Inoreader
__________________________
What: #rss_news
Where: #app
Who: Innologica
When: 09/08/2013
How: .opml файл
__________________________

Друзья, здравствуйте! 🙋‍♂️

Когда-то писал про агрегатор новостей Feedly (вот тут). Пользовался долгое время до тех пор пока не появилась потребность искать контекст по уже прочитанным новостям. Feedly удаляет ссылку после прочтения, а чтобы он всё сохранял себе нужно тратить деньги и покупать подписку.💰

Выход я нашёл. 🕺 Поставил себе платформу OpenCTI. Выяснил, что в триальном акке есть доступ к API и можно сохранять все новости и индикаторы в БД OpenCTI. Подробнее рассказывал тут). Пользовался долгое время до тех пор пока в Feedly не убрали возможность пользоваться API в триальном аккаунте и теперь нужно тратить деньги и покупать подписку. 💰

Выход я нашёл. 🕺 Полез смотреть какие есть удобные агрегаторы с мобильным приложением. Выбор пал на Inoreader. Основатель решил сделать сервис после того, как Google закрыл свой проект Google Reader (2005-2013). Одиннадцатилетний (на текущий момент) проект имеет достаточно большую аудиторию, удобный интерфейс и, самое главное, никуда не удаляются прочитанные новости. Можно искать по ключевым словам весь интересующий контекст. ✔️ А в мобильном приложении можно сделать фильтр от старых новостей к новым или наоборот.

Собрал для удобства свежий файлик .opml.

Приятного чтения!

Со средой 🍸

Haveibeensquatted
__________________________
What: #discovery_tool
Where: #site
Who: Juxhin Dyrmishi Brigjaj & Ian Muscat
When: ../02/2022
How: via web
__________________________

Друзья, здравствуйте! 🙋‍♂️

В феврале 2022 года двум энтузиастам приходит в голову мысль создать проект Have I Been Squatted, дабы помочь бизнесу детектировать атаки типа typosquatting и чётче видеть картинку по регистрируемым доменам. Я, кстати, когда-то писал про утилитку OpenSquat (вот тут) и даже сделал концепт мобильного приложения. Тема-то актуальная. Дополнительно поискал по своим чатам/каналам никто про этот проект не упоминал, кроме короткой заметки на Blue Team Alerts, так что опишу здесь в паре строк.

Проект в своей бесплатной версии представляет из себя работу двух утилит:
1️⃣[Analyze] по анализу самого сайта
2️⃣[Lookup] по поиску уже зарегистрированных доменов, которые хоть сколько нибудь похожи на ваш. Результат можно выгрузить в .csv или .json, что удобно. Авторы обещают, что это бесплатно и для всех, так что спокойно можно пользоваться. Но ещё есть третья утилита, доступная после регистрации:
3️⃣[Discover], которая позволит вам получить вообще все возможные комбинации потенциально зарегистрированных доменов. Опять же можно выгрузить результат в .csv или .json и превентивно блокнуть.

В февральском обновлении 2025 года, авторы добавили панель, назвав её Domain Monitoring. Скриншоты будут ниже, выглядит неплохо. Не увидел, правда, где обещанный Takedown, возможно эта функциональность появится, когда будет сгенерирован Alert на найденный домен. 🆘 Зато можно создавать правила мониторинга по своему усмотрению, натравливая на один или несколько параметров, хоть на записи DNS хоть на расстояние Левенштейна. 🤓

За $130 в год выглядит довольно таки неплохо и как в плане UI так и в UX. Как минимум рекомендую триалку затестить. Я поставил на мониторинг 1 домен, вернусь через две недели с результатами.

Успешного мониторинга! 👀

Всем хороших выходных и берегите себя 👌

Actors Naming
__________________________
What: #excel
Where: #site
Who: Microsoft and Crowdstrike
When: 02/06/2025
How: just read
__________________________

Друзья, здравствуйте! 🙋‍♂️

На сегодня был запланирован другой пост, но он никуда не денется, прост переедет на субботу) 🤓

Тут вот в понедельник Microsoft вместе с Crowdstrike изобрели велосипед, в очередной раз посетовав на то, что в мире нет единой классификации акторов с алиасами, решили сделать коллабу и намапили отслеживаемых друг другом акторов между собой.
Сказать, что произошёл срыв покровов? Ну, вроде нет. Поискал тут в других платформах информацию, где-то уже присутствует информация об этих алиасах.
А может революционное что-то? 👊 Ну, в некотором роде. Коллабу можно действительно расценить как первый (реальный ⚠️) шаг к тому, чтобы объединить усилия вендоров в плане расширения да просто обозначения области видимости различных акторов на поле кибербитвы.

Об этом уже 100500 раз говорено-переговорено, но вот в понедельник случился первый кейс с результатами. Кстати, 100501-ый раз был на PHD'25 на треке Defense.

Crowdstrike сами комментируют:

"Vendors and researchers often see different parts of the same puzzle — or entirely different puzzles — due to differences in telemetry."

и

"CrowdStrike and Microsoft are proud to take the first step, but we know this must be a community-led initiative to succeed."

Ну т.е."КОМЬЮНИТИ, ДАВАЙ ДАВААЙ! УРААА! ДАВВВАААЙ! АВАВАААВВ..!"

Эксельку с результатами коллабы приложил.

З.Ы.: пока искал алиасы, отметил, что зарубежные коллеги тоже почитывают наши исследования (Angry Likho, Awaken Likho), вот только со страной определиться пока что данных не хватает 🤔

1️⃣ Профиль группировки из неизвестной страны раз
2️⃣ Профиль группировки из неизвестной страны два

Только не запутайтесь во всех этих именованиях 🤪

Со средой 🍸

IP2Location
__________________________
What: #service
Where: #site
Who: Hexasoft Development Sdn. Bhd.
When: ../../2002
How: via web
__________________________

Друзья, здравствуйте! 🙋‍♂️

Наткнулся на Reddit вот на такой запрос. Если вдруг у вас тоже есть потребность в классификации source IP-адресов, полученных из журналов вашего VPN шлюза, то этот пост для вас. Попробуем находить всех тех, кто подключается к инфраструктуре с IP, принадлежащих VPN-сервисам и облачным провайдерам. 🧐

Для начала нам нужно зарегистрироваться на IP2Location. Сервис функционирует с 2002 года и предоставляет базы данных с актуальным контекстом по IP-адресам. Помимо страны и хостинг провайдера, может классифицировать подсетки как принадлежащие ботнетам, спам-кампаниям и другим категориям. Владельцы сервиса предупреждают: "Please get the commercial edition if you are looking for high data accuracy, more records & customer support.". Так что учитывайте в аналитике. ✍️

После скачивания нужной БД (я взял самую полную PX12), скриптом отфильтровал .csv файл по ключевым словам VPN и Cloud. С этим разобрались, едем дальше.
Есть проблема в том, что изначально значения адресов сервис предоставляет в виде числа. Выглядит не очень информативно (первые два значения):

['37242880', '37242880', 'PUB', 'US', 'United States of America', 'Wyoming', 'Cheyenne', 'CloudVPN Inc.', 'nordvpn.com', 'DCH', '396319', 'Oxylabs', '30', '-', 'CloudVPN', '80']

Предлагается использовать официальный конвертер, который приведёт эти значения в нужный вам вид: либо интервал IP адресов, либо СIDR нотация.
Я установил зависимости, скачал ip2location-python-csv-converter, на вход подал получившийся ранее файл с VPN и Cloud провайдерами, на выходе решил конвертировать IP адреса в CIDR-нотацию. С получившимися результатами делюсь.

Для точечных запросов можно использовать API: 50 тысяч 🕺 запросов геолокации IP в месяц на бесплатном аккаунте (в сравнении с AbuseIPDB там 1к в сутки, скриншот с результатами приложу)

Удачного хантинга!

Всем хороших выходных и берегите себя 👌

Haveibeensquatted
__________________________
What: #discovery_tool
Where: #site
Who: Juxhin Dyrmishi Brigjaj & Ian Muscat
When: ../02/2022
How: via web
__________________________

Друзья, здравствуйте! 🙋‍♂️

Как обещал, возвращаюсь с короткой заметкой о результатах двухнедельной аналитики.

Из полезного:
1️⃣ Движок самостоятельно мониторит своими алгоритмами регистрирующиеся домены и присылает раз в сутки статистику.
2️⃣ Помимо этой статистики, можно посмотреть много деталей по этим доменам (на скриншоте просто не влезли все параметры).
3️⃣ Также предоставляется показательный diff с предыдущей выгрузкой, как будто бы отвечая на вопрос: "А как ситуация поменялась со вчерашнего дня?"
4️⃣ Сам diff сравнивается по 11 параметрам, так что если какой-то из них поменяется (TXT Record, NS Record или ещё что-нибудь) визуально это будет подсвечено в ежедневном отчёте.

В рамках пилотных двух недель однозначно рекомендую 👍

Успешного мониторинга!

Всем хороших выходных и берегите себя 👌

Ransomware Chats
__________________________
What: #chat
Where: #site
Who: Valery Marchive
When: 01/06/2023
How: just read
__________________________

Друзья, здравствуйте! 🙋‍♂️

Хотите почитать диалоги рансомварных группировок со своими жертвами? 👨‍💻

Автор уже более двух лет собирает диалоги из рансомварных чатов (можно просто ему на почту прислать) и делится всем этим добром на своём гитхаб. Благодаря нескольким контрибьютерам за всё время удалось собрать коллекцию чатов от 23 акторов. Но т.к. читать с гитхаба не самое удобное занятие в то же время было принято решение создать простенький сайт с "говорящим" доменом и зоной - https://ransomch.at/

Подумал о том, что пост уместен, т.к. три недели назад впервые с момента запуска обновился весь фронт сайта. Получилось свежо и удобно. Скриншот старой версии прикреплю ниже)

Также этими находками пользуются авторы другого портала. Здесь про рансому, акторов и специализированную матрицу ATT&CK. Ещё можно посмотреть на прикреплённые записки шифровальщиков.

Собсно, пример начала диалога:

Hive:
- Hello and welcome to Hive. How may I help you?
Victim:
- yo son of bitches

Со средой 🍸