Forwarded from PurpleBear (Vadim Shelest)
Недавно мне попался интересный проект AttackRuleMap, который представляет собой маппинг тест-кейсов инструмента Atomic Red Team и соответствующих правил обнаружения в формате Sigma. Данный ресурс может быть очень полезен, чтобы обеспечить покрытие алертами большей части техник
Но далеко не все
Реализовать данную задачу можно с помощью pySigma и Sigma CLI, которые пришли на смену
При этом существуют некоторые недостатки связанные с конвертацией правил, которые описаны в этой статье.
Но тем не менее, мне кажется, это хорошая отправная точка для старта, когда в первую очередь необходимо обеспечить максимально возможное покрытие стандартных техник и процедур злоумышленников в короткие сроки😎
MITRE, особенно на ранних этапах уровня зрелости команды Detection Engineering.Но далеко не все
SIEM из коробки поддерживают этот универсальный формат для правил обнаружения, поэтому если у вас в компании изпользуется, например Elastic SIEM, то потребуется конвертировать правила в KQL (Kibana Query Language) и EQL (Event Query Language). Реализовать данную задачу можно с помощью pySigma и Sigma CLI, которые пришли на смену
Sigmac. Раньше был еще онлайн-конвертер uncoder.io (на данный момент ресурс по какой-то причине лежит🤷♂️), который позволял просто в веб-интерфейсе конвертировать Sigma правила для выбранного SIEM (включая Elastic KQL, Elastic EQL). При этом существуют некоторые недостатки связанные с конвертацией правил, которые описаны в этой статье.
Но тем не менее, мне кажется, это хорошая отправная точка для старта, когда в первую очередь необходимо обеспечить максимально возможное покрытие стандартных техник и процедур злоумышленников в короткие сроки😎
attackrulemap.netlify.com
ARM - AttackRuleMap
Mapping of open-source detection rules and atomic tests.
👍3
Forwarded from Whitehat Lab
Высокоскоростной инструмент для пассивного сбора и эффективного обнаружения URL-адресов. От создателей nuclei, написан на
UPD. Добавили scope контроль:
SCOPE:
-us, -url-scope string[] in scope url regex to be followed by urlfinder
-uos, -url-out-scope string[] out of scope url regex to be excluded by urlfinder
-fs, -field-scope string pre-defined scope field (dn,rdn,fqdn) or custom regex (e.g., '(company-staging.io|company.com)') (default "rdn")
-ns, -no-scope disables host based default scope
-do, -display-out-scope display external endpoint from scoped crawling
Установка:
go install -v github.com/projectdiscovery/urlfinder/cmd/urlfinder@latest
Запуск:
urlfinder -d tesla.com
# Match и filter
urlfinder -d tesla.com -m support -f faq
urlfinder -d tesla.com -m include-patterns.txt -f exclude-patterns.txt
# JSON export
urlfinder -d tesla.com -j
#urlfinder #soft #golang #web #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Похек
#заметка
Лучший гайдик по развёртыванию чистого k8s
https://habr.com/ru/articles/725640/
Если на моменте выбора CRI (container runtime), вы не знаете что выбрать, то в конце статьи есть ссылка другую статью на тему выбора. Я лично выбрал cri-o, но в целом в чате советовали также containerd
p.s. я успел потыкать microk8s, minikube до этого. Но я слишком плох в DevOps и любой шаг вправо, шаг влево от дефолтных инструкций/настроек k8s в microk8s или minikube вызывает у меня стресс, печаль и грусть. Если у вас аналогично, то лучше реально выбрать стоковый k8s
🌚 @poxek
Лучший гайдик по развёртыванию чистого k8s
https://habr.com/ru/articles/725640/
Если на моменте выбора CRI (container runtime), вы не знаете что выбрать, то в конце статьи есть ссылка другую статью на тему выбора. Я лично выбрал cri-o, но в целом в чате советовали также containerd
p.s. я успел потыкать microk8s, minikube до этого. Но я слишком плох в DevOps и любой шаг вправо, шаг влево от дефолтных инструкций/настроек k8s в microk8s или minikube вызывает у меня стресс, печаль и грусть. Если у вас аналогично, то лучше реально выбрать стоковый k8s
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Гайд для новичков по установке Kubernetes (версия 03.2025)
© кадр из к/ф «Пираты Карибского моря» Сведения об обновлении 1. Гайд обновлен на март 2025 г. 2. Предыдущею версию гайда можно скачать здесь . С чего начинается практическое освоение любой...
Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Также идётбесплатный набор в 🎓 PFS Academy
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Также идёт
Forwarded from 1N73LL1G3NC3
Loki
Node JS C2 for backdooring vulnerable Electron applications to bypass application controls. This technique abuses the trust of signed vulnerable Electron applications to gain execution on a target system.
Since Electron applications execute JavaScript at runtime, modifying these JavaScript files allows attackers to inject arbitrary Node.js code into the Electron process. By leveraging Node.js and Chromium APIs, JavaScript code can interact with the operating system.
Loki was designed to backdoor Electron applications by replacing the applications JavaScript files with the Loki Command & Control JavaScript files.
Blog: Bypassing Windows Defender Application Control with Loki C2
Node JS C2 for backdooring vulnerable Electron applications to bypass application controls. This technique abuses the trust of signed vulnerable Electron applications to gain execution on a target system.
Since Electron applications execute JavaScript at runtime, modifying these JavaScript files allows attackers to inject arbitrary Node.js code into the Electron process. By leveraging Node.js and Chromium APIs, JavaScript code can interact with the operating system.
Loki was designed to backdoor Electron applications by replacing the applications JavaScript files with the Loki Command & Control JavaScript files.
Blog: Bypassing Windows Defender Application Control with Loki C2
👍1
Forwarded from BugXplorer (j b)
The art of payload obfuscation: how to mask malicious scripts and bypass defence mechanisms
https://www.yeswehack.com/learn-bug-bounty/payload-obfuscation-techniques-guide
🪳 @bugxplorer
https://www.yeswehack.com/learn-bug-bounty/payload-obfuscation-techniques-guide
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Похек
Подборка roadmap-ов по ИБ
#cert #карьера #пентест #roadmap #сертификаты #карта_развития
На канале то тут, то там рассматривались отдельные карты, однако, ещё не было полноценного поста с подборкой.
▪️ Подробный роадмап от PT, содержащий ссылки на различные ресурсы и курсы.
▪️ Пожалуй, популярнейший роадмап. Классика.
▪️ Компактный роадмап от SANS, содержащий их курсы по разделам
▪️ Сертификации в области ИБ
▪️ Ещё один роадмап от PT — карта компетенций
Пентест-роадмапы:
▪️ Статья-роадмап по пентесту
▪️ Пентест AD от orangesec - 2025 год
🌚 @poxek | 🌚 @poxek_backup | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#cert #карьера #пентест #roadmap #сертификаты #карта_развития
На канале то тут, то там рассматривались отдельные карты, однако, ещё не было полноценного поста с подборкой.
Пентест-роадмапы:
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Информационная опасность
Лист важных Event ID для отслеживания потенциальных угроз и атак на основе журналов Windows. PDF версия.
Please open Telegram to view this post
VIEW IN TELEGRAM
Аналитический отчет
Managed Detection
and Response
🔗Ссылка:
https://content.kaspersky-labs.com/fm/site-editor/2c/2c91a79372c7adb17dbc361ce3573313/source/10680reportmdr-irfairy-tale-3291mdrru-03-27.pdf
Managed Detection
and Response
🔗Ссылка:
https://content.kaspersky-labs.com/fm/site-editor/2c/2c91a79372c7adb17dbc361ce3573313/source/10680reportmdr-irfairy-tale-3291mdrru-03-27.pdf
Хабр
В начале был принтер. Как получить привилегии администратора домена, начав с принтера
Еще в прошлом году мы c командой решили поделиться несколькими интересными векторами получения привилегий администратора домена. По отзывам, первая статья оказалась полезной и интересной. Настало...
🔗Ссылка:
https://habr.com/ru/post/725008/
https://habr.com/ru/post/725008/