PurpleBear
02.04.202509:09
Недавно мне попался интересный проект AttackRuleMap, который представляет собой маппинг тест-кейсов инструмента Atomic Red Team и соответствующих правил обнаружения в формате Sigma. Данный ресурс может быть очень полезен, чтобы обеспечить покрытие алертами большей части техник
Но далеко не все
Реализовать данную задачу можно с помощью pySigma и Sigma CLI, которые пришли на смену
При этом существуют некоторые недостатки связанные с конвертацией правил, которые описаны в этой статье.
Но тем не менее, мне кажется, это хорошая отправная точка для старта, когда в первую очередь необходимо обеспечить максимально возможное покрытие стандартных техник и процедур злоумышленников в короткие сроки😎
MITRE, особенно на ранних этапах уровня зрелости команды Detection Engineering.Но далеко не все
SIEM из коробки поддерживают этот универсальный формат для правил обнаружения, поэтому если у вас в компании изпользуется, например Elastic SIEM, то потребуется конвертировать правила в KQL (Kibana Query Language) и EQL (Event Query Language). Реализовать данную задачу можно с помощью pySigma и Sigma CLI, которые пришли на смену
Sigmac. Раньше был еще онлайн-конвертер uncoder.io (на данный момент ресурс по какой-то причине лежит🤷♂️), который позволял просто в веб-интерфейсе конвертировать Sigma правила для выбранного SIEM (включая Elastic KQL, Elastic EQL). При этом существуют некоторые недостатки связанные с конвертацией правил, которые описаны в этой статье.
Но тем не менее, мне кажется, это хорошая отправная точка для старта, когда в первую очередь необходимо обеспечить максимально возможное покрытие стандартных техник и процедур злоумышленников в короткие сроки😎
10.02.202507:28
Hacking Subaru: Tracking and Controlling Cars via the STARLINK Admin Panel
Пару недель назад легендарный исследователь
Суть эксплуатации заключалась в реализации
Таким образом можно было угнать/отслеживать любой автомобиль Subaru на территории США, Канады и Японии, уязвимости были устранены в течение 1 дня после репорта исследователя👍
По факту практически любой современный автомобиль представляет собой компьютер на колесах с кучей интеграций с различными сервисами производителя и если раньше для поиска критичных узявимостей был необходим физический доступ к самой машине, осциллограф, навыки автоэлектрики и механники, то сейчас вполне достаточно просто доступа к интернету, Burp'a и желания сделать свой автомобиль более безопасным🔥
Пару недель назад легендарный исследователь
Sam Curry опубликовал детали своего очередного ресерча, на этот раз под раздачу попали автомобили Subaru😎 Найденные баги позволяют открывать и заводить любой автомобиль удаленно, получать доступ к истории перемещений за последний год, получать доступ к личным данным (PII) владельцев и прочее.Суть эксплуатации заключалась в реализации
Account Takeover для служебного портала STARLINK, который является интерфейсом управления Subaru’s in-vehicle infotainment system, позволяющим сотрудникам компании удаленно управлять автомобилем (открывать/закрывать, включать/выключать зажигание)...через интернет🙈 С помощью перебора файлов в директории /assets/_js/ веб-сервера, был найден login.js, раскрывающий "особенности" функциональности сброса пароля, для которой достаточно отправить значение логина (email сотрудника) и новый пароль. Валидные почтовые аккаунты можно было энумерейтить через ручку /adminProfile/getSecurityQuestion.json?email=example@example.com которая возвращала секретные вопросы если аккаунт существует. Дальше был фееричный байпасс якобы 2FA, реализованного client-side через диалоговое окно HTMLDialogElement методом showModal()🤯 Таким образом можно было угнать/отслеживать любой автомобиль Subaru на территории США, Канады и Японии, уязвимости были устранены в течение 1 дня после репорта исследователя👍
По факту практически любой современный автомобиль представляет собой компьютер на колесах с кучей интеграций с различными сервисами производителя и если раньше для поиска критичных узявимостей был необходим физический доступ к самой машине, осциллограф, навыки автоэлектрики и механники, то сейчас вполне достаточно просто доступа к интернету, Burp'a и желания сделать свой автомобиль более безопасным🔥
31.03.202515:47
Всем привет!
Если этот пост опубликуется, значит канал разблокировали🎉
Хотел сказать огромное спасибо всем кто помог с решением вопроса и просто приходил в личку со словами поддержки🙏
Если этот пост опубликуется, значит канал разблокировали🎉
Хотел сказать огромное спасибо всем кто помог с решением вопроса и просто приходил в личку со словами поддержки🙏
17.01.202507:00
Нужно ли классическое образование в ИБ?
Именно такой заголовок статьи натолкнул меня на филосовские мысли для этого пятничного поста🤓
Я часто слышу мнения относительно того, что академический поход имеет ряд серьезных недостатков, якобы в университетах учат только теории, многие технические гении современности вообще не имеют образования, а Диффи-Хеллман это просто какой-то мужик с двойной фамилией😂 и прочие агрументы.
Так нужно ли классическое образование в ИБ?
Краткий ответ: нет, но нужно гораздо большее
Абсолютно согласен с этим тезисом и поддерживаю мнение автора. Все знать невозможно по определению, но именно навыки полученные в ВУЗе позволяют быстро впитывать огромные объемы информации за короткие сроки, выделять самое главное и фильтровать воду. Этот скилл очень важен для пентестеров, так как в своей работе мы ежедневно имеем дело с огромным количеством различных технологий и необходимо в кратчайшие сроки разобраться в каждой из них и найти уязвимости и недостатки влияющие на безопасноть. Например, есть условный админ, который много лет работает с определенным ПО, который знает все тонкости и нюансы этой конкретной технологии, а против него пентестер, которому за короткий срок проекта надо найти баги и недостатки конфигурации, которые мог допустить этот админ😎
К тому же студенческое время это очень веселый период жизни, который через много лет можно будет вспоминать с теплотой и улыбкой. Университетские друзья это обычно друзья на всю жизнь, с которыми вместе преодолевали все трудности, радовались успехам и отмечая очередное окончания сессии после вечеринки могли проснуться на другом конце света, в тропиках...в пуховике😂 В прошлом году я начал немного преподавать в МИФИ и часто говорю студентам, что важно удерживать баланс между учебой и жизнью, не зацикливаться на чем то одном и получать удовольствие от всего что делаете😎 Поэтому не забывайте развлекаться и отдыхать в том числе!
А что вы думаете на эту тему? Предлагаю немного подискутировать в комментариях🙏
Именно такой заголовок статьи натолкнул меня на филосовские мысли для этого пятничного поста🤓
Я часто слышу мнения относительно того, что академический поход имеет ряд серьезных недостатков, якобы в университетах учат только теории, многие технические гении современности вообще не имеют образования, а Диффи-Хеллман это просто какой-то мужик с двойной фамилией😂 и прочие агрументы.
Так нужно ли классическое образование в ИБ?
Краткий ответ: нет, но нужно гораздо большее
Абсолютно согласен с этим тезисом и поддерживаю мнение автора. Все знать невозможно по определению, но именно навыки полученные в ВУЗе позволяют быстро впитывать огромные объемы информации за короткие сроки, выделять самое главное и фильтровать воду. Этот скилл очень важен для пентестеров, так как в своей работе мы ежедневно имеем дело с огромным количеством различных технологий и необходимо в кратчайшие сроки разобраться в каждой из них и найти уязвимости и недостатки влияющие на безопасноть. Например, есть условный админ, который много лет работает с определенным ПО, который знает все тонкости и нюансы этой конкретной технологии, а против него пентестер, которому за короткий срок проекта надо найти баги и недостатки конфигурации, которые мог допустить этот админ😎
К тому же студенческое время это очень веселый период жизни, который через много лет можно будет вспоминать с теплотой и улыбкой. Университетские друзья это обычно друзья на всю жизнь, с которыми вместе преодолевали все трудности, радовались успехам и отмечая очередное окончания сессии после вечеринки могли проснуться на другом конце света, в тропиках...в пуховике😂 В прошлом году я начал немного преподавать в МИФИ и часто говорю студентам, что важно удерживать баланс между учебой и жизнью, не зацикливаться на чем то одном и получать удовольствие от всего что делаете😎 Поэтому не забывайте развлекаться и отдыхать в том числе!
А что вы думаете на эту тему? Предлагаю немного подискутировать в комментариях🙏
20.03.202509:43
This channel can’t be displayed because it violated Telegram's Terms of Service.
27.11.202411:03
Linux Persistence with LKM
Существуют десятки актуальных способов закрепления в Linux, а также инструментов автоматизации этой задачи, например один из последних - PANIX, это bash скрипт, который мы используем на киберучениях в рамках
Но в формате активного противодействия, редко есть возможности тащить на тачку разные скрипты, поэтому мы рассмотрим ручной способ на примере
🔴 Необходимо каким-то образом доставить
🔴 Во время компиляции
🔴 Копируем руткит и создаем список зависимостей
🔴 Создаем файл конфигурации
🔴 Загружаем модуль вручную
Таким образом, при каждой перезагрузке системы руткит в качестве модуля
Но все равно это будет светиться в
Существуют десятки актуальных способов закрепления в Linux, а также инструментов автоматизации этой задачи, например один из последних - PANIX, это bash скрипт, который мы используем на киберучениях в рамках
Purple Team.Но в формате активного противодействия, редко есть возможности тащить на тачку разные скрипты, поэтому мы рассмотрим ручной способ на примере
LKM (Loadable kernel module) руткита Diamorphine.Diamorphine хорошо известный руткит с открытым исходным кодом, который активно используется злоумышленниками в дикой природе уже много лет, который можно загрузить различными способами. Наиболее распространенный - это просто положить в /etc/modules или использовать службу systemd-modules-load. Файлы конфигурации модулей systemd-modules-load ищет в следующих директориях: /etc/modules-load.d, /usr/lib/modules-load.d, /usr/local/lib/modules-load.d, /run/modules-load.d🔴 Необходимо каким-то образом доставить
Diamorphine или собрать из исходников на тачке, например в контейнере или еще как-нибудь, обычно зависит от уровня зрелости мониторинга и степени паранойи SOC на текущем проекте😁🔴 Во время компиляции
Diamorphine позволяет указать "magic string" - строку в начале наименования файла или директории, которую руткит автоматически скроет при загрузке, например apt1337🔴 Копируем руткит и создаем список зависимостей
modules.depcp diamorphine.ko /usr/lib/modules/$(uname -r)/kernel/drivers/block/apt1337-diamorphine.ko
depmod🔴 Создаем файл конфигурации
systemd-modules-loadecho apt1337-diamorphine >/usr/lib/modules-load.d/apt1337-not_evil.conf🔴 Загружаем модуль вручную
modprobe apt1337-diamorphineТаким образом, при каждой перезагрузке системы руткит в качестве модуля
LKM будет загружаться автоматически😎 Безусловно техника базовая и довольно распространенная, поэтому нуждается в доработке относительно сокрытия. Как минимум рекомендую использовать Timestomping для файлов в /usr/lib/modules/* и использовать менее очевидный нейминг.Но все равно это будет светиться в
/proc/sys/kernel/tainted так как загруженный модуль не подписан, но это уже тема другой заметки😁03.03.202514:02
The future of security testing: harness AI-Powered Extensibility in Burp
В прошлом месяце
Взаимодействие с AI моделью реализовано через этот интерфейс, что позволяет разработчикам сосредоточиться на функциональности расширений, а не думать как подружить свое решение с API провайдера LLM, но ограничивает в выборе конкретной модели и придется платить
На данный момент в
☑️ AI HTTP Analyzer (для Pro версии)
☑️ Hackvertor c AI функциональностью (для Community версии)
И есть еще Bounty Prompt, который позволяет подключить в качестве модели любую из поддерживаемых
Для того чтобы поиграться самостоятельно нужен релиз версии
Как вы думаете, таким образом, скайнет💀 подбирается все ближе или такая автоматизация рутины освободит нам время для более творческих задач? Оставляйте свое мнение в комментариях🙏
В прошлом месяце
Portswigger анонсировали поддержку AI-powered расширений для Burp Suite. По капотом как и положено используется Montoya API, который выпустили в 2022 году на смену устаревшему Burp Extender API (2005 год). Взаимодействие с AI моделью реализовано через этот интерфейс, что позволяет разработчикам сосредоточиться на функциональности расширений, а не думать как подружить свое решение с API провайдера LLM, но ограничивает в выборе конкретной модели и придется платить
Portswigger чтобы покупать токены. По дефолту каждому пользователю Pro версии доступно 10,000 free AI credits. Ну и существуют некоторые опасения относительно конфиденциальности данных, которые отправляются модели, которые авторы попробовали развеять в этой статье.На данный момент в
BApp Store доступны всего несколько AI-powered расширений:☑️ AI HTTP Analyzer (для Pro версии)
☑️ Hackvertor c AI функциональностью (для Community версии)
И есть еще Bounty Prompt, который позволяет подключить в качестве модели любую из поддерживаемых
Groq Cloud с помощью универсального API.Для того чтобы поиграться самостоятельно нужен релиз версии
Early Adopter 2025.2, который можно переключить в Settings ➡️ Suite ➡️ Updates ➡️ Channel: Early Adopter, но уже в этом месяце поддержка AI-powered расширений появиться в версии Stable.Как вы думаете, таким образом, скайнет💀 подбирается все ближе или такая автоматизация рутины освободит нам время для более творческих задач? Оставляйте свое мнение в комментариях🙏
Паказана 1 - 7 з 7
Увайдзіце, каб разблакаваць больш функцый.