Как стать автором
Обновить
0
0

Пользователь

Отправить сообщение

Вскрываем средство для DDoS-атак на российскую ИТ-инфраструктуру

Уровень сложности Средний
Время на прочтение 33 мин
Количество просмотров 19K

Привет, Хабр! В начале апреля 2023 года на одном из хостов был обнаружен подозрительный файл mhddos_proxy_linux_arm64 (MD5: 9e39f69350ad6599420bbd66e2715fcb), загружаемый вместе с определенным Docker-контейнером. По открытым источникам стало понятно, что данный файл представляет из себя свободно распространяемый инструмент для осуществления распределённой атаки на отказ в обслуживании (DDoS), направленный против российской ИТ-инфраструктуры.

После запуска программа получает все необходимые настройки и автоматически
инициирует массированные сетевые подключения к целевым хостам на различных
уровнях TCP/IP для осуществления отказа в обслуживании.

Если вам интересны технические подробности анализа или список целей данного инструмента, то добро пожаловать под кат.

Читать далее
Всего голосов 78: ↑75 и ↓3 +72
Комментарии 42

Карманная консоль Null 2 RetroPie на базе Raspberry Pi Zero 2

Время на прочтение 12 мин
Количество просмотров 14K

Этот проект будет интересен любителям ретро игр и просто тем, кто захочет вспомнить былые дни, а может и собрать собственную карманную консоль. Здесь мы подробно разберем этот процесс для комплекта Null2, попутно решив ряд проблем совместимости и обсудив технические вариации сборки.
Читать дальше →
Всего голосов 44: ↑43 и ↓1 +42
Комментарии 9

Ontol про пентест и этичное хакерство: подборка лучших бесплатных курсов на YouTube

Время на прочтение 9 мин
Количество просмотров 23K
image

Анджелина как бы намекает, что пора стать этичным хакером.

Чтобы YouTube не банил обучающие курсы по хакерству, их назвали курсами этичного хакерства.

Этичный хакер — это добрый и пушистый, очень законопослушный высококвалифицированный специалист, который с письменного разрешения заказчика проверяет защищенность информационных систем этого же заказчика. Потом пишет отчет о выявленных уязвимостях и больше никому ничего не рассказывает, даже если очень хочется. Если хакер вдруг перестал быть этичным, его тут же ловят другие этичные хакеры, потому что сила в правде.

Есть очень дорогие курсы, есть не очень дорогие, а есть бесплатные. Вообще-то, тру хакер всё должен выучить самостоятельно по книгам, но иногда можно и на YouTube подсмотреть.

Предлагаем вашему вниманию подборку 20+ самых популярных обучающих видеокурсов на YouTube.
Читать дальше →
Всего голосов 37: ↑25 и ↓12 +13
Комментарии 8

Охота на атаки MS Exchange. Часть 1. ProxyLogon (CVE-2021-26855, 26858, 27065, 26857)

Время на прочтение 15 мин
Количество просмотров 22K


Авторы статьи: Антон Медведев, Демьян Соколин, Вадим Хрыков


Microsoft Exchange — один из самых распространенных почтовых серверов, который используют сотни тысяч компаний по всему миру. Популярность и доступность из интернета делают его притягательной целью для злоумышленников.


С конца 2020 года мы наблюдаем резкий рост количества инцидентов, так или иначе связанных с компрометацией сервера MS Exchange и его различных компонентов, в частности OWA (Outlook Web Access). Учитывая 24-летнюю историю сервера MS Exchange, сложность его архитектуры, расположение на периметре и возросший к нему интерес со стороны исследователей по безопасности, можно предположить, что количество найденных уязвимостей в популярном почтовом сервере со временем будет только расти. Свидетельство тому — недавно обнаруженная исследователями из DEVCORE цепочка критических уязвимостей, известная под общим названием ProxyLogon.

Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 2

TWAPT — пентестим по-белому в домашних условиях

Время на прочтение 7 мин
Количество просмотров 8.9K

"Чтобы поймать преступника, нужно мыслить как преступник". В эпоху Интернета киберпреступников можно назвать неуловимыми злодеями, которым для совершения преступлений не требуется показывать своего лица, и даже не обязательно находиться в одной стране с жертвой атаки, а все их действия могут остаться анонимными. Чтобы понять как действует злоумышленником, нужно самому стать им. Но как быть в этом случае специалисту по информационной безопасности, если нарушать законодательство - плохая идея, а понять как мыслит злоумышленник все же необходимо?

Читать далее
Всего голосов 16: ↑16 и ↓0 +16
Комментарии 1

Взлом Wi-Fi-сетей, защищённых WPA и WPA2

Время на прочтение 3 мин
Количество просмотров 238K
Автор статьи, перевод которой мы сегодня публикуем, хочет рассказать о том, как взломать Wi-Fi-сеть, для защиты которой используются протоколы WPA и WPA2.


Статья написана исключительно в ознакомительных целях

Читать дальше →
Всего голосов 61: ↑44 и ↓17 +27
Комментарии 53

Атаки китайской APT-группировки HAFNIUM c использованием 0-day в Microsoft Exchange Server: как это было в России

Время на прочтение 5 мин
Количество просмотров 13K


Важная новость в мире информационной безопасности появилась на прошлой неделе от компании Microsoft о том, что китайская группировка HAFNIUM атакует американские компании и организации с использованием 0-day уязвимости в Microsoft Exchange Server. Новость стала настолько резонансной, что ее транслировали даже федеральные каналы, а ведущие ИБ-компании незамедлительно публиковали подробности атак, которые они наблюдали (Volexity, Fireeye, Cisco Talos Intelligence Group).

Вопрос, который всю предыдущую неделю задавал себе, наверное, каждый специалист по ИБ в России: а как же мы? Нас тоже атаковали с использованием 0-day уязвимости? Спойлер – да. Технические подробности под катом.
Читать дальше →
Всего голосов 27: ↑27 и ↓0 +27
Комментарии 5

Как обнаружить атаки на Windows-инфраструктуру: изучаем инструментарий хакеров

Время на прочтение 11 мин
Количество просмотров 26K


С каждым годом растет количество атак в корпоративном секторе: например в 2017 году зафиксировали на 13% больше уникальных инцидентов чем в 2016 г., а по итогам 2018 — на 27% больше инцидентов, чем в предыдущем периоде. В том числе и тех, где основным рабочим инструментом является операционная система Windows. В 2017—2018 годах группировки APT Dragonfly, APT28, APT MuddyWater проводили атаки на правительственные и военные организации Европы, Северной Америки и Саудовской Аравии. И использовали для этого три инструмента — Impacket, CrackMapExec и Koadic. Их исходный код открыт и доступен на GitHub.

Стоит отметить, что эти инструменты используются не для первичного проникновения, а для развития атаки внутри инфраструктуры. Злоумышленники используют их на разных стадиях атаки, следующих после преодоления периметра. Это, к слову сказать, сложно детектируется и зачастую только с помощью технологий выявления следов компрометации в сетевом трафике или инструментов, позволяющих обнаружить активные действия злоумышленника после проникновения его в инфраструктуру. Инструменты обеспечивают множество функций — от передачи файлов до взаимодействия с реестром и выполнения команд на удаленной машине. Мы провели исследование этих инструментов, чтобы определить их сетевую активность.
Читать дальше →
Всего голосов 27: ↑27 и ↓0 +27
Комментарии 3

Что такое Mimikatz: руководство для начинающих

Время на прочтение 4 мин
Количество просмотров 62K


Бенджамин Делпи изначально создал Mimikatz в качестве доказательства концепции, чтобы продемонстрировать Microsoft уязвимость для атак их протоколов аутентификации. Вместо этого он непреднамеренно создал один из самых широко используемых и загружаемых хакерских инструментов за последние 20 лет.

Джейк Уильямс из Rendition Infosec говорит: «Mimikatz сделал для повышения безопасности больше, чем любой другой известный мне инструмент». Если защита сетей Windows — ваша работа, важно быть в курсе последних обновлений Mimikatz, чтобы понимать методы, которые хакеры будут использовать для проникновения в ваши сети, и оставаться на шаг впереди.
Читать дальше →
Всего голосов 8: ↑4 и ↓4 0
Комментарии 0

Моделирование дома в SketchUp и перенос его в Unity 3D

Время на прочтение 2 мин
Количество просмотров 19K

На прошлом уроке мы затронули тему самостоятельного создания объектов для игр. В т.ч. была упомянута программа SketchUp, которую мы часто использовали, для создания простых строений. Сегодня, мы создадим здание в SketchUp и перенесем его в Unity.

Читать далее
Всего голосов 8: ↑7 и ↓1 +6
Комментарии 15

Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…

Время на прочтение 8 мин
Количество просмотров 539K
{UPD 10.02.2021} Евгений Чаркин дал интервью на эту тему gudok.ru/newspaper/?ID=1552569
Под катом мои комментарии на некоторые тезисы.
{/UPD}

Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.

В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.

То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».

К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора:
Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.

И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.



Видимо, только этот котэ добросовестно охраняет вокзал.

Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.
Читать дальше →
Всего голосов 1453: ↑1450 и ↓3 +1447
Комментарии 990

ELK, SIEM из OpenSource, Open Distro: Визуализация информационных панелей ELK и SIEM в ELK

Время на прочтение 4 мин
Количество просмотров 7.2K

В этом посте будет описана настройка визуализации информационных панелей ELK и SIEM в ELK
Статья разделена на следующие разделы:


1- Обзор ELK SIEM
2- Дашборды по умолчанию
3- Создание ваших первых дашбордов

Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Комментарии 0

Как стать этичным хакером в 2021 году

Время на прочтение 4 мин
Количество просмотров 169K

Добрый день, друзья. Я достаточно долго шёл к этому посту, перелопатил немало форумов, телеграм каналов, ютуб каналов, прочитал комментариев, изучил слитых курсов и я думаю что теперь я готов написать данный пост. Путь я свой начал вообще не из хакинга и даже не из тестирования и сетевого администрирования а самого обычного digitial маркетинга, поэтому объяснять все буду достаточно прозрачно даже для людей не в теме.

Начну с того что понятие "этичный хакер" - для меня это что-то вроде слова "маркетолог". То есть в общем обо всем и ни о чем вообще. В хакинге как и во многих отраслях нужна специализация. Когда приходят какие то заказы на этичный взлом они, как правило приходят на команду, и в этой команде есть уже какая-то специализация.

Часть материала я взял у Codeby здесь и тут, которые я считаю обязательными к изучению, часть позаимствовал из своего личного XMIND, часть из телеграм каналов

Начну с того что Хакинг делится на следующие области:

Стать хакером
Всего голосов 23: ↑9 и ↓14 -5
Комментарии 60

HackTheBox endgame. Прохождение лаборатории Hades. Пентест Active Directory

Время на прочтение 15 мин
Количество просмотров 8.2K


В данной статье разберем прохождение не просто машины, а целой мини-лаборатории с площадки HackTheBox.

Как сказано в описании, Hades предназначен для проверки навыков на всех стадиях атак в небольшой среде Active Directory. Цель состоит в том, чтобы скомпрометировать доступный хост, повысить привилегии и, в конечном итоге, скомпрометировать весь домен, собрав при этом 7 флагов.

Посмотреть разборы других лабораторий:

  1. Professional Offensive Operations.
  2. XEN.

Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то да умеют в области ИБ.

Организационная информация
Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем.
Читать дальше →
Всего голосов 10: ↑9 и ↓1 +8
Комментарии 2

Украденное оружие FireEye

Время на прочтение 12 мин
Количество просмотров 11K


8 декабря компания FireEye сообщила, что в результате успешной атаки высококвалифицированной APT-группировке удалось получить доступ к инструментам, которые компания использовала как арсенал Red Team команды.

Невольно новость отсылает к 2017 году, когда в сеть попал инструментарий ЦРУ и АНБ для взлома инфраструктуры. Эти утечки подарили миру большое количество разнообразных утилит: от эксплойтов для домашних роутеров и Smart TV до серверов управления зараженными хостами. Наибольший резонанс произвел эксплоит EternalBlue, использовавшийся в шифровальщиках WannaCry, Petya, NotPetya, которые парализовали деятельность компаний по всему миру.
Возвращаясь к текущему кейсу, компания FireEye уверяет, что в составе утекших данных нет 0-day эксплойтов и инструментов эксплуатации неизвестных ранее техник. Также FireEye опубликовала на GitHub набор правил (YARA, Snort, OpenIOC, ClamAV) для детектирования утекшего инструментария.

На основе информации, предоставленной FireEye попробуем разобраться какой арсенал получили злоумышленники в ходе успешной атаки и удалось ли им расширить инструментарий какими-то принципиально новыми средствами.
Итак,

git clone https://github.com/fireeye/red_team_tool_countermeasures
Читать дальше →
Всего голосов 19: ↑19 и ↓0 +19
Комментарии 4

Как обнаруживать перемещение атакующих по сети

Время на прочтение 8 мин
Количество просмотров 8.2K

На проектах по анализу защищенности корпоративных информационных систем в 2019 году нашим пентестерам удалось преодолеть сетевой периметр 93% компаний. При этом в сеть 50% компаний можно было проникнуть всего за один шаг. Чтобы не дать реальным атакующим достичь цели, важно вовремя выявлять их активность. Один из критически важных этапов атаки — перемещение внутри периметра (lateral movement), когда злоумышленники расширяют свое присутствие в сети.

В этой статье я покажу, какая активность относится к перемещению внутри периметра и как, используя сетевой анализ, выявить применение такой тактики.

Читать далее
Всего голосов 8: ↑8 и ↓0 +8
Комментарии 0

Подробное руководство по Honeypot

Время на прочтение 5 мин
Количество просмотров 30K


Honeypots – оборудование или ПО, которые специально развертываются отделами безопасности для изучение угроз. Ханейпот служит приманкой для сбора информации о злоумышленнике и защиты реальной целевой системы. Данный принцип был в основе и первых технологий Deception. О различиях DDP и Honeypots детально написано здесь.


Содержание:


  • Что такое Honeypots?
  • Классификация Honeypots
    • По уровню взаимодействия:
      • Приманки с низким уровнем взаимодействия
      • Приманки с средним уровнем взаимодействия
      • Приманки с высоким уровнем взаимодействия
      • Чистые приманки
    • По развертыванию:
      • Производственные приманки
      • Исследовательские приманки
    • По технологии обмана:
      • Приманки для вредоносного ПО
      • Email приманки
      • Приманки в виде баз данных
      • Приманки для «пауков»
      • Приманки для спама
      • Honeynets
  • Установка и работа Honeypots
    • Windows: HoneyBOT
    • Android: HosTaGe
    • Linux: Pentbox


Что такое Honeypots?


Honeypots – это тип интернет-ресурсов безопасности, которые используются в качестве наживки для злоумышленников, чтобы побудить их вторгнуться в сеть для любого незаконного использования. Такие приманки обычно настраиваются для изучения активности злоумышленника в сети, чтобы создавать более надежные средства защиты. Honeypot не несут никаких ценных данных, так как это поддельный хост, который помогает регистрировать сетевой трафик.


Типы данных, которые собирают приманки:


  • Сочетания клавиш вводимые злоумышленником
  • IP-адрес злоумышленника
  • Имена пользователей и различные привилегии, используемые злоумышленником.
  • Данные, к которым злоумышленник:
    • получил доступ
    • удалил
    • изменил

Классификация Honeypots

Читать дальше →
Всего голосов 8: ↑5 и ↓3 +2
Комментарии 4

Вскрытие трафика в публичных сетях

Время на прочтение 9 мин
Количество просмотров 66K


Эта статья о том, как стать кулхацкером (или по-английски Script Kiddie) — условным злоумышленником, который испытывает недостаток знаний в области программирования и использует существующее программное обеспечение, чтобы провести атаку на смартфоны и планшеты своих одноклассников.

Шучу. На самом деле передо мной стояла задача понять две вещи:

  1. Насколько опасно пользоваться публичным WiFi в 2020 году, в мире где господствуют браузеры и сайты с повсеместно победившими технологиями HTTPS (на основе TLS 1.1+) и HSTS
  2. Сможет ли человек моего уровня знаний (не самого высокого) “залезть” в чужой браузер и стащить ценные данные.

Спойлер
А в спойлере спойлер:
  1. Да, Опасно!
  2. Вполне сможет
Всего голосов 66: ↑64 и ↓2 +62
Комментарии 22

Must have для SOC: как выбрать сценарный подход к выявлению угроз

Время на прочтение 5 мин
Количество просмотров 3K
Для запуска корпоративного SOC или ситуационного центра управления ИБ мало внедрить систему мониторинга (SIEM). Помимо этого, нужно предусмотреть кучу всего, что понадобится команде SOC в работе. Методики детектирования, правила корреляции, наработки по реагированию — всё это должно укладываться в единый подход к выявлению инцидентов. Без этих вещей рано или поздно в команде будут возникать рядовые вопросы на уровне, что и как работает, кто за что отвечает, какие есть белые пятна и куда развиваться, как показать результат работы и развития.

Я решил поделиться тем, как мы с командой Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT сами формировали такой сценарный подход и как используем его на практике для защиты наших клиентов. Сегодня расскажу, что мы взяли за основу, как решали сложности и к чему в итоге пришли. Забегая вперед, отмечу, что наш подход не следует воспринимать как абсолютную истину. В случае с корпоративным SOC он может быть в каких-то местах полезным, а в каких-то избыточным.


Читать дальше →
Всего голосов 13: ↑12 и ↓1 +11
Комментарии 0

Создание Dashboard в Kibana для мониторинга логов

Время на прочтение 5 мин
Количество просмотров 20K


Привет, меня зовут Евгений, я тимлид B2B-направления в Ситимобил. Одной из задач нашей команды является поддержка интеграций по заказу такси от партнеров, и для обеспечения стабильного сервиса мы всегда должны понимать, что происходит в наших микросервисах. И для этого надо постоянно следить за логами.

В Ситимобил для работы с логами мы используем ELK-стек (ElasticSearch, Logstash, Kibana), и объём приходящих туда данных огромен. Найти в этой массе запросов проблемы, которые могут появиться после деплоя нового кода, довольно сложно. И для их наглядного выявления в Kibana есть раздел Dashboard.

На Хабре есть довольно много статей с примерами, как настроить ELK-стек для получения и хранения данных, но о создании Dashboard актуальных материалов нет. Поэтому я хочу показать, как в Kibana создавать визуальное представление данных на основе приходящих логов.

Читать дальше →
Всего голосов 13: ↑13 и ↓0 +13
Комментарии 3

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность

Специализация

Security Administrator, Pentester
Lead
Siem
Forensics
Information Security
Network security
Protection of information