Киберпиздец. Страница 7

Достаточно простой трюк для обхода GPO, где пользователь без прав администратора может подменить файл ntuser.dat, загружающий пользовательское дерево реестра, просто потому что путь по которому он лежит доступен для записи. Правда чтобы подтянуть измененные политики требуется login-logoff.

Кстати в Microsoft не считают это проблемой.

https://medium.com/tenable-techblog/bypass-windows-10-user-group-policy-and-more-with-this-one-weird-trick-552d4bc5cc1b

Для тех, кому нужно быстро погрузиться в базовые концепции безопасности Azure, у Microsoft есть краткий курс на эту тему >

[RU] https://docs.microsoft.com/ru-ru/learn/modules/design-for-security-in-azure/
[EN] https://docs.microsoft.com/en-us/learn/modules/design-for-security-in-azure/

Небольшой вброс для тех, кто считает, что XSS в публичном сервисе Google в 2019 это не реально. Самое интересное, что на уязвимость автора натолкнули результаты сканирования Acunetix'a, который по этому случаю заслужено получил свою долю славы. https://w…

Для совсем ленивых

​​​​Сейчас постепенно закрываю свои пробелы в сетях подготовкой к сдачи CCNA, причем начиная с 23 февраля на смену привычным делениям на CCNA R&S, Security, Wireless и пр. появляется просто CCNA, обновленный и объединяющий в себе сразу все направления.

Как несколько экзаменов объединить в один я пока себе мало представляю, но очевидно такая унификация давно напрашивалась, потому что многие даже не подозревали, что CCNA это что-то еще кроме routing and switching и тупо сдавали его.

Но несмотря на все изменения, общий стек протоколов и базовые правила остаются неизменным, поэтому если вы вдруг тоже готовитесь к CCNA/CCNP или просто хотите освежить знания по настройкам Cisco, вот вам полезные шпаргалочки https://packetlife.net/library/cheat-sheets/

Отчет Positive Technologies об уязвимостях в веб-приложениях в 2019 году.

Советую начать читать сразу с последней станицы, где описана методика, потому что в исследование вошел ограниченный скоуп веб-приложений.

​​Всем Global Threat Intelligence, посоны!

Очень крутой материал от инженера из Microsoft Threat Intelligence Center про подход, который он назвал "Гитхабификация ИБ", в котором рассказывает про три компонента: знание, аналитика и анализ.

Суть подхода заключается в использовании универсальной модели для обмена знаниями, которая в последствии позволит уменьшить время на реагирование по всему миру.

Для того, чтобы глубже понять концепцию, автор приводит в пример, как этого можно добиться, используя уже существующие инструменты: фреймворка MITRE ATT&CK для шеринга знаниями, Sigma-правил для аналитики угроз и еще одной интересной штуки Jupyter, которая позволяет делать плейбуки для детального описания угроз и их дальнейшего анализа.

Идея далеко не новая, подход интересный, но проблемы вроде требований локальных регуляторов, нежелание делиться чувствительной информацией по результатам расследования инцидента и другие сопутствующие проблемы всегда будут тормозить процесс внедрения подобных инициатив.

А вообще в материале очень много ссылок на крутейшие проекты вроде ThreatHunterPlaybook Project или Open Security Collaborative Development (OSCD), с которыми я вам очень рекомендую ознакомиться! В конце концов может хотя бы в пределах вашей организации вам получится реализовать что-то подобное.

Habr: https://habr.com/en/post/487584/
Оригинал: https://medium.com/@johnlatwc/the-githubification-of-infosec-afbdbfaad1d1

Ночью команда Facebook боролась со взломом своих социалочек (Twitter/Instagram) очень странными способами.

https://twitter.com/Facebook/status/1225959837709697025

DSec ❤️

https://habr.com/ru/company/dsec/blog/486410/

curl https://ipinfo.io/1.1.1.1

А вот кажется первые плоды эксплоита checkm8 под iOS, который подарил огромные возможности для исследователей Apple.

Материал про то, как используя мощные инструменты для реверса, такие как Frida, radare2 и пр. можно на джейлбрейкнутой iOS расковырять реализацию аудиозвонков в WhatsApp.

Сложно, долго и интересно. Не для быстрого чтения.

https://medium.com/@schirrmacher/analyzing-whatsapp-calls-176a9e776213

​​К слову о конференциях, есть такой сайтик https://infocon.org/cons/, там в разделе cons ребята собирают и структурируют огромное количество видео-материалов с конференций по всему миру.

Информации там столько, что кажется жизни не хватит все просмотреть, а вот достать доклад прошлого года или пересмотреть все выступления любимого спикера — это пожалуйста. Российские конференции OFFZONE, PHDays и ZeroNights тоже присутствуют.

​The Standoff или великая битва красно-синих за виртуальный город.

Напоминаю вам, что организаторы PHDays запустили сбор заявок на участие в The Standoff. Тут мне шепнули, что в этом году будет целых 15 команд атакующих и 5 защищающихся (все как в жизни), поэтому если вы давно мечтали привести все свои скиллы в боевую готовность, то сейчас самое время.

https://www.phdays.com/ru/press/news/the-standoff-na-phdays-uchastvuyte-v-yubileynoy-bitve-hakerov-i-zashchitnikov

​Порой кажется, что задача собирать и анализировать трафик сети неподъемная и очень трудоёмкая.

Причин, требующих мониторить трафик может быть множество, начиная от неправильных конфигураций, которые нагружают вашу сеть, до создания поведенческого baseline сетевой активности и анализа аномалий.

Задача поставлена, рынок спешит предложить решения, и тут они на любой вкус и цвет: пакетные анализаторы, анализаторы потоков (flow), десятки способов получения трафика: SPANы, TAP'ы, отправка различных flow и пр.

Но, что если хочется «бисплатно» и с рюшками? Тут тоже целый простор для фантазии, open-source, отодвигая кровавый энтерпрайз, тоже готов предложить массу интересных систем, например небезизвестное в широких кругах Moloch — масштабируемое решение для захвата и индексации пакетов внутри вашей сети, которое отлично дополнит IDS систему.

GitHub: https://github.com/aol/moloch
Quick Start: https://medium.com/swlh/indexing-network-traffic-with-moloch-and-elastic-931dda8a1685

А также другие решения, если вдруг захочется «а можно всех посмотреть?»:

Traffic Analysis/Inspection: https://github.com/caesar0301/awesome-pcaptools#analysis
Traffic Capture: https://github.com/caesar0301/awesome-pcaptools#capture

Материал про убийцу CSRF, атрибут печенек — SameSite, который будет устанавливаться в Chrome 80 по-умолчанию, и затронет не только CSRF-атаку. Релиз Chrome 80 запланирован уже на 4 февраля, а вот как быстро подтянутся остальные браузеры пока не известно.…

​Выходные не прошли даром, случайно наткнулся на проект под названием Cutter — бесплатный фреймворк с открытом кодом, построенный на базе radare2 и созданный реверсерами для реверсеров, по-братски.

Выглядит симпатично и удобно, поэтому если вдруг подустали от ida и нужен хороший инструмент, учитывая его бесплатность, Cutter отлично подходит.

https://cutter.re/
https://github.com/radareorg/cutter
@r2cutter

#реклама
3 февраля Александр Дмитриев, сертифицированный этичный хакер, специалист по информационной безопасности с внушительным практическим стажем проведет вебинар «Внутренний аудит ИБ. Введение»

Этот вебинар — вводная лекция в обучающий курс для ИТ-специалистов, которые хотят научиться как практическим методам выявления угроз и устранения уязвимостей, так и сопровождению, управлению и документированию процесса внутреннего аудита. Курс построен на стандартах организации информационной безопасности ISO 27002 и международных методиках EC-Council. Чтобы получить ссылку на вебинар, регистрируйтесь по ссылке: https://cyberskill.timepad.ru/event/1242285/

Вот еще ряд вебинаров с вводными лекциями в курс:
ISO 27002 https://cyberskill.timepad.ru/event/1242417/ — 4 февраля 13:00
CEH (Certified Ethical Hacker) https://cyberskill.timepad.ru/event/1242421/ — 5 февраля 13:00
CND (Certified Network Defender) https://cyberskill.timepad.ru/event/1242428/ — 5 февраля 13:30

Материал про убийцу CSRF, атрибут печенек — SameSite, который будет устанавливаться в Chrome 80 по-умолчанию, и затронет не только CSRF-атаку.

Релиз Chrome 80 запланирован уже на 4 февраля, а вот как быстро подтянутся остальные браузеры пока не известно.

А гаечки то закручиваются...

https://blog.reconless.com/samesite-by-default/