🔎 Интеграция MISP с Maltego для эффективного анализа киберугроз

MISP – платформа с открытым исходным кодом для обмена информацией о киберугрозах и инцидентах безопасности

Maltego – популярный инструмент визуализации данных, который позволяет ускорить и повысить точность расследований

Он объединяет различные источники информации в едином интерфейсе и предоставляет возможности для совместной работы

В статье рассмотрим, как для более эффективной и комплексной работы интегрировать данные из MISP в Maltego

Интеграция Maltego и MISP открывает широкие возможности:
🔵Быстрый поиск по базам данных MISP прямо из интерфейса Maltego.
🔵Визуализация связей между данными MISP и другими источниками.
🔵Оптимизация рабочих процессов за счет интеграции данных.
🔵Совместный анализ угроз и обмен информацией между организациями

⛓ https://spy-soft.net/misp-maltego-integration/

#Networks #Tools #MISP #Maltego ✈️ inf0

🚰 Новая 0day-уязвимость в Windows: утечка данных через темы оформления

Исследователи обнаружили новую уязвимость в операционной системе Windows, связанную с темами оформления – она позволяет злоумышленникам удалённо красть учётные данные NTLM

☁️ Свежевыявленная zero-day уязвимость оказалась весьма коварной: по словам генерального директора ACROS Security Митьи Кольшека, одного лишь отображения вредоносного файла в проводнике Windows достаточно для автоматической передачи учётных данных пользователя, даже без запуска файла и непосредственного применения темы оформления

Microsoft уже объявила о намерении отказаться от NTLM в будущих версиях Windows 11

⛓ https://www.securitylab.ru/news/553478.php

#News #ZeroDay #Windows #0patch #CVE ✈️ inf0

🫶 Краткое руководство по Mimikatz

Mimikatz – это приложение с открытым исходным кодом, которое позволяет пользователям просматривать и сохранять учетные данные аутентификации, такие как тикеты Kerberos

🏃‍♂️ Злоумышленники обычно используют Mimikatz для кражи учетных данных и повышения привилегий: в большинстве случаев программное обеспечение для защиты конечных точек и антивирусные системы обнаруживают и удаляют его

😡 И наоборот, специалисты по тестированию на проникновение используют Mimikatz для обнаружения и тестирования уязвимостей в ваших сетях, чтобы вы могли их исправить

⛓ https://github.com/gentilkiwi/mimikatz
⛓ https://habr.com/ru/companies/varonis/articles/539340/

#Tools #Mimikatz ✈️ inf0

🥷 Набор инструментов для взлома на Kali Linux

Darkarmy – в нем представлены одни из лучших инструментов для тестирования на проникновение

Он состоит из 11 категорий, включая сбор информации, атаки на пароли, тестирование беспроводных сетей и инструменты для использования эксплойтов

Все 11 категорий охватывают широкий спектр инструментов для тестирования беспроводных сетей, таких как Reaver, pixiewps, Bluetooth Honeypot GUI Framework и Fluxion

Инструмент Darkarmy часто обновляется и включает в себя более инновационные инструменты

⛓ https://spy-soft.net/darkarmy-kali-linux/
⛓ https://github.com/D4RK-4RMY/DARKARMY

#Network #Tools #Darkarmy #Linux ✈️ inf0

📅 Взлом с помощью картинки | Полезная нагрузка PHP в изображении

С помощью инструмента php-jpeg-injector можно производить атаки на веб-приложения, которые запускают изображение .jpeg через графическую библиотеку PHP GD

Инструмент создаёт новый .jpeg файл с полезной нагрузкой PHP – Зараженный .jpeg файл запускается через gd-библиотеку PHP – PHP интерпретирует полезную нагрузку, введенную в jpeg, и выполняет ее.

⛓ https://github.com/dlegs/php-jpeg-injector

#Tools #PHP ✈️ inf0

😂 Phish 'n' Ships: как поддельные интернет-магазины обманули Google

Специалисты HUMAN недавно обнаружили мошенническую операцию под названием Phish ’n’ Ships, в рамках которой злоумышленники создавали поддельные интернет-магазины, чтобы похищать деньги и данные банковских карт пользователей

Операция охватывала сотни фальшивых магазинов, предлагающих востребованные товары

— Киберпреступники перенаправляли трафик на поддельные магазины, заражая легитимные сайты вредоносными скриптами, которые добавляли поддельные товары с метаданными, выводящими их в верхние позиции в результатах поисковых систем

Потребитель, кликнувший на ссылку, попадал на другой сайт, где на этапе «покупки» использовались сторонние платежные системы для сбора данных банковской карты

⛓ https://www.securitylab.ru/news/553609.php

#News #Google #Fraud ✈️ inf0

😁 Основы взлома и кибербезопасности в Kali Linux

Эта книга поможет упростить процесс обучения!

Если вы не знаете, с чего начать, даже после прочтения и просмотра тонны бесплатной информации в Интернете, эта книга даст вам столь необходимую структуру, чтобы полностью погрузиться в мир этического взлома защищенных компьютерных систем с помощью лучшего инструмента для работы

Anastasia Sharp 2022

#Book #Linux ✈️ inf0

✋ Форензика: Использование Volatility для анализа оперативной памяти

В статье рассмотрим:
🔵Анализ дампа оперативной памяти
🔵Определение профиля
🔵Получение информацию о компьютере
— Процессы
— История браузера
— Список команд в консоли
— Полезный прием при анализе оперативной памяти
🔵Проверка информации
🔵Дамп памяти
— Извлечение картинок из дампа памяти

Сегодня разберем виртуальную машину от Capture The Flag (CTF) связанную с форензикой

В этой статье мы поговорим об анализе дампа оперативной памяти и рассмотрим одну довольно интересную особенность GIMP

⛓ https://spy-soft.net/ram-dump-forensic-analysis/

#Forensics #CTF #GIMP #Tools #Volatility ✈️ inf0

😂 Разработчики NGFW делятся воспоминаниями о начале проекта

#Meme #NGFW ✈️ inf0

🔎 Сетевой ARP сканер

Netdiscover – это инструмент для разведки активных и пассивных адресов, в основном разработанный для беспроводных сетей

Сканер может пассивно обнаруживать онлайн-хосты или искать их, активно отправляя запросы ARP

Netdiscover также можно использовать для проверки вашего сетевого ARP-трафика или поиска сетевых адресов с помощью режима автоматического сканирования, который будет сканировать общие локальные сети

⛓ https://github.com/netdiscover-scanner/netdiscover?ysclid=m37hucs1vn59323517

#Tools #Network #Scanner #Recon ✈️ inf0

😂 Получил сообщение — улетел в бан: как хакер заблокировал тысячи игроков

В октябре компания Activision заявила, что устранила ошибку в своей античит-системе, из-за которой якобы небольшое количество игроков ошибочно получили блокировки

Однако, по словам хакера под псевдонимом Vizor, на деле проблема оказалась куда серьёзнее — из-за уязвимости он смог собственноручно заблокировать тысячи игроков Call of Duty Modern Warfare 3, представляя их как читеров

Vizor рассказал изданию TechCrunch, что ему удалось манипулировать античит-системой таким образом, что даже обычные игроки автоматически считались нарушителями

Хакер признался, что ему было «забавно злоупотреблять уязвимостью», и отметил, что подобная схема могла оставаться незамеченной в течение многих лет, если бы он целился в неизвестных игроков

⛓ https://www.securitylab.ru/news/553781.php

#Attack #News #Vizor #Activision #Ricochet ✈️ inf0

✔️ Этическое руководство по компьютерному взлому

Это полное бесплатное руководство по хакерству для начинающих

В этой книге рассматриваются все основные и наиболее часто используемые взломанные устройства, а также методы или стратегии проведения атаки

Эта книга разъясняет новичкам все термины, чтобы они могли начать работу по хакерскому пути

#Book #Guide #Hacking ✈️ inf0

🧰 IaC и DevSecOps: выбираем лучшие инструменты анализа и защиты инфраструктурного кода

В этой статье будут рассмотрены:
🔵краткие теоретические сведения о подходе “Инфрастуркутра как кодˮ
🔵место безопасности IaC в цикле DevSecOps
🔵методы статического анализа конфигурационных файлов
🔵ключевые особенности работы с инструментом KICS

Infrastructure as Code (IaC) — это подход к автоматизации и управлению инфраструктурой через использование кода

Вместо ручной настройки и обслуживания инфраструктуры IaC позволяет разработчикам и системным администраторам управлять инфраструктурой с помощью программного кода, выполняя автоматическую установку, конфигурацию и развертывание через специализированные инструменты, такие как Ansible, Terraform, Puppet, Chef

⛓ https://habr.com/ru/companies/swordfish_security/articles/857302/

#DevSecOps #IaC #Tools ✈️ inf0

🌐 Волна жалоб поставила под угрозу работу Tor

В конце октября администраторы Tor, операторы ретрансляторов и даже команда Tor Project начали получать жалобы на якобы проводимое их серверами сканирование портов

❗️ Как выяснилось позже, злоумышленники использовали поддельные IP-адреса, чтобы отправлять ложные сообщения о подозрительном трафике от имени Tor-узлов

В результате расследования выяснилось, что причиной жалоб стала скоординированная атака с IP Spoofing – атакующие подделывали IP-адреса невыходных ретрансляторов и других узлов сети Tor, что приводило к автоматическим жалобам на операторов

Специалистам удалось обнаружить источник ложных пакетов и устранить проблему 7 ноября

⛓ https://www.securitylab.ru/news/553822.php

#News #Tor #Spoofing #IP ✈️ inf0

💉 Обнаружение и эксплуатация SQL-инъекций

SQLmap – это инструмент тестирования на проникновение с открытым исходным кодом, который автоматизирует процесс обнаружения и эксплуатации уязвимости SQL-инъекця и захват серверов баз данных

Основные возможности:
🔵Поддержка MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase и SAP MaxDB.
🔵Поддержка следующих типов инъекций: boolean-based blind, time-based blind, error-based, UNION query и stacked queries.
🔵Возможность подключиться к БД напрямую, используя логин, пароль, ip, порт и имя базы.
🔵Работа с конкретным url, со списком целей из Burp proxy или WebScarab proxy, с текстовым файлом, содержащим HTTP запрос или же прямо из поисковой системы Google.
🔵Тестирование всех параметров, передаваемых методами GET и POST, через cookie, в заголовках User-agent и Referer и попытка их эксплуатирования. Так же вы можете задать какой-то один определенный параметр(ы) для проверки.
🔵Опциональная многопоточность, которая позволяет сильно ускорить проведение слепых инъекций, или же наоборот, ограничить количество запросов на определенный промежуток времени. Множество вариантов оптимизации для ускорения.
🔵Возможность передавать cookie, что позволяет проходить авторизацию на тестируемом приложении или же тестировать cookie на sql уязвимости.
🔵Принимать и хранить в сессии cookie, которые были установлены самим приложением, а так же пытаться их эксплуатировать. При желании можно игнорировать заголовок set-cookie.
🔵Аутентификация по протоколу HTTP basic, Digest, NTLM или с помощью сертификата.
🔵Работа через прокси.
🔵Парсинг форм, находящихся по целевому адресу, с целью повторной отправки запроса на принимающий скрипт формы (action) и тестирование параметров формы.
🔵Автоматически сохраняет сессии (запросы и ответы, даже частично полученные) в текстовом виде и в реальном времени. Это позволяет продолжить инъекцию или другое действие сразу же, после парсинга сессии и не повторять запросы на атакуемое приложение.
🔵Поддержка репликации БД сервера на локальную БД sqlite3.
🔵Интеграция с другими инструментами для пентеста — Metasploit и w3af.

⛓ https://github.com/sqlmapproject/sqlmap?ysclid=m3ejt84s80500731116

#Tools #SQL ✈️ inf0

💸 Кибербезопасность: стратегии нападения и защиты

В этом тщательно переработанном новом издании вы узнаете о подходе Zero Trust и первоначальном процессе реагирования на инциденты

Вы постепенно познакомитесь с тактикой Red Team, изучите базовый синтаксис часто используемых инструментов для выполнения необходимых операций

Вы также узнаете, как применять новые методы Red Team с помощью мощных инструментов

Dr. Erdal Ozkaya, Yuri Diogenes 2022

#Cybersecurity #Attack #Defence #Book ✈️ inf0

💿 Инструменты для анализа виртуального диска

VHDX — это формат файла образа виртуального жёсткого диска, новая версия формата VHD

Он содержит один или несколько разделов, представляющих собой разделы жёсткого диска виртуальных машин, созданных с помощью программного обеспечения системной виртуализации Hyper-V или VirtualBox

Сегодня рассмотрим инструменты, которые можно использовать для быстрого анализа диска и восстановления удаленных артефактов

Инструменты представлены в порядке возрастания их эффективности при попытках получения файлов из образа:
🔵binwalk: утилита командной строки, которая позволяет извлекать данные из образов на основе сигнатурных значений, список которых можно найти в исходном коде утилиты. Проблема binwalk при анализе виртуального диска — плохое извлечение файлов. Например, Word-документы разбивались на XML-сущности и складывались в одну директорию.
🔵volatility: аналог binwalk, также позволяет извлекать артефакты из образов, в том числе образов энергозависимой памяти (RAM). Утилита имеет профили сборок операционных систем для поиска файлов (типов файлов) по их структуре в выделяемой памяти. Проблема volatility в процессе анализа VHDX — не получилось корректно определить профиль (сборку) ОС.
🔵Autopsy: универсальный инструмент для исследования образов, который может получать данные из файлов разных типов, физических дисков, сырого образа. Более того, имеет свой набор плагинов для исследований, например, файловой системы iOS. Разумеется, можно писать свои плагины.
🔵FTK Imager: аналог Autopsy, показавший наилучшие результаты извлечения файлов.

#Tools #VHDX ✈️ inf0

😈 Истощение и подмена DHCP-сервера

При атаке на каналь­ном уров­не, можно переп­рыгнуть через все средс­тва защиты, нас­тро­енные на более высоких уров­нях

🚠 DHCP — это сетевой протокол, который позволяет клиентам, подключенным к сети, получать информацию о конфигурации TCP/IP (например, частный IP-адрес) от DHCP-сервера

В данной статье мы с вами рассмотрим два вектора атак на этот самый низ­кий уро­вень сети — истощение (DHCP Starvation) и подмена DHCP-сервера (DHCP Spoofing)

🔵DHCP Starvation: эта ата­ка осно­вана на про­веде­нии рас­сылок огромно­го количес­тва сооб­щений DHCPDISCOVER с целью исто­щить адресное прос­транс­тво на сер­вере DHCP. Сер­вер DHCP будет реаги­ровать на каж­дый зап­рос и выдавать IP-адрес

Пос­ле перепол­нения допус­тимого адресно­го прос­транс­тва сер­вер DHCP боль­ше не смо­жет обслу­живать новых кли­ентов в сво­ей сети, выдавая им IP-адре­са

🔵DHCP Spoofing: пос­ле вывода из строя легитим­ного DHCP-сер­вера зло­умыш­ленник может под­нять на сво­ей сто­роне фей­ковый DHCP-сер­вер, заявив, что имен­но он и явля­ется шлю­зом по умол­чанию. Ког­да DHCP-сер­вер выда­ет IP-адре­са хос­там в сети, там переда­ется и информа­ция об IP-адре­се шлю­за по умол­чанию

⛓ https://spy-soft.net/dhcp-starvation-dhcp-spoofing/

#DHCP #Spoofing #Networks #Starvation ✈️ inf0