Forwarded from AppSec Journey
Не такой и новый, но такой родной.
На самом деле, до сих пор один из самых хороших опенсорсных тулзов для поиска секретов. Помнится, что он даже отчеты умеет толковые отдавать...
На самом деле, до сих пор один из самых хороших опенсорсных тулзов для поиска секретов. Помнится, что он даже отчеты умеет толковые отдавать...
GitHub
GitHub - okta-graveyard/repo-supervisor: Scan your code for security misconfiguration, search for passwords and secrets. :mag:
Scan your code for security misconfiguration, search for passwords and secrets. :mag: - okta-graveyard/repo-supervisor
Forwarded from Caster
Релиз моего нового инструмента: Nihilist
Это инструмент аудита безопасности Cisco IOS, который позволяет оценить защищенность маршрутизаторов и коммутаторов Cisco. Nihilist работает путем подключения по SSH и анализа конфигурации с использованием регулярных выражений. Он проводит оценку защищенности IOS, канального и сетевого уровня инфраструктуры.
В отличие от известного CCAT, Nihilist проводит более глубокий аудит конфигурации Cisco, анализируя не только факт включения механизмов защиты, но и их корректность и соответствие сетевой среде.
При создании этого инструмента меня вдохновили экранизация 1958 года "Отцы и Дети" И. Тургенева и книга Ф. Ницше "По ту сторону добра и зла"
Cover Man: Magama Bazarov (Sony ILCE-7M3, f/2.8, ISO 16000, 1/50s, 35mm)
Link: https://github.com/casterbyte/Nihilist
Это инструмент аудита безопасности Cisco IOS, который позволяет оценить защищенность маршрутизаторов и коммутаторов Cisco. Nihilist работает путем подключения по SSH и анализа конфигурации с использованием регулярных выражений. Он проводит оценку защищенности IOS, канального и сетевого уровня инфраструктуры.
В отличие от известного CCAT, Nihilist проводит более глубокий аудит конфигурации Cisco, анализируя не только факт включения механизмов защиты, но и их корректность и соответствие сетевой среде.
При создании этого инструмента меня вдохновили экранизация 1958 года "Отцы и Дети" И. Тургенева и книга Ф. Ницше "По ту сторону добра и зла"
Cover Man: Magama Bazarov (Sony ILCE-7M3, f/2.8, ISO 16000, 1/50s, 35mm)
Link: https://github.com/casterbyte/Nihilist
🔥2
Forwarded from SecuriXy.kz
Часто бывает такое, что безопасникам или пентестерам приходится за разработчиками собирать инфу по интернету тк точно известно что «нерадивые» оставляют опасные вещи внутри контейнеров или коде.
Написал скрипт #DockerHub-Scanner
который ищет по названию в #DockerHub репозитории с образами, разбирает их и ищет уязвимости и токены, секреты и тп и формирует удобный вывод в json и результирующую в csv.
PS Наваял на скорую руку, со временем буду дорабатывать
https://github.com/cleverg0d/DockerHub-Scanner
Написал скрипт #DockerHub-Scanner
который ищет по названию в #DockerHub репозитории с образами, разбирает их и ищет уязвимости и токены, секреты и тп и формирует удобный вывод в json и результирующую в csv.
PS Наваял на скорую руку, со временем буду дорабатывать
https://github.com/cleverg0d/DockerHub-Scanner
Forwarded from ESCalator
Сложный пароль не поможет 📮
Практика команды реагирования на инциденты информационной безопасности PT ESC IR показывает, что злоумышленники, получая доступ в инфраструктуру компаний, помимо классических бэкдоров и туннелей, иногда встраивают на почтовом сервере дополнительные стилеры учетных записей. Про аналогичное ВПО мы уже рассказывали в прошлом году.
Например, в ходе атаки злоумышленники могут получить доступ к почтовому серверу Microsoft Exchange Server и отредактировать файл
Атакующие обычно используют базовые методы антифорензики, подменяя временные метки модифицированным файлам.
Как правило, злоумышленники вносят изменения в функцию
Рассмотрим два актуальных примера:
1️⃣ В функции
2️⃣ В другом эпизоде злоумышленники предварительно добавляли на сервер дополнительный сценарий
Перехват учетных данных, как и в первом примере, осуществлялся модифицированной функцией
👀 Пример журнала
YARA:
Happy hunting!
#ir #hunt #yara #dfir #detect #win
@ptescalator
Практика команды реагирования на инциденты информационной безопасности PT ESC IR показывает, что злоумышленники, получая доступ в инфраструктуру компаний, помимо классических бэкдоров и туннелей, иногда встраивают на почтовом сервере дополнительные стилеры учетных записей. Про аналогичное ВПО мы уже рассказывали в прошлом году.
Например, в ходе атаки злоумышленники могут получить доступ к почтовому серверу Microsoft Exchange Server и отредактировать файл
C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\XX.X.XXXX\scripts\premium\flogon.js, который является inline-скриптом для главной страницы аутентификации logon.aspx на OWA (Outlook Web Access).<%= InlineJavascript("flogon.js") %>
Атакующие обычно используют базовые методы антифорензики, подменяя временные метки модифицированным файлам.
$path=".\flogon.js";$time = "2020-01-02 07:24:31";(Get-Item $path).LastWriteTime = $time;(Get-Item $path).CreationTime = $time;(Get-Item $path).LastAccessTime = $time`
Как правило, злоумышленники вносят изменения в функцию
clkLgn, которая является обработчиком кнопки входа. В функцию добавляют вредоносный код, который в открытом виде перехватывает все учетные записи (логины и пароли), введенные пользователями при авторизации на OWA.Рассмотрим два актуальных примера:
1️⃣ В функции
clkLgn формируется URL формата https://[REDACTED]/?key1=smthuser&key2=smthpassword, где smthuser — это логин, а smthpassword — пароль перехваченной учетной записи, и отправляется GET-запрос на управляющий сервер (скриншоты 1, 2).2️⃣ В другом эпизоде злоумышленники предварительно добавляли на сервер дополнительный сценарий
check.aspx, задача которого — запись перехваченных учетных данных в лог log.png на диске. Доступ к логу атакующие могли получать из интернета. Перехват учетных данных, как и в первом примере, осуществлялся модифицированной функцией
clkLgn, в код которой была добавлена новая функция chklogin, которая, в свою очередь, вызывала chk, внутри которой формировался URL ./check.aspx?c="smthuser-smthpassword с перехваченными учетными данными в параметре «c» и выполнялся GET-запрос в скрипт check.aspx (скриншоты 3, 4).👀 Пример журнала
log.png:smthuser-
smthpassword#20250304090723
YARA:
rule PTESC_tool_win_ZZ_clkLgnStealer__Stealer{
strings:
$s1 = "// flogon.js"
$s2 = "(\"username\").value"
$s3 = "(\"password\").value"
$s4 = "function clkLgn()"
$s5 = ".send()"
condition:
all of them and filesize < 20KB
}
Happy hunting!
#ir #hunt #yara #dfir #detect #win
@ptescalator