База знаний: Огромный сборник шпаргалок по кибербезопасности
Админ не может знать всё. Архитектор знает, где найти всё.
Перед вами — сокровищница знаний по кибербезопасности в одном GitHub-репозитории.
Взгляд архитектора:
Архитектор строит системы, которые невозможно взломать. Но для этого нужно постоянно учиться и быть в курсе всех возможных векторов атак. Этот репозиторий — ваша личная база знаний, которая поможет закрыть пробелы и всегда иметь под рукой нужную информацию.
Забираем себе в закладки: https://github.com/Ignitetechnologies/Mindmap
#security #cybersecurity #pentest #osint #forensics #musthave #гайд #обучение
Админ не может знать всё. Архитектор знает, где найти всё.
Перед вами — сокровищница знаний по кибербезопасности в одном GitHub-репозитории.
Взгляд архитектора:
Архитектор строит системы, которые невозможно взломать. Но для этого нужно постоянно учиться и быть в курсе всех возможных векторов атак. Этот репозиторий — ваша личная база знаний, которая поможет закрыть пробелы и всегда иметь под рукой нужную информацию.
Забираем себе в закладки: https://github.com/Ignitetechnologies/Mindmap
#security #cybersecurity #pentest #osint #forensics #musthave #гайд #обучение
❤3
Охота на "бесфайловых": Анализ RAM с помощью Volatility
Ваш антивирус молчит, Sysmon чист, но вы чувствуете, что сервер скомпрометирован.
Скорее всего, вы столкнулись с Fileless Malware — вредоносным кодом, который живет только в оперативной памяти (RAM) и никогда не касается диска.
Реакция админа: Перезагрузить сервер (и уничтожить все улики). Реакция архитектора: Сделать дамп памяти и начать "цифровую форензику".
Volatility 3 — это "золотой стандарт" (и open-source) для анализа дампов памяти Windows и Linux.
Как это работает (на пальцах):
Соберите дамп: Используйте WinPmem или FTK Imager (от AccessData), чтобы "сфотографировать" всю RAM проблемного сервера в один .mem файл.
Запустите Volatility на машине для анализа: vol.py -f server_dump.mem <plugin>
3 плагина, которые находят "невидимое":
windows.pstree.PsTree
Что делает: Показывает дерево процессов. Вы сразу увидите аномалию: powershell.exe, запущенный из-под winword.exe, или svchost.exe, который висит дочерним процессом у explorer.exe.
windows.netscan.NetScan
Что делает: Показывает все сетевые соединения, которые были активны в момент снятия дампа. Он найдет "скрытые" C2-соединения, которые процесс мог уже закрыть и "почистить" из netstat.
windows.malfind.Malfind
Что делает: "Охотник" за вредоносным кодом. Он сканирует память процессов на наличие внедренного (injected) кода — классический признак fileless-атаки.
Взгляд архитектора: Это — высшая лига Incident Response. Вы должны предполагать, что EDR может быть обойден. Умение анализировать RAM — это ваш последний рубеж обороны, позволяющий найти коренную причину (root cause) самой сложной атаки.
#windows #security #forensics #volatility #cybersecurity #architect #гайд
Ваш антивирус молчит, Sysmon чист, но вы чувствуете, что сервер скомпрометирован.
Скорее всего, вы столкнулись с Fileless Malware — вредоносным кодом, который живет только в оперативной памяти (RAM) и никогда не касается диска.
Реакция админа: Перезагрузить сервер (и уничтожить все улики). Реакция архитектора: Сделать дамп памяти и начать "цифровую форензику".
Volatility 3 — это "золотой стандарт" (и open-source) для анализа дампов памяти Windows и Linux.
Как это работает (на пальцах):
Соберите дамп: Используйте WinPmem или FTK Imager (от AccessData), чтобы "сфотографировать" всю RAM проблемного сервера в один .mem файл.
Запустите Volatility на машине для анализа: vol.py -f server_dump.mem <plugin>
3 плагина, которые находят "невидимое":
windows.pstree.PsTree
Что делает: Показывает дерево процессов. Вы сразу увидите аномалию: powershell.exe, запущенный из-под winword.exe, или svchost.exe, который висит дочерним процессом у explorer.exe.
windows.netscan.NetScan
Что делает: Показывает все сетевые соединения, которые были активны в момент снятия дампа. Он найдет "скрытые" C2-соединения, которые процесс мог уже закрыть и "почистить" из netstat.
windows.malfind.Malfind
Что делает: "Охотник" за вредоносным кодом. Он сканирует память процессов на наличие внедренного (injected) кода — классический признак fileless-атаки.
Взгляд архитектора: Это — высшая лига Incident Response. Вы должны предполагать, что EDR может быть обойден. Умение анализировать RAM — это ваш последний рубеж обороны, позволяющий найти коренную причину (root cause) самой сложной атаки.
#windows #security #forensics #volatility #cybersecurity #architect #гайд
macOS (Security): Аудит LaunchAgents/Daemons на «подозрительные» пути и неподписанные бинарники
Боль: Пользователь жалуется на фантомные процессы. В ~/Library/LaunchAgents лежит «что-то», что перезапускается после удаления.
Реакция админа: «Снесём руками».
Реакция архитектора: «Сначала найдём источник автозапуска и оценим риски.»
Скрипт (Bash). Ищет .plist с исполняемыми из пользовательских/временных директорий, помеченные quarantine или неподписанные бинарники.
Взгляд архитектора: Постоянство (persistence) — базовая TTP вредоносов. Мы валидируем автозапуски против критериев доверия пути/подписи/карантина, а не «по чувствам».
#macos #security #incident_response #forensics #bash #скрипты
Боль: Пользователь жалуется на фантомные процессы. В ~/Library/LaunchAgents лежит «что-то», что перезапускается после удаления.
Реакция админа: «Снесём руками».
Реакция архитектора: «Сначала найдём источник автозапуска и оценим риски.»
Скрипт (Bash). Ищет .plist с исполняемыми из пользовательских/временных директорий, помеченные quarantine или неподписанные бинарники.
#!/usr/bin/env bash
# --- macOS LaunchAgents/Daemons Audit ---
set -euo pipefail
echo "--- Начинаю аудит LaunchAgents/Daemons ---"
dirs=( "$HOME/Library/LaunchAgents" "/Library/LaunchAgents" "/Library/LaunchDaemons" )
for d in "${dirs[@]}"; do
[ -d "$d" ] || continue
while IFS= read -r -d '' plist; do
program=$(/usr/libexec/PlistBuddy -c 'Print :Program' "$plist" 2>/dev/null || true)
if [ -z "${program:-}" ]; then
program=$(/usr/libexec/PlistBuddy -c 'Print :ProgramArguments:0' "$plist" 2>/dev/null || true)
fi
suspicious=""
unsigned=""
quarantine=""
if [ -n "${program:-}" ]; then
dir=$(dirname "$program")
# Подозрительные пути: пользовательские/временные директории
if [[ "$program" =~ ^/Users/ ]] || [[ "$program" =~ ^/tmp/ ]] || [[ "$program" =~ ^/private/tmp/ ]]; then
if [ -w "$dir" ]; then suspicious="user-writable"; fi
fi
# quarantine-атрибут
if [ -f "$program" ] && xattr -p com.apple.quarantine "$program" >/dev/null 2>&1; then
quarantine="quarantined"
fi
# неподписанность
if [ -f "$program" ]; then
if ! codesign -dv "$program" >/dev/null 2>&1; then unsigned="unsigned"; fi
fi
fi
if [ -n "$suspicious$quarantine$unsigned" ]; then
echo "plist: $plist"
echo " Program: ${program:-<none>}"
echo " Flags: $suspicious $quarantine $unsigned"
echo "----------------------------------------"
fi
done < <(find "$d" -name '*.plist' -print0 2>/dev/null)
done
echo "--- Аудит завершен ---"
echo "Рекомендация: бэкапнуть plist и бинарь, затем удалить через launchctl (disable/unload), проверить персистентность."
Взгляд архитектора: Постоянство (persistence) — базовая TTP вредоносов. Мы валидируем автозапуски против критериев доверия пути/подписи/карантина, а не «по чувствам».
#macos #security #incident_response #forensics #bash #скрипты
🔥3
🔒 Linux: Скрипт-аудит "неизменяемых" (immutable) файлов
Боль: Команда chattr +i (immutable) — это и "оружие", и "щит".
Хакеры используют ее, чтобы "зацементировать" свой rootkit (его не может удалить даже root).
Админы используют ее, чтобы защитить /etc/hosts или sshd_config от случайных изменений.
Проблема: Как найти все "неизменяемые" файлы в системе?
Реакция админа: "Надеюсь, их нет".
Реакция архитектора: "Я запущу аудит".
Этот Bash-скрипт использует lsattr для рекурсивного сканирования системы.
Код скрипта:
Взгляд архитектора: Это — аудит целостности (Integrity Audit). Вы должны знать о каждом файле, который "заморожен". Если вы видите ----i- на /tmp/x.sh — у вас огромные проблемы. Если на sshd_config — это ваша (или чужая) работа.
#linux #bash #security #audit #forensics #скрипты #гайд
Боль: Команда chattr +i (immutable) — это и "оружие", и "щит".
Хакеры используют ее, чтобы "зацементировать" свой rootkit (его не может удалить даже root).
Админы используют ее, чтобы защитить /etc/hosts или sshd_config от случайных изменений.
Проблема: Как найти все "неизменяемые" файлы в системе?
Реакция админа: "Надеюсь, их нет".
Реакция архитектора: "Я запущу аудит".
Этот Bash-скрипт использует lsattr для рекурсивного сканирования системы.
Код скрипта:
#!/bin/bash
# --- Поиск 'immutable' файлов (атрибут 'i') ---
echo "--- Начинаю поиск 'неизменяемых' файлов (chattr +i)... ---"
echo "Это может занять много времени."
# -R: Рекурсивно
# /: Начиная с корня
# 2>/dev/null: Игнорируем ошибки (типа 'Permission denied' для /proc)
# grep '----i-': Ищем ТОЛЬКО файлы, где установлен 'i' (immutable)
lsattr -R / 2>/dev/null | grep '----i-'
echo "--- Поиск завершен ---"
Взгляд архитектора: Это — аудит целостности (Integrity Audit). Вы должны знать о каждом файле, который "заморожен". Если вы видите ----i- на /tmp/x.sh — у вас огромные проблемы. Если на sshd_config — это ваша (или чужая) работа.
#linux #bash #security #audit #forensics #скрипты #гайд
🛠️ Security: "Defender's Toolkit". 4 инструмента для анализа фишинга
Ручной разбор заголовков — это база. Но архитектор безопасности не работает в вакууме. Он использует внешнюю разведку (Threat Intelligence) и автоматизацию, чтобы подтвердить свои гипотезы.
Вот 4 инструмента, которые должны быть в закладках у каждого, кто защищает почту:
MXToolbox (https://mxtoolbox.com)
Зачем: "Аудит инфраструктуры отправителя".
Как использовать: Проверьте IP отправителя в черных списках (Blacklists). Проверьте его SPF, DKIM и DMARC записи. Если у "банка" не настроен DMARC — это красный флаг.
PhishTank (https://phishtank.com)
Зачем: "Коллективный разум".
Как использовать: Это открытая база фишинговых ссылок. Прежде чем открывать подозрительный URL в песочнице, проверьте, не знает ли о нем уже сообщество.
The Spamhaus Project (https://www.spamhaus.org)
Зачем: "Репутация IP и Доменов".
Как использовать: Это золотой стандарт IP-репутации. Если IP отправителя есть в SBL (Spamhaus Block List) — блокируйте не глядя.
eml_analyzer (https://github.com/ninoseki/eml_analyzer)
Зачем: "Локальный парсинг".
Как использовать: Утилита на Python для командной строки. Она "разбирает" .eml файл на части: извлекает вложения, ссылки, структуру HTML и заголовки. Идеально для автоматизации анализа без открытия письма в почтовом клиенте.
Взгляд архитектора: Не полагайтесь только на интуицию ("выглядит подозрительно"). Опирайтесь на факты: репутацию IP, валидность DNS-записей и структуру файла.
Happy Hunting! 🏹
#security #phishing #forensics #tools #blueteam #musthave
Ручной разбор заголовков — это база. Но архитектор безопасности не работает в вакууме. Он использует внешнюю разведку (Threat Intelligence) и автоматизацию, чтобы подтвердить свои гипотезы.
Вот 4 инструмента, которые должны быть в закладках у каждого, кто защищает почту:
MXToolbox (https://mxtoolbox.com)
Зачем: "Аудит инфраструктуры отправителя".
Как использовать: Проверьте IP отправителя в черных списках (Blacklists). Проверьте его SPF, DKIM и DMARC записи. Если у "банка" не настроен DMARC — это красный флаг.
PhishTank (https://phishtank.com)
Зачем: "Коллективный разум".
Как использовать: Это открытая база фишинговых ссылок. Прежде чем открывать подозрительный URL в песочнице, проверьте, не знает ли о нем уже сообщество.
The Spamhaus Project (https://www.spamhaus.org)
Зачем: "Репутация IP и Доменов".
Как использовать: Это золотой стандарт IP-репутации. Если IP отправителя есть в SBL (Spamhaus Block List) — блокируйте не глядя.
eml_analyzer (https://github.com/ninoseki/eml_analyzer)
Зачем: "Локальный парсинг".
Как использовать: Утилита на Python для командной строки. Она "разбирает" .eml файл на части: извлекает вложения, ссылки, структуру HTML и заголовки. Идеально для автоматизации анализа без открытия письма в почтовом клиенте.
Взгляд архитектора: Не полагайтесь только на интуицию ("выглядит подозрительно"). Опирайтесь на факты: репутацию IP, валидность DNS-записей и структуру файла.
Happy Hunting! 🏹
#security #phishing #forensics #tools #blueteam #musthave
🔥2
🕵️♂️ Linux: Кто трогал этот файл? (auditd)
Иногда ls -l и last недостаточно. Вам нужно знать: кто, когда и какой процесс изменил критический конфиг /etc/passwd или удалил файл базы данных.
Включаем подсистему аудита ядра — auditd.
1. Ставим слежку за файлом:
2. Смотрим отчет: Кто трогал файл?
Вы увидите всё: PID процесса, UID пользователя и даже команду, которой это было сделано. Незаменимо при разборе инцидентов.
#linux #security #audit #forensics #securityhardening
Иногда ls -l и last недостаточно. Вам нужно знать: кто, когда и какой процесс изменил критический конфиг /etc/passwd или удалил файл базы данных.
Включаем подсистему аудита ядра — auditd.
1. Ставим слежку за файлом:
# -w : watch (следить за файлом)
# -p wa : permission write/attribute (запись или смена прав)
# -k passwd_change : ключ поиска (тег для логов)
auditctl -w /etc/passwd -p wa -k passwd_change
2. Смотрим отчет: Кто трогал файл?
ausearch -k passwd_change
Вы увидите всё: PID процесса, UID пользователя и даже команду, которой это было сделано. Незаменимо при разборе инцидентов.
#linux #security #audit #forensics #securityhardening
🕵️♂️ Linux: stat — Вся правда о файле
Мы привыкли смотреть на файлы через
Команда:
Что смотреть в выводе:
1. Access (atime): Когда файл читали последний раз (полезно для поиска неиспользуемых конфигов).
2. Modify (mtime): Когда менялось содержимое файла.
3. Change (ctime): Когда менялись метананые (права, владелец).
* Нюанс: Если хакер подменил файл и скрутил
Форматированный вывод (для скриптов):
Используйте
#linux #forensics #stat #security #cli #audit
Мы привыкли смотреть на файлы через
ls -l . Но она показывает только время последней модификации ( mtime ). Когда нужно понять, действительно ли файл меняли, или просто поменяли права доступа ( chmod ), или когда к нему последний раз обращались — нужна команда stat .Команда:
stat /etc/passwd
Что смотреть в выводе:
1. Access (atime): Когда файл читали последний раз (полезно для поиска неиспользуемых конфигов).
2. Modify (mtime): Когда менялось содержимое файла.
3. Change (ctime): Когда менялись метананые (права, владелец).
* Нюанс: Если хакер подменил файл и скрутил
mtime назад (чтобы скрыть следы), ctime все равно выдаст время изменения!Форматированный вывод (для скриптов):
# Вывести только права в цифрах (например, 644)
stat -c "%a" filename
Используйте
stat при разборе инцидентов. ls часто врет (или недоговаривает).#linux #forensics #stat #security #cli #audit
🪟 Windows: Кто «стучит» в интернет? Ловим malware без Wireshark
Подозрение, что сервер соединяется с C&C-сервером хакеров или майнинг-пулом? Wireshark ставить нельзя, а Firewall логи слишком объемные. В Windows есть скрытый журнал, который пишет только DNS-запросы.
Как включить «черный ящик» DNS: По умолчанию этот лог выключен, чтобы не тратить ресурс.
Открываем Event Viewer (eventvwr.msc).
Идем: Applications and Services Logs -> Microsoft -> Windows -> DNS Client Events -> Operational.
Правой кнопкой -> Enable Log.
Что мы увидим: Теперь каждое разрешение имени (хост -> IP) будет падать в событие ID 3008.
QueryOptions: 100000000 QueryName: bad-hacker-site.com
Это лучший способ найти скрытые майнеры или «маячки» внутри корпоративной сети, не перехватывая гигабайты трафика.
#windows #security #forensics #dns #sysadmin #troubleshooting #blueteam 🕵️♂️
Подозрение, что сервер соединяется с C&C-сервером хакеров или майнинг-пулом? Wireshark ставить нельзя, а Firewall логи слишком объемные. В Windows есть скрытый журнал, который пишет только DNS-запросы.
Как включить «черный ящик» DNS: По умолчанию этот лог выключен, чтобы не тратить ресурс.
Открываем Event Viewer (eventvwr.msc).
Идем: Applications and Services Logs -> Microsoft -> Windows -> DNS Client Events -> Operational.
Правой кнопкой -> Enable Log.
Что мы увидим: Теперь каждое разрешение имени (хост -> IP) будет падать в событие ID 3008.
QueryOptions: 100000000 QueryName: bad-hacker-site.com
Это лучший способ найти скрытые майнеры или «маячки» внутри корпоративной сети, не перехватывая гигабайты трафика.
#windows #security #forensics #dns #sysadmin #troubleshooting #blueteam 🕵️♂️
🔥3✍2👍2
🪟 Windows: PowerShell Transcription — включаем «Черный ящик» 🎙️
Кто-то зашел на сервер под общей админкой, что-то нажал, и всё сломалось?
Логи Windows (Event Viewer) часто не показывают, какую именно команду ввели.
В 2026 году мы включаем PowerShell Transcription.
Это функция, которая записывает весь ввод и вывод консоли в текстовый файл.
Как включить для текущей сессии (или добавить в $PROFILE):
Как включить глобально через Group Policy (GPO):
Computer Configuration -> Administrative Templates -> Windows Components -> Windows PowerShell -> Turn on PowerShell Transcription.
Ты получаешь полный текстовый лог: кто зашел, какую команду вбил и (главное!) какую ошибку получил в ответ.
Это лучший инструмент для разбора полетов. 🕵️♂️
#windows #powershell #security #auditing #sysadmin #logging #forensics
Кто-то зашел на сервер под общей админкой, что-то нажал, и всё сломалось?
Логи Windows (Event Viewer) часто не показывают, какую именно команду ввели.
В 2026 году мы включаем PowerShell Transcription.
Это функция, которая записывает весь ввод и вывод консоли в текстовый файл.
Как включить для текущей сессии (или добавить в $PROFILE):
Start-Transcript -Path "C:\AdminLogs\Session_$(get-date -f yyyyMMdd_HHmm).txt" -NoClobber
Как включить глобально через Group Policy (GPO):
Computer Configuration -> Administrative Templates -> Windows Components -> Windows PowerShell -> Turn on PowerShell Transcription.
Ты получаешь полный текстовый лог: кто зашел, какую команду вбил и (главное!) какую ошибку получил в ответ.
Это лучший инструмент для разбора полетов. 🕵️♂️
#windows #powershell #security #auditing #sysadmin #logging #forensics
🔥2👍1👏1