Forwarded from Detection is easy
Всем привет! 💻 ✌️
Обратили внимание, что жизненный цикл реагирования на инциденты от NIST обновился в NIST.SP.800-61r3? Новая версия руководства интегрирована с Cybersecurity Framework (CSF) 2.0
На рисунке показана высокоуровневая модель жизненного цикла реагирования на инциденты, основанная на шести функциях:
- Управление (Govern): Стратегия, ожидания и политика организации в области управления рисками кибербезопасности устанавливаются, доводятся до сведения и отслеживаются
- Идентификация (Identify): анализируются текущие риски
- Защита (Protect): используются меры защиты для управления рисками
- Обнаружение (Detection): выявляются и анализируются возможные инциденты
- Реагирование (Respond): принимаются меры по реагированию в отношении обнаруженного инцидента
- Восстановление (Recover): восстанавливаются активы и процессы, затронутые инцидентом
Все шесть функций взаимосвязаны и формируют непрерывный процесс, где подготовка (управление, идентификация, защита) служит фундаментом для комплексной системы защиты.
Подготовка (управление, идентификация, защита) теперь выделена в отдельный этап, который не входит в процесс реагирования, но является основой для предотвращения инцидентов и снижения их последствий.
Реагирование (обнаружение, реагирование, восстановление) организовано как отдельный цикл, что связано с развитием MSSP (Managed Security Service Providers) и MDR (Managed Detection and Response). Эти сервисы позволяют организациям передать на аутсорс мониторинг и реагирование на инциденты, что особенно важно для малого и среднего бизнеса.
#dfir@detectioneasy
Обратили внимание, что жизненный цикл реагирования на инциденты от NIST обновился в NIST.SP.800-61r3? Новая версия руководства интегрирована с Cybersecurity Framework (CSF) 2.0
На рисунке показана высокоуровневая модель жизненного цикла реагирования на инциденты, основанная на шести функциях:
- Управление (Govern): Стратегия, ожидания и политика организации в области управления рисками кибербезопасности устанавливаются, доводятся до сведения и отслеживаются
- Идентификация (Identify): анализируются текущие риски
- Защита (Protect): используются меры защиты для управления рисками
- Обнаружение (Detection): выявляются и анализируются возможные инциденты
- Реагирование (Respond): принимаются меры по реагированию в отношении обнаруженного инцидента
- Восстановление (Recover): восстанавливаются активы и процессы, затронутые инцидентом
Все шесть функций взаимосвязаны и формируют непрерывный процесс, где подготовка (управление, идентификация, защита) служит фундаментом для комплексной системы защиты.
Подготовка (управление, идентификация, защита) теперь выделена в отдельный этап, который не входит в процесс реагирования, но является основой для предотвращения инцидентов и снижения их последствий.
Реагирование (обнаружение, реагирование, восстановление) организовано как отдельный цикл, что связано с развитием MSSP (Managed Security Service Providers) и MDR (Managed Detection and Response). Эти сервисы позволяют организациям передать на аутсорс мониторинг и реагирование на инциденты, что особенно важно для малого и среднего бизнеса.
#dfir@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за пределы базового каталога
В NPM-пакете tar-fs выявлена уязвимость (CVE-2025-48387), позволяющая при распаковке специально оформленного tar-архива записать файлы в любые части ФС, не ограниченные каталогом, в который осуществляется распаковка (насколько позволяют права доступа текущего…
🔗Ссылка:
https://opennet.ru/63740/
https://opennet.ru/63740/
Forwarded from Похек
Мой коллега-внутрянщик написал очень полезный инструмент PortRevert
#AD #pentest #Microsoft #NTLM #relay
PortRevert — этот инструмент перехватывает SMB трафик на порт 445 и перенаправляет его на порт 4445, позволяя использовать ntlmrelayx без остановки службы LanmanServer (которая слушает порт 445).
➡️ Возможности
- Перехват всего TCP трафика на порт 445
- Перенаправление на порт 4445 для ntlmrelayx
- Автоматическая обработка двунаправленного трафика (запросы/ответы)
- Корректная очистка драйвера при завершении
- Поддержка как x86, так и x64 архитектур
➡️ Использование
Пример использования для NTLM relay
1. Запустите PortRevert от имени администратора:
2. Запустите ntlmrelayx на порту 4445:
3. Принудите жертву к аутентификации любым способом, например с помощью coercer:
➡️ Как это работает
💻 Github repo
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#AD #pentest #Microsoft #NTLM #relay
PortRevert — этот инструмент перехватывает SMB трафик на порт 445 и перенаправляет его на порт 4445, позволяя использовать ntlmrelayx без остановки службы LanmanServer (которая слушает порт 445).
- Перехват всего TCP трафика на порт 445
- Перенаправление на порт 4445 для ntlmrelayx
- Автоматическая обработка двунаправленного трафика (запросы/ответы)
- Корректная очистка драйвера при завершении
- Поддержка как x86, так и x64 архитектур
Пример использования для NTLM relay
1. Запустите PortRevert от имени администратора:
PortRevert.exe
2. Запустите ntlmrelayx на порту 4445:
ntlmrelayx.exe -smb-port 4445 -smb2support -debug
3. Принудите жертву к аутентификации любым способом, например с помощью coercer:
coercer coerce -d cs.org -t dc1 -u test -p 'Password123!' -l pc3 --always-continue
(PortRevert должен быть запущен на хосте-слушателе, в данном случае - pc3)
Жертва -> Порт 445
↓ (перехват PortRedirector)
Жертва -> Порт 4445 -> ntlmrelayx
↓ (ответы)
ntlmrelayx -> Порт 4445
↓ (перенаправление обратно)
ntlmrelayx -> Порт 445 -> Жертва
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Ресерчеры Citizen Lab выкатили результаты своих исследований безопасности ряда популярных VPN-приложений, доступных в магазине Google Play.
Оказалось, что многие из VPN-приложений реализуются с одним и тем же паролем Shadowsocks, жёстко зашитым в исходный код, который позволяет владельцам таких приложений расшифровывать пользовательский трафик.
Причем, по данным CitizenLab, эти приложения зарегистрированы на три подставные компании, управление которыми осуществляется с территории Китая.
Другие весьма интригующие детали представлены в отчете (PDF) и, вероятно, приоткроют для многих завесу в вопросах «безопасности и конфиденциальности» при использовании подобных сервисов.
Оказалось, что многие из VPN-приложений реализуются с одним и тем же паролем Shadowsocks, жёстко зашитым в исходный код, который позволяет владельцам таких приложений расшифровывать пользовательский трафик.
Причем, по данным CitizenLab, эти приложения зарегистрированы на три подставные компании, управление которыми осуществляется с территории Китая.
Другие весьма интригующие детали представлены в отчете (PDF) и, вероятно, приоткроют для многих завесу в вопросах «безопасности и конфиденциальности» при использовании подобных сервисов.
Forwarded from Adaptix Framework
В начале месяца мне на глаза попался репозиторий PIC агента Kharon. Несмотря на то, что он находится в активной разработке, я решил выделить денек-второй, чтобы встроить его в AdaptixC2. Как итог, за 11 часов удалось разобраться в работе самой нагрузки, а также написать экстендеры листенера и агента.
Агент отлично работает, поддерживает браузеры файловой системы и процессов, при этом код агента не был никак модифицирован или изменен, работает сразу с оригинального репозитория на гитхаб.
Агент отлично работает, поддерживает браузеры файловой системы и процессов, при этом код агента не был никак модифицирован или изменен, работает сразу с оригинального репозитория на гитхаб.
👍1
Forwarded from 1N73LL1G3NC3
Collect infrastructure and permissions data from vCenter and export it as a BloodHound‑compatible graph using Custom Nodes/Edges
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1