По следам подмены файлов при обновлении на vipnet клиентах (пост), про уязвимости dll hijacking захотелось написать. Что это и с чем это едят можно прочитать тут и просто в гугле. Проблемы с подменой dll есть не только у vipnet, проблемы у многих вендров поИБэ. Примеры на скринах с уязвимыми подписанными бинарями: Клиент VPN Код Безопасности, EDR агент Positive Technologies, антивирус Dr.Web...Ну и чтобы не кукарекали про Российское горе ИБ....checkpoint там же. Проблема намного больше чем кажется...
🔥16❤3👍3👏3
Forwarded from BritLab
Утечка данных у системного интегратора: как НЕ надо работать с SIEM
Хотите знать, как НЕ надо работать с данными? Сегодня у нас поучительная история об одном системном интеграторе (название опустим из этических соображений), который специализируется на:
1️⃣ Защите информации
2️⃣ Интеграции и оптимизации бизнес-процессов
3️⃣ Полном цикле техподдержки
Дела у компании, видимо, настолько прекрасны, что сотрудники решили добавить щепотку экстрима в рутину кибербезопасности и настроили алерты из SIEM прямиком в Telegram 🫡.
Что публиковалось?
🔸 IP-адреса + FQDN хостов
🔸 Имена учетных записей
🔸 Даты инцидентов + их описание
🔸 Ссылки на инциденты
Что пошло не так?
Вместо приватного чата оповещения прилетали в ПУБЛИЧНУЮ группу, которая и привлекла внимание BritLab.
Что было дальше?
1️⃣ После обнаружения утечки в группу было отправлено предупреждение о том, что группа публичная и её содержимое может увидеть любой пользователь сети + рекомендации (см. скрин).
2️⃣Через минуту аккаунт, отправивший предупреждение, заблокировали.
3️⃣Ещё через минуту группу сделали приватной (или удалили).
Вывод
Берегите свои данные, особенно если работаете в сфере ИБ и отвечаете не только за себя, но и за клиентов! Клиенты доверяют вам данные, а не право на слив в публичные чаты.
Если вы обнаружите подобные утечки, не забывайте сразу сообщать о них администраторам каналов.
@ru_vm #BritLab #УтечкаДанных #InfoSec
Хотите знать, как НЕ надо работать с данными? Сегодня у нас поучительная история об одном системном интеграторе (название опустим из этических соображений), который специализируется на:
1️⃣ Защите информации
2️⃣ Интеграции и оптимизации бизнес-процессов
3️⃣ Полном цикле техподдержки
Дела у компании, видимо, настолько прекрасны, что сотрудники решили добавить щепотку экстрима в рутину кибербезопасности и настроили алерты из SIEM прямиком в Telegram 🫡.
Что публиковалось?
🔸 IP-адреса + FQDN хостов
🔸 Имена учетных записей
🔸 Даты инцидентов + их описание
🔸 Ссылки на инциденты
Что пошло не так?
Вместо приватного чата оповещения прилетали в ПУБЛИЧНУЮ группу, которая и привлекла внимание BritLab.
Что было дальше?
1️⃣ После обнаружения утечки в группу было отправлено предупреждение о том, что группа публичная и её содержимое может увидеть любой пользователь сети + рекомендации (см. скрин).
2️⃣Через минуту аккаунт, отправивший предупреждение, заблокировали.
3️⃣Ещё через минуту группу сделали приватной (или удалили).
Вывод
Берегите свои данные, особенно если работаете в сфере ИБ и отвечаете не только за себя, но и за клиентов! Клиенты доверяют вам данные, а не право на слив в публичные чаты.
Если вы обнаружите подобные утечки, не забывайте сразу сообщать о них администраторам каналов.
@ru_vm #BritLab #УтечкаДанных #InfoSec
🔥11👏3❤1😁1
BritLab
Утечка данных у системного интегратора: как НЕ надо работать с SIEM Хотите знать, как НЕ надо работать с данными? Сегодня у нас поучительная история об одном системном интеграторе (название опустим из этических соображений), который специализируется на: 1️⃣…
Это отдельный котел в аду, такого много:)
true_security
Это отдельный котел в аду, такого много:)
@test_deive_MPSIEM например, линки не валид, но все-таки канал с линком на открытую гугл таблицу с доступом к стендам ) (pt снесли канал)
😁8
Forwarded from Ever Secure (Aleksey Fedulaev)
Друзья, это свершилось! 😱✨
Честно? Мы сами до конца не верили, что этот день настанет... но она — в печати!
Да-да, наша книга теперь существует в реальном, бумажном формате 📖🔥
Уже завтра мы забираем первую партию, и поверьте, она выглядит круче, чем мы ожидали!
А совсем скоро вы тоже сможете её заказать — предзаказ уже на подходе 👀
Следите за новостями, будет кое-что интересное… Может быть, даже небольшой сюрприз для первых заказов?🤔
👀 @ever_secure
Честно? Мы сами до конца не верили, что этот день настанет... но она — в печати!
Да-да, наша книга теперь существует в реальном, бумажном формате 📖🔥
Уже завтра мы забираем первую партию, и поверьте, она выглядит круче, чем мы ожидали!
А совсем скоро вы тоже сможете её заказать — предзаказ уже на подходе 👀
Следите за новостями, будет кое-что интересное… Может быть, даже небольшой сюрприз для первых заказов?🤔
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👍4❤1😁1
название каждой главы как вид искусства. Оценка критичности и стоимости активов через ransomware )))
😁12🔥2
Риторический вопрос, зачем Тензор (сбис) при установке своих продуктов добавляет каталоги и бинари в исключения Defenderа?
powershell -executionpolicy bypass -command add-MpPreference -ExclusionPath C:\Program Files (x86)\Tensor Company Ltd\Saby Plugin\sbis3plugin.exe
powershell.exe -NonInteractive -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath 'C:\Program Files (x86)\СБИС Престо'"
powershell -executionpolicy bypass -command add-MpPreference -ExclusionPath '%ProgramData%\Sbis3Plugin
😁17❤4👍2
В связи с повышением стоимости утечек ПДН... срочно разыскиваю сотрудников ИБ ФССП РФ или же их куратора.
😁9
Решил раскрыть небольшой набег на сервис туннелинга
https://telegra.ph/dzhihad-v-trube-06-21
https://telegra.ph/dzhihad-v-trube-06-21
Telegraph
джихад в трубе
Intro Практически все мы сталкивались с сервисами туннелирования трафика, ngrok cloudlfared localtonet gsocket и т.п. Кто то их использует для проброса своих ресурсов мимо служб ИБ, кто то просто разработчик и ему удобно через них работать, а кто то ломает…
🔥16👍6👎2❤1
image_2025-06-25_23-31-34.png
24.8 KB
сижу ломаю голову по поводу CVE-2025-49144, тестирую и думаю откуда там возьмется system? мы сами запускаем бинарь от имени администратора и дочерний бинарь regsvr32.exe так же будет запущен от имени пользователя с привилегиями админа...откуда system? Тестил кто? как из админа в system попасть понятно, но так как описывают сразу в system вроде не получается? с чего это вообще lpe если мы запускаем от имени админа (binary planting чистой воды)?
😁3
image_2025-06-25_23-42-06.png
9.8 KB
вот вам тоже страшный страшный зирозирозироудей lpe в rustdesk.exe который ищет cmd.exe рядом с собой (..\AppData\Local\rustdesk\cmd.exe). Если запустите rustdesk от system то cmd.exe точно запустится от system))))
😁14
Шел который день безжалостных атак на инфраструктуры компаний РФ, ононимусы нашли список древнерусских имён и совершили свой виртуальный похек Кремля. (Спасибо коллеге за прекрасные скрины)
Кто ты сегодня? Конон Еремеевич или Варлаам Ефстафьевич?
Кто ты сегодня? Конон Еремеевич или Варлаам Ефстафьевич?
😁41
Forwarded from Know Your Adversary
Всем привет!
Сегодня мы рассмотрим технику OS Credential Dumping: NTDS (T1003.003). Уверен, вы видели, как злоумышленники используют
Думаю, вы видели много отчётов о недавних атаках с использованием программы-вымогателя Akira, связанных с SonicWall. Согласно этому отчёту, злоумышленник использовал
Если мы хотим найти попытки выгрузки
Увидимся завтра!
English version
Сегодня мы рассмотрим технику OS Credential Dumping: NTDS (T1003.003). Уверен, вы видели, как злоумышленники используют
esentutl для получения копии NTDS.dit, но что насчёт wbadmin?Думаю, вы видели много отчётов о недавних атаках с использованием программы-вымогателя Akira, связанных с SonicWall. Согласно этому отчёту, злоумышленник использовал
wbadmin для выгрузки NTDS.dit, а также файлов реестра SYSTEM и SECURITY:"C:\Windows\system32\wbadmin.exe" start backup -backupTarget:\\localhost\c$\ProgramData\ -include:C:\Windows\NTDS\NTDS.dit C:\Windows\System32\config\SYSTEM C:\Windows\System32\config\SECURITY -quiet
Если мы хотим найти попытки выгрузки
NTDS.dit, можем использовать следующий запрос:event_type: "processcreatewin"
AND
proc_file_path: "wbadmin.exe"
AND
cmdline: "ntds.dit"
Увидимся завтра!
English version
👍5❤1
image_2025-08-19_11-24-19.png
94.2 KB
боролись с мошенниками...боролись и заборолись )) скам через max уже тут, тот самый безопасный max =/
😁10