Снова забросил что-либо постить, но скоро вернусь 🙂
Наткнулся на статейку об истории зарождения Threat intelligence как направления в ИБ и зачем оно нужно в целом.
Для тех кто даже не слышал об этом термине - рекомендую прочесть) Есть что погуглить после.
Обо всем этом, но более скомкано и сумбурно, я рассказывал на Osint Mindset митапе.
❤️ @SOCool
Наткнулся на статейку об истории зарождения Threat intelligence как направления в ИБ и зачем оно нужно в целом.
Для тех кто даже не слышал об этом термине - рекомендую прочесть) Есть что погуглить после.
Обо всем этом, но более скомкано и сумбурно, я рассказывал на Osint Mindset митапе.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8💩1🗿1
Forwarded from QB_channel
CVE и Vulnerability Intelligence
__________________________
__________________________
Привет!
Точно так же как вам не нужно защищаться от абсолютно всех угроз в мире, вам не нужно следить на всеми CVE в мире.
Сделал канал для проверки гипотезы насколько просто будет сделать уведомлялку о выходящих уязвимостях для конкретного набора продуктов вендоров. Количество вендоров (не продуктов!) для понимания масштаба проблемы
По итогу, концепт вроде получился, но ещё есть над чем работать. Например, добавить информацию о патчах. Наблюдения в процессе работы:
1️⃣ Очень много информации поступает, если подписываться на каждый статус CVE из четырёх и "быть в курсе всех обновлений". Звучит утопически.
2️⃣ В статусе
3️⃣ Фильтровать входящий поток можно:
— по списку вендоров и продуктов (редактирую и вношу исключения в список);
— по критичности (у меня выставлен скоринг
— по наличию эксплойта (публикуется вне зависимости от наличия)
— по статусу, присвоенному CVE (публикуется
4️⃣ Видел ситуацию, в которой на NVD эксплойт был опубликован, а на стороннем сайте, который проверяет их наличие для CVE, отсутствовала информация. Согласен, может быть просто не повезло с сайтом.
Ресурсы:
- cve.mitre.org
- cvetrends
- exploit-db
- nvd.nist
- xakep
- cvedetails
- 0day
Exploits:
- tweetfeed
- inthewild.io
- cxsecurity
- darkfeed.io
- attackerkb
- cisa
Хочется ещё отметить данный эфир AM Live с обсуждением непосредственно процесса Vulnerability Management.
Работа над алгоритмом ещё ведётся, буду сердечно благодарен за пожелания и комментарии 🤝
__________________________
What: #channelWhere: #telegramWho: Qwerty Bubble
When: since 04/05/2023
How: @fresh_vuln__________________________
Привет!
Точно так же как вам не нужно защищаться от абсолютно всех угроз в мире, вам не нужно следить на всеми CVE в мире.
Сделал канал для проверки гипотезы насколько просто будет сделать уведомлялку о выходящих уязвимостях для конкретного набора продуктов вендоров. Количество вендоров (не продуктов!) для понимания масштаба проблемы
По итогу, концепт вроде получился, но ещё есть над чем работать. Например, добавить информацию о патчах. Наблюдения в процессе работы:
1️⃣ Очень много информации поступает, если подписываться на каждый статус CVE из четырёх и "быть в курсе всех обновлений". Звучит утопически.
2️⃣ В статусе
Received/Awaiting Analysis мало полезного. Детальней про статусы есть в закрепе у бота. Не забываем, что предоставляемая информация должна генерировать новую информацию. Что может дать конкретный ID CVE без контекста и данных?3️⃣ Фильтровать входящий поток можно:
— по списку вендоров и продуктов (редактирую и вношу исключения в список);
— по критичности (у меня выставлен скоринг
High [7.0-8.9] и Critical [9.0-10.0]);— по наличию эксплойта (публикуется вне зависимости от наличия)
— по статусу, присвоенному CVE (публикуется
Analyzed)4️⃣ Видел ситуацию, в которой на NVD эксплойт был опубликован, а на стороннем сайте, который проверяет их наличие для CVE, отсутствовала информация. Согласен, может быть просто не повезло с сайтом.
Ресурсы:
- cve.mitre.org
- cvetrends
- exploit-db
- nvd.nist
- xakep
- cvedetails
- 0day
Exploits:
- tweetfeed
- inthewild.io
- cxsecurity
- darkfeed.io
- attackerkb
- cisa
Хочется ещё отметить данный эфир AM Live с обсуждением непосредственно процесса Vulnerability Management.
Работа над алгоритмом ещё ведётся, буду сердечно благодарен за пожелания и комментарии 🤝
👍6💩1
Начал замечать большое количество спама со скидками и промокодами для магазинов и маркетплейсов в публичных чатах. Стало любопытно что находится внутри (за одно получить скидку!) и написал. Как видно из переписок, наткнулся на два варианта развития событий:
1) Жертве дают скам ссылку, но прячут ее в текст как гиперлинк, переходя по которой идешь в неправильный магазин.
2) Для тобою присланного товара генерируют уникальную ссылку. Фишинговый контент при таком формате уникален и доступен только для одного пользователя, что, увы, не позволяет заблокировать данный домен у регистратора. Регистратору нужны доказательства вредоносного контента на сайте, но как его доказать, если этого контента нет? Этим фишеры и пользуются.
Эти кампании уже описаны давно в отчетах ESET , F.A.C.C.T и других коллег по цеху, но также активно продолжают распространяться.
Последнее время много изучаю различные фишинговые ресурсы по ряду причин. Скоро сделаю релиз антифишинг проекта, который мы строим с приятелем. Так что stay tuned!
P.S Произошел небольшой ребрендинг. В восторге от нового названия🐼
❤️ @seclemur
1) Жертве дают скам ссылку, но прячут ее в текст как гиперлинк, переходя по которой идешь в неправильный магазин.
2) Для тобою присланного товара генерируют уникальную ссылку. Фишинговый контент при таком формате уникален и доступен только для одного пользователя, что, увы, не позволяет заблокировать данный домен у регистратора. Регистратору нужны доказательства вредоносного контента на сайте, но как его доказать, если этого контента нет? Этим фишеры и пользуются.
Эти кампании уже описаны давно в отчетах ESET , F.A.C.C.T и других коллег по цеху, но также активно продолжают распространяться.
Последнее время много изучаю различные фишинговые ресурсы по ряду причин. Скоро сделаю релиз антифишинг проекта, который мы строим с приятелем. Так что stay tuned!
P.S Произошел небольшой ребрендинг. В восторге от нового названия
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
За последний месяц были зарегистрированы домены с одинаковым паттерном:
Все направлены на китайского пользователя и распространяют десктопную версию Telegram.
При беглом осмотре не увидел ничего мошеннического - тем более рапространяют подписанный Телеграмом файл. Возможно эти сайты таргетируются под конкретный регион/пользователей, как это было в этой кампании. Наблюдаем дальше)
❤️ @seclemur
telegram-zhcn.com
telegramlscn.com
telegramlcn.org
telegramhcn.com
telegramltcn.com
telegramgcn.net
telegramgcn.com
telegramcn123.com
telegramicn.com
telegrampcn.comВсе направлены на китайского пользователя и распространяют десктопную версию Telegram.
При беглом осмотре не увидел ничего мошеннического - тем более рапространяют подписанный Телеграмом файл. Возможно эти сайты таргетируются под конкретный регион/пользователей, как это было в этой кампании. Наблюдаем дальше)
Please open Telegram to view this post
VIEW IN TELEGRAM
Microsoft выкатил в открытый доступ собственную MLку - Copilot.
Бесплатная, с ограничением в количестве 30 запросов за один чат. Самая приятная фишка - можно бесплатно пользоваться функционалом GPT-4.
Для жителей РФ снова все через VPN🥺
Веб-версия - клик
Скачать на iOS – клик
Скачать на Android – клик
❤️ @seclemur
Бесплатная, с ограничением в количестве 30 запросов за один чат. Самая приятная фишка - можно бесплатно пользоваться функционалом GPT-4.
Для жителей РФ снова все через VPN
Веб-версия - клик
Скачать на iOS – клик
Скачать на Android – клик
Please open Telegram to view this post
VIEW IN TELEGRAM
Ребята из Netlas (IoT поисковик) оперативно постят в своих соц.сетях фильтры для поиска хостов со свежими уязвимостями. Например, пост с недавно обнаруженной критической уязвимостью в GitLab (CVE-2023-7028), которая позволяет совершить захват аккаунта пользователя через сброс пароля.
А фильтры из Netlas (и других поисковиков) будут полезны как Offensive, так и Defensive стороне. Всегда стоит просматривать соц.сети таких движков на наличие новостей.
❤ @seclemur
А фильтры из Netlas (и других поисковиков) будут полезны как Offensive, так и Defensive стороне. Всегда стоит просматривать соц.сети таких движков на наличие новостей.
Please open Telegram to view this post
VIEW IN TELEGRAM
Есть что-то милое в том, когда при изучении фишингового ресурса находишь код, во-первых, с комментариями на русском языке,а, во-вторых, с оставленными секретами 🫶🏻 OPSEC на уровне. На всякий случай: код отправляет введенные жертвой данные карты на вредоносном сайте в чат где находятся тг бот и злоумышленник.
На случай когда есть токен Телеграм бота - есть классная утилита Telegram Dumper от OSINT гуру Soxoj. Вдаваться в подробности работы не буду - все есть на гитхабе. Только упомяну что использование утилиты for educational purposes only 🙂
❤ @seclemur
На случай когда есть токен Телеграм бота - есть классная утилита Telegram Dumper от OSINT гуру Soxoj. Вдаваться в подробности работы не буду - все есть на гитхабе. Только упомяну что использование утилиты for educational purposes only 🙂
Please open Telegram to view this post
VIEW IN TELEGRAM
С гордостью представляю вам проект под кодовым названием @tinyscope, который мы делаем вместе с коллегой 🏆
В @tinyscope ежедневно публикуются списки фишинговых и мошеннических доменов, зарегистрированных за последние сутки. В нашем мониторинге 1110 доменных зон (.com, .ru, .net и так далее), в которых мы изучаем свежезарегистрированные домены⚙️ Канал будет интересен тем кто изучает или борется с фишингом и другим членам ИБ сообщества.
Планы на будущее:
🔤 Расширять список брендов и фишинговых кампаний, находящихся в мониторинге;
🔤 Увеличить количество источников для поиска фишинговых ресурсов;
🔤 Добавить не только поиск схожих по названию скам-доменов, но и поиск по контенту;
🔤 Выкатить в общий доступ возможность каждому участнику ИБ комьюнити искать домены по паттерну согласно своим нуждам.
Сейчас возможны сбои и ошибки в работе канала, так как находимся в тестовом режиме. Но мы маленький стартап, так что чиним и исправляем все оперативно🚀
Всегда рады получить обратную связь, поэтому предложения по работе канала можно писать напрямую @ban_alex🥸
❤ @seclemur
❤ @tinyscope
В @tinyscope ежедневно публикуются списки фишинговых и мошеннических доменов, зарегистрированных за последние сутки. В нашем мониторинге 1110 доменных зон (.com, .ru, .net и так далее), в которых мы изучаем свежезарегистрированные домены
Планы на будущее:
Сейчас возможны сбои и ошибки в работе канала, так как находимся в тестовом режиме. Но мы маленький стартап, так что чиним и исправляем все оперативно
Всегда рады получить обратную связь, поэтому предложения по работе канала можно писать напрямую @ban_alex
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
Secure Lemur pinned «С гордостью представляю вам проект под кодовым названием @tinyscope, который мы делаем вместе с коллегой 🏆 В @tinyscope ежедневно публикуются списки фишинговых и мошеннических доменов, зарегистрированных за последние сутки. В нашем мониторинге 1110 доменных…»
Forwarded from Cyber Detective
Directory schema in the #Linux file system from twitter.com/bytebytego.
Tip by twitter.com/hackinarticles
Tip by twitter.com/hackinarticles
👍4🗿3
Forwarded from QB_channel
DISARM Framework
__________________________
__________________________
Сегодня хочу обратить внимание на интересный проект. Авторы решили создать "разоружающий" фреймворк с целью структурировать знания о том, как противостоять и, очевидно, распространять дезинформацию. Само наименование проекта они расшифровывают так: “DIS-” это DISinformation и “-ARM” это Analysis и Risk Management.
Миссия благородная. За всё хорошее, против всего плохого 😌 Проект международный, сами авторы подтверждают участие нескольких правительственных команд из стран Северной Америки и различных госструктур. Тем временем в FAQ явно подчёркивают отсутствие финансирования от каких либо правительств. 💶
Если не вдаваться в эти подробности и оглядеться, то создатели реализовали удобный навигатор в стилистике MITRE, на гитхабе можно почитать про историю проекта, даже написан специальный модуль, который ваши данные преобразует в формат STIX, а потом уже можно закинуть их, например, в OpenCTI. Нашёл видео как это работает в конкретном кейсе. Также, компания-разработчик OpenCTI опубликовала в мае прошлого года в своём блоге статью по теме.
Буду ли использовать в работе? Сомнительно.
Было ли любопытно почитать техники и описания? 👀 Определённо)
Context matters!
Со средой 🐸
__________________________
What: #platform Where: #github
Who: The DISARM Foundation
When: 2019
How:__________________________
Сегодня хочу обратить внимание на интересный проект. Авторы решили создать "разоружающий" фреймворк с целью структурировать знания о том, как противостоять и, очевидно, распространять дезинформацию. Само наименование проекта они расшифровывают так: “DIS-” это DISinformation и “-ARM” это Analysis и Risk Management.
Миссия благородная. За всё хорошее, против всего плохого 😌 Проект международный, сами авторы подтверждают участие нескольких правительственных команд из стран Северной Америки и различных госструктур. Тем временем в FAQ явно подчёркивают отсутствие финансирования от каких либо правительств. 💶
Если не вдаваться в эти подробности и оглядеться, то создатели реализовали удобный навигатор в стилистике MITRE, на гитхабе можно почитать про историю проекта, даже написан специальный модуль, который ваши данные преобразует в формат STIX, а потом уже можно закинуть их, например, в OpenCTI. Нашёл видео как это работает в конкретном кейсе. Также, компания-разработчик OpenCTI опубликовала в мае прошлого года в своём блоге статью по теме.
Буду ли использовать в работе? Сомнительно.
Было ли любопытно почитать техники и описания? 👀 Определённо)
Context matters!
Со средой 🐸
🗿2
Чтобы узнать телеграмм аккаунт скамера нужно всего лишь...
...посмотреть куда отправляются данные после кнопки "подтвердить" на фишинговом ресурсе🤡
Как я писал тут, часто при создании фишкитов мошенники допускают ошибки в коде и выдают сами себя. На скриншоте видно, что достаточно использовать панель разработчика в браузере, чтобы увидеть куда улетают украденные данные на фишинговом сайте. В данном случае, отправка осуществляется телеграмм ботом, который отправляет все собранные данные в личку/чат фишеру в открытом виде😎
Кстати, фишинговый ресурс для анализа я приметил здесь.
❤ @seclemur |❤ @tinyscope
...посмотреть куда отправляются данные после кнопки "подтвердить" на фишинговом ресурсе
Как я писал тут, часто при создании фишкитов мошенники допускают ошибки в коде и выдают сами себя. На скриншоте видно, что достаточно использовать панель разработчика в браузере, чтобы увидеть куда улетают украденные данные на фишинговом сайте. В данном случае, отправка осуществляется телеграмм ботом, который отправляет все собранные данные в личку/чат фишеру в открытом виде
Кстати, фишинговый ресурс для анализа я приметил здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🗿2
Forwarded from Tinyscope
Привет! 👀
Мы запускаем своего бота @tinyscope_bot в свободное плавание!
Что он умеет сейчас:
✔️ Искать с помощью регулярных выражений домены среди зарегистрированных за последние сутки и за последние 30 дней;
✔️ Смотреть DNS записи домена;
✔️ Получать Whois данные ресурса.
Надеемся он окажется полезным в вашей работе.
❤ @tinyscope |❤ @tinyscope_bot
Мы запускаем своего бота @tinyscope_bot в свободное плавание!
Что он умеет сейчас:
Надеемся он окажется полезным в вашей работе.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🆒2
#Охотимся на командные центры стиллеров👀
Известно, что боты в Telegram используются как C2 не только в фишинговых китах, но и для эксфильтрации данных с зараженной машины. На гитхабе полно разных примеров для отправки данных по пути хост жертвы->злоумышленник (link1 или link2).
Практически во всех случаях используется метод sendMessage , который имеет вид:
Часто такой урл даже не шифруется внутри ВПО, что дает нам получить токен бота. Имея токен бота мы можем не только получить данные, которые украл злоумышленник, но и данные самого злоумышленника (утилита или методы Telegram bot API).
А где мы можем найти такие семплы? Конечно на песочницах!
1️⃣ Идем на любую песочницу с функционалом поиска по семплам. Например, Virustotal;
2️⃣ Ищем файлы, которые как-то коммуницируют с
3️⃣ Переходим в любой из вредоносных файлов и также идем в Relations;
4️⃣ Во вкладке Contacted URLs мы видим ключ для доступа к боту в сыром виде.
Этим же способом можно найти образцы ВПО, которые отправляют украденные данные в Discord, Anonfiles, Pastebin etc🧠
❤ @seclemur |❤ @tinyscope
Известно, что боты в Telegram используются как C2 не только в фишинговых китах, но и для эксфильтрации данных с зараженной машины. На гитхабе полно разных примеров для отправки данных по пути хост жертвы->злоумышленник (link1 или link2).
Практически во всех случаях используется метод sendMessage , который имеет вид:
https://api.telegram.org/bot{Your_bottoken}/sendMessage?chat_id={your_chat_id}&text=Hello_worldЧасто такой урл даже не шифруется внутри ВПО, что дает нам получить токен бота. Имея токен бота мы можем не только получить данные, которые украл злоумышленник, но и данные самого злоумышленника (утилита или методы Telegram bot API).
А где мы можем найти такие семплы? Конечно на песочницах!
api.telegram.org (Relations -> Communicating Files);Этим же способом можно найти образцы ВПО, которые отправляют украденные данные в Discord, Anonfiles, Pastebin etc
Please open Telegram to view this post
VIEW IN TELEGRAM