💸 Кибербезопасность: стратегии нападения и защиты

В этом тщательно переработанном новом издании вы узнаете о подходе Zero Trust и первоначальном процессе реагирования на инциденты

Вы постепенно познакомитесь с тактикой Red Team, изучите базовый синтаксис часто используемых инструментов для выполнения необходимых операций

Вы также узнаете, как применять новые методы Red Team с помощью мощных инструментов

Dr. Erdal Ozkaya, Yuri Diogenes 2022

#Cybersecurity #Attack #Defence #Book ✈️ inf0

💿 Инструменты для анализа виртуального диска

VHDX — это формат файла образа виртуального жёсткого диска, новая версия формата VHD

Он содержит один или несколько разделов, представляющих собой разделы жёсткого диска виртуальных машин, созданных с помощью программного обеспечения системной виртуализации Hyper-V или VirtualBox

Сегодня рассмотрим инструменты, которые можно использовать для быстрого анализа диска и восстановления удаленных артефактов

Инструменты представлены в порядке возрастания их эффективности при попытках получения файлов из образа:
🔵binwalk: утилита командной строки, которая позволяет извлекать данные из образов на основе сигнатурных значений, список которых можно найти в исходном коде утилиты. Проблема binwalk при анализе виртуального диска — плохое извлечение файлов. Например, Word-документы разбивались на XML-сущности и складывались в одну директорию.
🔵volatility: аналог binwalk, также позволяет извлекать артефакты из образов, в том числе образов энергозависимой памяти (RAM). Утилита имеет профили сборок операционных систем для поиска файлов (типов файлов) по их структуре в выделяемой памяти. Проблема volatility в процессе анализа VHDX — не получилось корректно определить профиль (сборку) ОС.
🔵Autopsy: универсальный инструмент для исследования образов, который может получать данные из файлов разных типов, физических дисков, сырого образа. Более того, имеет свой набор плагинов для исследований, например, файловой системы iOS. Разумеется, можно писать свои плагины.
🔵FTK Imager: аналог Autopsy, показавший наилучшие результаты извлечения файлов.

#Tools #VHDX ✈️ inf0

😈 Истощение и подмена DHCP-сервера

При атаке на каналь­ном уров­не, можно переп­рыгнуть через все средс­тва защиты, нас­тро­енные на более высоких уров­нях

🚠 DHCP — это сетевой протокол, который позволяет клиентам, подключенным к сети, получать информацию о конфигурации TCP/IP (например, частный IP-адрес) от DHCP-сервера

В данной статье мы с вами рассмотрим два вектора атак на этот самый низ­кий уро­вень сети — истощение (DHCP Starvation) и подмена DHCP-сервера (DHCP Spoofing)

🔵DHCP Starvation: эта ата­ка осно­вана на про­веде­нии рас­сылок огромно­го количес­тва сооб­щений DHCPDISCOVER с целью исто­щить адресное прос­транс­тво на сер­вере DHCP. Сер­вер DHCP будет реаги­ровать на каж­дый зап­рос и выдавать IP-адрес

Пос­ле перепол­нения допус­тимого адресно­го прос­транс­тва сер­вер DHCP боль­ше не смо­жет обслу­живать новых кли­ентов в сво­ей сети, выдавая им IP-адре­са

🔵DHCP Spoofing: пос­ле вывода из строя легитим­ного DHCP-сер­вера зло­умыш­ленник может под­нять на сво­ей сто­роне фей­ковый DHCP-сер­вер, заявив, что имен­но он и явля­ется шлю­зом по умол­чанию. Ког­да DHCP-сер­вер выда­ет IP-адре­са хос­там в сети, там переда­ется и информа­ция об IP-адре­се шлю­за по умол­чанию

⛓ https://spy-soft.net/dhcp-starvation-dhcp-spoofing/

#DHCP #Spoofing #Networks #Starvation ✈️ inf0

📞 Подросток превратил ложные вызовы в бизнес: 20 лет тюрьмы за своттинг

18-летний Алан У. Филион из Ланкастера, штат Калифорния, признал себя виновным в четырёх эпизодах угроз причинения вреда, переданных через межштатные коммуникации

С августа 2022 по январь 2024 года Филион совершил более 375 звонков, содержащих ложные угрозы массовых убийств, взрывов и других актов насилия

Целями стали религиозные организации, учебные заведения, государственные служащие и частные лица по всей территории США

🏴‍☠️ Ему грозит до пяти лет лишения свободы по каждому из пунктов обвинения. На момент совершения большинства звонков Филиону было 16 лет

⛓ https://www.securitylab.ru/news/554018.php

#News ✈️ inf0

🦠 Исследование уязвимостей DC7

В этом разделе мы познакомимся с концепциями исследования уязвимости целевых систем с помощью инструментов, которые встроены в Kali Linux

А также рассмотрим несколько онлайн ресурсов используемых для получения информации об уязвимости

DC7 – это виртуальная CTF машина на базе Linux, в которой нужно скомпрометировать виртуальную машину и повысить уровень привилегий до root. Скачать машину можно на сайте vulnhub.com

#Vulnerability #CTF #Linux #Networks #DC7 ✈️ inf0

💻 Сети глазами хакера

В книге рассматриваются вопросы безопасности компьютерных сетей: даны практические рекомендации по проведению пентеста сетей Cisco, приведены полезные сведения о протоколе DTP от компании Cisco Systems, представлено подробное руководство по пентесту канального уровня сети, тестированию безопасностии и защите устройств MikroTik.

◼️ Рассказывается о методах проведения пентестов с минимальным ущербом для сетевой инфраструктуры: даны советы по эффективному использованию в процессе тестирования на проникновение инструментария Kali Linux, рассказано об использовании виртуальных машин для постэксплуатации систем.

Описаны рекомендации по защите сетевой инфраструктуры от хакерских атак, практические примеры демонстрируют техники пентеста как для атакующей, так и для защищающейся стороны

Базаров Магама 2024

#Book #Network #Linux ✈️ inf0

🔎 Инструмент обнаружения субдоменов/поддоменов

SubFinder — это инструмент для обнаружения субдоменов (поддоменов), который, используя пассивные методы (без обращения к целевому сайту), собирает информацию из онлайн источников о субдоменах целевого сайта

SubFinder использует онлайн сервисы, поисковые движки, интернет архивы и другие источники для поиска субдоменов

Затем найденные данные используется в модуле пермутации, вдохновлённом altdns, для генерации изменённых имён и быстрой их проверки используя мощный движок брут-форса

⛓ https://github.com/projectdiscovery/subfinder?ysclid=m3onfont27884781872

#Tools #SubFinder #Subdomain ✈️ inf0

🏠 Реверс-инжиниринг новой функции iOS Inactivity Reboot

В iOS 18 появилась новая функция безопасности: перезагрузка бездействия (inactivity reboot)

В данной статье мы рассмотрим все подробности вплоть до расширения ядра и Secure Enclave Processor

Краткое описание обнаруженного:
🔵Secure Enclave Processor (SEP) отслеживает время последней разблокировки телефона. Если это время последней разблокировки превышает три дня, SEP сообщает модулю ядра AppleSEPKeyStore, что время исчерпано.
🔵Модуль ядра AppleSEPKeyStoreприказывает пользовательскому пространству инициировать перезапуск. Далее SpringBoard надлежащим образом завершает все процессы пользовательского пространства. Это предотвращает потенциальную потерю данных при перезапуске.
🔵Если модуль ядра AppleSEPKeyStoreобнаруживает, что iPhone по-прежнему включён после того, как должна была выполниться перезагрузка, возникает паника ядра. Такое может происходить, только если кто-нибудь пытается вмешаться в inactivity reboot.
🔵Модуль ядра AppleSEPKeyStoreзаписывает переменную NVRAM aks-inactivity. После перезапуска iPhone keybagd считывает эту переменную и если она установлена, отправляет Apple событие аналитики, включив в него информацию о том, как долго iPhone не разблокировался.

⛓ https://habr.com/ru/companies/ruvds/articles/859884/

#Info #Apple #Security #iOS #ReverseEngineering ✈️ inf0

⚠️ Вирус-манипулятор: хакеры взломали человеческую психологию

Новое исследование угроз безопасности за третий квартал Gen Digital выявило стремительное усложнение ландшафта угроз

Главные тенденции: рост атак с использованием социальной инженерии, значительное увеличение числа программ-вымогателей и развитие новых видов вредоносного ПО, нацеленного как на настольные системы, так и на мобильные устройства.

В отчёте отмечается тип атак «взломай себя сам», который за третий квартал увеличился на 614% по сравнению с предыдущим кварталом, а общее число заблокированных случаев превысило 2 миллиона

Такой подход использует методы социальной инженерии для того, чтобы обманом заставить пользователей самостоятельно выполнять действия, приводящие к заражению устройств

Примеры включают поддельные CAPTCHA, но на самом деле заражают системы вредоносными скриптами

⛓ https://www.securitylab.ru/news/554140.php

#News #SocialEngineering #Attack #HackYourself ✈️ inf0

💻 Обнаружение вторжений в компьютерные сети (сетевые аномалии)

🔵Даны основные определения и понятия в области систем обнаружения вторжений и компьютерных атак

🔵Рассмотрены принципы построения и структура систем обнаружения вторжений

🔵Анализируются способы развертывания, достоинства и недостатки существующих систем обнаружения вторжений

🔵Центральное место в книге уделено методам обнаружения сетевых аномалий

🔵Рассмотрены методы кратномасштабного вейвлет- и мультифрактального анализа алгоритмов обнаружения аномальных вторжений

🔵Проведен анализ статистических, интеллектуальных, иммунных, нейросетевых и других алгоритмов обнаружения аномалий

О И.Шелухин, Д.Ж.Сакалема, А.С.Филинова 2013

#Book #Network ✈️ inf0

☁️ Управление MAC-адресом для сетевых интерфейсов

Программа macchanger (также известная как the GNU MAC Changer) – упрощает манипуляцию MAC-адресом для сетевых интерфейсов

Она предлагает различные функции, такие как изменение адреса таким образом, чтобы он соответствовал определённому производителю, или полная его рандомизация

⛓ https://github.com/alobbs/macchanger

#Tools #Mac #GNU #Network ✈️ inf0

🤨 Знакомство с MITM атаками – «человек посередине» | Обнаружение и предотвращение

MITM-атака (атака типа man-in-the-middle) – это атака, при которой злоумышленники перехватывают разговор или передачу данных путём подслушивания или притворяясь его легальным участником

Типы проведения атаки:
🔵Подмена IP-адреса: Каждое устройство, подключенное к интернету, имеет свой интернет-протокол. Злоумышленник, подменив IP-адрес заставляет жертву думать, что она взаимодействует с интернет-ресурсом, но на деле не обменивается никакими данными с сервером, а отправляет данные злоумышленнику

🔵Спуфинг DNS: Во время подмены DNS злоумышленник получает полное управление над запросами пользователя и может перенаправлять его на поддельные веб-страницы и сайты

🔵Спуфинг ARP: Злоумышленник, отправляет жертве поддельные ARP-ответы с информацией что поддельный MAC-адрес совпадает с настоящим IP-адресом маршрутизатора

Признаки атаки MITM: Частые разрывы и переподключения к сети; Изменение MAC-адреса точки доступа; Несколько точек доступа с одинаковым SSID; Задержки при отправке запрос

В статье читайте про обнаружение и предотвращение атаки

⛓ https://habr.com/ru/articles/860710/

#Info #MITM #Attack ✈️ inf0

🤔 Microsoft сокрушила фишинг-империю: уничтожено 240 сайтов MRxC0DER

Microsoft предприняла масштабные действияпротив киберпреступности, ликвидировав 240 фальшивых сайтов, связанных с группировкой из Египта, возглавляемой Абанубом Нади

Под именем «MRxC0DER» он разработал и продавал фишинговые наборы, известные как «Phishing-as-a-Service» (PhaaS)

Эти фишинговые наборы позволяют обходить двухфакторную аутентификацию (MFA), используя методы «врага в середине» (AiTM)

С их помощью злоумышленники перехватывают сетевые коммуникации, крадут учетные данные и аутентификационные куки

⛓ https://www.securitylab.ru/news/554209.php

#News #Microsoft #Phishing #MRxC0DER ✈️ inf0

⚠️ Основы веб-хакинга. Более 30 примеров уязвимостей

Книга рассказывает об этичном использовании софта для поиска уязвимостей в безопасности и о том, что научиться взламывать не всегда легко

С небольшими исключениями, существующие книги являются чрезмерно технологическими, посвящая лишь одну главу уязвимостям в сайтах или не включают примеров из реального мира. Эта книга отличается от них

Используя публично описанные уязвимости, книга объясняет распространенные веб-уязвимости и покажет вам, как начать искать уязвимости и получать за это деньги

Используя более 30 примеров, эта книга описывает такие темы, как:
🔵HTML инъекции
🔵Межсайтовый скриптинг (XSS)
🔵Межсайтовая подмена запроса (CSRF)
🔵Открытые перенаправления
🔵Удаленное исполнение кода (RCE)
🔵Логика приложений
и многое другое...

Каждый пример содержит классификацию атаки, ссылку на отчет, сумму выплаченного вознаграждения, понятное описание и ключевые выводы

Яворски П. 2016

#Book #Vulnerability #RCE #XSS #CSRF ✈️ inf0

💻 Сетевой ARP сканер

arp-scan – это инструмент командной строки для обнаружения и снятия отпечатков. Он создает и отправляет ARP запросы указанным IP адресам и отображает полученные ответы

arp-scan позволяет вам:
🔵Отправлять ARP-пакеты на любое количество хостов-получателей, используя настраиваемую пропускную способность или скорость передачи: Это полезно для обнаружения устройств, когда вам может потребоваться сканировать большие адресные пространства.
🔵Гибким способом конструировать исходящий ARP пакет: arp-scan предоставляет управление всеми полями пакета ARP и полями в заголовке Ethernet кадра.
🔵Декодировать и отображать любые возвращённые пакеты: arp-scan будет декодировать и отображать любые принятые ARP-пакеты и искать поставщика, используя MAC-адрес.
🔵Снимать отпечатки IP хостов, используя инструмент arp-fingerprint.

⛓ https://github.com/royhills/arp-scan

#Tools #Scanner #ARP #Network ✈️ inf0

🦠 Создание полезной нагрузки в Metasploit MSFvenom NetHunter на Android

Metasploit – фреймворк, который позволяет создавать, тестировать и выполнять эксплойты и полезные нагрузки для различных систем и платформ

Для создания полезной нагрузки на Android можно использовать инструмент NetHunter Metasploit Payload Generator, который задействует MSFvenom

В статье автор расскажет об особенностях и преимуществах этого инструмента, а также покажет, как создать и доставить полезную нагрузку на Android-смартфон

⛓ https://spy-soft.net/create-payload-metasploit-nethunter/

#Networks #Tools #Metasploit #Android ✈️ inf0

✔️ MEGANews: Самые важные события в мире инфосека за ноябрь

Содержание статьи:
1. Проблемы Mazda Connect
2. Шпион GoblinRAT
3. Атака на Tor
4. Что может Graykey
5. Cloudflare под запретом
6. Pegasus vs WhatsApp
7. Малварь в PyPI
8. Фургон для спама
9. Песочница ChatGPT
10. Автоперезагрузка iPhone

Подробнее про все события читайте в статье

⛓ https://xakep.ru/2024/11/29/meganews-308/

#News ✈️ inf0

🪟 Освоение безопасности и закалки Windows

Первая часть книги посвящена основам безопасности с подробным описанием создания и реализации базовых элементов управления

По мере продвижения вы узнаете, как эффективно защитить и укрепить свои системы на базе Windows с помощью оборудования, виртуализации, сети и управления идентификацией и доступом (IAM)

Во втором разделе будет рассмотрено администрирование элементов управления безопасностью для клиентов и серверов Windows с удаленным управлением политиками с использованием Intune, Configuration Manager, групповой политики, Defender for Endpoint и других технологий облачной безопасности Microsoft 365 и Azure

Mark Dunkerley, Matt Tumbarello 2022

#Windows #Book ✈️ inf0

❗️ Межсайтовые подделки запросов

CSRF (cross-site request forgery — «межсайтовая подделка запроса», также известна как XSRF) – вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP

Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника)

Основное применение CSRF – вынуждение выполнения каких-либо действий на уязвимом сайте от лица жертвы

☝️ Сверху прикрепляю методологию проведения атак, подробнее о ней на GitHub

⛓ https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Cross-Site%20Request%20Forgery

#Info #Attack #CSRF #XSRF #HTTP ✈️ inf0

🧰 Инструментарий для аудита и эксплуатации CSRF

XSRFProbe – это расширенный инструмент для подделки межсайтовых запросов (CSRF/XSRFX) Инструментарий аудита и эксплуатации

Оснащенный мощным механизмом обхода и многочисленными систематическими проверками, он способен обнаруживать большинство случаев уязвимостей CSRF, связанных с ними обходных путей и в дальнейшем генерировать доказательства (злонамеренно) используемых концепций для каждой обнаруженной уязвимости

Некоторые возможности:
🔵Выполняет несколько типов проверок, прежде чем объявить конечную точку уязвимой.
🔵Может обнаруживать несколько типов маркеров защиты от CSRF в запросах POST.
🔵Работает с мощным поисковым механизмом, который обеспечивает непрерывный обход и сканирование.
🔵Встроенная поддержка пользовательских значений cookie и общих заголовков.
🔵Точное обнаружение и анализ надежности токенов с использованием различных алгоритмов.
🔵Может генерировать как обычные, так и злонамеренные CSRF-доказательства концепций.
🔵Хорошо документированный код и высоко обобщенный автоматизированный рабочий процесс.
🔵Пользователь контролирует все, что делает сканер.
🔵Имеет удобную для пользователя среду взаимодействия с полной и подробной поддержкой.
🔵Подробная система регистрации ошибок, уязвимостей, токенов и прочего.

Для получения дополнительной информации о том, как работает XSRFProbe, смотрите раздел документации

⛓ https://github.com/0xInfection/XSRFProbe/wiki/

⛓ https://github.com/0xInfection/XSRFProbe?ysclid=m47d3dtsxj744198940

#Tools #CSRF #XSRF ✈️ inf0

👀 Полезные веб-ресурсы для OSINT

В этой статье мы разберём несколько веб-ресурсов, которые смогут помочь в проведении расследования по открытым источникам в ключе целевого пользователя и, что немаловажно, ускорят эту работу

⛓ https://habr.com/ru/articles/862924/

#Tools #OSINT ✈️ inf0