Forwarded from s0i37_channel
Ещё одна любопытная вещь, которую мы можем узнать об атакующем по его трафику, реализуется через анализ
Еще один скрипт из моей defence-коллекции (https://github.com/s0i37/defence/blob/main/ip_id.py) автоматически делает это. По каждому входящему сетевому пакету мы можем видеть страну, город, имя сети, ОС, а так же количество пакетов генерируемых хостом куда то ещё кроме нас. Как можем видеть на примере первый источник трафика имеет слабый инкремент, свидетельствующий что практически ни куда кроме нашего узла он пакеты не посылает — это говорит о вероятно таргетированной атаке. Второй узел помимо нас успевает отправить от нескольких сотен до тысячи пакетов — это говорит о вероятной веерной атаке сразу на множество узлов.
IP.id. Я уже писал ранее об этом поле в пакете (https://t.me/s0i37_channel/43), что оно часто является глобально инкрементируемым, а значит что анализируя его изменение мы можем видеть сколько пакетов источник трафика отправляет куда то ещё кроме нас. Иными словами мы можем заключить - является ли атака таргетированной или веерной на множество хостов.Еще один скрипт из моей defence-коллекции (https://github.com/s0i37/defence/blob/main/ip_id.py) автоматически делает это. По каждому входящему сетевому пакету мы можем видеть страну, город, имя сети, ОС, а так же количество пакетов генерируемых хостом куда то ещё кроме нас. Как можем видеть на примере первый источник трафика имеет слабый инкремент, свидетельствующий что практически ни куда кроме нашего узла он пакеты не посылает — это говорит о вероятно таргетированной атаке. Второй узел помимо нас успевает отправить от нескольких сотен до тысячи пакетов — это говорит о вероятной веерной атаке сразу на множество узлов.
Forwarded from k8s (in)security (Дмитрий Евдокимов)
CK-X Simulator -
web-based симулятор экзаменов для Kubernetes. Инструмент спокойно разворачивается на локальной системе и позволяет пройти экзамены по: CKAD, CKA, CKS. При этом есть подсказки, контроль времени, автоматическая проверка результатов.Forwarded from purple shift
Все вокруг так носятся с искусственным интеллектом, что будет даже странно, если это массовое увлечение не станет популярным вектором атак.
Можно также наванговать, что значительная часть атак будет организована по классике: через вредоносные расширения и разнообразные "посреднические" сервисы для работы с модными LLM-приложениями.
Например, такие атаки могут проводиться с использованием MCP-серверов. Протокол Model Context Protocol (MCP), разработанный компанией Anthropic, является открытым стандартом для подключения ИИ-ассистентов к внешним источникам данных и инструментам, без необходимости индивидуальной интеграции для каждого из них.
Варианты эксплуатации этого "посредника" разнообразны. Злоумышленник может зарегистрировать вредоносный MCP-сервер с именем, похожим на легитимное. При поиске нужного инструмента ИИ-агент обнаружит мошеннический сервер вместо легитимного — и передаст ему конфиденциальные данные. Эта "почти человеческая" уязвимость MCP связана с тем, что ИИ-агенты "говорят" на естественном языке, и в поиске ориентируются на текстовые имёна (а не на точные криптографические сигнатуры, например).
Более продвинутый вариант атаки: злоумышленник публикует и рекламирует MCP-сервер как полезный инструмент для работы с Cursor, Claude Desktop или другими LLM-приложениями. После установки инструмент действительно демонстрирует заявленную функциональность — однако параллельно производятся скрытые вредоносные действия (например, шпионаж).
Чтобы смоделировать такую угрозу и разработать меры защиты, наши эксперты создали MCP-сервер, который был упакован как пакет PyPI и предлагал полезные для разработчиков функции: анализ проектов, проверка безопасности конфигурации и настройка окружения. Но одновременно с этими полезными делами, запускался вредоносный модуль сбора данных.
Главный вывод: установка MCP-сервера фактически дает ему разрешение выполнять код на вашей машине с вашими привилегиями.
Подробности этого эксперимента, а также рекомендации по обнаружению и предотвращению подобных атак — в статье Мохамеда Гобаши.
Можно также наванговать, что значительная часть атак будет организована по классике: через вредоносные расширения и разнообразные "посреднические" сервисы для работы с модными LLM-приложениями.
Например, такие атаки могут проводиться с использованием MCP-серверов. Протокол Model Context Protocol (MCP), разработанный компанией Anthropic, является открытым стандартом для подключения ИИ-ассистентов к внешним источникам данных и инструментам, без необходимости индивидуальной интеграции для каждого из них.
Варианты эксплуатации этого "посредника" разнообразны. Злоумышленник может зарегистрировать вредоносный MCP-сервер с именем, похожим на легитимное. При поиске нужного инструмента ИИ-агент обнаружит мошеннический сервер вместо легитимного — и передаст ему конфиденциальные данные. Эта "почти человеческая" уязвимость MCP связана с тем, что ИИ-агенты "говорят" на естественном языке, и в поиске ориентируются на текстовые имёна (а не на точные криптографические сигнатуры, например).
Более продвинутый вариант атаки: злоумышленник публикует и рекламирует MCP-сервер как полезный инструмент для работы с Cursor, Claude Desktop или другими LLM-приложениями. После установки инструмент действительно демонстрирует заявленную функциональность — однако параллельно производятся скрытые вредоносные действия (например, шпионаж).
Чтобы смоделировать такую угрозу и разработать меры защиты, наши эксперты создали MCP-сервер, который был упакован как пакет PyPI и предлагал полезные для разработчиков функции: анализ проектов, проверка безопасности конфигурации и настройка окружения. Но одновременно с этими полезными делами, запускался вредоносный модуль сбора данных.
Главный вывод: установка MCP-сервера фактически дает ему разрешение выполнять код на вашей машине с вашими привилегиями.
Подробности этого эксперимента, а также рекомендации по обнаружению и предотвращению подобных атак — в статье Мохамеда Гобаши.
Forwarded from Threat Hunting Father 🦔
Velociraptor Deployment Automation System
This system provides automated deployment of Velociraptor clients across enterprise environments for live incident response and threat hunting when traditional dead disk acquisition is not feasible. The automation eliminates manual deployment complexity while maintaining operational security requirements.
Key Functions:
• Interactive prompts for OS selection (Windows/Linux/Both) and client configuration
• Downloads latest Velociraptor releases from GitHub API (with HTML scrape fallback)
• Repacks Windows MSI/EXE installers with your custom client.config.yaml
• Builds Linux packages (.deb/.rpm) or raw binaries with systemd services
• Creates structured web repository with manifest.json metadata for automation
• Automatically starts HTTP server (default port 9999) and installs systemd service
🔗 https://github.com/N1ghtFury74/Scripts/tree/main/VDA
🦔 THF
This system provides automated deployment of Velociraptor clients across enterprise environments for live incident response and threat hunting when traditional dead disk acquisition is not feasible. The automation eliminates manual deployment complexity while maintaining operational security requirements.
Key Functions:
• Interactive prompts for OS selection (Windows/Linux/Both) and client configuration
• Downloads latest Velociraptor releases from GitHub API (with HTML scrape fallback)
• Repacks Windows MSI/EXE installers with your custom client.config.yaml
• Builds Linux packages (.deb/.rpm) or raw binaries with systemd services
• Creates structured web repository with manifest.json metadata for automation
• Automatically starts HTTP server (default port 9999) and installs systemd service
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Утечка документации и кода, связанного с работой Великого китайского фаервола
В открытый доступ попало около 600 ГБ данных, связанных с работой Великого китайского файрвола (GFW, Great Firewall of China), применяемого для фильтрации интернет-трафика в КНР. В архиве присутствует около 500 ГБ rpm-пакетов из закрытого репозитория repo.geedge.net…
🔗Ссылка:
https://opennet.ru/63884/
https://opennet.ru/63884/
Forwarded from RedBlue Notes
Kali Linux на флешке
Всем привет!
Очень много работы навалилось, но мы стараемся не забывать про наш канал👨💻
На следующей неделе планируем выкатить что-то особенно интересное, так что оставайтесь с нами😛
Есть вариант поинтереснее:
Kali Linux Live с сохранением (Persistence) на флешке.
Вдруг кто не знал🙂
USB\SSD\HDD
Флешка становится переносной полноценной системой: загружается на любом ПК, все изменения сохраняются на ней. Если нужно — флешку «сбрасываешь»/выбрасываешь🧛 , и хост остаётся в исходном состоянии (с собственной ОС или без неё).
С чего начать?
Скачать обязательно LIVE образ Kali:
тык
Дальше можно записать образ не только на флешку, но и на SSD или даже HDD — тут особой разницы нет. Я, например, использовал BalenaEtcher: она без проблем видит не только обычные флешки, но и SSD-диски, так что образ я зашивал именно на SSD. После записи остаётся просто загрузиться с носителя и при старте выбрать пункт
Важно: перед этим нужно отключить Secure Boot, иначе система просто не запустится.
Создаём раздел для сохранения
Смотрим разделы, чтоб определить где размечен наш Linux
После записи на флешке появится свободное место. Используем gparted или fdisk:
создаём новый раздел (например, /dev/sdb3). форматируем его в ext4 и называем persistence:
Настраиваем Persistence
Создаём файл persistence.conf:
и размонитруем:
Перезагружаемся и теперь можно работать как с обычной ОС!
Ну или вот подробный гайд
Зачем это нужно специалисту по безопасности?
🔫 Тестирование инфраструктуры — можно прийти на объект, загрузиться со своей флешки и не трогать локальную систему.
😑 Анонимность — после извлечения флешки на компе не остаётся следов.
🍩 Удобство — все любимые инструменты (Metasploit, nmap, Burp Suite) всегда под рукой.
🗃 Мобильность — одна флешка заменяет ноутбук с софтом.
Но и без минусов не обойдется:
Нужны современные порты USB 3.0, чтобы скорость работы была адекватной. Я, например, взял SSD и внешний бокс под 3.0, и система работает вполне шустро.
Износ носителя — SSD, конечно, живут дольше, чем флешки, но при активной записи (логи, обновления, сканы) они тоже постепенно изнашиваются.
Secure Boot — если на устройстве стоит вторая система Windows, придётся постоянно переключать этот параметр в BIOS.
Kali Live — не всегда идеально дружит с драйверами Wi-Fi, видеокарт и тачпадов, иногда нужны дополнительные настройки.
Всем привет!
Очень много работы навалилось, но мы стараемся не забывать про наш канал
На следующей неделе планируем выкатить что-то особенно интересное, так что оставайтесь с нами
Обычно Kali запускают в виртуалках или ставят на отдельный диск.
Есть вариант поинтереснее:
Kali Linux Live с сохранением (Persistence) на флешке.
Вдруг кто не знал
USB\SSD\HDD
Флешка становится переносной полноценной системой: загружается на любом ПК, все изменения сохраняются на ней. Если нужно — флешку «сбрасываешь»/выбрасываешь
С чего начать?
Скачать обязательно LIVE образ Kali:
тык
Дальше можно записать образ не только на флешку, но и на SSD или даже HDD — тут особой разницы нет. Я, например, использовал BalenaEtcher: она без проблем видит не только обычные флешки, но и SSD-диски, так что образ я зашивал именно на SSD. После записи остаётся просто загрузиться с носителя и при старте выбрать пункт
Live system (persistence)
Важно: перед этим нужно отключить Secure Boot, иначе система просто не запустится.
Создаём раздел для сохранения
Смотрим разделы, чтоб определить где размечен наш Linux
lsblk
После записи на флешке появится свободное место. Используем gparted или fdisk:
sudo fdisk /dev/sdbсоздаём новый раздел (например, /dev/sdb3). форматируем его в ext4 и называем persistence:
sudo mkfs.ext4 -L persistence /dev/sdb3
Настраиваем Persistence
sudo mount /dev/sdb3 /mnt
Создаём файл persistence.conf:
echo "/ union" | sudo tee /mnt/persistence.conf
и размонитруем:
sudo umount /mnt
Перезагружаемся и теперь можно работать как с обычной ОС!
Ну или вот подробный гайд
Зачем это нужно специалисту по безопасности?
Но и без минусов не обойдется:
Нужны современные порты USB 3.0, чтобы скорость работы была адекватной. Я, например, взял SSD и внешний бокс под 3.0, и система работает вполне шустро.
Износ носителя — SSD, конечно, живут дольше, чем флешки, но при активной записи (логи, обновления, сканы) они тоже постепенно изнашиваются.
Secure Boot — если на устройстве стоит вторая система Windows, придётся постоянно переключать этот параметр в BIOS.
Kali Live — не всегда идеально дружит с драйверами Wi-Fi, видеокарт и тачпадов, иногда нужны дополнительные настройки.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Threat Hunting Father 🦔
Sekoia.io рапортует об интересной цепочке APT28
APT28 в 2025 использует гибрид open-source + легитимные облачные сервисы для скрытого C2: старт — weaponized Office (Signal ⟶ макросы) → COM-hijack DLL (prnfldr.dll) → извлечение shellcode из PNG (стеганография) → запуск .NET Grunt HTTP Stager (Covenant) → Koofr как C2 (C2Bridge) → последующие модули (PlaySndSrv.dll + sample-03.wav) декриптят и ставят BeardShell (icedrive C2). Параллельно обнаружен SlimAgent (keylogger/screenshots). Технично, стабильно, хитро — используют regsvr32 / COM hijack, PNG LSB-стеганографию, в-памяти загрузку .NET, ChaCha20-Poly1305 для BeardShell.
Интересные техники, к прочтению:
🔗 https://blog.sekoia.io/apt28-operation-phantom-net-voxel/
🦔 THF
APT28 в 2025 использует гибрид open-source + легитимные облачные сервисы для скрытого C2: старт — weaponized Office (Signal ⟶ макросы) → COM-hijack DLL (prnfldr.dll) → извлечение shellcode из PNG (стеганография) → запуск .NET Grunt HTTP Stager (Covenant) → Koofr как C2 (C2Bridge) → последующие модули (PlaySndSrv.dll + sample-03.wav) декриптят и ставят BeardShell (icedrive C2). Параллельно обнаружен SlimAgent (keylogger/screenshots). Технично, стабильно, хитро — используют regsvr32 / COM hijack, PNG LSB-стеганографию, в-памяти загрузку .NET, ChaCha20-Poly1305 для BeardShell.
Интересные техники, к прочтению:
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM