Forwarded from QB_channel
CVE и Vulnerability Intelligence
__________________________
__________________________
Привет!
Точно так же как вам не нужно защищаться от абсолютно всех угроз в мире, вам не нужно следить на всеми CVE в мире.
Сделал канал для проверки гипотезы насколько просто будет сделать уведомлялку о выходящих уязвимостях для конкретного набора продуктов вендоров. Количество вендоров (не продуктов!) для понимания масштаба проблемы
По итогу, концепт вроде получился, но ещё есть над чем работать. Например, добавить информацию о патчах. Наблюдения в процессе работы:
1️⃣ Очень много информации поступает, если подписываться на каждый статус CVE из четырёх и "быть в курсе всех обновлений". Звучит утопически.
2️⃣ В статусе
3️⃣ Фильтровать входящий поток можно:
— по списку вендоров и продуктов (редактирую и вношу исключения в список);
— по критичности (у меня выставлен скоринг
— по наличию эксплойта (публикуется вне зависимости от наличия)
— по статусу, присвоенному CVE (публикуется
4️⃣ Видел ситуацию, в которой на NVD эксплойт был опубликован, а на стороннем сайте, который проверяет их наличие для CVE, отсутствовала информация. Согласен, может быть просто не повезло с сайтом.
Ресурсы:
- cve.mitre.org
- cvetrends
- exploit-db
- nvd.nist
- xakep
- cvedetails
- 0day
Exploits:
- tweetfeed
- inthewild.io
- cxsecurity
- darkfeed.io
- attackerkb
- cisa
Хочется ещё отметить данный эфир AM Live с обсуждением непосредственно процесса Vulnerability Management.
Работа над алгоритмом ещё ведётся, буду сердечно благодарен за пожелания и комментарии 🤝
__________________________
What: #channelWhere: #telegramWho: Qwerty Bubble
When: since 04/05/2023
How: @fresh_vuln__________________________
Привет!
Точно так же как вам не нужно защищаться от абсолютно всех угроз в мире, вам не нужно следить на всеми CVE в мире.
Сделал канал для проверки гипотезы насколько просто будет сделать уведомлялку о выходящих уязвимостях для конкретного набора продуктов вендоров. Количество вендоров (не продуктов!) для понимания масштаба проблемы
По итогу, концепт вроде получился, но ещё есть над чем работать. Например, добавить информацию о патчах. Наблюдения в процессе работы:
1️⃣ Очень много информации поступает, если подписываться на каждый статус CVE из четырёх и "быть в курсе всех обновлений". Звучит утопически.
2️⃣ В статусе
Received/Awaiting Analysis мало полезного. Детальней про статусы есть в закрепе у бота. Не забываем, что предоставляемая информация должна генерировать новую информацию. Что может дать конкретный ID CVE без контекста и данных?3️⃣ Фильтровать входящий поток можно:
— по списку вендоров и продуктов (редактирую и вношу исключения в список);
— по критичности (у меня выставлен скоринг
High [7.0-8.9] и Critical [9.0-10.0]);— по наличию эксплойта (публикуется вне зависимости от наличия)
— по статусу, присвоенному CVE (публикуется
Analyzed)4️⃣ Видел ситуацию, в которой на NVD эксплойт был опубликован, а на стороннем сайте, который проверяет их наличие для CVE, отсутствовала информация. Согласен, может быть просто не повезло с сайтом.
Ресурсы:
- cve.mitre.org
- cvetrends
- exploit-db
- nvd.nist
- xakep
- cvedetails
- 0day
Exploits:
- tweetfeed
- inthewild.io
- cxsecurity
- darkfeed.io
- attackerkb
- cisa
Хочется ещё отметить данный эфир AM Live с обсуждением непосредственно процесса Vulnerability Management.
Работа над алгоритмом ещё ведётся, буду сердечно благодарен за пожелания и комментарии 🤝
👍6💩1
Начал замечать большое количество спама со скидками и промокодами для магазинов и маркетплейсов в публичных чатах. Стало любопытно что находится внутри (за одно получить скидку!) и написал. Как видно из переписок, наткнулся на два варианта развития событий:
1) Жертве дают скам ссылку, но прячут ее в текст как гиперлинк, переходя по которой идешь в неправильный магазин.
2) Для тобою присланного товара генерируют уникальную ссылку. Фишинговый контент при таком формате уникален и доступен только для одного пользователя, что, увы, не позволяет заблокировать данный домен у регистратора. Регистратору нужны доказательства вредоносного контента на сайте, но как его доказать, если этого контента нет? Этим фишеры и пользуются.
Эти кампании уже описаны давно в отчетах ESET , F.A.C.C.T и других коллег по цеху, но также активно продолжают распространяться.
Последнее время много изучаю различные фишинговые ресурсы по ряду причин. Скоро сделаю релиз антифишинг проекта, который мы строим с приятелем. Так что stay tuned!
P.S Произошел небольшой ребрендинг. В восторге от нового названия🐼
❤️ @seclemur
1) Жертве дают скам ссылку, но прячут ее в текст как гиперлинк, переходя по которой идешь в неправильный магазин.
2) Для тобою присланного товара генерируют уникальную ссылку. Фишинговый контент при таком формате уникален и доступен только для одного пользователя, что, увы, не позволяет заблокировать данный домен у регистратора. Регистратору нужны доказательства вредоносного контента на сайте, но как его доказать, если этого контента нет? Этим фишеры и пользуются.
Эти кампании уже описаны давно в отчетах ESET , F.A.C.C.T и других коллег по цеху, но также активно продолжают распространяться.
Последнее время много изучаю различные фишинговые ресурсы по ряду причин. Скоро сделаю релиз антифишинг проекта, который мы строим с приятелем. Так что stay tuned!
P.S Произошел небольшой ребрендинг. В восторге от нового названия
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
За последний месяц были зарегистрированы домены с одинаковым паттерном:
Все направлены на китайского пользователя и распространяют десктопную версию Telegram.
При беглом осмотре не увидел ничего мошеннического - тем более рапространяют подписанный Телеграмом файл. Возможно эти сайты таргетируются под конкретный регион/пользователей, как это было в этой кампании. Наблюдаем дальше)
❤️ @seclemur
telegram-zhcn.com
telegramlscn.com
telegramlcn.org
telegramhcn.com
telegramltcn.com
telegramgcn.net
telegramgcn.com
telegramcn123.com
telegramicn.com
telegrampcn.comВсе направлены на китайского пользователя и распространяют десктопную версию Telegram.
При беглом осмотре не увидел ничего мошеннического - тем более рапространяют подписанный Телеграмом файл. Возможно эти сайты таргетируются под конкретный регион/пользователей, как это было в этой кампании. Наблюдаем дальше)
Please open Telegram to view this post
VIEW IN TELEGRAM
Microsoft выкатил в открытый доступ собственную MLку - Copilot.
Бесплатная, с ограничением в количестве 30 запросов за один чат. Самая приятная фишка - можно бесплатно пользоваться функционалом GPT-4.
Для жителей РФ снова все через VPN🥺
Веб-версия - клик
Скачать на iOS – клик
Скачать на Android – клик
❤️ @seclemur
Бесплатная, с ограничением в количестве 30 запросов за один чат. Самая приятная фишка - можно бесплатно пользоваться функционалом GPT-4.
Для жителей РФ снова все через VPN
Веб-версия - клик
Скачать на iOS – клик
Скачать на Android – клик
Please open Telegram to view this post
VIEW IN TELEGRAM
Ребята из Netlas (IoT поисковик) оперативно постят в своих соц.сетях фильтры для поиска хостов со свежими уязвимостями. Например, пост с недавно обнаруженной критической уязвимостью в GitLab (CVE-2023-7028), которая позволяет совершить захват аккаунта пользователя через сброс пароля.
А фильтры из Netlas (и других поисковиков) будут полезны как Offensive, так и Defensive стороне. Всегда стоит просматривать соц.сети таких движков на наличие новостей.
❤ @seclemur
А фильтры из Netlas (и других поисковиков) будут полезны как Offensive, так и Defensive стороне. Всегда стоит просматривать соц.сети таких движков на наличие новостей.
Please open Telegram to view this post
VIEW IN TELEGRAM
Есть что-то милое в том, когда при изучении фишингового ресурса находишь код, во-первых, с комментариями на русском языке,а, во-вторых, с оставленными секретами 🫶🏻 OPSEC на уровне. На всякий случай: код отправляет введенные жертвой данные карты на вредоносном сайте в чат где находятся тг бот и злоумышленник.
На случай когда есть токен Телеграм бота - есть классная утилита Telegram Dumper от OSINT гуру Soxoj. Вдаваться в подробности работы не буду - все есть на гитхабе. Только упомяну что использование утилиты for educational purposes only 🙂
❤ @seclemur
На случай когда есть токен Телеграм бота - есть классная утилита Telegram Dumper от OSINT гуру Soxoj. Вдаваться в подробности работы не буду - все есть на гитхабе. Только упомяну что использование утилиты for educational purposes only 🙂
Please open Telegram to view this post
VIEW IN TELEGRAM
С гордостью представляю вам проект под кодовым названием @tinyscope, который мы делаем вместе с коллегой 🏆
В @tinyscope ежедневно публикуются списки фишинговых и мошеннических доменов, зарегистрированных за последние сутки. В нашем мониторинге 1110 доменных зон (.com, .ru, .net и так далее), в которых мы изучаем свежезарегистрированные домены⚙️ Канал будет интересен тем кто изучает или борется с фишингом и другим членам ИБ сообщества.
Планы на будущее:
🔤 Расширять список брендов и фишинговых кампаний, находящихся в мониторинге;
🔤 Увеличить количество источников для поиска фишинговых ресурсов;
🔤 Добавить не только поиск схожих по названию скам-доменов, но и поиск по контенту;
🔤 Выкатить в общий доступ возможность каждому участнику ИБ комьюнити искать домены по паттерну согласно своим нуждам.
Сейчас возможны сбои и ошибки в работе канала, так как находимся в тестовом режиме. Но мы маленький стартап, так что чиним и исправляем все оперативно🚀
Всегда рады получить обратную связь, поэтому предложения по работе канала можно писать напрямую @ban_alex🥸
❤ @seclemur
❤ @tinyscope
В @tinyscope ежедневно публикуются списки фишинговых и мошеннических доменов, зарегистрированных за последние сутки. В нашем мониторинге 1110 доменных зон (.com, .ru, .net и так далее), в которых мы изучаем свежезарегистрированные домены
Планы на будущее:
Сейчас возможны сбои и ошибки в работе канала, так как находимся в тестовом режиме. Но мы маленький стартап, так что чиним и исправляем все оперативно
Всегда рады получить обратную связь, поэтому предложения по работе канала можно писать напрямую @ban_alex
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
Secure Lemur pinned «С гордостью представляю вам проект под кодовым названием @tinyscope, который мы делаем вместе с коллегой 🏆 В @tinyscope ежедневно публикуются списки фишинговых и мошеннических доменов, зарегистрированных за последние сутки. В нашем мониторинге 1110 доменных…»
Forwarded from Cyber Detective
Directory schema in the #Linux file system from twitter.com/bytebytego.
Tip by twitter.com/hackinarticles
Tip by twitter.com/hackinarticles
👍4🗿3
Forwarded from QB_channel
DISARM Framework
__________________________
__________________________
Сегодня хочу обратить внимание на интересный проект. Авторы решили создать "разоружающий" фреймворк с целью структурировать знания о том, как противостоять и, очевидно, распространять дезинформацию. Само наименование проекта они расшифровывают так: “DIS-” это DISinformation и “-ARM” это Analysis и Risk Management.
Миссия благородная. За всё хорошее, против всего плохого 😌 Проект международный, сами авторы подтверждают участие нескольких правительственных команд из стран Северной Америки и различных госструктур. Тем временем в FAQ явно подчёркивают отсутствие финансирования от каких либо правительств. 💶
Если не вдаваться в эти подробности и оглядеться, то создатели реализовали удобный навигатор в стилистике MITRE, на гитхабе можно почитать про историю проекта, даже написан специальный модуль, который ваши данные преобразует в формат STIX, а потом уже можно закинуть их, например, в OpenCTI. Нашёл видео как это работает в конкретном кейсе. Также, компания-разработчик OpenCTI опубликовала в мае прошлого года в своём блоге статью по теме.
Буду ли использовать в работе? Сомнительно.
Было ли любопытно почитать техники и описания? 👀 Определённо)
Context matters!
Со средой 🐸
__________________________
What: #platform Where: #github
Who: The DISARM Foundation
When: 2019
How:__________________________
Сегодня хочу обратить внимание на интересный проект. Авторы решили создать "разоружающий" фреймворк с целью структурировать знания о том, как противостоять и, очевидно, распространять дезинформацию. Само наименование проекта они расшифровывают так: “DIS-” это DISinformation и “-ARM” это Analysis и Risk Management.
Миссия благородная. За всё хорошее, против всего плохого 😌 Проект международный, сами авторы подтверждают участие нескольких правительственных команд из стран Северной Америки и различных госструктур. Тем временем в FAQ явно подчёркивают отсутствие финансирования от каких либо правительств. 💶
Если не вдаваться в эти подробности и оглядеться, то создатели реализовали удобный навигатор в стилистике MITRE, на гитхабе можно почитать про историю проекта, даже написан специальный модуль, который ваши данные преобразует в формат STIX, а потом уже можно закинуть их, например, в OpenCTI. Нашёл видео как это работает в конкретном кейсе. Также, компания-разработчик OpenCTI опубликовала в мае прошлого года в своём блоге статью по теме.
Буду ли использовать в работе? Сомнительно.
Было ли любопытно почитать техники и описания? 👀 Определённо)
Context matters!
Со средой 🐸
🗿2
Чтобы узнать телеграмм аккаунт скамера нужно всего лишь...
...посмотреть куда отправляются данные после кнопки "подтвердить" на фишинговом ресурсе🤡
Как я писал тут, часто при создании фишкитов мошенники допускают ошибки в коде и выдают сами себя. На скриншоте видно, что достаточно использовать панель разработчика в браузере, чтобы увидеть куда улетают украденные данные на фишинговом сайте. В данном случае, отправка осуществляется телеграмм ботом, который отправляет все собранные данные в личку/чат фишеру в открытом виде😎
Кстати, фишинговый ресурс для анализа я приметил здесь.
❤ @seclemur |❤ @tinyscope
...посмотреть куда отправляются данные после кнопки "подтвердить" на фишинговом ресурсе
Как я писал тут, часто при создании фишкитов мошенники допускают ошибки в коде и выдают сами себя. На скриншоте видно, что достаточно использовать панель разработчика в браузере, чтобы увидеть куда улетают украденные данные на фишинговом сайте. В данном случае, отправка осуществляется телеграмм ботом, который отправляет все собранные данные в личку/чат фишеру в открытом виде
Кстати, фишинговый ресурс для анализа я приметил здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🗿2
Forwarded from Tinyscope
Привет! 👀
Мы запускаем своего бота @tinyscope_bot в свободное плавание!
Что он умеет сейчас:
✔️ Искать с помощью регулярных выражений домены среди зарегистрированных за последние сутки и за последние 30 дней;
✔️ Смотреть DNS записи домена;
✔️ Получать Whois данные ресурса.
Надеемся он окажется полезным в вашей работе.
❤ @tinyscope |❤ @tinyscope_bot
Мы запускаем своего бота @tinyscope_bot в свободное плавание!
Что он умеет сейчас:
Надеемся он окажется полезным в вашей работе.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🆒2
#Охотимся на командные центры стиллеров👀
Известно, что боты в Telegram используются как C2 не только в фишинговых китах, но и для эксфильтрации данных с зараженной машины. На гитхабе полно разных примеров для отправки данных по пути хост жертвы->злоумышленник (link1 или link2).
Практически во всех случаях используется метод sendMessage , который имеет вид:
Часто такой урл даже не шифруется внутри ВПО, что дает нам получить токен бота. Имея токен бота мы можем не только получить данные, которые украл злоумышленник, но и данные самого злоумышленника (утилита или методы Telegram bot API).
А где мы можем найти такие семплы? Конечно на песочницах!
1️⃣ Идем на любую песочницу с функционалом поиска по семплам. Например, Virustotal;
2️⃣ Ищем файлы, которые как-то коммуницируют с
3️⃣ Переходим в любой из вредоносных файлов и также идем в Relations;
4️⃣ Во вкладке Contacted URLs мы видим ключ для доступа к боту в сыром виде.
Этим же способом можно найти образцы ВПО, которые отправляют украденные данные в Discord, Anonfiles, Pastebin etc🧠
❤ @seclemur |❤ @tinyscope
Известно, что боты в Telegram используются как C2 не только в фишинговых китах, но и для эксфильтрации данных с зараженной машины. На гитхабе полно разных примеров для отправки данных по пути хост жертвы->злоумышленник (link1 или link2).
Практически во всех случаях используется метод sendMessage , который имеет вид:
https://api.telegram.org/bot{Your_bottoken}/sendMessage?chat_id={your_chat_id}&text=Hello_worldЧасто такой урл даже не шифруется внутри ВПО, что дает нам получить токен бота. Имея токен бота мы можем не только получить данные, которые украл злоумышленник, но и данные самого злоумышленника (утилита или методы Telegram bot API).
А где мы можем найти такие семплы? Конечно на песочницах!
api.telegram.org (Relations -> Communicating Files);Этим же способом можно найти образцы ВПО, которые отправляют украденные данные в Discord, Anonfiles, Pastebin etc
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Offensive OSINT
Тонкости рекона
Каждый слышал про crt.sh, но не каждый знает, что когда вы совершаете запрос по вашему домену/организации/слову, то он имеет ограничение в 10к результатов.
Популярные инструменты для сбора поддоменов зачастую используют вот такой запрос к этому ресурсу:
Полная статья | Канал автора
#subdomain #crtsh
Каждый слышал про crt.sh, но не каждый знает, что когда вы совершаете запрос по вашему домену/организации/слову, то он имеет ограничение в 10к результатов.
Популярные инструменты для сбора поддоменов зачастую используют вот такой запрос к этому ресурсу:
https://crt.sh/?Identity=example.com&output=jsonУ этого же ресурса есть публична postgresgl база данных с гостевым доступом:
psql -h crt.sh -p 5432 -U guest certwatchС помощью прямого подключения к бд можно обойти указанный лимит, составив запрос самостоятельно.
Полная статья | Канал автора
#subdomain #crtsh
Telegraph
Тонкости рекона
crt.sh Давно ничего не писал, хотелось статью, но вышла пока только заметка. Итак crt.sh это ресурс, который мониторит и собирает в себя выпускаемые сертификаты. Является одним из самых популярных источников поддоменов. И все бы с ним хорошо, только вот запрос…
👍5🗿3🆒1