😈 SOC: инструменты для управления киберугрозами

— Инструменты SOC помогают организациям отслеживать угрозы безопасности и быстро реагировать на них в режиме реального времени

SIEM (Security information and event management) — это класс программных продуктов, предназначенных для сбора и анализа информации о событиях безопасности

1. McAfee Enterprise Security Manager (ESM): это инструмент SIEM, используемый для обнаружения угроз в режиме реального времени, ведения журналов и составления отчетов о соответствии требованиям

2. Palo Alto Networks: это платформа безопасности, которая сочетает в себе сетевую, конечную и облачную безопасность для предотвращения кибератак

3. Splunk Enterprise Security: инструмент SIEM используется для мониторинга в режиме реального времени, обнаружения угроз и реагирования на инциденты. Генерирует оповещения для дополнительного расследования, используя расширенные возможности корреляции и аналитики, чтобы выявлять закономерности сомнительного поведения

4. IBM QRadar: инструмент SIEM, используемый для управления журналами, мониторинга сети и активности пользователей, а также анализа угроз. Автоматизирует процессы обнаружения угроз и реагирования с использованием методов машинного обучения и искусственного интеллекта

5. Elastic Security: Это платформа анализа безопасности и обнаружения угроз с открытым исходным кодом, использующая алгоритмы машинного обучения. Масштабируемость — одно из лучших качеств Elastic Security

#SOC #Tools #Vulnerability #Menace | 🧑‍💻 Этичный хакер

😈 Атака с помощью нового Mythic-агента на PowerShell — «QwakMyAgent»

— В статье специалисты Центра Кибербезопасности компании F.A.C.C.T. подробно рассмотрят QwakMyAgent, который был выявлен в атаке на российскую компанию во второй половине сентября

QwakMyAgent — PowerShell-сценарий, являющийся ранее необнаруженным непубличным модульным агентом Mythic. В ходе своего исполнения данный сценарий отправляет информацию о зараженной системе, циклично получает и обрабатывает команды от сервера

Изначальный вектор заражения обнаружен не был. Известно, что после того, как были скомпрометированы хост-системы администраторов, злоумышленники выполняли подключения к хостам через системную службу WinRM и выполняли доступные по URL-ссылкам HTA-сценарии с помощью системной утилиты mshta.exe

Под катом читайте о цепочке заражения QwakMyAgent, что из себя представляет QwakMyAgent, checkin и get_tasking запросах, дополнительном PowerShell-модуле

🗣 Ссылка на чтиво

#Networks #QwakMyAgent #Vulnerability #PowerShell #Study | 🧑‍💻 Этичный хакер

😈 Как взломать умный дом с помощью лампочки

— Индийская CERT-In опубликовала два предупреждения о критических уязвимостях в популярных смарт-устройствах — продуктах Philips Smart Lighting и системе контроля доступа Matrix Door Controller

1. Первая уязвимость CIVN-2024-0329 (CVE-2024-9991) с оценкой CVSS 7.0: позволяет злоумышленнику, получившему физический доступ к устройству, извлечь прошивку и проанализировать данные для получения доступа к сети Wi-Fi

При этом в зоне риска оказываются все подключенные к ней устройства, а также личные данные пользователей

2. Вторая уязвимость CIVN-2024-0328 (CVE-2024-10381) с оценкой 9.3: позволяет удалённому атакующему отправлять специальные HTTP-запросы, которые могут дать несанкционированный доступ к системе и полный контроль над устройством

🗣 Ссылка на чтиво

#News #CVE #Vulnerability | 🧑‍💻 Этичный хакер

😈 Заражение веб-кэша на практике | Cache Poisoning at Scale

Отравление кеша — это тип кибератаки, при которой злоумышленники вставляют фальшивую информацию в кеш системы доменных имен (DNS) или веб-кэш с целью причинения вреда пользователям.

При отравлении кэша DNS или спуфинге DNS злоумышленник перенаправляет трафик с законного сервера на вредоносный сервер. Злоумышленник вводит ложную информацию, например поддельный адрес веб-сайта, в DNS кеш, что приводит к перенаправлению пользователей на неправильный, неожиданный или опасный веб-сайт

Несмотря на то, что отравление веб-кэша существует уже много лет, растущая сложность технологических систем постоянно приводит к неожиданному поведению, которым можно злоупотреблять для проведения новых атак, связанных с заражением кэша

— Автор статьи описал методы, которые он использовал для выявления более чем 70 уязвимостей в рамках багбаунти-программ, связанных с заражением кеша

🗣 Ссылка на чтиво

#Web #Cache #BugBounty #Networks #Vulnerability | 🧑‍💻 Этичный хакер

😈 «Чёрная пятница» со скидкой 100%: как омская шопоголичка обманула систему

❗️ Жительница Омска получила товары с маркетплейса на 1,7 млн рублей из-за технического сбоя в системе оплаты

Обнаружив, что при оформлении покупок деньги не списываются со счета, а товары поступают в пункт выдачи, покупательница продолжила делать заказы — за два дня женщина оформила более 700 позиций

🛍 Воодушевленная успехом, злоумышленница продолжила скупку товаров и оформила еще 580 позиций на сумму более 14 миллионов рублей

— Однако служба безопасности маркетплейса обнаружила сбой в системе, заблокировала аккаунт нарушительницы и обратилась в правоохранительные органы

🗣 Ссылка на чтиво

#Cheating #Vulnerability | 🧑‍💻 Этичный хакер

😈 Миллион алых роз за 5 рублей: как хакнуть сервис заказа цветов

— Казанский программист Аслан Шигапов обнаружил техническую уязвимость в системе заказа на сайте компании и до марта 2022 года оформлял заказы на цветы с заниженной стоимостью

❗️ Уязвимость позволяла ему изменять информацию о сумме оплаты, отправляя на сервер данные о полной оплате заказа, при этом с его счетов списывались минимальные суммы

Таким образом, он оформил более 50 заказов на сумму от 900 рублей до 102 тысяч рублей. Самый крупный заказ включал букеты из 202 роз и тюльпаны, общая стоимость которых составляла 102 тысячи рублей, но оплачено было всего 5 рублей

Общий ущерб составил более 1 млн рублей, который был полностью возмещен обвиняемым до судебного разбирательства

🗣 Ссылка на чтиво

#News #Vulnerability | 🧑‍💻 Этичный хакер

😈 Взлом Radiant Capital: как хакеры похитили более $50 миллионов

‼️ 16 октября 2024 года децентрализованный финансовый протокол Radiant Capital стал жертвой крупной кибератаки , в результате которой было похищено более 50 миллионов долларов. Атаку провела группировка Citrine Sleet (UNC4736, AppleJeus) связанная с Северной Кореей

Расследование показало, что атака началась 11 сентября: один из разработчиков Radiant получил сообщение в Telegram от лица, выдававшего себя за бывшего подрядчика

📝 Злоумышленники отправили архив с вредоносным ПО, внутри которого содержались поддельный PDF-документ и вредоносный файл для macOS под названием «InletDrift», который установил скрытый доступ на устройство

— С помощью вредоносного ПО атакующие внедрили свои транзакции, которые в интерфейсе платформы отображались как легитимные. Даже при проверке транзакций вручную и через симуляцию не обнаруживалось признаков подозрительной активности, что подчёркивает высокий уровень подготовки атаки

🗣 Ссылка на чтиво

#News #Vulnerability #CitrineSleet #UNC4736 | 🧑‍💻 Этичный хакер

😈 Bluetooth-атаки: как хакеры угоняют автомобили Skoda без физического взлома

‼️ В медиасистемах автомобилей Skoda обнаружены уязвимости, которые позволяют удаленно управлять функциями автомобилей — об этом сообщила компания PCAutomotive на конференции Black Hat Europe

Уязвимости, затрагивающие систему MIB3, позволяют выполнять произвольный код при каждом запуске устройства — это открывает возможность для получения данных о местоположении автомобиля через GPS, скорости движения, записи разговоров через встроенный микрофон, снятия скриншотов с экрана мультимедийной системы, а также воспроизведения любых звуков в салоне

— Специалисты PCAutomotive пояснили, что уязвимости могут быть использованы в комбинации для внедрения вредоносных программ в систему автомобиля

Для эксплуатации проблем аутентификация не требуется, а атакующий может находиться на расстоянии до 10 метров от автомобиля

🗣 Ссылка на чтиво

#Vulnerability #Bluetooth #PCAutomotive #BlackHat | 🧑‍💻 Этичный хакер

😈 Небезопасная загрузка файлов: полное руководство по поиску продвинутых уязвимостей при загрузке файлов

Уязвимости в загрузки файлов интересны для поиска, они по своей природе имеют большое влияние и в некоторых случаях могут даже привести к удаленному выполнению кода

В рамках сегодняшней статьи рассмотрим:
— Что такое уязвимости загрузки файлов?
— Выявление уязвимостей при загрузке файлов
— Эксплуатация простых уязвимостей загрузки файлов
— Продвинутая эксплуатация уязвимостей при загрузке файлов

🗄 Рассмотрим как простые, так и продвинутые уязвимости загрузки файлов. Кроме того, мы уделим внимание особым случаям, которые могут быть использованы в специфических условиях

🗣 Ссылка на чтиво

#Vulnerability #File | 🧑‍💻 Этичный хакер

😈 Призрачный администратор: как хакеры захватывают контроль над WordPress-сайтами

‼️ На более чем 5000 сайтов WordPress выявлена вредоносная кампания, в ходе которой злоумышленники создают фальшивые учётные записи администратора, устанавливают вредоносные плагины и похищают данные

— После компрометации сайта вредоносный скрипт из указанного домена создаёт учётную запись администратора с именем wpx_admin, а её данные сохраняются в коде

Затем скрипт загружает и активирует вредоносный плагин под названием plugin.php с того же домена

🗣 Ссылка на чтиво

#WordPress #Vulnerability #Malware #News #CSRF | 🧑‍💻 Этичный хакер

😈 Основы XSS и поиск уязвимых к XSS сайтов (Часть 1)

Межсайтовый скриптинг (XSS) (Cross-Site Scripting) — подтип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника

Самое главное, что нужно понимать про виды XSS то, что они бывают:
🗄 Хранимые (Постоянные):
— Введённое злоумышленником специально сформированное сообщение в гостевую книгу (комментарий, сообщение форума, профиль) которое сохраняется на сервере, загружается с сервера каждый раз, когда пользователи запрашивают отображение этой страницы.
— Злоумышленник получил доступ к данным сервера, например, через SQL инъекцию, и внедрил в выдаваемые пользователю данные злонамеренный JavaScript код (с ки-логерами или с BeEF).

🗄 Отражённые (Непостоянные):
— На сайте присутствует поиск, который вместе с результатами поиска показывает что-то вроде «Вы искали: [строка поиска]», при этом данные не фильтруются должным образом.

🗣 Ссылка на чтиво

#XSS #Vulnerability #Guide | 🧑‍💻 Этичный хакер