AppSec Ezine - 287th Edition #AppSec #Security
https://pathonproject.com/zb/?8af7c072332a849a#/qyMXplqoLnq1CMjXFor/C1JWpk0g8Bgn9qxLjkRTCM=

​​В последние годы Threat Intelligence стал настоящим bo0om'ом в сфере ИБ. Сейчас куда не сунься, везде стартапы, предлагающие купить свои самые-самые лучшие платформы и фиды для расследования угроз. Энтерпрайз тоже не отстает. Но что делать тем, кто еще не созрел для приобретения полноценной TI-платформы или подписки на ее? Конечно же лепить TIP из говна и палок (ну почти)!

На рынке сейчас очень много крутых open-source проектов, позволяющих построить ваш собственный TI, чего только один MISP с его документацией стоит. Вот только экспертиза в большинстве случаев, увы, но стоит денег. Одно могу сказать точно, при желании сэкономить придется обмазаться всякими конвертерами STIX/TAXII/MISP/MAEC и очень тщательно выбирать бесплатные фиды.

Платформы:
https://github.com/MISP/MISP
https://github.com/PaloAltoNetworks/minemeld
https://yeti-platform.github.io/
https://github.com/ciscocsirt/GOSINT
https://github.com/crits/crits

Источники:
https://threatfeeds.io/
https://portal.underattack.today/feeds
Проекты abuse.ch:abuse.ch:
https://urlhaus.abuse.ch/feeds/
https://ransomwaretracker.abuse.ch/blocklist/
https://feodotracker.abuse.ch/blocklist/
https://sslbl.abuse.ch/blacklist/

Материалы:
[Общий] https://habr.com/ru/company/infosecurity/blog/336676/
[Расширенный] https://habr.com/ru/company/jetinfosystems/blog/459674/

Другие ссылки:
https://github.com/stamparm/maltrail
https://github.com/hslatman/awesome-threat-intelligence

Делитесь своей коллекцией в бота @cybrsht_bot, устроим TI Sharing!

Говорят, если у вас хороший рейтинг, то в Китае вы можете позволить купить себе газировку с помощью Face to pay 👨🏻‍🎨

Ссылка от читателя с демо-набором YARA-правил (порядка 1500 шт.) Список всегда пополняется. Для скачки ставим галку "DEMO" и нажимаем "Get Rules".

https://valhalla.nextron-systems.com/

Самый подробный write-up что я видел о взломе Instagram по результатам которого исследователю выплатили 10000$.

https://thezerohack.com/hack-instagram-again

Sh3ll we play a game?

http://pwnable.kr/

Перевод подъехал: https://habr.com/ru/company/flant/blog/465141/

Для пользователей GCP. Интересный тред про получение доступа к хосту на котором крутится докер в рамках вашей cloudshell сессии.

Google говорит, что это фича.

sudo docker -H unix:///google/host/var/run/docker.sock run -v /:/host -it ubuntu chroot /host /bin/bash

https://t.co/sXXFccQuti

Надо закинуть в Сбербанк идею снять что-то подобное :D

https://vimeo.com/344959412

​​Что творят эти тайваньские парни!

В начале лета PreAuth RCE в клиенте GlobalProtect от PaloAlto, потом несколько уязвимостей в FortiOS связанные с SSL VPN, а сегодня целых 7 уязвимостей в сервисе Pulse Connect Secure, который используется аж сотрудниками Twitter для организации VPN подключений!

Раз: https://blog.orange.tw/2019/07/attacking-ssl-vpn-part-1-preauth-rce-on-palo-alto.html
Два: https://blog.orange.tw/2019/08/attacking-ssl-vpn-part-2-breaking-the-fortigate-ssl-vpn.html
Три: https://blog.orange.tw/2019/09/attacking-ssl-vpn-part-3-golden-pulse-secure-rce-chain.html

Материал от читателя про последние уязвимости более простыми словами: https://medium.com/@valeriyshevchenko/critical-vulnerabilities-in-pulse-secure-and-fortinet-ssl-vpns-in-the-wild-internet-3991ea9e6481?source=friends_link&sk=847243b8dd8ab136264500c40bd2f449

Небольшая памятка по пентесту Jenkins'a, содержащая все последние актуальные CVE.

https://github.com/gquere/pwn_jenkins

15-ти часовой курс для начинающих пентестеров https://www.youtube.com/watch?v=3Kq1MIfTWCE

У всех сайты за Imperva Incapsula немного спрятались за ошибкой "Error code 16"?

Например: https://www.siriusxm.ca/

А, кажется всей адресации AS19551 Incapsula Inc немного не здоровится

https://www.optiv.com/
https://www.siriusxm.ca/
https://www.professionalplastics.com/
http://107.154.103.2/
http://103.28.251.2/
http://103.28.248.2/

Информация об AS'ке: https://ipinfo.io/AS19551

—updated

Вроде как при обращении по IP прокси такая ошибка в порядке вещей, но факт остается фактом, часть сервисов не работает.

Читатели сообщают, что многие сервисы работают корректно, на мониторинге самой Incapsula проблем тоже не наблюдается > https://status.imperva.com/

Такое ощущение, что они какой-то модуль обновили и у кого эта настройка была включена - повыпадали.

—updated 2

Околоофициальные истоники говорят, что это обычное сообщение при срабатывании правила. Некоторые компании боятся "русских хакеров", ну а если серьезно - просто блокируют обращения из России. В некоторых случаях блокировка наблюдается даже с европейских IP, но там мол либо админ накосячил с правилами, либо VPN блокируется Incapsula по-умолчанию.

​​Кажется у меня появилась новая традиция — каждый год я даю Mozilla еще один шанс и устанавливаю новую версию Firefox, которая обещает быть быстрее, безопаснее и пр.

Кажется в этом году время пришло, вышел 69 релиз с расширенной защитой от трекинга, уменьшенным энергопотреблением на MacOS и пр. Пробуем?

🦊 - Да!
🐗 - Firefox Must die

https://www.mozilla.org/en-US/firefox/69.0/releasenotes/

Недавно компания Cisco представила свои руководства по форензике, определяющие последовательность действий по сбору информации со скомпроментированных узлов при расследовании киберугроз.

Кажется пора делать новый экзамен для сисько-форензиков — Cisco Certified Forensic Investigator (CCFI) :)

https://blogs.cisco.com/security/new-forensic-investigation-procedures-for-first-responder-guides

https://tools.cisco.com/security/center/tacticalresources.x

Реверсерам из Cisco Talos надоело спорить о том, что лучше Ghidra или IDA Pro, поэтому они выпустили плагин GhIDA, позволяющий интегрировать декомпилятор Ghidra в IDA Pro 7.x.  

https://blog.talosintelligence.com/2019/09/ghida.html

https://github.com/Cisco-Talos/GhIDA

Агрегированная информация о MITM-атаках, инструментарии и методах защиты аккуратно структуркроиванная в cheatsheet.

Всем бы таких стажеров. Саша, спасибо!

https://github.com/Sab0tag3d/MITM-cheatsheet

​​Сегодня в Москве прошла презентация платформы для проверки эффективности кибербезопасности — Verodin, которую в начале лета приобрела компания FireEye (на секундочку за $250 млн).

Этой штукой предлагается автоматизировать процесс тестирования средств зашиты и уровня защищенности, а в конечном итоге заменить пентестеров, тестировщиков и даже аналитиков безопасности! Шутка, конечно, ведь этого никогда не произойдет. Правда, же? 😢

По сути, решение представляет собой портативный red teaming, позволяющий воспроизвести полные циклы атак, посмотреть, как реагируют средства защиты, системы логирования и отрабатывают правила корреляции. Есть даже возможность развернуть в облаке специальные модули Verodin, откуда к вам будет сыпаться различный вредоносный трафик, очевидно обезвреженный.

В общем звучит очень круто, но нужно смотреть на деле, возможно именно сейчас формируется новый класс продуктов и услуг, которые с помощью легкой руки регуляторов станут в будущем даже обязательными. Есть у кого потестить?)))

https://www.verodin.com/

👨🏻‍💻 — Инженеры будут жить вечно!
🤖 — Кожаные ублюдки скоро станут никому не нужны :'(