Forwarded from Positive Events
Существуют техники, которыми пользуются почти все хакеры — независимо от квалификации. С их помощью можно обнаруживать атаки, даже если данных очень мало.
Олег Скулкин проанализировал эти техники на основе реальных сценариев атак и пришел к интересным выводам: https://event.phdays.com/ru#how-to-detect-95-of-attacks-covering-5-of-threat-actors-techniques
Олег Скулкин проанализировал эти техники на основе реальных сценариев атак и пришел к интересным выводам: https://event.phdays.com/ru#how-to-detect-95-of-attacks-covering-5-of-threat-actors-techniques
phdays.com
Positive Hack Days Fest
Международный киберфестиваль для всех, кто хочет погрузиться в мир кибербезопасности. Любой желающий может узнать,
как устроен цифровой мир, повысить уровень своей защищенности и круто провести время
как устроен цифровой мир, повысить уровень своей защищенности и круто провести время
Forwarded from eucariot
Ну что, результат полугода работы - вот он.
Сразу две новые статьи из цикла
Это была когда-то одна заметка, но где-то на двухсоттысячном символе я придумал, что надо разделить.
Они обе про интерфейсы и инструменты. Обе переплетаются очень тесно во многих местах.
Но первая - этакий пролёт на большой высоте. А вторая - практическая.
Итак: АДСМ5. История сетевой автоматизации - путь из CLI в gNMI
https://habr.com/ru/post/667012/
- Триста разных RFC
- SNMP на самом деле Simple, просто вы не знали про другие протоколы
- У нас был шанс оседлать Model Driven подход ещё в 90-е
- Почему NETCONF круче SNMP?
- Что общего между YANG и SNMP
- Почему вообще, блин, в этом анонсе так много про SNMP?
- OpenConfig к нам приходит, но по частям
- Что значит g в gRPC
- Бреющий полёт над Whitebox'ами
- Мы всё делаем неправильно, давайте выбросим своё легаси
Сразу две новые статьи из цикла
Автоматизация для самых маленьких.Это была когда-то одна заметка, но где-то на двухсоттысячном символе я придумал, что надо разделить.
Они обе про интерфейсы и инструменты. Обе переплетаются очень тесно во многих местах.
Но первая - этакий пролёт на большой высоте. А вторая - практическая.
Итак: АДСМ5. История сетевой автоматизации - путь из CLI в gNMI
https://habr.com/ru/post/667012/
- Триста разных RFC
- SNMP на самом деле Simple, просто вы не знали про другие протоколы
- У нас был шанс оседлать Model Driven подход ещё в 90-е
- Почему NETCONF круче SNMP?
- Что общего между YANG и SNMP
- Почему вообще, блин, в этом анонсе так много про SNMP?
- OpenConfig к нам приходит, но по частям
- Что значит g в gRPC
- Бреющий полёт над Whitebox'ами
- Мы всё делаем неправильно, давайте выбросим своё легаси
Хабр
АДСМ5. История сетевой автоматизации
Это первая статья - историческая ретроспектива технологий и интерфейсов автоматизации сети. Если хочется более практического разбора, я отсылаю читателя к статье-спутнику , в которой мы собираем лабу,...
🔥1
Forwarded from Ralf Hacker Channel (Ralf Hacker)
WarCon22 - Modern Initial Access and Evasion Tactics.pdf
5.9 MB
Forwarded from k8s (in)security (Дмитрий Евдокимов)
На днях обновление получил документ "Cloud Security Technical Reference Architecture" от организации
Я выделил несколько ключивиков, по которым вы можете определится стоит вам его изучать или нет.
-
-
-
-
-
-
-
-
Слово
Cybersecurity and Infrastructure Security Agency (CISA). Полностью документ я еще не изучил, но беглое чтение по диагонали показало его интересность. Я выделил несколько ключивиков, по которым вы можете определится стоит вам его изучать или нет.
-
Continuous Monitoring-
Incident Handling-
Authorization Boundary-
Infrastructure as Code-
DevSecOps-
ZeroTrust-
Cloud Migration-
Cloud Security Posture Management (CSPM)Слово
Kubernetes там не упоминается ни раза =)#NTLM #AD #Windows #Blueteam
Как детектить новую NTLM relay атаку DFSCoerce.
https://www.praetorian.com/blog/how-to-detect-dfscoerce/
Как детектить новую NTLM relay атаку DFSCoerce.
https://www.praetorian.com/blog/how-to-detect-dfscoerce/
Praetorian
How to Detect DFSCoerce
Background On 18 June 2022, security researcher Filip Dragovic published proof-of-concept code for a new forced authentication technique named DFSCoerce. This technique, inspired by other forced authentication techniques like PetitPotam and SpoolSample, often…
Forwarded from k8s (in)security (Дмитрий Евдокимов)
В моих книжных рекомендациях пополнение! Теперь к вот этим трем [1,2,3] добавилась еще одна книга - "Hacking Kubernetes: Threat-Driven Analysis and Defense".
Что-то особенное в ней выделить сложно - она просто хорошая, актуальная, обзорная книга по вопросам безопасности
Особое внимание можно обратить на такие главы как:
-
Что-то особенное в ней выделить сложно - она просто хорошая, актуальная, обзорная книга по вопросам безопасности
Kubernetes. Так как тем рассматривается очень много, на какую-то глубину она претендовать не может. Так что бывалым можно часть книги смотреть по диагонали, а новичкам прям должна зайти - тут все от основ до продвинутого уровня.Особое внимание можно обратить на такие главы как:
-
Applications and Supply Chain
- Hard Multitenancy
- Policy
- Intrusion Detection
Приятного чтения)Forwarded from ATT&CK® COMMUNITY RUSSIA CHANNEL
attackcon_3.zip
113.8 MB
Материалы MITRE ATT&CKCON 3.0
▪️Все 26 презентаций в архиве и на SlideShare
▪️Видео опубликовано на YouTube
📩 Подписаться 📩
▪️Все 26 презентаций в архиве и на SlideShare
▪️Видео опубликовано на YouTube
📩 Подписаться 📩
APPSEC – HOW TO COMPROMISE KUBERNETES – FULL RED TEAM VS BLUE TEAM DEMO
#redteam #blueteam #MITRE
https://securitysandman.com/2021/04/20/how-to-compromise-kubernetes-full-red-team-vs-blue-team-demo/
#redteam #blueteam #MITRE
https://securitysandman.com/2021/04/20/how-to-compromise-kubernetes-full-red-team-vs-blue-team-demo/
@secSandman
APPSEC – How to compromise Kubernetes – Full Red Team vs Blue Team demo
This is a walk through of the Microsoft MITRE ATT&CK for Kubernetes that teaches the value of basic container security architecture requirements. If you’re interested in higher level Arch…
👍2
Forwarded from APT
⚔️ Maelstrom: C2 Development Blog Series
We wanted to explore how C2s function in 2022, what evasive behavior's are required, and what a minimum viable C2 looks like in a world of sophisticated endpoint protection.
Which gave us our goals for this blog series:
- Document the internals of a minimum viable C2:
* What are the ideas behind popular C2 implementations?
* What are their goals and objectives?
- Analyse and implement evasive behaviors:
* What is required to run on a contemporary Windows system?
* What is required to bypass up-to-date, modern endpoint protection?
- Produce a proof-of-concept C2:
* What is the minimum viable C2 for an operator in 2022?
* What is required to detect this minimum viable C2?
🔗 Maelstrom: An Introduction
🔗 Maelstrom: The C2 Architecture
🔗 Maelstrom: Building the Team Server
🔗 Maelstrom: Writing a C2 Implant
#maldev #c2
We wanted to explore how C2s function in 2022, what evasive behavior's are required, and what a minimum viable C2 looks like in a world of sophisticated endpoint protection.
Which gave us our goals for this blog series:
- Document the internals of a minimum viable C2:
* What are the ideas behind popular C2 implementations?
* What are their goals and objectives?
- Analyse and implement evasive behaviors:
* What is required to run on a contemporary Windows system?
* What is required to bypass up-to-date, modern endpoint protection?
- Produce a proof-of-concept C2:
* What is the minimum viable C2 for an operator in 2022?
* What is required to detect this minimum viable C2?
🔗 Maelstrom: An Introduction
🔗 Maelstrom: The C2 Architecture
🔗 Maelstrom: Building the Team Server
🔗 Maelstrom: Writing a C2 Implant
#maldev #c2
Forwarded from Sysadmin Tools 🇺🇦
The differences between Docker, containerd, CRI-O and runc
https://www.tutorialworks.com/difference-docker-containerd-runc-crio-oci/
https://youtu.be/MDsjINTL7Ek
#runc #crio #docker #containerd
https://www.tutorialworks.com/difference-docker-containerd-runc-crio-oci/
https://youtu.be/MDsjINTL7Ek
#runc #crio #docker #containerd
Тем временем Kubernetes Goat уже насчитывает 20 различных сценариев для атак.
#k8s #devsecops
https://github.com/madhuakula/kubernetes-goat
#k8s #devsecops
Sensitive keys in codebases
DIND (docker-in-docker) exploitation
SSRF in the Kubernetes (K8S) world
Container escape to the host system
Docker CIS benchmarks analysis
Kubernetes CIS benchmarks analysis
Attacking private registry
NodePort exposed services
Helm v2 tiller to PwN the cluster - [Deprecated]
Analyzing crypto miner container
Kubernetes namespaces bypass
Gaining environment information
DoS the Memory/CPU resources
Hacker container preview
Hidden in layers
RBAC least privileges misconfiguration
KubeAudit - Audit Kubernetes clusters
Falco - Runtime security monitoring & detection
Popeye - A Kubernetes cluster sanitizer
Secure network boundaries using NSP
https://github.com/madhuakula/kubernetes-goat
GitHub
GitHub - madhuakula/kubernetes-goat: Kubernetes Goat is a "Vulnerable by Design" cluster environment to learn and practice Kubernetes…
Kubernetes Goat is a "Vulnerable by Design" cluster environment to learn and practice Kubernetes security using an interactive hands-on playground 🚀 - madhuakula/kubernetes-goat
I DON’T KNOW BRO
I DON’T KNOW
SPEAK THE STREETS BRO
ONLY WAY DAWG
COPS DON’T KNOW
PAY THE STREETS DOUGH
SELL SOME REAL GREEN DOPE
SELL SOME REAL GREEN DOPE
MAKE SOME REAL MEAN DOUGH
MAKE SOME REAL MEAN DOUGH
(X2)
https://www.youtube.com/watch?v=DIhWBhf1lPY&list=RDCLAK5uy_ldlwpMghzMwGCDSOA4Kw6TrOCXDaqXQMo&index=3
YouTube
Ghetts — Mozambique (feat. Jaykae & Moonchild Sanelly)
The official video for Ghetts — Mozambique (feat. Jaykae & Moonchild Sanelly)Listen/download here: https://wcr.ec/mozambiquePre-order 'Conflict of Interest' ...
👍1🔥1
Forwarded from APT
🔴 Reversing BRc4 Red-Teaming Tool Used by APT 29
On May 19, a malicious payload associated with Brute Ratel C4 (BRc4) was uploaded to VirusTotal, where it received a benign verdict from all 56 vendors that evaluated it. Beyond the obvious detection concerns, we believe this sample is also significant in terms of its malicious payload, command and control (C2), and packaging.
Blog post:
https://unit42.paloaltonetworks.com/brute-ratel-c4-tool/
Reversing the Malware by IppSec:
https://youtu.be/a7W6rhkpVSM
#maldev #c2 #brc4
On May 19, a malicious payload associated with Brute Ratel C4 (BRc4) was uploaded to VirusTotal, where it received a benign verdict from all 56 vendors that evaluated it. Beyond the obvious detection concerns, we believe this sample is also significant in terms of its malicious payload, command and control (C2), and packaging.
Blog post:
https://unit42.paloaltonetworks.com/brute-ratel-c4-tool/
Reversing the Malware by IppSec:
https://youtu.be/a7W6rhkpVSM
#maldev #c2 #brc4
Unit 42
When Pentest Tools Go Brutal: Red-Teaming Tool Being Abused by Malicious Actors
Pentest and adversary emulation tool Brute Ratel C4 is effective at defeating modern detection capabilities – and malicious actors have begun to adopt it.