Похек Telegram 帖子

Обычная практика Threat Hunting и причем тут пирамида боли
#TI #threatintelligence #threathunting

Привет Хабр! Меня зовут Иван Костыря, и я работаю в команде VK SOC, а точнее — в группе реагирования, куда стекаются все подозрения на инциденты информационной безопасности в компании. Сегодня хочу рассказать немного о том, как мы ищем угрозы в периметре компании, какие средства и техники для этого используем. Если коротко, то этот процесс можно описать так — мы задаем себе очень много вопросов и постоянно ищем на них ответы. Статья будет интересна начинающим специалистам: здесь я обобщил основные практики и рекомендации, которые выработаны в индустрии и проверены опытом нашей команды.

P.S. мы уже с одним из админом начали готовить для вас материал по TI, всё по просьбе подписчиков)
Stay tuned 🍞

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Эксперты CURATOR (до ноября 2024 — Qrator Labs) выпустили годовой отчет “DDoS-атаки, боты и BGP-инциденты в 2024 году: статистика и тренды”, в котором собрали самые важные факты об угрозах прошедшего года. Внутри много интересного, вот основные цифры:

📈 Рост DDoS-атак
• Общее число DDoS-атак выросло на 53% по сравнению с 2023 годом
• Рекордная атака достигла 1,14 Тбит/с, на 65% больше прошлогоднего рекорда
• Самая длительная атака продолжалась 19 дней (в 2023 году — 3 дня)
• Крупнейший ботнет года — 227 тыс. устройств (в 2023 году — 136 тыс.)

🏦 Кого атаковали чаще всего
• Наибольшее число L3-L4 атак: Финтех (25,8%), Электронная коммерция (20,5%) и Медиа (13,5%)
• 52% всех L7 атак пришлось на Финтех, на втором и третьем местах — Электронная коммерция (18%) и ИТ и Телеком (9,6%)

🤖 Боты
• Среднемесячная активность ботов выросла на 30%
• Чаще всего атаковали Онлайн-ритейл — 36,2% от всей бот-активности

🌍 Страны-источники DDoS-атак
1. Россия — 32,4%
2. США — 20,6%
3. Бразилия — 5,8% (Китай выпал из топ-3)

🌐 BGP-инциденты
• Рост BGP route leaks — на 10%, BGP hijacks — на 24%
• Глобальные инциденты: +59% route leaks
• Один из успехов: предотвращение глобальной утечки маршрутов с использованием стандарта RFC 9234, разработанного экспертами CURATOR вместе с IETF

Вы можете скачать полный отчет, чтобы узнать все подробности.

А еще недавно ребята создали Telegram-канал CURATOR, чтобы делиться своей экспертизой. Можете подписаться на них и следить за обновлениями.

Интересный вид атаки протестировали через опенсорс LLM-модели:

1. Берем любую опенсорс модель
2. Учим ее добавлять незаметно какие-то вещи в код (например, ссылки на вредоносные скрипты)
3. Загружаем обратно куда-то сохраняя имя оригинальной модели или просто делаем вид что это новая версия
4. Все, зараженную модель невозможно обнаружить, защиты тоже нету

Поэтому, всегда проверяйте кто поставщик модели и куда она загружена – у известных лаб как правило много прошлых публикаций моделей, рейтинги и тп

Tldr: всякие Deep.Seek.r1.2025.671b.BluRay.x264.AAC.gguf не качаем

На скриншоте пример взаимодействия с такой моделью и подключение вредоносного скрипта:

Как сделать чат-бот с RAG безопаснее?
#AI #RAG #нейросеть #MLSecOps

Каждый день появляются решения на базе генеративных моделей, помогающие бизнесу привлекать новых пользователей и удерживать старых. Подход Retrieval augmented generation позволяет вводить в контекст больших языковых моделей (LLM) корпоративные документы, чтобы чат-бот корректнее отвечал на вопросы пользователей. Гарантирует ли добавление документа в контекст, что чат-бот не будет вводить пользователей в заблуждение или отвечать на вопросы про изготовление бомб?

В качестве языковой модели для генерации ответов продолжим использовать open-mixtral-8x22b, а для улучшения атакующих промптов — mistral-large-2411.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Enhancements for BloodHound v7.0 Provide Fresh User Experience and Attack Path Risk Optimizations
#AD #bloodhound #activedirectory

Команда BloodHound представила в последних обновлениях несколько концепций, которые упростили пользователям визуализацию путей атаки и позволили отслеживать снижение рисков, связанных с идентификацией, в динамике.

На этой неделе выходит BloodHound v7.0, который включает значительные улучшения, направленные на повышение удобства работы пользователей и более точную оценку рисков в цепочках атак.

➡️Release Note

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Безопасная контейнеризация: вызовы и решения

Сегодня контейнерная разработка и эксплуатация приложений в России невозможны без отечественных операционных систем и платформ оркестрации. В новых условиях возрастает потребность в эффективной защите контейнерных сред с учетом российской спецификации.

18 февраля в 11:00 «Лаборатория Касперского» проведёт стрим, посвящённый безопасности контейнерных технологий. Эксперты обсудят текущий технологический и угрозный ландшафт, разберут актуальные методы защиты процессов разработки и эксплуатации, а также представят ключевые обновления решения Kaspersky Container Security 2.0.

Регистрация по ссылке.

⌨️ Путь от ограниченного Path Traversal к RCE с вознаграждением в $40,000

История о нахождении и раскрутке RCE в публичной багбаунти программе.

Ссылка на статью

#web #rce #recon

Ревизор приехал: pg_anon проверяет, всё ли скрыто
#psql #Postgresql #pg #dev

В современном мире, где данные становятся новой нефтью, разработчики часто сталкиваются с дилеммой: как тестировать приложения на реальных данных, не подвергая риску конфиденциальную информацию пользователей? Использование продакшн-данных в тестовых средах без должной анонимизации может привести к серьёзным утечкам и, как следствие, к многомиллионным штрафам и потере репутации компании.

Здесь на помощь приходит инструмент pg_anon — решение для анонимизации данных в PostgreSQL. С его помощью можно маскировать персональные данные, сохраняя при этом структуру и целостность информации. Это особенно важно для разработчиков и тестировщиков, которым нужны реалистичные данные для работы без риска нарушения конфиденциальности.

В статье подробно рассматриваются примеры конфигураций pg_anon и приводится пошаговое руководство по его внедрению в процессы разработки. Автор, опираясь на 15-летний опыт работы с данными в крупных проектах, подчёркивает, что безопасность данных — это не препятствие для работы, а залог спокойствия и стабильности бизнеса.

Для разработчиков, стремящихся обеспечить безопасность данных и соответствие современным стандартам защиты информации, внедрение таких инструментов, как pg_anon, становится не просто рекомендацией, а необходимостью.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Firewall не спасёт
#firewall #nmap

Межсетевые экраны издревле применяются для блокирования входящего трафика нежелательных приложений. Обычно для этого создаются правила фильтрации, разрешающие входящий трафик по явно указанным сетевым портам и запрещающие весь остальной. При этом легитимные приложения, монопольно владеющие открытыми портами, работают без проблем, а вот нежелательные остаются без связи, поскольку все доступные им порты блокируются межсетевым экраном. Данный подход давно отработан и стар как мир, казалось бы, что тут может пойти не так?

А оказывается, может и вполне идёт. Далее из этой статьи вы узнаете две техники обхода межсетевых экранов, позволяющие нежелательным приложениям преодолевать фильтрацию входящего сетевого трафика и получать команды от удалённых узлов

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Обходим WAF с помощью лайфхака из Twitter'а и немного defensive
#WAF #web #twitter

Также это можно настроить автоэнкодинг в бурп суюте

Логика простая: WAF или любая другая система фильтрации ввода вероятно будет блокировать только определенный список UTF-8 символов

Как защититься?
Конвертируйте весь ввод строго в UTF-8 формат, так вы сильно упростите себе жизнь и правила фильтрации

🌚 @poxek