Мир сегодня с "Юрий Подоляка"

Труха⚡️Україна

Паглядзець

Николаевский Ванёк

Паглядзець

Мир сегодня с "Юрий Подоляка"

Паглядзець

Труха⚡️Україна

Паглядзець

Николаевский Ванёк

Паглядзець

PurpleBear

Канал о практической ИБ, Pentest, Red Team и Purple Team тестировании.
Мы публикуем новости, обзоры инструментов защитников и атакующих, анализируем отчеты APT группировок, разбираем популярные уязвимости, обсуждаем новые CVE'шки и многое другое

Рэйтынг TGlist

ТыпПублічны

Вертыфікацыя

Не вертыфікаваны

Надзейнасць

Не надзейны

Размяшчэнне

МоваІншая

Дата стварэння каналаApr 22, 2023

Дадана ў TGlist

Mar 29, 2025

Я ўладальнік канала

Гісторыя змяненняў

Прыкрепленая група

PurpleBear Chat

Статыстыка Тэлеграм-канала PurpleBear

Падрабязней

Падпісчыкаў

3 888

24 гадз.00%Тыдзень

681.8%Месяц

681.8%

Індэкс цытавання

0

Згадкі0Рэпостаў на каналах0Згадкі на каналах0

Сярэдняе ахоп 1 паста

0

12 гадз.7350%24 гадз.00%48 гадз.8420%

Узаемадзеянне (ER)

0%

Рэпостаў0Каментары0Рэакцыі0

Узаемадзеянне па ахопу (ERR)

0%

24 гадз.0%Тыдзень0%Месяц0%

Ахоп 1 рэкламнага паста

0

1 гадз.00%1 – 4 гадз.00%4 - 24 гадз.00%

Падрабязней

Падключыце нашага бота да канала і даведайцеся пол аўдыторыі гэтага канала.

Усяго пастоў за 24 гадзіны

0

Дынаміка

Апошнія публікацыі ў групе "PurpleBear"

Усе пасты

02.04.202509:09

Недавно мне попался интересный проект AttackRuleMap, который представляет собой маппинг тест-кейсов инструмента Atomic Red Team и соответствующих правил обнаружения в формате Sigma. Данный ресурс может быть очень полезен, чтобы обеспечить покрытие алертами большей части техник MITRE, особенно на ранних этапах уровня зрелости команды Detection Engineering.

Но далеко не все SIEM из коробки поддерживают этот универсальный формат для правил обнаружения, поэтому если у вас в компании изпользуется, например Elastic SIEM, то потребуется конвертировать правила в KQL (Kibana Query Language) и EQL (Event Query Language).

Реализовать данную задачу можно с помощью pySigma и Sigma CLI, которые пришли на смену Sigmac. Раньше был еще онлайн-конвертер uncoder.io (на данный момент ресурс по какой-то причине лежит🤷‍♂️), который позволял просто в веб-интерфейсе конвертировать Sigma правила для выбранного SIEM (включая Elastic KQL, Elastic EQL).
При этом существуют некоторые недостатки связанные с конвертацией правил, которые описаны в этой статье.

Но тем не менее, мне кажется, это хорошая отправная точка для старта, когда в первую очередь необходимо обеспечить максимально возможное покрытие стандартных техник и процедур злоумышленников в короткие сроки😎

31.03.202515:47

Всем привет!
Если этот пост опубликуется, значит канал разблокировали🎉

Хотел сказать огромное спасибо всем кто помог с решением вопроса и просто приходил в личку со словами поддержки🙏

20.03.202509:43

This channel can’t be displayed because it violated Telegram's Terms of Service.

03.03.202514:02

The future of security testing: harness AI-Powered Extensibility in Burp

В прошлом месяце Portswigger анонсировали поддержку AI-powered расширений для Burp Suite. По капотом как и положено используется Montoya API, который выпустили в 2022 году на смену устаревшему Burp Extender API (2005 год).

Взаимодействие с AI моделью реализовано через этот интерфейс, что позволяет разработчикам сосредоточиться на функциональности расширений, а не думать как подружить свое решение с API провайдера LLM, но ограничивает в выборе конкретной модели и придется платить Portswigger чтобы покупать токены. По дефолту каждому пользователю Pro версии доступно 10,000 free AI credits. Ну и существуют некоторые опасения относительно конфиденциальности данных, которые отправляются модели, которые авторы попробовали развеять в этой статье.

На данный момент в BApp Store доступны всего несколько AI-powered расширений:
☑️ AI HTTP Analyzer (для Pro версии)
☑️ Hackvertor c AI функциональностью (для Community версии)

И есть еще Bounty Prompt, который позволяет подключить в качестве модели любую из поддерживаемых Groq Cloud с помощью универсального API.

Для того чтобы поиграться самостоятельно нужен релиз версии Early Adopter 2025.2, который можно переключить в Settings ➡️ Suite ➡️ Updates ➡️ Channel: Early Adopter, но уже в этом месяце поддержка AI-powered расширений появиться в версии Stable.

Как вы думаете, таким образом, скайнет💀 подбирается все ближе или такая автоматизация рутины освободит нам время для более творческих задач? Оставляйте свое мнение в комментариях🙏

10.02.202507:28

Hacking Subaru: Tracking and Controlling Cars via the STARLINK Admin Panel

Пару недель назад легендарный исследователь Sam Curry опубликовал детали своего очередного ресерча, на этот раз под раздачу попали автомобили Subaru😎 Найденные баги позволяют открывать и заводить любой автомобиль удаленно, получать доступ к истории перемещений за последний год, получать доступ к личным данным (PII) владельцев и прочее.

Суть эксплуатации заключалась в реализации Account Takeover для служебного портала STARLINK, который является интерфейсом управления Subaru’s in-vehicle infotainment system, позволяющим сотрудникам компании удаленно управлять автомобилем (открывать/закрывать, включать/выключать зажигание)...через интернет🙈 С помощью перебора файлов в директории /assets/_js/ веб-сервера, был найден login.js, раскрывающий "особенности" функциональности сброса пароля, для которой достаточно отправить значение логина (email сотрудника) и новый пароль. Валидные почтовые аккаунты можно было энумерейтить через ручку /adminProfile/getSecurityQuestion.json?email=example@example.com которая возвращала секретные вопросы если аккаунт существует. Дальше был фееричный байпасс якобы 2FA, реализованного client-side через диалоговое окно HTMLDialogElement методом showModal()🤯
Таким образом можно было угнать/отслеживать любой автомобиль Subaru на территории США, Канады и Японии, уязвимости были устранены в течение 1 дня после репорта исследователя👍

По факту практически любой современный автомобиль представляет собой компьютер на колесах с кучей интеграций с различными сервисами производителя и если раньше для поиска критичных узявимостей был необходим физический доступ к самой машине, осциллограф, навыки автоэлектрики и механники, то сейчас вполне достаточно просто доступа к интернету, Burp'a и желания сделать свой автомобиль более безопасным🔥

17.01.202507:00

Нужно ли классическое образование в ИБ?

Именно такой заголовок статьи натолкнул меня на филосовские мысли для этого пятничного поста🤓
Я часто слышу мнения относительно того, что академический поход имеет ряд серьезных недостатков, якобы в университетах учат только теории, многие технические гении современности вообще не имеют образования, а Диффи-Хеллман это просто какой-то мужик с двойной фамилией😂 и прочие агрументы.

Так нужно ли классическое образование в ИБ?
Краткий ответ: нет, но нужно гораздо большее

Абсолютно согласен с этим тезисом и поддерживаю мнение автора. Все знать невозможно по определению, но именно навыки полученные в ВУЗе позволяют быстро впитывать огромные объемы информации за короткие сроки, выделять самое главное и фильтровать воду. Этот скилл очень важен для пентестеров, так как в своей работе мы ежедневно имеем дело с огромным количеством различных технологий и необходимо в кратчайшие сроки разобраться в каждой из них и найти уязвимости и недостатки влияющие на безопасноть. Например, есть условный админ, который много лет работает с определенным ПО, который знает все тонкости и нюансы этой конкретной технологии, а против него пентестер, которому за короткий срок проекта надо найти баги и недостатки конфигурации, которые мог допустить этот админ😎

К тому же студенческое время это очень веселый период жизни, который через много лет можно будет вспоминать с теплотой и улыбкой. Университетские друзья это обычно друзья на всю жизнь, с которыми вместе преодолевали все трудности, радовались успехам и отмечая очередное окончания сессии после вечеринки могли проснуться на другом конце света, в тропиках...в пуховике😂 В прошлом году я начал немного преподавать в МИФИ и часто говорю студентам, что важно удерживать баланс между учебой и жизнью, не зацикливаться на чем то одном и получать удовольствие от всего что делаете😎 Поэтому не забывайте развлекаться и отдыхать в том числе!

А что вы думаете на эту тему? Предлагаю немного подискутировать в комментариях🙏

27.11.202411:03

Linux Persistence with LKM

Существуют десятки актуальных способов закрепления в Linux, а также инструментов автоматизации этой задачи, например один из последних - PANIX, это bash скрипт, который мы используем на киберучениях в рамках Purple Team.
Но в формате активного противодействия, редко есть возможности тащить на тачку разные скрипты, поэтому мы рассмотрим ручной способ на примере LKM (Loadable kernel module) руткита Diamorphine.

Diamorphine хорошо известный руткит с открытым исходным кодом, который активно используется злоумышленниками в дикой природе уже много лет, который можно загрузить различными способами. Наиболее распространенный - это просто положить в /etc/modules или использовать службу systemd-modules-load. Файлы конфигурации модулей systemd-modules-load ищет в следующих директориях: /etc/modules-load.d, /usr/lib/modules-load.d, /usr/local/lib/modules-load.d, /run/modules-load.d
🔴 Необходимо каким-то образом доставить Diamorphine или собрать из исходников на тачке, например в контейнере или еще как-нибудь, обычно зависит от уровня зрелости мониторинга и степени паранойи SOC на текущем проекте😁
🔴 Во время компиляции Diamorphine позволяет указать "magic string" - строку в начале наименования файла или директории, которую руткит автоматически скроет при загрузке, например apt1337
🔴 Копируем руткит и создаем список зависимостей modules.dep

cp diamorphine.ko /usr/lib/modules/$(uname -r)/kernel/drivers/block/apt1337-diamorphine.ko
depmod

🔴 Создаем файл конфигурации systemd-modules-load
echo apt1337-diamorphine >/usr/lib/modules-load.d/apt1337-not_evil.conf
🔴 Загружаем модуль вручную
modprobe apt1337-diamorphine

Таким образом, при каждой перезагрузке системы руткит в качестве модуля LKM будет загружаться автоматически😎 Безусловно техника базовая и довольно распространенная, поэтому нуждается в доработке относительно сокрытия. Как минимум рекомендую использовать Timestomping для файлов в /usr/lib/modules/* и использовать менее очевидный нейминг.
Но все равно это будет светиться в /proc/sys/kernel/tainted так как загруженный модуль не подписан, но это уже тема другой заметки😁

Усе пасты