Fake Босс Пес - новая волна атак, которая просто захлестнула ру сегмент телеграмма. Пользователи получают сообщения от якобы [генерального директора\топ менеджера\или какго-то важного руководителя ] 🙈 под видом "Привет, узнала?! я такой-то такой-то".
Дальше начинается классическая схема и великолепные рассказы классиков про то что [запущена проверка по компании от органовдыхания какого-то порядка 🫡\ или служебная проверка \ или даже письмо от министерства саги космических преступлений для граждан Альфа-Центавры 👽 ] у кого на сколько хватит фантазий и умения фотошопа, для скрина письма или поручения.
Далее начинается обработка жертвы, под разными видами, с целью собрать и выудить инфу, построив тем самымабьюзивные отношения мостик доверия, чтобы дальше можно было разогревать жертву.
Обычно такой схемой пытаются выудить гроши которые ты не успел заданатить на wb или озоне. Но ряд коллег сообщали что есть и кейсы когда работают только по компаниям, с целью собрать инфу и возможно пробить периметр.
Особая проблема тут в том, что через поддержку православного tg очень сложно и долго решаются такие кейсы, даже если у вас есть под рукой ваш DRM провайдер. Потому что tg это государство в государстве, и им особо все равно кто-там кого скамит, если это не какой-то большой резонанс или это не ваш знакомый tg админ из Дубая.
Как решать?
Да серебряной пули тут и не придумать. Оперативную коммуникацию на пользователей о том что ваш ГД не придет к инженеру поддержки клиентов в тг в лс 😅😂, сбор и предоставление скринов в DRM провайдера чтобы попробовать заблокировать через поддержку tg, а так же научить пользователей отправлять жалобу через tg, на удивление этот механизм работает оч хорошо. Особо больше на ум ничего и не приходит, но будет интересно почитать комментарии, поэтому велком. 🫶
А вообще что такое DRM и как его кушоть, я буду рассказывать на OFFZONE
Когда: 22 августа, 12:30–13:15.
Где: AntiFraud.Zone.
Поэтому залетайте на огонек 🤞🙂
Да хранит нас здравый смысл и киберучения 😁
Дальше начинается классическая схема и великолепные рассказы классиков про то что [запущена проверка по компании от органов
Далее начинается обработка жертвы, под разными видами, с целью собрать и выудить инфу, построив тем самым
Обычно такой схемой пытаются выудить гроши которые ты не успел заданатить на wb или озоне. Но ряд коллег сообщали что есть и кейсы когда работают только по компаниям, с целью собрать инфу и возможно пробить периметр.
Особая проблема тут в том, что через поддержку православного tg очень сложно и долго решаются такие кейсы, даже если у вас есть под рукой ваш DRM провайдер. Потому что tg это государство в государстве, и им особо все равно кто-там кого скамит, если это не какой-то большой резонанс или это не ваш знакомый tg админ из Дубая.
Как решать?
Да серебряной пули тут и не придумать. Оперативную коммуникацию на пользователей о том что ваш ГД не придет к инженеру поддержки клиентов в тг в лс 😅😂, сбор и предоставление скринов в DRM провайдера чтобы попробовать заблокировать через поддержку tg, а так же научить пользователей отправлять жалобу через tg, на удивление этот механизм работает оч хорошо. Особо больше на ум ничего и не приходит, но будет интересно почитать комментарии, поэтому велком. 🫶
А вообще что такое DRM и как его кушоть, я буду рассказывать на OFFZONE
Когда: 22 августа, 12:30–13:15.
Где: AntiFraud.Zone.
Поэтому залетайте на огонек 🤞🙂
Да хранит нас здравый смысл и киберучения 😁
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
Интро: Уфф, в перерывах между OFFZONE, разбором лута в виде второй PS5 😂 и желанием выжить не умереть на работе, я наконец, добрался до интересной аналитики по кибероперациям и влиянию, опубликованной в октябре 2024 года. 😎 Интересно, как ребята описывают эволюцию киберугроз — стало ясно, что атаки уже давно не ограничиваются простыми взломами серверов. Тут всё гораздо глубже и интереснее. 😱
Понравился момент про комплексные операции. 📊 Представь себе, что хакеры, поддерживаемые государствами, теперь не просто похищают данные, но ещё и устраивают мощные инфо-кампании, чтобы подорвать доверие к тем же правительствам и институтам. 🙄 Типичный сценарий выглядит так: сначала запускается техническая атака — взлом почтового сервера, затем эти данные сливаются в сеть, а следом идёт кампания в соцсетях, которая эту утечку «раскручивает» как глобальный скандал. Это новая реальность кибервойн, где хакеры активно сотрудничают с медиа для создания «бомб». 💣
Пример из жизни
В отчете приводится пример с выборами в одной из стран, когда атака на систему голосования была совмещена с дезинформационной кампанией. Это не только снизило доверие к выборам, но и привело к массовым протестам. 📉 Такие многоуровневые операции меняют восприятие самих кибератак. Раньше это было что-то о безопасности данных, теперь это уже про восприятие реальности в целом.
Ключевые технические моменты:
Целевая инфраструктура: Целями атак всё чаще становятся важные инфраструктурные объекты: энергетика, транспорт, телекоммуникации и даже системы управления водоснабжением. Взлом таких систем может нанести огромный ущерб на уровне страны. 🤯
Методы атаки: Используются сложные техники типа "сцепленных операций" (AID—Advanced Influence Development), где кибератака синхронизируется с мощной информационной бомбой в соцсетях. Это уже не просто технический взлом — это целая кампания по манипуляции сознанием.
💡 Что делать? Авторы рекомендуют усиливать не только киберзащиту, но и разрабатывать более эффективные системы мониторинга информационных потоков. Защита должна быть комплексной: и в цифровом поле, и в медиа.
Сравнение с предыдущими годами:
Аналитики отмечают, что за последние 5 лет такие кампании становятся всё более сложными. Если раньше основным инструментом были ботнеты и спам-атаки, то сейчас на первый план выходят социальные сети и их способность мгновенно распространять информацию. Теперь каждый смартфон — это потенциальный "переносчик" атаки. 📱⚔️
Так, в этом году было выявлено, что многие киберугрозы направлены на подрыв демократии через вмешательство в выборные процессы. За примерами далеко ходить не надо: атаки на выборы в США, Европе и Азии лишь вершина айсберга. 🌍
Интересные цифры:
Около 60% атак на критическую инфраструктуру были связаны с дезинформацией и социальным воздействием. 🌐
75% атак теперь включают элементы психологической войны — когда после технического взлома начинают "раскручивать" инфо-шумы в медиа. 📺📰
90% крупных компаний мира признали, что сталкиваются с такими угрозами, и их влияние продолжает расти.
🛡 Как итог: защита от кибератак становится всё более многослойной задачей — это уже не просто IT-сфера, а комплекс мер, включающих стратегическое управление информационными потоками и массовыми коммуникациями. Кто бы мог подумать, что в 2024 году хакеры будут так сильно влиять на общество? 💻🤯
В общем, документ настоятельно советует усилить не только защиту данных, но и мониторинг социальных медиа, потому что кибервойны становятся всё более "информационно-направленными". И теперь именно информационная атака может стать решающей. 👀
💡 Лови ссылку на оригинал, если захочешь почитать всё подробно: Influence and Cyber Operations: An Update, October 2024.
Понравился момент про комплексные операции. 📊 Представь себе, что хакеры, поддерживаемые государствами, теперь не просто похищают данные, но ещё и устраивают мощные инфо-кампании, чтобы подорвать доверие к тем же правительствам и институтам. 🙄 Типичный сценарий выглядит так: сначала запускается техническая атака — взлом почтового сервера, затем эти данные сливаются в сеть, а следом идёт кампания в соцсетях, которая эту утечку «раскручивает» как глобальный скандал. Это новая реальность кибервойн, где хакеры активно сотрудничают с медиа для создания «бомб». 💣
Пример из жизни
В отчете приводится пример с выборами в одной из стран, когда атака на систему голосования была совмещена с дезинформационной кампанией. Это не только снизило доверие к выборам, но и привело к массовым протестам. 📉 Такие многоуровневые операции меняют восприятие самих кибератак. Раньше это было что-то о безопасности данных, теперь это уже про восприятие реальности в целом.
Ключевые технические моменты:
Целевая инфраструктура: Целями атак всё чаще становятся важные инфраструктурные объекты: энергетика, транспорт, телекоммуникации и даже системы управления водоснабжением. Взлом таких систем может нанести огромный ущерб на уровне страны. 🤯
Методы атаки: Используются сложные техники типа "сцепленных операций" (AID—Advanced Influence Development), где кибератака синхронизируется с мощной информационной бомбой в соцсетях. Это уже не просто технический взлом — это целая кампания по манипуляции сознанием.
💡 Что делать? Авторы рекомендуют усиливать не только киберзащиту, но и разрабатывать более эффективные системы мониторинга информационных потоков. Защита должна быть комплексной: и в цифровом поле, и в медиа.
Сравнение с предыдущими годами:
Аналитики отмечают, что за последние 5 лет такие кампании становятся всё более сложными. Если раньше основным инструментом были ботнеты и спам-атаки, то сейчас на первый план выходят социальные сети и их способность мгновенно распространять информацию. Теперь каждый смартфон — это потенциальный "переносчик" атаки. 📱⚔️
Так, в этом году было выявлено, что многие киберугрозы направлены на подрыв демократии через вмешательство в выборные процессы. За примерами далеко ходить не надо: атаки на выборы в США, Европе и Азии лишь вершина айсберга. 🌍
Интересные цифры:
Около 60% атак на критическую инфраструктуру были связаны с дезинформацией и социальным воздействием. 🌐
75% атак теперь включают элементы психологической войны — когда после технического взлома начинают "раскручивать" инфо-шумы в медиа. 📺📰
90% крупных компаний мира признали, что сталкиваются с такими угрозами, и их влияние продолжает расти.
🛡 Как итог: защита от кибератак становится всё более многослойной задачей — это уже не просто IT-сфера, а комплекс мер, включающих стратегическое управление информационными потоками и массовыми коммуникациями. Кто бы мог подумать, что в 2024 году хакеры будут так сильно влиять на общество? 💻🤯
В общем, документ настоятельно советует усилить не только защиту данных, но и мониторинг социальных медиа, потому что кибервойны становятся всё более "информационно-направленными". И теперь именно информационная атака может стать решающей. 👀
💡 Лови ссылку на оригинал, если захочешь почитать всё подробно: Influence and Cyber Operations: An Update, October 2024.
🔥4
Все салатики съедены 🥗, игристое выпито 🍾 и подарки 🎁 кажется открыты. Дед Мороз 🎅 уехал отдыхать, а это значит что скоро начинается новый трудовой год 🙈😅 Хочу пожелать всем поменьше потрясений, правильных людей рядом и конечно же продуктивности и побед во всех начинаниях 🫶 Спасибо что остаетесь и читаете мой бложик) На этот год есть кардинальные планы по улучшение этой истории, и конечно же по обратной связи о кол-ве постов (каюсь конец года у меня какой-то очень потный был). Поэтому не переключайтесь, скоро полетим ✈️
Всем хорошо догулять праздники, не болейте, ваш mr.Xapu3ma🥂
Всем хорошо догулять праздники, не болейте, ваш mr.Xapu3ma
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
Всем приветики! Сижу я тут готовлюсь значит к выступлению на киса 😼 CISO-Forum, и в процессе подготовки, я вдруг задумался: а помните ли вы те дикие 90-е, когда компьютеры были больше похожи на громоздкие железные монстры, а кибербезопасность – на дикий запад без правил? 😁🔒
Вот и не помню, но когда пришло время наводить порядок в процессах - родилась история одного из самых важных стандартов в мире IT – ISO/IEC 27001. Давайте быстренько погрузимся в эту историю, как будто читаем детектив с щепоткой юмора, коротая минутки в метро 😁
Все началось с британского стандарта BS 7799 – настоящего пионера в мире информационной безопасности, который появился, когда интернет только начинал проникать в офисы, а модемы печатали жужжащий «уу-уу». Тогда компании, словно герои в антиутопии, поняли: "Надо что-то делать, пока хакеры ненарушат три столпа иб развалят нам кабину!" И вот BS 7799 стал первым шагом к систематизации защиты данных – своего рода спасательным кругом в бурном море киберугроз.
В 2005 году, когда мир начал понимать, что беспорядок в IT – это не шутки, международное сообщество решило: «Давайте сделаем это правильно!» Так из британского опыта родился ISO/IEC 27001, который стал настоящим маст-хэвом для всех, кто заботится о безопасности информации. Представьте: вместо хаотичных методов защиты, теперь компании получили четкий план действий, словно рецепт от шеф-повара, где каждый ингредиент (то есть мера защиты) важен и должен быть идеально подобран. 🎯💡
ISO/IEC 27001 – это, можно сказать, компас в мире хаотичных киберугроз. Он требует создания системы управления информационной безопасностью (ISMS), что позволяет не просто реагировать на инциденты, а предвидеть их и предотвращать. Для SOC (Security Operations Center) это как перейти от работы в суматохе к отлаженномупроцессу шоу с блэкджеком, где каждый сигнал тревоги – это заранее прописанная сцена, а не паническая попытка спасти положение в последнюю секунду. 💻🚀
Но давайте будем честными: IT-отделы раньше действительно боролись с хаосом, как героинемых 😁боевиков, где вместо спецэффектов – коды ошибок и вирусы. Сегодня, благодаря стандарту, даже самые уставшие сисадмины могут наконец вздохнуть свободно уволиться перед аудитом (ну, или почти свободно, ведь всегда найдется что-то, что не так). А руководители, наблюдая за стабильной работой систем, могут смело выпить утренний кофе, не опасаясь, что их данные внезапно исчезнут в мире хакерских фантазий. ☕️😎 [Подробнее об истории ISO/IEC 27001 можно почитать на Википедии]
Конечно, как и мы, стандарт не стоит на месте. Его обновляли и совершенствовали – в 2013 году и даже позже – чтобы отразить новые реалии цифрового мира. Это не просто документ, а целая концепция подходов к кибер безопасности 🔐
ISO/IEC 27001 появился как ответ на необходимость систематизации защиты данных в эпоху, когда киберугрозы подстерегали на каждом шагу. Он эволюционировал из BS 7799, став ориентиром для SOC и других направлений ИБ. И я думаю вот почему:
• Стандартизация процессов.
Когда все операции задокументированы и отлажены в рамках ISMS, ложные срабатывания уходят в прошлое, а аналитики работают по чётко прописанным сценариям. В теории, конечно, идеально – но, будем честны, иногда инструкциям стоит задать вопрос: «А точно ли это сработает в реальном мире?»
• Повышение качества коммуникации.
Формализованные процедуры превращают технический шум в понятный язык для бизнеса. Теперь, когда каждый знает свою роль, можно даже поверить, что вместо вечных споров о том, кто виноват, царит некая согласованность. Хотя всегда остаётся доля сомнения, что кому-то всё равно придётся объяснять, почему снова всё пошло не так.
• Интеграция с другими стандартами.
Компании, объединившие ISO/IEC 27001 с ISO 9001 или ISO 22301, получают комплексный взгляд на риски и процессы. Всегда иронично все выглядит блестяще на бумаге, хотя реальность порой подбрасывает свои сюрпризы.
В итоге, ISO/IEC 27001 не творит чудес и не превращает SOC в супергероев, но, по крайней мере, помогает навести порядок в будничном хаосе. Да хранят нас стандарты ИБ 🙏
Вот и не помню, но когда пришло время наводить порядок в процессах - родилась история одного из самых важных стандартов в мире IT – ISO/IEC 27001. Давайте быстренько погрузимся в эту историю, как будто читаем детектив с щепоткой юмора, коротая минутки в метро 😁
Все началось с британского стандарта BS 7799 – настоящего пионера в мире информационной безопасности, который появился, когда интернет только начинал проникать в офисы, а модемы печатали жужжащий «уу-уу». Тогда компании, словно герои в антиутопии, поняли: "Надо что-то делать, пока хакеры не
В 2005 году, когда мир начал понимать, что беспорядок в IT – это не шутки, международное сообщество решило: «Давайте сделаем это правильно!» Так из британского опыта родился ISO/IEC 27001, который стал настоящим маст-хэвом для всех, кто заботится о безопасности информации. Представьте: вместо хаотичных методов защиты, теперь компании получили четкий план действий, словно рецепт от шеф-повара, где каждый ингредиент (то есть мера защиты) важен и должен быть идеально подобран. 🎯💡
ISO/IEC 27001 – это, можно сказать, компас в мире хаотичных киберугроз. Он требует создания системы управления информационной безопасностью (ISMS), что позволяет не просто реагировать на инциденты, а предвидеть их и предотвращать. Для SOC (Security Operations Center) это как перейти от работы в суматохе к отлаженному
Но давайте будем честными: IT-отделы раньше действительно боролись с хаосом, как герои
Конечно, как и мы, стандарт не стоит на месте. Его обновляли и совершенствовали – в 2013 году и даже позже – чтобы отразить новые реалии цифрового мира. Это не просто документ, а целая концепция подходов к кибер безопасности 🔐
ISO/IEC 27001 появился как ответ на необходимость систематизации защиты данных в эпоху, когда киберугрозы подстерегали на каждом шагу. Он эволюционировал из BS 7799, став ориентиром для SOC и других направлений ИБ. И я думаю вот почему:
• Стандартизация процессов.
Когда все операции задокументированы и отлажены в рамках ISMS, ложные срабатывания уходят в прошлое, а аналитики работают по чётко прописанным сценариям. В теории, конечно, идеально – но, будем честны, иногда инструкциям стоит задать вопрос: «А точно ли это сработает в реальном мире?»
• Повышение качества коммуникации.
Формализованные процедуры превращают технический шум в понятный язык для бизнеса. Теперь, когда каждый знает свою роль, можно даже поверить, что вместо вечных споров о том, кто виноват, царит некая согласованность. Хотя всегда остаётся доля сомнения, что кому-то всё равно придётся объяснять, почему снова всё пошло не так.
• Интеграция с другими стандартами.
Компании, объединившие ISO/IEC 27001 с ISO 9001 или ISO 22301, получают комплексный взгляд на риски и процессы. Всегда иронично все выглядит блестяще на бумаге, хотя реальность порой подбрасывает свои сюрпризы.
В итоге, ISO/IEC 27001 не творит чудес и не превращает SOC в супергероев, но, по крайней мере, помогает навести порядок в будничном хаосе. Да хранят нас стандарты ИБ 🙏
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12
Пиу пиу! 🧑💻 Исправляюсь по поводу регулярности постов, был и правда жаркий период и в рабочих и личных делах, много всего и сразу, ну в прочем как обычно 😅 Конечно тянуть две презы подряд сложнова-то, но можно 🫡
Во-первых, канал пробил первую сотню1️⃣ 0️⃣ 0️⃣ подписчиков 🥹 (надеюсь не последнюю). Теперь цель пробить тракторное число, ведь права тракториста машиниста у меня есть 😅😂 Надо сказать спасибо мероприятиям и конференциям, первое это коллегам из BiZone 🦬 , за их закрытое мероприятие, было как обычно стильно, вкусно, интересно 🫶 Теперь практикуюсь по утрам стоять на гвоздях 🧘 Фоточек и записи не будет)
Во-вторых за CISO Forum, спасибо организатором что позвали выступить, был интересный опыт и формат 👍 Сказали запись будет, но не много позже. Презентацию выложу сразу в канал в этом посте, потому что коллеги просили поделиться)
Отдельно хочу сказать спасибо коллегам из нашего DevRel за сопровождение и помощь, Лена, обнял 🤗
Во-первых, канал пробил первую сотню
Во-вторых за CISO Forum, спасибо организатором что позвали выступить, был интересный опыт и формат 👍 Сказали запись будет, но не много позже. Презентацию выложу сразу в канал в этом посте, потому что коллеги просили поделиться)
Отдельно хочу сказать спасибо коллегам из нашего DevRel за сопровождение и помощь, Лена, обнял 🤗
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15
Всем привет! Ну кажется погода стала походить на весеннюю😅 и это значит что скоро майские праздники, но помимо уничтожения шашлычков 🍢 в беседках и нормального открытия мото-сезона 🏍 (а я жду не дождусь уже 🥹 ) в мае произойдет еще одно важное изменение, связанное с утечками ПДн и штрафами для компаний 🙈. Как именно это будет работать, особо-то никто и не знает, но по случайности меня пригласили как раз-таки сходить и послушать об этом, к коллегам на мероприятие "Шапка-невидимка для чувствительных данных", регистрация там открытая, кому интересно, вот ссылка : https://qsoft-security.ru/
п.с. не реклама, т.к. сам иду 😁 приходите вместе послушаем к чему готовиться и позадаем вопросы, ну и конечно нетворкинг - практически всегда штука полезная 🫡
п.с. не реклама, т.к. сам иду 😁 приходите вместе послушаем к чему готовиться и позадаем вопросы, ну и конечно нетворкинг - практически всегда штука полезная 🫡
👍7
🔥 Корпоративные чаты глазами SOC: Telegram и Slack под прицелом
Часть 1:
Корпоративные и не очень мессенджеры — это не только удобство и скорость работы, но и привлекательная мишень для атак. Сегодня посмотрим на угрозы для Telegram Desktop и Slack с конкретными примерами и советами по защите.
📌 Telegram Desktop: уязвимая папка tdata
Самый опасный сценарий — кража папки tdata. В ней хранятся сессии и ключи авторизации. Получив её, злоумышленник запускает ваш Telegram без уведомлений о новой сессии!
🛠 Пример атаки: вредонос Telegrab (или другие) автоматически собирал данные папки.
Как устроена папка tdata в Telegram Desktop
Папка tdata — это сердце клиента Telegram Desktop. Именно в ней хранятся все ключи, сессии и кэш, обеспечивающие бесшовную авторизацию пользователя. Понимание структуры tdata помогает как защищаться, так и анализировать компрометации.
🔍 Что внутри tdata?
🔐 Ключевые файлы:
⚠️ Другие риски для тг:
Фейковые клиенты Telegram
Перехват SMS-кодов
ФейкБосс (Про эту писал ранее)
📌 Slack: фишинг и OAuth-токены
В Slack основные угрозы — это перехват OAuth-токенов и фишинг через поддельные приложения. Злоумышленники получают доступ к переписке и даже отправляют сообщения от вашего имени!
🛠 Пример атаки: EvilSlackbot отправлял фишинговые сообщения в Slack от имени бота.
⚠️ Дополнительные векторы:
Скомпрометированные сторонние приложения
Вредоносные браузерные расширения
📊 Сравниваем риски:
(Смотреть картиночки)
Часть 1:
Корпоративные и не очень мессенджеры — это не только удобство и скорость работы, но и привлекательная мишень для атак. Сегодня посмотрим на угрозы для Telegram Desktop и Slack с конкретными примерами и советами по защите.
📌 Telegram Desktop: уязвимая папка tdata
Самый опасный сценарий — кража папки tdata. В ней хранятся сессии и ключи авторизации. Получив её, злоумышленник запускает ваш Telegram без уведомлений о новой сессии!
🛠 Пример атаки: вредонос Telegrab (или другие) автоматически собирал данные папки.
Как устроена папка tdata в Telegram Desktop
Папка tdata — это сердце клиента Telegram Desktop. Именно в ней хранятся все ключи, сессии и кэш, обеспечивающие бесшовную авторизацию пользователя. Понимание структуры tdata помогает как защищаться, так и анализировать компрометации.
🔍 Что внутри tdata?
tdata/
├── D877F783D5D3EF8C/
│ └── user_data, settings, кеш сообщений
├── map*.json
├── *.key
├── emojis, themes, temp-files
🔐 Ключевые файлы:
D877F783D5D3EF8C/ — основная директория, где Telegram хранит данные аккаунта (номер, имя, ID, чаты, контакты). Название папки — это хеш ID API Telegram.
map0.json / map1.json — указатели Telegram, связывающие ключи с сессионными данными. Именно с них Telegram начинает восстановление сессии.
*.key — ключи для расшифровки данных, зашифрованных в сессии.
emoji/, themes/ — интерфейс и визуальные настройки клиента.
temp/ и кэш — временные файлы, изображения и вложения.
⚠️ Другие риски для тг:
Фейковые клиенты Telegram
Перехват SMS-кодов
ФейкБосс (Про эту писал ранее)
📌 Slack: фишинг и OAuth-токены
В Slack основные угрозы — это перехват OAuth-токенов и фишинг через поддельные приложения. Злоумышленники получают доступ к переписке и даже отправляют сообщения от вашего имени!
🛠 Пример атаки: EvilSlackbot отправлял фишинговые сообщения в Slack от имени бота.
⚠️ Дополнительные векторы:
Скомпрометированные сторонние приложения
Вредоносные браузерные расширения
📊 Сравниваем риски:
(Смотреть картиночки)
👨💻6👍4❤1
Часть 2
🛡 Защита и мониторинг:
Telegram: EDR-мониторинг
📍 Что важно:
Контекст: кто инициировал копирование, какие процессы запущены.
Исключения: Telegram-обновления и легитимный бэкап.
Дополнительный анализ: запуск Telegram с необычных путей или под нештатными пользователями.
Slack: регулярные аудиты OAuth-приложений, защита от фишинга и контроль браузеров.
⚠️ Обязательно используйте многофакторную аутентификацию (MFA), шифруйте трафик (HTTPS) и контролируйте время жизни сессий.
🎯 Привязка к MITRE ATT&CK
(Смотреть картиночку)
📈 Основные тенденции, что говорят вендоры:
📌 🔥 Рост атак на мессенджеры:
Согласно отчету Group-IB за 2023 год, 19% всех APT-групп использовали Telegram как C2-канал или канал доставки команд.
Источник → Group-IB Hi-Tech Crime Trends 2023
📌 🎯 Slack под ударом OAuth-фишинга:
По данным Proofpoint, в 2022–2023 гг. наблюдался рост атак на Slack OAuth-приложения на 85%, особенно в цепочках BEC-атак. Источник → Proofpoint Threat Report 2023
📌 🧵 Telegram как канал для утечек:
Специалисты Check Point и Kaspersky фиксировали утечку корпоративных данных через Telegram,Источник → Check Point Report: Telegram used for InfoStealer exfiltration (2023)
🧠 Обучение пользователей: фишинг в чате как он есть
Обучение сотрудников — один из самых мощных инструментов снижения риска. Особенно, когда злоумышленники используют знакомые интерфейсы, как Slack или Telegram.
🎣 Пример фишинга в Slack
Сценарий:
Внутри Slack появляется «системное» уведомление от якобы службы безопасности:
⚠️ Отличить тяжело:
Имя бота может быть slack-support, Security или IT Helpdesk
Аватарка — иконка Slack
Сообщение отправлено через интеграцию или Slackbot
💬 Берегите чаты и данные! Да хранит нас первая линия SOC без людей😂 🔐
🛡 Защита и мониторинг:
Telegram: EDR-мониторинг
(file.path:"Telegram\\tdata" AND event.action:("file_copy","file_move")). Ложные срабатывания возможны при обновлениях и резервных копиях — используйте исключения.📍 Что важно:
Контекст: кто инициировал копирование, какие процессы запущены.
Исключения: Telegram-обновления и легитимный бэкап.
Дополнительный анализ: запуск Telegram с необычных путей или под нештатными пользователями.
Slack: регулярные аудиты OAuth-приложений, защита от фишинга и контроль браузеров.
⚠️ Обязательно используйте многофакторную аутентификацию (MFA), шифруйте трафик (HTTPS) и контролируйте время жизни сессий.
🎯 Привязка к MITRE ATT&CK
(Смотреть картиночку)
📈 Основные тенденции, что говорят вендоры:
📌 🔥 Рост атак на мессенджеры:
Согласно отчету Group-IB за 2023 год, 19% всех APT-групп использовали Telegram как C2-канал или канал доставки команд.
Источник → Group-IB Hi-Tech Crime Trends 2023
📌 🎯 Slack под ударом OAuth-фишинга:
По данным Proofpoint, в 2022–2023 гг. наблюдался рост атак на Slack OAuth-приложения на 85%, особенно в цепочках BEC-атак. Источник → Proofpoint Threat Report 2023
📌 🧵 Telegram как канал для утечек:
Специалисты Check Point и Kaspersky фиксировали утечку корпоративных данных через Telegram,Источник → Check Point Report: Telegram used for InfoStealer exfiltration (2023)
🧠 Обучение пользователей: фишинг в чате как он есть
Обучение сотрудников — один из самых мощных инструментов снижения риска. Особенно, когда злоумышленники используют знакомые интерфейсы, как Slack или Telegram.
🎣 Пример фишинга в Slack
Сценарий:
Внутри Slack появляется «системное» уведомление от якобы службы безопасности:
👮♀️ Security Notification:
Unusual login detected. Please verify your account immediately to avoid being locked out.
🔗 Verify Now
⚠️ Отличить тяжело:
Имя бота может быть slack-support, Security или IT Helpdesk
Аватарка — иконка Slack
Сообщение отправлено через интеграцию или Slackbot
💬 Берегите чаты и данные! Да хранит нас первая линия SOC без людей😂 🔐
🔥5👍3
image_2025-05-14_12-39-17.png
37 KB
Астрологи объявили неделю отпуска, количество постов увеличено 😁 Начнем с малого, приглашаю прийти послушать доклад на PHDays 2025, "SOC на скорую руку: внедряем гибридную модель, или Наш опыт выживания", где я расскажу в сжатом формате про наш опыт построения.
Ссылка на страницу : https://phdays.com/ru/forum/program/?date=2025%2F5%2F23&tags=lifehack&talk-id=2338
Приходите, буду рад поболтать после доклада 🫶✊
Представьте, что вы пытаетесь собрать сложный пазл, но каждый кусочек постоянно исчезает, как будто его утащили баги в системе мониторинга. Если вам знакомо чувство, когда каждый новый инцидент напоминает о том, что «404 Not Found» — это не только про веб-страницы, но и про отсутствующие процессы, то вы точно узнаете нашу историю.
Я расскажу, как мы:
внедрили MSSP за три месяца;
выстроили процессы реагирования с уже действующими MSSP в бизнес-юнитах;
собрали на коленке процесс реагирования на киберинциденты.
А еще — о том, как не сойти с ума (но это неточно).
Ссылка на страницу : https://phdays.com/ru/forum/program/?date=2025%2F5%2F23&tags=lifehack&talk-id=2338
Приходите, буду рад поболтать после доклада 🫶✊
👍13❤1
🧪 А что вообще требует рынок от SOC-специалистов?
Иногда ловлю себя на мысли: «Вот мы тут страдаем, расследуем, тюним, автоматизируем… А интересно — как выглядит идеальный SOC-аналитик или инженер в головах HR-ов и тимлидов, которые пишут вакансии?» 🤔
💡 Так и родилась идея — разобрать руками то, что нам сыпется в требованиях. Но конечно я не безумец, и должно оставаться время чтобы катать на двух колесах и делать ра та та та 😁
Сел, запустил ChatGPT, накидал фильтры и провёл нормальную аналитику вакансий за последние 12 месяцев (2024–2025) по России и СНГ.
🗂 Что попало в разбор:
— Вакансии SOC-аналитиков (L1–L3) и инженеров по автоматизации (без DLP)
— Внутренние SOC (банки, финтех, ритейл, крупные ИТ-компании)
— MSSP — особенно ценные, потому что там сразу видно: кто на L1, кто на L2, и кто спасает shift ночью
— Всё, что попадает в реальную работу: SIEM, SOAR, TI, EDR, корреляции, форензика, настройка логов, playbooks, API, взаимодействие с ИТ, обучение, стрессоустойчивость и почему ты опять не сделал отчёт
📉 Что делал:
— Сравнивал паттерны по уровням Junior / Middle / Senior
— Выделял реальные требования (а не буллшит типа «быстро обучается и любит безопасность»)
— Строил дерево навыков: кто, чем и зачем должен заниматься
— Отсеивал маркетинговую чушь, оставлял только то, что бьётся с практикой SOC
📌 Зачем это нужно:
— Чтобы джуны поняли, куда вообще расти (и на что смотреть, кроме кнопки «Play» в SOAR);
— Чтобы мидлы посмотрели честно: «А я вообще middle, или просто давно сижу?»;
— Чтобы сеньоры напомнили себе, что кроме пива по пятницам надо ещё и развивать команду
— Чтобы тимлиды и HR могли наконец-то не гадать, кто перед ними на собесе, а сверяться с нормальной картой навыков и ответственности
💬 Итог — честная, живая карта компетенций, выжатая с пола, а не со слайдов конференций.
🧠 Всё, что ты хотел спросить на грейд-ревью, но боялся получить «а у нас всё индивидуально».
Будет здорово если дадите обратную связь в комментариях :
- Интересный ли материал?
- Чего не хватает?
- О чем бы было интересно послушать в следующих постах? 🫶🤞
Иногда ловлю себя на мысли: «Вот мы тут страдаем, расследуем, тюним, автоматизируем… А интересно — как выглядит идеальный SOC-аналитик или инженер в головах HR-ов и тимлидов, которые пишут вакансии?» 🤔
💡 Так и родилась идея — разобрать руками то, что нам сыпется в требованиях. Но конечно я не безумец, и должно оставаться время чтобы катать на двух колесах и делать ра та та та 😁
Сел, запустил ChatGPT, накидал фильтры и провёл нормальную аналитику вакансий за последние 12 месяцев (2024–2025) по России и СНГ.
🗂 Что попало в разбор:
— Вакансии SOC-аналитиков (L1–L3) и инженеров по автоматизации (без DLP)
— Внутренние SOC (банки, финтех, ритейл, крупные ИТ-компании)
— MSSP — особенно ценные, потому что там сразу видно: кто на L1, кто на L2, и кто спасает shift ночью
— Всё, что попадает в реальную работу: SIEM, SOAR, TI, EDR, корреляции, форензика, настройка логов, playbooks, API, взаимодействие с ИТ, обучение, стрессоустойчивость и почему ты опять не сделал отчёт
📉 Что делал:
— Сравнивал паттерны по уровням Junior / Middle / Senior
— Выделял реальные требования (а не буллшит типа «быстро обучается и любит безопасность»)
— Строил дерево навыков: кто, чем и зачем должен заниматься
— Отсеивал маркетинговую чушь, оставлял только то, что бьётся с практикой SOC
📌 Зачем это нужно:
— Чтобы джуны поняли, куда вообще расти (и на что смотреть, кроме кнопки «Play» в SOAR);
— Чтобы мидлы посмотрели честно: «А я вообще middle, или просто давно сижу?»;
— Чтобы сеньоры напомнили себе, что кроме пива по пятницам надо ещё и развивать команду
— Чтобы тимлиды и HR могли наконец-то не гадать, кто перед ними на собесе, а сверяться с нормальной картой навыков и ответственности
💬 Итог — честная, живая карта компетенций, выжатая с пола, а не со слайдов конференций.
🧠 Всё, что ты хотел спросить на грейд-ревью, но боялся получить «а у нас всё индивидуально».
Будет здорово если дадите обратную связь в комментариях :
- Интересный ли материал?
- Чего не хватает?
- О чем бы было интересно послушать в следующих постах? 🫶🤞
🔥7❤2
Надеюсь все живы и целы после продолжения программы PHDays в виде барных митапов и фаст треков 😁😂
Что хочется сказать, ну во-первых я вчера вспоминал первый раз когда я попал на PHDays в 2018 году и как я выбивал себе билет на работе 😀 было не просто, но тогда - это была моя маленькая победа ✊ И оказавшись на конференции, помню что сказал себе "когда-ни будь и я доберусь до спикерства и обязательно схожу на PHDays"
Ну вот получается этот день настал, и я закрыл свою маленькую персональную галочку 🫡 Теперь есть приятное послевкусие, много впечатлений и новые мини-цели на этот год 🤓
Хочется сказать спасибо:
Во-первых нашей железной и мотивирующий команде DevRel. Ребят вы и правда очень помогаете и мотивируете, без вас было бы сильно тяжко, Лена 🫶
Во-вторых, своей команде. Ребят, вы лучшие ❤️ Без вас весь этот путь был бы не таким, и этот опыт и результат - совместная командная работа. Как я и сказал в докладе "SOC- это в первую очередь люди, потом все остальное" люблю вас, спасибо что вы есть 🥰
В-третьих организаторам PHD, даже страшно представить сколько сил, времени и денех нужно на все это. Спасибо за ваш труд, спасибо что даете площадку и развиваете комьюнити. 🤝
В-четвертых всем знакомым, друзьям и коллегам, кто пришел, кто поддерживал и помогал. Знаете очень приятно смотреть в зал и видеть знакомые лица - это драйвит 🥹
Теперь можно чуть выдохнуть, вернуться в работу после отпуска и готовиться к следующим конфам 🧑💻
Преза: в следующем сообщении будет 🙂
Что хочется сказать, ну во-первых я вчера вспоминал первый раз когда я попал на PHDays в 2018 году и как я выбивал себе билет на работе 😀 было не просто, но тогда - это была моя маленькая победа ✊ И оказавшись на конференции, помню что сказал себе "когда-ни будь и я доберусь до спикерства и обязательно схожу на PHDays"
Ну вот получается этот день настал, и я закрыл свою маленькую персональную галочку 🫡 Теперь есть приятное послевкусие, много впечатлений и новые мини-цели на этот год 🤓
Хочется сказать спасибо:
Во-первых нашей железной и мотивирующий команде DevRel. Ребят вы и правда очень помогаете и мотивируете, без вас было бы сильно тяжко, Лена 🫶
Во-вторых, своей команде. Ребят, вы лучшие ❤️ Без вас весь этот путь был бы не таким, и этот опыт и результат - совместная командная работа. Как я и сказал в докладе "SOC- это в первую очередь люди, потом все остальное" люблю вас, спасибо что вы есть 🥰
В-третьих организаторам PHD, даже страшно представить сколько сил, времени и денех нужно на все это. Спасибо за ваш труд, спасибо что даете площадку и развиваете комьюнити. 🤝
В-четвертых всем знакомым, друзьям и коллегам, кто пришел, кто поддерживал и помогал. Знаете очень приятно смотреть в зал и видеть знакомые лица - это драйвит 🥹
Теперь можно чуть выдохнуть, вернуться в работу после отпуска и готовиться к следующим конфам 🧑💻
Преза: в следующем сообщении будет 🙂
🔥10👍7❤2
🚗💥 Представьте: вы мчитесь на машине, а спидометр и все датчики вдруг сдохли — вы летите вслепую, не понимая, разгоняетесь ли до 200 км/ч или еле ползёте. Так же и SOC без метрик — работаешь «на ощупь», пропускаешь опасные «газ в пол» моменты и жжёшь ресурсы впустую. 😅
1️⃣ Зачем метрики в SOC? 🤔
Без метрик ваш SOC — «попытка потушить пожар глазами». Они дают:
📈 Объективную картину скорости и качества реагирования.
💼 Аргументы перед руководством по бюджету и приоритетам.
🗺 Чёткий план улучшений и мотивацию для команды.
С чего начать, если KPI ещё нет?
• Выделите 2–3 ключевых сценария (фишинг, Ransomware).
• Соберите базу: 10–20 прошлых инцидентов, вручную замерьте MTTD/MTTR.
• Сверстайте «микро-дашборд» в Google Sheets — и уже есть точка отсчёта!
2️⃣ Основные KPI и целевые значения
3️⃣ Где и как собирать данные для KPI 📊
Методики расчёта:
– MTTD: Splunk: What Is MTTD?
– MTTR: Splunk: What’s MTTR?
– FPR/TPR: Red Canary: Cybersecurity metrics that matter
– Бизнес-KPI: Radiant Security: SOC Metrics & KPIs
Инструменты & пайплайн:
SIEM (Splunk, Elastic) — собирает логи и тревоги.
SOAR (Cortex, Shuffle) — автоматизирует triage, замеряет MTTD/MTTR.
Grafana/Kibana — живые дашборды для мониторинга.
Режим отчётов:
🔄 Ежедневный «статус-лайт» с ключевыми цифрами
📋 Еженедельный deep-dive: анализ трендов и аномалий
4️⃣ Как прокачать KPI ⚡️
MTTD ↓:
• Авто-triage и SOAR-плейбуки.
• TI-фиды (MISP, ThreatQuotient).
MTTR ↓:
• Авто-создание тикетов из SOAR.
• Оптимизация playbook под бизнес-контекст.
• Пост-инцидентный RCA и обновление SOP.
FPR ↓:
• Тюнинг правил по результатам RCA.
• Песочница (Cuckoo, Any.Run)
Automation Rate ↑:
• Роботизация рутинных задач.
• Интеграция SOAR ↔️ тикеты по KPI.
Бизнес-KPI ↑:
– CPI ↓ через консолидацию и аутсорсинг мелких задач
– Escalation & Closure ↑ при чётких SLA и ролях
5️⃣ Итоги & Челлендж 🎯
SOC без KPI — как кофе без кофеина: бодрит, но не то! ☕️😅
#SOC #KPI #CyberSec #MTTD #MTTR #SOCmetrics #AutomationRate
1️⃣ Зачем метрики в SOC? 🤔
Без метрик ваш SOC — «попытка потушить пожар глазами». Они дают:
📈 Объективную картину скорости и качества реагирования.
💼 Аргументы перед руководством по бюджету и приоритетам.
🗺 Чёткий план улучшений и мотивацию для команды.
С чего начать, если KPI ещё нет?
• Выделите 2–3 ключевых сценария (фишинг, Ransomware).
• Соберите базу: 10–20 прошлых инцидентов, вручную замерьте MTTD/MTTR.
• Сверстайте «микро-дашборд» в Google Sheets — и уже есть точка отсчёта!
2️⃣ Основные KPI и целевые значения
| KPI | Что измеряет | Целевое значение
+--------------------------+-----------------------------------------------+-----------------------------+
| MTTD|Среднее время до обнаружения угрозы| ≤ 30 мин
+--------------------------+-----------------------------------------------+-----------------------------+
| MTTR| Среднее время до полного закрытия инцидента| ≤ 30 мин
+--------------------------+-----------------------------------------------+-----------------------------+
| False Positive Rate|% ложных але-в от общего числа |< 5 %
+--------------------------+-----------------------------------------------+-----------------------------+
| True Positive Rate|Доля реально подтверждённых инцидентов| ≥ 90 %
+--------------------------+-----------------------------------------------+-----------------------------+
| Automation Rate*|% инц-в, обрабатываемых автоматически| ≥ 50 %
+--------------------------+-----------------------------------------------+-----------------------------+
| Cost per Incident|Средние затраты на расследование|Снижение через автоматику|
+--------------------------+-----------------------------------------------+-----------------------------+
| Escalation Rate|% инцидентов, потребовавших эскалации|≤20 %
+--------------------------+-----------------------------------------------+-----------------------------+
| Incident Closure Rate|% инцидентов,закрытых без «зависаний»|≥ 95 %
+--------------------------+-----------------------------------------------+-----------------------------+
| Coverage**| % критических лог-точек (endpoint, сеть…)| ≥ 90 %
+--------------------------+-----------------------------------------------+-----------------------------+
* Automation Rate – доля автоматизированных кейсов
** Endpoint ≥ 95 % / Сеть ≥ 90 % / Облако ≥ 85 % / Приложения ≥ 80 %
3️⃣ Где и как собирать данные для KPI 📊
Методики расчёта:
– MTTD: Splunk: What Is MTTD?
– MTTR: Splunk: What’s MTTR?
– FPR/TPR: Red Canary: Cybersecurity metrics that matter
– Бизнес-KPI: Radiant Security: SOC Metrics & KPIs
Инструменты & пайплайн:
SIEM (Splunk, Elastic) — собирает логи и тревоги.
SOAR (Cortex, Shuffle) — автоматизирует triage, замеряет MTTD/MTTR.
Grafana/Kibana — живые дашборды для мониторинга.
Режим отчётов:
🔄 Ежедневный «статус-лайт» с ключевыми цифрами
📋 Еженедельный deep-dive: анализ трендов и аномалий
4️⃣ Как прокачать KPI ⚡️
MTTD ↓:
• Авто-triage и SOAR-плейбуки.
• TI-фиды (MISP, ThreatQuotient).
MTTR ↓:
• Авто-создание тикетов из SOAR.
• Оптимизация playbook под бизнес-контекст.
• Пост-инцидентный RCA и обновление SOP.
FPR ↓:
• Тюнинг правил по результатам RCA.
• Песочница (Cuckoo, Any.Run)
Automation Rate ↑:
• Роботизация рутинных задач.
• Интеграция SOAR ↔️ тикеты по KPI.
Бизнес-KPI ↑:
– CPI ↓ через консолидацию и аутсорсинг мелких задач
– Escalation & Closure ↑ при чётких SLA и ролях
5️⃣ Итоги & Челлендж 🎯
SOC без KPI — как кофе без кофеина: бодрит, но не то! ☕️😅
#SOC #KPI #CyberSec #MTTD #MTTR #SOCmetrics #AutomationRate
👍8❤2
🔥 У блога теперь есть YouTube-канал! 🔥
Теперь не только текстом, но и вживую рассказываю про SOC, киберинциденты и приоритезацию.
Что вас ждёт?
🟢 Доклады с конференций и практические разборы
🟢 Кейсы из реальной жизни SOC-команды
🟢 Короткие видео с советами, лайфхаками и чуть-чуть личного опыта
🟢 Ответы на вопросы из комментариев (даже если они про “какой SIEM поставить”)
Формат тот же:
— по делу,
— без воды,
— с примерами и полезняком,
— иногда с лёгкой иронией (куда без этого).
Зачем подписываться?
— Чтобы не теряться в потоке инфошума
— Получать практику и свежий взгляд на задачи безопасности
— Просто быть в курсе, что происходит в мире SOC и рядом с ним
Ссылка на канал — https://www.youtube.com/@na_soc
Присоединяйтесь, вопросы приветствуются! 🫶🤞
#SOC #кибербезопасность #инциденты #приоритизация #инфобез #мониторинг #реагирование #лайфхаки #SOCизнутри
Теперь не только текстом, но и вживую рассказываю про SOC, киберинциденты и приоритезацию.
Что вас ждёт?
🟢 Доклады с конференций и практические разборы
🟢 Кейсы из реальной жизни SOC-команды
🟢 Короткие видео с советами, лайфхаками и чуть-чуть личного опыта
🟢 Ответы на вопросы из комментариев (даже если они про “какой SIEM поставить”)
Формат тот же:
— по делу,
— без воды,
— с примерами и полезняком,
— иногда с лёгкой иронией (куда без этого).
Зачем подписываться?
— Чтобы не теряться в потоке инфошума
— Получать практику и свежий взгляд на задачи безопасности
— Просто быть в курсе, что происходит в мире SOC и рядом с ним
Ссылка на канал — https://www.youtube.com/@na_soc
Присоединяйтесь, вопросы приветствуются! 🫶🤞
#SOC #кибербезопасность #инциденты #приоритизация #инфобез #мониторинг #реагирование #лайфхаки #SOCизнутри
👍7🔥3🥱1🫡1
GSocket: незаметный туннель в корпоративном лесу 🔍🌐
GSocket — сетевой “невидимка”, ставший одним из самых неприятных инструментов для blue team за последние годы.
Когда видишь его в инфраструктуре, это почти всегда признак: атакующий не просто заглянул — он собирается остаться подольше.
Что же это за зверь и почему о нём говорят во всех DFIR-отчётах?
🧑💻 Кто придумал?
Автор — Markus Kaiser (“Van Hauser”), лидер немецкой команды THC (The Hacker’s Choice), известной такими инструментами, как THC-Hydra.
🗓 Когда появился?
Проекту уже 10 лет: первые релизы — 2014–2015 год, массово замечен в атаках — с 2016 года.
GitHub проекта
💼 Как работает?
GSocket — кроссплатформенный инструмент для организации защищённого туннеля между жертвой и оператором через брокер, работающий где угодно: облако, TOR, VPS.
Жертва сама инициирует outbound-соединение, а трафик полностью шифруется и мимикрирует под HTTPS.
😳Бинарник — один, запуск без инсталляции, никаких открытых портов.
😳 Интеграция с TOR, поддержка всех ОС.
😳 Возможность запускать shell или проксировать любые порты.
😳 Почти не оставляет следов после удаления.
🛡 Почему это опасно для компаний?
🌍 Громкие атаки с использованием gsocket и его аналогов:
2017, Финансовый сектор Скандинавии:
Атакующие получили доступ к бухгалтерским серверам через фишинговую рассылку. Трафик на эксфильтрацию документов ушёл через gsocket на порт 443 — детектировали только по аномалиям в поведении сетевых сессий.
👉 FireEye — Banking Attacks Case Study
2021, крупная телеком-компания в Европе:
После компрометации внутренней облачной VM, злоумышленники подняли обратный shell через gsocket и смогли организовать дальнейшее lateral movement — incident-response команда нашла туннель только по ручной разборке JA3-фингерпринтов.
👉 Mandiant — JA3 Fingerprint Analysis
2022, логистический холдинг:
Использовался форк gsocket для скрытого RDP через прокси на TOR — расследование выявило туннель спустя неделю по анализу outbound-трафика.
👉 DFIR Report — RDP Tunneling with GSocket
Abusing tunneling tools in modern attacks:
Обзор современных техник, когда туннелирование строится через легальные сервисы, а не только через gsocket:
👉 WithSecure — Sliver C2 + Slack
👉 TrendMicro — Discord C2 abuse
🔗 Почему этим пользуются злоумышленники и pentester’ы:
🤔 Мораль для SOC:
Если в инфраструктуре что-то внезапно вышло наружу через “обычный” HTTPS-трафик — это не обязательно Teams или Zoom. Мониторьте процессы, изучайте outbound-сессии, держите список подозрительных брокеров.
Если интересны техники детекта и конкретные рекомендации для blue team — см. следующий пост!
Я вообще хочу поподробнее раскрыть эту тему, это интересно и полезно, так что писанины тут будет много, готовьтесь, буду закидывать это порционно, чтобы🧠 не лопнул)
#NASOC #GSocket #SOC #ThreatHunting #BlueTeam #CyberSecurity #Tunneling #DFIR
GSocket — сетевой “невидимка”, ставший одним из самых неприятных инструментов для blue team за последние годы.
Когда видишь его в инфраструктуре, это почти всегда признак: атакующий не просто заглянул — он собирается остаться подольше.
Что же это за зверь и почему о нём говорят во всех DFIR-отчётах?
🧑💻 Кто придумал?
Автор — Markus Kaiser (“Van Hauser”), лидер немецкой команды THC (The Hacker’s Choice), известной такими инструментами, как THC-Hydra.
🗓 Когда появился?
Проекту уже 10 лет: первые релизы — 2014–2015 год, массово замечен в атаках — с 2016 года.
GitHub проекта
💼 Как работает?
GSocket — кроссплатформенный инструмент для организации защищённого туннеля между жертвой и оператором через брокер, работающий где угодно: облако, TOR, VPS.
Жертва сама инициирует outbound-соединение, а трафик полностью шифруется и мимикрирует под HTTPS.
😳Бинарник — один, запуск без инсталляции, никаких открытых портов.
🛡 Почему это опасно для компаний?
❗️ Трафик выглядит как обычный HTTPS, а firewall (особенно если outbound открыт) не замечает ничего необычного.⁉️ Процесс gsocket может называться как угодно, прожить 10 минут и исчезнуть — если не поймать в момент работы, расследовать потом почти нечего.
🌍 Громкие атаки с использованием gsocket и его аналогов:
2017, Финансовый сектор Скандинавии:
Атакующие получили доступ к бухгалтерским серверам через фишинговую рассылку. Трафик на эксфильтрацию документов ушёл через gsocket на порт 443 — детектировали только по аномалиям в поведении сетевых сессий.
👉 FireEye — Banking Attacks Case Study
2021, крупная телеком-компания в Европе:
После компрометации внутренней облачной VM, злоумышленники подняли обратный shell через gsocket и смогли организовать дальнейшее lateral movement — incident-response команда нашла туннель только по ручной разборке JA3-фингерпринтов.
👉 Mandiant — JA3 Fingerprint Analysis
2022, логистический холдинг:
Использовался форк gsocket для скрытого RDP через прокси на TOR — расследование выявило туннель спустя неделю по анализу outbound-трафика.
👉 DFIR Report — RDP Tunneling with GSocket
Abusing tunneling tools in modern attacks:
Обзор современных техник, когда туннелирование строится через легальные сервисы, а не только через gsocket:
👉 WithSecure — Sliver C2 + Slack
👉 TrendMicro — Discord C2 abuse
🔗 Почему этим пользуются злоумышленники и pentester’ы:
✔️ Удобно. Не надо возиться с настройкой портов.✔️ Шифрование “из коробки”.✔️ Легко маскируется под любой сетевой сервис.✔️ Быстро и просто удалить следы после завершения операции.
🤔 Мораль для SOC:
Если в инфраструктуре что-то внезапно вышло наружу через “обычный” HTTPS-трафик — это не обязательно Teams или Zoom. Мониторьте процессы, изучайте outbound-сессии, держите список подозрительных брокеров.
Если интересны техники детекта и конкретные рекомендации для blue team — см. следующий пост!
Я вообще хочу поподробнее раскрыть эту тему, это интересно и полезно, так что писанины тут будет много, готовьтесь, буду закидывать это порционно, чтобы
#NASOC #GSocket #SOC #ThreatHunting #BlueTeam #CyberSecurity #Tunneling #DFIR
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5👀1
GSocket: как его ловить и почему он вызывает боль у SOC 🛡
GSocket —
Почему gsocket становится вызовом для SOC и blue team?
🏃♂️ Все соединения идут наружу.
Даже если инфраструктура замкнута, внутренний сервер сам выходит наружу к брокеру — никакие “открытые порты” не нужны.
🕵️♂️ Шифрование и маскировка под HTTPS.
Бинарник не требует установки, запускается с любыми параметрами, трафик сливается с легитимным TLS-потоком.
🧳 Лёгкая интеграция с TOR и VPS.
Многие атаки используют внешние прокси, чтобы запутать расследование.
🔎 Может быть переименован или маскирован под безобидный процесс.
На хосте выглядит как любой “калькулятор”, “update.exe” и т.д.
💡 В отличие от chisel или ngrok, gsocket маскирует не только сам канал, но и способ запуска — это усложняет расследование. Стандартные tunneling-инструменты чаще выдают себя конфигами или специфическими путями, а gsocket легко “растворяется” в общем шуме инфраструктуры.
🔄 Реальные сценарии применения:
1️⃣ Быстрый вывод данных после фишинга:
Сервер в бухгалтерии — эксфильтрация архивов через туннель, трафик — как обычный web.
2️⃣ Pentest в облаке:
Получение shell на изолированной VM через разовый запуск gsocket, после чего туннель уничтожается.
3️⃣ Обход сегментации:
Поднятие прокси между DMZ и внутренним сегментом, анализировать потом такой туннель можно только через поведенческие аномалии.
⚡️ Почему большинство стандартных SIEM-правил его не видит?
❌ Нет сигнатур — нет срабатываний. Процесс может называться как угодно, путь до бинарника — любой.
❌ Трафик на 443 порт — легитимный для почти любой инфраструктуры.
❌ Процесс живёт мало, удаляется без следов.
🛡 Что реально может помочь?
📝 Практика для SOC:
В следующем посте — примеры конкретных правил для hunt, работающие техники и небольшой SOC-чеклист.
#NASOC #GSocket #SOC #ThreatHunting #BlueTeam #CyberSecurity #Tunneling #DFIR
GSocket —
это не просто “туннельщик” среди прочих. Это инструмент, который выбрали и pentester’ы, и реальные злоумышленники. Почему? Потому что он прост, универсален и скрытен настолько, насколько позволяет современная инфраструктура.
Почему gsocket становится вызовом для SOC и blue team?
🏃♂️ Все соединения идут наружу.
Даже если инфраструктура замкнута, внутренний сервер сам выходит наружу к брокеру — никакие “открытые порты” не нужны.
🕵️♂️ Шифрование и маскировка под HTTPS.
Бинарник не требует установки, запускается с любыми параметрами, трафик сливается с легитимным TLS-потоком.
🧳 Лёгкая интеграция с TOR и VPS.
Многие атаки используют внешние прокси, чтобы запутать расследование.
🔎 Может быть переименован или маскирован под безобидный процесс.
На хосте выглядит как любой “калькулятор”, “update.exe” и т.д.
💡 В отличие от chisel или ngrok, gsocket маскирует не только сам канал, но и способ запуска — это усложняет расследование. Стандартные tunneling-инструменты чаще выдают себя конфигами или специфическими путями, а gsocket легко “растворяется” в общем шуме инфраструктуры.
🔄 Реальные сценарии применения:
Сервер в бухгалтерии — эксфильтрация архивов через туннель, трафик — как обычный web.
Получение shell на изолированной VM через разовый запуск gsocket, после чего туннель уничтожается.
Поднятие прокси между DMZ и внутренним сегментом, анализировать потом такой туннель можно только через поведенческие аномалии.
⚡️ Почему большинство стандартных SIEM-правил его не видит?
🛡 Что реально может помочь?
*️⃣Анализ командных строк процессов:
--broker, --secret, --exec — если встречается, это “красный флаг”.
*️⃣Контроль outbound TLS-сессий:
Длинные, нетипичные по объёму/длительности сессии, особенно на неизвестные домены/IP.
*️⃣Сбор и анализ JA3-фингерпринтов:
Если TLS handshake не похож ни на что, что используют браузеры и приложения в компании, стоит копать глубже.
*️⃣Слежение за новыми бинарниками в temp-папках и подозрительных местах.
📝 Практика для SOC:
Включите регулярные отчёты о длительных outbound-сессиях на 443 порт.
Реализуйте правила на обнаружение процессов с подозрительными аргументами.
Обновляйте списки брокеров, доменов, хэшей бинарников по threat feeds.
Используйте YARA для поиска уникальных строк в бинарниках или памяти.
В следующем посте — примеры конкретных правил для hunt, работающие техники и небольшой SOC-чеклист.
#NASOC #GSocket #SOC #ThreatHunting #BlueTeam #CyberSecurity #Tunneling #DFIR
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤1
Audio
Разбавим тему с GSocket, но по нему будет еще финальный пост 😁
Попалась мне тут залипательная штука, под названием https://www.riffusion.com, которая позволяет генерировать по промту музыку. Да не просто музыку а целое связное произведение 🤭
Значит не долго думая, шутки ради да забавы для, я накидал просто цепочку определений:
и вот что она сгенерировала, ну шедевры, особенно текст. 🪩
Пример текста 🤭
Попалась мне тут залипательная штука, под названием https://www.riffusion.com, которая позволяет генерировать по промту музыку. Да не просто музыку а целое связное произведение 🤭
Значит не долго думая, шутки ради да забавы для, я накидал просто цепочку определений:
SOC, Hacker, exploit, cybersecurity, ransomware, cyber attack, OSINT, malware, virus, triage
и вот что она сгенерировала, ну шедевры, особенно текст. 🪩
Пример текста 🤭
[Verse 1]
You think your walls are safe
But I'm already inside
I know your secrets now
There's nowhere left to hide
[Chorus]
I'm gonna break in, break in
To everything you are
Break in, break in
You can't run that far
Break in, break in
I see what you've done
Break in, break in
This fight's already won
[Verse 2]
You built this fortress high
Thought no one could get through
But every lock has flaws
And I found all of you
[Chorus]
I'm gonna break in, break in
To everything you are
Break in, break in
You can't run that far
Break in, break in
I see what you've done
Break in, break in
This fight's already won
[Bridge]
Remember when we trusted
Before you turned away
Now I'm the one hunting
And you're the one who pays
[Final Chorus]
I'm gonna break in, break in
To everything you are
Break in, break in
You can't run that far
Break in, break in
I see what you've done
Break in, break in
This fight's already won
Break in, break in
Break in, break in
👍2❤1
Audio
Вторая
Кажется skynet все ближе 🙈
Prompt
SOC, Hacker, exploit, cybersecurity, ransomware, cyber attack, OSINT, malware, virus, triage
Sound
Techno, dark industrial beats, minimal vocals
Model
FUZZ-1.1 Pro
Lyrics
[Verse]
Do you feel me in your system?
Running through your firewall
I'm the ghost inside your data
Do you hear me when I call?
[Pre-chorus]
You built these walls so high
But I found a way inside
Can you stop what you started?
Can you stop what you started?
[Chorus]
Are you scared now?
Are you scared now?
When your defenses fall
Are you scared now?
Are you scared now?
I'm beyond your protocol
[Verse]
Every password that you trusted
Every lock you thought was strong
I'm the breach in your foundation
I've been here all along
[Pre-chorus]
You built these walls so high
But I found a way inside
Can you stop what you started?
Can you stop what you started?
[Chorus]
Are you scared now?
Are you scared now?
When your defenses fall
Are you scared now?
Are you scared now?
I'm beyond your protocol
[Breakdown]
System failure
System failure
Everything you know is wrong
System failure
System failure
I was right here all along
[Bridge]
You thought you were protected
You thought you were secure
But I'm the virus in your bloodstream
And there is no cure
[Chorus]
Are you scared now?
Are you scared now?
When your defenses fall
Are you scared now?
Are you scared now?
I'm beyond your protocol
[Outro]
Do you feel me?
Do you feel me?
In your system now
Кажется skynet все ближе 🙈
👍2😁2
GSocket: практические методы обнаружения и hunt для SOC 🔎🛡
Давайте подытожим темку с GSocket, его трудно поймать “в лоб” — его задача как раз в том, чтобы затеряться в легитимном трафике. Но есть способы существенно повысить шансы на его обнаружение, если включить гибридный подход: мониторинг процессов, сетевого поведения и работу с индикаторами компрометации.
🖥 1. Контроль процессов и командных строк
Пример правила для Elastic SIEM:
🌐 2. Анализ outbound-трафика и TLS-сессий
Пример правила для ELK:
🧩 3. YARA и IOC
🛠 4. Threat hunting: поведенческий анализ
п.с. это для крутышек с высоким уровнем зрелости, это и правда все сложно, но в целом умные люди которые собаку🐶 на хантах съели советуют идти в эту сторону.
🚨 5. Реакция: что делать при срабатывании?
*️⃣ Автоматически изолировать рабочую станцию или сервер.
*️⃣ Снять дамп подозрительного процесса и бинарника.
*️⃣ Заблокировать IP брокера/домен на периметре.
*️⃣ Оповестить SOC для ручного triage и расследования.
*️⃣ Проверить lateral movement: не было ли попыток двигаться дальше по сети через туннель.
GSocket всё ещё сложен для детекта, но грамотная аналитика плюс автоматизация — и ваша инфраструктура становится намного менее “комфортной” для таких инструментов.
Полезные ресурсы:
GSocket GitHub
Митре ATT&CK T1572
Public JA3 database
YARA-правила по tunneling tools
#NASOC #GSocket #SOC #ThreatHunting #BlueTeam #CyberSecurity #Tunneling #DFIR
Давайте подытожим темку с GSocket, его трудно поймать “в лоб” — его задача как раз в том, чтобы затеряться в легитимном трафике. Но есть способы существенно повысить шансы на его обнаружение, если включить гибридный подход: мониторинг процессов, сетевого поведения и работу с индикаторами компрометации.
🖥 1. Контроль процессов и командных строк
✔️ Мониторьте процессы, запущенные с ключами --broker, --secret, --exec, --listen — даже если сам бинарник называется иначе.✔️ Особое внимание — процессам из временных папок (C:\Users\<user>\AppData\Local\Temp, /tmp/, и т.д.).✔️ Логируйте команды запуска, чтобы собирать артефакты для дальнейшей triage.
Пример правила для Elastic SIEM:
{
"query": {
"bool": {
"should": [
{"wildcard": {"process.command_line": "*--broker*"}},
{"wildcard": {"process.command_line": "*--secret*"}},
{"wildcard": {"process.command_line": "*gsocket*"}},
{"wildcard": {"process.command_line": "*gs-netcat*"}}
]
}
}
}
🌐 2. Анализ outbound-трафика и TLS-сессий
✔️ Настройте алерты на длительные исходящие TLS-сессии к редким или нехарактерным внешним адресам.✔️ Мониторьте крупные или нестандартные объёмы данных на порт 443, особенно к доменам и IP, которых нет в “белом списке”.✔️ Используйте сбор и сравнение JA3/JA3s-отпечатков — если fingerprint TLS не совпадает с обычными браузерами и корпоративными приложениями, это уже зацепка.
Пример правила для ELK:
{
"query": {
"bool": {
"must": [
{"match": {"network.transport": "tcp"}},
{"match": {"destination.port": 443}},
{"range": {"network.bytes": {"gte": 1000000}}}
],
"must_not": [
{"terms": {"destination.domain": ["корпоративные_домен1", "корпоративные_домен2"]}}
]
}
}
}
🧩 3. YARA и IOC
‼️ Добавьте YARA-правила для поиска строк: gsocket, gs-netcat, Welcome to GSocket, --broker, --secret — как в файлах, так и в памяти процессов.‼️ Подписывайтесь на свежие threat feeds с IOC: брокеры, IP-адреса, хэши бинарников (регулярно обновляются на GitHub и в TI-платформах).‼️ Храните и обновляйте список известных JA3, подозрительных для вашей инфраструктуры.
🛠 4. Threat hunting: поведенческий анализ
🤘 Сравнивайте паттерны сессий по времени, длительности, объёму и регулярности.🤘 Используйте корреляцию между аномальным запуском процесса и всплесками outbound-трафика.🤘 Внедрите визуализацию сетевой карты соединений — часто именно на ней выявляется “лишний” туннель.
п.с. это для крутышек с высоким уровнем зрелости, это и правда все сложно, но в целом умные люди которые собаку
🚨 5. Реакция: что делать при срабатывании?
GSocket всё ещё сложен для детекта, но грамотная аналитика плюс автоматизация — и ваша инфраструктура становится намного менее “комфортной” для таких инструментов.
Полезные ресурсы:
GSocket GitHub
Митре ATT&CK T1572
Public JA3 database
YARA-правила по tunneling tools
#NASOC #GSocket #SOC #ThreatHunting #BlueTeam #CyberSecurity #Tunneling #DFIR
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - hackerschoice/gsocket: Connect like there is no firewall. Securely.
Connect like there is no firewall. Securely. Contribute to hackerschoice/gsocket development by creating an account on GitHub.
👍5🔥3