Forwarded from 1N73LL1G3NC3
This media is not supported in your browser
VIEW IN TELEGRAM
pyLDAPGui
A cross-platform python based GUI for browsing LDAP (similar to Sysinternals' ADExplorer). It offers features such as tree-view browsing, direct connection to a Neo4j database, and easy-to-use export options to formats like CSV and Bloodhound data.
A cross-platform python based GUI for browsing LDAP (similar to Sysinternals' ADExplorer). It offers features such as tree-view browsing, direct connection to a Neo4j database, and easy-to-use export options to formats like CSV and Bloodhound data.
Forwarded from s0i37_channel
Ещё одна любопытная вещь, которую мы можем узнать об атакующем по его трафику, реализуется через анализ
Еще один скрипт из моей defence-коллекции (https://github.com/s0i37/defence/blob/main/ip_id.py) автоматически делает это. По каждому входящему сетевому пакету мы можем видеть страну, город, имя сети, ОС, а так же количество пакетов генерируемых хостом куда то ещё кроме нас. Как можем видеть на примере первый источник трафика имеет слабый инкремент, свидетельствующий что практически ни куда кроме нашего узла он пакеты не посылает — это говорит о вероятно таргетированной атаке. Второй узел помимо нас успевает отправить от нескольких сотен до тысячи пакетов — это говорит о вероятной веерной атаке сразу на множество узлов.
IP.id. Я уже писал ранее об этом поле в пакете (https://t.me/s0i37_channel/43), что оно часто является глобально инкрементируемым, а значит что анализируя его изменение мы можем видеть сколько пакетов источник трафика отправляет куда то ещё кроме нас. Иными словами мы можем заключить - является ли атака таргетированной или веерной на множество хостов.Еще один скрипт из моей defence-коллекции (https://github.com/s0i37/defence/blob/main/ip_id.py) автоматически делает это. По каждому входящему сетевому пакету мы можем видеть страну, город, имя сети, ОС, а так же количество пакетов генерируемых хостом куда то ещё кроме нас. Как можем видеть на примере первый источник трафика имеет слабый инкремент, свидетельствующий что практически ни куда кроме нашего узла он пакеты не посылает — это говорит о вероятно таргетированной атаке. Второй узел помимо нас успевает отправить от нескольких сотен до тысячи пакетов — это говорит о вероятной веерной атаке сразу на множество узлов.
Forwarded from k8s (in)security (Дмитрий Евдокимов)
CK-X Simulator -
web-based симулятор экзаменов для Kubernetes. Инструмент спокойно разворачивается на локальной системе и позволяет пройти экзамены по: CKAD, CKA, CKS. При этом есть подсказки, контроль времени, автоматическая проверка результатов.Forwarded from purple shift
Все вокруг так носятся с искусственным интеллектом, что будет даже странно, если это массовое увлечение не станет популярным вектором атак.
Можно также наванговать, что значительная часть атак будет организована по классике: через вредоносные расширения и разнообразные "посреднические" сервисы для работы с модными LLM-приложениями.
Например, такие атаки могут проводиться с использованием MCP-серверов. Протокол Model Context Protocol (MCP), разработанный компанией Anthropic, является открытым стандартом для подключения ИИ-ассистентов к внешним источникам данных и инструментам, без необходимости индивидуальной интеграции для каждого из них.
Варианты эксплуатации этого "посредника" разнообразны. Злоумышленник может зарегистрировать вредоносный MCP-сервер с именем, похожим на легитимное. При поиске нужного инструмента ИИ-агент обнаружит мошеннический сервер вместо легитимного — и передаст ему конфиденциальные данные. Эта "почти человеческая" уязвимость MCP связана с тем, что ИИ-агенты "говорят" на естественном языке, и в поиске ориентируются на текстовые имёна (а не на точные криптографические сигнатуры, например).
Более продвинутый вариант атаки: злоумышленник публикует и рекламирует MCP-сервер как полезный инструмент для работы с Cursor, Claude Desktop или другими LLM-приложениями. После установки инструмент действительно демонстрирует заявленную функциональность — однако параллельно производятся скрытые вредоносные действия (например, шпионаж).
Чтобы смоделировать такую угрозу и разработать меры защиты, наши эксперты создали MCP-сервер, который был упакован как пакет PyPI и предлагал полезные для разработчиков функции: анализ проектов, проверка безопасности конфигурации и настройка окружения. Но одновременно с этими полезными делами, запускался вредоносный модуль сбора данных.
Главный вывод: установка MCP-сервера фактически дает ему разрешение выполнять код на вашей машине с вашими привилегиями.
Подробности этого эксперимента, а также рекомендации по обнаружению и предотвращению подобных атак — в статье Мохамеда Гобаши.
Можно также наванговать, что значительная часть атак будет организована по классике: через вредоносные расширения и разнообразные "посреднические" сервисы для работы с модными LLM-приложениями.
Например, такие атаки могут проводиться с использованием MCP-серверов. Протокол Model Context Protocol (MCP), разработанный компанией Anthropic, является открытым стандартом для подключения ИИ-ассистентов к внешним источникам данных и инструментам, без необходимости индивидуальной интеграции для каждого из них.
Варианты эксплуатации этого "посредника" разнообразны. Злоумышленник может зарегистрировать вредоносный MCP-сервер с именем, похожим на легитимное. При поиске нужного инструмента ИИ-агент обнаружит мошеннический сервер вместо легитимного — и передаст ему конфиденциальные данные. Эта "почти человеческая" уязвимость MCP связана с тем, что ИИ-агенты "говорят" на естественном языке, и в поиске ориентируются на текстовые имёна (а не на точные криптографические сигнатуры, например).
Более продвинутый вариант атаки: злоумышленник публикует и рекламирует MCP-сервер как полезный инструмент для работы с Cursor, Claude Desktop или другими LLM-приложениями. После установки инструмент действительно демонстрирует заявленную функциональность — однако параллельно производятся скрытые вредоносные действия (например, шпионаж).
Чтобы смоделировать такую угрозу и разработать меры защиты, наши эксперты создали MCP-сервер, который был упакован как пакет PyPI и предлагал полезные для разработчиков функции: анализ проектов, проверка безопасности конфигурации и настройка окружения. Но одновременно с этими полезными делами, запускался вредоносный модуль сбора данных.
Главный вывод: установка MCP-сервера фактически дает ему разрешение выполнять код на вашей машине с вашими привилегиями.
Подробности этого эксперимента, а также рекомендации по обнаружению и предотвращению подобных атак — в статье Мохамеда Гобаши.
Forwarded from Threat Hunting Father 🦔
Velociraptor Deployment Automation System
This system provides automated deployment of Velociraptor clients across enterprise environments for live incident response and threat hunting when traditional dead disk acquisition is not feasible. The automation eliminates manual deployment complexity while maintaining operational security requirements.
Key Functions:
• Interactive prompts for OS selection (Windows/Linux/Both) and client configuration
• Downloads latest Velociraptor releases from GitHub API (with HTML scrape fallback)
• Repacks Windows MSI/EXE installers with your custom client.config.yaml
• Builds Linux packages (.deb/.rpm) or raw binaries with systemd services
• Creates structured web repository with manifest.json metadata for automation
• Automatically starts HTTP server (default port 9999) and installs systemd service
🔗 https://github.com/N1ghtFury74/Scripts/tree/main/VDA
🦔 THF
This system provides automated deployment of Velociraptor clients across enterprise environments for live incident response and threat hunting when traditional dead disk acquisition is not feasible. The automation eliminates manual deployment complexity while maintaining operational security requirements.
Key Functions:
• Interactive prompts for OS selection (Windows/Linux/Both) and client configuration
• Downloads latest Velociraptor releases from GitHub API (with HTML scrape fallback)
• Repacks Windows MSI/EXE installers with your custom client.config.yaml
• Builds Linux packages (.deb/.rpm) or raw binaries with systemd services
• Creates structured web repository with manifest.json metadata for automation
• Automatically starts HTTP server (default port 9999) and installs systemd service
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Утечка документации и кода, связанного с работой Великого китайского фаервола
В открытый доступ попало около 600 ГБ данных, связанных с работой Великого китайского файрвола (GFW, Great Firewall of China), применяемого для фильтрации интернет-трафика в КНР. В архиве присутствует около 500 ГБ rpm-пакетов из закрытого репозитория repo.geedge.net…
🔗Ссылка:
https://opennet.ru/63884/
https://opennet.ru/63884/