Здесь ты найдёшь:
🔤 обзоры последних инцидентов
🔤 советы по предотвращению атак
🔤 рекомендации по реагированию на угрозы
🔤 анализ тенденций в области кибербезопасности
Для быстрого поиска информации, используй следующие хештеги:
#book@detectioneasy - книги 📕
#ttp@detectioneasy - обзор актуальных TTP 👿
#tools@detectioneasy - утилиты, которые используют red или blue 🦾
#course@detectioneasy - курсы, по тематике 🎓
#admin@detectioneasy - администрирование 🤬 и построение инфраструктуры 🏢
#notes@detectioneasy - заметки ✍️
#detection@detectioneasy - обнаружение атак
#framework@detectioneasy - фреймворки для red и blue team
Для быстрого поиска информации, используй следующие хештеги:
#book@detectioneasy - книги 📕
#ttp@detectioneasy - обзор актуальных TTP 👿
#tools@detectioneasy - утилиты, которые используют red или blue 🦾
#course@detectioneasy - курсы, по тематике 🎓
#admin@detectioneasy - администрирование 🤬 и построение инфраструктуры 🏢
#notes@detectioneasy - заметки ✍️
#detection@detectioneasy - обнаружение атак
#framework@detectioneasy - фреймворки для red и blue team
Please open Telegram to view this post
VIEW IN TELEGRAM
С новым год 😅
https://securityonline.info/poc-exploit-released-for-zero-click-vulnerability-cve-2024-49112-in-windows/
#ttp
https://securityonline.info/poc-exploit-released-for-zero-click-vulnerability-cve-2024-49112-in-windows/
#ttp
Daily CyberSecurity
PoC Exploit Released for Zero-Click Vulnerability CVE-2024-49113 in Windows
SafeBreach also released a PoC tool that tests a vulnerable Windows Server against CVE-2024-49112, available on their GitHub repository.
❤2👍2🔥2
При MalDev и подготовке к RedTeam нужно убедиться, что твоя нагрузка не будет убита EPP. Для этого можешь использовать возможности запуска сканирования отдельных файлов.
Два проекта на GitHub, которые могут упростить работу.
https://github.com/matterpreter/DefenderCheck
https://github.com/gatariee/gocheck
#tools@detectioneasy
Два проекта на GitHub, которые могут упростить работу.
https://github.com/matterpreter/DefenderCheck
https://github.com/gatariee/gocheck
#tools@detectioneasy
GitHub
GitHub - matterpreter/DefenderCheck: Identifies the bytes that Microsoft Defender flags on.
Identifies the bytes that Microsoft Defender flags on. - matterpreter/DefenderCheck
👍2❤1🔥1
ANY.run выпустили статью, как оформить отчет об анализе малваре.
Основные пункты:
Общая информация: основные результаты исследования, название, происхождение, характеристики.
Основная информация: тип малвари, имя файла, размер, возможности обнаружения AV.
Хэши: MD5, SHA1, SHA256, SSDEEP …
Характеристики: заражение, самосохранение, распространение, взаимодействие с серверами, сбор данных.
Зависимости: требуемая ОС, установленное ПО, DLL, URL-адреса, скрипты.
Поведение: какие исполняемые файлы удаляет ВПО, проверяет ли она язык системы, запускает ли внедренный код в другом процессе или изменяет какие-либо настройки.
Статическая информация: анализ кода, заголовки.
Дополнительные данные: скриншоты, логи, выдержки из строк.
IOC: индикаторы компрометации для обнаружения и предотвращения проникновения.
#notes
Основные пункты:
Общая информация: основные результаты исследования, название, происхождение, характеристики.
Основная информация: тип малвари, имя файла, размер, возможности обнаружения AV.
Хэши: MD5, SHA1, SHA256, SSDEEP …
Характеристики: заражение, самосохранение, распространение, взаимодействие с серверами, сбор данных.
Зависимости: требуемая ОС, установленное ПО, DLL, URL-адреса, скрипты.
Поведение: какие исполняемые файлы удаляет ВПО, проверяет ли она язык системы, запускает ли внедренный код в другом процессе или изменяет какие-либо настройки.
Статическая информация: анализ кода, заголовки.
Дополнительные данные: скриншоты, логи, выдержки из строк.
IOC: индикаторы компрометации для обнаружения и предотвращения проникновения.
#notes
ANY.RUN's Cybersecurity Blog
Malware Analysis Report in One Click - ANY.RUN's Cybersecurity Blog
Read how to use ANY.RUN sandbox's features to the fullest and write malware analysis report maximally informative in one click.
❤2👍2🔥2
Так о чем будет канал?) Будет обзор новостей кибербеза и трендов ТТП, правил обнаружения, буду проводить некий solo purple team)) поатакуем, постараемся обнаружить себя и попатчим известные тулы, чтобы оставаться скрытными 🙈
А для кого?) Основной упор будет на экспертов/аналитиков SOC, пентестеров и админов
А для кого?) Основной упор будет на экспертов/аналитиков SOC, пентестеров и админов
❤3👍3🔥2
Detection engineering можно описать как набор процессов, которые позволяют обнаружить потенциальные угрозы в инфраструктуре.
Процессы описывают жизненный цикл:
1. сбор требований к обнаружению
2. разработка и тестирование правил и политики обнаружения
3. внедрение результатов п.2
4. Проверка (валидация) эффективности внедренных правил
#notes@detectioneasy
#detection@detectioneasy
Процессы описывают жизненный цикл:
1. сбор требований к обнаружению
2. разработка и тестирование правил и политики обнаружения
3. внедрение результатов п.2
4. Проверка (валидация) эффективности внедренных правил
#notes@detectioneasy
#detection@detectioneasy
👍5❤1🔥1
К моему не знаю, только сейчас обнаружил ресурс https://attackrulemap.com/.
Чем он полезен? Автор смапил тесты atomic red team, правила Sigma и Splunk. Атакующие, могут изучать соответствующие способы обнаружения их атак, или использовать в отчетах для выдачи рекомендаций. Синей стороне будет полезно для разработки детектирующей логики и поиска тестов для валидации правил)
#notes
#tools
Чем он полезен? Автор смапил тесты atomic red team, правила Sigma и Splunk. Атакующие, могут изучать соответствующие способы обнаружения их атак, или использовать в отчетах для выдачи рекомендаций. Синей стороне будет полезно для разработки детектирующей логики и поиска тестов для валидации правил)
#notes
#tools
attackrulemap.netlify.com
ARM - AttackRuleMap
Mapping of open-source detection rules and atomic tests.
❤1👍1🔥1
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - SigmaHQ/sigma: Main Sigma Rule Repository
Main Sigma Rule Repository. Contribute to SigmaHQ/sigma development by creating an account on GitHub.
❤1👍1🔥1
Вышел недельный обзор THIS WEEK IN 4N6, из интересного:
🔤 набор статей про закрепы в Linux (обсудим подробнее чуть позже)
🔤 Как найти инстансы GoPhish?) Или почему атакующим, нужно знать чем они пользуются)
🔤 обнаружение вредоносных DLL с помощью AI модели - DeepDLL
Please open Telegram to view this post
VIEW IN TELEGRAM
This Week In 4n6
Week 01 – 2025
Akash Patel SentinelOne(P7- Activity/Reports): A Practical Guide/An Practical Training SentinelOne (P8- SentinelOne Automation) : Guide / Training to Forensic Collection, KAPE… SentinelOne(P9- Sett…
👍4❤1🔥1
На Хабре статья про утилиты Didier Steven’s https://habr.com/ru/companies/ruvds/articles/869680/.
Если кто-то хотел раз хотел провести анализ вредоносных документов или pdf-файлов, сталкивались с
Если кто-то хотел раз хотел провести анализ вредоносных документов или pdf-файлов, сталкивались с
oledump, pdf-parser, rtfdumpХабр
Хакерские утилиты Дидье Стивенса
Дидье Стивенс — бельгийский разработчик и авторитетный специалист по информационной безопасности. Наиболее известен своими инструментами по взлому паролей Windows , анализу документов PDF и внедрению...
👍4❤1🔥1
Detection is easy
Detection engineering можно описать как набор процессов, которые позволяют обнаружить потенциальные угрозы в инфраструктуре. Процессы описывают жизненный цикл: 1. сбор требований к обнаружению 2. разработка и тестирование правил и политики обнаружения…
Хабр
Detection is easy. Устанавливаем Elastiflow для поиска угроз в сети
Введение Начнем серию статей под названием Detection is easy , посвященных Detection engineering (DE), о чем я пишу в одноименном Telegram-канале . Один из этапов DE - определение источников событий и...
👍4❤1🥰1
Forwarded from RedTeam brazzers (Миша)
Всем привет!
Глобально существует несколько видов кейлоггеров:
- На хуках (SetWindowsHookEx()) - винда сама будет уведомлять о нажатии;
- На GetAsyncKeyState() - бесконечный опрос нажатой клавиши;
- На GetInputData() - рисуется большое окно, внутри которого идет обработка нажатий клавиш;
- На ETW (только экранная клавиатура. POC)
Мне показалось этого мало, плюс, давно хотелось поглубже изучить графику в Windows. Посему взор упал на фреймворк MS UIA (User Interface Automation). Изначально он задумывался для людей с ограниченными возможностями, чтобы разработчики ПО могли озвучивать элементы на экране или осуществлять некоторое иное представление графики. Впрочем, это не мешает использовать фреймворк для слежки за пользователями :)
С помощью MS UIA вы можете делать абсолютно любые действия. Ровно как если бы вы сидели перед компьютером собственной персоной: нажатие кнопок, работа с окнами, вызов менюшек. И самое главное, конечно, чтение текста : )
Так появился небольшой инструмент Spyndicapped и статья с описанием : )) POC успешно хватает сообщения в Telegram, Whatsapp, Slack и , вишенкой на торте, осуществляет кражу паролей из KeePass. Всё это — средствами MS UIA, что потенциально чуть более скрытно, чем ранее известные методы.
Такие дела 🙂
Параллельно получилось обрести знания в области программирования для людей с ограниченными возможностями, так что если у вас будет шабашка............... 😁
Глобально существует несколько видов кейлоггеров:
- На хуках (SetWindowsHookEx()) - винда сама будет уведомлять о нажатии;
- На GetAsyncKeyState() - бесконечный опрос нажатой клавиши;
- На GetInputData() - рисуется большое окно, внутри которого идет обработка нажатий клавиш;
- На ETW (только экранная клавиатура. POC)
Мне показалось этого мало, плюс, давно хотелось поглубже изучить графику в Windows. Посему взор упал на фреймворк MS UIA (User Interface Automation). Изначально он задумывался для людей с ограниченными возможностями, чтобы разработчики ПО могли озвучивать элементы на экране или осуществлять некоторое иное представление графики. Впрочем, это не мешает использовать фреймворк для слежки за пользователями :)
С помощью MS UIA вы можете делать абсолютно любые действия. Ровно как если бы вы сидели перед компьютером собственной персоной: нажатие кнопок, работа с окнами, вызов менюшек. И самое главное, конечно, чтение текста : )
Так появился небольшой инструмент Spyndicapped и статья с описанием : )) POC успешно хватает сообщения в Telegram, Whatsapp, Slack и , вишенкой на торте, осуществляет кражу паролей из KeePass. Всё это — средствами MS UIA, что потенциально чуть более скрытно, чем ранее известные методы.
Такие дела 🙂
Параллельно получилось обрести знания в области программирования для людей с ограниченными возможностями, так что если у вас будет шабашка............... 😁
❤1👍1🔥1
Как думаете почему атакующие все еще используют cmd и bat🔤 Я думаю одна из причин, это отсутствие проверки в AMSI, как для других скриптовых-движков у Microsoft. В отчете ЛК злоумышленники, используют cmd для постэксплуатации (сбора информации о хосте, домене), закреплении в системе, и для взаимодействия с сервером управления 😒
#ttp@detectioneasy
#tools@detectioneasy
#ttp@detectioneasy
#tools@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Securelist
The EAGERBEE backdoor may be related to the CoughingDown actor
Kaspersky researchers analyze EAGERBEE backdoor modules, revealing a possible connection to the CoughingDown APT actor.
👍3