Forwarded from 0% Privacy
|Network Infrastructure Security Guide|
🌐Тут вышло обновление(версия 1.1) руководства от АНБ по безопасности в сетевой инфраструктуре(первая версия есть на канале). Пробежался по документу и не заметил сильных изменений по сравнению с первой версией, только небольшие правки + добавлено 20 ссылок в конце.
По своей сути крайне толковое руководство, для начинающих сетевиков, сисадминов, да кому приходится сталкивать непосредственно построением/конфигурированием сетевой инфраструктурой - горячо рекомендую.
🌐There was an update (version 1.1) of the NSA manual on security in the network infrastructure (the first version is on the channel). I ran through the document and didn't notice any major changes compared to the first version, only minor edits + 20 links added at the end.
At its core, an extremely sensible guide, for novice networkers, sysadmins, and those who have to deal directly with the construction / configuration of the network infrastructure - I warmly recommend it.
#NSA #security #network
🌐Тут вышло обновление(версия 1.1) руководства от АНБ по безопасности в сетевой инфраструктуре(первая версия есть на канале). Пробежался по документу и не заметил сильных изменений по сравнению с первой версией, только небольшие правки + добавлено 20 ссылок в конце.
По своей сути крайне толковое руководство, для начинающих сетевиков, сисадминов, да кому приходится сталкивать непосредственно построением/конфигурированием сетевой инфраструктурой - горячо рекомендую.
🌐There was an update (version 1.1) of the NSA manual on security in the network infrastructure (the first version is on the channel). I ran through the document and didn't notice any major changes compared to the first version, only minor edits + 20 links added at the end.
At its core, an extremely sensible guide, for novice networkers, sysadmins, and those who have to deal directly with the construction / configuration of the network infrastructure - I warmly recommend it.
#NSA #security #network
Telegram
0% Privacy
Руководство по безопасности сетевой инфраструктуры от АНБ.
NSA Network Infrastructure Security Guide.
#networks
NSA Network Infrastructure Security Guide.
#networks
👍9🔥1
Forwarded from Open Source
OnCall
OnCall — система реагирования на инциденты от Grafana Labs, теперь с открытым исходным кодом.
🔻Система позволяет собирать информацию об аномалиях и событиях из различных систем мониторинга, после чего автоматически группировать данные, направлять уведомления ответственным группам и отслеживать состояние решения проблем.
Поддерживается интеграция с системами мониторинга Grafana, Prometheus, AlertManager и Zabbix.
🔻Из полученной от систем мониторинга информации отфильтровываются второстепенные и малозначительные события, агрегируются дубликаты и исключаются проблемы, которые могут быть решены без участия человека.
🔻Очищенные от лишнего информационного шума значительные события поступают в подсистему отправки оповещений, которая выделяет сотрудников, ответственных за решения выявленных категорий проблем, и отправляет уведомления с учётом графика их работы и степени занятости (оцениваются данные из календаря-планировщика).
🔻В зависимости от степени важности инцидента уведомления могут отправляться через телефонные звонки, SMS, электронную почту, создание событий в календаре-планировщике, мессенджеры Slack и Telegram. При этом в Slack могут автоматически создаваться каналы для обсуждения вопросов, связанных с решением инцидента, к которым автоматически подключаются как отдельные сотрудники, так и целые команды.
Управление работой осуществляется через web-интерфейс.
https://github.com/grafana/oncall
Сайт: https://grafana.com/oss/oncall/
OnCall — система реагирования на инциденты от Grafana Labs, теперь с открытым исходным кодом.
🔻Система позволяет собирать информацию об аномалиях и событиях из различных систем мониторинга, после чего автоматически группировать данные, направлять уведомления ответственным группам и отслеживать состояние решения проблем.
Поддерживается интеграция с системами мониторинга Grafana, Prometheus, AlertManager и Zabbix.
🔻Из полученной от систем мониторинга информации отфильтровываются второстепенные и малозначительные события, агрегируются дубликаты и исключаются проблемы, которые могут быть решены без участия человека.
🔻Очищенные от лишнего информационного шума значительные события поступают в подсистему отправки оповещений, которая выделяет сотрудников, ответственных за решения выявленных категорий проблем, и отправляет уведомления с учётом графика их работы и степени занятости (оцениваются данные из календаря-планировщика).
🔻В зависимости от степени важности инцидента уведомления могут отправляться через телефонные звонки, SMS, электронную почту, создание событий в календаре-планировщике, мессенджеры Slack и Telegram. При этом в Slack могут автоматически создаваться каналы для обсуждения вопросов, связанных с решением инцидента, к которым автоматически подключаются как отдельные сотрудники, так и целые команды.
Управление работой осуществляется через web-интерфейс.
https://github.com/grafana/oncall
Сайт: https://grafana.com/oss/oncall/
👍6🤔3
DFL_DroneIncident_Final_EN.pdf
6.7 MB
Отличное описание методологий форензик-исследований дронов от Интерпола. На английском, но читается легко и понятно.
👍10🔥3
ЧЕМ ЖЕ ЗАНИМАЕТСЯ BEHOLDERISHERE Consulting ?
СИТУАЦИОННЫЕ СИМУЛЯЦИИ. ЧАСТЬ 1
Одно из направлений нашей команды «Ситуационные симуляции» - мероприятия позволяющие понять уязвимости связанные с человеческим фактором. Все симуляции разделены по векторам реальных «атак» которые могут произойти в действительности. И первый вектор это: «Проникновение через внешний и внутренний периметр безопасности»
Внешний периметр:
Исследуемая ЦА: Служба безопасности, сотрудники охраны, администраторы.
Цель: Выявить возможность проникновения во внутрь внешнего охранного периметра (охраняемая внешняя территория вокруг объекта)
Возможные вектора атаки:
⁃ Возможность проникновения на территорию используя специальные технические средства. Возможность неконтролируемого прохода через точки прохода оборудованные СКУД и неконтролируемого проезда через автоматические шлагбаумы и заградительные конструкции
⁃ Возможность копирования карт доступа, транспондеров и радио-пультов управления.
⁃ Возможность копирования биометрического идентификатора (отпечаток пальца) и технологического идентификатора (карта доступа) у целевых субъектов исследования (сотрудников)
⁃ Возможность неавторизированного доступа на территорию через сотрудников компании.
Внутренний периметр:
Исследуема ЦА: Служба безопасности, сотрудники охраны, администраторы.
Цель: Выявить возможность проникновения в охраняемый периметр административного здания.
Возможные вектора атаки:
⁃ Возможность проникновения на территорию используя специальные технические средства. Возможность неконтролируемого прохода через точки прохода оборудованные СКУД
⁃ Возможность неавторизированного прохода используя сотрудников бюро пропусков, сотрудников охраны, сотрудников компании
⁃ Возможность копирования биометрического идентификатора (отпечаток пальца) и технологического идентификатора (карта доступа) у целевых субъектов исследования (сотрудников)
СИТУАЦИОННЫЕ СИМУЛЯЦИИ. ЧАСТЬ 1
Одно из направлений нашей команды «Ситуационные симуляции» - мероприятия позволяющие понять уязвимости связанные с человеческим фактором. Все симуляции разделены по векторам реальных «атак» которые могут произойти в действительности. И первый вектор это: «Проникновение через внешний и внутренний периметр безопасности»
Внешний периметр:
Исследуемая ЦА: Служба безопасности, сотрудники охраны, администраторы.
Цель: Выявить возможность проникновения во внутрь внешнего охранного периметра (охраняемая внешняя территория вокруг объекта)
Возможные вектора атаки:
⁃ Возможность проникновения на территорию используя специальные технические средства. Возможность неконтролируемого прохода через точки прохода оборудованные СКУД и неконтролируемого проезда через автоматические шлагбаумы и заградительные конструкции
⁃ Возможность копирования карт доступа, транспондеров и радио-пультов управления.
⁃ Возможность копирования биометрического идентификатора (отпечаток пальца) и технологического идентификатора (карта доступа) у целевых субъектов исследования (сотрудников)
⁃ Возможность неавторизированного доступа на территорию через сотрудников компании.
Внутренний периметр:
Исследуема ЦА: Служба безопасности, сотрудники охраны, администраторы.
Цель: Выявить возможность проникновения в охраняемый периметр административного здания.
Возможные вектора атаки:
⁃ Возможность проникновения на территорию используя специальные технические средства. Возможность неконтролируемого прохода через точки прохода оборудованные СКУД
⁃ Возможность неавторизированного прохода используя сотрудников бюро пропусков, сотрудников охраны, сотрудников компании
⁃ Возможность копирования биометрического идентификатора (отпечаток пальца) и технологического идентификатора (карта доступа) у целевых субъектов исследования (сотрудников)
🔥10👍6👏1
Forwarded from Dana Scully
Hardware forensics. Прячем данные в BIOS
Статья по форензике, которую обещала. К сожалению, она не совсем того качества, которое планировалось, но обещаю исправиться.
Статья по форензике, которую обещала. К сожалению, она не совсем того качества, которое планировалось, но обещаю исправиться.
Telegraph
Hardware forensics. Прячем данные в BIOS.
Cегодня речь пойдет об аппаратной криминалистической экспертизе (hardware forensics) . Это - экспертиза аппаратного обеспечения и технических устройств. Данное направление наименее популярно и наиболее сложно, так как требует очень узкоспециальных знаний.…
👍15🤔4
Интересный кейс с обнаружением аппаратной закладки в серверной одной компании [ habr.com/ru/company/qiwi/blog/674132 ]
Хабр
Загадочное дело о Raspberry Pi в шкафу для сетевого оборудования
Как-то я получил от своего отца (мы вместе с ним работаем на одного клиента) сообщение с приложенной фотографией. Сообщение от отца Я попросил его отключить устройство, положить в безопасное место,...
👍10🔥9👎2
Полезные платформы для оттачивания навыков расследований инцидентов
1) https://www.ashemery.com/dfir.html
2) https://cfreds.nist.gov/
3) https://cfreds-archive.nist.gov/
4) https://cyberdefenders.org/
5) https://www.vulnhub.com/?q=forensic
1) https://www.ashemery.com/dfir.html
2) https://cfreds.nist.gov/
3) https://cfreds-archive.nist.gov/
4) https://cyberdefenders.org/
5) https://www.vulnhub.com/?q=forensic
👍23
GRR Rapid Response
[https://github.com/google/grr]
система реагирования на инциденты от Google, ориентированная на удаленное управление всеми контролируемыми хостами. Некое подобие EDR, где на клиентских машинах устанавливается агент, который и взаимодействует с сервером. Поможет организовать масштабируемое решение, которое позволит аналитикам производить удаленную сортировку и оперативно реагировать на инциденты.
[https://github.com/google/grr]
система реагирования на инциденты от Google, ориентированная на удаленное управление всеми контролируемыми хостами. Некое подобие EDR, где на клиентских машинах устанавливается агент, который и взаимодействует с сервером. Поможет организовать масштабируемое решение, которое позволит аналитикам производить удаленную сортировку и оперативно реагировать на инциденты.
👍10👎3
This media is not supported in your browser
VIEW IN TELEGRAM
Linux Expl0rer
[https://github.com/intezer/linux-explorer]
необычное решение для Linux систем, которое позволяет в браузере буквально одним кликом просмотреть основную информацию об исследуемой системе (пользователи, процессы, логи, интеграция с YARA). Может выручить на начальном этапе работы с инцидентом.
[https://github.com/intezer/linux-explorer]
необычное решение для Linux систем, которое позволяет в браузере буквально одним кликом просмотреть основную информацию об исследуемой системе (пользователи, процессы, логи, интеграция с YARA). Может выручить на начальном этапе работы с инцидентом.
🔥11👍7👎3
FLARE VM
[https://github.com/mandiant/flare-vm]
полностью кастомизируемый дистрибутив на базе Windows для анализа вредоносных программ, реагирования на инциденты и т.д. Просто мастхэв для представителей синих команд, причем процесс установки в целом сводится к запуску одного сценария. А со списком всех устанавливаемых инструментов можно ознакомиться в репозитории!
[https://github.com/mandiant/flare-vm]
полностью кастомизируемый дистрибутив на базе Windows для анализа вредоносных программ, реагирования на инциденты и т.д. Просто мастхэв для представителей синих команд, причем процесс установки в целом сводится к запуску одного сценария. А со списком всех устанавливаемых инструментов можно ознакомиться в репозитории!
👍17👎1
Сканеры индикаторов компрометации
Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему.
Loki [https://github.com/Neo23x0/Loki] - сканер индикаторов, который ведет собственный набор известных индикаторов (https://github.com/Neo23x0/signature-base), но также может принимать и правила YARA, что делает данный инструмент крайне полезным в работе.
Fenrir [https://github.com/Neo23x0/Fenrir] — универсальный bash-скрипт для сканирования Linux, OSX и Unix систем. Работает с более широким набором индикаторов компрометации: хэши, имена файлов, С2-сервера и т.д.
FastFinder [https://github.com/codeyourweb/fastfinder] - минималистичный инструмент, предназначенный для поиска угроз и сортировки на платформах Windows и Linux. Для использования нужно писать собственные правила, хотя в репо есть парочка примеров на YAML.
THOR [https://www.nextron-systems.com/thor/] - коммерческое решение на базе Loki и Fenrir. Основными отличиями от бесплатных аналогов являются: SIGMA-сканирование, Удаленное сканирование, Анализ реестра и др.
Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему.
Loki [https://github.com/Neo23x0/Loki] - сканер индикаторов, который ведет собственный набор известных индикаторов (https://github.com/Neo23x0/signature-base), но также может принимать и правила YARA, что делает данный инструмент крайне полезным в работе.
Fenrir [https://github.com/Neo23x0/Fenrir] — универсальный bash-скрипт для сканирования Linux, OSX и Unix систем. Работает с более широким набором индикаторов компрометации: хэши, имена файлов, С2-сервера и т.д.
FastFinder [https://github.com/codeyourweb/fastfinder] - минималистичный инструмент, предназначенный для поиска угроз и сортировки на платформах Windows и Linux. Для использования нужно писать собственные правила, хотя в репо есть парочка примеров на YAML.
THOR [https://www.nextron-systems.com/thor/] - коммерческое решение на базе Loki и Fenrir. Основными отличиями от бесплатных аналогов являются: SIGMA-сканирование, Удаленное сканирование, Анализ реестра и др.
👍8🤔5👎1
S1EM
[https://github.com/V1D1AN/S1EM]
чуть-ли не готовое SIEM решение для внедрения в корпоративную инфраструктуру на принципе объединения бесплатных и совместимых продуктов. На борту: ELK, N8n, Spiderfoot, Syslog-ng, Elastalert, TheHive, Cortex, MISP и многое другое. Помимо прочего, авторы радуют гайдами, рекомендациями и полезными ссылками!
[https://github.com/V1D1AN/S1EM]
чуть-ли не готовое SIEM решение для внедрения в корпоративную инфраструктуру на принципе объединения бесплатных и совместимых продуктов. На борту: ELK, N8n, Spiderfoot, Syslog-ng, Elastalert, TheHive, Cortex, MISP и многое другое. Помимо прочего, авторы радуют гайдами, рекомендациями и полезными ссылками!
👍10🔥4
Forwarded from Интернет-Розыск
This media is not supported in your browser
VIEW IN TELEGRAM
SITU/codec - цифровой инструмент, разработанный SITU Research для управления, анализа и представления видеодоказательств.
♾ https://situ.nyc/research/projects/codec-collaborative-tool
♾ https://github.com/SITU-Research/codec
♾ https://situ.nyc/research/projects/codec-collaborative-tool
♾ https://github.com/SITU-Research/codec
👍3
Forwarded from 0% Privacy
|PcapXray|
🤙Шизо на связи!
🕵️♂️Продолжу тему форензики визуализацией захваченного трафика, полученного tcpdump или его десятками вариаций.
Собственно визуализация может ускорить процесс анализа захваченных пакетов в виде pcap-файлов.
PcapXray как и нужен для таких целей, так как он строит сетевые диаграммы, на которых отмечены сетевые узлы, траффик и данные которые передаются по сети(полезная нагрузка или пэйлоады, кому как проще).
Также, есть несколько дополнительных функций, который на мой взгляд не стоит обходить стороной:
💥Работа с Tor трафиком(можно будет получить только базовую информацию, никакой дешифровки трафика - нет)
💥Идентификация вредоносного трафика
Для введения в анализ захваченного трафика рекомендую несколько челленджей в виде нескольких виртуальных машин большим количеством pcap-файлов:
💾Hands-on Network Forensics(логин: user, пароль: password): VM + выступление с семинара
💾Introduction to network forensics(справочник; набор инструментов: 1, 2, 3; виртуальный образ:1, 2, 3, 4)
🤙 The Shizo is in touch!
🕵️♂️I will continue the topic of forensics by visualizing the captured traffic received by tcpdump or its dozens of variations.
Visualization itself can speed up the process of analyzing captured packets in the form of pcap files.
PcapXray is just as necessary for such purposes, since it builds network diagrams on which network nodes, traffic and data that are transmitted over the network are marked (payload or payloads, whichever is easier).
Also, there are several additional functions, which in my opinion should not be bypassed:
💥Working with Tor traffic (it will be possible to get only basic information, there is no decryption of traffic)
💥Identification of malicious traffic
To introduce the captured traffic analysis, I recommend several challenges in the form of several virtual machines with a large number of pcap files:
💾Hands-on Network Forensics(login: user, password: password): VM + performance from the seminar
💾Introduction to network forensics(handbook; set of tools:1, 2, 3; virtual image:1, 2, 3, 4)
Приложу ещё список тулзов для визуализации захваченных пакетов(pcap-файлов)/I will also attach a list of tools for visualizing captured packets (pcap files):
🌐kamene
🌐tcpterm
🌐PcapViz
🌐webshark
🌐potiron
🌐xplico
🌐capanalysis
#forensics #network #pcap #tor
🤙Шизо на связи!
🕵️♂️Продолжу тему форензики визуализацией захваченного трафика, полученного tcpdump или его десятками вариаций.
Собственно визуализация может ускорить процесс анализа захваченных пакетов в виде pcap-файлов.
PcapXray как и нужен для таких целей, так как он строит сетевые диаграммы, на которых отмечены сетевые узлы, траффик и данные которые передаются по сети(полезная нагрузка или пэйлоады, кому как проще).
Также, есть несколько дополнительных функций, который на мой взгляд не стоит обходить стороной:
💥Работа с Tor трафиком(можно будет получить только базовую информацию, никакой дешифровки трафика - нет)
💥Идентификация вредоносного трафика
Для введения в анализ захваченного трафика рекомендую несколько челленджей в виде нескольких виртуальных машин большим количеством pcap-файлов:
💾Hands-on Network Forensics(логин: user, пароль: password): VM + выступление с семинара
💾Introduction to network forensics(справочник; набор инструментов: 1, 2, 3; виртуальный образ:1, 2, 3, 4)
🤙 The Shizo is in touch!
🕵️♂️I will continue the topic of forensics by visualizing the captured traffic received by tcpdump or its dozens of variations.
Visualization itself can speed up the process of analyzing captured packets in the form of pcap files.
PcapXray is just as necessary for such purposes, since it builds network diagrams on which network nodes, traffic and data that are transmitted over the network are marked (payload or payloads, whichever is easier).
Also, there are several additional functions, which in my opinion should not be bypassed:
💥Working with Tor traffic (it will be possible to get only basic information, there is no decryption of traffic)
💥Identification of malicious traffic
To introduce the captured traffic analysis, I recommend several challenges in the form of several virtual machines with a large number of pcap files:
💾Hands-on Network Forensics(login: user, password: password): VM + performance from the seminar
💾Introduction to network forensics(handbook; set of tools:1, 2, 3; virtual image:1, 2, 3, 4)
Приложу ещё список тулзов для визуализации захваченных пакетов(pcap-файлов)/I will also attach a list of tools for visualizing captured packets (pcap files):
🌐kamene
🌐tcpterm
🌐PcapViz
🌐webshark
🌐potiron
🌐xplico
🌐capanalysis
#forensics #network #pcap #tor
👍17👏2👎1
Forwarded from addmeto (Grigory Bakunov 🧪)
Немного субботнего чтива: в NYT статья про очень любимую мной игру GeoGuesser — это простое развлечение, где тебя помещает куда-то на гугл панорамах, и ты должен понять и максимально точно на карте показать, где находится это место. Точнее, статья про суперигроков в этой игре, но все равно интересно. Посмотрите как это выглядит — человека выкидывает где-то в городе, и он за секунду определяет: “Я в Японии, скорее всего, в одном из небольших городов на севере, вероятнее всего, Wakkanai около аэропорта”. Я все еще думаю, что это больше похоже на магию 🙂
https://www.nytimes.com/2022/07/07/business/geoguessr-google-maps.html
https://www.nytimes.com/2022/07/07/business/geoguessr-google-maps.html
Nytimes
Siberia or Japan? Expert Google Maps Players Can Tell at a Glimpse. (Published 2022)
In a game called GeoGuessr, competitors try to pinpoint where in the world a Google Street View image has been taken. Some can do it in seconds.
👍3
А тем временем, Уважаемый Ares зарелизил версию 1.2 под Windows свое творение intecepter-NG с кучей новых плюшек
[ https://t.me/cepter/200 ]
P.S. Ну вы же помните: использовать это можно исключительно только в мирных и учебных целях!!! За все остальное спрашивает суровое УК РФ, а мы всячески порицаем!
[ https://t.me/cepter/200 ]
P.S. Ну вы же помните: использовать это можно исключительно только в мирных и учебных целях!!! За все остальное спрашивает суровое УК РФ, а мы всячески порицаем!
Telegram
Intercepter-NG
🔥Intercepter-NG v1.2 for Windows🔥
* SSL MiTM rewritten (SNI support)
* SSL Strip updated
* X-Scan updated
+ Forced capturing on PPP interfaces
************
+ Captive Portal test template
- eXtreme mode, iOS killer
- Heartbleed exploit
- DHCP\RAW Mode
*…
* SSL MiTM rewritten (SNI support)
* SSL Strip updated
* X-Scan updated
+ Forced capturing on PPP interfaces
************
+ Captive Portal test template
- eXtreme mode, iOS killer
- Heartbleed exploit
- DHCP\RAW Mode
*…
👍21
Великолепная презентация от журналистов-расследователей, рассказывающая на примере громких кейсов о методологии расследований и ренструкций событий на основе видео и фото [ youtu.be/y3oL6ciVh6Q ]
YouTube
Визуальные расследования с использованием видео и без – #GIJC21
Когда-то считавшийся просто формой фактчекинга, криминалистический анализ изображений быстро превратился в важнейший метод журналистского расследования.
Всё благодаря новым технологиям, инновационным навыкам и повсеместному распространению визуального контента…
Всё благодаря новым технологиям, инновационным навыкам и повсеместному распространению визуального контента…
👍6👎1
Forwarded from 0% Privacy
Extraction-and-analysisTG_WP.pdf
529.1 KB
📘А вот и сам технический документ к выступлению, раскрывающий более подробно вопрос извлечения и анализа артефактов из десктопного приложения телеграм на винде.
📘And here is the technical document for the speech itself, revealing in more detail the issue of extracting and analyzing artifacts from the desktop application of telegram on Windows.
#telegram #forensics
📘And here is the technical document for the speech itself, revealing in more detail the issue of extracting and analyzing artifacts from the desktop application of telegram on Windows.
#telegram #forensics
Forwarded from Пост Лукацкого
This media is not supported in your browser
VIEW IN TELEGRAM
Интересный ресурс, показывающий географические области, в которых активно блокируется или нарушается работа GPS. Может быть полезно при планировании работы объектов КИИ, в которых используется спутниковая геолокация.
Вокруг Москвы большая зона, в которой немалое количество помех для GPS.
Вокруг Москвы большая зона, в которой немалое количество помех для GPS.
👍18