification-Now-Comparable-to-Masters-Degree-Standard
Мнение > https://securityboulevard.com/2020/05/cissp-is-at-most-equivalent-to-a-2-year-associates-degree/
Мнение 2 > https://www.reddit.com/r/cissp/comments/gjih03/about_the_cissp_given_master_status_articlepost/
Кому, как не крупнейшему CDN провайдеру и разработчику решения против DDoS-атак делать аналитический отчет по трендам в DDoS?
Если коротко, то первый квартал особо без изменений, в большинстве своем L2-L3/4, дешевизна все еще делает DDoS актуальным, есть незначительные изменения по сравнению с пошлым годом:
- Атаки стали длиться дольше
- Количество атак выше 10 Гбит/с сократилось
- Количество атак ниже 10 Гбит/с возросло
- Зафиксировано 34 типа атаки L2-L3/4
В конце не обошлось без рекламы решения от DDoS. Как же без этого? :)
https://blog.cloudflare.com/network-layer-ddos-attack-trends-for-q1-2020/
Если коротко, то первый квартал особо без изменений, в большинстве своем L2-L3/4, дешевизна все еще делает DDoS актуальным, есть незначительные изменения по сравнению с пошлым годом:
- Атаки стали длиться дольше
- Количество атак выше 10 Гбит/с сократилось
- Количество атак ниже 10 Гбит/с возросло
- Зафиксировано 34 типа атаки L2-L3/4
В конце не обошлось без рекламы решения от DDoS. Как же без этого? :)
https://blog.cloudflare.com/network-layer-ddos-attack-trends-for-q1-2020/
The Cloudflare Blog
Network-Layer DDoS Attack Trends for Q1 2020
In Q1 2020, traffic levels have increased by over 50% in many countries, but have DDoS attacks increased as well?
Скорость реагирования имеет существенное значение в современной среде угроз, поэтому рынок не долго думая придумал очередной класс решений под названием SOAR. Прежде всего SOAR это логическое дополнение для решений SIEM, позволяющие автоматизировать реагирование на инциденты. Такой усложненный вариант If This Then That. Тренд рынок уловил и наполнился решениями под разные размеры кошелька.
Для тех, кто не хочет иметь ничего общего с энтерпрайзом, можно попробовать выйти из положения собственными силами или поддержать другой проект с открытым исходным кодом. Вот например ребята делают Shaffle SOAR, пока сыровато, но уже есть возможность создания разных workflow, интеграция с TheHive, Cortex и OpenAPI.
https://medium.com/security-operation-capybara/introducing-shuffle-an-open-source-soar-platform-part-1-58a529de7d12
Для тех, кто не хочет иметь ничего общего с энтерпрайзом, можно попробовать выйти из положения собственными силами или поддержать другой проект с открытым исходным кодом. Вот например ребята делают Shaffle SOAR, пока сыровато, но уже есть возможность создания разных workflow, интеграция с TheHive, Cortex и OpenAPI.
https://medium.com/security-operation-capybara/introducing-shuffle-an-open-source-soar-platform-part-1-58a529de7d12
Medium
Introducing Shuffle — an Open Source SOAR platform part 1
There are two big issues blueteams everywhere have: alert fatigue and a lack of coders. Read on to see how Shuffle can help..
Я не любитель писать о таких событиях, но 10 000 подписчиков на канале это серьезный юбилей. Только представьте 10 000 человек разных возрастов и специальностей, объединенных тематикой информационной безопасности.
В связи с этим хочу выразить огромную благодарность каждому из вас за доверие.
Это новая отправная точка для меня, дальше — больше.
В связи с этим хочу выразить огромную благодарность каждому из вас за доверие.
Это новая отправная точка для меня, дальше — больше.
Помните материал про Гитхабификацию ИБ, где автор рассказывал об унификации процесса обмена и реагирования на угрозы ИБ, с привязкой к MITRE ATT&CK? Сегодня я хочу вам рассказать об одном проекте под названием Atomic Threat Coverage.
Ребята подружили Atomic Red Team, предназначенный для проведения автоматизированных тестов, имитирующих действия RedTeam, с проектом Sigma и их правилами обнаружения угроз, обвязали все это вокруг MITRE ATT&CK, прикрутив туда аналитику и визуализацию.
Т.е по факту вы получаете собственную структурированную базу знаний, с возможностью загрузки/выгрузки как публичной, так и собственной аналитики, и все это с наложением на самый популярный рабочий фреймворк от MITRE.
Недавно они запустили новый проект RE&CT, который, как уже понятно из названия, покрывает противоположную сторону MITRE ATT&CK — превентивную, и описывает техники реагирования на инциденты.
Короче, ребята прям жестко упарываются по incident response, популяризации MITRE и global threat intelligence, выступают на конференциях, устраивают спринты по написани Sigma-правил и пр. Поэтому если вы давно планировали начать мапить узрозы на MITRE ATT&CK, погружаться во все это можно смело начиная с Atomic Threat Coverage. Но предупреждаю сразу, запасайтесь временем, ресечить придется много.
Кстати, может кому-то будет греть душу, что половина команды русскоговорящие :)
Atomic Threat Coverage > https://github.com/atc-project/atomic-threat-coverage
RE&CT > https://atc-project.github.io/atc-react/index_RU/
Tg > @atomic_threat_coverage
Ребята подружили Atomic Red Team, предназначенный для проведения автоматизированных тестов, имитирующих действия RedTeam, с проектом Sigma и их правилами обнаружения угроз, обвязали все это вокруг MITRE ATT&CK, прикрутив туда аналитику и визуализацию.
Т.е по факту вы получаете собственную структурированную базу знаний, с возможностью загрузки/выгрузки как публичной, так и собственной аналитики, и все это с наложением на самый популярный рабочий фреймворк от MITRE.
Недавно они запустили новый проект RE&CT, который, как уже понятно из названия, покрывает противоположную сторону MITRE ATT&CK — превентивную, и описывает техники реагирования на инциденты.
Короче, ребята прям жестко упарываются по incident response, популяризации MITRE и global threat intelligence, выступают на конференциях, устраивают спринты по написани Sigma-правил и пр. Поэтому если вы давно планировали начать мапить узрозы на MITRE ATT&CK, погружаться во все это можно смело начиная с Atomic Threat Coverage. Но предупреждаю сразу, запасайтесь временем, ресечить придется много.
Кстати, может кому-то будет греть душу, что половина команды русскоговорящие :)
Atomic Threat Coverage > https://github.com/atc-project/atomic-threat-coverage
RE&CT > https://atc-project.github.io/atc-react/index_RU/
Tg > @atomic_threat_coverage
This media is not supported in your browser
VIEW IN TELEGRAM
Ubiquiti ТОП за свои деньги?
0day в механизме аутентификации "Sign in with Apple" на 100 000$.
https://bhavukjain.com/blog/2020/05/30/zeroday-signin-with-apple/
https://bhavukjain.com/blog/2020/05/30/zeroday-signin-with-apple/
pwncat — netcat на стероидах с возможностью обхода фаерволов/IDS/IPS, сканированием портов, гибкими возможностями для бэкконнектов и другими фишками.
https://github.com/cytopia/pwncat#computer-usage
https://hakin9.org/pwncat-netcat-on-steroids-with-firewall-ids-ips-evasion-bind-and-reverse-shell-self-injecting-shell-and-port-forwarding-magic-and-its-fully-scriptable-with-python-pse/
https://github.com/cytopia/pwncat#computer-usage
https://hakin9.org/pwncat-netcat-on-steroids-with-firewall-ids-ips-evasion-bind-and-reverse-shell-self-injecting-shell-and-port-forwarding-magic-and-its-fully-scriptable-with-python-pse/
GitHub
GitHub - cytopia/pwncat: pwncat - netcat on steroids with Firewall, IDS/IPS evasion, bind and reverse shell, self-injecting shell…
pwncat - netcat on steroids with Firewall, IDS/IPS evasion, bind and reverse shell, self-injecting shell and port forwarding magic - and its fully scriptable with Python (PSE) - cytopia/pwncat
Когда хочется управлять уязвимостями, nmap становится мало, а нормальные решения по управлению уязвимостями "выходят в копеечку" на помощь как всегда приходит opensource.
Подборка бесплатных решений для Vulnerability Management'а:
• DefectDojo
• Archery
• SecureCodeBox
• Faraday
• VulnReport
А чтобы вам было проще выбрать, вот их сравнение
Да, это рекламный материал для канала @sec_devops, рассказывающего про AppSec, безопасность Kubernetes, облаков (AWS, GCP, Azure) и SDLC, включая SAST, DAST, Vault и другие инструменты, которые можно встроить в CI/CD.
Подборка бесплатных решений для Vulnerability Management'а:
• DefectDojo
• Archery
• SecureCodeBox
• Faraday
• VulnReport
А чтобы вам было проще выбрать, вот их сравнение
Да, это рекламный материал для канала @sec_devops, рассказывающего про AppSec, безопасность Kubernetes, облаков (AWS, GCP, Azure) и SDLC, включая SAST, DAST, Vault и другие инструменты, которые можно встроить в CI/CD.
Cybershit
Помните материал про Гитхабификацию ИБ, где автор рассказывал об унификации процесса обмена и реагирования на угрозы ИБ, с привязкой к MITRE ATT&CK? Сегодня я хочу вам рассказать об одном проекте под названием Atomic Threat Coverage. Ребята подружили Atomic…
Помните я недавно рассказывал об Atomic Threat Coverage?
На днях вышло интервью с основателем этого проекта, Даниилом Югославским. Даня рассказал про свой профессиональный рост в качестве специалиста, сферу обнаружения и реагирования на угрозы, и свои defensive-проекты. Для досугового просмотра рекомендую.
https://www.youtube.com/watch?v=3nMhmbZnmdg
На днях вышло интервью с основателем этого проекта, Даниилом Югославским. Даня рассказал про свой профессиональный рост в качестве специалиста, сферу обнаружения и реагирования на угрозы, и свои defensive-проекты. Для досугового просмотра рекомендую.
https://www.youtube.com/watch?v=3nMhmbZnmdg
PowerShell всегда был отличным инструментом для получения информации о системе, а с недавних пор стал мощнейшим инструментом для пост-эксплуатации и даже был включен в дистрибутив Kali.
На сайте Offensive Security вышел материал про получение PSSession из под WIndows и Linux, а также возможность получения reverse shell.
https://www.offensive-security.com/offsec/kali-linux-powershell-pentesting/
На сайте Offensive Security вышел материал про получение PSSession из под WIndows и Linux, а также возможность получения reverse shell.
https://www.offensive-security.com/offsec/kali-linux-powershell-pentesting/
OffSec
PowerShell for Pentesting in Kali Linux | Offensive Security
In this series, Tony Punturiero (TJ Null) will be showing how to use PowerShell on Kali Linux to obtain initial access with PSSession on Windows and Linux.
Google опубликовала в открытый доступ сетевой сканнер Tsunami с собственной системой плагинов. Проект целится на корпоративный сегмент с крупными распределенными сетями, а главной целью по словам разработчиков является точность сканирования.
На данном этапе Tsunami находится на стадии pre-alpha, с небольшой функциональностью, но мы же все помним, что при похожем подходе случилось с Kubernetes?
Сканнер> https://github.com/google/tsunami-security-scanner
Первые плагины> https://github.com/google/tsunami-security-scanner-plugins/tree/master/google
На данном этапе Tsunami находится на стадии pre-alpha, с небольшой функциональностью, но мы же все помним, что при похожем подходе случилось с Kubernetes?
Сканнер> https://github.com/google/tsunami-security-scanner
Первые плагины> https://github.com/google/tsunami-security-scanner-plugins/tree/master/google
GitHub
GitHub - google/tsunami-security-scanner: Tsunami is a general purpose network security scanner with an extensible plugin system…
Tsunami is a general purpose network security scanner with an extensible plugin system for detecting high severity vulnerabilities with high confidence. - google/tsunami-security-scanner
Рассуждения на тему того, что несмотря на особенности компиляции, количество потребляемых ресурсов и итоговый размер семпла, Python в последнее время стал одним из самых распространенных языков, на котором пишут малварь, а количество готовых инструментов и модулей под Python делает порог вхождения только проще.
В материале также приведены несколько примеров вредоносного ПО на Python, а также самые банальные техники детекта, для которых вы можете использовать те же YARA-правила.
https://www.cyborgsecurity.com/python-malware-on-the-rise/
В материале также приведены несколько примеров вредоносного ПО на Python, а также самые банальные техники детекта, для которых вы можете использовать те же YARA-правила.
https://www.cyborgsecurity.com/python-malware-on-the-rise/
Cyborg Security
Python Malware On The Rise
The vast majority of malware has been written in assembly or compiled languages; however, more malware has been written in interpreted languages, such as Python.
Передавайте привет 17-ти летнему багу в Windows DNS.
SIGRed CVE-2020-1350, CVSS: 10,0
https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/
https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/
SIGRed CVE-2020-1350, CVSS: 10,0
https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/
https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/
Check Point Research
SIGRed - Resolving Your Way into Domain Admin: Exploiting a 17 Year-old Bug in Windows DNS Servers - Check Point Research
Research by: Sagi Tzadik Introduction DNS, which is often described as the “phonebook of the internet”, is a network protocol for translating human-friendly computer hostnames into IP addresses. Because it is such a core component of the internet, there are…
Курс Microsoft, нацеленный на кибербезопасность, выглядит очень взвешенно: постепенное поглощение сильных ИБ-игроков (CyberX, Hexadite и др.), доработка собственной продуктовой экосистемы, все это очень амбициозно. Взять хотя бы их платформу Microsoft Defender ATP (Advanced Threat Protection), которая помимо Windows уже работает под Linux, macOS и Android.
К сожалению в России Defender ATP не очень популярен, там не менее многие компании используют его в составе того же Office 365, поэтому вот вам хорошо структурированный материал по работе с ним:
https://techcommunity.microsoft.com/t5/microsoft-defender-atp/become-a-microsoft-defender-atp-ninja/ba-p/1515647
К сожалению в России Defender ATP не очень популярен, там не менее многие компании используют его в составе того же Office 365, поэтому вот вам хорошо структурированный материал по работе с ним:
https://techcommunity.microsoft.com/t5/microsoft-defender-atp/become-a-microsoft-defender-atp-ninja/ba-p/1515647
TECHCOMMUNITY.MICROSOFT.COM
Become a Microsoft Defender for Endpoint Ninja
Do you want to become a ninja for Microsoft Defender for Endpoint? We can help you get there!