AP Security

#pentest

Шпионские гаджеты от АНБ

Для тех, кого всегда манил физический пентест, и, безусловно, для фанатов Мистер Робот

Приятного прочтения

#infosec

В Судебном департаменте появится ИБ-отдел

О создании ИБ-отдела при Судебном департаменте Верховного суда РФ сообщил руководитель ведомства Владислав Иванов.

В функции подразделения войдет мониторинг периметра информационной безопасности. Будут также выработаны алгоритмы действий при кибератаках. Владислав Иванов заявил, что они будут «предельно четкими». Создаваемая структура должна оптимизировать концепцию информационной безопасности судебной системы. В ее функции войдет обучение сотрудников, для чего на базе Академии правосудия будут открыты специальные курсы.

#soc #tools

PersistenceSniper

Модуль Powershell, дополняющий функции Autoruns при поиске следов закрепа в системе на базе Windows.

💥 Уже завтра! Новый технический спринт в Клубе ЗУБРЫ Кибербеза

Слабое звено: готовим вредоносное вложение для проверки бдительности ваших сотрудников

🗓 19 ноября в 12:00 по мск

В рамках технического спринта узнаем, какие существуют современные техники создания вредоносных вложений для фишинговых писем, а также научимся воспроизводить некоторые из них.

Зачем вам это?
— Понять природу действий злоумышленников при создании вредоносного письма;
— Получить первичные навыки создания вредоносных нагрузок с целью проведения внутренних учений;
— Получить необходимые сведения о том, как детектировать нагрузки, опираясь на механизмы и цели их создания при обходе средств защиты.

🗣 Эксперт:
Владимир Дубровский, заместитель руководителя лаборатории кибербезопасности компании AP Security

Встреча проводится только для членов Клуба ЗУБРЫ Кибербеза и пользователей платформы Код ИБ АКАДЕМИЯ.

Ссылки на регистрацию в Клубе и АКАДЕМИИ.

#soc

10 типичных ошибок при расследовании инцидентов

Обобщённая статья, помогающая начинающим специалистам получить представление о подводных камнях в работе SOC, подготовиться к предстоящим задачам.

Приятного прочтения

#infosec

Россиян предупредили о мошенниках, предлагающих гражданам бесплатную бытовую технику

В рамках этой мошеннической схемы киберпреступники чаще всего действуют в небольших домовых чатах в мессенджерах, где представляются в качестве соседей и заявляют о том, что готовы в связи с переездом или приобретением новых вещей отдать старую мебель или бытовую технику, которая якобы находится в очень хорошем состоянии.

В том случае, если находятся желающие забрать эти вещи, злоумышленники начинают избегать личной встречи, заявляя о том, что готовы отправить технику бесплатно курьером. Заинтересованным пользователям мошенники присылают файл-приложение, который якобы можно использовать для отслеживания отправленной посылки. В действительности же этот файл вредоносен и позволяет хакерам получать доступ к пользовательскому устройству и красть конфиденциальные данные.

#pentest

Вопросник с ответами для веб-пентестеров

Вопросы разного уровня сложности для оценки своего уровня.

Открывается без задержек через мобильный браузер

#infosec

В 2025 году в России могут запустить страховку рисков утечек

Источники рассказали журналистам издания РБК, что этот механизм будет предусматривать определённый размер компенсации гражданам, пострадавшим от утечек конфиденциальной информации. Причём размер этой компенсации будет напрямую зависеть от типа личных данных, которые утекли в открытый доступ. Например, если это ФИО, информация о доходах и имуществе, то компенсация составит 1 000 руб. В том случае, если утекут данные о политических взглядах человека, его религии и состоянии здоровья, размер выплаты возрастёт до 2 000 руб. В случае утечки биометрической информации компенсация составит 5 000 руб.

Эксперты при этом отмечают, что на данный момент для пострадавших от утечек конфиденциальной информации граждан единственным возможным вариантом защиты своих прав является обращение в судебные органы. Аналитики подчёркивают, что требуется, чтобы в ситуации, если факт утечки зафиксирован, организация была бы безусловно обязана каждому обратившемуся пользователю, предоставляющему минимальное подтверждение того, что его личные данные утекли, выплачивать компенсацию в несколько десятков тысяч рублей. В связи с этим механизм страховки необходимо рассматривать только как один из шагов в этом направлении.

#pentest #exploit

Критическая уязвимость удалённого рабочего стола

Цепочка эксплойтов для CVE-2024-4358/CVE-2024-1800

Уязвимость обхода аутентификации, отслеживаемая как CVE-2024-4358 с оценкой CVSS 9.8, позволяет создавать учётные записи администраторов без проверок. Хейрха обнаружил, что метод «Register» в «StartupController» доступен без аутентификации, что позволяет создавать учётные записи администратора сразу после завершения первоначальной настройки.

Вторая уязвимость — CVE-2024-1800 с оценкой CVSS 8.8, позволяет удалённым аутентифицированным атакующим выполнять произвольный код на уязвимых серверах. Проблема была обнаружена ранее и сообщена вендору анонимным исследователем.

Хотя эксплуатация уязвимости десериализации сложна, описание и скрипт на Python от Хейрхи делают атаку достаточно понятной для потенциальных злоумышленников. Именно поэтому организациям рекомендуется как можно скорее применить доступные обновления, т.е. обновиться до версии 10.1.24.514 или выше, которые устраняют обе уязвимости.

#infosec

Телефонные мошенники готовы на самооговор ради заветного СМС-кода

ВТБ фиксирует рост популярности схемы телефонного мошенничества, сочетающей элементы социальной инженерии и взлом аккаунтов на сайтах госуслуг. Обманщики при этом звонят дважды, стараясь выманить одноразовый код доступа, высылаемый в виде СМС.

При первом звонке злоумышленник, выдающий себя за сотрудника госучреждения, сообщает о некоем заказном письме — например, из налоговой службы, и спрашивает, куда направить уведомление, на почту или имейл. Если выбор сделан, собеседника просят назвать код из СМС, который якобы нужен для оформления заявки. И действительно, вскоре ему приходит текстовое сообщение «код восстановления доступа», однако к этому времени намеченная жертва может уже завершить разговор из-за возникших сомнений.

В этом случае злоумышленники перезванивают от имени той же госструктуры и говорят, что прошлый раз звонил мошенник и аккаунт пользователя уже взломан. Для принятия мер против кражи личных данных срочно требуется одноразовый код, высланный в СМС.

#byapsecurity

Хакер. Базовые атаки на AD. Разбираем NTLM Relay и NTDS dumping

Участники команды защитников лаборатории кибербезопасности компании AP Security рады представить Вам вторую часть цикла статей (познакомиться с первой частью можно по ссылке) на тему практической безопасности .

Все действия продемонстрированы на машинах HTB.

Приятного прочтения!!!

#soc

Анализ логов

Блок вопросов для самоконтроля и проверки своих знаний с ответами для специалистов команды защитников

Приятного прочтения

#pentest

Начинаем в багбаунти: доступно об уязвимостях типа Broken Access Control

Cвежая статья об очень распространенном баге, который может проявляться самыми разными способами

Приятного прочтения

#infosec

Nvidia объявила о критических уязвимостях в драйверах и управляющем ПО

Nvidia заявила, что эксперты выявили 8 уязвимостей в драйверах и управляющем ПО видеокарт RTX, Quadro, NVS, Tesla и GeForce. Все они имеют высокую степень риска – от 7 до 8 баллов по CVSS. Вендор настоятельно рекомендует обновить драйверы и ПО.

Все они позволяют потенциальным злоумышленникам повышать привилегии, запускать произвольный код и получать доступ к локальным данным. Описанные уязвимости касаются ПО и драйверов как для Windows, так и для Linux.

Nvidia заявила об устранении данных проблем. Вендор рекомендует в кратчайшие сроки обновить драйверы Nvidia GeForce с версией 566.03 для Windows версии 565.57.01, 550.127.05 и 535.216.01 для Linux. Драйверы Nvidia RTX, Quadro и NVS нужно обновить соответственно до 566.03, 553.24 и 538.95.

#soc

Лучшие практики GRC

GRC (Governance, Risk and Compliance) — это интегрированный подход к организации корпоративного управления, управления рисками и соответствия требованиям.

Опыт и практические советы от экспертов отрасли информационной безопасности

#infosec

NOKIA расследует кражу исходного кода компании

Nokia начала расследование после появления информации о том, что хакер IntelBroker выставил на продажу украденный исходный код компании.

По заявлению Nokia, неавторизованное лицо утверждает, что получило доступ к данным, принадлежащим третьей стороне, а возможно, и самой Nokia. На данный момент компания не обнаружила признаков компрометации систем или данных, но продолжает внимательно следить за ситуацией.

Инцидент привлёк внимание после того, как IntelBroker заявил, что получил доступ к исходному коду Nokia через сервер стороннего подрядчика. По словам хакера, объектом атаки стал партнер, который сотрудничал с Nokia в разработке внутренних инструментов. В результате злоумышленник якобы получил SSH-ключи, исходный код, RSA-ключи, учётные записи BitBucket, SMTP, вебхуки и жёстко запрограммированные учётные данные.

#pentest

Living Off The Land Active Directory

Living-off-the-land (LotL) — это тип кибератаки, при котором хакеры используют законные инструменты и функции, уже присутствующие в целевой системе, чтобы избежать обнаружения и провести максимально скрытую атаку.

По ссылке представлены методы, использующие встроенные возможности AD для проведения разведки, повышения привилегий и горизонтального перемещения.

🗣Внимание, конкурс!

Разыгрываем 7 ваучеров на бесплатное обучение и сертификацию от The Linux Foundation. Ваучеры дают 100% скидку до 31.10.2025 — и мы хотим ими поделиться:

🟣 Каталог электронных курсов и сертификации

Их можно применить к любому:

— онлайн-курсу
— сертификационному экзамену
— или пакету (курс + сертификация)

🤝 CKA, CKS, CKAD и другие — в комплекте!

Условия розыгрыша просты: 🔵 Подпишитесь на KazDevOps и нажмите "участвую" под этим постом.

🚩 14 ноября подведем итоги и выберем 7 победителей. Каждый получит по ваучеру. Активировать ваучеры нужно до 31.10.2025. После этого у вас будет 1 год и 2 попытки, чтобы завершить обучение и/или сдать экзамен.

Go-go-go, и успехов!

#kubernetes #cka #ckad #cks #k8s #linuxfoundation #cncf

@DevOpsKaz 😛

#infosec

Mail ru отменила бесплатные вечные 100 ГБ для первых пользователей «Облако Mail ru»

В конце октября 2024 года компания Mail (принадлежит VK) предупредила клиентов, что отменяет бесплатные вечные 100 ГБ для первых пользователей «Облако Mail ru» спустя 11 лет старта проекта.

Бесплатный тариф на 100 ГБ хранилища, который сервис «Облако Mail» предоставлял бета-тестерам при запуске в 2013 году, прекратит действие 11 ноября 2024 года. Об этом событии в компании сообщили своим пользователям в почтовой рассылке.

Доступ к файлам пользователей, которые не поместятся в лимит, будет сохранён до 11 февраля 2025 года, однако их нельзя будет просмотреть или поделиться ими. После чего они удалятся без возможности восстановления.

#soc #tools

MemProcFS-Analyzer — автоматизированный криминалистический анализ дампов памяти Windows

MemProcFS-Analyzer.ps1 — это сценарий PowerShell, который упрощает использование MemProcFS и оптимизирует рабочий процесс анализа памяти.

#infosec

Россиян предупредили о новой мошеннической схеме с «подарочными sim-картами»

Специалисты по информационной безопасности компании МТС рассказали журналистам, что в рамках реализации этой мошеннической схемы телефонные аферисты массово обзванивают россиян и представляются сотрудниками их мобильного оператора, после чего радостно заявляют о том, что человек якобы выиграл некую подарочную sim-карту, на которой уже есть несколько тысяч рублей (или похожая небольшая сумма).

После получения подобного предложения многие граждане сообщают о том, что не заинтересованы в получении новой sim-карты. Однако мошенники в этом случае сразу же заявляют потенциальной жертве, что с этой подарочной sim-карты можно вывести на свой банковский счёт без каких-либо последствий сумму до 1 000 руб., если абоненту она не нужна, после чего sim-карта будет закрыта.

В том случае, если доверчивый пользователь соглашается вывести деньги с этой «подарочной sim-карты», злоумышленники заявляют ему, что для вывода средств необходимо предоставить свои персональные данные, включая полное имя, паспортную информацию, а также сведения с банковской карты.

В ситуации, когда человек проявляет особое рвение в желании получить деньги с баланса подарочной sim-карты, аферисты просят его установить мобильные приложения на свой телефон или же продиктовать код подтверждения из SMS-сообщения. Злоумышленники подгоняют человека и заявляют, что если указанные ими действия не будут выполнены, то все денежные средства с подарочной sim-карты будут заморожены и потеряны.

#pentest #tools

JSNinja

JSNinja - это мощный инструмент для извлечения URL-адресов и конфиденциальной информации из файлов JavaScript.

Отличительные черты:
Извлечение URL-адресов из файлов JavaScript
Выявление конфиденциальной информации, такой как ключи и токены API
Удобный интерфейс
Открытый исходный код и активная поддержка

#infosec

Россияне переходят на отечественные почтовые сервисы

За 9 месяцев текущего года число пользователей российских почтовых сервисов выросло в 2 раза по сравнению с аналогичным периодом прошлого года, трафик увеличился на 50%. А вот прирост аудитории иностранных аналогов составил только 17%, активность в них существенно упала. Это выяснили аналитики Yota на основе обезличенных данных абонентов.

Самым популярным почтовым сервисом по-прежнему остается Gmail от Google: за год он нарастил 19% пользователей, но их активность при этом снизилась (-10% по сравнению с прошлым годом). Второе место в топе занимает Яндекс Почта, аудитория которой выросла на треть (+35%), а активность на 10%. Тройку лидеров замыкает Почта Mail, показавшая взрывной рост: за год сервисом стало пользоваться в 4 раза больше абонентов, а потребляемый ими трафик увеличился в 2,5 раза.

А главным проигравшим является Outlook. Сервис потерял как пользователей, так и их трафик (-12% и -59% соответственно).

#soc

Какой инструмент безопасности с открытым исходным кодом нужен миру?

Короткое обсуждение на тему используемых решений в кибербезопасности (полезно молодым специалистам для ориентации в многообразии продуктов с открытым кодом).

А что Вы думаете по поводу этого вопроса?

Вариантами можно поделиться в комментариях к посту

#infosec

Цифровой рубль грозит стать неподъемным для малых банков

Минимальные инвестиции для работы с цифровым рублем почти на порядок превышают годовые ИТ-бюджеты малых российских банков, при этом возможности для заработка будут для них ограничены.

Для работы с цифровым рублем необходимо серьезно доработать целый комплекс систем банка, включая дистанционное банковское обслуживание (ДБО) для физических и юридических лиц, автоматизированную банковскую систему (АБС), а также системы комплаенса. С большой долей вероятности потребуется также модернизация оборудования.

Однако Банк России уже установил сроки, согласно которым банки должны будут обязаны предоставить своим клиентам возможность оперировать цифровым рублем. Для системно значимых кредитных организаций это 1 июля 2025 года, с универсальной лицензией — 1 июля 2026 года, с базовой лицензией — 1 июля 2027 года. За срыв этих сроков, как предупредила Эльвира Набиуллина в выступлении на форуме «Финополис», регулятор будет штрафовать.

#soc

APTMap

Большая интерактивная карта по различным кибергруппировкам.

Пополняется и актуализируется на основе таких источников как MISP, MITRE, ETDA, VX-Underground

#infosec

Сбербанк вернулся в App Store как Бюджет Онлайн и пока доступен

У владельцев iPhone появилась возможность обновить приложение Сбербанка через App Store. Сборка 16.0.0 доступна в магазине Apple под именем «Бюджет Онлайн», но ее могут в любой момент удалить, поэтому мешкать со скачиванием не стоит.

Клиентов предупреждают, что это последний апдейт для iOS-версии мобильного банка в этом году. Устаревшие 12.15, 14.3, 14.11 будут отключены.

#soc

Email Header Analysis

Анализ содержимого почтового письма и его заголовков является неотъемлемой частью детектирования фишинга.

Именно о заголовках и пойдёт речь в прикреплённом файле.

Приятного прочтения

#pentest #tools

CVE-2024-38014

CVE-2024-38014 — уязвимость в Windows Installer, позволяющая повышать привилегии в системе до уровня SYSTEM.
Оценка уязвимости по шкале CVSS 3.1 — 7.8 баллов.

В предложенной статье представлен разбор данной уязвимости.

Также месяц назад появился инструмент ( пока ещё сыроватый ), позволяющий сделать определённую оценку подверженности атаке.

#byapsecurity

Хакер. Базовые атаки на AD. Разбираем Kerberoasting, AS-REP Roasting и LLMNR Poisoning

Участники синей команды лаборатории кибербезопасности компании AP Security рады представить Вам авторскую статью не только о принципах работы базовых атак на домены, но и способах их детектирования защитниками.

Все действия подкреплены практикой на основе машин HTB.

Приятного прочтения!!!

#infosec

Госдума приняла в первом чтении законопроект о легализации белых хакеров

Законопроект № 509708-8 «О внесении изменений в статью 1280 части четвертой Гражданского кодекса Российской Федерации (об использовании программ для ЭВМ и баз данных)» был принят 16 октября в первом чтении.

Данный нормативный акт дает право любому пользователю «без согласия правообладателя и без выплаты вознаграждения изучать, исследовать или испытывать функционирование программы для ЭВМ или базы данных в целях выявления недостатков для их безопасного использования или поручить иным лицам осуществить эти действия». Это возможно при соблюдении ряда условий.

Прежде всего, все эти действия должны «осуществляться исключительно в отношении экземпляров программ для ЭВМ или баз данных, функционирующих на технических средствах пользователя».

Кроме того, информацию об обнаруженных недостатках запрещается передавать третьим лицам. Исключение составляют лишь правообладатель или лица, осуществляющего переработку ПО с согласия правообладателя.

Исследователь также должен в течение пяти рабочих дней уведомить правообладателя об обнаруженных недостатках. Исключение допустимо, если местонахождение правообладателя определить не удалось.

#pentest

Самый креативный cheatsheet по msfvenom

Коротко и очень красочно о самом базом инструменте любого пентестера.

#infosec

Мошенники стали взламывать неактивные профили россиян в WhatsApp

Злоумышленники стали взламывать неактивные профили россиян в WhatsApp (принадлежит компании Meta, признанной экстремистской и запрещенной в РФ) для дальнейшего обзвона и обмана других пользователей мессенджера под видом сотрудников банков или сотовых операторов, рассказал РИА Новости директор по клиентскому обслуживанию и сервису розничного бизнеса "Вымпелкома" Дмитрий Чернов.

По его словам, мошенники могут изменить изображение профиля на логотип компании для создания доверия. Звонки поступают через мессенджер с номера жертвы, не подозревающей о взломе, что затрудняет идентификацию мошенничества. В результате со взломанного аккаунта могут проводиться массовые обзвоны.

#pentest

CVE-2024-43582 - Remote Desktop Protocol Server Remote Code Execution Vulnerability

Модуль Metasploit для CVE-2024-43582 RPC Remote Desktop Service crititcal RCE

#infosec

Российские операторы связи под массированной DDoS-атакой из-за рубежа. Мощность достигает 1,73 ТБ/с

Несколько российских операторов связи и крупный хостинг-провайдер в минувшие выходные подверглись массированным DDoS-атакам из-за рубежа. Об этом в середине октября 2024 г. сообщил Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП).

Согласно пресс-релизу ЦМУ ССОП, максимальная мощность ИТ-атаки составила до 1,73 ТБ/с. Утверждается, что в кибератаке в основном принимали участие IP-адреса, зарегистрированные в США, Швеции и Великобритании. В ведомстве добавили, что ИТ-атака была успешно отражена.

#soc

Как стратегии логирования могут повлиять на киберрасследования?

Запись небольшого вебинара о том, как разные уровни телеметрии влияют на качество расследования инцидента, что дополняется рекомендациями по аудиту Windows систем.

#infosec

Корпорация Майкрософт не рекомендует использовать протоколы PPTP и L2TP VPN в Windows Server

Microsoft официально прекращает поддержку протокола туннелирования «точка-точка» (PPTP) и протокола L2TP в будущих версиях Windows Server, рекомендуя администраторам перейти на другие протоколы, обеспечивающие повышенную безопасность.

Более 20 лет компания использовала протоколы PPTP и L2TP VPN для обеспечения удалённого доступа к корпоративным сетям и серверам Windows.

Однако по мере того, как кибератаки становились всё более изощрёнными и мощными, протоколы становились менее безопасными.

Например, PPTP уязвим для автономных атак методом перебора с использованием захваченных хэшей аутентификации, а L2TP не обеспечивает шифрования, если не связан с другим протоколом, таким как IPSec. Однако, если L2TP / IPSec настроен неправильно, в нем могут быть слабые места, которые делают его уязвимым для атак.

#redteam

Red Teaming TTPs

В этом репозитории содержатся cheatsheets, заметки и скрипты, связанные с обучением в области Red Teaming.

Полезно как атакующим, так и защитникам.

#infosec

Иранские хакеры нацелены на официальных лиц США, чтобы повлиять на выборы

Исследователи Microsoft заявили в пятницу, что хакеры, связанные с правительством Ирана, в июне пытались взломать учётную запись «высокопоставленного чиновника» в президентской кампании США, спустя несколько недель после взлома учётной записи чиновника на уровне округа.

Представительство Ирана при ООН в Нью-Йорке сообщило Reuters в заявлении, что его киберпотенциалы были “защитными и пропорциональными угрозам, с которыми он сталкивается”, и что у него не было планов совершать кибератаки.

В отчёте Microsoft говорится: «Группа, управляемая разведывательным подразделением Корпуса стражей исламской революции (КСИР), отправила электронное письмо с фишинговым содержимым высокопоставленному чиновнику, участвующему в президентской кампании», а «другая группа, предположительно связанная с КСИР, взломала учётную запись пользователя с минимальными правами доступа в правительстве на уровне округа».

#soc

Самые опасные уязвимости сентября: под угрозой Microsoft, VMware, Veeam и другие

В сентябре специалисты PT выделили семь трендовых уязвимостей. Их уже можно применять в процессах Threat hunting и Vulnerability management.

Это те уязвимости, которые либо уже эксплуатируются вживую, либо могут начать эксплуатироваться в ближайшее время.

Приятного прочтения

#infosec

Смартфон Pixel 9 тайно передает данные пользователей на серверы Google

Исследователи Cybernews проанализировали веб-трафик нового смартфона Pixel 9 Pro XL, сосредоточив внимание на том, что новый смартфон отправляет в Google.

“Каждые 15 минут Google Pixel 9 Pro XL отправляет пакет данных в Google. Устройство сообщает местоположение, адрес электронной почты, номер телефона, состояние сети и другую телеметрию. Что еще более тревожно, телефон периодически пытается загрузить и запустить новый код, что потенциально создает риски для безопасности ”, - сказал Арас Назаровас, исследователь безопасности Cybernews.

Cybernews связалась с Google по поводу этих выводов. Компания объясняет, что передача данных необходима для законных сервисов на всех мобильных устройствах, независимо от производителя.

- В фоновом режиме неоднократно отправлялась личная информация, включая адрес электронной почты пользователя, номер телефона, местоположение, список приложений и другую телеметрию и статистику.

- Телефон постоянно запрашивает новые «эксперименты и конфигурации», пытается получить доступ к промежуточной среде и подключается к конечным точкам управления устройствами и применения политик, что указывает на возможности удалённого управления Google.

- Устройство Pixel было подключено к сервисам, которые не использовались и на использование которых не было дано явного согласия, например, к конечным точкам Face Grouping, что вызывает опасения по поводу конфиденциальности и права собственности.

- Приложение «Калькулятор» в некоторых случаях передаёт историю вычислений неавторизованным пользователям с физическим доступом.

#infosec

Kaspersky закроет британский офис и доверит местный бизнес партнерам

«Лаборатория Касперского» начинает сворачивать деятельность лондонского офиса и уволит всех сотрудников, общим числом около 50. Ведение бизнеса в Великобритании решено поручить партнерам, имена которых пока не оглашены.

В минувшем июле «Лаборатория Касперского» объявила об уходе с рынка США. Решение было принято из-за ввода запрета на продажу продуктов бренда Kaspersky в этой стране. Осиротевшую клиентуру подхватил новый партнер российской ИБ-компании: в прошлом месяце американцы обнаружили, что установленный ими софт Kaspersky заменен антивирусом UltraAV.

На днях также стало известно, что Google Play заблокировал доступ гражданам США к приложениям Antivirus by Kaspersky, Kaspersky VPN и Kaspersky Endpoint Security. По признанию Google, ограничение связано с вступившими в силу санкциями.

#application

PT Appsec Table-top - Методология безопасной разработки

Методология БР — это свод мер, принципов и подходов для обеспечения безопасности приложений на всех этапах их жизненного цикла.

Она отвечает на разные вопросы: не только «Что?», но и «Как?», «Когда?», «Зачем?» и «За что?».

#infosec

Roblox стала золотой жилой для хакеров - геймеры сами ставят под угрозу свои данные

Эксперты Imperva Threat Research отмечают, что хакеры активно нацеливаются на молодую аудиторию, используя ее доверчивость и стремление к быстрому успеху.

Такие действия стали для злоумышленников настоящей «золотой жилой». Геймеры устанавливают поддельные читы и дополнения, отключая при этом антивирусную защиту и оставляя свои устройства беззащитными.

Вредоносные программы распространяются через популярные платформы, такие как GitHub, Discord и YouTube, что делает их легко доступными для массовой аудитории.

Эксперты настоятельно советуют геймерам не использовать сторонние читы и дополнения, особенно если они требуют отключения защитных функций.

#soc

Picosnitch - мониторинг сетевой активности программы в Linux

Если необходимо отследить сетевую активность конкретного приложения Linux, то можно воспользоваться утилитой picosnitch .

Через веб-интерфейс имеется возможность отледить информацию по конкретному приложению, IP адресу, домену, порту.

#pentest #tools

Argus — это универсальный инструмент для упрощения процесса сбора и анализа информации

Argus предлагает богатую коллекцию инструментов, разделенных на три основные области:

Инструменты для сети
Инструменты анализа веб-приложений
Инструменты анализа угроз

✍️ GitHub

Формы восстановления пароля❓☄️

Казалось бы, что может быть необычного в таком привычном функционале, как восстановление пароля?

Но за обычной кнопкой на фронте скрывается порой то , что может удивить.

О таких багах, связанных с логикой сброса пароля, которые были найдены при реальных пентестах, и пойдет речь в данном посте 🔽

‼️ В данном кейсе при нажатии на кнопку отправлялся следующий запрос

{"email":"[email protected]","url":"http://domain.com/password-reset"}'

И на указанный емэил приходит письмо с предложением пользователю сменить пароль (пример этого письма на фото к посту).
Думаю, всем сразу же стало очевидно, что в запросе уязвимый параметр url, изменив который, мы сможем заставить пользователя перейти на контролируемый злоумышленником домен. Таким образом, пользователю пришло бы тоже самое письмо на почту, с той же самой кнопкой "Восстановить пароль", но нажав на нее, он перешел бы на контролируемый злоумышленником домен, куда мог бы ввести свой старый пароль.

‼️ Данный баг чем-то похож на предыдущий, но импакт от него посущественнее. Что ж опять перехватываем запрос после нажатия "Reset Password" и видим следующее

{"message":"To reset your password click https://domain.com/reset-password?hash=hash", "subject":"Password Recovery", "to_recipients":"[email protected]"}

И сразу же бросается в глаза, что не просто ссылка для восстановления пароля контролируется пользователем, а все параметры письма. Не долго думая, пробуем изменить параметры запроса.. И неужели...
Мы получили возможность от легитимной почты заказчика отправлять письма любого содержания кому-угодно. Импакт можно себе представить.. Наверное, нет лучшей находки для начала фишинговой рассылки.

‼️ Последний баг, про который хотелось бы рассказать, имеет самый огромный импакт, а именно полный Account Takeover через функционал восстановления пароля. Главным спонсором этого бага был всем известный HackTricks . Идея была очень простая... При отправке запроса на восстановления пароля

{"email":"[email protected]"}

можно было передать несколько емэйлов через массив, что выглядело следующим образом

{"email":["[email protected]","[email protected]"]}

После чего на две почты приходило два одинаковы письма, с идентичными токенами для восстановления пароля. Таким образом, зная почту пользователя, можно было осуществить полноценный захват аккаунта.

#soc

Best Practices для Event Logging и Threat Detection

#infosec

Microsoft Defender научился детектировать незащищённые сети Wi-Fi

Как известно, функциональность Defender VPN предусматривает защиту личных данных при подключении к общедоступным Wi-Fi-сетям, шифруя и перенаправляя трафик через серверы Microsoft.

Теперь корпорация пишет, что разработчики доработали Defender VPN и оснастили его возможностью автоматически детектировать и предупреждать пользователей о небезопасных сетях.

На данный момент нововведение доступно только в версиях Defender для Android, iOS и Windows. Аналогичные возможности должны скоро появиться и в macOS-версии.