Обложка канала

Киберпиздец. Страница 3

10674 @cybershit
Открыть

Киберпиздец - это полезный канал, посвященный различным аспектам информационной безопасности и сопутствующих технологий.

  • Киберпиздец

    Gitlab - достаточно популярный продукт для разработки, благодаря self-hosted решению его часто можно встретить на поддоменах компаний. Помимо того, что в нем также присутствует регистрация без подтверждения email’а (смотрим в предыдущие посты), это еще и отличная возможность собрать информацию о сотрудниках.

    Без аутентификации доступен следующий API метод - gitlab.company.local/api/v4/users/{id}

    На самом gitlab - эта ручка также доступна, например https://gitlab.com/api/v4/users/7154957:

    {"id":7154957,"name":"Bo0oM","username":"webpwn","state":"active","avatar_url":"https://secure.gravatar.com/avatar/4e99709ca6b52f78d02cb92a5bc65d85?s=80\u0026d=identicon","web_url":"https://gitlab.com/webpwn","created_at":"2020-09-21T17:25:55.046Z","bio":"","bio_html":"","location":"","public_email":"","skype":"","linkedin":"","twitter":"@i_bo0om.ru","website_url":"https://t.me/webpwn","organization":"","job_title":"","work_information":null}

    Перебирая идентификаторы, можно за короткое время собрать список логинов (и другую информацию о сотрудниках компании.

    По логину также можно узнать открытые ключи - https://gitlab.com/webpwn.keys

    Отдельного упоминания заслуживает avatar_url:

    ”avatar_url":"https://secure.gravatar.com/avatar/4e99709ca6b52f78d02cb92a5bc65d85?s=80\u0026d=identicon”

    Сервис gavatar содержит email в пути к изображению - 4e99709ca6b52f78d02cb92a5bc65d85. Это ни что иное, как md5 от email’а в нижнем регистре.

    echo -n "[email protected]" | md5


    4e99709ca6b52f78d02cb92a5bc65d85

    А так как у нас скорее всего корпоративный домен, узнать логины по остальным данным и собрать базу программистов компании будет достаточно просто.

  • Киберпиздец

    При анализе вредоносного ПО часто возникает потребность в эмуляции исполняемых двоичных файлов в кросс-платформенных средах и на разных ОС, будь это Windows PE в Linux, Linux ELF на Windows, или DOS на MacOS.

    До недавнего времени для такого швейцарского ножа приходилось иметь под рукой множество эмуляторов и отладчиков, но в конца 2019 года малазийский исследователь Лау Кайджерн (Lau Kaijern) опубликовал в открытый доступ свой новый инструмент — Qiling, который сейчас активно развивается. Над проектом работает не один Лау, и ребята позиционируют свое детище как ядро для других более высокоуровневых проектов, параллельно докручивая функциональность и гибкие возможности API.

    Фактически Qiling — это кросс-платформенный фреймфорк на Python, позволяющий вам эмулировать исполняемые файлы, будь это обычные PE, прошивка для вашего роутера или IoT устройства или даже UEFI. А благодаря поддержки API, Qiling можно использовать как вспомогательный инструмент для Ghidra, IDA Pro и пр.

    GitHub > https://github.com/qilingframework/qiling
    Архитектура Qiling и примеры использования > https://blog.lazym.io/2020/09/05/Dive-deeper-Analyze-real-mode-binaries-like-a-Pro-with-Qiling-Framework/
    Обнаружение множественных вызовов Windows API с помощью Qiling > https://lopqto.me/posts/automated-dynamic-import-resolving

  • Киберпиздец

    ​​В последние годы Threat Intelligence стал настоящим bo0om'ом в сфере ИБ. Сейчас куда не сунься, везде стартапы, предлагающие купить свои самые-самые лучшие платформы и фиды для расследования угроз. Энтерпрайз тоже не отстает. Но что делать тем, кто еще не…

  • Реклама

  • Киберпиздец

    Golang Security

    В силу того, что все больше компаний начинают переписывать свои сервисы на golang, решил сделать подборку по аспектам безопасности этого языка.

    Awesome golang security - подборка лучших практик, включая библиотеки, фреймворки для харденинга, статьи

    OWASP Go-SCP - лучшие практики по написанию безопасного кода на Go от OWASP

    Go-ing for an Evening Stroll: Golang Beasts & Where to Find Them - обсуждение 4х распространенных уязвимостей в Golang. Репо с расширенной версией доклада + слайды

    Статические анализаторы: gosec, golangci-lint, safesql

    Not-going -anywhere - набор уязвимых программ на Golang для выявления распространенных уязвимостей.

    OnEdge - библиотека для обнаружения неправильного использования паттернов Defer, Panic, Recover.

    #dev

  • Киберпиздец

    Множество вредоносного ПО прежде чем исполнить свое прямое назначение может пытаться определить среду, в которой оно запущено, и в зависимости от результата этой проверки может действовать по разному, например в случае если было определено, что ПО запущено в виртуальной среде завершить исполнение, чтобы средства динамического анализа не смогли осуществить детектирование угрозы.

    Здесь есть множество нюансов, начиная с того, что множество современных систем и так виртуализированы, включая рабочие станции пользователей, и заканчивая особенностями гипервизора или механизмами детектирования конкретного вендора. Тем не менее есть множество популярных способов обнаружения виртуальных сред, которыми пользуются злоумышленники и которые стараются предусмотреть производители решений.

    Сегодня вашему вниманию предоставляется небольшая подборка инструментов для тестирования виртуальных сред и песочниц, аналогично тому, как это делает ВПО.

    https://github.com/LordNoteworthy/al-khaser

    https://github.com/a0rtega/pafish

    https://github.com/CheckPointSW/InviZzzible

    И дополнительно неплохой материал с описанием и примерами некоторых техник обхода > https://evasions.checkpoint.com/

  • Киберпиздец

    ​​Оказывается у GitHub есть сервис GitHub Actions, позволяющий выстроить SDLC прямо внутри вашего репозитория. Фактически это CI/CD, интегрированный с GitHub, где вы можете уже сейчас создавать не просто тесты, а выполнять статическое и динамическое сканирование вашего кода, искать уязвимости в зависимостях и использовать другие инструменты, доступные в местном маркетплейсе.

    > https://github.com/features/actions

    В догонку небольшой материал про опыт использования GitHub Actions при построении небольшого AppSec процесса.

    > https://jerrygamblin.com/2020/08/27/build-an-open-source-appsec-pipeline-using-github-actions/

  • Киберпиздец

    🔥Мы знаем, что вы будете делать 22–23 апреля 2021 года

    На сроки постапокалипсиса IRL мы повлиять не можем. Но дату постапокалипсиса в стенах отдельно взятой конференции по кибербезопасности мы уже назначили.

    Ждем всех 22 и 23 апреля следующего года на OFFZONE 2021 в Москве (можете не проверять, это четверг и пятница;)

    Все обещания в силе:
    — если вы сохранили билет на OFFZONE 2020, вы сможете по нему посетить OFFZONE 2021;
    — если сохраненный билет был куплен до 12 марта 2020 года, при встрече мы подарим вам эксклюзивную футболку;
    — если новые даты не подходят, вы можете сдать билет и вернуть 100% от его стоимости до 21 марта 2021 года включительно.

    Даты — в календарь, ожидание — на максимум, отсчет пошел 🧟‍♂️

  • Киберпиздец

    Курс Microsoft, нацеленный на кибербезопасность, выглядит очень взвешенно: постепенное поглощение сильных ИБ-игроков (CyberX, Hexadite и др.), доработка собственной продуктовой экосистемы, все это очень амбициозно. Взять хотя бы их платформу Microsoft Defender ATP (Advanced Threat Protection), которая помимо Windows уже работает под Linux, macOS и Android.

    К сожалению в России Defender ATP не очень популярен, там не менее многие компании используют его в составе того же Office 365, поэтому вот вам хорошо структурированный материал по работе с ним:

    https://techcommunity.microsoft.com/t5/microsoft-defender-atp/become-a-microsoft-defender-atp-ninja/ba-p/1515647

  • Киберпиздец

    #реклама

    👏🏼 Интенсив для управленцев по информационной безопасности КОД ИБ ПРОФИ стартует уже 21 июля в online-формате

    Один день – экспертный разбор одной темы:

    🚀 21.07 Взаимодействие с бизнесом и командой
    🚀 22.07 Сервисная модель в ИБ
    🚀 23.07 ИБ без бюджета
    🚀 28.07 Безопасность персонала
    🚀 29.07 Управление Security Operations
    🚀 30.07 Управление инцидентами

    Никакой воды, только мастер-классы экспертов отрасли, сообщество единомышленников и даже нетворкинг-сессия

    🚀 Только для подписчиков канала промокод CYBRSHT на 15%

    Регистрация: https://clck.ru/Pgt9S

  • Киберпиздец

  • Киберпиздец

    Рассуждения на тему того, что несмотря на особенности компиляции, количество потребляемых ресурсов и итоговый размер семпла, Python в последнее время стал одним из самых распространенных языков, на котором пишут малварь, а количество готовых инструментов и модулей под Python делает порог вхождения только проще.

    В материале также приведены несколько примеров вредоносного ПО на Python, а также самые банальные техники детекта, для которых вы можете использовать те же YARA-правила.

    https://www.cyborgsecurity.com/python-malware-on-the-rise/

  • Киберпиздец

    Google опубликовала в открытый доступ сетевой сканнер Tsunami с собственной системой плагинов. Проект целится на корпоративный сегмент с крупными распределенными сетями, а главной целью по словам разработчиков является точность сканирования.

    На данном этапе Tsunami находится на стадии pre-alpha, с небольшой функциональностью, но мы же все помним, что при похожем подходе случилось с Kubernetes?

    Сканнер> https://github.com/google/tsunami-security-scanner
    Первые плагины> https://github.com/google/tsunami-security-scanner-plugins/tree/master/google

  • Киберпиздец

    PowerShell всегда был отличным инструментом для получения информации о системе, а с недавних пор стал мощнейшим инструментом для пост-эксплуатации и даже был включен в дистрибутив Kali.

    На сайте Offensive Security вышел материал про получение PSSession из под WIndows и Linux, а также возможность получения reverse shell.

    https://www.offensive-security.com/offsec/kali-linux-powershell-pentesting/

  • Киберпиздец

    ​​Помните материал про Гитхабификацию ИБ, где автор рассказывал об унификации процесса обмена и реагирования на угрозы ИБ, с привязкой к MITRE ATT&CK? Сегодня я хочу вам рассказать об одном проекте под названием Atomic Threat Coverage. Ребята подружили Atomic…
    Югославский: Информационная Безопасность с MITRE ATT&CK | 4SEC

    Интервью с Даниилом Югославским, руководителем отдела обнаружения угроз компании Cindicator, автором проекта Atomic Threat Coverage, и координатором инициативы Open Security Collaborative Development.

    Твиттер Даниила: https://twitter.com/yugoslavskiy

    YouTube

  • Киберпиздец

    ​​Когда хочется управлять уязвимостями, nmap становится мало, а нормальные решения по управлению уязвимостями "выходят в копеечку" на помощь как всегда приходит opensource.

    Подборка бесплатных решений для Vulnerability Management'а:

    DefectDojo
    Archery
    SecureCodeBox
    Faraday
    VulnReport

    А чтобы вам было проще выбрать, вот их сравнение

    Да, это рекламный материал для канала @sec_devops, рассказывающего про AppSec, безопасность Kubernetes, облаков (AWS, GCP, Azure) и SDLC, включая SAST, DAST, Vault и другие инструменты, которые можно встроить в CI/CD.

  • Реклама

  • Киберпиздец

  • Киберпиздец

  • Киберпиздец

    Ubiquiti ТОП за свои деньги?